1、信息安全事件应急预案信息安全事件应急预案1总则1.1目标为提高*处置网络与信息安全突发事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发事件造成的损失,保障信息系统及办公网络长期安全稳定运行,为人民群众提供良好的信息服务。1.2编制依据依据中华人民共和国突发事件应对法国家突发公共事件总体应急预案国家网络与信息安全事件应急预案*省网络与信息安全事件应急预案*市网络与信息安全突发事件应急预案*网络与信息安全突发事件应急预案等有关法律、法规和规章,制定本预案。1.3工作原则按照统一指挥、分级负责的原则,遵循“谁主管
2、谁负责、谁运行谁负责”的处理方式,充分调动党政机关、社会各方面的资源,共同做好网络与信息安全突发事件的预防和处置工作。1.4适用范围本预案适用于*建设、运维、使用和管理的计算机专网、门户网站、公共应用系统、数据机房等发生的突发事件。1.5事件分类分级1.5.1事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其它信息安全事件等7个类别。一、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。二、网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事
3、件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。三、信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。四、信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。五、设备设施故障分为软硬件故障、外围保障设施故障、人为破坏事故和其他设备设施故障。六、灾害性事件是指由自然灾害等其他突发事件引发的网络与信息安全事件。七、其它信息安全事件:不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。1.5.2事件分级网络与信息安全事件分为四级:特别重大(级)
4、、重大(级)、较大(级)、一般(级)。一、符合下列情形之一的,为特别重大网络与信息安全事件(I级):(一)信息系统中断运行2小时以上、影响人数100万人以上。(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会和谐构成特别严重威胁,或导致10亿人民币以上的经济损失。(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。(四)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。二、符合下列情形之一且未达到特别重大网络与信息安全事件(级)的,为重大网络与信息安全事件(级):(一)信息系统中断
5、运行30分钟以上、影响人数10万人以上。(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会和谐构成严重威胁,或导致1亿人民币以上的经济损失。(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。(四)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。三、符合下列情形之一且未达到重大网络与信息安全事件(级)的,为较大网络与信息安全事件(级):(一)信息系统中断运行造成较严重影响的。(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济
6、损失。(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。(四)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。四、一般网络信息安全事件(级)除上述情形外其他信息安全事件,为一般网络信息安全事件。2组织机构与职责2.1指挥机构与职责成立网络与信息安全突发事件专项应急指挥部(以下简称网络应急指挥部),负责*网络与信息安全突发事件日常监测和发生突发事件时的应对指挥工作。网络应急指挥部是*网络与信息安全突发事件的指挥机构,由总指挥、副总指挥、现场指挥官、现场副指挥官和成员单位主管信息化领导组成。2.1.1
