信息安全应急响应预案.docx

1、信息安全应急响应预案深圳市XXX信息安全应急响应预案深圳市XXXXX年XX月深圳市XXX信息系统突发事件应急预案本预案内容包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施、各种突发事件应急预案等。明确规定了深圳市XXX在发生网络与信息安全重大突发事件情况下各部门的相关职能和工作方法，具有一定的宏观指导性和可操作性，对减少网络与信息安全突发事件，保障业务系统正常开展起着重要作用。1. 总则1.1 目的为科学应对网络与信息安全(以下简称“信息安全”)突发事件建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响。1.2 现状及其成因近年

2、来，深圳市XXX信息安全工作得到加强。但信息安全保障基础工作和技术保障措施比较薄弱，与信息化快速发展的要求和日趋严峻的信息安全形势不协调。信息安全突发事件成因可分为两个方面：一是网络与信息系统自身的脆弱性，主要表现在：安全漏洞的普遍性，攻击和恶意代码的流行性，入侵检测能力的局限性，网络和系统管理的复杂性。二是网络与信息系统外部体制性的不安全性，主要表现在：信息安全法制不健全，全社会的信息安全意识淡薄，深圳市XXX信息安全自主可控能力不强，技术防御整体水平不高，信息安全专业人才缺乏，专业队伍建设严重滞后。2. 组织机构及职责2.1 应急指挥机构2.1.1深圳市XXX信息系统突发事件应急领导小组在

3、深圳市XXX党组的统一领导下，设立深圳市XXX信息系统突发事件应急领导小组(以下简称“信息突发事件应急领导小组”)，为深圳市XXX处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、广东省、深圳市政府信息安全应急机构的要求开展预防和处置工作；研究决定深圳市XXX信息安全应急工作的有关重大问题；决定III级和IV级信息安全突发事件应急预案的启动，组织力量对III级和IV级突发事件进行处置；接受深圳市政府信息安全应急机构的统一领导，组织指挥II级和I级突发事件的应急处置工作；指导监督信息安全应急小组的工作；法律、法规、规章规定的其他职责。信息突发事件应急领导小组，由（最高领导

4、人）作为主任，（分管信息化工作的领导）作为副主任，成员由深圳市XXX各部门部长组成。信息突发事件应急领导小组下设应急小组，由信息部部长任组长，信息部副部长任副组长，信息部其它成员任组员。承担深圳市XXX信息安全专项应急领导小组的日常工作，负责深圳市XXX信息安全突发事件日常监测与预警，其主要职责是：督促落实上级部门和深圳市XXX信息突发事件应急领导小组做出的决定和措施；拟订或者组织拟订深圳市XXX信息部应对信息安全突发事件的工作规划和应急预案，报深圳市XXX领导小组批准后组织实施；督促检查信息安全专项应急预案的制订、修订和执行情况；汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建

5、议；监督检查、协调信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作；组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报信息突发事件应急领导小组批准后督促落实；组织专家组判定突发事件级别，根据情况提出加强或撤销控制措施的建议和意见；组织召开部门协调会议，协调各部门共同做好突发事件处置工作；检查督导突发事件应急措施的落实情况；及时收集、上报和通报突发事件有关情况，负责向信息突发事件应急领导小组报告有关工作情况；2.1.2信息突发事件应急领导小组各成员部门的职责信息部：统筹规划建设应急处理技术平台，会同其他有关部门组织制定单位突发事件应急处理政策文件及技术

6、方案，负责安全事件处理的培训，及时收集、上报和通报突发事件情况，负责向信息突发事件应急领导小组或中心领导报告有关工作情况。相关部门：配合信息部组织制定信息系统突发事件应急处理政策文件及技术方案及其他各项工作。3. 预警和预防机制3.1 信息监测及报告信息部应加强信息安全监测、分析和预警工作，进一步提高信息安全监察能力。建立信息安全事故报告制度。在突发事件发生后，发现人应当立即向深圳市XXX信息突发事件应急小组报告。发现人应当立即对发现的事件进行调查核实、保存相关证据，并在事件被发现时将证据报至信息突发事件应急小组。3.2 预警信息突发事件应急小组接到信息安全突发事件报告后，应当经初步核实后，将

