模板:§32 事件报告
说明
本模板组织 §32 BSIG 规定的三阶段报告模型(24 小时早期预警 / 72 小时更新 / 1 个月最终报告)。三个阶段在同一文档中合并管理。
事件主数据
| 字段 | 值 |
|---|---|
| 事件 ID | INC-NIS2-YYYY-XXXX |
| 标题 | [简称] |
| BSI 报告 ID | [由 BSI 分配] |
| 首次报告 | [日期 + 时间] |
| 检测者 | [姓名 / 系统 / 来源] |
| 责任 CISO | [姓名] |
| 重大事件 (§32) | [ ] 是 [ ] 否 – 理由: |
| 并行报告 | [ ] GDPR 第33条 [ ] CRA 第14条 [ ] 无 |
阶段 1:早期预警(24 小时)
| 字段 | 值 |
|---|---|
| 报告日期 | [日期 + 时间,最迟 T+24h] |
| 事件类型 | [勒索软件 / 数据外泄 / DDoS / 内部人员 / 其他] |
| 初始原因假设 | [自由文本] |
| 疑似非法/恶意行为 | [ ] 是 [ ] 否 [ ] 不明 |
| 可能跨境影响 | [ ] 是 [ ] 否 [ ] 不明 |
| 由谁向 BSI 提交 | [姓名 + 提交方式] |
阶段 2:更新(72 小时)
| 字段 | 值 |
|---|---|
| 报告日期 | [日期 + 时间,最迟 T+72h] |
| 严重程度 | [低 / 中 / 高 / 严重] |
| 受影响系统 | [列表] |
| 受影响服务 | [列表,含停机时间] |
| 受影响数据类型 | [PII / 业务数据 / 凭据 / 其他] |
| 受影响人数 | [估计] |
| 入侵指标 (IoC) | [哈希值、IP、域名 – 如可获得] |
| 迄今为止的遏制措施 | [带时间戳的列表] |
| 更新的原因假设 | [自由文本] |
阶段 3:最终报告(1 个月)
| 字段 | 值 |
|---|---|
| 报告日期 | [日期,最迟 T+30 天 – 延期已记录:是/否] |
| 详细描述 | [带时间戳的完整过程] |
| 确认的根本原因 | [根因] |
| 采取的措施 | [立即 / 中期 / 长期] |
| 可验证的有效性 | [如何验证?] |
| 跨境影响 | [是/否,如是:受影响的成员国] |
| 第三方损害 | [描述] |
| BAUER GROUP 损害 | [直接 + 间接,欧元] |
| 经验教训 | [参考经验教训协议] |
| 预防措施 | [列表,含目标日期 + 责任人] |
内部升级
| 接收人 | 何时 | 形式 |
|---|---|---|
| CISO | 检测到时立即 | 电话 + 工单 |
| 管理层 | 高/严重级别或需报告时 | 邮件 + 口头 |
| 危机小组 | 严重级别 | 立即召集 |
| 数据保护官 | 涉及 PII 时 | 1 小时内 |
| 法务部门 | 涉及非法行为时 | 4 小时内 |
保留
- 事件结案后至少 5 年
- 完整存档与 BSI 的往来通信
- 取证级保存证据(证据链)