網(wǎng)絡(luò)信息安全通報(bào)規(guī)定一、概述

網(wǎng)絡(luò)信息安全通報(bào)是指相關(guān)組織或機(jī)構(gòu)在發(fā)現(xiàn)網(wǎng)絡(luò)信息安全事件時(shí)，按照規(guī)定流程及時(shí)向主管部門或其他相關(guān)方報(bào)告事件信息的行為。其目的是通過(guò)信息共享，提高網(wǎng)絡(luò)安全防護(hù)能力，減少安全事件帶來(lái)的損失。本規(guī)定旨在明確通報(bào)的內(nèi)容、流程、責(zé)任及要求，確保網(wǎng)絡(luò)信息安全事件的及時(shí)、準(zhǔn)確處置。

二、通報(bào)內(nèi)容

（一）通報(bào)的基本要素

1.通報(bào)主體：報(bào)告事件的組織或個(gè)人名稱及聯(lián)系方式。

2.事件時(shí)間：事件發(fā)生或發(fā)現(xiàn)的具體時(shí)間。

3.事件類型：如病毒攻擊、數(shù)據(jù)泄露、系統(tǒng)漏洞等。

4.事件影響：受影響的范圍、潛在損失等。

5.事件處置措施：已采取的應(yīng)急措施及效果。

6.附件材料：如日志文件、截圖、分析報(bào)告等。

（二）不同類型事件的通報(bào)重點(diǎn)

1.惡意攻擊事件：通報(bào)攻擊來(lái)源、手段、目標(biāo)及危害程度。

2.數(shù)據(jù)泄露事件：通報(bào)泄露類型、涉及范圍、可能影響及修復(fù)措施。

3.漏洞事件：通報(bào)漏洞名稱、嚴(yán)重性、受影響系統(tǒng)及補(bǔ)丁情況。

4.其他安全事件：通報(bào)事件性質(zhì)、處置進(jìn)展及后續(xù)建議。

三、通報(bào)流程

（一）事件發(fā)現(xiàn)與初步評(píng)估

1.發(fā)現(xiàn)安全事件后，應(yīng)立即啟動(dòng)內(nèi)部應(yīng)急響應(yīng)機(jī)制。

2.快速評(píng)估事件嚴(yán)重性、影響范圍及潛在風(fēng)險(xiǎn)。

3.確定是否需要外部通報(bào)及通報(bào)對(duì)象。

（二）信息收集與整理

1.收集事件相關(guān)日志、證據(jù)及分析結(jié)果。

2.整理通報(bào)材料，確保內(nèi)容準(zhǔn)確、完整。

3.初步判斷事件原因及可能的發(fā)展趨勢(shì)。

（三）正式通報(bào)

1.按照規(guī)定渠道向主管部門或相關(guān)方提交通報(bào)材料。

2.對(duì)于緊急事件，應(yīng)優(yōu)先通過(guò)電話或即時(shí)通訊工具報(bào)告核心信息。

3.通報(bào)后保持溝通，及時(shí)更新處置進(jìn)展。

（四）后續(xù)處置

1.根據(jù)通報(bào)反饋，調(diào)整應(yīng)急措施或補(bǔ)充信息。

2.完成事件處置后，提交完整報(bào)告并總結(jié)經(jīng)驗(yàn)教訓(xùn)。

3.定期回顧通報(bào)流程，優(yōu)化安全事件管理機(jī)制。

四、責(zé)任與要求

（一）責(zé)任主體

1.網(wǎng)絡(luò)安全負(fù)責(zé)人：負(fù)責(zé)統(tǒng)籌通報(bào)工作，確保信息傳遞及時(shí)。

2.技術(shù)團(tuán)隊(duì)：負(fù)責(zé)事件分析、證據(jù)收集及技術(shù)支持。

3.法務(wù)或合規(guī)人員：確保通報(bào)內(nèi)容符合相關(guān)要求，避免法律風(fēng)險(xiǎn)。

（二）要求

1.及時(shí)性：事件發(fā)生后應(yīng)在規(guī)定時(shí)限內(nèi)完成通報(bào)（如2小時(shí)內(nèi)）。

2.準(zhǔn)確性：確保通報(bào)內(nèi)容真實(shí)、無(wú)遺漏。

3.完整性：提供必要的附件材料以支持分析。

4.保密性：涉及敏感信息需采取脫敏處理或僅限授權(quán)人員知悉。

五、附則

本規(guī)定適用于所有涉及網(wǎng)絡(luò)信息安全事件的組織或個(gè)人，具體通報(bào)渠道及時(shí)限可根據(jù)行業(yè)或機(jī)構(gòu)要求調(diào)整。建議定期開(kāi)展培訓(xùn)，提高安全事件通報(bào)能力。