7、有关情况及时向组长报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时报深圳市XXX应急领导小组。领导小组主任视情况召集协调会，决策行动方案，发布指示和命令。3.3 预警支持系统深圳市XXX信息突发事件应急领导小组应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。3.4 预防机制积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。4. 应急处理程序4.1 级

8、别的确定信息安全事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。各参考要素分别说明如下：(1)信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息的重要程度的要素；(2)公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；(3)业务影响是衡量信息安全事件对事发单位正常业务开展所造成的负面影响程度的要素；(4)资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。信息安全突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。一般-IV级：深圳市XXX较小范围出

9、现并可能造成较大损害的信息安全事件。较大-级：深圳市XXX部分网络与信息系统、网站受到大面积、严重冲击。重大-II级：深圳市XXX大部分网络、信息系统、网站基本瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失。特别重大-I级：深圳市XXX所有基础网络（包括纵向或横向延伸）、信息系统、网站严重瘫痪，导致业务中断，造成或可能造成严重法律纠纷或对政府重大形象工程造成巨大负面影响的信息安全事件。4.2 预案启动4.2.1启动预案的权限。发生IV级网络信息安全事件后，信息突发事件应急领导小组负责启动相应预案，信息突发事件应急小组负责应急处理工作；发生III级网络信息安全事件后，信息

10、突发事件应急领导小组负责启动相应预案，并负责应急处理工作；发生I、II级的信息安全突发事件后，上报市人民政府及上级主管部门启动相应预案，并由市信息安全应急指挥部负责应急处理工作。4.2.2启动预案的流程。深圳市XXX信息安全应急小组接到报告后，应当立即上报深圳市XXX信息突发事件应急领导小组有关负责人，并会同相关成员尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估，向信息突发事件应急领导小组提出启动预案的建议，报信息突发事件应急领导小组批准。4.2.3启动预案后的应急处理。在信息突发事件应急领导小组作出启动预案决定后，信息突发事件应急小组立即启动应急处理工作。4.3 现场应急处理现场

11、应急处理工作组应尽最大可能收集事件相关信息，明确事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。抑制事件的影响进一步扩大，限制潜在的损失与破坏。根除恶意代码造成的不良影响。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还

12、原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。4.4 报告和总结回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市经贸信委备案。4.5 应急行动结束根据信息安全事件的处置进展情况和现场应急处理工作组意见，信息突发事件应急小组应组织相关部门及专家组对信息安全事件的处置情况进行综合评估，并向信息突发事件应急领导小组提出应急行动结束建议，并报信息突发事件应急领导小组批准。应急行动是否结束，由组织决定。5. 保障措施5

13、.1 技术支撑保障信息突发事件应急小组应建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统之间应急处理的联动机制。5.2 应急队伍保障加强信息安全人才培养，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高单位信息安全防御意识。5.3 物质条件保障在深圳市XXX信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，提前采购信息安全应急处理工作需要的检测、维修工具和设备配件。5.4 技术储备保障深圳市XXX信息突发事件应急小组组织有关专家和科研力量，开展应急运作机制、应急处理技

14、术、预警和控制等研究，推广和普及新的应急技术。6. 培训和演习6.1 人员培训为确保信息安全应急预案有效运行，信息突发事件应急小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会，应利用已有的资源，采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式，开展形式多样的培训工作，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。6.2 应急演习为提高信息安全突发事件应急响应水平，信息突发事件应急小组应定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足

15、及时补充、完善。7. 监督检查与奖惩7.1预案执行监督信息突发事件应急领导小组负责对预案实施的全过程进行监督检查，督促成员部门按本预案指定的职责采取应急措施，确保及时、到位。发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时，有权直接向信息突发事件应急领导小组举报。应急行动结束后，信息突发事件应急领导小组对相关成员单位采取的应急行动的及时性、有效性进行评估。7.2奖惩与责任对下列情况可以经信息突发事件应急小组评估审核，报信息突发事件应急领导小组批准后予以奖励：在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员；在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，信息突发事件应急领导小组将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。对未及时落实市信息安全专项应急领导小组指令，影响应急行动的效果的，按国务院关于特大安全事故行政责任追究的规定、广东省重大事故责任追究制度追究相关人员的责任。8. 各种突发事件应急预案本预案所称突发性事件，是指自然因素或者