《办法》第12条将网络安全事件定义为“由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或其中的数据造成危害，对社会造成负面影响的事件”。该定义沿用了《国家网络安全事件应急预案》（2017年1月10日起实施，以下简称“《应急预案》”）的定义。

此外，《办法》附件2《网络安全事件信息报告表》“初步事件类型”部分对网络安全事件的分类同样沿用了《应急预案》有关网络安全事件分类的标准。如进一步追溯，该分类标准实际上基于2007版《信息安全技术 信息安全事件分类分级指南》（GB/Z 20986-2007，以下简称“《旧指南》”）规定的信息安全事件分类标准。在该等分类标准下，网络/信息安全事件分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件，共7大类。

值得一提的是，2023年12月1日开始实施的《信息安全技术 网络安全事件分类分级指南》（GB/T 20986-2023，以下简称“《新指南》”，取代了《旧指南》），对网络安全事件的定义、分类分级标准等进行了补充和调整。《新指南》对网络安全事件的定义是“由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或者其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件”。就网络安全事件的分类，《新指南》新增3类网络安全事件（即“违规操作事件”、“安全隐患事件”和“异常行为事件”）至10个大类；《新指南》还将“信息破坏事件”改名为“数据安全事件”，将“灾害性事件”改名为“不可抗力事件”；此外，《新指南》还对相关事件子类进行了补充调整。网络安全事件的定义及其分类标准，对于网络安全事件报告乃至事件全生命周期管理而言，具有基础性地位。网络安全事件的内涵与外延，《办法》与《新指南》之间的协调，有待观察。

发生网络安全事件后，需综合考量各方面因素后谨慎判定并采取充分而恰当的措施进行响应——响应不力和过度响应都将对组织造成经济和声誉等方面的损害。因此，在事件分类的基础上，针对特定类型的事件，需进一步根据事件的严重程度采取相应比例的响应措施。

网络安全事件分级即根据事件的严重程度（比如影响对象的重要程度、危害的严重程度等维度）将网络安全事件分为不同的级别。针对特定级别的事件，组织需采取相称的响应措施，并履行报告等义务。其中，除向监管机构报告外，组织还需注意向受影响的个人、客户、保险公司等利益相关方的通知/报告义务。

《办法》附件1《网络安全事件分级指南》将网络安全事件分为4级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件，同样沿袭了《应急预案》的分级标准（而没有参照《新指南》的分级标准），同时在其基础上进一步丰富和细化了分级实例。例如，以个人信息泄露事件为例，达到“特别重大网络安全事件”门槛的标准是“泄露1亿人以上个人信息”；达到“重大网络安全事件”门槛的标准是“泄露1000万人以上个人信息”；达到“较大网络安全事件”门槛的标准是“泄露100万人以上个人信息”。该等数量门槛标准，实际上对标了工业和信息化部2017年《公共互联网网络安全突发事件应急预案》（以下简称“《工信部应急预案》”）项下事件分级标准对应的数量门槛。

下表对《办法》和《应急预案》的网络安全事件分级标准做了概要比对。

在网络安全事件分级基础上，《办法》第4-9条提出了以下报告要求：

《办法》第10、11条规定了不履行网络安全事件报告义务的法律责任：

• 不按《办法》规定报告网络安全事件的，网信部门将依据有关法律、行政法规进行处罚。对此，《网络安全法》第59条[2]、《数据安全法》第45条[3]等均已明确规定了不履行网络/数据安全事件报告义务的相关处罚，处罚对象涉及事发单位和相关责任人。

• 因运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对运营者及有关责任人依法从重处罚。

• 发生网络安全事件时，运营者已采取合理必要的防护措施，按照本办法规定主动报告，同时按照预案有关程序进行处置、尽最大努力降低事件影响，可视情免除或从轻追究运营者及有关责任人的责任。

（一）以点带面——网络安全事件管理生命周期

除报告之外，网络安全事件管理生命周期还涉及诸多方面。正如上文《办法》规定的可免除或从轻处罚的情形，在遭受网络安全事件时，只有全面做好事件管理才能顺利渡过危机。以全球网络、信息、软件与基础设施安全领域广受认可的ISC2（国际信息系统安全认证联盟）CISSP（注册信息系统安全专家）事件管理过程为例，其将事件管理细分为7个步骤，包括：1.检测Detection、2.响应Response、3.抑制Mitigation、4.报告Reporting、5.恢复Recovery、6.补救Remediation、7.总结教训Lessons Learned，其中总结教训阶段的结果反过来用于改进检测方法以及预防未来再次发生安全事件（如下图所示）。