一、概述

網(wǎng)絡(luò)信息安全通報(bào)是指相關(guān)組織或機(jī)構(gòu)在監(jiān)測(cè)、檢測(cè)或發(fā)現(xiàn)網(wǎng)絡(luò)信息安全事件（以下簡(jiǎn)稱“事件”）時(shí)，按照既定的流程和規(guī)范，及時(shí)、準(zhǔn)確、完整地向指定的主管部門、合作方或受影響方報(bào)告事件相關(guān)信息的活動(dòng)。其核心目標(biāo)在于通過(guò)有效的信息共享與協(xié)同，提升整體網(wǎng)絡(luò)安全防護(hù)水平，縮短事件響應(yīng)時(shí)間，降低安全事件可能造成的業(yè)務(wù)中斷、數(shù)據(jù)丟失、聲譽(yù)損害等風(fēng)險(xiǎn)。本規(guī)定的制定旨在為組織內(nèi)的信息通報(bào)行為提供明確的指引，確保在發(fā)生安全事件時(shí)能夠迅速啟動(dòng)通報(bào)機(jī)制，并規(guī)范通報(bào)過(guò)程中的各項(xiàng)要求，構(gòu)建一個(gè)高效、有序的安全事件信息交互體系。

二、通報(bào)內(nèi)容

（一）通報(bào)的基本要素

1.通報(bào)主體：明確報(bào)告事件的組織部門、具體負(fù)責(zé)人或個(gè)人姓名，并提供有效的聯(lián)系方式（如電話、郵箱）。若為匿名報(bào)告，需說(shuō)明報(bào)告來(lái)源渠道（如內(nèi)部系統(tǒng)、第三方平臺(tái)）。

2.事件時(shí)間：精確記錄事件首次發(fā)現(xiàn)或發(fā)生的時(shí)間點(diǎn)（年-月-日時(shí):分:秒），以及事件持續(xù)或更新的關(guān)鍵時(shí)間節(jié)點(diǎn)。如果事件是逐步發(fā)展的，需列出關(guān)鍵階段的時(shí)間點(diǎn)。

3.事件類型：清晰界定事件所屬的類別，例如：

惡意軟件感染（如勒索軟件、病毒、木馬）

網(wǎng)絡(luò)攻擊（如DDoS攻擊、拒絕服務(wù)攻擊、SQL注入、網(wǎng)絡(luò)釣魚）

數(shù)據(jù)泄露（如未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、傳輸或存儲(chǔ)）

系統(tǒng)漏洞（如未及時(shí)修復(fù)的安全漏洞被利用）

配置錯(cuò)誤（如不安全的系統(tǒng)設(shè)置）

人為操作失誤（如誤刪除、誤操作）

物理安全事件（如非法訪問(wèn)數(shù)據(jù)中心）

4.事件影響：詳細(xì)描述事件造成的或可能造成的實(shí)際和潛在影響，包括但不限于：

業(yè)務(wù)影響：是否導(dǎo)致服務(wù)中斷？中斷的范圍和持續(xù)時(shí)間預(yù)估？對(duì)業(yè)務(wù)流程的影響程度？

數(shù)據(jù)影響：是否涉及敏感數(shù)據(jù)（如個(gè)人身份信息、商業(yè)秘密）？數(shù)據(jù)是否被竊取、篡改、刪除或泄露？影響的用戶數(shù)量或數(shù)據(jù)量范圍？

系統(tǒng)影響：哪些系統(tǒng)、網(wǎng)絡(luò)設(shè)備或安全設(shè)備受到影響？是否導(dǎo)致系統(tǒng)崩潰或功能異常？

財(cái)務(wù)影響：預(yù)估可能的經(jīng)濟(jì)損失，包括修復(fù)成本、業(yè)務(wù)損失、賠償費(fèi)用等。

聲譽(yù)影響：對(duì)組織聲譽(yù)可能產(chǎn)生的短期和長(zhǎng)期負(fù)面影響。

5.事件處置措施：報(bào)告當(dāng)前已采取的應(yīng)急響應(yīng)措施，以及這些措施的效果。應(yīng)按時(shí)間順序或重要性列出：

遏制措施：已采取的隔離、阻斷、限制訪問(wèn)等措施（如隔離受感染主機(jī)、封禁惡意IP）。

根除措施：正在進(jìn)行的清除惡意代碼、修復(fù)漏洞、恢復(fù)系統(tǒng)等操作。

恢復(fù)措施：數(shù)據(jù)備份恢復(fù)、系統(tǒng)服務(wù)重啟、業(yè)務(wù)功能恢復(fù)的計(jì)劃和進(jìn)展。

調(diào)查分析：已進(jìn)行或正在進(jìn)行的事件原因分析、攻擊路徑追蹤等。

6.附件材料：提供支持通報(bào)內(nèi)容的具體文件或記錄，例如：

系統(tǒng)日志（服務(wù)器、安全設(shè)備、應(yīng)用日志）

安全監(jiān)控告警截圖

網(wǎng)絡(luò)流量分析報(bào)告

受影響系統(tǒng)或數(shù)據(jù)的快照/備份

事件分析初步報(bào)告

相關(guān)截圖或證據(jù)保全文件

（二）不同類型事件的通報(bào)重點(diǎn)

