1、中华人民共和国互联网网络安全应急预案ISO27001认证参考资料中华人民共和国互联网网络安全应急预案(ISO27001认证参考资料)中华人民共和国互联网网络安全应急预案内容概述: 1. 总 则 1.1 目 的 建立健全互联网网络安全应急处理工作机制,提高互联网网络安全应急处理能力和水平,保障互联网网络安全。 1.2 工作原则 互联网网络安全应急处理工作坚持统一领导、分工负责、及时预警、协作配合、快速处理、确保恢复的原则。 1.3 编制依据依据中华人民共和国电信条例等有关法规和规章制度,制定本预案。1.4 适用范围本预案适用于发生下述重大突发事件时的互联网网络安全应急工作。启动/终止预案,并负责
2、互联网网络安全应急工作的总体指挥和调度;在紧急情况下,经国务院批准,统一调用全国各种网络资源,做好互联网网络安全应急的组织协调工作。国家通信保障应急领导小组下设互联网应急处理工作办公室,负责互联网网络安全应急工作方面的日常事务处理及互联网网络安全应急响应期间的具体组织协调工作。 2.2 互联网网络安全应急组织体系 国家通信保障应急领导小组负责组织、协调各经营性互联单位和国家计算机网络应急技术处理协调中心(以下简称CNCERT/CC)进行互联网网络安全应急工作。各经营性互联单位负责监测和分析本网运行状况,及时上报发现的网络异常和安全事件;在国家通信保障应急领导小组的统一指挥下,采取有效措施,处理
3、本网的网络安全事件;通知本网用户及时进行安全加固,消除安全隐患。 CNCERT/CC负责为互联网网络安全应急处理工作提供技术支撑;协调和配合经营性互联单位的应急技术处理及演练;利用技术平台对互联网网络安全事件进行监测,及时收集、核实、汇总、分析、上报有关互联网网络安全信息;保持与非经营性互联单位、亚太地区应急响应组织(APCERT)和国际安全事件响应论坛(FIRST)等国际组织间的密切联系,积极参与国际互联网网络安全事件应急处理合作。 3. 预警和预防机制 各经营性互联单位和CNCERT/CC应从制度建立、技术实现、业务管理等方面建立健全互联网网络安全的预警预防机制。 3.1 互联网网络安全事
4、件的分级互联网网络安全事件根据危害和紧急程度分为 “四级/一般”、“三级/预警”、“二级/报警”、“一级/紧急”四种,分别对应 “蓝”、“黄”、“橙”、“红”四种颜色标记。 3.2 信息监测各经营性互联单位配合CNCERT/CC,于每天中午12时以前采集其互联网前24小时内的下列运行状态信息: (1)省以上骨干网路由器和核心交换机的访问日志,内容包括:设备所在地、路由器名称、IP地址、访问者、访问者IP地址、访问时间、访问成功与否;(2)骨干网路由器的流量信息。 CNCERT/CC利用自身监测的技术平台实时监测和汇总从各互联单位采集的互联网运行状态相关信息,分析互联网网络安全状况,及时向互联网
5、应急处理工作办公室做出我国公共互联网发生或可能发生重大网络安全事件的报告。 3.3预警预防行动 (1)各经营性互联单位于每月20日前,向互联网应急处理工作办公室上报本网上月安全事件处理报告;于每年1月31日前,上报本网上一年度网络安全分析报告。 (2)信息监测发现可能发生三级及以上互联网网络安全事件情况时,各经营性互联单位和CNCERT/CC按要求向互联网应急处理工作办公室上报有关预警信息。互联网应急处理工作办公室按要求将有关预警信息上报国家通信保障应急领导小组、通报各经营性互联单位和CNCERT/CC。 CNCERT/CC负责及时将有关预警信息通报非经营性互联单位,并在遵循我外交政策和我部已
