1、根据信息安全事件等级及时将省内信息安全事件处理情况上报总部信息安全管理部;负责信息安全事件信息的归档等;网络部负责涉及移动通信网、各网管支撑系统等网络信息安全事件的归口管理和应急组织工作;负责组织网络安全应急演练;负责将网络类信息安全事件情况和处理措施上报省公司网络信息安全管理办公室;作为与通信管理局的固定接口负责将省内信息安全事件报告上报通信管理局。业务支撑系统部负责涉及业务支撑网的信息安全事件的归口管理和应急组织工作;负责组织业务支撑网的应急演练;负责将业务支撑类信息安全事件情况和处理措施上报省公司网络信息安全管理办公室。管理信息系统部负责OA、企业ERP等管理信息网信息安全事件的归口管理
2、和应急组织工作;负责组织管理信息网的应急演练;负责将管理信息网信息安全事件情况和处理措施上报省公司网络信息安全管理办公室。客户服务部负责判定客户投诉预警事件中属于企业责任的信息安全事件,收集事件处理报告并上报省公司网络信息安全管理办公室。省公司各部门负责核实本部门发现的信息安全事件、受理并核实各市分公司相应对口部门上报的特大、重大、跨市的一般信息安全事件,并及时报送省公司网络信息安全管理办公室;根据本管理办法要求开展对应等级的信息安全事件的应急处置工作;负责信息安全事件事后总结等;省公司各专业网维护部门负责开展应急演练、负责信息安全事件的监控等。(二)市分公司职责:各市分公司网络信息安全归口管
3、理机构负责贯彻落实本管理办法,并结合本市情况制定相应的实施细则;负责协调信息安全事件的应急处置工作;根据信息安全事件等级及时将信息安全事件处理情况上报省公司网络信息安全管理办公室;负责涉及本市的信息安全事件信息的归档等;市分公司各部门负责核实本部门发现的信息安全事件、及时向省公司对口部门和本市网络信息安全归口管理机构报告各级信息安全事件;市分公司各专业网维护部门负责实施应急演练、负责信息安全事件的监控等。第三章 信息安全事件分类分级一、信息安全事件的来源信息安全事件来源分为外部与内部两个方面,其中外部来源为:政府主管部门、新闻媒体、用户投诉等;内部来源为:内部员工反馈、系统安全监测、业务拨测及
4、自查等。二、信息安全事件的分级信息安全事件按照其影响程度等因素分为以下三类:特大信息安全事件,指涉及国家安全和社会稳定,造成恶劣影响和严重后果,或被中央有关部门通报,社会反响强烈的信息安全事件;包括:(一)工信部互联网网络安全信息通报实施办法以及附件3:重大故障和重大安全事件上报管理办法(试行)中定义的特大和重大网络安全事件;(二)国家级新闻媒体(电视、报纸、广播等)和各大门户网站、网络媒体集体对及各市分公司网络、运营工作或业务的信息安全事件进行重大负面事件新闻报道;(三)各单位日常安全监测中发现的重要系统/平台存在危害系统可用性、完整性或保密性的重大事件;(四)各业务部门自查发现的重要业务流
5、程或内容存在重大安全隐患;(五)省客户服务中心发布的客户投诉红色预警并最终确认为企业责任的信息安全事件。重大信息安全事件,指涉及国家安全和社会稳定、造成较大社会影响和较严重后果,或被省级有关部门通报的信息安全事件;重大故障和重大安全事件上报管理办法(试行)中定义的较大网络安全事件;(二)省级新闻媒体(电视、报纸、广播等)和省内网站、网络媒体集体对移动及各市分公司网络、运营工作或业务进行较大负面事件新闻报道;(三)各单位日常安全检测/监控中发现的重要系统或平台存在危害系统可用性、完整性或保密性的较大事件;(四)各业务部门自查发现的重要业务流程或内容存在较大安全隐患;(五)省客户服务中心发布的客户
6、投诉橙色预警并最终确认为企业责任的信息安全事件。一般信息安全事件,指造成一定社会影响的信息安全事件。重大故障和重大安全事件上报管理办法(试行)中定义的一般网络安全事件;(二)各单位日常安全检测/监控中发现的系统或平台存在危害系统可用性、完整性或保密性的事件;(三)各业务部门自查发现的业务流程或内容存在的信息安全隐患。(四)省客户服务中心发布的客户投诉黄色预警并最终确认为企业责任的信息安全事件,但未引起媒体负面报道的;三、信息安全事件的分类根据国家标准化指导性技术文件信息安全事件分类分级指南(GB/Z 209862007),信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全
