ICS 35.240 GA A 90 中华人民共和国公共安全行业标准 GA/T 1717.2—2020 信息安全技术 网络安全事件通报预警 第2部分：通报预警流程规范 Information security technology--Notification and warning of cyber security incidents-Part 2 : Specifications for procedure for notification and warning 2020-03-24发布 2020-08-01实施 中华人民共和国公安部 发布 GA/T 1717.2—2020 目 次 前言 范围 1 2规范性引用文件 3术语和定义 4网络安全事件分级 4.1分级要素 网络安全事件通报分级 4.2 4.3 网络安全事件预警分级 5通报流程 5.1 通报的发布 5.2 通报的处置 5.3通报的归档 6预警流程 预警的发布 6.1 6.2预警的处置 6.3 预警的升级或降级 6.4预替的解除 7评价指标 附录 A(规范性附录) 网络安全事件通报内容、报告及分级示例说明 A.1网络安全事件通报内容 A.2网络安全事件分析报告 A.3网络安全事件总结报告 . A.4网络安全事件通报分级示例 参考文献 GA/T 1717.22020 前言 GA/T1717《信息安全技术网络安全事件通报预警》分为三个部分： 第1部分：术语； -第2部分：通报预警流程规范； 第3部分：数据分类编码与标记标签体系技术规范 本部分为GA/T1717的第2部分。 本部分按照GB/T1.1一2009给出的规则起草。 本部分由公安部网络安全保卫局提出。 本部分由公安信息系统安全标准化技术委员会提出并归口。 本部分起草单位：公安部网络安全保卫局、福建省龙岩市公安局网安支队、中科软科技股份有限 公司。 本部分主要起草人：黄小苏、张秀东、吴辰苗、任彬、阮晓丽、刘燕岭、赵阳、牟坤。 1 GA/T 1717.2--2020 信息安全技术网络安全事件通报预警 第2部分：通报预警流程规范 1 范围 本部分适用于公安机关等相关职能机构或组织开展网络安全事件通报预警工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件，仅注日期的版本适用于本 文件，凡是不注明日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB/Z20986—2007信息安全技术信息安全事件分类分级指南 GB/T22240信息安全技术信息系统安全等级保护定级指南 GB/T25069—2010信息安全技术术语 GB/T32924—2016信息安全技术网络安全预警指南 GA/T1717.1一2020信息安全技术网络安全事件通报预警第1部分：术语 3术语和定义 GA/T1717.1一2020界定的术语和定义适用于本文件。 4网络安全事件分级 4.1分级要素 4.1.1概述 网络安全事件的分级主要考虑两个要素：网络安全保护对象的重要程度和可能受到损害的程度。 4.1.2网络安全保护对象的重要程度 网络安全保护对象的重要程度根据其所承载的业务对国家安全、经济建设、社会活动的重要性、网 络安全等级保护的级别、数据的重要性及敏感程度等综合因素，划分为特别重要、重要和一般三个级别。 具体为： a）特别重要的保护对象，包括： 1）重大活动期间的网络安全保护对象； 2）按照GB/T22240的规定定级为四级及四级以上的信息系统； 3）用户量亿级或日活跃用户千万级的互联网重要应用； 4）日 日交易量亿元级的电子交易平台； 5）行业占有率前五的互联网重要应用； 6）涉及百万级以上公民个人信息的系统； 1 GA/T 1717.2-2020 7） 提供互联网支撑服务的重要系统，如域名解析服务； 8）由多个重要的网络安全保护对象共同组成的群体； 9） 其他与国家安全关系密切，或与经济建设、社会活动关系非常密切的系统。 b）重要的保护对象，包括： 1）按照GB/T22240的规定定级为三级的信息系统； 用户量千万级或日活跃用户百万级的互联网重要应用； 2） 3） 行业占有率较高的互联网应用； 涉及十万级以上，百万级以下公民个人信息的系统； 4） 5）由多个一般的网络安全保护对象共同组成的群体； 6）与国家安全密切程度较小,或与经济建设、社会活动关系密切的系统。 