DB3212T 1176—2025公共数据安全事件应急管理规范.docx

ICS35.020CCSL70DB3212泰州市地方标准DB3212/T11762025公共数据安全事件应急管理规范EmergencymanagementspecificationforpubIicdatasecurityincidents2025-02-07实施2025-01-07发布泰州市市场监督管理局发布本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由泰州市数据局提出、归口并组织实施、监督。本文件由泰州市数据局负责具体技术内容的解释。本文件起草单位：泰州市数据局、泰州市数据产业集团、泰州市标准化院。本文件主要起草人：许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、张靖娴、吴薇、陈蓝生、郭健、李海鹏、王友成。公共数据安全事件应急管理规范1范围本文件规定了公共数据安全事件应急管理的职责权限、事件分类、数据分级、预警预测与报告、应急处置、应急演练等内容。本文件适用于泰州市内数据安全事件应急处置工作，文件中所指的事件仅限于数据安全事件，包括数据泄露、数据删除、数据窃取、数据滥用等。网络、系统和应用等安全事件的处置遵照信息系统应急响应流程与预案执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22240信息安全技术网络安全等级保护定级指南3术语和定义下列术语和定义适用于本文件。3. 1数据安全事件datasecurityincidents数据遭篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成危害的事件。4. 2数据安全风险datasecurityrisks发生数据安全事件的可能或迹象，是一种前瞻性的预判，预判的事件并未发生。5. 3舆情pubIicsentiment公众对现实生活和互联网上某些热点、焦点问题所持的有较强影响力、倾向性的言论和观点，包括正面和负面的，本规范重点关注互联网舆情涉及敏感数据泄漏（如个人隐私信息等）数据安全事件。3.4形式评审formaIreview依据有关规范，对应急预案的层次结构、内容格式、语言文字、附件项目以及编制程序等内容进行审查，重点审查应急预案的规范性和编制程序。6. 5要素评审eIementreview依据国家有关法律法规和行业规章，从合法性、完整性、针对性、实用性、科学性、操作性和衔接性等方面对应急预案进行评审。为细化评审，采用列表方式分别对应急预案的要素进行评审。评审时，将应急预案的要素内容与评审表中所列要素的内容进行对照，判断是否符合有关要求，指出存在问题及不足。7. 6关键要素keyelements应急预案构成要素中必须规范的内容。包括危险源辨识与风险分析、组织机构及职责、信息报告与处置和应急响应程序与处置技术等要素。关键要素必须符合实际和有关规定要求。8. 7一般要素generaIelements应急预案构成要素中可简写或省略的内容。包括应急预案中的编制目的、编制依据、适用范围、工作原则等要素。4职责权限9. 1当事人/系统监控如实还原事件发生时的具体情况，配合对事件进行紧急修复处理。9.2 当事人部门负责人对归属于自己团队的安全事件的真实性和详细内容进行确认，并评估影响和严重级别，并给出处置意见和建议。9.3 数据安全事件管理岗4.3.1制定数据安全事件应急管理规范。4.3.2开展数据安全事件分析、响应、应急处置等工作。1.1.1 3.3安全事件的跟进和处理工作。1.1.4 开展应急演练工作。1.1.5 对安全事件的真实性和详细内容进行确认，快速定位当事人及责任部门，评估影响及严重程度，全程跟进事件的处理过程。4.4 责任人/处置人对已发生的事件进行处置或消除风险。4.5 数据安全管理小组4. 5.1对组织的重大数据安全事件进行协调和决策。4.2.2 收集和响应数据安全事件，对事件的真实性和详细内容进行确认，快速定位当事人及责任部门并评估影响及严重级别。4.2.3 跟进事件处置过程，对事件发生的原因进行调查。4.6人事部门协助数据安全管理部门跟进事件处理过程，对涉及员工处罚的给出处置意见和建议。5事件分类5. 1数据泄露5. 1.1数据被违规传输或共享到互联网，移动硬盘、网盘等非规定的环境或介质。5.1.2数据和信息被违规发给不相关或不应有权限查看的内、外部人员。5.2数据删除5.2.1需要持久化的数据从数据库被删除和被格式化。5.2.2需要持久化的数据从存储介质上被删除和被格式化。