18三甲复审XX单位网络安全事件应急预案.docx

1、18三甲复审XX单位网络安全事件应急预案XX单位网络安全事件应急预案第一章 总 则第一条 编制目的为科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全。第二条 编制依据中华人民共和国计算机信息系统安全保护条例；中其中央办公厅、国务局办公厅转发的通知；山东省信息化促进条例、山东省网络与信息安全应急预案。第三条 基本原则（一）统一领导，协同作战。全局网络与信息安全突发事件应急工作由XX单位网络与信息安全应急协调领导小组统一领导和协调，各部门遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。（二）

2、明确责任，依法规范。各部门，按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制的要求，依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任制和责任追究制。（三）防范为主，加强监控。开展安全教育和培训工作，提高全局信息安全防护意识和水平，积极做好日常安全工作，提高全局应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系，加强对网络与信息安全隐患的日常监测，建立完善的信息系统安全监控和管理机制，保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。第四条 适用范围凡在XX单位范围内

3、发生的严重影响网络与信息系统正常运行，造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等，对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件，适用本预案。第二章 组织指挥体系及职责任务第五条 网络与信息安全应急协调领导小组成立XX单位网络与信息安全应急协调领导小组，组长由主要领导担任，副组长由分管领导担任，成员由有关部门负责人组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。第六条 领导小组办公室XX单位网络与信息安全应急协调领导小组办公室(以下简称领导小组办公室)设在办公室，办公室主任由办公室主要负责人担任。领导小组办公室主要

4、负责XX单位网络与信息安全应急协调领导小组的日常工作，负责建立健全协调机制和信息通报机制，制定相应的应急处理工作流程，明确各部门在应急协调工作中的任务和责任；负责协调组织各项应急准备工作，主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作；按照网络与信息安全应急协调领导小组的命令和指示，组织协调各成员庭室，落实网络与信息安全应急保障工作。第三章 预警和预防机制第七条 信息监测及预警报告制定和完善网络与信息安全突发公共事件监测、预警、报告制度，加强网络与信息安全监测、分析和预警工作，建立网络与信息安全事故通报制度。发生网络与

5、信息安全突发事件的部门应当在事件发生后，对发生的事件进行调查核实、保存相关证据，并向有关部门和领导小组办公室报告。领导小组办公室建立和健全信息监测、指挥决策支持及预警发布系统，及时发布预警信息。第八条 预防机制积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑应急备份与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关庭室建立制度化、程序化的处理流程。第四章 应急响应启动条件第九条 实施预警信息等级制度，按照事件严重性和紧急程度及对社会影响的大小，分为以下五级：1级：本级网络与信息安全事件对计算机系统或网络

6、系统所承载的业务以及事发庭室利益基本不影响或损害极小；2级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发庭室利益有一定的影响或破坏；对国家安全、社会秩序、经济建设和公共利益产生一定危害；3级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发庭室利益以及社会公共利益有较为严重的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生较大危害；4级：本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发庭室利益以及社会公共利益有极其严重的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生严重危害。5级：本级网络与信息安全事件对计算机系统或网络系统所承

7、载的业务、事发庭室利益以及社会公共利益有灾难性的影响或破坏，对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害；当发生2级和2级以上的网络与信息安全事件时，启动本预案，并向应急领导小组办公室报告。第五章 应急响应流程第十条 在发生网络与信息安全事件时，各庭室应第一时间报告领导小组办公室，如有必要，领导小组办公室报告区网络与信息安全应急协调领导小组办公室，同时与相关的产品技术支持单位联系，获得必要的技术支持。（一）预案启动在发生网络与信息安全事件后，事件发生庭室和现场应急响应小组尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，确认为网络与

8、信息安全事件后，对事件进行定级和上报。按照应急响应流程，由网络与信息安全应急协调领导小组决定启动应急预案，并由领导小组办公室负责应急处理协调工作。（二）应急处理1.确认阶段。事件发生部门要初步确定应急处理方式，检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。应根据事件具体情况采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行。如果以自身力量无法处理的事件，应提出应急支援请求，由领导小组办公室协调派出应急支援技术力量进行信息安全应急支援。2.遏制阶段。及

9、时采取行动遏制事件发展，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒等。3.根除阶段。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，将对攻击源进行定位并采取合适的措施将其中断。清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常

