ICS35.020 CCSL70DB3212 泰州市地方标准 DB3212/T1176—2025 公共数据安全事件应急管理规范 Emergencymanagementspecificationforpublicdatasecurityincidents 2025-01-07发布 2025-02-07实施 发布 泰州市市场监督管理局DB3212/T1176—2025 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由泰州市数据局提出、归口并组织实施、监督。 本文件由泰州市数据局负责具体技术内容的解释。 本文件起草单位：泰州市数据局、泰州市数据产业集团、泰州市标准化院。 本文件主要起草人：许鑫、刘小芳、孙慧、翟敏、陈春阳、陶然、梁鑫晨、顾雅丽、张婧娴、吴薇、 陈蓝生、郭健、李海鹏、王友成。DB3212/T1176—2025 1公共数据安全事件应急管理规范 1范围 本文件规定了公共数据安全事件应急管理的职责权限、事件分类、数据分级、预警预测与报告、应 急处置、应急演练等内容。 本文件适用于泰州市内数据安全事件应急处置工作，文件中所指的事件仅限于数据安全事件，包括 数据泄露、数据删除、数据窃取、数据滥用等。网络、系统和应用等安全事件的处置遵照《信息系统应 急响应流程与预案》执行。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22240信息安全技术网络安全等级保护定级指南 3术语和定义 下列术语和定义适用于本文件。 3.1 数据安全事件datasecurityincidents 数据遭篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权 益造成危害的事件。 3.2 数据安全风险datasecurityrisks 发生数据安全事件的可能或迹象，是一种前瞻性的预判，预判的事件并未发生。 3.3 舆情publicsentiment 公众对现实生活和互联网上某些热点、焦点问题所持的有较强影响力、倾向性的言论和观点，包 括正面和负面的，本规范重点关注互联网舆情涉及敏感数据泄漏（如个人隐私信息等）数据安全事件。 3.4 形式评审formalreview 依据有关规范，对应急预案的层次结构、内容格式、语言文字、附件项目以及编制程序等内容进行 审查，重点审查应急预案的规范性和编制程序。 3.5 要素评审elementreview 依据国家有关法律法规和行业规章，从合法性、完整性、针对性、实用性、科学性、操作性和衔接 性等方面对应急预案进行评审。为细化评审，采用列表方式分别对应急预案的要素进行评审。评审时， 将应急预案的要素内容与评审表中所列要素的内容进行对照，判断是否符合有关要求，指出存在问题及 不足。 3.6 关键要素keyelements 应急预案构成要素中必须规范的内容。包括危险源辨识与风险分析、组织机构及职责、信息报告与 处置和应急响应程序与处置技术等要素。关键要素必须符合实际和有关规定要求。 3.7DB3212/T1176—2025 2一般要素generalelements 应急预案构成要素中可简写或省略的内容。包括应急预案中的编制目的、编制依据、适用范围、工 作原则等要素。 4职责权限 4.1当事人/系统监控 如实还原事件发生时的具体情况，配合对事件进行紧急修复处理。 4.2当事人部门负责人 对归属于自己团队的安全事件的真实性和详细内容进行确认，并评估影响和严重级别，并给出处置 意见和建议。 4.3数据安全事件管理岗 4.3.1制定数据安全事件应急管理规范。 4.3.2开展数据安全事件分析、响应、应急处置等工作。 4.3.3安全事件的跟进和处理工作。 4.3.4开展应急演练工作。 4.3.5对安全事件的真实性和详细内容进行确认，快速定位当事人及责任部门，评估影响及严重程度， 全程跟进事件的处理过程。 4.4责任人/处置人 对已发生的事件进行处置或消除风险。 4.5数据安全管理小组 4.5.1对组织的重大数据安全事件进行协调和决策。 4.5.2收集和响应数据安全事件，对事件的真实性和详细内容进行确认，快速定位当事人及责任部门 并评估影响及严重级别。 4.5.3跟进事件处置过程，对事件发生的原因进行调查。 4.6人事部门 协助数据安全管理部门跟进事件处理过程，对涉及员工处罚的给出处置意见和建议。 5事件分类 5.1数据泄露 5.1.1数据被违规传输或共享到互联网，移动硬盘、网盘等非规定的环境或介质。 5.1.2数据和信息被违规发给不相关或不应有权限查看的内、外部人员。 5.2数据删除 5.2.1需要持久化的数据从数据库被删除和被格式化。 