c）一般的保护对象，包括： 1）按照GB/T22240的规定定级为二级及二级以下的信息系统， 2）其他公共互联网服务等。 4.1.3 3网络安全保护对象可能受到损害的程度 网络安全保护对象受到损害的程度是指网络安全事件或威胁对其软硬件、功能及数据的损坏，导致 业务系统运行缓慢或中断，数据泄露、篡改、丢失或损坏，对保护对象造成直接或间接损失的程度。划分 为特别严重、严重、较大和一般四个级别。具体为： a）特别严重的损害，是指可能造成或已造成网络或信息系统大面积瘫痪，使其丧失业务处理能 力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除负面影 响所需付出的代价十分巨大。包括但不限于： 1）大规模、持续性的网络攻击，可能造成或已造成网络或信息系统大面积瘫痪，使其丧失业 务处理能力； 其恶劣的负面影响，或者严重损害公众利益； 3）遭受网络攻击后，可能造成或已经造成大量重要信息泄露。 b）严重的损害，是指可能造成或已造成网络或信息系统长时间中断或局部瘫痪，使其业务处理能 力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消 除安全事件负面影响所需付出的代价巨大。包括但不限于： 较大规模、持续时间较短的攻击，可能造成或已造成网络或信息系统中断或局部瘫痪，使 1） 其业务处理能力受到极大影响； 波及一个或多个地市的大部分地区，威胁到国家安全，引起社会恐慌，对经济建设有重大 2） 的负面影响，或者损害到公众利益， 3）： 遭受网络攻击后，可能造成或已造成重要信息泄露。 c）较大的损害，是指可能造成或已造成网络或信息系统中断，明显影响系统效率，使其业务处理 能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除 负面影响所需付出的代价较大。包括但不限于： 较小规模、非持续性的攻击，可能造成或已造成保护对象网络或系统中断，明显影响系统 D 效率，使其业务处理能力受到极大影响； 波及一个或多个地市的部分地区，可能影响到国家安全，扰乱社会秩序，对经济建设有一 2） 定的负面影响，或者影响到公众利益； 3）遭受网络攻击后，可能造成或已造成敏感信息泄露。 d）一般的损害，是指可能造成或已造成网络或信息系统短暂中断，影响系统效率，使系统业务处 2 GA/T 1717.2—2020 理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消 除负面影响所需付出的代价较小。包括但不限于： 1）无规模、非持续性的攻击，造成保护对象网络和系统短暂中断，影响系统效率，使其业务处 理能力受到影响； 波及到一个地市的部分地区，对国家安全、社会秩序、经济建设和公众利益基本没有影响， 2) 但对个别公民、法人或其他组织的利益会造成损害； 3）遭受网络攻击后，可能造成或已造成个人信息泄露。 4.2网络安全事件通报分级 4.2.1概述 报、Ⅲ级事件通报和IV级事件通报。 4.2.2I级事件通报 能够导致特别严重影响或破坏的网络安全事件，包括以下情况： a）涉及国家政治安全的网络安全事件； b）涉及恐怖活动的网络安全事件； c）对特别重要网络安全保护对象产生特别严重或严重的损害。 4.2.3Ⅱ级事件通报 能够导致严重影响或破坏的网络安全事件，包括以下情况： a）对特别重要网络安全保护对象产生较大或一般的损害； b）对重要网络安全保护对象产生特别严重或严重的损害。 4.2.4Ⅲ级事件通报 能够导致较大影响或破坏的网络安全事件，包括以下情况： a）对重要网络安全保护对象产生较大或一般的损害； b）对一般网络安全保护对象产生特别严重或严重的损害。 4.2.5V级事件通报 能够导致一般影响或破坏的网络安全事件，对一般网络安全保护对象产生较大或一般的损害。 4.2.6网络安全事件通报级别表 由网络安全保护对象的重要程度和网络安全保护对象可能或已受到损害的程度确定的网络安全事 件通报级别见表1。 表1网络安全事件通报级别 网络安全保护对象可能受到损害的程度 网络安全保护 对象的重要程度 特别严重 严重 较大 一般 特别重要 I级事件通报 I级事件通报 I级事件通报 ⅡI级事件通报 重要 Ⅱ级事件通报 ⅡI级事件通报 Ⅲ级事件通报 Ⅲ级事件通报 3