1.惡意攻擊事件：

攻擊來(lái)源：嘗試確定攻擊者的IP地址、地理位置（模糊化處理）、使用的攻擊工具或技術(shù)特征。

攻擊手段：描述攻擊者采用的攻擊方式（如掃描探測(cè)、漏洞利用、社會(huì)工程學(xué)）。

攻擊目標(biāo)：明確攻擊指向的具體系統(tǒng)、服務(wù)或數(shù)據(jù)。

危害程度：評(píng)估攻擊可能造成的損失大小，是否嘗試獲取關(guān)鍵憑證或核心數(shù)據(jù)。

2.數(shù)據(jù)泄露事件：

泄露類型：明確泄露的是哪類數(shù)據(jù)（如用戶名、密碼、郵箱、身份證信息、財(cái)務(wù)數(shù)據(jù)）。

涉及范圍：統(tǒng)計(jì)受影響的數(shù)據(jù)記錄數(shù)量、涉及的用戶范圍。

泄露途徑：初步判斷數(shù)據(jù)泄露的可能原因或途徑（如配置錯(cuò)誤、應(yīng)用漏洞、內(nèi)部人員操作）。

已采取補(bǔ)救：告知已采取的補(bǔ)救措施，如通知用戶修改密碼、加強(qiáng)訪問(wèn)控制、評(píng)估數(shù)據(jù)泄露范圍等。

3.漏洞事件：

漏洞詳情：提供漏洞名稱（如CVE編號(hào)）、描述、嚴(yán)重性評(píng)級(jí)（如CVSS分?jǐn)?shù)）。

受影響系統(tǒng)：列出存在該漏洞的所有系統(tǒng)、版本、部署環(huán)境。

已采取修復(fù)：說(shuō)明已部署的補(bǔ)丁情況、配置修復(fù)措施或臨時(shí)緩解方案。

風(fēng)險(xiǎn)評(píng)估：評(píng)估該漏洞被利用的風(fēng)險(xiǎn)等級(jí)及潛在影響。

4.其他安全事件：

事件性質(zhì)：清晰描述事件的具體行為或現(xiàn)象（如異常登錄嘗試、權(quán)限提升、配置變更）。

發(fā)生過(guò)程：簡(jiǎn)述事件的發(fā)生、發(fā)現(xiàn)和初步處置過(guò)程。

預(yù)防建議：根據(jù)事件類型，提出初步的預(yù)防措施建議。

三、通報(bào)流程

（一）事件發(fā)現(xiàn)與初步評(píng)估

1.監(jiān)測(cè)與發(fā)現(xiàn)：通過(guò)安全設(shè)備（如防火墻、入侵檢測(cè)/防御系統(tǒng)、日志審計(jì)系統(tǒng)）、安全運(yùn)營(yíng)中心（SOC）監(jiān)控、內(nèi)部員工報(bào)告、第三方安全服務(wù)提供商告警等途徑發(fā)現(xiàn)潛在安全事件。

2.初步確認(rèn)：安全團(tuán)隊(duì)或指定負(fù)責(zé)人對(duì)告警或報(bào)告進(jìn)行初步核實(shí)，確認(rèn)是否為真實(shí)安全事件。判斷事件的真實(shí)性、初步嚴(yán)重性和影響范圍。

3.啟動(dòng)響應(yīng)：確認(rèn)事件后，根據(jù)事件的初步嚴(yán)重性，決定是否啟動(dòng)應(yīng)急響應(yīng)計(jì)劃，并指定事件響應(yīng)小組（如安全運(yùn)營(yíng)、IT運(yùn)維、法務(wù)合規(guī)等）。

4.評(píng)估與分級(jí)：快速評(píng)估事件可能造成的業(yè)務(wù)影響、數(shù)據(jù)影響、安全影響，并根據(jù)內(nèi)部定義的事件嚴(yán)重性分級(jí)標(biāo)準(zhǔn)，對(duì)事件進(jìn)行初步分級(jí)（如低、中、高、緊急）。

（二）信息收集與整理

1.數(shù)據(jù)收集：響應(yīng)團(tuán)隊(duì)按照事件類型和調(diào)查需求，收集相關(guān)日志、數(shù)據(jù)、配置信息等證據(jù)。確保收集過(guò)程符合取證規(guī)范，保留原始數(shù)據(jù)鏈。

2.分析研判：對(duì)收集到的信息進(jìn)行關(guān)聯(lián)分析、溯源分析、影響分析，深入理解事件發(fā)生的原因、過(guò)程、攻擊者特征和潛在影響。

3.編寫通報(bào)初稿：基于評(píng)估結(jié)果和分析結(jié)論，按照“通報(bào)內(nèi)容”部分的要求，開(kāi)始撰寫通報(bào)材料，確保信息要素齊全、描述準(zhǔn)確。

4.內(nèi)部審核：通報(bào)初稿完成后，組織內(nèi)部相關(guān)人員（如部門負(fù)責(zé)人、合規(guī)人員）進(jìn)行審核，確保內(nèi)容無(wú)誤、符合規(guī)定，并評(píng)估對(duì)外通報(bào)的潛在影響。

（三）正式通報(bào)

1.確定通報(bào)對(duì)象與渠道：根據(jù)事件級(jí)別、影響范圍和相關(guān)規(guī)定，確定需要通報(bào)的對(duì)象（如內(nèi)部上級(jí)部門、合作方安全團(tuán)隊(duì)、第三方監(jiān)管或認(rèn)證機(jī)構(gòu)、受影響用戶等）。

2.選擇通報(bào)方式：根據(jù)通報(bào)的緊急程度和對(duì)象要求，選擇合適的通報(bào)方式：

緊急事件：優(yōu)先通過(guò)電話、即時(shí)通訊工具（如安全運(yùn)營(yíng)平臺(tái)、企業(yè)微信）等即時(shí)方式報(bào)告核心信息。

