文件编码：XXX-XXXX-019 数据安全事件应急 管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为加强数据安全事件应急管理，对已发生的安全事件进行及时有效 处理，最大限度降低数据安全事件产生的影响，并预防类似事件再次发生，特制 定本规范。 第二条 本规范适用于北京思度咨询科技有限公司的数据安全事件应急处置 工作。 第三条 本规范中所指的事件仅限于数据安全事件，包括数据泄露、数据窃 取、数据滥用、数据误删除等。网络、系统和应用等安全事件的处置遵照《信息 系统应急响应流程与预案》执行。 第二章术语定义 第四条 数据安全事件： 指已发生且造成影响的数据被泄露、滥用、删除及 窃取等安全行为，如违规下载或外泄公司敏感数据或个人隐私信息，误操作导致 数据被删除或泄露等。 第五条 数据安全风险： 发生数据安全事件的可能或迹象，是一种前瞻性的 预判，预判的事件并未发生。 第六条 舆情：指公众对现实生活和互联网上某些热点、焦点问题所持的有 较强影响力、倾向性的言论和观点，包括正面和负面的，本规范重点关注互联网 负面舆情。 第三章职责权限 第七条 数据安全领导小组，主要履行的职责包括但不限于： （一）负责对组织的重大数据安全事件进行协调和决策； （二）负责收集和响应数据安全事件，对事件的真实性和详细内容进行确认 ， 快速定位当事人及责任部门，并评估影响及严重级别。 第八条 数据安全事件管理岗主要履行的职责包括但不限于： （一）参与制定数据安全事件应急管理规范； （二）开展数据安全事件分析、响应、应急处置等工作； （三）负责安全事件的跟进和处理工作； 第 1 页 共 7 页 （四）组织开展应急 演练工作； （五）对安全事件的真实性和详细内容进行确认，快速定位当事人及责任部 门，并评估影响及严重 基本，全程跟进事件的处理 过程。 第九条 事件当事人：如是 还原事件发生时的 具体情况，配合对事件进行 紧 急修复处理，尽可能将损失降到最小。 第十条 责任人/处置人：对已发生的事件进行处置或 消除风险，及时 止损。 第十一条 当事人部门负责人：对 归属于自己团队的安全事件的真实性和详 细内容进行确认，并评估影响和严重级别，并 给出处置意见和建议。 第十二条 数据安全管理小组：对上 报的安全事件进行确认，跟进事件处置 过程，对事件发生的 原因进行调查，并将调查结果上报数据安全领导小组。 第十三条 人事部门：协 助数据安全管理小组跟进事件处理 过程，对涉及员 工处罚的给出处置意见和建议。 第四章 数据安全事件分类 第十四条 数据泄露。指数据被违规 传输或共享到非公司规定的 环境或介质， 如外泄到公网，移动硬盘、网盘，或将数据和信息发 给不相关或不应有权限 查看 的内、外部人 员。 第十五条 数据删除。指 需要持久化的数据从数据库或其他存储介质上被删 除和被格式化。 第十六条 数据窃取。通 过非正常手段违规获取数据库和其他存储介质上的 数据，非法手段包括但不限于 越权访问、非法入侵和攻击网络和数据 库等。 第十七条 数据滥用。 在拥有权限但 没有合理工作场景下随意查询、下载和 共享数据。如违规 查询个人隐私信息、公司敏感数据等。 第五章 数据安全事件分级 第十八条 特级事件（P0） （一）受到或可能受到监管部门的重大行 政处罚（如责令暂停核心业务、停 业整顿、关闭网站、吊销营业执照或吊销相关业务许可证），或者刑事处罚的； （二）对公司造成或可能造成重大 经济损失、声誉损失或恶劣社会影响的 （如引发大范围媒体负面报道/传播）； 第 2 页 共 7 页（三）引发特大量用户投诉，且极可能造成严重 纠纷或客户流失，对公司造 成或可能造成重大 经济、声誉损失或恶劣社会影响。 第十九条 重大事件（P1） （一）受到或可能受到行政机关一般行政处罚的（如书面警告、没收违法所 得、行政罚款等）； （二）对公司造成或可能造成较大 经济损失、声誉损失或产生较大 社会影响 的（如引发较大范 围媒体负面报道/传播）； （三）引发大量用户投诉，核心业务的上下游合作伙伴投诉，且极可能造成 严重纠纷或客户流失，对公司造成或可能造成较大 经济、声誉损失或产生较大 社 会影响的。 第二十条 较大事件（P2） （一）受到行政机关通过来电/当面等方式表示关注的； （二）对公司造成或可能造成一定 经济损失、声誉损失的(如小范围或个别 媒体负面报道/传播)； （三）引发部分用 户投诉，非核心业务的上下游合作伙伴投诉，可能造成部 分纠纷或客户流失，对公司造成或可能造成一定 声誉损失的。 