10、的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权限，一次完整的恢复应该强制性地修改所有的口令。在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施，彻底消除安全隐患。4.恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。5.对于重点业务系统，发生问题后在采取技术措施解决的同时，

11、还要加强宣传，公布危害性和解决办法，以避免产生恐慌。（三）应急支援本预案启动后，领导小组办公室立即组织网络与信息安全应急响应技术队伍赶赴事发地，督促、指导和协调应急处置工作，并根据事态的发展和处置工作的需要，及时调动必需的物资、设备，支援应急工作。当采用一般应急处置措施仍无法控制事态时，要迅速研究采取有利于控制事态的非常措施，并向区网络与信息安全应急领导小组办公室请求支援。（四）安全事件的处理记录在事件的上报、接收和处理过程中，事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。（五）结束响应系统恢复正常运行后，事件发生部门应急响应小组对事件造成的损失、事件处理流程和应急预案进

12、行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报相关部门。对于蠕虫病毒等易造成大范围传播的网络与信息安全事件，应及时向领导小组办公室提交预警信息。因为重大自然灾害而引起的网络与信息安全事件，可根据灾害造成的损失情况参照上述流程进行应对。第六章 演练及维护第十一条 建立定期演练制度每年组织一次应急演练，模拟处置影响较大的信息安全事件，发现并解决应急工作体系和工作机制存在的问题，检验物资器材的完好情况，提高应急处理能力。第十二条 预案的修订完善领导小组办公室负责应急预案的修订完善。网络与信息安

13、全技术组成员应针对应急响应工作中遇到的问题，分析应急预案的科学性和合理性，及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后，本预案应进行调整与其保持一致。第七章 保障措施第十三条 应急队伍保障（一）要不断加强信息安全人才培养，进一步强化信息安全宣传教育，努力建设一支高素质、高技术的信息安全核心人才和管理队伍，增强信息安全防御意识。加强应急力量配备，指定专人负责，并开展技术培训和应急演练，提高应急响应技术队伍素质，保证应急情况下应急机制的迅速启动和有效处置。（二）由领导小组办公室在全局范围内组织建立网络与信息安全应急响应技术队伍(包括安全分析员、应急响应人员、灾难恢复人员等)，

14、为应急救援决策提供咨询和技术支持。根据工作需要，领导小组办公室可从有关部门抽调工作人员，各部门应服从协调和安排。第十四条 应急设备保障（一）在信息系统建设和运行过程中应建立信息网络预留硬件、软件和应急救援设备等应急物资储备。根据工作需要，应急响应工作缺乏的设备或工具软件应及时采购。在网络与信息安全突发事件发生时，应急物资储备可由领导小组办公室调度使用。（二）应急响应技术队伍应加强对应急工具及设备的维护调试，保证其随时处于可用状态，保证在发生网络与信息安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作。（三）应急响应技术队伍应注意跟踪最新的技术发展动态，收集、整理其他应急响应相关工

15、具，包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。第十五条 技术资料保障全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。信息中心应将这些信息建立技术档案并及时更新，以保证与实际系统的一致性。第十六条 经费保障在应急响应工作中，协调财政部门应对所需的相关经费给予充分保障。第十七条 后勤保障各有关部门要做好应急响应工作后勤保障，确保应急响应工作的顺利开展。第八章 监督检查与奖惩第十八条 预案执行监督应急领

16、导小组办公室负责对预案实施的全过程进行监督检查，督促各部门按本预案指定的职责采取应急措施，确保及时、到位。（一）发生重大信息安全事件的部门应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报。（二）应急行动结束后，应急响应领导小组办公室对相关部门采取的应急行动的及时性、有效性进行评估。第十九条 奖惩与责任（一）对下列情况经网络与信息安全应急响应领导小组办公室评估审核，报网络与信息安全应急响应领导小组批准后予以奖励。在应急行动中做出特殊贡献的先进部门或个人；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。（二）在发生重大信息安全事件后，有关责任科室、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，将予以通报批评；对造成严重不良后果的，将视情节追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。（三）对未及时落实指令，影响应急行动的效果的庭室或个人，按国务局关于特大安全事故行政责任追究的规定追究相关人员的责任。第九章 附 则第二十条 本制度由信息中心制定，并由其负责解释和维护管理。第二十一条 本制度自发布之日起施行。附件：一、网络与信息安全应急协调领导小组组 长：副组长：成 员： 二、网络与信息安全应急协调领导小组办公室主 任： 成 员：