县财局网络与信息安全综合应急预案Word文档下载推荐.doc
《县财局网络与信息安全综合应急预案Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《县财局网络与信息安全综合应急预案Word文档下载推荐.doc(26页珍藏版)》请在冰豆网上搜索。
3.升级原则
安全事件在处置过程中,如事态和影响进一步扩大,且达到上一级标准的,可视具体情况作升级处理。
(二)事件分级
根据信息安全事件造成后果的严重程度,将信息安全事件可划分为5个等级,其中1级危害程度最高,5级危害程度最低,各级网络与信息安全事件的描述如下:
1级网络与信息安全事件(红色):
灾难性安全事件。
造成财政信息系统的业务瘫痪、对财政系统的利益或社会公共利益有灾难性的影响或危害。
2级网络与信息安全事件(橙色):
特别重大安全事件。
造成财政信息系统的业务停顿、对财政系统利益或社会公共利益有极其严重的影响或危害。
3级网络与信息安全事件(黄色):
重大安全事件。
造成财政信息系统的业务中断、影响系统效率、对财政系统利益或社会公共利益有较为严重的影响或危害。
4级网络与信息安全事件(蓝色):
较大安全事件。
造成财政信息系统的业务短暂停顿但可立即修复、对财政系统利益或社会公共利益有一定的影响或危害。
5级网络与信息安全事件:
一般安全事件。
造成财政信息系统的效率受到轻微影响、对财政系统利益或社会公共利益基本不影响或危害极小。
3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。
(三)事件分类
综合考虑网络与信息安全事件的起因、表现、结果等,网络与信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。
1.有害程序事件
有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。
2.网络攻击事件
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等。
3.信息破坏事件
信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。
4.信息内容安全事件
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。
信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件;
针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;
组织串连、煽动集会游行的信息安全事件;
其他信息内容安全事件等。
5.设备设施故障
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等。
6.灾害性事件
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。
7.其他事件
其他事件类别是指不能归为以上6个基本分类的信息安全事件。
(四)事件定级
1.定级要素
(1)财政工作秘密泄露造成的影响
根据由于失窃或泄露财政内部工作秘密信息而造成的危害程度,可将网络与信息安全事件的级别定义如下表。
表1财政工作秘密泄露范围及影响与安全事件等级对应表
级别
财政工作秘密泄露的范围及影响
1级
财政系统工作秘密大量泄露,并在互联网等公众媒体上大量出现和传播,在电视、网络、报刊、新闻杂志等媒体有广泛的负面报道,对财政系统业务和声誉造成特别重大影响。
2级
财政系统工作秘密大量泄露,并在互联网某些论坛等公众媒体上出现但并未广泛传播,在公共媒体上有负面报道,对财政系统业务和声誉造成重大影响。
3级
财政系统工作秘密部分泄露,并在互联网某些论坛等公众媒体上出现但并未广泛传播,对财政系统业务和声誉造成较大影响。