5.3数据窃取5.3.1通过非正常手段违规获取数据库和其他存储介质上的数据。5.3.2越权访问、非法入侵和攻击网络和数据库等。5.4数据滥用5.4.1在拥有权限但没有合理工作场景下随意查询、下载和共享数据。5.4.2违规查询个人隐私信息、敏感数据等。6数据分级6.1 分级原则6. 1.1升级原则当处理某具体个案的事件时，如果未及时应对或在处理过程中出现风险泛化和蔓延，事件定级直接升一级，直至Po（特级事件）为止。7. 1.2就高原则当事件等级指标有所交叉或难以判断级别时，应按照较高一级事件处理。6.2 分级方法6.2.1概述数据安全事件按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素进行分级。事件影响对象主要包括信息系统、通信网络设施和数据等。6.2.2事件影响对象的重要程度按GB/T22240描述的网络安全等级保护定级方法，事件影响对象的重要程度根据国家安全、社会秩序、经济建设和公众利益以及业务对事件影响对象的依赖程度进行评估，分为3个等级：特别重要、重要和一般，具体如下：a）特别重要：受到破坏后，对国家安全造成危害，或对社会秩序、经济建设和公共利益造成严重危害或特别严重危害；b）重要：受到破坏后，对社会秩序，经济建设和公共利益造成危害，或对相关公民，法人和其他组织的合法权益造成严重或特别严重损害，但不危害国家安全；c） 一般：指受到破坏后，对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家安全、社会秩序、经济建设和公共利益。3.2.3 业务损失的严重程度业务损失的严重程度由网络的硬件/软件、功能和数据的损坏导致业务中断影响的严重程度进行评估，其大小可取决于恢复业务正常运行和消除数据安全事件负面影响所需付出的代价，分为4个级别：特别严重、严重、较大和较小，具体如下：a）特别严重：造成网络大面积瘫痪，使其丧失业务处理能力，或重要数据/敏感个人信息遭到严重破坏，恢复业务正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的；b）严重：造成网络长时间中断或局部业务瘫痪，使其业务处理能力受到极大影响，或重要数据/敏感个人信息遭到破坏，恢复业务正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；c）较大：造成网络中断，导致业务处理能力受到较大影响，或数据/个人信息受到损害，恢复业务正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；d）较小：造成网络短暂中断，导致业务处理能力受到一定影响，或数据/敏感个人信息受到影响，恢复业务正常运行和消除安全事件负面影响所需付出的代价较小。3.2.4 社会危害的严重程度社会危害的严重程度根据对国家安全、社会秩序、经济建设和公众利益等方面的危害程度进行评估，分为4个级别：特别重大、重大、较大和一般，具体如下：a）特别重大：波及一个或多个省市的大部分地区，危害到国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者特别严重损害公众利益；b）重大：波及一个或多个地市的大部分地区，影响到国家安全，引起社会恐慌，对经济建设有恶劣的负面影响，或者严重损害公众利益；c）较大：波及一个或多个地市的部分地区，不影响国家安全，但是扰乱社会秩序，对经济建设或者公众利益造成一般损害，对相关公民、法人或其他组织的利益会造成严重损害或特别严重损害；d） 一般：波及一个地市的部分地区，不影响国家安全、社会秩序、经济建设和公众利益，但是对相关公民、法人或其他组织的利益会造成一般损害。6. 3事件分级7. 3.1特级事件（PO）特级事件发生在特别重要的事件影响对象上，并且：a）导致特别严重的业务损失，或b）造成特别重大的社会危害。8. 3.2重大事件（P1）重大事件发生在特别重要或重要的事件影响对象上，并且：a）导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重的业务损失，或b）造成重大的社会危害。9. 3.3较大事件（P2）较大事件发生在特别重要或重要或一般的事件影响对象上，并且：a）导致特别重要的事件影响对象遭受较大或较小的业务损失，或重要的事件影响对象遭受严重或较大的业务损失，或导致一般的事件影响对象遭受较大（含）以上级别的业务损失，或b）造成较大的社会危害。6. 