一般事件：通過(guò)內(nèi)部郵件系統(tǒng)、專用安全信息共享平臺(tái)、正式報(bào)告文檔等方式提交。

對(duì)外通報(bào)（如對(duì)用戶）：通過(guò)官方公告頁(yè)面、應(yīng)用內(nèi)通知、郵件通知等方式進(jìn)行。

3.提交通報(bào)：按照確定的渠道和流程，將正式通報(bào)材料提交給指定接收方。確保接收方能夠及時(shí)收到信息。

4.記錄與確認(rèn)：記錄通報(bào)發(fā)送的時(shí)間、對(duì)象、方式，并獲取接收方的確認(rèn)回執(zhí)（如郵件回復(fù)、系統(tǒng)記錄）。

（四）后續(xù)處置

1.保持溝通：通報(bào)發(fā)送后，與接收方保持密切溝通，及時(shí)響應(yīng)對(duì)方的詢問(wèn)，提供補(bǔ)充信息或解釋說(shuō)明。

2.進(jìn)展更新：在事件處置過(guò)程中，根據(jù)需要定期（如每日、每半天）向相關(guān)方更新事件處置進(jìn)展、影響變化、下一步計(jì)劃等。對(duì)于特別緊急的情況，應(yīng)立即更新。

3.完成通報(bào)：事件得到有效控制或處置結(jié)束后，提交最終的事件報(bào)告，總結(jié)事件經(jīng)過(guò)、影響、處置措施、經(jīng)驗(yàn)教訓(xùn)及改進(jìn)建議。

4.內(nèi)部總結(jié)與優(yōu)化：對(duì)整個(gè)通報(bào)流程進(jìn)行復(fù)盤，評(píng)估流程的有效性，識(shí)別不足之處，提出優(yōu)化建議，更新通報(bào)規(guī)定和應(yīng)急預(yù)案，持續(xù)改進(jìn)信息安全事件管理能力。

四、責(zé)任與要求

（一）責(zé)任主體

1.網(wǎng)絡(luò)安全負(fù)責(zé)人/首席信息官（CIO）/首席技術(shù)官（CTO）：對(duì)網(wǎng)絡(luò)信息安全事件的通報(bào)工作負(fù)總責(zé)，批準(zhǔn)通報(bào)策略和流程，協(xié)調(diào)資源，確保通報(bào)工作的有效執(zhí)行。

2.信息安全部門/團(tuán)隊(duì)：作為通報(bào)工作的主要執(zhí)行者，負(fù)責(zé)事件的初步評(píng)估、分析研判、通報(bào)材料的撰寫與審核、以及與外部相關(guān)方的溝通協(xié)調(diào)。

3.IT運(yùn)維部門：提供系統(tǒng)層面的信息支持，協(xié)助收集日志、配置信息，參與事件處置和系統(tǒng)恢復(fù)，確認(rèn)技術(shù)層面的影響和修復(fù)情況。

4.法務(wù)/合規(guī)部門：評(píng)估通報(bào)的法律和合規(guī)風(fēng)險(xiǎn)，提供法律建議，確保通報(bào)內(nèi)容符合相關(guān)法律法規(guī)和監(jiān)管要求（如數(shù)據(jù)保護(hù)規(guī)定），對(duì)敏感信息的披露提供指導(dǎo)。

5.業(yè)務(wù)部門：提供受影響業(yè)務(wù)的具體情況，協(xié)助評(píng)估業(yè)務(wù)影響，配合采取業(yè)務(wù)層面的應(yīng)對(duì)措施。

6.全體員工：有責(zé)任遵守信息安全政策，及時(shí)報(bào)告可疑的安全事件或觀察到的不安全行為。

（二）要求

1.及時(shí)性要求：

對(duì)于不同級(jí)別的事件，設(shè)定明確的通報(bào)時(shí)限要求。例如：

緊急事件（如可能導(dǎo)致重大業(yè)務(wù)中斷、核心數(shù)據(jù)泄露）：應(yīng)在事件確認(rèn)后15分鐘內(nèi)發(fā)起初步通報(bào)。

高級(jí)別事件（如嚴(yán)重系統(tǒng)漏洞被利用、大規(guī)模信息泄露風(fēng)險(xiǎn)）：應(yīng)在事件確認(rèn)后1小時(shí)內(nèi)完成初步通報(bào)。

普通事件（如一般性漏洞、安全告警處置）：應(yīng)在事件確認(rèn)或告警出現(xiàn)后4小時(shí)內(nèi)進(jìn)行內(nèi)部通報(bào)或提交分析報(bào)告。

后續(xù)進(jìn)展通報(bào)應(yīng)遵循“按需及時(shí)”原則，重大進(jìn)展或變化應(yīng)及時(shí)更新。

2.準(zhǔn)確性要求：通報(bào)內(nèi)容必須真實(shí)、準(zhǔn)確，基于已核實(shí)的信息和分析結(jié)果。避免猜測(cè)、臆斷或夸大其詞。對(duì)無(wú)法確定的信息，應(yīng)明確說(shuō)明。