5.2.2需要持久化的数据从存储介质上被删除和被格式化。 5.3数据窃取 5.3.1通过非正常手段违规获取数据库和其他存储介质上的数据。 5.3.2越权访问、非法入侵和攻击网络和数据库等。 5.4数据滥用 5.4.1在拥有权限但没有合理工作场景下随意查询、下载和共享数据。 5.4.2违规查询个人隐私信息、敏感数据等。DB3212/T1176—2025 36数据分级 6.1分级原则 6.1.1升级原则 当处理某具体个案的事件时，如果未及时应对或在处理过程中出现风险泛化和蔓延，事件定级直接 升一级，直至P0（特级事件）为止。 6.1.2就高原则 当事件等级指标有所交叉或难以判断级别时，应按照较高一级事件处理。 6.2分级方法 6.2.1概述 数据安全事件按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素 进行分级。事件影响对象主要包括信息系统、通信网络设施和数据等。 6.2.2事件影响对象的重要程度 按GB/T22240描述的网络安全等级保护定级方法，事件影响对象的重要程度根据国家安全、社会 秩序、经济建设和公众利益以及业务对事件影响对象的依赖程度进行评估，分为3个等级：特别重要、 重要和一般，具体如下： a)特别重要：受到破坏后，对国家安全造成危害，或对社会秩序、经济建设和公共利益造成严重 危害或特别严重危害； b)重要：受到破坏后，对社会秩序，经济建设和公共利益造成危害，或对相关公民，法人和其他 组织的合法权益造成严重或特别严重损害，但不危害国家安全； c)一般：指受到破坏后，对相关公民、法人和其他组织的合法权益造成一般损害，但不危害国家 安全、社会秩序、经济建设和公共利益。 6.2.3业务损失的严重程度 业务损失的严重程度由网络的硬件/软件、功能和数据的损坏导致业务中断影响的严重程度进行评 估，其大小可取决于恢复业务正常运行和消除数据安全事件负面影响所需付出的代价，分为4个级别： 特别严重、严重、较大和较小，具体如下： a)特别严重：造成网络大面积瘫痪，使其丧失业务处理能力，或重要数据/敏感个人信息遭到严 重破坏，恢复业务正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织 是不可承受的； b)严重：造成网络长时间中断或局部业务瘫痪，使其业务处理能力受到极大影响，或重要数据/ 敏感个人信息遭到破坏，恢复业务正常运行和消除安全事件负面影响所需付出的代价巨大，但 对于事发组织是可承受的； c)较大：造成网络中断，导致业务处理能力受到较大影响，或数据/个人信息受到损害，恢复业 务正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的； d)较小：造成网络短暂中断，导致业务处理能力受到一定影响，或数据/敏感个人信息受到影响， 恢复业务正常运行和消除安全事件负面影响所需付出的代价较小。 6.2.4社会危害的严重程度 社会危害的严重程度根据对国家安全、社会秩序、经济建设和公众利益等方面的危害程度进行评估， 分为4个级别：特别重大、重大、较大和一般，具体如下： a)特别重大：波及一个或多个省市的大部分地区，危害到国家安全，引起社会动荡，对经济建设 有极其恶劣的负面影响，或者特别严重损害公众利益； b)重大：波及一个或多个地市的大部分地区，影响到国家安全，引起社会恐慌，对经济建设有恶 劣的负面影响，或者严重损害公众利益；DB3212/T1176—2025 4c)较大：波及一个或多个地市的部分地区，不影响国家安全，但是扰乱社会秩序，对经济建设或 者公众利益造成一般损害，对相关公民、法人或其他组织的利益会造成严重损害或特别严重损 害； d)一般：波及一个地市的部分地区，不影响国家安全、社会秩序、经济建设和公众利益，但是对 相关公民、法人或其他组织的利益会造成一般损害。 6.3事件分级 6.3.1特级事件（P0） 特级事件发生在特别重要的事件影响对象上，并且： a)导致特别严重的业务损失，或 b)造成特别重大的社会危害。 6.3.2重大事件（P1） 重大事件发生在特别重要或重要的事件影响对象上，并且： a)导致特别重要的事件影响对象遭受严重的业务损失或导致重要的事件影响对象遭受特别严重 的业务损失，或 b)造成重大的社会危害。 6.3.3较大事件（P2） 较大事件发生在特别重要或重要或一般的事件影响对象上，并且： a)导致特别重要的事件影响对象遭受较大或较小的业务损失，或重要的事件影响对象遭受严重或 较大的业务损失，或导致一般的事件影响对象遭受较大（含）以上级别的业务损失，或 b)造成较大的社会危害。 6.3.4一般事件（P3） 一般事件发生在重要或