江西省工业控制系统信息事件应急预案.docx
《江西省工业控制系统信息事件应急预案.docx》由会员分享,可在线阅读,更多相关《江西省工业控制系统信息事件应急预案.docx(14页珍藏版)》请在冰豆网上搜索。
江西省工业控制系统信息事件应急预案
江西省工业控制系统信息事件应急预案
(征求意见稿)
1总则
1.1编制目的
为加强江西省工业控制系统信息安全(以下简称工控安全)事件应急工作管理,建立健全工控安全应急工作机制,提高应对工控安全事件的组织协调和应急处置能力,预防和减少工控安全事件造成的损失和危害,保障工业生产正常运行,维护国家经济安全和人民生命财产安全,制定本预案。
1.2编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《工业控制系统信息安全事件应急管理工作指南》、《GB/T20986-2007信息安全技术信息安全事件分类分级指南》、《GB/T36324-2018信息安全技术工业控制系统信息安全分级规范》和《江西省网络安全事件应急预案(试行)》等标准规范。
1.3适用范围
本预案所指工业控制系统信息安全事件是指由于人为原因、事件灾难、自然灾害等,对我省范围内工业控制系统、信息化设备、网络、平台、应用系统、数据等造成或者可能造成严重危害,影响正常工业生产的事件。
其中涉密领域的工业控制系统信息安全事件参照涉密相关管理规定处理。
人为原因是指人为破坏网络线路、控制设备、通信设施、黑客攻击、病毒攻击、恐怖袭击等。
事件灾难是指电力中断、网络损坏或者软件、硬件设备故障等。
自然灾害是指地震、台风、雷电、火灾、洪水等。
本预案适用于全省各级工业和信息化主管部门、工业企业开展工控信息安全应急管理工作。
1.4工作原则
坚持预防为主、平战结合、快速反应、科学处置、企业主体、社会参与,充分发挥各方力量,共同做好工控安全事件的预防和处置工作。
2组织机构与职责
2.1领导机构职责
江西省工业和信息化厅机关政务信息化及信息安全工作领导小组(以下简称厅领导小组),负责贯彻国家、省有关应急工作的法规政策,指导全省工控安全事件应急工作,决策应急过程中的重大事项,必要时设立江西省工业控制系统信息安全事件应急指挥部。
江西省工业控制系统信息安全事件应急指挥部(以下简称省应急指挥部)日常工作由省工业和信息化厅信息安全协调处承担,在厅领导小组的领导下,统筹协调全省工控安全事件应急工作,负责信息搜集、处理与协调发布,制定应急预案及配套文件,组建省级工控信息安全应急技术机构和专家队伍,编制重点工业企业目录清单,建立与省委网信办和省应急管理厅等单位的应急联动处置机制,指导各地工业和信息化主管部门和工业企业做好工控安全事件应急处置工作,根据工作需要组织召开应急处置工作会议。
2.2各地工业和信息化部门职责
各地工业和信息化主管部门指导本地区工控安全应急管理工作,制定本级工控安全事件应急预案,落实本地区工控安全预防、监测、报告和应急处置工作。
组建本地区工控信息安全应急技术机构和专家队伍。
2.3工控信息安全应急技术机构和专家队伍职责
工控信息安全应急技术机构和专家队伍负责提供技术支撑和决策建议,做好应急装备和工具的储备,协助主管部门开展工控安全监测、态势研判、威胁预警、应急处置、事件调查与评估等工作。
2.4各工业企业职责
全省各工业企业对本单位工控安全和应急保障负主体责任,建立健全工控安全责任制,做好本单工控安全应急工作,制定应急预案,部署有效安全防护手段,落实人财物保障。
3事件分级
工控安全事件分为四级:
特别重大工控安全事件、重大工控安全事件、较大工控安全事件、一般工控安全事件。
3.1符合下列情形之一的,为特别重大工控安全事件:
3.1.1重点领域的工业控制系统遭受特别重大损害,造成系统大面积瘫痪,丧失业务处理能力。
3.1.2重点领域的工业控制系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大。
3.1.3事件影响全省或大部分地区,对经济建设、社会秩序、公共利益、环境安全和人员生命造成特别严重损害。
3.2符合下列情形之一且未达到特别重大工控安全事件的,为重大工控安全事件:
3.2.1重点领域的工业控制系统遭受重大损害,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