3.完整性要求：通報(bào)應(yīng)包含所有必需的基本要素（參照“通報(bào)內(nèi)容”部分），信息描述應(yīng)全面，足以讓接收方理解事件的概況、影響和處置情況。附件材料應(yīng)齊全、有效。

4.保密性要求：

對(duì)于涉及敏感信息（如具體的攻擊者IP、詳細(xì)的攻擊鏈、未公開(kāi)的漏洞細(xì)節(jié)、受影響的具體用戶數(shù)據(jù)等）的通報(bào)，必須采取脫敏處理（如隱藏部分字符、使用代號(hào)）或僅向具備相應(yīng)權(quán)限和保密義務(wù)的人員或機(jī)構(gòu)通報(bào)。

建立嚴(yán)格的保密協(xié)議，確保接收方對(duì)通報(bào)內(nèi)容保密。

根據(jù)內(nèi)外部通報(bào)對(duì)象的不同，制定差異化的信息披露策略。

5.清晰性要求：通報(bào)語(yǔ)言應(yīng)簡(jiǎn)潔、清晰、專業(yè)，避免使用模糊不清或容易引起歧義的表述。對(duì)于非技術(shù)背景的接收方，應(yīng)盡量采用通俗易懂的語(yǔ)言解釋技術(shù)細(xì)節(jié)。

6.記錄與歸檔要求：所有安全事件的通報(bào)過(guò)程（包括初步報(bào)告、進(jìn)展更新、最終報(bào)告、溝通記錄等）均應(yīng)進(jìn)行詳細(xì)記錄，并按照檔案管理規(guī)定進(jìn)行歸檔保存，以備后續(xù)查證和審計(jì)。

五、附則

本規(guī)定作為組織內(nèi)部網(wǎng)絡(luò)信息安全管理的操作指南，適用于組織內(nèi)部所有與網(wǎng)絡(luò)信息安全相關(guān)的活動(dòng)。各業(yè)務(wù)單元和部門應(yīng)結(jié)合自身特點(diǎn)，制定具體的實(shí)施細(xì)則。建議定期（如每年）對(duì)全體相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息安全通報(bào)規(guī)定和應(yīng)急響應(yīng)流程的培訓(xùn)，確保其理解和掌握。本規(guī)定解釋權(quán)歸組織信息安全管理部門所有。組織可根據(jù)外部環(huán)境變化、技術(shù)發(fā)展及實(shí)際運(yùn)營(yíng)情況，對(duì)本規(guī)定進(jìn)行修訂和完善。

一、概述

網(wǎng)絡(luò)信息安全通報(bào)是指相關(guān)組織或機(jī)構(gòu)在發(fā)現(xiàn)網(wǎng)絡(luò)信息安全事件時(shí)，按照規(guī)定流程及時(shí)向主管部門或其他相關(guān)方報(bào)告事件信息的行為。其目的是通過(guò)信息共享，提高網(wǎng)絡(luò)安全防護(hù)能力，減少安全事件帶來(lái)的損失。本規(guī)定旨在明確通報(bào)的內(nèi)容、流程、責(zé)任及要求，確保網(wǎng)絡(luò)信息安全事件的及時(shí)、準(zhǔn)確處置。

二、通報(bào)內(nèi)容

（一）通報(bào)的基本要素

1.通報(bào)主體：報(bào)告事件的組織或個(gè)人名稱及聯(lián)系方式。

2.事件時(shí)間：事件發(fā)生或發(fā)現(xiàn)的具體時(shí)間。

3.事件類型：如病毒攻擊、數(shù)據(jù)泄露、系統(tǒng)漏洞等。

4.事件影響：受影響的范圍、潛在損失等。

5.事件處置措施：已采取的應(yīng)急措施及效果。

6.附件材料：如日志文件、截圖、分析報(bào)告等。

（二）不同類型事件的通報(bào)重點(diǎn)

1.惡意攻擊事件：通報(bào)攻擊來(lái)源、手段、目標(biāo)及危害程度。

2.數(shù)據(jù)泄露事件：通報(bào)泄露類型、涉及范圍、可能影響及修復(fù)措施。

3.漏洞事件：通報(bào)漏洞名稱、嚴(yán)重性、受影響系統(tǒng)及補(bǔ)丁情況。

4.其他安全事件：通報(bào)事件性質(zhì)、處置進(jìn)展及后續(xù)建議。

三、通報(bào)流程

（一）事件發(fā)現(xiàn)與初步評(píng)估

1.發(fā)現(xiàn)安全事件后，應(yīng)立即啟動(dòng)內(nèi)部應(yīng)急響應(yīng)機(jī)制。

2.快速評(píng)估事件嚴(yán)重性、影響范圍及潛在風(fēng)險(xiǎn)。

3.確定是否需要外部通報(bào)及通報(bào)對(duì)象。

（二）信息收集與整理

1.收集事件相關(guān)日志、證據(jù)及分析結(jié)果。

2.整理通報(bào)材料，確保內(nèi)容準(zhǔn)確、完整。

3.初步判斷事件原因及可能的發(fā)展趨勢(shì)。

（三）正式通報(bào)