4级
财政系统工作秘密部分泄露,影响范围限于省内,财政系统业务因此受到影响,对省市财政机构业务运行和声誉造成较大影响。
5级
财政系统工作秘密少量泄露,影响范围限于单个财政机构或单个纳税人,对该财政机构或个别纳税人的业务和声誉造成影响。
本文所定义的财政系统工作秘密具体请参见《浦江县财政局关于印发信息化建设和管理相关制度的通知》(浦财数[2021]4号文件附件)
(2)财政业务中断受影响范围、发生时间情况
依据信息安全事件对财政业务的影响范围和发生时间(办公时间和非办公时间),将网络与信息安全事件划分为不同的等级。
表2财政业务受影响程度与安全事件等级对应表
影响财政
服务范围
办公时间
非办公时间
中断
1-8小时
8-24小时
24小时以上
财政业务
系统
A、办公时间是指除法定节假日之外的白天正常办公时间。
B、非办公时间是指非办公时间提供各项财政服务的时间。
(3)财政重要系统遭破坏后影响严重程度
依据信息系统等级保护备案等级确定重要系统的等级,再判断对重要系统破坏的影响大小,对照下表确定事件等级。
表3对重要系统的影响程度与安全事件等级对应表
事件等级
影响程度
等级保护三级系统
等级保护二级系统
对正常财政秩序造成重大影响
对财政系统的形象和声誉造成重大影响
对财政机构正常的工作秩序造成影响
对事发单位部分人员的正常工作造成影响
影响个别单位或纳税人对财政系统的信任
对于尚未定级信息系统发生的网络与信息安全事件,事件定级方法可考虑按照上述1、2两种因素的定级方法确定安全事件等级。
2.定级方法
网络与信息安全事件定级采用综合定级方法,具体定级过程如下:
(1)首先判断信息安全事件是否造成财政信息失窃或泄露,是否中断了正常的财政业务,是否对重要系统造成了破坏,并依据这三方面产生影响的严重程度分别确定事件等级。
(2)当财政信息失窃或泄密情况发生时,需要根据文件的标识、属性和内容确定文件中涉及的财政信息类别及信息泄露的范围和危害程度。
按照造成的影响根据《表1财政工作秘密泄露范围及影响与安全事件等级对应表》确定财政信息安全事件等级。
(3)当信息安全事件对财政业务造成影响时,确定财政业务受影响的时间和中断的时间;
确定影响的业务时间是办公时间,还是非办公时间,判断准确的系统中断时间。
按照财政业务受影响程度根据《表2财政业务受影响程度与安全事件等级对应表》确定财政业务安全事件等级。
(4)如果安全事件侵害的对象为重要信息系统的,应先确定该系统在国家信息安全等级保护中的定级,应着重关注等级保护定级为三级与二级的信息系统。
判断影响时,应识别是否影响财政秩序、财政系统的形象和声誉、财政机构正常的工作秩序、部分人员的正常工作还是影响了个别单位或纳税人对财政系统的信任,根据《表3对重要系统的影响程度与安全事件等级对应表》确定重要系统安全事件等级。
(5)如果同时出现两种以上类型的损害则依据财政信息安全事件等级、财政业务安全事件等级和重要系统安全事件等级中严重程度高的一个定级。
3.定级流程
网络与信息安全事件定级流程如下图所示:
确定事件侵害的对象
侵害对象为财政信息的
侵害对象为财政业务的
侵害对象为重要系统的
确定失窃或泄密财政信息的数量及造成的影响
确定受影响系统的等级保护级别
确定影响财政业务的范围
确定遭受破坏后影响的严重程度
确定影响财政业务的程度
依据表1
依据表2
依据表3
综合确定影响重要系统的事件等级
综合确定影响财政业务的事件等级
按照财政信息泄露造成的影响确定事件等级
综合确定安全事件等级
图1网络与信息安全事件定级流程
三、组织机构与职责
县局组织机构包括领导决策层、管理协调层和应急执行层三层,如图2所示。
图2应急响应组织机构图
网络与信息安全领导小组(以下简称领导小组)是指挥和决策机构,属于领导决策层。