3.2.2重点领域的工业控制系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大。
3.2.3事件影响省内多个设区市,对经济建设、社会秩序、公共利益、环境安全和人员生命造成严重损害。
3.3符合下列情形之一且未达到重大工控安全事件的,为较大工控安全事件:
3.3.1一般领域的工业控制系统遭受重大损害,或者重点领域的工业控制系统遭受损害,造成系统中断,明显影响系统效率,业务处理能力受到影响。
3.3.2一般或重点领域的工业控制系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大。
3.3.3事件影响在一个设区市以内,对公民、企业和其他组织的合法权益及重要财产造成严重损害,或者对经济建设、社会秩序、公共利益、环境安全和人员生命造成损害。
3.4符合下列情形之一且未达到较大工控安全事件的,为一般工控安全事件:
3.4.1一般领域的工业控制系统遭受损害,造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响。
3.4.2一般领域的工业控制系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
3.4.3事件影响在一个工业企业以内,对公民、企业和其他组织的合法权益及重要财产造成损害,但未损害社会秩序、公共利益、环境安全和人员生命。
重点领域的工控系统是指与国计民生紧密相关的工业生产领域中的工控系统,如核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热等。
4监测预警
4.1预警分级
工控安全事件预警等级分为四级:
由高到低依次为红色、橙色、黄色和蓝色,分别对应发生或可能发生特别重大工控安全事件、重大工控安全事件、较大工控安全事件、一般工控安全事件。
4.2安全监测
省工业和信息化厅依托国家计算机网络应急技术处理协调中心江西分中心、江西省网络安全研究院、江西省国防科技信息和卫星应用中心等机构和江西省工业控制系统远程安全监测平台、江西省工业互联网安全态势感知平台等,对全省重点工业企业开展安全监测,在可控范围内发布工控安全相关威胁情报信息。
各设区市工业和信息化主管部门组织开展本地区工控安全监测工作,定期将重要监测信息报省工业和信息化厅。
各工业企业组织开展本单位工控安全监测工作,完善安全监测技术手段,根据相关政策法规要求,定期将安全监测数据接入江西省工业互联网安全态势感知平台或经省工业和信息化厅认可的安全监测平台,并上报当地工业和信息化主管部门。
4.3预警发布
省工业和信息化厅根据工控安全监测情况,发现可能影响全省工控安全的重大漏洞和风险后,确定发布红色或橙色预警。
对可能发生重大以上的工控安全事件信息及时向工业和信息化部和省网络安全应急办报告。
各设区市工业和信息化主管部门根据本地区工控安全监测情况,发现可能影响本地区工控安全重大漏洞和风险后,确定发布黄色及以下预警,并向有关工业企业通报情况,认为超出本地区应对能力范围的,及时上报省工业和信息化厅。
预警通报信息内容包括:
风险/事件的类别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等,详见附件3。
4.4预警响应
4.4.1红色预警响应
4.4.1.1省工业和信息化厅立即启动应急预案,组织省级工控安全信息应急技术机构和专家队伍对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。
有关重大事项及时通报相关设区市工业和信息化主管部门和工业企业,必要时将相关信息向工业和信息化部和省网络安全应急办报告。
4.4.1.2有关设区市工业和信息化主管部门实行24小时值班,相关人员保持通信联络畅通。
组织指导工控安全信息应急技术机构、有关工业企业、开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报省工业和信息化厅。
4.4.1.3省级工控信息安全应急技术机构进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