1.按照規(guī)定渠道向主管部門或相關(guān)方提交通報(bào)材料。

2.對(duì)于緊急事件，應(yīng)優(yōu)先通過(guò)電話或即時(shí)通訊工具報(bào)告核心信息。

3.通報(bào)后保持溝通，及時(shí)更新處置進(jìn)展。

（四）后續(xù)處置

1.根據(jù)通報(bào)反饋，調(diào)整應(yīng)急措施或補(bǔ)充信息。

2.完成事件處置后，提交完整報(bào)告并總結(jié)經(jīng)驗(yàn)教訓(xùn)。

3.定期回顧通報(bào)流程，優(yōu)化安全事件管理機(jī)制。

四、責(zé)任與要求

（一）責(zé)任主體

1.網(wǎng)絡(luò)安全負(fù)責(zé)人：負(fù)責(zé)統(tǒng)籌通報(bào)工作，確保信息傳遞及時(shí)。

2.技術(shù)團(tuán)隊(duì)：負(fù)責(zé)事件分析、證據(jù)收集及技術(shù)支持。

3.法務(wù)或合規(guī)人員：確保通報(bào)內(nèi)容符合相關(guān)要求，避免法律風(fēng)險(xiǎn)。

（二）要求

1.及時(shí)性：事件發(fā)生后應(yīng)在規(guī)定時(shí)限內(nèi)完成通報(bào)（如2小時(shí)內(nèi)）。

2.準(zhǔn)確性：確保通報(bào)內(nèi)容真實(shí)、無(wú)遺漏。

3.完整性：提供必要的附件材料以支持分析。

4.保密性：涉及敏感信息需采取脫敏處理或僅限授權(quán)人員知悉。

五、附則

本規(guī)定適用于所有涉及網(wǎng)絡(luò)信息安全事件的組織或個(gè)人，具體通報(bào)渠道及時(shí)限可根據(jù)行業(yè)或機(jī)構(gòu)要求調(diào)整。建議定期開(kāi)展培訓(xùn)，提高安全事件通報(bào)能力。

一、概述

網(wǎng)絡(luò)信息安全通報(bào)是指相關(guān)組織或機(jī)構(gòu)在監(jiān)測(cè)、檢測(cè)或發(fā)現(xiàn)網(wǎng)絡(luò)信息安全事件（以下簡(jiǎn)稱“事件”）時(shí)，按照既定的流程和規(guī)范，及時(shí)、準(zhǔn)確、完整地向指定的主管部門、合作方或受影響方報(bào)告事件相關(guān)信息的活動(dòng)。其核心目標(biāo)在于通過(guò)有效的信息共享與協(xié)同，提升整體網(wǎng)絡(luò)安全防護(hù)水平，縮短事件響應(yīng)時(shí)間，降低安全事件可能造成的業(yè)務(wù)中斷、數(shù)據(jù)丟失、聲譽(yù)損害等風(fēng)險(xiǎn)。本規(guī)定的制定旨在為組織內(nèi)的信息通報(bào)行為提供明確的指引，確保在發(fā)生安全事件時(shí)能夠迅速啟動(dòng)通報(bào)機(jī)制，并規(guī)范通報(bào)過(guò)程中的各項(xiàng)要求，構(gòu)建一個(gè)高效、有序的安全事件信息交互體系。

二、通報(bào)內(nèi)容

（一）通報(bào)的基本要素

1.通報(bào)主體：明確報(bào)告事件的組織部門、具體負(fù)責(zé)人或個(gè)人姓名，并提供有效的聯(lián)系方式（如電話、郵箱）。若為匿名報(bào)告，需說(shuō)明報(bào)告來(lái)源渠道（如內(nèi)部系統(tǒng)、第三方平臺(tái)）。

2.事件時(shí)間：精確記錄事件首次發(fā)現(xiàn)或發(fā)生的時(shí)間點(diǎn)（年-月-日時(shí):分:秒），以及事件持續(xù)或更新的關(guān)鍵時(shí)間節(jié)點(diǎn)。如果事件是逐步發(fā)展的，需列出關(guān)鍵階段的時(shí)間點(diǎn)。

3.事件類型：清晰界定事件所屬的類別，例如：

惡意軟件感染（如勒索軟件、病毒、木馬）

網(wǎng)絡(luò)攻擊（如DDoS攻擊、拒絕服務(wù)攻擊、SQL注入、網(wǎng)絡(luò)釣魚）

數(shù)據(jù)泄露（如未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、傳輸或存儲(chǔ)）

系統(tǒng)漏洞（如未及時(shí)修復(fù)的安全漏洞被利用）

配置錯(cuò)誤（如不安全的系統(tǒng)設(shè)置）

人為操作失誤（如誤刪除、誤操作）

物理安全事件（如非法訪問(wèn)數(shù)據(jù)中心）

4.事件影響：詳細(xì)描述事件造成的或可能造成的實(shí)際和潛在影響，包括但不限于：

業(yè)務(wù)影響：是否導(dǎo)致服務(wù)中斷？中斷的范圍和持續(xù)時(shí)間預(yù)估？對(duì)業(yè)務(wù)流程的影響程度？

數(shù)據(jù)影響：是否涉及敏感數(shù)據(jù)（如個(gè)人身份信息、商業(yè)秘密）？數(shù)據(jù)是否被竊取、篡改、刪除或泄露？影響的用戶數(shù)量或數(shù)據(jù)量范圍？