3.4一般事件（P3）一般事件发生在重要或一般的事件影响对象上，并且：a）导致较小的业务损失，或b）造成一般的社会危害。7预警预测与报告6.1 应统筹协调有关部门加强网络安全信息收集、分析和通报工作。6.2 当事人/系统监控认为可能发生重大及以上数据安全事件的，应当立即上报数据安全机制。当事人部门负责人认为可能发生较大及以上数据安全事件的，应立即向地方行业监管部门报告。7. 3应统一发布网络安全监测预警信息。7. 4应建立健全网络安全风险评估和应急工作机制。7.5应制定数据安全事件应急预案，并定期组织演练。8应急处置8. 1应急响应8.1.1 当事人/系统监控在发现事件后按照“电话20分钟、书面40分钟”的要求将事件情况向数据安全管理岗报告；8. 1.2数据安全管理岗视情设立应急恢复、事件溯源、影响评估、信息发布、跨部门协调等工作组；数据安全管理岗视事件严重程度评估是否开展现场检查、是否向地方行业主管部门汇报，联合处置。8. 1.3初步研判为特级事件、重大事件的，应当在发现事件后按照“电话10分钟、书面30分钟”的要求向数据安全管理部门报告。8.2具体流程数据安全事件应急处置工作涉及多个角色，重大事件处置流程如图1所示：图1重大数据安全事件应急处置流程8.3复盘DB3212T117620258. 3.1复盘总结8.3. 1.1数据安全事件管理部门负责专人全程跟进事件的处理过程，保证事件及时有效处理。8.4. 1.2紧急修复止损和查到原因后，组织相关人员进行复盘和总结。8.5. 1.3复盘及报告内容包括但不限于发现人、发现途径、事件内容概述、事件处理经过、当事人、当事人所属部门、受影响业务/部门、数据敏感级别、已造成的影响、事件严重级别、导致事件原因、紧急修复措施、预防措施、总结和反思。8.3.2处置和通报数据安全管理人员和人事负责人介入调查，确定为违规的，由数据安全事件管理部门提出处罚提案，经当事人所属部门负责人确认后，进行处罚和公告。8.3.3备案和归档8.3.3.1在应急工作结束后5个工作日内形成总结报告，报地方行业监管部门。地方行业监管部门汇总审核后，在应急工作结束后10个工作日内形成报告报送数据安全事件管理部门。8.3.3.2数据安全事件管理部门对事件报告及处置结果报告等进行归档，方便后续回溯和查阅。8.4应急预案8.4.1基本要求8.4.2 应结合数据安全事件的实际情况，组织和人员的职责分工明确，并有具体的落实措施。8.4.3 有明确、具体的事故预防措施和应急程序，并与其应急能力相适应。8.4.4 有明确的应急保障措施，并能满足数据局的应急工作要求。8.4.5 预案基本要素齐全、完整，预案附件提供的信息准确。8.4.6预案内容与相关应急预案相互衔接。8.4.7编制内容8.4.7.1应包括应急组织机构人员的联系方式、应急物资装备清单等记录信息。8.4.7.2记录信息应当经常更新，确保信息准确有效。8.5评审要求1.1.1 1评审采取形式评审和要素评审两种方法。形式评审主要用于应急预案备案时的评审，要素评审用于应急预案评审工作。1.1.2 评审采用符合、基本符合、不符合三种意见进行判定。1.1.3 基本符合和不符合的项目，应给出具体修改意见或建议。8.6预案评审8.6.1组织评审评审工作由数据安全事件管理岗主持，应急预案评审工作组讨论并提出会议评审意见。现场处置方案的评审，采取演练的方式对应急预案进行论证。8.6.2修订完善数据安全管理员及数据安全事件管理岗应认真组织分析研究评审意见，按照评审意见对应急预案进行修订和完善。8.6.3批准印发应急预案经评审或论证，符合要求的，由数据安全管理岗签发。8.7预案实施8.7.1采取多种形式开展应急预案的宣传教育。8.7.2定期组织开展本单位应急预案培训活动。8.7.3预案修订情况应有记录并归档。8.7.4有下列情形之一的，应急预案应当及时修订:a）应急组织指挥体系或者职责已经调整；b）依据的法律法规、规章和标准发生变化；c）应急预案演练评估报告要求修订；d）应急预案发布满2年从未修订；e）应急预案管理部门要求修订。9应急演练9. 1应制定应急预案演练计划，每年组织不少于一次。9.2演练结束后，组织单位应当对应急预案演练效果进行评估，撰写应急预案演练评估报告，分析存在的问题，并对应急预案提出修订意见。参考文献1江苏省公共数据管理办法（江苏省人民政府令第148号）2工业和信息化领域数据安全事件应急预案（试行）3江苏省计算机信息系统安全保护管理办法4中华人民共和国网络安全法5 GB/T20986-2023信息安全技术网络安全事件分类分级指南6 GB/T31506-2022信息安全技术政务网站系统安全指南