第一章 总则

第一条 武汉学院为加强内部管理，规范信息系统安全事件处理流程，提高安全事件发生时的应变能力，做到快速反应，正确应对，最大程度地降低安全事件带来的负面影响，确保信息系统业务正常、稳定开展，特制定本文件。

第二章 适用范围

第二条 本文件适用于武汉学院信息系统管理和使用部门，包括武汉学院及其他相关部门。

第三章 组织职责

第三条 武汉学院信息中心是主要安全事件受理、解决部门，负责受理信息系统的安全事件，协调组织安全事件解决方案或措施，并反馈处理结果，安全管理员是安全事件具体受理人员，并协调组织相关人员处理安全事件。

第四条 系统管理员负责信息系统日常监控，并做好记录，发现安全事件及时通知武汉学院信息中心。

第五条 其他相关部门应配合武汉学院信息中心做好安全事件的解决，如发现安全事件，有义务及时通知武汉学院信息中心。

第四章 术语定义

第六条 信息安全事件是指针对信息系统网络中，由于硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏（可能）造成信息系统不能正常运行，影响正常的业务运行，称为安全事件，包括但不限于以下几类事件：

(一) 恶意代码：病毒、蠕虫、木马等会给计算机带来不良影响的代码；

(二) 未授权访问：在没有得到允许的情况下，获得对系统资源的访问权限；

(三) 不当应用：违反安全策略的行为，包括我校和部门制定的流程、制度、标准和规范；

(四) 安全漏洞： 信息系统中潜在的一些问题，这些问题有可能对系统种过成影响；

(五) 系统故障：信息系统的软硬件故障；

(六) 上述安全事件的结合。

第五章 事件分类

第七条 根据安全事件对业务可能造成的影响或已经造成影响的严重程度并结合安全事件的紧急程度把安全事件分为一般、严重和重大三个级别。

第八条 由于非法攻击、病毒入侵等安全原因对信息系统的主机、网络、数据库和数据等信息资产造成影响，但由于已经采取了安全预防措施，没有影响业务系统的正常运行，并能够通过安全管理员协调进行处理，在短期内发现并解决的安全问题，称为一般安全事件。

第九条 由于非法攻击、病毒入侵或后门等安全原因造成信息系统的主机、网络、数据库和数据等重要信息资产受到损害或数据丢失，并造成业务的影响但尚未造成大规模影响的安全问题称为严重安全事件。

第十条 由于有目的或者无目的行为导致网络资源不足，业务部分不能提供服务；且已经证实有攻击行为持续发生；造成信息系统的主机、网络、数据库和数据等重要信息资产受到重大损害或重大数据丢失的安全事故定义为重大安全事件。

第六章 通用要求

第十一条 在安全事件调查的过程中必须注意信息的保密，严禁将信息透露给无关人员；

第十二条 当外界对信息系统发生的安全事件进行询问和调查时，必须将这类请求转交给我校的对外相关部门进行处理，严禁私自回应。

第十三条 在安全事件处理过程中，需要尽量多的收集相关证据：

(一) 证据收集的过程中应记录发现证据的人员、地点、时间和能证明证据真实性的相关信息；

(二) 收集电脑介质内的信息时应确保其客观性，收集到的证据必须妥善保存；必要时应对相关证据内容进行手工记录；

(三) 收集到的打印文件应安全地保留原版；

(四) 在搜集证据前不应关闭系统以防丢失易破坏的证据；

(五) 搜集证据时不应在受损系统上运行任何程序。

第十四条 在安全事件处理过程中，对系统操作的应严格按照相关操作规定以及变更要求进行处理。

第十五条 在安全事件处理完毕，所有系统恢复正常以后，应该针对事件进行分析。集中所有相关人员来讨论所发生的事件以及得到的经验教训，并对现有的一些流程进行重新评审，对不适宜的环节进行修改，应该从系统中彻底删除诸如受到感染的文件。

第十六条 安全事件报告应该由安全管理员组织相关人员来写，并且在必要的时候向管理者提出建设性的建议。

第十七条 对于信息系统发生重大安全事件，按照应急制度启动相关应急预案，并严格按照信息系统应急预案管理办法处理。

第十八条 应建立安全事件监控系统，实施对各类安全事件集中监控和管理。

第七章 一般事件管理程序

第十九条 一般安全事件统一由安全管理员接口受理，并由相关系统管理员配合安全管理员对事件进行统筹管理和跟踪。

第二十条 一般安全事件的处理流程由安全管理员负责协调处理，如涉及生产环境系统的变更，按照信息系统变更管理规定进行处理。

第二十一条 一般安全事件处理完成后，由安全管理员组织相关人员对事件进行分析，并将结果通知相关事件发起人以及相关系统管理员，并因安全事件产生的各类系统漏洞，应明确表示相关人员不得尝试验证该漏洞。

第二十二条 系统管理员组根据各自分管的工作在月度总结中应包括对该月的安全运行情况总结汇报，并向安全管理员统一汇总。

第二十三条 日常检查工作由安全管理员组织相关系统管理员执行，发现故障由日常检查人员负责向相应的领导进行汇报，并组织维护人员对系统进行修复。

第八章 严重事件管理程序

第二十四条 严重安全事件报告流程：

(一) 信息系统相关人员一旦发现有严重信息安全事件发生，必须在一小时以内向武汉学院报告；

(二) 武汉学院接到严重信息安全事件的报告后，应组织相关人员详细了解信息严重信息安全事件的情况，必要时到现场进行调查，如果属于一般信息安全事件，则按一般信息安全事件处理程序对信息安全事件理行处理，并根据情况随时向武汉学院负责人报告；

