ICS35.020

70

CCSLDB3212

泰州市地方標(biāo)準(zhǔn)

DB3212/T1176—2025

公共數(shù)據(jù)安全事件應(yīng)急管理規(guī)范

Emergencymanagementspecificationforpublicdatasecurityincidents

2025-01-07發(fā)布2025-02-07實施

泰州市市場監(jiān)督管理局發(fā)布

DB3212/T1176—2025

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)

定起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由泰州市數(shù)據(jù)局提出、歸口并組織實施、監(jiān)督。

本文件由泰州市數(shù)據(jù)局負(fù)責(zé)具體技術(shù)內(nèi)容的解釋。

本文件起草單位：泰州市數(shù)據(jù)局、泰州市數(shù)據(jù)產(chǎn)業(yè)集團(tuán)、泰州市標(biāo)準(zhǔn)化院。

本文件主要起草人：許鑫、劉小芳、孫慧、翟敏、陳春陽、陶然、梁鑫晨、顧雅麗、張婧嫻、吳薇、

陳藍(lán)生、郭健、李海鵬、王友成。

I

DB3212/T1176—2025

公共數(shù)據(jù)安全事件應(yīng)急管理規(guī)范

1范圍

本文件規(guī)定了公共數(shù)據(jù)安全事件應(yīng)急管理的職責(zé)權(quán)限、事件分類、數(shù)據(jù)分級、預(yù)警預(yù)測與報告、應(yīng)

急處置、應(yīng)急演練等內(nèi)容。

本文件適用于泰州市內(nèi)數(shù)據(jù)安全事件應(yīng)急處置工作，文件中所指的事件僅限于數(shù)據(jù)安全事件，包括

數(shù)據(jù)泄露、數(shù)據(jù)刪除、數(shù)據(jù)竊取、數(shù)據(jù)濫用等。網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等安全事件的處置遵照《信息系統(tǒng)應(yīng)

急響應(yīng)流程與預(yù)案》執(zhí)行。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

數(shù)據(jù)安全事件datasecurityincidents

數(shù)據(jù)遭篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)

益造成危害的事件。

3.2

數(shù)據(jù)安全風(fēng)險datasecurityrisks

發(fā)生數(shù)據(jù)安全事件的可能或跡象，是一種前瞻性的預(yù)判，預(yù)判的事件并未發(fā)生。

3.3

輿情publicsentiment

公眾對現(xiàn)實生活和互聯(lián)網(wǎng)上某些熱點(diǎn)、焦點(diǎn)問題所持的有較強(qiáng)影響力、傾向性的言論和觀點(diǎn)，包

括正面和負(fù)面的，本規(guī)范重點(diǎn)關(guān)注互聯(lián)網(wǎng)輿情涉及敏感數(shù)據(jù)泄漏（如個人隱私信息等）數(shù)據(jù)安全事件。

3.4

形式評審formalreview

依據(jù)有關(guān)規(guī)范，對應(yīng)急預(yù)案的層次結(jié)構(gòu)、內(nèi)容格式、語言文字、附件項目以及編制程序等內(nèi)容進(jìn)行

審查，重點(diǎn)審查應(yīng)急預(yù)案的規(guī)范性和編制程序。

3.5

要素評審elementreview

依據(jù)國家有關(guān)法律法規(guī)和行業(yè)規(guī)章，從合法性、完整性、針對性、實用性、科學(xué)性、操作性和銜接

性等方面對應(yīng)急預(yù)案進(jìn)行評審。為細(xì)化評審，采用列表方式分別對應(yīng)急預(yù)案的要素進(jìn)行評審。評審時，

將應(yīng)急預(yù)案的要素內(nèi)容與評審表中所列要素的內(nèi)容進(jìn)行對照，判斷是否符合有關(guān)要求，指出存在問題及

不足。

3.6

關(guān)鍵要素keyelements

應(yīng)急預(yù)案構(gòu)成要素中必須規(guī)范的內(nèi)容。包括危險源辨識與風(fēng)險分析、組織機(jī)構(gòu)及職責(zé)、信息報告與