第二十一条 一般事件（P3） （一）轻微影响个人信息主 体或组织合法权益的，但未造成 合规和媒体负面 报道的； （二）对公司未造成 经济损失的； （三）未 引发用户及上下游合作伙伴投诉的。 第二十二条 事件定级及 升级原则 （一）升级原则。当处理某 具体个案的事件时，如 果未及时应对或 在处理过 程中出现风险泛化和蔓延，事件定级 直接升一级，直至P0（特级事件）为 止。 （二）就高原则。当事件等级指 标有所交叉或难以判断级别时，应 按照较高 一级事件处理。 第六章 数据安全事件应急处置流程 第二十三条 数据安全事件应急处置工作 涉及多个角色，重大事件处置流程 如图1所示： 第 3 页 共 7 页图1 重大数据安全事件应急处置流程 第二十三条 复盘和总结 （一）复盘会议 数据安全事件管理岗全程跟进事件的处理 过程，保证事件能得到及时有效的 处理，待紧急修复止损和查到原因后，组织相关人员进行复盘和总结，复盘及报 告内容包括但不限于：发现人、发现 途径、事件内容 概述、事件处理 经过、当事 人、当事人所 属部门、受影响业务/部门、数据敏感级别、已造成的影响、事件 严重级别、导致事件 原因、紧急修复措施、预防措施、总结和反思。 （二）处置和通 报(如有) 数据安全管理小组和人事负责人 介入调查，调查报告和处置提案提交数据安 全领导小组进行 相应处置，确定为违规的， 由数据安全管理小组主导 提出处罚提 案，经当事人所 属部门负责人确认 后，进行处 罚和公告；对因为事件处理 得当避 免公司声誉受损或利益未受损失的，进行 表彰。 （三）备案和归档 第 4 页 共 7 页数据与网络安全部对事件 报告及处置结果报告等进行归档，方便后续回溯和 查阅。 第七章 应急预案的编制 第二十四条 应急预案的编制应当 符合下列基本要求： （一）符合有关法律、法规、规章和 标准的规定； （二）结合本公司的实 际情况； （三）结合本公司的 危险性分析情 况； （四）应急组织和人 员的职责分工 明确，并有 具体的落实措施； （五）有 明确、具体的事故预防措施和应急程序，并与 其应急能力 相适应； （六）有 明确的应急 保障措施，并能满足本公司的应急工作要 求； （七）预案 基本要素齐全、完整，预案附件提供的信息准确； （八）预案内容与 相关应急预案 相互衔接。 第二十五条 应急预案应当包括应急组织 机构人员的联系方式、应急物资装 备清单等记录信息。记录信息应当 经常更新，确保信息准确有效。 第八章 应急预案的评 审 第二十六条 评审方法，应急预案评 审采取形式评审和要素评审两种方法。 形式评审主要用于应急预案 备案时的评 审，要素评审用于应急预案评 审工作。应 急预案评 审采用符合、基本符合、不符合三种意见进行判定。对于 基本符合和不 符合的项目，应给出具体修改意见或建议。 （一）形式评审。依据有关规范，对应急预案的 层次结构、内容格式、语言 文字、附件项目以及编制程序等内容进行 审查，重点审查应急预案的规范性和编 制程序。 （二）要 素评审。依据国家有关法律法规和行业规章，从合法性、完整性、 针对性、实用性、科 学性、操作性和 衔接性等方面对应急预案进行评 审。为细化 评审，采用列表方式分别对应急预案的要 素进行评审。评审时，将应急预案的要 素内容与评 审表中所列要素的内容进行对照，判 断是否符合有关要求，指出存在 问题及不 足。 第二十七条 应急预案要 素分为关键要素和一般要素。 第 5 页 共 7 页（一）关 键要素是指应急预案 构成要素中必须规范的内容。包括 危险源辨识 与风险分析、组织 机构及职责、信息 报告与处置和应急响应程序与处置技术等要 素。关键要素必须符合公司实际和有关规定要 求； （二）一 般要素是指应急预案 构成要素中可简写或省略的内容。包括应急预 案中的编制 目的、编制 依据、适用范 围、工作原则等要素。 第二十八条 评审程序：应急预案编制 完成后，应对应急预案进行评 审。 （一）评 审准备。成立应急预案评 审工作组，成 员包括技术中 心、数据与网 络安全部及 保障服务中心各部门负责人及数据安全 服务人员。 （二）组织评 审。评审工作由数据安全事件管理岗主持，应急预案评 审工作 组讨论并提出会议评审意见。现场处置方案的评审，采取演练的方式对应急预案 进行论证。 （三）修订 完善。数据安全管理 员及数据安全事件管理岗应认真组织分析 研 究评审意见，按照评审意见对应急预案进行修订和 完善。 （四）批准 印发。应急预案 经评审或论证，符合要求的，由数据安全领导小 组签发。 第九章 应急预案的实 施 第二十九条 公司采取多种形式开展应急预案的 宣传教育，提高员工的信息 安全意识和应急处置技能。 第三十条 定期组织开展本单位的应急预案 培训活动，使有关人员了解应急 预案内容， 熟悉