网络与信息安全应急预案

　　网络与信息安全应急预案 

　　第一章 总 则 

　　1.1 编制目的 

　　建立健全网络与信息安全事件应急机制，科学应对网络与信息安全事件，有效预防、及时控制和最大程度地消除网络与信息安全事件的危害和影响，维护公共安全和社会稳定。 

　　1.2 编制依据 

　　《中华人民共和国突发事件应对法》、《中华人民共和国电信条例》、《中华人民共和国计算机信息系统安全保护条例》、《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》（国办发〔2009〕28号）和《内蒙古自治区信息化领导小组印发关于〈开展2011年度政府信息系统安全检查工作〉的通知》等法律、法规和有关规定。 

　　1.3 适用范围 

　　本预案所称的网络与信息安全重大突发事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发，严重影响到我办网络信息系统的正常运行，造成业务中断、系统瘫痪、数据破坏或信息失窃等，从而在单位形象、社会稳定或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。     1.4 工作原则 

　　统一领导、分工负责，及时预警、协作配合，快速处置、确保恢复。 

　　第二章　网络与信息系统安全突发事件的类别、级别 

　　2.1 安全突发事件类别 

　　根据事件发生原因、性质和机理，网络信息系统安全事件主要分为三类: 

　　2.1.1 自然灾害：指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。 

　　2.1.2 事故灾难：指电力中断、网络损坏或者软件、硬件设备故障等引起的网络与信息系统的损坏。 

　　2.1.3 人为破坏：指人为破坏或盗窃网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。 

　　2.2 突发安全事件的级别 

　　网络与信息安全突发事件根据其可控性、严重程度和影响范围，可分为四级：一般(Ⅳ级)、较大(Ⅲ级)、重大(Ⅱ级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。 

　　第三章 应急指挥体系及职责 

　　鄂尔多斯市人民防空办公室设信息安全事件应急指挥机构，负责单位网络与信息安全事件的应对工作。 

　　3.1 应急组织机构 

　　鄂尔多斯市人民防空办公电脑网络与信息安全突发事件应急领导小组（以下简称信息应急领导小组），由人防办副主任任组长、综合科任副组长，综合科工作人员、指挥信息保障中心工作人员组织。 

　　综合科负责日常办公行政性事务，指挥信息保障中心负责信息应急技术性工作。 

　　3.2 应急组织机构职责 

　　3.2.1 信息应急领导小组 

　　研究决定网络与信息安全事件应急工作的有关重大问题；研究制订网络与信息安全事件应急工作规划、计划和政策，协调推进网络与信息安全事件应急工作机制和体系建设；启动本预案，组织开展应急处置工作。 

　　3.2.2 综合科 

　　承担县网络与信息应急突发事件领导小组的日常工作；拟订（修订）或组织拟订（修订）应对网络与信息安全事件的工作规划和应急预案，经批准后组织实施；组织各科室落实网络与信息安全事件应急处理技术措施；督促、检查、指导有关专业技术机构的信息监测、预防预警工作。 

　　3.2.3 指挥信息保障中心 

　　统筹规划建设网络与信息安全事件应急处理技术平台，会同有关部门（单位）组织制定全县网络与信息安全事件应急工作政策文件及技术方案；制定部门网络与信息安全建设方案，开展部门信息风险评估并进行等级划分，督查网络与信息安全建设情况；负责安全知识培训，及时收集、上报和通报网络与信息安全事件情况，并向市人民政府和省地网络安全应急领导机构报告有关工作情况。 

　　3.3 现场应急处置工作组 

　　网络与信息安全事件发生后，成立现场应急处置工作组，现场应急处置工作组人员由办公室临时确定，由相关成员单位领导、科室负责人和技术人员组成，负责保障安全策略的制定与执行；识别网络与信息系统正常运行的主要威胁；在出现问题时决定所采取行动的先后顺序，做出关键决定；批准例外的特殊情况；从技术方面处理发生问题的系统；检测入侵事件，并采取技术手段降低损失；负责网络与信息安全风险评估、等级划分、技术咨询、网络与信息安全知识技能培训等。 