6、确定的互联网应急国际合作原则的前提下,经互联网应急处理工作办公室批准,通过已确立的国际沟通渠道,向国际组织机构或具有合作关系的外国组织机构通报相关信息。各经营性互联单位应及时将有关预警信息及处理方法通知其有关用户。信息上报/通报内容和时限的具体要求见“4.应急响应”。 3.4 预警支持系统 各互联单位应建设必要的安全保障技术平台,逐步实现对本单位互联网网络运行状态数据的汇总分析。 CNCERT/CC建设的技术监测平台作为互联网安全应急处理的核心平台,与各经营性互联单位的网络管理中心、网络安全保障技术平台一起构成互联网网络安全应急的技术支撑系统。CNCERT/CC应建设应急处理专用的信息沟通与数
7、据交换平台,用于实现相关单位之间的应急处理信息交流,包括信息通报、资源共享等。 4 应急响应 4.1 分级响应程序 “四级/一般”级别的互联网网络安全事件由各经营性互联单位和CNCERT/CC通过预警信息沟通,自行处置。 当互联网应急处理工作办公室接到各经营性互联单位或CNCERT/CC关于我国公共互联网发生或可能发生“三级/预警”、“二级/报警”、“一级/紧急”级别的互联网网络安全事件的紧急报告时,报请国家通信保障应急领导小组批准,指示各经营性互联单位及CNCERT/CC启动应急预案并进入相应的分级应急响应工作程序。CNCERT/CC负责将有关情况及时通报非经营性互联单位。在国内发生特别重大
8、突发公共事件以及召开重要会议、重大国事活动等特殊重要时期,没有发生三级以上重大互联网安全事件时,互联网应急处理工作办公室根据国家通信保障应急领导小组的指示,通知各有关单位按照“三级/预警”安全事件的处理要求和流程做好应急准备;当发生或可能发生三级及以上重大互联网安全事件时,各有关单位应根据本预案,按高一级安全事件的处理要求和流程进行各项应急处理。 4.2 应急处理流程 在“三级/预警”、“二级/报警”、“一级/紧急”安全事件发生或可能发生的情况下,按照以下流程进行处理: (1)互联网应急处理工作办公室向各经营性互联单位和CNCERT/CC通报安全事件情况,指令各经营性互联单位和CNCERT/C
9、C立即启动各自相应的应急处理程序。 (2)CNCERT/CC根据指令,针对具体的安全事件类别采取相应措施。 (3)各经营性互联单位根据互联网应急处理工作办公室的指令,结合本网实际,针对具体的安全事件类别采取相应措施。 (4)各经营性互联单位和CNCERT/CC应及时向互联网应急处理工作办公室报告安全事件的发展情况,互联网应急处理工作办公室应将每日的情况及时上报国家通信保障应急领导小组。 (5)根据各经营性互联单位和CNCERT/CC上报的安全事件的蔓延情况,互联网应急处理工作办公室及时分析、判断当前事件是否会发展成为更高级别的安全事件并及时上报国家通信保障应急领导小组。 4.3 信息通报/上报
10、 在发生或可能发生三级/预警安全事件的情况下,各经营性互联单位和CNCERT/CC应在12小时内向互联网应急处理工作办公室上报相关信息;互联网应急处理工作办公室应立即向国家通信保障应急领导小组报告,并在确保掌握该事件有关信息后的2小时内上报国家网络与信息安全信息通报中心(以下简称国家通报中心)、通报各经营性互联单位和CNCERT/CC。在发生或可能发生二级/报警安全事件的情况下,各经营性互联单位和CNCERT/CC应在4小时内向互联网应急处理工作办公室上报相关信息;在发生或可能发生一级/紧急安全事件情况下,应在1小时内上报。收到上述信息后,互联网应急处理工作办公室应立即向国家通信保障应急领导小
