一、要求内容 

a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点； 

b)应制定安全事件报告和处置管理制度，明确安全事件类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责； 

c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分； 

d)应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等； 

e)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存； 

f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序； 

g)发生可能涉及国家秘密的重大失、泄密事件，应按照有关规定向公安、安全、保密等部门汇报； 

h)应严格控制参与涉及国家秘密事件处理和恢复的人员，重要操作要求至少两名工作人员在场并登记备案。 

二、实施建议 

建立安全事件的发现、响应、处理、记录、总结的规定，定义安全事件的级别和处理要求，明确事件的责任人，善于终结安全事件的成因和解决方法，形成知识库便于以后处理同样事件时提高反映能力。 加强对员工的培训，使之了解安全事件的大致类型和现象，当发现事件或隐患时及时上报，并不应私自进行测试。 

三、常见问题 

许多公司缺少对安全事件处理方法的终结，通常只变成了负责人员的经验。公司对员工要求的不够严格，曾有员工私自测试系统安全漏洞，甚至利用漏洞。 

四、实施难点 

在没有足够安全事件解决经验基础上建立安全事件管理是比较困难的，如何根据公司自身的环境和安全隐患制定安全事件处理的流程需要长时间的不断积累和与其他行业公司或第三方安全机构的交流。 

五、测评方法 

形式 访谈，检查。 对象 系统运维负责人，工作人员，安全事件报告和处置管理制度，安全事件定级文档，安全事件记录分析文档，安全事件报告和处理程序文档。 

实施 

a) 应访谈系统运维负责人，询问是否告知用户在发现安全弱点和可疑事件时应及时报告，对重大的失、泄密事件是否向公安、安全、保密等国家部门汇报，安全事件的报告和响应处理过程是否制度化和文档化，不同安全事件是否采取不同的处理和报告程序，对涉密事件的处理是否要求现场人员数量； 

b) 应访谈系统运维负责人，询问是否根据本系统已发生的和需要防止发生的安全事件对系统的影响程度划分不同等级，划分为几级，划分方法是否参照了国家相关管理部门的技术资料，主要参照哪些； 

c) 应访谈工作人员，询问其发生不同安全事件时的报告流程，发生涉密事件时的报告流程； 

d) 应检查安全事件报告和处置管理制度，查看其是否明确本系统已发生的和需要防止发生的安全事件类型，是否描述在安全事件处置、报告和恢复等工作中不同部门和人员的职责； 

e) 应检查安全事件定级文档，查看其内容是否明确安全事件的定义、安全事件等级划分的原则、等级描述等方面内容； 

f) 应检查安全事件记录分析文档，查看其是否记录引发安全事件的原因，是否记录事件处理过程，不同安全事件是否采取不同措施避免其再次发生，涉密事件记录文档中是否包括至少两名工作人员； 

g) 应检查安全事件报告和处理程序文档，查看其是否根据不同安全事件制定不同的处理和报告程序，是否明确具体报告方式、报告内容、报告人等方面内容。 

六、参考资料 

《信息安全等级保护信息系统安全管理要求》中对安全事件管理的要求：

5.6.2 安全事件处理 

5.6.2.1 安全事件划分 对安全事件划分，不同安全等级应有选择地满足以下要求的一项： 

a）安全事件内容和划分：安全事件是指信息系统五个层面所发生的危害性情况，包括事故、故障、病毒、黑客攻击性活动、犯罪活动、信息战等；通常可能包括（但不限于）不可抗拒的事件、设备故障事件、病毒爆发事件、外部网络入侵事件、内部信息安全事件、内部误用和误操作等事件；安全事件的处置需要贯穿整个安全管理的全过程，应按照GB17859系列标准中专门的安全事件划分标准，确定具体信息系统安全事件的划分原则。如仅从信息安全事件对本系统的影响角度可以进行以下分类： 

一类事件：指造成系统业务部分短暂停顿的安全事件； 

二类事件：指造成系统业务部分停顿或的安全事件； 

三类事件：指造成系统业务中断，影响业务效率的安全事件； 

四类事件：指造成系统停顿，业务无法运作的安全事件； 

五类事件：指造成系统大面积毁坏的安全事件。 

b）安全事件处置制度：按照GB17859系列标准中专门的安全事件划分标准，制定信息安全事件实行分等级响应、处置的制度；依据信息安全事件对信息和信息系统的破坏程度、所造成的社会影响以及涉及的范围，确定事件等级；根据不同安全保护等级的信息系统中发生的各类事件制定相应的预案，确定事件响应和处置的范围、程度以及适用的管理制度等；信息安全事件发生后，分等级按照预案进行响应和处置；同时要求在发现或怀疑系统或服务出现安全漏洞或受到威胁时，应按照安全事件要求处理。 

c）安全事件管理程序：应明确安全事件管理责任，制定相关程序，应考虑以下要求： 制定处理预案：针对各种可能发生的安全事件制定相应的处理预案； 分析原因：注意分析和鉴定事件产生的原因，制定防止再次发生的补救措施； 收集证据：收集审查记录和类似证据，包括内部问题分析，用作与可能违反合同或违反规章制度的证据； 处理过程控制：严格控制恢复过程和人员，只有明确确定身份和获得授权的人员才允许访问正在使用的系统和数据，详细记录采取的所有紧急措施，及时报告有关部门，并进行有序的审查，以最小的延误代价确认业务系统和控制的完整性； 总结吸取教训：对发生的安全事件的类型、规模和损失进行量化和监控；用来分析重复发生的或影响很大的事故或故障，改进控制措施降低事故发生的频率和损失； 责任划分和追究：应对安全事件的有关管理或执行责任或者责任范围进行划分和追究，使得没有人在其责任范围内所犯的错误能够逃脱检查。 5.6.2.2 安全事件报告和响应 对安全事件报告和响应，不同安全等级应有选择地满足以下要求的一项： a）安全事件报告和处理程序：信息安全事件实行分等级响应、处置的制度；安全事件应尽快通过适当的管理渠道报告，制定正式的报告程序和事故响应程序；使所有员工知道报告安全事件程序和责任；信息安全事件发生后，根据其危害和发生的部位，迅速确定事件等级，并根据等级启动相应的响应和处置预案；事件处理后应有相应的反馈程序。 b）安全隐患报告和防范措施：在a）的基础上，增加对安全弱点和可疑事件进行报告；告知员工未经许可测试弱点属于滥用系统；对于还不能确定为事故或者入侵的可疑事件应报告；对于所有安全事件的报告应记录在案归档留存。 c）强化安全事件处理的责任：在b）的基础上，要求安全管理机构或职能部门负责接报安全事件报告，并及时进行处理，注意记录事件处理过程；对于重要区域或业务应用发生的安全事件，应注意控制事件的影响；应追究安全事件发生的技术原因和管理责任，写出处理报告，并进行必要的评估。