为加强我校网络信息技术安全保障能力,及时掌握和处置信息技术安全事件,规范信息技术安全事件整改流程,协调相关力量做好应急响应处置,降低安全事件带来的损失与影响,维护正常工作秩序,营造健康网络环境,根据《中华人民共和国网络安全法》、教育部《信息技术安全事件报告与处置流程》等相关文件要求,结合学校实际,制定本规范。
第一章 总则
第一条 适用范围。本规范适用于学校各类网站、信息系统(包含承载其运行的服务器操作系统、中间件软件和数据库管理系统等)以及网络交换机、网络路由器、服务器、网络打印机、视频监控、大屏发布等其他计算机信息系统(以下均统称为信息系统)安全事件的发现、处置与整改。
第二条 信息技术安全事件的定义。根据《信息安全事件分类分级指南》(以下简称《指南》),本规范中所称的信息技术安全事件(以下简称安全事件)是指由于人为原因或软硬件本身缺陷或故障,对信息系统造成危害,或对社会造成负面影响的事件,包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害事件和其他信息安全事件等7个基本分类。安全事件等级划分为重大(紧急)事件和一般事件(见附件1)。
第三条 责任体系。信息化中心负责学校各类信息安全事件的通知和整改督查等,负责学校公共支撑平台安全事件应急处置,对校内其他各信息系统提供技术支持;校内各二级单位负责本单位所管理的各类信息系统的安全事件的自查、整改、复查和处置情况报告等。
第二章 安全事件的报告和处置
第四条 安全事件包括但不限于:
(一)上级有关部门或其他机构通报的。
(二)学校通过网络安全扫描发现的。
(三)各二级单位自查发现的。
第五条 重大(紧急)安全事件的报告与处置分为三个步骤:事发紧急报告与处置、事中情况报告与处置和事后整改报告与处置。
(一)事发紧急报告与处置
1.信息系统管理员一旦发现安全事件,应根据实际情况第一时间采取关闭信息系统(网站)等有效措施进行处置,将损害和影响降到最小范围,保留现场,并及时通报责任单位负责人和信息化中心安全管理员。
2.责任单位接到通报后,应立即组织相关人员进行紧急处置,并书面记录安全事件发现和处置过程。涉及人为主观破坏事件应同时报告学校保卫处。
3.信息化中心接到报告后,应做好书面记录,获取事件截图等相关证据。若判定为重大事件,应在1小时内报告网络安全与信息化领导小组相关领导。
4.信息化中心组织相关技术力量指导分析事件原因,提供整改建议,协助处置工作。
5.各二级单位应及时跟进事件发展情况,出现新的重大情况应及时补报。
(二)事中情况通报与处置
1.事中情况通报应在安全事件发现后24小时内以书面报告的形式报送。
2.事中情况通报由信息化中心通过信息安全事件整改通报流程,通报给安全事件责任单位。涉及人为主观破坏事件的,事中情况通报抄送给保卫处。
3.安全事件事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。涉及人为主观破坏的安全事件应由保卫处联系并配合公安部门开展调查。
(三)事后整改报告与处置
1.事后整改报告(见附件2)应在安全事件处置完毕后2 个工作日内,由责任单位通过流程平台报送,原件本单位留存。
2.信息化中心收到责任单位的整改报告后,对信息系统(网站)进行复查,确认整改完毕,可以恢复信息系统(网站)。
3.安全事件事后处置包括:进一步总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门和学校保卫处开展调查。
第六条 一般安全事件报告与处置。各二级单位发生一般安全事件,应及时、自主组织应急处置工作;需要信息化中心协助的,联系信息化中心予以协助。在事件处置完毕后 4 天内向信息化中心报送整改报告。
第七条 预警类信息的报告与处置。各二级单位要按时、按要求完成国家、地方有关信息安全部门以及学校信息化中心等部门通报的预警类信息的处置工作,并按要求形成整改报告(见附件2),报送信息化中心。
第三章 配套制度与问责
第八条 人事变更报告。为保障联络通畅,信息系统主管单位主要负责人、信息系统管理员发生变更的,应及时向信息化中心报备。
第九条 相关配套机制。各二级单位应根据实际建立本单位信息安全值守制度,做到安全事件早预警、早发现、早报告、早控制、早解决。
第十条 信息化中心负责制定学校网络信息安全应急预案,各二级单位负责制定本单位的网站及信息系统安全应急预案,并定期进行安全应急演练。
第十一条 问责制度。各二级单位应按照流程及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况,信息化中心将对相关单位进行通报;情况严重的,根据学校网络与信息安全相关规定的责任追究条款处理。
第十二条 整改落实机制。发生重大(紧急)安全事件后,要认真做好整改落实工作,坚持做到事故原因不查清不放过、整改措施未落实不放过、责任人员未受到教育或处理不放过,尽力杜绝类似事件再次发生。
第十三条 本规范由信息化中心负责解释。
第十四条 本规范自发布之日起施行。
附件:1信息技术安全事件分类