4.4.1.4各工业企业要保持联络畅通,接到工业和信息化主管部门预警通报后,要立刻落实相关要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
4.4.2橙色预警响应
4.4.2.1省工业和信息化厅立即启动应急预案,组织省级工控信息安全应急技术机构对事态发展情况进行分析研判,研究制定防范措施和应急工作方案,协调组织资源调度等各项应急处置准备工作。
有关重大事项及时通报相关设区市工业和信息化主管部门和工业企业。
4.4.2.2有关设区市工业和信息化主管部门实行24小时值班,相关人员保持通信联络畅通。
组织指导工控信息安全应急技术机构、有关工业企业开展应急处置准备工作,加强工控安全事件监测和事态发展信息搜集,及时将事态发展情况报省工业和信息化厅。
4.4.2.3有关设区工控信息安全应急技术机构进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
4.4.2.4各工业企业要保持联络畅通,接到工业和信息化主管部门预警通报后,要立刻落实相关要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
4.4.3黄色、蓝色预警响应
4.4.3.1有关设区市工业和信息化主管部门启动相应应急预案,组织开展应急处置准备、风险评估和风险控制工作。
必要时将事态发展情况报省工业和信息化厅。
4.4.3.2各工业企业要保持联络畅通,接到工业和信息化主管部门预警通报后,要立刻落实相关要求,制定应急方案和防范措施,组织技术力量开展应急处置准备、风险评估和控制工作。
4.5预警解除
预警发布部门根据实际情况解除预警,并及时发布预警解除信息。
5应急处置
5.1事件报告
工控安全事件发生后,事发工业企业应立即启动应急预案,并报告当地工业和信息化主管部门。
事发地工业和信息化主管部门立刻组织工业企业先期处置,控制事态,消除隐患,同时组织研判,保存证据。
对于初判为较大工控安全及以上事件的,事发设区市工业和信息化主管部门应立即上报省工业和信息化厅。
对于初判为重大工控安全及以上事件的,省工业和信息化厅及时报告工业和信息化部和省网络安全应急办。
后续处置应对情况也应及时报送,直至处置完毕。
重大工控安全及以上事件的相关信息,由厅领导小组指定授权人进行回应,其他人员不得随意发布和转发相关信息。
报告信息主要包括:
事发工业企业名称、工业控制信息系统名称以及事件发生时间、地点、原因、来源、类型、性质、危害、影响范围、发展趋势、处置措施等,详见附件4。
5.2应急响应
工控安全事件应急响应分为四级:
由高到低依次为I级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应特别重大工控安全事件、重大工控安全事件、较大工控安全事件和一般工控安全事件。
5.2.1Ⅰ级响应
特别重大工控安全事件,由国家有关部门启动I级响应。
5.2.1.1省应急指挥部进入应急状态,在国家有关部门的统一指挥下,履行应急处置工作的统一领导、指挥、协调职责。
省应急指挥部24小时值班,加强与省委网信办、省应急管理厅等单位的应急联动,组织省级工控信息安全应急技术机构和专家队伍提供技术支援,及时研究对策意见,对应对工作进行决策部署。
组织事发设区市工业和信息化主管部门开展应急处置工作,控制事态,消除隐患,及时开展调查取证、信息发布等应急处置措施,掌握事件动态,收集汇总有关情况,各项工作及时向国家有关部门报告。
5.2.1.2事发设区市工业和信息化主管部门进入应急状态,在省应急指挥部的统一领导下,负责组织本地区应急处置和支援保障工作,24小时值班。
跟踪事态发展,检查影响范围,及时将事态发展情况上报省应急指挥部。
处置中需要其他设区市工业和信息化主管部门和省级工控信息安全应急技术机构配合支持的,省工业和信息化厅予以协调。
5.2.1.3事发工业企业及时采用口头、书面报告的形式,将事态发展变化情况、处置进展情况报告当地工业和信息化主管部门。
