《网络与信息安全事件应急预案.docx》由会员分享,可在线阅读,更多相关《网络与信息安全事件应急预案.docx(16页珍藏版)》请在优知文库上搜索。
1、网络与信息安全事件应急预案(暂行)1总则1.1编制目的为建立健全应急厅系统网络与信息安全事件应急保障和恢复工作机制,提高应对突发网络与信息安全事件的组织指挥和应急处置能力,保证应急指挥调度工作迅速、高效、有序进行,保障XX应急管理信息系统安全运行,保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,为XX应急管理提供现代化服务保障,制定本预案。1. 2编制依据根据中华人民共和国计算机信息系统安全保护办法、互联网信息服务管理办法、计算机病毒防治管理办法等相关法规、规定、文件精神,制定本预案。1.3 适用范围本预案适用于XX省应急管理厅系统局域网及专网非涉密信
2、息系统突发网络安全事件的应急处理和恢复工作。1.4 工作原则(1)预防为主。建立、健全计算机网络与信息安全科学管理制度,有效预防网络与信息安全事故的发生。(2)分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各级各部门应积极支持和协助应急处置工作。(3)果断处置。一旦发生网络与信息安全事故,应果断决策,迅速处置,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。(4)以人为本。把保障人员以及公共利益的安全作为首要任务。(5)常备不懈。加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现应急管理网络与信息安全突发公共事件
3、应急处置的科学化、程序化与规范化。2组织体系和工作职责在厅网络安全与信息化领导小组领导下,成立:应急组织组、应急指挥组、应急实施组。(1)应急组织组。由厅网信办牵头,负责应急管理体系、管理办法和预案的评审和确定;负责应急预案启动和终止命令的下达和授权;负责应急实施过程中的决策和授权;负责对故障处置或演练后预案变更的最终评审和确认。(2)应急指挥组。由厅办公室牵头,根据应急领导组的授权,负责现场指挥,协调各应急小组工作;负责应急处置情况、故障升级等相关信息的确认;负责向应急领导组汇报应急处置的进展情况;负责在应急过程中,策略的调整和应急指挥;负责组织并协调应急现场的各种资源(含第三方)。(3)应
4、急实施组。由厅科技和信息化处牵头负责故障的分析,为现场应急指挥组提供应急预案实施的参考建议;负责按照现场应急指挥组的指令,严格执行相应的应急处置方案;负责将现场故障处理情况向应急指挥组及时汇报和更新;在实施应急措施过程中,协调其他专业组为应急提供技术支持;故障解决后总结、归纳应急工作的经验和教训,完善相关应急预案;负责制定、修改、优化应急预案中应急场景的具体处置方案;负责组织应急预案的检查和评审工作。3分类分级3.1事件分类网络与信息安全事件根据其产生原因、表现形式,可划分为以下六类:(1)有害程序事件。指计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代
5、码事件和其他有害程序事件。(2)人为攻击事件。指通过网络或其他技术手段,对信息系统实施攻击,如拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。(3)信息破坏事件。指利用网络进行信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。(4)信息内容安全事件。指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。(5)设备设施故障事件。指软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。(6)灾害性事件。指由自然灾害等其他突发事件导致
6、的网络与信息安全事件。3.2事件分级网络与信息安全事件根据其影响程度、严重程度、影响范围和可控性,将应急管理网络与信息安全事件分为四级:由高到低划分为特别重大(I级)、重大(II级)、较大(In级)、一般(W级)四个级别。影响程度主要考虑网络与信息安全事件所影响的信息系统的重要程度。本预案中信息系统的重要程度是依据信息系统的安全保护定级等级来确定,安全保护等级定级为四级以上(含四级)的为特别重要信息系统,三级的为重要信息系统,二级的为一般信息系统。安全保护等级定级为一级的信息系统,不需要启动应急预案,由相关业务部门和运行维护部门根据维护流程处置。严重程度主要考虑事件对信息系统的破坏程度,以及利
7、用信息网络发布、传播的信息内容对国家安全、社会稳定和公共利益的危害程度。对信息系统的破坏程度分为特别严重破坏、严重破坏和一般破坏。特别严重破坏指造成信息系统瘫痪或信息受到特别严重破坏;严重破坏指造成信息系统主要功能受损或信息受到严重破坏;一般破坏指造成信息系统性能下降或信息受到一般破坏。1、I级(特别重大):发生以下任一种网络与信息安全事件,且不能在短时间内恢复。(I)特别重要信息系统受到特别严重破坏;(2)启动省灾害或事故应急预案I级或II级响应时期,应急管理相关特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏;(3)应急厅及厅直系统同时发生特别重要信息系统受到严重破坏或重要信息系
8、统受到特别严重破坏;(4)其他对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的网络与信息安全事件。2、II级(重大):发生以下任一种网络与信息安全事件,且不能在短时间内恢复。(1)特别重要信息系统受到严重破坏;(2)重要信息系统受到特别严重破坏;(3)启动省灾害、事故应急预案I级、11级或HI级响应时期,应急管理相关特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏;(4)应急厅及厅直部门中同时发生特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏;(5)其他对社会秩序和公共利益造成严重损害,或者对国家安全造