领导小组下设网络与信息安全领导小组办公室(简称信安办),信安办平时以日常工作模式进行,当本预案启动后,信安办整体转为网络与信息安全应急办公室(简称应急办),进入应急处置模式,进行应急处置管理与协调。
信安办(应急办)下设三个应急响应组:
应急响应综合组、应急响应业务组、应急响应技术组,负责相应的应急响应工作,属于应急执行层。
网络与信息安全专家组为领导小组及其办公室、各应急响应组提供应急响应咨询、论证、技术支持等辅助工作。
我局信安办(应急办)在省市局信安办(应急办)的垂直领导下,负责本单位网络与信息安全事件应急工作的开展,并接受省市局信安办(应急办)交办的其它工作。
以下为我局应急响应组织机构设置。
(一)网络与信息安全领导小组
组长由局长担任,成员由相关局领导组成。
具体成员如下:
组长:
陈志平
成员:
许尔清、黄小莲、于培东、程晓月、芮赢省。
日常工作模式下的主要职责为:
1.负责审核和批准网络与信息安全应急响应总体规划、重大网络与信息安全事件报告。
2.负责统筹规划网络与信息安全应急基础设施建设。
应急处置模式下的主要职责:
1.对2级以上(含2级)网络与信息安全事件的应急响应工作进行宏观决策和现场应急指挥。
2.对2级以上(含2级)网络与信息安全事件,授权信安办(应急办)启动特定系统应急预案。
3.协调2级以上(含2级)网络与信息安全事件的调查处理。
(二)网络与信息安全领导小组办公室
信安办(应急办)是网络与信息安全领导小组的常设机构,设在数字中心。
信安办(应急办)主任由分管信息化工作的局领导兼任,成员由办公室主任、业务牵头科室负责人、技术部门负责人、其他相关科室负责人组成。
主任:
黄小莲
汪之雄、俞锋联、沈倩、黄山闪、黄幼萍、陈帅、金晓芳、金燚涛、张宇英、童军民、赵佳、魏丹、孙国晏、许杉、徐勇江、金海洋、尉惠莉、何毅、黄树槟、魏绣章。
**
1.组建、调整各应急响应组,并根据实际工作情况,及时调整和完善应急响应体系。
2.定期组织网络与信息系统的风险评估和整改。
3.定期组织应急预案的宣传、培训和演练。
4.汇总、编制网络与信息安全事件报告。
5.组织各项应急准备工作。
1.在领导小组的领导下,负责3级网络与信息安全事件县局现场的应急指挥,指导协调县局开展重大网络与信息安全事件应急工作。
2.负责3级以上(含3级)网络与信息安全事件特定系统应急预案的启动和停止。
3.负责3级以上(含3级)网络与信息安全事件的信息研判、信息发布、信息通报工作。
4.组织3级及3级以上网络与信息安全事件的调查、分析、总结工作并向领导小组提交相关工作报告。
5.组织和协调各种应急资源。
6.与外部门应急机构的沟通协调。
应急处置模式:
3级以上(含3级)应急事件发生时,县局信安办(应急办)立刻进入应急处置状态。
负责信息安全保障与应急的通报和协调工作;
组织技术专家组会议,协调各技术支撑单位的工作;
对突发事件态势进行研判和报告。
(三)应急响应综合组
应急响应综合组由局办公室、人教科、数字中心、各业务科室等部门的相关人员组成,负责为应急响应工作的顺利实施提供后勤、人力、经费等保障。
1.负责县局应急处置情况下所需通讯联络设备与工具的配备与日常维护。
2.负责县局信安办(应急办)联系人员名单的更新与维护工作。
3.负责制订综合办公平台等业务应急预案。
4.组织开展应急响应知识培训。
1.负责应急行动的保障工作,包括资金保障、车辆安排、人员食宿安排等。
2.负责信安办(应急办)应急处置指令的下达。
3.负责机房环境支撑系统的保障工作,包括消防、精密空调、UPS、强电、视频监控录像、环境监控等系统。
4.机房发生3级以上(含3级)网络与信息安全事件时,负责组织机房保安工作。
5.负责综合办公平台的业务保障及业务恢复正常确认工作。
6.负责预警信息、外部门报送材料的草拟工作;
根据信安办(应急办)的授权,负责统一对外发布预警信息,负责向省市局应急办、县网络与信息安全信息通报中心等通报信息安全事件情况。
7.负责向领导小组及其办公室汇报综合保障情况。