7、事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。信息安全事件详细分类详见附件4:信息安全事件分类。其中,信息内容安全事件中“其他”子类包括中华人民共和国电信条例中禁止的内容信息,如:危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;损害国家荣誉和利益的;煽动民族仇恨、民族歧视,破坏民族团结的;破坏国家宗教政策,宣扬邪教和封建迷信的;散布谣言,扰乱社会秩序,破坏社会稳定的;散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;以及含有法律、行政法规禁止的其他内容等。第四章 信息安全事件上报时限和流程一、上报时限要求发生信息安全事件时,当事单
8、位应根据上报时限及时向省公司网络信息安全管理办公室报告事件情况。同时有关互联网网络安全信息的事件应向所在地通信管理局报告。(一) 发生特大信息安全事件的,当事单位应于1小时内作出口头报告,8小时内作出简要书面报告,相关事件处理结束后2日内作出专题书面报告;(二) 发生重大信息安全事件的,当事单位应于2小时内作出口头报告,10小时内作出简要书面报告,相关事件处理结束后2日内作出专题书面报告;(三) 发生一般信息安全事件的,当事单位应于20小时内作出简要书面报告,相关事件处理结束后2日内作出专题书面报告。二、信息安全事件上报流程各责任部门应及时对安全事件的影响范围和级别进行判断,在上报省公司网络与
9、信息安全办公室的同时进行预处理。省公司网络与信息安全办公室应及时根据汇总的情况进行判断并决定是否需要上报总部信息安全管理部。(一)市分公司发现的信息安全事件上报流程:发生特大、重大、跨市的一般信息安全事件时,市分公司各责任部门应同时向省公司对口部门和各市分公司网络信息安全归口管理机构报告事件信息;对于本市范围内发生的一般信息安全事件时,市分公司各部门应根据上报时限,及时报送各市分公司网络信息安全归口管理机构;省公司内各部门在受理各市分公司下属部门的信息安全事件报告后,应判断情况是否属实,是否满足事件分级分类要求,并根据上报要求,及时报送省公司网络信息安全管理办公室;省公司网络信息安全管理办公室
10、发现信息安全事件等级为特大或可能升级为特大信息安全事件时,应第一时间上报省公司网络信息安全委员会。对于特大、重大、跨市的一般信息安全事件时,市分公司网络信息归口管理机构应及时跟踪事件核实信息,并根据本管理办法及时上报省公司网络信息安全管理办公室;对于本市范围内发生的一般信息安全事件,各市分公司网络信息安全归口管理机构应每月汇总事件信息于下月初上报省公司网络信息安全管理办公室。(二)省公司各部门、省客户服务中心发现的信息安全事件报送流程: 发生各级信息安全事件时,省公司内各部门、省客户服务中心应核实事件情况,并根据上报时限及时报送省公司网络信息安全管理办公室。其中,通信网络安全事件由网络部归口核
11、实确认后,上报总部网络部并抄报省公司网络信息安全管理办公室,经总部网络部审核后,将事件报告提交通信管理局;除网络安全事件外的其他类别信息安全事件,各部门核实确认后,报送省公司网络信息安全管理办公室,由省公司网络信息安全管理办公室审核后,发与网络部将事件报告提交通信管理局,并上报总部网络部汇总。省公司网络信息安全管理办公室发现信息安全事件等级为特大或可能升级为特大信息安全事件时,应进行安全事件预处理,并第一时间上报省公司网络信息安全委员会。若集团总部对信息安全事件有具体上报流程和要求的,各单位应同时根据总部相关具体要求上报对口部门。三、信息安全事件的最终定级特大信息安全事件经各部门上报后,由省公
12、司网络信息安全管理办公室组织各相关部门初步判决定级,并报送省公司网络信息安全委员会最终定级;重大信息安全事件由省公司各部门、各市分公司网络信息安全归口管理机构初步判决定级,并报送省公司网络信息安全管理办公室最终定级;一般信息安全事件由省公司各部门、各市分公司根据事件影响定级,并由相关单位、各市分公司网络信息安全归口管理机构根据上报要求报备省公司网络信息安全管理办公室。第五章 信息安全事件应急响应流程一、信息安全事件应急处理要求发生信息安全事件时,应立即启动应急响应机制。本着“谁下达任务,谁结束任务”的原则,任务下达单位或部门应明确安全事件应急响应任务的结束时间。对于安全事件的处理,应该尽快采取
13、抑制措施,以避免影响面的扩大。在安全事件的处理过程中,应该保护好被处理设备的数据,给将来的取证或者分析入侵行为提供依据;应做好恢复后的安全检查工作,避免再次出现同类信息安全问题。二、信息安全事件应急响应启动阶段特大信息安全事件的应急响应由省公司网络信息安全管理办公室报送省公司网络信息安全委员会决策指挥后,启动应急预案并由省公司网络信息安全管理办公室组织协调相关单位或部门实施应急响应;重大信息安全事件的应急响应由省公司网络信息安全管理办公室启动应急预案并组织协调相关部门或单位实施应急响应;一般信息安全事件的应急响应由省公司责任部门、各市分公司网络信息安全归口管理机构自行组织和实施应急响应,并将实