　　第四章 预防预警机制 

　　4.1 信息监测与报告 

　　信息应急领导小组积极预防网络与信息安全事件的发生，有效开展信息监测和应急处置工作。及时向上级信息应急办报告本县发生或可能发生网络与信息安全事件等情况。 

　　网络与信息安全事件发生时应立即对事件进行调查核实、保存相关证据，迅速向上信息应急领导小组报告。信息应急领导小组接报后，应核实情况，研究分析可能造成损害的程度，提出初步行动对策，并及时将情况报告上一级信息应急办。 

　　4.2 预警支持系统 

　　应建设必要的安全保障技术平台，逐步实现对本单位网络运行状态数据的汇总分析。应建立和完善信息监测、传递网络和指挥决策支持系统，保障资源共享，运转正常，指挥有力。 

　　第五章 应急响应流程 

　　5.1 确定响应级别 

　　网络与信息安全突发事件级别分为四级：一般(Ⅳ级)、较大(Ⅲ级)、重大(Ⅱ级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。 

　　I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者基础性网络、重要信息系统、网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的网络信息安全事件。 

　　Ⅱ级：局部基础性网络、重要信息系统、重点网站瘫痪，导致业务中断，且纵向或横向延伸可能造成严重社会影响或较大经济损失。 

　　Ⅲ级：部门网络与信息系统、或正常运行的网络信息系统受到冲击，且影响较大。 

　　Ⅳ级：其他网络信息安全事件。 

　　5.2 预案启动 

　　5.2.1 信息应急领导小组接到报告后，应当立即上报上一级信息应急领导小组，并尽快组织专业技术人员对突发事件性质、级别及启动预案的时机进行评估，。 

　　5.2.2 信息应急领导小组在作出启动预案决定后，立即通知与应急处理相关的单位或部门。 

　　5.3 现场应急处理 

　　5.3.1 尽最大可能收集事件相关信息，识别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。  

　　5.3.2 检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。  

　　5.3.3 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：断开物理网络连接，关闭服务或关闭所有的系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。  

　　5.3.4 根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。 

　　5.3.5 清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。 

　　5.4 信息发布 

　　网络与信息安全事件信息发布遵循实事求是、及时准确的原则。 

　　信息领导小组按照有关规定，做好网络与信息安全事件信息发布工作。 

　　5.5 应急结束 

　　信息领导小组根据网络与信息安全事件的处置进展情况和现场应急处置工作组的意见，组织相关科室及专家组对网络与信息安全事件的处置情况进行综合评估，确定事件已得到有效控制后，由信息应急领导小组宣布应急结束。 

　　第六章 善后工作 

　　6.1 善后处置 

　　在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报市信息应急办。  

　　6.2 总结评估 

　　在应急处置工作结束后，相关科室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报信息应急领导小组，并根据问责制的有关规定，对有关责任人员作出处理。在应急结束后15个工作日内将完整的情况记录归档。发生网络与信息安全事件的单位应在应急结束后5个工作日内将应急处置情况形成书面材料报市信息应急办备案。 

　　第七章 应急保障 

　　7.1 队伍保障 

　　加强网络与信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全专业人才和管理队伍，提高全社会信息安全防御意识，增强应急救援力量。 