8.在应急响应工作完成后,编写应急响应业务工作报告(综合办公平台)。
(四)应急响应业务组
应急响应业务组由财政各业务科室的相关人员组成,负责安全事件财政业务方面的应急响应工作。
负责制订重要财政业务信息系统应急预案。
1.负责评估网络与信息安全事件对工作所造成的影响。
2.参与应急响应决策过程,从业务方面考虑,为领导小组及其办公室决策提供建议。
3.根据应急响应工作的需要,采取相应的应急处置措施,组织实施业务的中断与恢复;
负责业务恢复正常确认工作。
4.负责向领导小组及其办公室汇报业务处理进展情况。
5.在应急响应工作完成后,编写应急响应业务工作报告。
(五)应急响应技术组
应急响应技术组由数字中心的相关人员组成,负责安全事件技术方面的应急响应工作。
1.负责制订特定系统技术应急预案。
2.明确第三方产品和服务厂商的应急服务责任,确保当网络与信息安全事件发生时能及时有效地进行响应和处置。
1.安全事件接警确认、分析及安全事件初定级,3级以上事件上报信安办(应急办)。
2.参与应急响应决策过程,从技术方面考虑,为领导小组及其办公室决策提供建议。
3.根据应急响应工作的需要,采取相应的应急处置措施,组织小组施行技术作业;
负责技术故障排除确认工作。
4.负责向领导小组及其办公室汇报安全事件技术处理进展情况。
5.协调外部单位的技术力量,做好应急响应的技术外援工作。
6.在应急响应工作完成后,编写应急响应技术工作报告。
(六)网络与信息安全专家组
当发生安全事件时,由信安办(应急办)根据实际情况商请有关专家协助解决。
其主要职责为:
1.为领导小组及其办公室、各应急响应组提供应急响应咨询、论证、技术支持等工作。
2.必要时,参与应急处置。
四、应急响应流程
安全事件发生后,根据实际情况,采取相应处置措施,以下是安全事件应急响应流程图:
图3应急响应流程图
(一)报告
1.有关人员接到安全事件报告并做相关确认后,立即通知应急响应技术组组长,应急响应技术组组长应立即组织相关人员对安全事件进行调查分析和评估工作,并对安全事件级别作出初步判断,必要时向专家组咨询。
2.若初步判断为4级安全事件,应急响应技术组第一时间与应急响应业务组、应急响应综合组联系。
由应急响应技术组进行技术处置,并密切关注安全事件的发展,应急响应业务组、应急响应综合组分别通知涉及的部门、人员做好安全事件事态恶化的有关应急处置准备工作。
3.若初步判断为3级以上(含3级)的安全事件,应急响应技术组在实施前期应急处置的同时应立即向信安办(应急办)报告,应急响应组做好准备工作的同时向信安办(应急办)提出应急处置建议。
信安办(应急办)对安全事件进行进一步分析、评估,必要时向专家组咨询。
若确认为3级安全事件的,由信安办(应急办)进行现场统一指挥和决策,事后向领导小组报告;
若认为属2级(含2级)以上安全事件的,立即向领导小组报告。
4.领导小组在接到报告后,应立即召集专题会议,必要时向专家组咨询,确定安全事件级别为2级(含2级)以上的,组织相关人员进行现场指挥。
5.安全事件为3级的,由信安办(应急办)组织向省市局应急办、县网络与信息安全信息通报中心等部门报告安全事件情况;
安全事件为2级及以上的,经领导小组批准,由信安办(应急办)及时向省市局应急办、县网络与信息安全信息通报中心等部门报告安全事件情况。
安全事件情况报告的内容与格式参见附件一。
6.应急响应技术组应将相关信息通报相关设备及服务提供商,以获得必要的应急响应支持。
(二)应急处置
1.先期处置
应急响应技术组接到报告后,要立即采取临时应对措施,防止事态扩大,尽可能减少损失与影响。
同时,保护事件现场,获取安全事件证据,备份相关系统日志与审计记录。
2.启动预案
安全事件为3级的,由信安办(应急办)启动特定系统应急预案;
2级及以上安全事件,领导小组启动或授权信安办(应急办)启动特定系统应急预案。
3.应急处置