處置和應(yīng)急響應(yīng)程序與處置技術(shù)等要素。關(guān)鍵要素必須符合實際和有關(guān)規(guī)定要求。

3.7

1

DB3212/T1176—2025

一般要素generalelements

應(yīng)急預(yù)案構(gòu)成要素中可簡寫或省略的內(nèi)容。包括應(yīng)急預(yù)案中的編制目的、編制依據(jù)、適用范圍、工

作原則等要素。

4職責(zé)權(quán)限

4.1當(dāng)事人/系統(tǒng)監(jiān)控

如實還原事件發(fā)生時的具體情況，配合對事件進(jìn)行緊急修復(fù)處理。

4.2當(dāng)事人部門負(fù)責(zé)人

對歸屬于自己團(tuán)隊的安全事件的真實性和詳細(xì)內(nèi)容進(jìn)行確認(rèn)，并評估影響和嚴(yán)重級別，并給出處置

意見和建議。

4.3數(shù)據(jù)安全事件管理崗

4.3.1制定數(shù)據(jù)安全事件應(yīng)急管理規(guī)范。

4.3.2開展數(shù)據(jù)安全事件分析、響應(yīng)、應(yīng)急處置等工作。

4.3.3安全事件的跟進(jìn)和處理工作。

4.3.4開展應(yīng)急演練工作。

4.3.5對安全事件的真實性和詳細(xì)內(nèi)容進(jìn)行確認(rèn)，快速定位當(dāng)事人及責(zé)任部門，評估影響及嚴(yán)重程度，

全程跟進(jìn)事件的處理過程。

4.4責(zé)任人/處置人

對已發(fā)生的事件進(jìn)行處置或消除風(fēng)險。

4.5數(shù)據(jù)安全管理小組

4.5.1對組織的重大數(shù)據(jù)安全事件進(jìn)行協(xié)調(diào)和決策。

4.5.2收集和響應(yīng)數(shù)據(jù)安全事件，對事件的真實性和詳細(xì)內(nèi)容進(jìn)行確認(rèn)，快速定位當(dāng)事人及責(zé)任部門

并評估影響及嚴(yán)重級別。

4.5.3跟進(jìn)事件處置過程，對事件發(fā)生的原因進(jìn)行調(diào)查。

4.6人事部門

協(xié)助數(shù)據(jù)安全管理部門跟進(jìn)事件處理過程，對涉及員工處罰的給出處置意見和建議。

5事件分類

5.1數(shù)據(jù)泄露

5.1.1數(shù)據(jù)被違規(guī)傳輸或共享到互聯(lián)網(wǎng)，移動硬盤、網(wǎng)盤等非規(guī)定的環(huán)境或介質(zhì)。