在当地工业和信息化主管部门的组织下,迅速实施应急处置,开展原因分析,保留网络攻击、网络入侵或网络病毒的证据等相关信息,尽快就工控安全事件中暴露出的网络弱点和缺陷制定有效措施,对网络设施和信息系统进行整改加固,解决安全问题,恢复受破坏系统的正常运行,减少危害和不良影响。
5.2.2Ⅱ级响应
属重大工业控制系统信息事件的,由省工业和信息化厅启动Ⅱ级响应。
5.2.1.1省应急指挥部进入应急状态,24小时值班,履行应急处置工作的统一领导、指挥、协调职责。
加强与省委网信办、省应急管理厅等单位的应急联动,组织省级工控信息安全应急技术机构和专家队伍提供技术支援,及时研究对策意见,对应对工作进行决策部署。
组织事发设区市工业和信息化主管部门开展应急处置工作,控制事态,消除隐患,及时开展调查取证、信息发布等应急处置措施,掌握事件动态,收集汇总有关情况。
将相关事项及时通报有关地区和工业企业,防止造成更大范围的影响和损失。
重大事项及时报工业和信息化部。
5.2.1.2事发设区市工业和信息化主管部门进入应急状态,在省应急指挥部的统一领导下,负责做好本地区应急处置和支援保障工作,24小时值班。
跟踪事态发展,检查影响范围,及时将事态发展情况上报省应急指挥部。
处置中需要其他设区市工业和信息化主管部门和省级工控信息安全应急技术机构配合支持的,省工业和信息化厅予以协调。
5.2.1.3事发工业企业及时采用口头、书面报告的形式,将事态发展变化情况、处置进展情况报告当地工业和信息化主管部门。
在当地工业和信息化主管部门的组织下,实施应急处置,尽快恢复受破坏工业控制系统的正常运行。
5.2.3Ⅲ级响应
属较大工控安全事件的,由事发设区市工业和信息化主管部门启动Ⅲ级响应。
5.2.3.1事发设区市工业和信息化主管部门按相关应急预案组织做好应急处置工作。
重大事项和处置结果及时报省工业和信息化厅。
5.2.3.2事发工业企业及时将情况上报当地工业和信息化主管部门,保持联络畅通,积极实施应急处置,尽快恢复受破坏工业控制系统的正常运行。
5.2.4Ⅳ级响应
属一般工控安全事件的,由事发工业企业启动Ⅳ级响应并报当地工业和信息化主管部门备案。
事发工业企业启动本企业应急预案,组织实施应急处置工作,并将处置情况报当地工业和信息化主管部门。
5.3应急结束
Ⅰ级响应结束:
由国家有关部门结束I级响应,省工业和信息化厅及时将Ⅰ级响应结束信息通报有关设区市工业和信息化主管部门和工业企业。
Ⅱ级响应结束:
由省工业和信息化厅结束Ⅱ级响应,及时将Ⅱ响应结束信息通报有关设区市和工业企业。
Ⅲ级响应结束:
由事发设区市工业和信息化主管部门决定,并及时将Ⅲ级响应结束信息通报有关工业企业。
Ⅳ级响应结束:
由事发工业企业决定并宣布Ⅳ级响应结束。
6调查与评估
特别重大和重大工控安全事件由省工业和信息化厅组织有关设区市工业和信息化主管部门和工业企业进行调查处理、总结评估。
较大工控安全事件由事发设区市工业和信息化主管部门组织相关部门和工业企业调查处理、总结评估。
一般工控安全事件由事发工业企业自行组织调查处理和总结评估。
总结调查报告应客观公正,具备专业性,对事件的起因、性质、影响、责任等进行分析评估并提出处理意见和改进措施。
事件的调查处理和总结评估工作,原则上在应急响应结束后30天内完成。
7预防工作
7.1日常管理
各设区市工业和信息化主管部门、各工业企业按职责做好工控安全事件日常预防工作,制定和完善相关应急预案,做好工控安全检查、隐患排查、风险评估和容灾备份,健全工控安全信息通报机制,及时采取有效措施,减少和避免工控安全事件的发生及危害,提高应对工控安全事件的能力。
7.2演练
省工业和信息化厅协调有关单位定期组织应急演练,检验和完善预案,提高实战能力。
各设区市工业和信息化主管部门、各重点工业企业定期组织预案演练,并将演练情况报省工业和信息化厅。
7.3检查
省工业和信息化厅定期对重点工业企业工控系统开展安全检查,发现安全问题,通报安全情况,提出整改措施,提升安全事件应对能力。
各设区市工业和信息化主管部门定期、不定期开展工控安全检查,发现安全问题并敦促整改,重大安全事件苗头性问题,必须报省工业和信息化厅。
各重点工业企业每年应开展1次以上工控安全自查,及时发现和排除安全隐患,并将自查报告报当地工业和信息化主管部门,如有必要可报省工业和信息化厅。
7.4宣传
