（京信息办函 [2004]227号）

　　第一条  为规范本市各级国家机关重大信息安全事件的调查处理，根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《北京市信息化工作领导小组关于加强信息安全保障工作的实施意见》（京办发[2004]3号）以及其他规定，结合本市实际情况，制定本办法。     
    　第二条  本市各级国家机关网络与信息系统发生重大信息安全事件的调查处理工作，适用本办法。
    　第三条  本办法所称的重大信息安全事件是指由于自然灾害、软硬件设备故障、人为失误或者破坏等原因严重影响到本市各级国家机关网络与信息系统的正常运行，出现系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等，从而在国家安全、政治外交、社会稳定或者公众利益等方面造成不良影响以及造成一定程度经济损失的事件。
    　第四条  重大信息安全事件调查处理工作，坚持“统一领导、归口管理、分工负责、协同工作”的原则。各有关单位应当迅速、有效、科学、公正地开展工作。
    　第五条  北京市网络与信息安全协调小组办公室（以下简称市信安办）负责本市国家机关网络与信息系统重大信息安全事件调查处理的组织协调。
    　市信安办应当根据事件的具体情况，组织市网络与信息安全协调小组成员单位（以下简称协调小组成员单位）及相关专业技术机构的人员，组成事件的联合调查组（以下简称事件调查组）；事件调查组成员根据各部门的职责，共同进行事件的调查处理工作。
    　第六条  事件调查组成员应当符合以下条件：
    　（一）与发生的重大信息安全事件没有直接或者间接的利害关系；
    　（二）具有信息安全事件调查处理所需要的专业知识和相关工作经验；
    　（三）涉密信息安全事件调查组成员还应当符合相关要求。
    　第七条  事件调查组的职责：
    　（一）进行现场勘验和调查取证，查明信息安全事件发生的原因、经过以及危害程度；
    　（二）分析事件的性质，查找原因；
    　（三）提出防范此类事件再次发生的改进措施的建议；
    　（四）形成事件调查报告和处理建议；
    　（五）依据法律、法规、规章应当由其他部门处理的，移交给相关部门处理。
    　第八条  发生重大信息安全事件的单位应当做好以下工作：
    　（一）在迅速进行应急处理或者请求其他力量支援进行应急处理的同时，应当立即报告市信安办，并尽可能保存好原始证据，保护好现场；如涉及违法犯罪的，还应当同时依法报告公安、安全等部门。
    　（二）发生国家秘密信息被窃取或者泄露事件的，应当在发现后立即报告并在二十四小时内书面向市保密工作部门报告，并采取有效措施防止国家秘密进一步扩散；
    　（三）积极配合事件调查组开展工作，如实介绍情况，提供客观证据和相关服务保障；
    　（四）在应急处理过程中，应当采取手工记录、截屏、文件备份和影像设备记录等多种手段，对应急处理的步骤和结果进行详细记录。
    　第九条  事件调查组进行调查处理时，有权向有关单位和人员了解情况，任何单位和个人不得拒绝、阻碍、干扰事件调查组的调查和取证工作。
    　第十条  重大信息安全事件的调查处理应当在接到事件报告后30天内完成工作，特殊情况不得超过180天。事件调查处理结束后，应当将调查处理结果以适当的方式予以公布。
    　第十一条  对获取关键证据和确定事件发生原因做出特殊贡献的人员，由相关单位或者部门给予表彰奖励。
    　第十二条  在重大信息安全事件的调查处理中，对于有销毁、篡改、藏匿证据，或者提供虚假证据，干扰、阻碍调查以及授意他人干扰、阻碍调查行为的人员，由市信安办给予通报批评；情节严重的，由相关部门依据有关规定给予党纪、政纪处分。 
    　第十三条  本办法由市信安办负责解释。
    　第十四条  本办法自2004年12月1日起施行。