Q/SY
中国石油天然气集团公司企业标准
Q/SY 1345—2015 代替Q/SY1345—2010
信息安全事件与应急响应
管理规范
Specification for the emergency response to
information security incidents
2015—08—04发布
2015一11一01实施
中国石油天然气集团公司 发布 Q/SY 1345—2015
目 次
前言
1
范围 2 术语和定义 3 组织结构及职责 4 信息安全事件分级信息安全通报机制
1
2
5
6 信息安全事件应急响应附录A（资料性附录） 信息安全事件应急响应流程参考文献·
2
V
6
1 Q/SY 1345—2015
前言
本标准按照GB/T1.1一2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。
本标准代替Q/SY1345一2010《计算机病毒与网络入侵应急响应管理规范》。与Q/SY1345 2010相比，除编辑性修改外，主要变化如下：
将标准名称更改为《信息安全事件与应急响应管理规范》；修订了“范围”（见第1章，2010年版的第1章）；修订了“术语和定义”（见第2章，2010年版的第3章）；修订了“组织机构及职责”（见第3章，2010年版的第4章）；删除了“计算机病毒事件分类与分级”（见2010年版的第5章）；增加了“信息安全事件分级”（见第4章）；一增加了“信息安全通报机制”（见第5章）；删除了“网络人侵事件分类与分级”（见2010年版的第6章）；修订了“信息安全事件应急响应”的流程（见第6章，2010年版的第7章）。
本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会提出并归口。 本标准起草单位：集团公司信息管理部、东方地球物理勘探有限责任公司、勘探开发研究院。 本标准主要起草人：靖小伟、杨志贤、张志伟、冯梅、滕征岑、可为、崔广印、陈靓、刘磊、刘
建兵、于普漪、王振欣、张凯、马忠华、于博
II Q/SY1345-—2015
信息安全事件与应急响应管理规范
1范围
本标准规定了中国石油天然气集团公司（以下简称“集团公司”）信息安全事件分级，相应组织机构及职责、信息安全事件应急响应流程
本标准适用于集团公司总部及所属企事业单位（以下简称“所属单位”）信息安全事件的响应及应急处置。
术语和定义
2
下列术语和定义适用于本文件
2. 1
信息系统 information system 由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息
进行采集、加工、存储、传输、检索等处理的人机系统。
［GB/Z20986—2007，定义2.1]
2. 2
信息安全事件information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面
影响的事件，包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件、灾害性事件等。
［GB/Z20986—2007，定义2.2]
3组织结构及职责
3.1集团公司信息化工作领导小组
指导信息安全事件应急体系和信息安全通报制度建立，领导集团公司信息安全事件应对和处置工
作；审定集团公司信息安全事件应急预案；负责I级信息安全事件（定义见4.1）应急工作指导和应对方案决策。
3. 2 集团公司信息化工作领导小组办公室
组织编制并完善集团公司信息安全事件应急预案；管理和审核集团公司信息安全通报工作；统筹协调集团公司信息安全应急响应体系建设；接收I级、IⅡ级、Ⅲ级信息安全事件（定义见4.1～ 4.3），安排信息安全运行中心组织开展I级、IⅡ级信息安全事件应急响应处理。 3.3集团公司信息安全专家中心
信息安全专家中心主要职责是对集团公司信息安全工作提供专家意见，完善信息安全事件应急预案，并在应急响应过程中提供技术支持。
1 Q/SY 1345—2015
3.4集团公司信息安全运行中心
信息安全运行中心具体执行信息安全各项工作，包括信息安全监测和分析、信息安全事件收集和上报、信息安全事件应急响应处理、信息安全通报等。 3.5集团公司信息技术支持中心
信息技术支持中心，按已建信息系统设立，由项目承担单位人员组成，主要职责是监测信息系统的安全状况，进行信息安全事件上报、协同处理信息安全事件等。 3.6地区公司信息化工作领导小组
地区公司信息化工作领导小组主要负责指导所属单位的信息安全事件应急体系建立，审核上报的