各级工业和信息化主管部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发工控安全事件预防和处置的有关法律、法规和政策的宣贯,开展工控安全基本知识和技能、典型案例的宣传活动。
7.5培训
省工业和信息化厅定期组织工控安全知识培训。
各设区市工业和信息化主管部门和各工业企业要将工控安全事件的应急知识列为领导干部和有关人员的培训内容,积极利用线下培训班、线上课程等多种形式开展工控安全管理和技能培训,加强应急预案的培训和宣贯,深化对预案中职责、流程和各项基本要求的了解,提高防范意识和技能。
7.6重要活动期间的预防措施
在国家和省级重要活动、会议期间,厅领导小组统筹协调工控安全保障工作,加强工控安全监测预警、事件防范和应急响应。
各设区市工业和信息化主管部门应加强工控安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置工控安全事件隐患。
相关工业企业应加强对工控系统的巡查巡检,原则上不在敏感时期对工控系统进行调整或升级。
8保障措施
8.1应急技术机构和专家库
省工业和信息化厅定期遴选发布省级工控信息安全应急技术机构。
各设区市工业和信息化主管部门应建立本地区工控信息安全应急技术机构。
省工业和信息化厅组织建立省级工控信息安全应急专家库。
各设区市工业和信息化主管部门应建立本地区工控信息安全应急专家库。
各工业企业应配备必要的工控信息安全专家和专业技术人才,并加强与各级应急技术机构的沟通、协调。
各设区市工业和信息化主管部门应积极利用社会资源,从教育科研机构、企事业单位、协会中选拔工控安全人才,汇集技术与数据资源,建立工控安全事件应急服务体系,提高应对特别重大、重大工控安全事件的能力。
8.2经费和物资保障
全省各设区市工业和信息化主管部门应积极整合各类资源,优化资金配置,发挥好工业转型升级等相关财政资金,带动社会投资,支持工控信息安全应急技术机构建设、专家队伍建设、监测预警平台建设、人才培养、基础平台建设、技术研发、应急演练等,为工控安全应急管理工作提供必要的经费支持。
各级工控信息安全应急技术机构,加强对应急车辆、设备、软件工具等应急物资的保障工作,不断增强应急技术响应能力。
各工业企业应为自身工控安全监测、应急工作提供必要的经费保障,加强对应急装备和工具的储备,及时调整、升级软件硬件工具,不断增强应急技术响应能力。
8.3落实工作责任
各设区市工业和信息化主管部门、各工业企业要按照“谁主管谁负责,谁运营谁负责”的原则,建立健全应急工作机制,把工作责任落实到具体部门、具体岗位和相关责任人身上。
8.4责任与奖惩
对工控安全基础好、工作标准高、工控安全事件应急工作表现优异的企事业单位,可在申报工业和信息化相关试点示范中予以优先推荐。
对在应急管理工作中出现失职、渎职行为的,依照相关规定对企业给予处罚,对有关责任人给予处分,构成犯罪的,依法追究刑事责任。
9附则
9.1预案解释
本预案由省工业和信息化厅负责解释。
9.2预案实施时间
本预案自印发之日起实施
附件:
1.监测预警流程图
2.应急处置流程图
3.预警通报信息单
4.事件报告单
附件1监测预警流程图
监测预警流程图
附件2应急处置流程图
应急处置流程图
附件3预警通报信息单
预警通报信息单
工业控制系统信息安全预警通报信息单
发布时间
发布机关
事件类别
警示事项
预警事项描述:
注明漏洞概述、风险来源、危害程度、影响范围、起始时间等
记录人:
时间:
建议采取的防护措施:
注明详细的防护操作、防护对象、负责企业(单位)、起始时间
拟制人:
时间:
各设区工业和信息化主管部门意见:
签名
时间
省工业和信息化厅意见:
签名
时间
备注:
附件4事件报告单
事件报告单
工业控制系统信息安全事件报告单
事发企业名称
事发系统名称
事发时间
事发地点
联系人
联系人电话
系统概述:
应注明事发系统业务职能、重要程度、涉及数据等
记录人:
时间:
事件概述:
应注明事件类型、来源、性质,以及目前造成的危害和影响范围
记录人:
时间:
处置措施:
应注明执行人、具体处置措施、完成时间、取得效果、后续计划等
拟制人:
时间:
事发设区市工业和信息化主管部门审核意见:
签名
时间
省工业和信息化厅审核意见:
签名
时间
备注:
升级会员 