9月15日，国家互联网信息办公室正式发布《国家网络安全事件报告管理办法》（以下简称《办法》），并将于2025年11月1日起施行。这部新规的核心内容在于其以“时限”为硬杠杆，为网络安全事件的上报提出了清晰的要求。

　　同时，全国网络安全标准化技术委员会于9月22日发布《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》（以下简称“《指南》”）。该《指南》在《GB/T 20986-2023信息安全技术 网络安全事件分类分级指南》的基础框架上，将网络安全事件分类分级方法与管理措施，同生成式AI服务特有的安全要求、技术特点及典型应用场景进行了深度融合。

　　监管机构发布的这一系列文件并非简单的流程调整，而是标志着国家对网络安全事件的管理重心已从企业内部的“应急处置”阶段，前移至面向监管的“强制报告”时刻，将重塑企业安全运营的底层逻辑与响应范式。

　　《国家网络安全事件报告管理办法》的主要内容概括如下：

　　《国家网络安全事件报告管理办法》要点概括

　　《办法》对于企业的潜在影响主要有以下几个方面：

　　《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》的主要内容概括如下：

　　为了满足《办法》的合规要求，同时系统性地提升网络安全运营能力，众多企业已开始梳理优化自身的事件响应及报告流程。普华永道观察到，勒索软件攻击持续占据企业网络安全事件的首要位置，被视为组织安全运营所面临的最严峻威胁。从2024年开始，勒索软件态势变得越来越不可预测和多样化。勒索软件攻击已从早期由个体黑客发起的零散、技术门槛较高的恶意行为，演进为一个高度成熟、分工明确的全球化地下产业体系。除了大型RaaS（Ransomware-as-a-Service，勒索软件即服务）市场领导者之外，小型的、新的勒索软件攻击参与者正在或者已经建立了自己的地位。

　　基于普华永道在多项网络安全事件应急响应服务中积累的理解与经验，一些企业在网络安全事件管理方面展现出具有借鉴意义的实践。以下从事件前预防准备与事件后响应恢复两大时间维度，对这些实践要点进行总结。

　　网络安全事件发生前要做什么

　　1. 审阅网络安全事件应急响应策略

　　结合企业具体业务情境进行分析，识别面临的核心网络安全风险，并明确最可能发生的网络安全事件类型（例如，勒索软件、数据泄露、网络钓鱼等）。评估企业当前针对网络安全事件的应急响应策略，审视人力和物力资源配置现状，以确认网络安全事件处置和报告能力是否能够满足《办法》的要求。识别其中的欠缺部分，制定网络安全事件管理能力提升行动方案。

　　2. 借助“红队测试”识别潜在技术漏洞及业务影响

　　通过完全模拟真实世界黑客攻击行为的“红队测试”，识别IT环境中不同类别资产潜在的安全漏洞，结合资产价值及风险敞口，评定风险等级与业务影响，积极修复漏洞并提升安全防御能力。

　　3. 修订网络安全事件应急响应流程

　　明确网络安全事件响应团队的负责人和成员构成，清晰界定团队在事件不同处置阶段的职责范围。设计清晰的事件响应和报告流程，修订相关策略、指南和程序文档，确保适时有效进行事件处理，并且在《办法》要求的时限内收集所需上报的信息。

　　需要注意的是，《办法》在附件中配套提供了《网络安全事件分级指南》，为企业内部网络安全事件分级提供了参照依据，企业应据此制定符合自身实际的分级指南。

　　《网络安全事件分级指南》概括

　　* 一般网络安全事件：除上述网络安全事件外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。

　　4. 举行网络安全事件应急响应演练

　　编制应急响应流程，设计针对不同层级（如管理决策层、技术执行层、普通员工）的专项培训，确保相关人员清晰理解自身职责及应急响应流程的行动准则。

　　举行以真实的网络攻击场景为蓝本的应急响应演练，检查应急响应流程的有效性，评估是否满足《办法》要求的报告能力。同时，网络安全事件应急响应演练的参与主体应覆盖所有关键利益相关方，而非局限于IT部门。对于跨国企业，尤其应关注涉及跨地域跨时区的应急响应协调流程，确保具备充足的预案和充分的本地授权，以满足《办法》所要求的报告时限。

　　网络安全事件发生后要做什么

　　1. 实施有效的网络安全事件应急响应

　　按照网络安全事件应急响应流程立即进行事件判定和处置，获取专家支持，借助“外脑”资源力求在最短时间内遏制攻击的扩散，及时恢复业务正常运行。同时根据《办法》第七条的要求，准确记录响应工作过程中必要的信息，及时向有关部门进行上报。

　　2. 调查网络安全事件发生的根本原因

　　调查网络安全事件发生的根本原因，进行攻击取证和溯源工作。应识别攻击来源、传播路径和影响范围等，还原完整的攻击过程。针对调查结果制定整改方案，降低类似网络安全事件重复发生的可能性。应根据《办法》第七条和第八条的要求总结事件发生原因、造成的危害、完善整改情况等信息，及时上报阶段性进展。

　　3. 总结经验教训以持续强化安全运营

　　梳理和总结网络安全事件处置和调查的全过程，通过整改行动进一步强化企业对于网络安全事件的预防、检测、响应和恢复能力。将网络安全事件应急响应管理工作融入安全运营中，建立度量指标验证有效性，形成闭环管理。根据《办法》第七条和第八条的要求，企业还需在网络安全事件处置工作结束后30日内及时完成全面分析总结报告。

　　《办法》的实施给企业的网络安全事件应急响应处置能力带来了更高的挑战，更是推动企业构建系统化、规范化应急响应体系的重要契机。其对事件分级、处置流程、报告时效的明确要求，将促使企业补齐“应急响应碎片化”、“责任边界模糊”等短板，最终实现网络安全应急响应从“满足合规”到“保障业务”的跨越，筑牢数字化发展的安全屏障。