9、成损害的网络与信息安全事件。3、111级(较大):发生以下任一种网络与信息安全事件,且不能在短时间内恢复。(1)较大突发公共事件引发的,有可能造成应急厅某个下属部门所属网络通信故障的情况。(2)通信网络故障可能升级为造成应急厅某个下属部门所属网络通信故障的情况。(3)其他对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的网络与信息安全事件。4、W级(一般):发生以下任一种网络与信息安全事件,且不能在短时间内恢复。(1)一般突发公共事件引发的,有可能造成应急厅局域网内某个交换点所属局部网络通信故障(不影响正常一般通信)的情况。(2)其他对公民、法人
10、和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的网络与信息安全事件。其他网络与信息安全事件根据“谁主管谁负责”的原则,由信息系统的主管部门负责处理。4预警机制4.1预警系统各级各部门要做好灾前预防技术体系的建设,加强预警信息的监测收集工作。各级网络与信息安全协调机构应加强与应急部、省委省政府、省委网信办以及地方有关部门的信息沟通。4. 2预警信息预警信息来源于预警系统监测到的和上级机构或其他职能部门通报的网络与信息安全事件信息。各级各部门要针对各种可能发生的信息系统突发事件,完善预测预警机制,开展风险分析,并根据确定的风险等级编制预警信息做到早发现、早报告、早处置。4.3预
11、警发布一般预警信息由事发区域网络与信息安全协调机构发布并及时上报厅网络安全与信息化领导小组,由厅网络安全与信息化领导小组统一发布、调整和解除。预警信息的发布、调整和解除,应以电话、电子邮件、传真电话等方式通知到所有相关部门以及相关人员,接到通知的部门和人员需要对预警信息进行确认。5应急处置5. 1响应分级应急响应级别分为四级:I级、II级、In级和IV级,分别对应I级、Ii级、m级和IV级网络与信息安全事件。5.2 先期处置5. 2.1信息报送发生网络与信息安全事件,事发部门进行初步判断,对于IV级网络与信息安全事件,事发部门必须在2小时内向厅网络安全与信息化领导小组口头报告;接到11I级网络
12、与信息安全事件报告后1小时内,应向厅网络安全与信息化领导小组书面报告;11级或I级网络与信息安全事件应立即向厅网络安全与信息化领导小组报告,经厅网络安全与信息化领导小组同意后,报省网络安全和信息化领导小组办公室。厅网络安全与信息化领导小组接到II级及I级的网络与信息安全事件报告后,根据事件分析判定事件级别。6. 2.2即时处置网络与信息安全事件发生后,事发部门必须在第一时间实施即时处置,控制事态发展。在开展即时处置的同时,及时汇总信息并迅速报告厅网络安全与信息化领导小组。7. 2.3事件研判紧急情况或故障发生时,各维护监控相关部门和人员发现问题后,应先详细记录该事件的信息,了解事件可能造成的损
13、失、影响以及现场控制情况。在汇总相关信息的基础上,及时判断事件性质,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况,判定事件级别。5.3 应急响应对于判定为11级及I级的网络与信息安全事件,厅信息化领导小组确定应急响应级别,并与相关业务部门成立应急厅网络与信息安全应急处置指挥部,启动相应应急响应预案。对于判定为IV级和III级的网络与信息安全事件,事发单位(部门)网络安全与信息化领导小组确定应急响应级别,启动相应应急响应预案,并向厅网络安全与信息化领导小组报告有关情况。对于判定为11级网络与信息安全事件,如果事件影响范围仅限于个别区域(厅直单位或市州)则由各级各部门确定应急响应
14、级别,启动相应应急响应预案,并向厅网络安全与信息化领导小组报告有关情况;如果事件影响范围超过一个区域应由厅网络安全与信息化领导小组确定应急响应级别,并根据需要成立应急厅网络与信息安全应急处置指挥部,启动相应应急响应预案。当确定网络与信息安全事件等级、启动相应应急响应预案后,在技术上采取应急恢复措施的同时,各级各部门应针对受影响或故障信息系统所承担的业务应用采取相应的业务补救措施,尽可能减少损失。5.3.1I级响应对于I级事件,由厅网络安全与信息化领导小组及相关业务部门组成应急厅网络与信息安全应急处置指挥部,指挥部宣布启动I级应急响应,并组织、指挥应急处置工作,根据信息系统应急处置预案,组织信息
15、系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关部门或单位参加应急处置。对于造成社会影响的网络与信息安全事件,统一由厅网络安全与信息化领导小组联络新闻媒体,对外通报系统故障情况、抢修情况、预期恢复时间等信息,降低事件所造成的社会影响。5.3.211级响应如果事件影响范围仅限于个别地区,由事发部门网络与信息安全协调部门宣布启动11级应急响应,并组织、指挥应急处置工作,组织信息系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关单位或部门参加应急处置。如果事件影响范围超过一个地区,则由厅网络安全与信息化领导
16、小组和相关业务部门组成应急厅网络与信息安全应急处置指挥部,由指挥部宣布启动11级应急响应,并组织、指挥应急处置工作。根据信息系统应急处置预案,组织信息系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关单位或部门参加应急处置。对于造成社会影响的网络与信息安全事件,由事发单位有关部门根据规定对外通报系统故障情况、抢修情况和预期恢复时间等信息,降低事件造成的社会影响。如事件没有得到及时解决,影响范围超出11级事件的范围,由厅网络安全与信息化领导小组确认,升级为I级事件,按照I级响应进行处置。5.3.3In级响应事发部门网络与信息安全协调机构宣布启动HI级应急响应,并具体组织、指挥应急处置工作,根据该信息系统应
免费区 