2024企业信息安全事件调查规程

PAGE17PAGE信息安全事件调查规程总则为规范集团公司信息安全事件报告、调查及处理工作，落实责任追究制度，通过对事件的调查分析和统计，总结经验教训，研究事件规律，采取预防措施，防止和减少安全事件，根据《中华人民共和国计算机信息系统安全保护条例》《电力行业信息网络与信息安全监督管理暂行办法》（《信息安全事件分类及分级指南》（GB.Z20986-2007）以及《电力行业信息网络与信息安全信息通报暂行办法》等法规，制定本规程。信息安全事件统计和调查报告应及时、准确、完整，全面、客观地评价信息安全事件，对考核实行分级管理。信息安全事件是指由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对集团公司或集团系统各企业造成负面影响的事件。本规程所规定信息安全事件级别分为一级、二级、三级和四级。一级事件级别最高，定义为集团公司内部统计事件。本规程所指一类业务应用包括安全生产、财务、燃料、物资、视频会议和企业外部门户网站等；二类业务应用包括人资、计划营销、综合管理、企业门户、决策分析等系统（以下类同）。中断是指因网络通信中断、人为破坏、病毒侵入、软件故障、服务器宕机、硬件设备损坏、误操作等造成该系统业务非计划不可用（以下类同）。信息安全事件调查应坚持实事求是、尊重科学的原则，及时、准确地查清事件经过、原因和损失，查明性质，认定责任，总结教训，提出并落实整改措施，并对事件责任者提出处理意见。做到“四不放过”，即：原因未查清不放过、责任人员未处理不放过、整改措施未落实不放过、事件责任者和应受教育者未受到教育不放过(以下简称“四不放过”)。任何单位和个人不得阻挠和干涉对事件的报告和调查处理。任何单位和个人对违反本规程规定、隐瞒事件或阻碍事件调查的行为有权直接向集团公司反映。本规程仅用于集团公司内部信息安全监督和管理，其事件定义、调查程序、调查和统计结果不作为处理和判定行政责任、民事责任的依据。本规程适用于集团公司总部及各上市公司、分公司、省发电公司、专业公司、各基层企业。事件定义和分类一级信息安全事件因信息系统原因（包括建设、应用、运维等，以下类同）导致涉及集团公司秘密信息外泄；信息系统重要数据遭恶意篡改、破坏、泄露和窃取，对集团公司生产经营产生重大影响，并产生了极其恶劣的社会影响。造成一类业务应用系统数据完全丢失24小时及以上，且不可恢复。集团公司总部或下属各企业局域网完全瘫痪，且影响时间超过12小时。集团公司总部与各上市公司、分公司、省发电公司、专业公司网络中断且影响时间超过4小时。集团公司总部及各上市公司、分公司、省发电公司、专业公司一类业务应用系统中断，影响时间超过12小时；或二类业务应用系统中断，影响时间超过24小时。一类业务应用系统与集团公司总部数据传输中断，影响时间超过12小时；或二类业务应用系统与集团公司总部数据传输中断，影响时间超过24小时。二级信息安全事件未构成一级信息安全事件，符合下列条件之一者定义为二级信息安全事件。因信息系统原因导致上市公司涉密信息外泄，或重要数据遭恶意篡改、破坏、泄露和窃取，对上市公司生产经营产生了较大影响，并产生了极其恶劣的社会影响。造成一类业务应用数据完全丢失12小时以上，且不可恢复。集团公司总部或下属企业的局域网完全瘫痪，且影响时间超过8小时。各上市公司、分公司、省发电公司、专业公司与各下属单位网络中断，且影响时间超过4小时。集团公司总部及各上市公司、分公司、省发电公司、专业公司一类业务应用系统中断，影响时间超过8小时；或二类业务应用系统中断，影响时间超过12小时。各企业一类业务应用系统与集团公司总部数据传输中断，影响时间超过8小时；或二类业务应用系统与集团公司总部数据传输中断，影响时间超过12小时。三级信息安全事件未构成二级及以上信息安全事件，符合下列条件之一者定为三级信息安全事件。因信息系统造成二级公司（不含上市公司）敏感信息外泄，或信息系统数据遭恶意篡改、破坏、泄露和窃取，对企业生产经营产生了较大影响。一类业务应用系统数据丢失8小时以上，且不可恢复。集团公司总部或下属企业的局域网完全瘫痪，影响时间超过4小时。基层企业与上级公司网络中断，且影响时间超过4小时。集团公司总部及各上市公司、分公司、省发电公司、专业公司一类业务应用系统中断，影响时间超过4小时；或二类业务应用系统中断，影响时间超过8小时。各企业一类业务应用系统与集团公司总部数据传输中断，影响时间超过4小时；或二类业务应用系统与集团公司总部数据传输中断，影响时间超过8小时。