5.1.2數(shù)據(jù)和信息被違規(guī)發(fā)給不相關(guān)或不應(yīng)有權(quán)限查看的內(nèi)、外部人員。

5.2數(shù)據(jù)刪除

5.2.1需要持久化的數(shù)據(jù)從數(shù)據(jù)庫被刪除和被格式化。

5.2.2需要持久化的數(shù)據(jù)從存儲介質(zhì)上被刪除和被格式化。

5.3數(shù)據(jù)竊取

5.3.1通過非正常手段違規(guī)獲取數(shù)據(jù)庫和其他存儲介質(zhì)上的數(shù)據(jù)。

5.3.2越權(quán)訪問、非法入侵和攻擊網(wǎng)絡(luò)和數(shù)據(jù)庫等。

5.4數(shù)據(jù)濫用

5.4.1在擁有權(quán)限但沒有合理工作場景下隨意查詢、下載和共享數(shù)據(jù)。

5.4.2違規(guī)查詢個人隱私信息、敏感數(shù)據(jù)等。

2

DB3212/T1176—2025

6數(shù)據(jù)分級

6.1分級原則

6.1.1升級原則

當(dāng)處理某具體個案的事件時，如果未及時應(yīng)對或在處理過程中出現(xiàn)風(fēng)險泛化和蔓延，事件定級直接

升一級，直至P0（特級事件）為止。

6.1.2就高原則

當(dāng)事件等級指標(biāo)有所交叉或難以判斷級別時，應(yīng)按照較高一級事件處理。

6.2分級方法

6.2.1概述

數(shù)據(jù)安全事件按照事件影響對象的重要程度、業(yè)務(wù)損失的嚴(yán)重程度和社會危害的嚴(yán)重程度三個要素

進(jìn)行分級。事件影響對象主要包括信息系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)等。

6.2.2事件影響對象的重要程度

按GB/T22240描述的網(wǎng)絡(luò)安全等級保護(hù)定級方法，事件影響對象的重要程度根據(jù)國家安全、社會

秩序、經(jīng)濟(jì)建設(shè)和公眾利益以及業(yè)務(wù)對事件影響對象的依賴程度進(jìn)行評估，分為3個等級：特別重要、

重要和一般，具體如下：

a)特別重要：受到破壞后，對國家安全造成危害，或?qū)ι鐣刃颉⒔?jīng)濟(jì)建設(shè)和公共利益造成嚴(yán)重

危害或特別嚴(yán)重危害；

b)重要：受到破壞后，對社會秩序，經(jīng)濟(jì)建設(shè)和公共利益造成危害，或?qū)ο嚓P(guān)公民，法人和其他

組織的合法權(quán)益造成嚴(yán)重或特別嚴(yán)重?fù)p害，但不危害國家安全；

c)一般：指受到破壞后，對相關(guān)公民、法人和其他組織的合法權(quán)益造成一般損害，但不危害國家

安全、社會秩序、經(jīng)濟(jì)建設(shè)和公共利益。

6.2.3業(yè)務(wù)損失的嚴(yán)重程度

業(yè)務(wù)損失的嚴(yán)重程度由網(wǎng)絡(luò)的硬件/軟件、功能和數(shù)據(jù)的損壞導(dǎo)致業(yè)務(wù)中斷影響的嚴(yán)重程度進(jìn)行評

估，其大小可取決于恢復(fù)業(yè)務(wù)正常運(yùn)行和消除數(shù)據(jù)安全事件負(fù)面影響所需付出的代價，分為4個級別：

特別嚴(yán)重、嚴(yán)重、較大和較小，具體如下：

a)特別嚴(yán)重：造成網(wǎng)絡(luò)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或重要數(shù)據(jù)/敏感個人信息遭到嚴(yán)

重破壞，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價十分巨大，對于事發(fā)組織

是不可承受的；

b)嚴(yán)重：造成網(wǎng)絡(luò)長時間中斷或局部業(yè)務(wù)癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或重要數(shù)據(jù)/

敏感個人信息遭到破壞，恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價巨大，但

對于事發(fā)組織是可承受的；

c)較大：造成網(wǎng)絡(luò)中斷，導(dǎo)致業(yè)務(wù)處理能力受到較大影響，或數(shù)據(jù)/個人信息受到損害，恢復(fù)業(yè)

務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；

d)較?。涸斐删W(wǎng)絡(luò)短暫中斷，導(dǎo)致業(yè)務(wù)處理能力受到一定影響，或數(shù)據(jù)/敏感個人信息受到影響，

恢復(fù)業(yè)務(wù)正常運(yùn)行和消除安全事件負(fù)面影響所需付出的代價較小。

6.2.4社會危害的嚴(yán)重程度

社會危害的嚴(yán)重程度根據(jù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益等方面的危害程度進(jìn)行評估，

分為4個級別：特別重大、重大、較大和一般，具體如下：

a)特別重大：波及一個或多個省市的大部分地區(qū)，危害到國家安全，引起社會動蕩，對經(jīng)濟(jì)建設(shè)