具体而言：

1.检测 Detection，通常通过部署网络安全技术手段实现，例如入侵检测和预防系统（IDPS）、防病毒和反恶意软件程序等。

2.响应 Response，包括对安全事件开展调查、进行评估、收集证据等工作。

3.抑制 Mitigation，旨在遏制事件的发展，限制事件的影响范围。抑制通常包括将被攻击系统与其他系统隔离，断开或暂时关闭被攻击系统，以及断开网络连接等。

4.报告 Reporting，涉及组织内部向管理层通报事件，以及将事件报告给监管机构，以及受影响的个人、客户、保险公司等利益相关方。

5.恢复 Recovery，旨在将系统恢复至攻击前的正常运行状态。恢复是对组织的数据备份、系统配置和变更管理的考验。

6.补救 Remediation，包括查明和分析事件发生的根本原因，然后采取针对性措施防止事件再次发生。例如，如果通过根本原因分析识别出系统没有打上最新补丁，则补救措施将包括执行补丁管理等。

7.总结教训 Lessons Learned，旨在审视和改进组织的事件管理过程，包括：如果攻击是通过逃避检测实现的，则组织应改进入侵检测系统；如果响应耗时过长，则要查明原因并改进完善组织的应急响应预案等等。

网络安全领域有关事件管理的标准和实践可能不尽相同，但基本涵盖了相同的元素。建议组织结合自身实际情况建立和完善组织的网络安全事件管理过程。

（二）未雨绸缪/亡羊补牢——网络安全事件的预防

若无远虑，必有近忧。一次网络安全事件对于组织来说可能是一次危机：组织的业务连续性瞬时承压，可能遭受巨大的经济以及声誉损失，需在短时间内妥善响应以及向监管机构报告等等。因此，建议组织未雨绸缪/亡羊补牢，做好应对（下一次）网络安全事件的充分准备。对此，基于相关法规、标准、业界良好实践，以及我们协助处置网络安全事件的实务经验，建议可从以下方面着手。

1.建立健全网络安全管理制度、采取网络安全技术防护措施，例如：

• 制定和执行网络安全策略，包括加密、访问控制、备份和恢复等；

• 部署扩展检测和响应（XDR）、安全信息和事件管理（SIEM）解决方案等；

• 定期对网络系统进行安全测评，发现和修复潜在的安全风险。

2.制定和完善网络安全事件应急预案，包括：

• 参考RACI模型，明确组织内参与事件响应的角色及其责任，涉及CIO/CISO、DPO、IT、法务、公关等；

• 绘制事件响应流程图，直观呈现事件响应的主要节点和整体流程，便于在事件响应过程中供各方高效执行；

• 定义组织自身的事件分类分级判定工具，以供组织基于法规要求、服务等级协议等规定通知、报告监管机构，以及受影响的个人、客户等利益相关方；

• 编制详细的事件响应手册，包括：启动预案的条件、应急小组构成、报告义务、应急资源保障、事后教育和培训等内容；此外，考虑制定针对特定类型的重要事件（如勒索软件事件等）、针对特定系统的应急指南。

3.定期对相关人员进行网络安全事件应急预案培训，并进行应急预案的演练（如每年一次），包括：桌面演练、模拟演练、实战演练等形式。

4.定期对原有网络安全事件应急预案进行重新评估，修订完善。

5.鉴于响应网络安全事件的紧急性、专业性，考虑尽早（而非在网络安全事件发生后才）寻求第三方安全、律师、公关等团队的支持。

[1]《办法》第5条规定：运营者应当按照《网络安全事件信息报告表》报告事件，至少包括下列内容：

（一）事发单位名称及发生事件的设施、系统、平台的基本情况；

（二）事件发现或发生时间、地点、事件类型、已造成的影响和危害，已采取的措施及效果。对勒索软件攻击事件，还应当包括要求支付赎金的金额、方式、日期等；

（三）事态发展趋势及可能进一步造成的影响和危害；

（四）初步分析的事件原因；

（五）进一步调查分析所需的线索，包括可能的攻击者信息、攻击路径、存在的漏洞等；

（六）拟进一步采取的应对措施以及请求支援事项；

（七）事件现场的保护情况；

（八）其他应当报告的情况。

[2]《网络安全法》第59条规定：网络运营者不履行本法第二十一条、第二十五条（有关网络安全事件报告）规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

[3]《数据安全法》第45条规定：开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条（有关数据安全事件报告）、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。