（安全生产）TCWGN_信息安全事件分类分级指南（编制说.pdfVIP

（安全生产）TCWGN_信息安 全事件分类分级指南（编制 说 《信息安全事件分类分级指南》（征求意见稿）编制说明 壹、项目背 目前国外对信息安全事件的分类分级仍没有单独的标准和指南，不过在和信息安全事件 相关的标准或文献中对信息安全事件的分类分级有所描述，例如 ISO/IEC18044 《信息安全事 件管理》、NISTSP800-61 《计算机安全事件处理指南》等。 18044 给出了信息安全事件的定义，明确提出应建立用于给事件 “定级”的信息安全事 件严重性衡量尺度。但 18044 没有给出如何确定事件的级别，以及事件级别的描述，只在附 录给出了信息安全事件负面后果评估和分类的要点指南示例。18044 中没有给出具体的信息 安全事件的分类，其第 6 节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收 集和未经授权访问三种信息安全事件。在标准的附录A ：信息安全事件报告单示例中，列出 了在事件报告中可参考的事件类别。NISTSP800-61 《计算机安全事件处理指南》针对安全事 件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每壹安全事件提供指 南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安 介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗壹切的，也不打算对安 全事件进行明确的分类。 2003 年 出 版 的 LANDEurope 在 为 EuropeanCommissionDirectorate-GeneralInformationSociety 研究且得到授权和赞助的 《在欧盟国家中计算机和网络滥用立法规程手册》2002 年中，提出壹个计算机滥用和安全事 件的分析框架来描述和分类。手册将信息安全事件分成了九类。且给出了它们的定义、使用 的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无壹遗漏的清单。 在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，且为 配合报告制度，随同发布了《北京市国家机关信息安全事件定级指南（试行）》，其中对安 全事件的分类分级做出了描述，且于 05 年进行了修订。 “国家网络和信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通 报工作，编写制定了《网络和信息安全事件分类分级办法》，本办法规定了信息安全事件的 分类分级原则且对事件的各类别和级别进行了描述，仍规定了事件的报告流程。 根据国家关于应急处理制度和网络和信息安全信息通报制度的有关文件精神和要求，急 需制定信息安全事件分类分级的标准，来指导用户对信息安全事件进行分类定级，以便于更 好的对信息安全事件进行应急处理和通报。 信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节，也是重要的工 作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级 指南》的目标是对信息安全事件进行合理的分类分级，其意义在于：①促进信息安全事件信 息的交流和共享；②提高信息安全事件应急处理和通报的自动化程度；③提高信息安全事件 应急处理和通报的效率和效果；④利于对信息安全事件进行统计分析；⑤利于信息安全事件 严重程度的确定。 《信息安全事件分类分级指南》课题组在积极学习、研究、分析相关国际标准及资料的 同时，组织编写了《信息安全事件分类分级指南》，主要用于为国内各组织实施应急处理和 通报提供借鉴和参考，另外，更重要的是以国内各组织的实际需求为基础，研究合理的信息 安全事件分类分级规范，为进壹步促进该项工作，特向各专家广泛征求意见。 二、内容概述 现今信息安全问题日益凸现，信息安全事件时常发生，而且仍没有壹劳永逸的解决方案 能够完全消除所有的信息安全风险。《信息安全事件分类分级指南》规定了信息安全事件的 分类分级规范，用于信息安全事件的防范和处置，为事前准备、事中应对、事后处理提供壹 个基础指南，可供信息系统的运营和使用组织参考使用。 本标准旨在给出信息安全事件分类分级的普适性原则，各单位在使用时，可根据本标准 规定的原则，结合自己单位的实际情况，制定适合自己单位的行业或部门规范，以便于操作。 2.1 术语和定义 本指南给出了信息系统以及信息安全事件的定义。信息安全事件壹般发生于信息系统之 中，但目前的标准中缺乏对信息系统的准确定义，因此，本指南在研究相关资