7、总指挥总指挥负责网络与信息安全突发事件专项应急指挥部的领导工作,对*网络与信息安全应急工作实施统一指挥。2.1.2副总指挥副总指挥负责协助总指挥做好网络与信息安全突发事件专项应急指挥部各项工作,协调各部门、各单位实施应急工作,或受总指挥委托,指挥应急处置工作。原则上同时兼任现场指挥官。2.1.3现场指挥部发生网络与信息安全突发事件时,网络应急指挥部根据事件严重程度、应急处置工作涉及的区域范围,经专家组研判为级网络与信息安全突发事件时,组建现场指挥部。负责网络与信息安全突发事件处置的具体指挥和协调工作。2.1.4现场指挥官现场指挥官由*兼任,履行现场决策、指挥、调度职责,协助总指挥在网络与信息安
8、全突发事件现场指挥网络应急指挥部、专家组、应急专业技术队伍和各部门、各单位应急处置工作组处置网络与信息安全突发事件。2.1.5现场副指挥官现场副指挥官由*兼任。负责协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。2.1.6指挥机构与主要职责一、贯彻落实中华人民共和国突发事件应对法*省网络与信息安全突发事件应急预案*市突发事件总体应急预案、*市网络与信息安全突发事件应急预案、*网络与信息安全突发事件应急预案等相关法律和文件。二、研究制定网络与信息安全突发事件应急工作的政策措施。三、负责按照国家、*省、*市、*应急相关部门的部署,负责建立网络与信息安全突发事件
9、应急工作体系,负责*的公共服务基础网络和信息系统安全突发事件的应急处置工作;未达级(一般级)网络与信息安全突发事件时,指挥、协调各科室应急处置工作;发生级(特别重大)、级(重大级)、级(较大级)、级(一般级)网络与信息安全突发事件时,配合国家、省、市、区相关部门做好网络与信息安全突发事件的应急处置工作。四、分析总结网络与信息安全突发事件应急工作,制定工作规划和年度工作计划。五、按照国家、*省、*市和*应急相关部门的要求,发布相关预警、预测信息。六、负责*网络与信息安全突发事件应急处置情况对外新闻发布工作。七、承办市委、市政府、市、*等上级应急相关部门和*大数据管理局交办的其它工作。2.2成员单
10、位及其职责*是全*网络与信息安全突发事件应急处置工作的主管部门,职责如下:一、负责监督、检查、指导电子政务网络与信息安全突发事件的预防和应对工作。二、负责网络与信息安全突发事件的预防、监测、报告和应急处置工作。三、负责指挥互联网信息内容安全和突发事件应急处置工作,配合各科室做好新闻发布工作。2.3办事机构与职责2.3.1办事机构网络应急指挥部办公室为网络应急指挥部常设办事机构。办公室主任由*兼任。网络应急指挥部办公室设联络员一名,由*担任。网络应急指挥部办公室设在*,工作人员由*组成。网络应急指挥部办公室由专家组和应急处置专业技术队伍构成。2.3.2办事机构主要职责网络应急指挥部办公室负责规划
11、、组织、协调、检查*网络与信息安全突发事件的预防和应急工作,主要职责是:一、组织落实网络应急指挥部的决定,协调和调度*各部门、应对网络与信息安全突发事件组织实施应急响应相关工作。二、组织开展专家组和应急专业技术队伍的建设和管理,以及应急物资的储备保障等工作。三、负责值班室建设工作,承担网络与信息安全应急值班值守工作。四、收集、分析工作信息,及时向指挥部上报重要信息。五、负责网络与信息安全风险评估、隐患排查等工作。六、组织制定(修订)与网络应急指挥部职能相关的专项应急预案。七、负责组织协调网络与信息安全突发事件应急演练工作。八、负责网络与信息安全的宣传和培训工作。九、负责网络应急指挥部相关技术系
12、统的建设和管理工作。十、负责网络应急指挥部相关技术系统的建设和管理工作。十一、承担网络应急指挥部的其他日常工作。2.3.3专家组聘请*网络技术股份有限公司的安全专家,成立网络与信息安全专家组,建立网络与信息安全突发事件应急处置咨询机制。专家组主要职责:一、对预防发生网络与信息安全突发事件和相关应急处置工作提供咨询与建议;二、在制定网络与信息安全应急相关规定、预案、制度和项目建设的过程中提供参考意见;三、对网络与信息安全应急工作中存在的问题与不足提出改进建议;四、对网络与信息安全事件潜在风险、处置措施、恢复方案等进行研究、评估,并提出相关建议;五、参与网络与信息安全事件应急培训和教材编审等工作。
13、2.3.4应急处置专业技术队伍网络应急指挥部办公室组织成立一支网络与信息安全突发事件应急处置专业技术队伍,作为网络与信息安全突发事件应急处置常设专业技术队伍。应急处置专业技术队伍主要职责:一、按照网络应急指挥部办公室的指令,开展应急救援;二、负责各应急处置专业技术队伍本身设备、器材及相关软件的日常管理和维护工作;三、负责联系和组织网络与信息安全社会应急力量;四、承办*应急相关部门交办的其他事项。2.3.5单位职责发生网络与信息安全事件(含级、级、级、级)时,*是网络与信息安全事件责任单位。单位主要承担以下责任:一、接收到预警信息后,根据预警信息并结合事件实际情况,立即组织本单位应急处置专业技术