系統(tǒng)影響：哪些系統(tǒng)、網(wǎng)絡(luò)設(shè)備或安全設(shè)備受到影響？是否導(dǎo)致系統(tǒng)崩潰或功能異常？

財(cái)務(wù)影響：預(yù)估可能的經(jīng)濟(jì)損失，包括修復(fù)成本、業(yè)務(wù)損失、賠償費(fèi)用等。

聲譽(yù)影響：對(duì)組織聲譽(yù)可能產(chǎn)生的短期和長(zhǎng)期負(fù)面影響。

5.事件處置措施：報(bào)告當(dāng)前已采取的應(yīng)急響應(yīng)措施，以及這些措施的效果。應(yīng)按時(shí)間順序或重要性列出：

遏制措施：已采取的隔離、阻斷、限制訪問(wèn)等措施（如隔離受感染主機(jī)、封禁惡意IP）。

根除措施：正在進(jìn)行的清除惡意代碼、修復(fù)漏洞、恢復(fù)系統(tǒng)等操作。

恢復(fù)措施：數(shù)據(jù)備份恢復(fù)、系統(tǒng)服務(wù)重啟、業(yè)務(wù)功能恢復(fù)的計(jì)劃和進(jìn)展。

調(diào)查分析：已進(jìn)行或正在進(jìn)行的事件原因分析、攻擊路徑追蹤等。

6.附件材料：提供支持通報(bào)內(nèi)容的具體文件或記錄，例如：

系統(tǒng)日志（服務(wù)器、安全設(shè)備、應(yīng)用日志）

安全監(jiān)控告警截圖

網(wǎng)絡(luò)流量分析報(bào)告

受影響系統(tǒng)或數(shù)據(jù)的快照/備份

事件分析初步報(bào)告

相關(guān)截圖或證據(jù)保全文件

（二）不同類型事件的通報(bào)重點(diǎn)

1.惡意攻擊事件：

攻擊來(lái)源：嘗試確定攻擊者的IP地址、地理位置（模糊化處理）、使用的攻擊工具或技術(shù)特征。

攻擊手段：描述攻擊者采用的攻擊方式（如掃描探測(cè)、漏洞利用、社會(huì)工程學(xué)）。

攻擊目標(biāo)：明確攻擊指向的具體系統(tǒng)、服務(wù)或數(shù)據(jù)。

危害程度：評(píng)估攻擊可能造成的損失大小，是否嘗試獲取關(guān)鍵憑證或核心數(shù)據(jù)。

2.數(shù)據(jù)泄露事件：

泄露類型：明確泄露的是哪類數(shù)據(jù)（如用戶名、密碼、郵箱、身份證信息、財(cái)務(wù)數(shù)據(jù)）。

涉及范圍：統(tǒng)計(jì)受影響的數(shù)據(jù)記錄數(shù)量、涉及的用戶范圍。

泄露途徑：初步判斷數(shù)據(jù)泄露的可能原因或途徑（如配置錯(cuò)誤、應(yīng)用漏洞、內(nèi)部人員操作）。

已采取補(bǔ)救：告知已采取的補(bǔ)救措施，如通知用戶修改密碼、加強(qiáng)訪問(wèn)控制、評(píng)估數(shù)據(jù)泄露范圍等。

3.漏洞事件：

漏洞詳情：提供漏洞名稱（如CVE編號(hào)）、描述、嚴(yán)重性評(píng)級(jí)（如CVSS分?jǐn)?shù)）。

受影響系統(tǒng)：列出存在該漏洞的所有系統(tǒng)、版本、部署環(huán)境。

已采取修復(fù)：說(shuō)明已部署的補(bǔ)丁情況、配置修復(fù)措施或臨時(shí)緩解方案。

風(fēng)險(xiǎn)評(píng)估：評(píng)估該漏洞被利用的風(fēng)險(xiǎn)等級(jí)及潛在影響。

4.其他安全事件：

事件性質(zhì)：清晰描述事件的具體行為或現(xiàn)象（如異常登錄嘗試、權(quán)限提升、配置變更）。

發(fā)生過(guò)程：簡(jiǎn)述事件的發(fā)生、發(fā)現(xiàn)和初步處置過(guò)程。

預(yù)防建議：根據(jù)事件類型，提出初步的預(yù)防措施建議。

三、通報(bào)流程

（一）事件發(fā)現(xiàn)與初步評(píng)估

1.監(jiān)測(cè)與發(fā)現(xiàn)：通過(guò)安全設(shè)備（如防火墻、入侵檢測(cè)/防御系統(tǒng)、日志審計(jì)系統(tǒng)）、安全運(yùn)營(yíng)中心（SOC）監(jiān)控、內(nèi)部員工報(bào)告、第三方安全服務(wù)提供商告警等途徑發(fā)現(xiàn)潛在安全事件。

2.初步確認(rèn)：安全團(tuán)隊(duì)或指定負(fù)責(zé)人對(duì)告警或報(bào)告進(jìn)行初步核實(shí)，確認(rèn)是否為真實(shí)安全事件。判斷事件的真實(shí)性、初步嚴(yán)重性和影響范圍。

3.啟動(dòng)響應(yīng)：確認(rèn)事件后，根據(jù)事件的初步嚴(yán)重性，決定是否啟動(dòng)應(yīng)急響應(yīng)計(jì)劃，并指定事件響應(yīng)小組（如安全運(yùn)營(yíng)、IT運(yùn)維、法務(wù)合規(guī)等）。