　　7.2 物资保障 

　　应根据建设规划和物质储备要求，做好信息和网络安全物资储备保障。优化网络与信息安全事件应急处置工作的物资保障条件。 

　　7.3 技术储备保障 

　　应组织有关专家和科研力量，积极开展网络安全技术、应急运作机制、应急处置技术、预警控制等研究，推广和普及新的应急技术。 

　　7.4 经费保障 

　　应按有关规定，保障网络与信息安全事件应急工作所需经费。 

　　第八章 培训和监督管理 

　　8.1 培训和演练 

　　8.1.1 网络与信息安全应急法律、法规，定期或不定期地举办不同层次、不同类型的培训班或研讨会，提高预防和处置工作水平。 

　　8.1.2 信息应急领导小组应定期或不定期组织应急预案演练，提高应急处置人员和队伍的实战能力。 

　　8.2 监督检查 

　　8.2.1 预案执行监督 

　　发生重大网络与信息安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何个人发现有瞒报、缓报、谎报重大网络与信息安全事件情况时，有权直接信息应急领导小组举报。 

　　应急行动结束后，对应急行动的及时性、有效性进行评估。 

　　8.2.２ 责任与奖惩 

　　各科室要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。信息应急领导小组将不定期进行检查，对各项制度、计划、方案、人员、物资等进行实地验证，并以演练的评定结果作为是否有效落实预案的依据。对在网络与信息安全事件应急处置工作中作出突出贡献的科室和个人予以表彰奖励。发生重大信息安全事件，有关责任科室、责任人有瞒报、缓报和漏报等失职情况，网络与信息安全系统的将予以通报批评；对造成严重不良后果的，将视情节追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。 

　　第九章 附则 

　　9.1 名词术语解释 

　　网络与信息安全突发事件：指重要社会信息系统突然遭受不可预知外力的破坏、毁损、故障，对国家、社会、公众造成或者可能造成重大危害，危及公共安全的突发事件。 

　　9.2 预案管理与更新 

　　信息应急领导小组根据情况变化，及时对预案进行修订完善。 

　　9.3 预案解释部门 

　　本预案经鄂尔多斯市人民防空办公室批准后实施，由鄂尔多斯市人民防空办公室负责解释。 

　　9.4 预案实施时间 

　　本预案自印发之日起施行。 

　　附件：１、信息安全事件报告表 

　　２、信息安全事件处理结果报告表 

信息安全事件报告表 

　　报告时间：     年   月   日   时   分        

科室名称			报 告 人
联系电话			通讯地址
传    真			电子邮件
发生重大信息安全事件的网络与信息系统名称及用途
负责部门				负责人
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明)
初步判定的  事故原因
当前采取的  应对措施
本次重大信  息安全事件的初步影响状况	事件后果	□业务中断 □系统破坏 □数据丢失 □其他
	影响范围	□单台主机 □ 台主机 □整个信息系统 □整个局域网 □
	严重程度	□极严重 □很严重 □严重 □一般 □不严重 □

　　信息安全事件处理结果报告表 

　　原事件报告时间：    年   月   日   时   分 

　　备案编号：xxxx年xx月xx日 第xxx号 总第xxx号  

科室名称			联系人
联系电话			通讯地址
传 真			电子邮件
发生重大信息安全事件的网络或信息系统基本信息	网络或信息系统名称及用途		操作系统	数据库使用  情况	系统是否经  过安全测评	已采用的  安全措施
			□Sun系列  □Irix  □AiX  □HP-UX  □Windows  □BSD系列  □Linux  □	□无  □0racle  □MS SQL  □InformiX  □Sybase  □MySQL  □	□是，已经通过安全测评  □是，但未通过安全测评  □否，未经  过安全测评	□防火墙  □入侵检测系统  □
重大信息安全事件的补充描述及最后判定的  事故原因
对本次重大信息安全事件的事后影响状况	事件后果	□业务中断□系统破坏□数据破坏□其他
	影响范围	□单台主机 □   台主机 □整个信息系统 □整个局域网 □
	严重程度	□极严重 □很严重 □严重 □一般 □不严重 □

本次重大信息安全事件的主要处理过程与结果（必要时可附文字、图片等材料）	（可增页）
针对此类事件应采取的保障网络与信息系统安全的措施和建议	（可增页）                         报告人签章