14、队伍进行检查和评估,依照本预案确认是否为网络与信息安全突发事件。二、网络与信息安全突发事件发生后,组织本单位应急处置专业技术队伍采取各种技术措施进行先期处置,及时控制事态发展,最大限度地防止事件蔓延。三、按照本预案要求在进行先期处置的同时,及时向*大数据管理局报告事件信息,再由*大数据管理局按照事件级别根据相关流程上报。四、在先期处置过程中应尽量保留相关证据,采取手工记录、截屏、文件备份和影像设备记录等多种手段,对事件发生、发展、处置的过程、步骤、结果进行详细记录,尽可能保存原始证据,为事件处置、调查、处理提供客观证据。五、上报突发事件信息后,与网络应急指挥部办公室保持通信畅通,实时报告事件的
15、最新进展情况。六、应急任务结束后,应做好网络与信息安全突发事件中基础网络、信息系统、网络设施损失情况的统计、汇总,及任务完成情况的总结汇报。七、结合本应急预案组织编制和制定本单位维护和管理的重要信息系统的网络与信息安全突发事件专项预案。3监测与预警网络与信息安全主管部门及各科室应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全预防和预警监测机制。3.1监测网络与信息安全主管部门以及各相关科室要建立相应的应急预警监测机制,加强应急网络与信息安全预警信息的监测收集工作。重点做好基础网络和信息系统风险漏洞隐患排查、监测预警、信息安全事件报送、信息通报等工作。3.1.1风险漏洞监测网络应急指
16、挥部办公室根据职责进行监督、指导网络与信息系统运营、使用单位开展风险评估,定期开展基础网络与信息系统检查,了解掌握分管领域内基础网络与信息系统的风险现状,根据需要建立风险源管理系统,加强风险管理,提高基础网络与信息系统抗风险能力。3.1.2预警按照国家、*省、*市相关技术规范要求,网络应急指挥部办公室对网络与信息系统的安全事件进行监测预警,组织专家组对预警信息进行研判,对可能发生的网络与信息安全事件,及时处理。3.1.3信息接收方式网络应急指挥部办公室通过媒体、网络、接报电话、传真、电子邮箱等方式,接收事发单位网络与信息安全事件信息。3.2预防网络与信息安全主管部门要加强对各部门的网络与信息安
17、全防护工作和应急处置准备工作的监督检查。制定并不断完善各自的网络与信息安全应急预案和组建应急处置专业技术队伍。3.3预警获得预警信息后,网络应急指挥部办公室应立即召开会议,组织专家组对预警信息进行研判,部署应急网络与信息安全的应对措施,对可能发生的网络与信息安全突发事件,及时向*大数据管理局上报。各单位通过监测获得内部预警信息后,应对预警信息加以分析,按照早发现、早报告、早处置的原则,对可能演变为严重事故的情况,及时报告*大数据管理局。预警信息包括网络与信息安全事件的类别、起始时间、可能影响范围、警示事项、预防措施、发布范围、发布机关和咨询电话等。4应急响应4.1先期处置发生网络与信息安全突发
18、事件后,事发单位必须及时实施处置,控制事态进一步发展,并根据本预案相关流程报送信息。(1)控制事态发展,防止破坏蔓延。根据本单位制定的应急预案,采取紧急措施,及时控制事态发展,最大限度防止事件蔓延。(2)快速判断事件性质及危害程度。单位尽快分析事发原因,根据网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。(3)及时上报信息。网络与信息安全突发事件专项应急指挥部在开展先期处置的同时要按照本预案要求,及时向*大数据管理局及*应急相关部门报告事件信息。(4)做好事件发生、发展、处置的记录和证据留存。事发单位在先期处理过程中应保
19、留相关证据,可采取记录、截屏、备份、录像等多种手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录,尽可能保存原始证据,为事件处置、调查、处理提供客观证据。(5)保持通信畅通。网络与信息安全突发事件专项应急指挥部上报突发事件信息后,与*大数据管理局保持通信畅通,实时报告事件的最新进展情况。4.2信息报告根据职责分工,及时收集、分析、汇总本单位(部门)基础网络与信息安全运行情况信息,安全风险及事件信息,及时报告*大数据管理局。网络应急指挥部办公室根据*省网络与信息安全事件应急预案、*市网络与信息安全突发事件应急预案、*网络与信息安全突发事件应急预案的信息报告和共享流程报送信息。(1)信息报