(1)处置过程中,如果发现应急处置措施确实存在缺陷,4级安全事件由各应急响应组决定是否变更和如何进行调整;
3级安全事件由信安办(应急办)研究决定是否变更和如何进行调整;
2级以上安全事件由领导小组组织研究和分析,决定是否变更和如何进行调整。
(2)应急处置中,如果因事态变化而造成安全事件等级变化,各应急响应组应当立即向信安办(应急办)报告,调整为2级及以上的安全事件报领导小组研究决定,调整为3级及以下安全事件由信安办(应急办)研究决定,应急响应组按照新的事件等级进行处置。
(3)县局信安办(应急办)立即启动本单位的相应预案,进行当地现场指挥与处置,并保持与省市局信安办(应急办)的联络畅通。
(4)应急处置结束后,各应急响应组要继续监控网络与信息系统的运行,直至确定可持续正常运行为止。
4.信息发布
(1)发布责任人
安全事件为3级的,由信安办(应急办)按要求对外统一发布;
安全事件为2级及以上的,经领导小组审核批准后,由信安办(应急办)按要求对外统一发布。
发布的内容应包括预警级别色标、事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。
(2)其他要求
其他部门或个人不得擅自对外发布或回应任何有关网络与信息系统异常的信息。
5.应急结束
安全事件经应急处置并得到有效控制后,安全事件为3级的,由信安办(应急办)宣布应急结束;
安全事件为2级及以上的,由信安办(应急办)提出应急结束的建议,经领导小组批准后执行。
应急结束必须同时具备以下条件:
(1)应急响应技术组确认技术故障已排除,可恢复至正常工作状态。
(2)应急响应业务组确认业务已得到有效恢复。
(三)后期处置
1.恢复正常
在应急结束后,应急响应技术组和应急响应业务组要迅速采取措施,对事件造成的损失和影响以及恢复重建能力进行分析评估,确认隐患已消除,解除临时应对措施,迅速组织实施信息系统重建,恢复系统正常运行。
2.总结报告
(1)流程
应急工作结束后,各应急响应组向信安办(应急办)提交书面应急工作总结报告(格式参见附件二),由信安办(应急办)进行汇总,并向领导小组汇报。
(2)报告
总结结束后,安全事件为3级的,由信安办(应急办)组织及时向省市局、县网络与信息安全领导协调小组、县网络与信息安全信息通报中心等部门报告事件情况、处置过程、处置结果等详细情况;
安全事件为2级及以上的,经领导小组批准,由信安办(应急办)向省市局、县网络与信息安全领导协调小组、县网络与信息安全信息通报中心等部门报告事件情况、处置过程、处置结果等详细情况。
五、应急保障
(一)组织保障
1.组织机构中的人员,要根据变化情况及时更新,经常性对横向(外单位)及纵向(上级和下级部门)联系对象进行沟通了解,及时根据人员机构变动调整联系对象,确保在紧急情况下联系方式的可靠性。
2.对重要系统、网络、设备、软件等都明确责任人,对重要系统、关键设备及软件的维护设置A、B角岗位。
(二)技术保障
1.准备应急所需的硬件设备、软件、网络通讯设备、机房设备等必要物件。
2.重要系统的关键设备要求有备件。
3.不定期对与应急响应工作相关的干部职工进行应急响应知识培训。
(三)后勤保障
1.做好车辆、物资、资金的调度准备以及电力准备等。
2.做好通信与信息保障工作。
应急响应综合组要加强应急通信设备与工具的配备,以建立稳定可靠的省、市、县(市、区)三级信安办(应急办)之间的通信系统。
六、应急演练与预案维护
(一)应急演练
不定期组织开展网络与信息系统的应急演练,以检验应急通讯、应急人员、应急设备、应急操作流程的可靠性和可用性。
通过应急演练,发现并及时修改应急预案中存在的缺陷和不足,检验各部门的应急保障能力、应急人员对应急响应工作的了解程度和实际操作技能。
(二)预案维护
1.各应急响应组应定期识别评估职责范围内的业务和技术风险,并根据实际应急响应、系统调整、人员变动、业务变化及应急
升级会员 