《信息安全事件分类分级指南》（征求意见稿）编制说明一、项目背景目前国外对信息安全事件的分类分级还没有单独的标准和指南，不过在与信息安全事件相关的标准或文献中对信息安全事件的分类分级有所描述，例如ISO/IEC18044《信息安全事件管理》、NISTSP800-61《计算机安全事件处理指南》等。18044给出了信息安全事件的定义，明确提出应建立用于给事件“定级”的信息安全事件严重性衡量尺度。但18044没有给出如何确定事件的级别，以及事件级别的描述，只在附录给出了信息安全事件负面后果评估和分类的要点指南示例。18044中没有给出具体的信息安全事件的分类，其第6节描述了信息安全事件及其原因的举例，介绍了拒绝服务、信息收集和未经授权访问三种信息安全事件。在标准的附录A：信息安全事件报告单示例中，列出了在事件报告中可参考的事件类别。NISTSP800-61《计算机安全事件处理指南》针对安全事件处理，特别是安全事件相关数据的分析以及确定采用哪种方式来响应每一安全事件提供指南。在本指南中没有明确给出计算机安全事件的定义，只是对安全事件作出了解释。本治安介绍了安全事件的分类，但明确说明所列出的安全事件分类不是包罗一切的，也不打算对安全事件进行明确的分类。2003年出版的LANDEurope在为EuropeanCommissionDirectorate-GeneralInformationSociety研究并得到授权和赞助的《在欧盟国家中计算机和网络滥用立法规程手册》2002年中，提出一个计算机滥用和安全事件的分析框架来描述和分类。手册将信息安全事件分成了九类。并给出了它们的定义、使用的技术以及攻击方法和特点。它只是将攻击行为描述成样本，而不是提供无一遗漏的清单。在国内，北京市出台了《北京市国家机关重大信息安全事件报告制度（试行）》，并为配合报告制度，随同发布了《北京市国家机关信息安全事件定级指南（试行）》，其中对安全事件的分类分级做出了描述，并于05年进行了修订。“国家网络与信息安全信息通报中心”为规范和指导通报成员单位的信息安全事件的通报工作，编写制定了《网络与信息安全事件分类分级办法》，本办法规定了信息安全事件的分类分级原则并对事件的各类别和级别进行了描述，还规定了事件的报告流程。根据国家关于应急处理制度和网络与信息安全信息通报制度的有关文件精神和要求，急需制定信息安全事件分类分级的标准，来指导用户对信息安全事件进行分类定级，以便于更好的对信息安全事件进行应急处理和通报。信息安全事件的应急处理和通报是国家信息安全保障体系中的重要环节，也是重要的工作内容。信息安全事件的分类分级是应急处理和通报的基础。制定《信息安全事件分类分级指南》的目标是对信息安全事件进行合理的分类分级，其意义在于：①促进信息安全事件信息的交流和共享；②提高信息安全事件应急处理和通报的自动化程度；③提高信息安全事件应急处理和通报的效率和效果；④利于对信息安全事件进行统计分析；⑤利于信息安全事件严重程度的确定。《信息安全事件分类分级指南》课题组在积极学习、研究、分析相关国际标准及资料的同时，组织编写了《信息安全事件分类分级指南》，主要用于为国内各组织实施应急处理和通报提供借鉴和参考，另外，更重要的是以国内各组织的实际需求为基础，研究合理的信息安全事件分类分级规范，为进一步促进该项工作，特向各专家广泛征求意见。二、内容概述现今信息安全问题日益凸现，信息安全事件时常发生，而且还没有一劳永逸的解决方案能够完全消除所有的信息安全风险。《信息安全事件分类分级指南》规定了信息安全事件的分类分级规范，用于信息安全事件的防范与处置，为事前准备、事中应对、事后处理提供一个基础指南，可供信息系统的运营和使用组织参考使用。本标准旨在给出信息安全事件分类分级的普适性原则，各单位在使用时，可根据本标准规定的原则，结合自己单位的实际情况，制定适合自己单位的行业或部门规范，以便于操作。2.1术语和定义本指南给出了信息系统以及信息安全事件的定义。信息安全事件一般发生于信息系统之中，但目前的标准中缺乏对信息系统的准确定义，因此，本指南在研究相关资料的基础上，定义了信息系统的术语，参考了《中华人民共和国计算机信息系统安全保护条例》中关于“计算机信息系统”的定义。一个准确的信息安全事件的定义对于理解掌握信息安全事件的内涵非常关键，另外，定义也要给出对信息安全事件的界定。本指南通过对现有信息安全事件的研究分析，对其特征进行归纳和总结，并参考其他标准以及专家的反馈意见，根据现有的一些定义结合项目要求总结出了信息安全事件的定义：由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件。2.2信息安全事件分类信息安全事件的分类有利于