20、告内容:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。(2)对暂时无法判明破坏等级的事件,应立即将简要情况及联系人通过电话、传真等方式上报*大数据管理局,事件详细情况应在45分钟内上报。级(一般)网络与信息安全突发事件发生时,网络应急指挥部办公室立即将事件有关情况报*大数据管理局。(3)对重要基础网络、三级(含)以上信息系统、涉密基础网络及在敏感期可能演化为级(较大)、级(重大)和级(特别重大)网络与信息安全突发事件的信息,应立即上报,不受时间限制。(4)对涉密的信息,参与涉密突发事件应
21、急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密工作。(5)常态形势下,网络应急指挥部办公室要及时收集各单位(部门)信息系统安全运行情况信息,安全风险及事件信息,形成信息报告报*大数据管理局。信息报告须每周报送一次,报送时间为每周五下午5点之前。4.3分级响应根据网络与信息安全突发事件的分类分级状况,网络与信息安全突发事件响应等级分为级、级、级和级。发生网络与信息安全突发事件后,按下列规定进行分级响应。4.3.1级响应级安全事件进行先期处置,同时将突发事件信息、处置进展情况报*大数据管理局。级响应由*大数据管理局启动,并负责指挥开展应急处置工作。一、启动指挥体系(一)
22、进入应急状态。网络应急指挥部进入应急状态,指挥部成员保持24小时联络畅通,应急指挥部组长实施24小时值班指挥。(二)成立现场指挥部,组织协调、指挥应急队伍进行处置工作。(三)提出处置方案。*大数据管理局组织专家组专家、应急专业技术人员研究对策,提出处置方案建议,为网络应急指挥部决策提供支撑。二、掌握事件动态(一)跟踪事态发展。现场指挥部及时将事态发展变化情况和处置进展情况上报*大数据管理局。(二)检查影响范围。网络应急指挥部办公室组织对本单位基础网络与信息系统受到事件波及和影响情况进行核查,事件影响单位及时向*大数据管理局报送网络和信息系统运行状况信息。(三)及时通报情况。网络应急指挥部办公室
23、及时将所接收的信息通报本单位各部门及下属单位。三、处置实施。(一)控制事态防止蔓延。现场指挥部根据网络应急指挥部的部署,组织事发单位和应急队伍,采取各种技术措施、管控手段,最大限度地阻止和控制事态发展;使网络应急指挥部办公室全面启动预警机制,及时督促、指导网络和信息系统管理部门有针对性地加强防范,阻止进一步蔓延。对于信息内容安全事件及时采取必要的管控措施,防止有害信息传播扩散。(二)做好处置消除隐患。现场指挥部组织专家、应急队伍、事发单位尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络和信息系统要及时组织恢复。(三)及时开展调查取证。网
24、络应急指挥部办公室组织有关成员单位开展事件调查和责任评估工作。及时将事件调查和责任评估结果向*大数据管理局报告。(四)信息发布。网络应急指挥部办公室根据事件应急的实际情况,形成工作简报,报*大数据管理局。(五)请求支援。在网络应急指挥部对事件无法处置时,及时向*大数据管理局请求应急支援。需向社会发布的信息和新闻稿,经网络应急指挥部审批后,报办公室,由办公室进行发布。未经批准,其他部门不得发布相关信息。4.3.2级、级和级响应级、级和级突发事件分别由市网安应急办、省应急相关部门和国家应急相关部门启动,统一指挥、协调、组织应急处置工作。按照本单位相关应急预案进行先期处置,同时立即*大数据管理局报告
25、。经*大数据管理局会同专家组初步研判为级、级和级突发事件,上报市网安应急办,由市应急相关部门根据*市网络与信息安全突发事件应急预案的要求,统一组织、指挥开展应急处置工作。网络应急指挥部进入应急状态,指挥部成员保持24小时通信联络,指挥部领导实施24小时值班,各单位保持24小时通信联络。4.4响应升级4.4.1响应级别变更应急响应过程中,网络应急指挥部办公室、各部门应密切关注突发事件事态发展和响应工作进展情况,根据事态变化和响应效果及专家组建议,适时调整响应级别。由于在事件处置过程中,采取措施适当,应急响应及时,对事件发展状况有效控制,并根据专家组建议,报*大数据管理局审核后,建议变更响应级别,