四级信息安全事件未构成三级及以上信息安全事件，符合下列条件之一者定为四级信息安全事件：因信息系统造成基层企业敏感信息外泄，或信息系统数据遭恶意、破坏、泄露和窃取，对基层企业生产经营产生了较大影响。业务应用系统数据丢失，但处理后可恢复，对业务应用造成了一定影响。集团公司总部及各上市公司、分公司、省发电公司、专业公司一类业务应用系统完全中断，影响时间超过2小时；或二类业务应用系统中断，影响时间超过4小时。各企业一类业务应用系统与集团公司总部数据传输中断，影响时间超过2小时；或二类业务应用系统与集团公司总部数据传输中断，影响时间超过4小时。事件责任的划分与统计责任划分为主要责任、同等责任、次要责任。主要责任：事件发生或扩大主要由一个主体承担责任。主体包括引发事件的单位和个人。同等责任：事件发生或扩大由多个主体共同承担责任。同等责任包括共同责任和重要责任。次要责任：承担事件发生或扩大次要原因的责任，包括一定责任和连带责任。一定责任是指由调查组确定的有关主体应承担的同等以下责任；连带责任是指由业主、建设（运行）管理、监理和有关承、发包方负有连带性质的责任。事件统计集团公司系统各企业发生信息安全事件，按照事件责任划分，统计为负主要责任企业的事件。不同管理层次的统计各基层企业发生的信息安全事件，统计汇总为该企业的事件。产权与运维管理相分离的，依据代管协议进行事件统计；代管协议未做明确的，定为产权所有单位的事件。各上市公司、分公司、省发电公司、专业公司下属和管理的所有单位发生的信息安全事件，统计汇总为上述公司的事件。由于同一原因而引起多次事件的统计在24小时内，由于同一原因导致信息系统多次发生不可用、应用系统数据丢失、网络瘫痪等事件时，可按最高等级统计为一次事件。事件报告集团公司系统各企业发生信息安全事件后，现场有关人员应当立即向本企业现场负责人报告。现场负责人接到报告后，应立即向本企业负责人报告。情况紧急时，现场有关人员可以直接向本企业负责人报告。接到事件报告后，应当依照下列规定立即上报事件情况：发生一级信息安全事件，应立即按资产关系或管理关系逐级上报至集团公司，如属于发生国家秘密信息被窃取或者泄露事件的，应当在发现后立即报告集团公司，并采取有效措施防止国家秘密进一步扩散；发生二级信息安全事件，应立即按资产关系或管理关系逐级上报至各上市公司、分公司、省发电公司、专业公司；发生三级信息安全事件，应立即按资产关系或管理关系上报至上级企业。每级上报的时间不得超过1小时。安全事件报告应及时、准确、完整，任何单位和个人对事件不得迟报、漏报、谎报或者瞒报。必要时，可以直接上报事件情况。即时报告以电话、电传、电子邮件、短信等形式上报。一级信息安全事件的即时报告应在24小时以内以书面形式上报，其简况至少应包括以下内容：事件发生的时间、地点、单位；事件发生的简要经过、直接经济损失的初步估计或者可能造成的社会影响；事件发生原因的初步判断；采取的应对措施。即时报告后，事件出现新情况的，应当及时补报。事件调查调查组织集团公司系统各企业根据信息安全事件分级组织调查，并按要求填写事件调查报告书。上级企业可根据情况派员督查。一级信息安全事件由集团公司或者集团公司委托的单位组织调查。二级信息安全事件由上市公司、分公司、省发电公司、专业公司或者其委托的单位组织调查。对于性质严重的二级信息安全事件，集团公司可以直接组织调查。三级信息安全事件由事件发生企业组织调查，其上级企业认为有必要时，可以直接组织、派员参加或授权有关单位调查；四级信息安全事件由事件发生企业组织调查。信息安全事件调查应按事件等级，由相应调查单位的领导或其指定人员主持，信息、安监以及相关部门负责人参加。性质严重或涉及两个以上企业的事件，应由上级组织指派信息人员、安监人员和有关专业人员参加调查或组织调查。产权与运维管理相分离的，由运维管理单位组织调查，也可由资产所有企业组织调查。性质严重或涉及两个以上企业的事件，上级企业应指派信息人员、安监人员和有关专业人员参加调查或组织调查。初步认定事件发生由质量原因造成时，按有关规定开展联合调查。调查程序保护事件发生记录事件发生后，事件发生企业必须迅速组织进行系统补救并派专人严格保护事件发生过程中的各项记录，未经调查，不得任意变动记录。事件发生后，事件发生企业信息部门或安监部门应立即对事件现场、损坏的设备、系统日志、操作记录、事件发生的显示结果等进行照相、录像、绘制草图、收集资料等。因紧急处置、防止事件扩大等原因，需要变动现场，必须经企业有关领导和信息部门、安监部门同意，并做好相关证据记录的备份、绘制现场简图、写出书面记录，保存必要的痕迹、物证等。