(三) 如果信息安全事件属于严重信息安全事件，武汉学院接到严重信息安全事件报告后，详细了解信息安全事件的情况，指派专门技能的工作人员到现场进行调查和协助事件的处理；

(四) 所有严重信息安全事件都应当保留相关的记录，进行汇总，由安全管理员向武汉学院负责人汇报；

(五) 武汉学院应组织对信息安全事件的总结进行回顾，吸取其中的经验教训，提出改善意见。

第二十五条 严重安全事件处理流程：

(一) 现场保护：如果信息安全事件与数据和程序相关，则要求对存有数据和程序的存储介质进行备份，以保护数据和证据的安全、完整；

(二) 防止扩散：如果发生信息安全事件设备或人员会影响信息系统其它设备和人员，则应立即采取隔离措施，如发现有设备感染网络病毒，则使设备从网络上断开。

(三) 应急恢复处理：

a) 如果发生信息安全事件的设备或人员不工作时会影响到业务运行，则要求尽快采用应急措施，启动备用资源；

b) 在应急恢复处理时，必须保证不产生二次损坏或丢失证据。

(四) 分析事件原因：

a) 调查分析是安全事件处理的核心，其主要目的在于找到发生安全事件的原因和相关解决方案；

b) 如果调查过程中，发现安全事件涉及窃取我校经济利益或者损害我校名誉的行为，安全事件的处理报告给我校相关部门处理；对于触犯法律法规的行为，由我校相关部门决定是否移交公安部门进行调查处理。

(五) 制定解决方案：根据信息安全事件的情况，由武汉学院组织讨论、制定安全事件的解决方案，必要时联系相关的第三方服务商协助处理。

(六) 实施解决方案：确定解决方案后，相关人员进行方案实施，恢复系统的正常运作状态包括对遭受安全事件影响的系统进行恢复和安全修复两方面的工作，并作必要的技术处理，以保证不再发生相同的信息安全事件。

(七) 实施检查：武汉学院应组织对事件的处理结果进行验证、回顾，对于处理结果是否达到预期效果进行评审，并且对事件的处理过程进行记录，保留相关文档。

(八) 总结反馈：

a) 武汉学院应定期审阅所有安全事件报告，分析安全事件并总结经验教训；

b) 确认其它资产是否受到类似的威胁，并采取预防措施；

c) 审查安全事件涉及的安全策略、标准和程序，确定是否需要更新相关的文件；

d) 对安全事件进行总结，并将总结反馈给相关部门；

e) 从安全事件中汲取的经验教训。

第九章 重大事件管理程序

第一条 重大安全事件报告流程：

信息系统相关人员一旦发现有重大信息安全事件发生，必须在立刻向武汉学院报告；

武汉学院接到重大信息安全事件的报告后，应组织相关人员到现场进行调查，详细了解信息安全事件的情况，如果属于严重信息安全事件或一般信息安全事件，则按严重信息安全事件和一般信息安全事件处理程序对信息安全事件理行处理，并根据情况随时向武汉学院领导报告；

如果信息安全事件属于重大信息安全事件，武汉学院接到重大信息安全事件报告后，详细了解信息安全事件的情况，指派专门技能的工作人员到现场进行调查和协助事件的处理，并请运维商和厂商援助；同时告知武汉学院；

所有重大信息安全事件都应当保留相关的记录，进行汇总，由武汉学院向武汉学院汇报；

武汉学院在事件处理完后应组织开展信息安全事件工作会议，各事件相关部门应对信息安全事件的进行回顾总结，吸取其中的经验教训，提出改善意见。

第二条 重大安全事件处理流程：

现场保护：如果信息安全事件与数据和程序相关，应立刻对存有数据和程序的存储介质进行备份，以保护数据和证据的安全、完整；

防止扩散：如果发生信息安全事件设备或人员会影响信息系统其它设备和人员，则应立即采取隔离措施，如发现有设备感染网络病毒，则使设备从网络上断开。

应急恢复处理：

如果发生信息安全事件的设备或人员不工作时会影响到业务运行，则要求尽快采用应急措施，启动备用资源；

在应急恢复处理时，必须保证不产生二次损坏或丢失证据。

分析事件原因：

调查分析是安全事件处理的核心，其主要目的在于找到发生安全事件的原因和相关解决方案；

如果调查过程中，发现安全事件涉及窃取单位经济利益或者损害单位名誉的行为，安全事件的处理报告交由单位相关部门处理；对于触犯法律法规的行为，由单位相关部门决定是否移交公安部门进行调查处理。

制定解决方案：根据信息安全事件的情况，武汉学院应及时组织并联系相关的第三方服务商协助处理共同讨论、制定安全事件的解决方案。

实施解决方案：确定解决方案后，相关人员进行方案实施，恢复系统的正常运作状态，包括对遭受安全事件影响的系统进行恢复和安全修复两方面的工作，并作必要的安全技术防护措施，以保证不再发生相同的信息安全事件。

实施检查：武汉学院应组织对事件的处理结果进行验证、回顾，对于处理结果是否达到预期效果进行评审，并且对事件的处理过程进行记录，保留相关文档。

总结反馈：

武汉学院应定期审阅所有安全事件报告，分析安全事件发生原因、系统存在的安全漏洞等，并总结经验教训；

确认其它资产是否受到类似的威胁，并采取预防措施；

审查安全事件涉及的安全策略、标准和程序，确定是否需要更新相关的文件；

对安全事件进行总结，并将总结反馈给相关部门；

第十章 持续改进

第二十六条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第十一章 附则

第二十七条 本文件由武汉学院负责制定、解释和修改。

第二十八条 本文件自发布之日起执行。