26、开展相关处置工作。4.4.2响应级别升级一、突发事件发展蔓延,事态发展得不到控制,根据事态变化和响应效果及专家组建议,超出了网络应急指挥部应急处置能力的,应及时报告*大数据管理局,建议变更响应级别,开展相关处置工作。二、突发事件造成的危害程度特别严重,超出*应急处置能力时,需要*大数据管理局提供援助和支持时,依照*市网络与信息安全突发事件应急预案、*网络与信息安全突发事件应急预案有关规定,网络应急指挥部办公室及时向*大数据管理局报告事件情况。在*大数据管理局领导下,开展突发事件应急处置工作。4.5应急结束网络与信息安全突发事件处置已基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制后,终
27、止应急处置工作。(1)级响应结束由*大数据管理局提请,报市网络应急指挥部办公室批准,同时由市网络应急指挥部办公室报告市委值班室、市政府总值班室、市网络应急指挥部。(2)级响应结束由市网络应急指挥部办公室提请,报市网络应急指挥部批准,同时报告市委值班室、市政府总值班室。(3)级响应结束由市网络应急指挥部向市政府提请,市政府报*省应急相关部门批准。市网络应急指挥部办公室报告市委值班室、市政府总值班室。(4)级响应结束由市网络应急指挥部向市政府提请,市政府报国家应急相关部门批准,并报省应急相关部门。市网络应急指挥部办公室报告市委值班室、市政府总值班室。4.6信息发布网络应急指挥部办公室根据事件应急处
28、置情况,形成工作简报,报*大数据管理局。5后期处置5.1情况汇报和经验总结网络与信息安全突发事件应急任务结束后,做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报,不断改进网络与信息安全突发事件应急管理工作。由网络应急指挥部办公室会同专家组、事发单位组成事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及财产损失状况等,总结经验教训,并负责起草相关报告,在10个工作日内报*大数据管理局。5.2善后处置应急处置工作结束后,单位和其他有关应急管理工作机构要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调
29、集、征用的物资,要按照规定给予补助或补偿。5.3恢复重建恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由单位负责组织制定恢复、整改或重建方案,报*大数据管理局。5.4表彰与处罚网络应急指挥部对在网络与信息安全突发事件应急工作中表现突出的单位和个人给予表彰;对保障不力,瞒报、漏报突发事件,给国家和社会造成严重损失的单位和个人依照有关法律法规进行惩处。6应急保障6.1应急专业技术队伍保障网络应急指挥部按照“政府主导、社会参与”的原则,组建网络与信息安全突发事件应急专业技术队伍,培养骨干技术人才。各部门、各单位应当根据实际情况,配备相应的应急力量或引进专业化、社会化网络与信息安全应急专业技术
30、队伍。6.2应急物资保障各科室、各部门应适当配备必要的信息网络安全相关硬件、软件、应急救援设备等应急物资。在网络与信息安全突发公共事件发生时,由网络应急指挥部负责统一调用。专业技术队伍须储备相应的应急基础设备、软件。网络应急指挥部办公室组织制定*基础网络与信息系统设备替代产品数据库。6.3交通运输保障各科室、各部门应配备网络与信息安全突发事件应急交通工具,满足应急期间人员、物资、信息传输的需要,在网络与信息安全突发公共事件发生时,由网络应急指挥部负责统一调配。6.4技术资料保障各科室、各部门应将应急技术资料,包括线路图、网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本
31、号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。还应根据需要进行风险评估,随时掌握安全状况和存在的风险。6.5合作机制建设网络应急指挥部办公室加强*网络与信息安全应急合作机制建设,建立与区应急相关部门和专业机构的合作渠道,实现信息共享和应急联动。7宣传、培训和演练7.1宣传网络应急指挥部办公室及有关部门应利用各种新闻媒介,宣传信息安全有关法律、法规、规章,开展网络与信息安全教育,普及网络与信息安全突发事件应急处置的基本知识,提高工作人员网络与信息安全防范意识和应急处置能力。网络应急指挥部办公室及时公布有关网络与信息安全突发事件应急预案、报警电话等。7.2培训网络应急指挥部办公室应定期组织各单位、开展基础网络与信息安全应急管理、应急处置等培训,提高信息化管理人员、应急处置人员防范意识及技能。7.3演练网络应急指挥部办公室每年组织一次网络与信息安全应急演练