有極其惡劣的負(fù)面影響，或者特別嚴(yán)重?fù)p害公眾利益；

b)重大：波及一個或多個地市的大部分地區(qū)，影響到國家安全，引起社會恐慌，對經(jīng)濟(jì)建設(shè)有惡

劣的負(fù)面影響，或者嚴(yán)重?fù)p害公眾利益；

3

DB3212/T1176—2025

c)較大：波及一個或多個地市的部分地區(qū)，不影響國家安全，但是擾亂社會秩序，對經(jīng)濟(jì)建設(shè)或

者公眾利益造成一般損害，對相關(guān)公民、法人或其他組織的利益會造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p

害；

d)一般：波及一個地市的部分地區(qū)，不影響國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益，但是對

相關(guān)公民、法人或其他組織的利益會造成一般損害。

6.3事件分級

6.3.1特級事件（P0）

特級事件發(fā)生在特別重要的事件影響對象上，并且：

a)導(dǎo)致特別嚴(yán)重的業(yè)務(wù)損失，或

b)造成特別重大的社會危害。

6.3.2重大事件（P1）

重大事件發(fā)生在特別重要或重要的事件影響對象上，并且：

a)導(dǎo)致特別重要的事件影響對象遭受嚴(yán)重的業(yè)務(wù)損失或?qū)е轮匾氖录绊憣ο笤馐芴貏e嚴(yán)重

的業(yè)務(wù)損失，或

b)造成重大的社會危害。

6.3.3較大事件（P2）

較大事件發(fā)生在特別重要或重要或一般的事件影響對象上，并且：

a)導(dǎo)致特別重要的事件影響對象遭受較大或較小的業(yè)務(wù)損失，或重要的事件影響對象遭受嚴(yán)重或

較大的業(yè)務(wù)損失，或?qū)е乱话愕氖录绊憣ο笤馐茌^大（含）以上級別的業(yè)務(wù)損失，或

b)造成較大的社會危害。

6.3.4一般事件（P3）

一般事件發(fā)生在重要或一般的事件影響對象上，并且：

a)導(dǎo)致較小的業(yè)務(wù)損失，或

b)造成一般的社會危害。

7預(yù)警預(yù)測與報告

7.1應(yīng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報工作。

7.2當(dāng)事人/系統(tǒng)監(jiān)控認(rèn)為可能發(fā)生重大及以上數(shù)據(jù)安全事件的，應(yīng)當(dāng)立即上報數(shù)據(jù)安全機(jī)制。當(dāng)事人

部門負(fù)責(zé)人認(rèn)為可能發(fā)生較大及以上數(shù)據(jù)安全事件的，應(yīng)立即向地方行業(yè)監(jiān)管部門報告。

7.3應(yīng)統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。

7.4應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機(jī)制。

7.5應(yīng)制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，并定期組織演練。

8應(yīng)急處置

8.1應(yīng)急響應(yīng)

8.1.1當(dāng)事人/系統(tǒng)監(jiān)控在發(fā)現(xiàn)事件后按照“電話20分鐘、書面40分鐘”的要求將事件情況向數(shù)據(jù)安

全管理崗報告；

8.1.2數(shù)據(jù)安全管理崗視情設(shè)立應(yīng)急恢復(fù)、事件溯源、影響評估、信息發(fā)布、跨部門協(xié)調(diào)等工作組；

數(shù)據(jù)安全管理崗視事件嚴(yán)重程度評估是否開展現(xiàn)場檢查、是否向地方行業(yè)主管部門匯報，聯(lián)合處置。

8.1.3初步研判為特級事件、重大事件的，應(yīng)當(dāng)在發(fā)現(xiàn)事件后按照“電話10分鐘、書面30分鐘”的

要求向數(shù)據(jù)安全管理部門報告。

8.2具體流程

數(shù)據(jù)安全事件應(yīng)急處置工作涉及多個角色，重大事件處置流程如圖1所示：

4

DB3212/T1176—2025

數(shù)據(jù)安全事件應(yīng)急處置流程

當(dāng)事人/系統(tǒng)監(jiān)控當(dāng)事人部門負(fù)責(zé)人數(shù)據(jù)安全事件管理崗責(zé)任人/處置人數(shù)據(jù)安全管理小組人事部門

