資訊安全事件調查與處理辦法

一）進行現場勘驗和調查取證，查明資訊安全事件發生的原因、經過以及危害程度

（二）分析事件的性質，查找原因

（三）提出防範此類事件再次發生的改進措施的建議

（四）形成事件調查報告和處理建議

（五）依據法律、法規、規章應當由其他部門處理的，移交給相關部門處理。

第八條 發生重大資訊安全事件的單位應當做好以下工作：

（一）在迅速進行應急處理或者請求其他力量支援進行應急處理的同時，應當立即報告市信安辦，並儘可能儲存好原始證據，保護好現場如涉及違法犯罪的，還應當同時依法報告公安、安全等部門。

（二）發生國家祕密資訊被竊取或者泄露事件的，應當在發現後立即報告並在二十四小時內書面向市保密工作部門報告，並採取有效措施防止國家祕密進一步擴散

（三）積極配合事件調查組開展工作，如實介紹情況，提供客觀證據和相關服務保障

（四）在應急處理過程中，應當採取手工記錄、截屏、檔案備份和影像設備記錄等多種手段，對應急處理的步驟和結果進行詳細記錄。

第九條 事件調查組進行調查處理時，有權向有關單位和人員瞭解情況，任何單位和個人不得拒絕、阻礙、干擾事件調查組的調查和取證工作。

第十條 重大資訊安全事件的調查處理應當在接到事件報告後30天內完成工作，特殊情況不得超過180天。事件調查處理結束後，應當將調查處理結果以適當的方式予以公佈。