信息安全事件、领导所属单位信息安全事件应急响应处理工作等。 3.7集团公司所属单位信息管理部门
集团公司所属单位信息管理部门主要职责是监测所属单位信息安全状况、审核信息安全事件的上
报、对所属单位的信息安全事件进行应急响应处理、协同信息安全运行中心进行事件的应急响应处理等。
4信息安全事件分级
4.1I级信息安全事件
I级信息安全事件包括： a）黑客或有组织犯罪集团发动攻击活动，导致集团公司发生泄露国家秘密或大量工作秘密的信
息安全事件。
b）1）集团公司统一规划的等级保护三级及以上信息系统对用户提供的服务全面中断8小时以
上或信息系统数据遭受全局性的丢失、损坏，给集团公司造成严重损失的信息安全事件；
2）1 信息系统的整体油商密三星及以上信息泄露、损坏，给集团公司造成严重损失的信息
安全事件；
3）其他给集团公司或社会造成严重影响或损失的信息安全事件。 c）集团公司接收的国家相关权威部门下发的信息安全通报中高级别的信息安全事件。
4.2Ⅱ级信息安全事件
ⅡI级信息安全事件包括： a）黑客或有组织犯罪集团发动攻击活动，导致集团公司发生泄露工作秘密的信息安全事件。 b)1) 集团公司统一规划的等级保护二级信息系统或集团公司所属单位重要自建信息系统对
用户提供的服务全面中断12小时以上或信息系统数据遭受局部性的丢失、损坏，给集团公司造成损失的信息安全事件；
2）1 信息系统的油商密一星、二星信息泄露、损坏，给集团公司造成损失的信息安全事件； 3）其他给集团公司或社会造成较严重影响或损失的信息安全事件。
c）集团公司接收的国家相关权威部门下发的信息安全通报中一般级别的信息安全事件。
2 Q/SY1345-—2015
4.3 Ⅲ级信息安全事件
Ⅲ级信息安全事件包括： a） 集团公司信息安全检查或信息安全运行中心发现的影响所在单位局部用户的信息安全事件。 b） 集团公司其他统一规划的信息系统或集团公司所属单位自建信息系统对用户提供的服务全
面中断24小时以上，给集团公司所属单位造成影响的信息安全事件。 c）其他给集团公司名誉或信誉造成影响的信息安全事件。
5信息安全通报机制
对于I级信息安全事件，事情处理完成后，通过信息安全应急通报的方式进行集团公司范围内的
通报，并约谈事件责任单位的信息安全主管领导；对于Ⅱ级信息安全事件，事情处理完成后，通过信息安全应急通报的方式进行集团公司范围内的通报；对于Ⅲ级信息安全事件，事情处理完成后，通过信息安全日常通报的方式进行通报
国家或集团公司重大活动或重要敏感时期，进行信息安全专项通报，通告该时期信息安全运行情况和信息安全事件。
6信息安全事件应急响应
6.1I级信息安全事件应急处理
I级信息安全事件发生时，事发单位信息管理部门可先期处理，并在1小时内迅速逐级上报至集
团公司信息化工作领导小组，遇到特别紧急的情况时，可越级上报。集团公司信息化工作领导小组启动应急预案，领导应急处理工作；信息管理部安排信息安全运行中心组织开展应急处理工作，处理完成后，进行集团公司信息安全应急通报和事件责任单位的信息安全主管领导约谈，具体流程参见附录A。
6. 2 Ⅱ级信息安全事件响应处理
Ⅱ级信息安全事件发生时，事发单位信息管理部门可先期处理，并在2小时内迅速逐级上报至信息管理部，信息管理部安排信息安全运行中心组织对事件进行响应处理，处理完成后，进行集团公司信息安全应急通报，具体流程参见附录A。 6.3 Ⅲ级信息安全事件响应处理
Ⅲ级信息安全事件发生时，事发单位信息管理部门可先期处理，并在4小时内将事件信息上报集
团公司所属单位信息管理部门，集团公司所属单位信息管理部门进行事件应急响应处理，信息安全运行中心支持事件的响应处理；集团公司所属单位将事件处理情况逐级上报至信息管理部，信息管理部组织信息安全运行中心进行信息安全日常通报，具体流程参见附录A。
3 Q/SY1345—2015
附录A (资料性附录)
信息安全事件应急响应流程
I级信息安全事件应急处理流程如图A.1所示。 A. 2 IⅡI级信息安全事件响应处理流程如图A.2所示。
A.1
Ⅲ级信息安全事件响应处理流程如图A.3所示。
A.3
1级信息安全事件应急处理流程
信息安全事件处理
所属单位信
息管理部门
协同应急处理 应急处理反馈
地区公司信
息化工作领
导小组
主管领导谈话
通报接收
信息技术支持中心
通报接收 主管领导谈话
协同应急处理 应急处理反馈
信息安全运行中心
事件处理报告
应急处理
通报执行事件关闭
免聚常念
应急处理支持
事件报告支持
事件处理汇报 信息安全应急
组织应急处理
信息管理部
东件 集团公司信
汇报接收
事件处理决策
图A.1 I级信息安全事件应急处理流程
4