4.評(píng)估與分級(jí)：快速評(píng)估事件可能造成的業(yè)務(wù)影響、數(shù)據(jù)影響、安全影響，并根據(jù)內(nèi)部定義的事件嚴(yán)重性分級(jí)標(biāo)準(zhǔn)，對(duì)事件進(jìn)行初步分級(jí)（如低、中、高、緊急）。

（二）信息收集與整理

1.數(shù)據(jù)收集：響應(yīng)團(tuán)隊(duì)按照事件類型和調(diào)查需求，收集相關(guān)日志、數(shù)據(jù)、配置信息等證據(jù)。確保收集過(guò)程符合取證規(guī)范，保留原始數(shù)據(jù)鏈。

2.分析研判：對(duì)收集到的信息進(jìn)行關(guān)聯(lián)分析、溯源分析、影響分析，深入理解事件發(fā)生的原因、過(guò)程、攻擊者特征和潛在影響。

3.編寫通報(bào)初稿：基于評(píng)估結(jié)果和分析結(jié)論，按照“通報(bào)內(nèi)容”部分的要求，開(kāi)始撰寫通報(bào)材料，確保信息要素齊全、描述準(zhǔn)確。

4.內(nèi)部審核：通報(bào)初稿完成后，組織內(nèi)部相關(guān)人員（如部門負(fù)責(zé)人、合規(guī)人員）進(jìn)行審核，確保內(nèi)容無(wú)誤、符合規(guī)定，并評(píng)估對(duì)外通報(bào)的潛在影響。

（三）正式通報(bào)

1.確定通報(bào)對(duì)象與渠道：根據(jù)事件級(jí)別、影響范圍和相關(guān)規(guī)定，確定需要通報(bào)的對(duì)象（如內(nèi)部上級(jí)部門、合作方安全團(tuán)隊(duì)、第三方監(jiān)管或認(rèn)證機(jī)構(gòu)、受影響用戶等）。

2.選擇通報(bào)方式：根據(jù)通報(bào)的緊急程度和對(duì)象要求，選擇合適的通報(bào)方式：

緊急事件：優(yōu)先通過(guò)電話、即時(shí)通訊工具（如安全運(yùn)營(yíng)平臺(tái)、企業(yè)微信）等即時(shí)方式報(bào)告核心信息。

一般事件：通過(guò)內(nèi)部郵件系統(tǒng)、專用安全信息共享平臺(tái)、正式報(bào)告文檔等方式提交。

對(duì)外通報(bào)（如對(duì)用戶）：通過(guò)官方公告頁(yè)面、應(yīng)用內(nèi)通知、郵件通知等方式進(jìn)行。

3.提交通報(bào)：按照確定的渠道和流程，將正式通報(bào)材料提交給指定接收方。確保接收方能夠及時(shí)收到信息。

4.記錄與確認(rèn)：記錄通報(bào)發(fā)送的時(shí)間、對(duì)象、方式，并獲取接收方的確認(rèn)回執(zhí)（如郵件回復(fù)、系統(tǒng)記錄）。

（四）后續(xù)處置

1.保持溝通：通報(bào)發(fā)送后，與接收方保持密切溝通，及時(shí)響應(yīng)對(duì)方的詢問(wèn)，提供補(bǔ)充信息或解釋說(shuō)明。

2.進(jìn)展更新：在事件處置過(guò)程中，根據(jù)需要定期（如每日、每半天）向相關(guān)方更新事件處置進(jìn)展、影響變化、下一步計(jì)劃等。對(duì)于特別緊急的情況，應(yīng)立即更新。

3.完成通報(bào)：事件得到有效控制或處置結(jié)束后，提交最終的事件報(bào)告，總結(jié)事件經(jīng)過(guò)、影響、處置措施、經(jīng)驗(yàn)教訓(xùn)及改進(jìn)建議。

4.內(nèi)部總結(jié)與優(yōu)化：對(duì)整個(gè)通報(bào)流程進(jìn)行復(fù)盤，評(píng)估流程的有效性，識(shí)別不足之處，提出優(yōu)化建議，更新通報(bào)規(guī)定和應(yīng)急預(yù)案，持續(xù)改進(jìn)信息安全事件管理能力。

四、責(zé)任與要求

（一）責(zé)任主體

1.網(wǎng)絡(luò)安全負(fù)責(zé)人/首席信息官（CIO）/首席技術(shù)官（CTO）：對(duì)網(wǎng)絡(luò)信息安全事件的通報(bào)工作負(fù)總責(zé)，批準(zhǔn)通報(bào)策略和流程，協(xié)調(diào)資源，確保通報(bào)工作的有效執(zhí)行。

2.信息安全部門/團(tuán)隊(duì)：作為通報(bào)工作的主要執(zhí)行者，負(fù)責(zé)事件的初步評(píng)估、分析研判、通報(bào)材料的撰寫與審核、以及與外部相關(guān)方的溝通協(xié)調(diào)。

3.IT運(yùn)維部門：提供系統(tǒng)層面的信息支持，協(xié)助收集日志、配置信息，參與事件處置和系統(tǒng)