14、施过程情况及时报送省公司网络信息安全管理办公室。各级信息安全事件在报送上级部门进行决策响应前,应首先自行启动应急响应工作,包括网络封堵、漏洞补救、事件排查及溯源、客户安抚工作等。三、信息安全事件应急处理阶段针对特大信息安全事件,启动应急响应后,将根据实际情况组织制订实施方案;重大及一般信息安全事件,各责任单位应根据已制定的各专业应急保障实施方案实施应急工作,已有的应急保障实施方案未符合实际情况,应本着“具体问题具体分析”的原则,制定临时应急处置方案。信息安全事件应急处置实施过程中若需总部非对口部门支援的情况,由省公司网络信息安全管理办公室负责协调;需总部对口部门支援的,由各责任单位自行协调,并
15、将协调和支援情况及时报备省公司网络信息安全管理办公室。二、信息安全事件应急处理职责在实施应急响应具体工作时,各部门应根据部门职责和资源优势,有重点地开展以下工作:序号部门信息安全事件应急处置工作重点1网络信息安全管理办公室负责全省信息安全事件的综合协调和工作部署,负责协助跨省信息安全事件的处理。2网络部涉及与通信网络有关的安全事件时,由网络部牵头,协调应急处置工作,根据总部和管局的要求处理安全事件,并将处理情况及时报送网络信息安全管理办公室;3网管中心根据网络部要求,实施具体安全事件的处置;负责网络监测、疏导话务、整合网络资源等工作; 4业务支撑系统部涉及与业务支撑系统有关的安全事件时,由业务
16、支撑系统部牵头组织,协调应急处置工作,根据信息安全事件的影响和处理要求,落实BOSS、经分等系统的客户信息保障工作,如对业务受理进行屏蔽、业务使用跟踪等,并及时报送网络信息安全管理办公室;5管理信息系统部涉及与管理信息系统有关的安全事件时,由管理信息系统部牵头组织,协调应急处置工作;并负责确保公司内部系统网络的信息顺畅及应急指挥系统渠道的畅通;6综合办公室根据信息安全事件的影响,与宣传主管部门、政府相关机构建立沟通,并协调对口媒体关系;根据要求对外披露有关信息,维护企业良好形象。7市场经营部牵头组织拟定涉及市场营销活动、资费、语音产品等影响客户感知的统一解释口径,并开展相关优化工作8客户服务部
17、负责统一协调全省客户服务管理工作,牵头组织拟定或参与审核涉及客户感知的统一口径信息,组织协调对客户的解释、疏导工作,维护企业良好形象;负责垃圾信息及骚扰电话治理工作9客户服务中心负责具体用户投诉、举报的处理;负责统计、分析客户投诉、举报情况及相关报告;一线人员根据统一口径信息,向移动客户解释、疏导工作,维护企业良好形象。10集团客户部、省级集团客户服务中心负责在与市场经营部、省客服中心充分沟通的基础上,拟定涉及集团客户感知的统一口径信息,并经领导审批后,做好签约集团客户的解释、疏导工作;11数据部负责梦网SP和自有业务的紧急拨测和应急处理,包括涉黄网站的拨测、SP的处置等12人力资源部协助公司
18、应急工作队伍的搭建,配合应急工作的顺利开展;13内审部应急工作结束后,配合相关部门对相应流程和风险进行评估,必要时提出流程优化建议。”14法律事务与安全保卫部负责协调司法机关,为信息安全事件处理提供必须的法律支撑四、信息安全事件应急结束与后期评估信息安全事件应急响应结束的判断标准为信息安全事件处理完毕,由事件衍生的其他事件已经消失,安全隐患已经消除。特大信息安全事件由省公司网络信息安全委员会决策结束应急响应工作;重大信息安全事件的应急响应由省公司网络信息安全管理办公室决策结束应急响应工作;一般信息安全事件由省公司责任部门、各市分公司网络信息安全归口管理机构结束应急响应工作。应急处置工作结束后,事发单位责任部门要积极稳妥、深入细致地做好善后处置工作,具体包括:(一)调查评估:对安全事件的起因、性质、影响、责任、经验教训等问题进行调查和评估;(二)责任确定:分析产生此次事件的原因,对事件进行调查,确定责任人。如涉及违法犯罪行为,应报司法机关追究当事人的刑事责任;(三)事件备案:应对安全事件的影响和具体处置过程编写详细的信息安全事件上报表(参考附件2)并报送省公司网络信息安全管理办公室,时间不得超过3天;(四)应急方案维护:根据应急响应过程中暴露出的问题和调查评估结果,对应急方案进行相应的修改和维护。(五)总结归档,并对案例进行经验教训培训。