11、组报告,并在确保掌握该事件有关信息后的1小时内上报国家通报中心、通报各经营性互联单位和CNCERT/CC。对于二级及以上的安全事件的有关信息,由信息产业部直接上报国务院或重大突发事件应急处理指挥机构。 CNCERT/CC应立即将有关信息通报各非经营性互联单位;各经营性互联单位对其相关用户的通报时限自定。 4.4 应急结束 根据各经营性互联单位和CNCERT/CC报告的互联网网络安全事件发展和应急处理效果等情况,互联网应急处理工作办公室对网络安全状况进行分析,判断事件影响已降低到四级安全事件影响水平之下时,报经国家通信保障应急领导小组批准后,指示有关单位终止应急处理工作。CNCERT/CC负责及
12、时将终止应急处理流程的情况通报各非经营性互联单位。 5后期处置 5.1 情况汇报及总结 安全事件应急处理结束后,各经营性互联单位和CNCERT/CC及时对本次安全事件发生的原因、事件规模进行调查,估算事件损失后果,对应急处理手段效果和后续风险进行评估,总结应急处理的经验教训并提出改进建议,于应急处理结束后一个月内向互联网应急处理工作办公室上报相关的总结评估报告。互联网应急处理工作办公室在汇总分析各有关单位上报的总结评估报告的基础上,向国家通信保障应急领导小组及时上报本次事件的处理报告。 5.2 奖惩评定及表彰为提高互联网网络安全应急工作的效率和积极性,按照有关规定,对在互联网网络安全应急处理过
13、程中表现突出的单位和个人给予表彰,对于处理不力,给国家和企业造成损失的单位和个人进行惩处。 6 应急保障准备 6.1 应急预案 各经营性互联单位和CNCERT/CC根据本预案的要求制定各自的互联网网络安全应急预案,并报互联网应急处理工作办公室备案。 6.2 应急队伍 各经营性互联单位应组建由互联网管理、运行维护部门组成的应急队伍,负责本网的安全事件应急处理工作,明确其职责权限,并配备相应的应急处理装备和人员。 6.3 人员培训 应急队伍的人员要不定期进行应急处理的相关培训,熟悉工作原则、工作流程,具备必要的技能,确保应急预案的正常实施。 6.4 经费保障 各经营性互联单位根据需要安排必要的专项
14、应急经费,用于互联网安全应急工作。 6.5 应急演练各有关单位应根据各自的互联网网络安全应急预案,定期或不定期组织应急演练。互联网应急处理工作办公室原则上每年根据本预案组织CNCERT/CC和各经营性互联单位进行应急演练。 6.6 通信联络制度 各有关单位应明确安全事件应急处理的一般和紧急两级联系人,其中一般联系人用于日常的信息沟通,紧急联系人用于发生三级及以上安全事件情况下的直接沟通;提供包括电话、传真和电子邮件的联系人的详细联系信息;联系人必须7X24小时可以联系到。联系人及联系方式发生变化的要提前1周上报互联网应急处理工作办公室。使用电子邮件沟通涉及安全事件的具体内容时要加密。 6.7
15、监督检查制度 互联网应急处理工作办公室负责对互联网网络安全应急工作的检查和监督。 6.8 技术储备与保障 信息产业部依托各经营性互联单位和CNCERT/CC组成互联网网络安全应急的技术支撑体系,开展对互联网网络安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。 7. 附 则 7.1 预案管理与更新 本预案由信息产业部电信管理局负责管理与更新,并根据我国互联网发展的实际情况及时进行修改更新。预案坚持周期性的评审原则,每年一次,并根据需要及时进行修订。互联网应急处理工作办公室负责组织预案的评审工作。预案评审采用集体讨论的方式进行,参加人员为预案涉及单位人员及有关专家。修改的预案经国家通信保障应急领导小组批准后发布实施,并及时向国务院备案,抄送国家有关部门。 7.2 制订与解释部门 本预案由信息产业部制订并负责解释。 7.3 预案生效 本预案自发布之日起生效。