收集原始资料事件发生后，事件发生企业信息部门、安监部门应立即组织有关人员分别如实提供事件现场并写出事件的原始材料。应收集的原始资料包括：有关运维、操作、试验等记录文件，系统配置和日志文件，以及事件发生时的录音、截屏、打印记录、现场影像资料、处理过程记录等。信息部门、安监部门要及时收集有关资料，并妥善保管。事件调查组成立后，信息部门、安监部门应及时将有关材料移交事件调查组。事件调查组在收集原始资料时应对事件现场搜集到的所有证据保持原样，注明地点、时间、证据管理人。事件调查组要及时整理出说明事件情况的图表和分析事件所必需的各种资料和数据。事件调查组有权向事件发生企业、有关部门及有关人员了解事件的有关情况并索取有关资料，任何单位和个人不得拒绝。调查事件情况应查明以下情况：事件发生前系统的运行情况；事件发生经过、扩大及处理情况；调查系统和设备资料（包括订货合同、维护记录等）情况以及规划、设计、建设、实施、运维等方面存在的问题；查明事件造成的损失，包括影响时间、影响范围、影响程度等。事件调查还应了解相关规章制度是否健全，规章制度本身及其执行中暴露的问题；了解各企业管理和信息安全责任制等方面存在的问题；了解全过程管理是否存在漏洞；事件涉及两个以上企业或部门时，应了解相关合同、协议或工作职责。分析原因、责任事件调查组在事件调查的基础上，分析并明确事件发生、扩大的直接原因和间接原因。必要时，事件调查组可委托专业技术部门进行相关计算、试验、分析。根据事件调查的事实，通过对直接原因和间接原因的分析，确定事件的分级和分类以及事件直接责任和领导责任；根据其在事件发生过程中的作用，确定事件发生的主要责任、同等责任、次要责任、事件扩大的责任；根据事件调查结果，确定相关企业是否承担主要责任、同等责任、次要责任、连带责任或无责任。事件原因分析中存在下列与事件有关的问题，确定为领导责任：信息安全责任制不健全或者不落实；规程制度不健全或者不落实；安全防护措施不落实；应急预案不落实；同类事件重复发生；事件调查组确定的应为领导责任的其他情形。提出防范措施事件调查组应根据事件发生、扩大的原因和责任分析，提出防止同类事件发生、扩大的组织（管理）措施和技术措施。提出人员处理意见事件调查组在事件责任确定后，要根据有关规定提出对事件责任人员的处理意见。由有关单位和部门按照人事管理权限进行处理。对下列情况应从严处理：违反国家有关信息安全规章制度的；国家和集团公司有关信息安全措施不落实的；事件发生后迟报、漏报、瞒报、谎报或在调查中弄虚作假、隐瞒真相的；阻挠或无正当理由拒绝事件调查或提供有关情况和资料的。在事件处理中积极补救、恢复设备、系统运行的，在事件调查中主动反映事件真相，使事件调查顺利进行的有关事件责任人员，可酌情从宽处理。事件调查报告一、二级信息安全事件调查完成后，有关调查报告书应由事件发生单位留档保存，并逐级上报至集团公司。事件调查报告书信息安全事件调查组应填写《信息系统事件调查报告书》（见表1）；事件调查报告书由事件调查的组织单位以文件形式在事件发生后30日内报送。特殊情况下，经上级管理单位同意可延至45日；由政府部门组织调查的事件，事件单位在接到地方政府对事件调查报告的批复后7日内逐级上报集团公司。事件调查结案后，事件调查的组织单位应将有关资料归档，资料必须完整，应包括以下内容：信息系统事件报告；事件调查报告书、事件处理报告书；现场调查笔录、图纸、仪器表计打印记录、截屏、资料、照片、录像（视频）、操作记录、配置文件、日志等；技术鉴定和试验报告；物证、人证材料；直接和间接经济损失材料；事件责任者的自述材料；发生事件时的条件、操作情况和设计资料；处分决定和受处分人的检查材料；有关事件的通报、简报及成立调查组的有关文件；事件调查组的人员名单，内容包括姓名、职务、职称、单位等。统计上报基层企业应及时准确地上报本企业信息安全事件的相关材料，各上市公司、分公司、省发电公司、专业公司应认真审核所属或所管理企业的上报材料，并做好事件统计分析与督查工作。各上市公司、分公司、省发电公司、专业公司每月2日前向集团公司报送本公司信息安全事件月度报表（附表2）。附则本办法自发布之日起实行。本办法由集团公司科技信息部负责解释。

附表1信息系统事件调查报告书1.事件名称（简题）:_______________________事件编号：_____________2.事件责任单位全称：_______________________________________________3.事件等级:_________________________________________