開

開始

進(jìn)入其他級別

事件處理程序

發(fā)現(xiàn)數(shù)據(jù)是否

安全事件

否

是否是重大

向部門主管安全事件

上報

是

上報數(shù)據(jù)安全

事件管理崗

討論和確認(rèn)應(yīng)事件修復(fù)實時跟蹤發(fā)

急處理措施

/止損布信息

備份現(xiàn)場記錄

安全處理措施

否是

事件是否處

理完畢

否

采取改進(jìn)的技是否需要進(jìn)行法

術(shù)和管理措施律訴訟程序

是

提交安全處理保存證據(jù)報告

報告執(zhí)法部門

調(diào)查事件原因

否

是否屬于當(dāng)事人

違規(guī)導(dǎo)致

是

提出處罰提案

形成調(diào)查報告

上報數(shù)據(jù)安全

事件管理部門

結(jié)束給予處罰和

公告

圖1重大數(shù)據(jù)安全事件應(yīng)急處置流程

8.3復(fù)盤

5

DB3212/T1176—2025

8.3.1復(fù)盤總結(jié)

8.3.1.1數(shù)據(jù)安全事件管理部門負(fù)責(zé)專人全程跟進(jìn)事件的處理過程，保證事件及時有效處理。

8.3.1.2緊急修復(fù)止損和查到原因后，組織相關(guān)人員進(jìn)行復(fù)盤和總結(jié)。

8.3.1.3復(fù)盤及報告內(nèi)容包括但不限于發(fā)現(xiàn)人、發(fā)現(xiàn)途徑、事件內(nèi)容概述、事件處理經(jīng)過、當(dāng)事人、

當(dāng)事人所屬部門、受影響業(yè)務(wù)/部門、數(shù)據(jù)敏感級別、已造成的影響、事件嚴(yán)重級別、導(dǎo)致事件原因、

緊急修復(fù)措施、預(yù)防措施、總結(jié)和反思。

8.3.2處置和通報

數(shù)據(jù)安全管理人員和人事負(fù)責(zé)人介入調(diào)查，確定為違規(guī)的，由數(shù)據(jù)安全事件管理部門提出處罰提

案，經(jīng)當(dāng)事人所屬部門負(fù)責(zé)人確認(rèn)后，進(jìn)行處罰和公告。

8.3.3備案和歸檔

8.3.3.1在應(yīng)急工作結(jié)束后5個工作日內(nèi)形成總結(jié)報告，報地方行業(yè)監(jiān)管部門。地方行業(yè)監(jiān)管部門匯

總審核后，在應(yīng)急工作結(jié)束后10個工作日內(nèi)形成報告報送數(shù)據(jù)安全事件管理部門。

8.3.3.2數(shù)據(jù)安全事件管理部門對事件報告及處置結(jié)果報告等進(jìn)行歸檔，方便后續(xù)回溯和查閱。

8.4應(yīng)急預(yù)案

8.4.1基本要求

8.4.2應(yīng)結(jié)合數(shù)據(jù)安全事件的實際情況，組織和人員的職責(zé)分工明確，并有具體的落實措施。

8.4.3有明確、具體的事故預(yù)防措施和應(yīng)急程序，并與其應(yīng)急能力相適應(yīng)。

8.4.4有明確的應(yīng)急保障措施，并能滿足數(shù)據(jù)局的應(yīng)急工作要求。

8.4.5預(yù)案基本要素齊全、完整，預(yù)案附件提供的信息準(zhǔn)確。

8.4.6預(yù)案內(nèi)容與相關(guān)應(yīng)急預(yù)案相互銜接。

8.4.7編制內(nèi)容

8.4.7.1應(yīng)包括應(yīng)急組織機(jī)構(gòu)人員的聯(lián)系方式、應(yīng)急物資裝備清單等記錄信息。

8.4.7.2記錄信息應(yīng)當(dāng)經(jīng)常更新，確保信息準(zhǔn)確有效。

8.5評審要求

8.5.1評審采取形式評審和要素評審