《网络与信息安全事件应急预案52444.docx》由会员分享,可在线阅读,更多相关《网络与信息安全事件应急预案52444.docx(23页珍藏版)》请在三一办公上搜索。
1、网络与信息安全突发事件应急预案二O一三年二月目录1总则11.1 编制目的112编制依据11.3 合用范围11.4 工作原则12应急响应组织体系及职责121W体系122职责23朝分类分级43.1 蝴分类432事件分级54预测与预警64.1 预报和预测642预警74.3 预播除75应急报告751报告Sff752报告内容86应急准备86.1 信息管理处应急准备862领导小胭急准备96.3机关职能部门应急准备97g97.1应急启动1072应急fi107.3现场应急处置118应急终止129后期S139.1汇总统计1392应急的刑古139.3奖惩评定及表彰1310g措施1310.1 应急响应队伍的建设13
2、102必备资料1310.3 宣传、培训和演练1410.4 其它保障工作1411附件14料wvr41总则1.1 编制目的建立健全*网络与信息安全应急工作机制,提高应对网络与信息安全事件的能力,预防和减少网络与信息安全事件造成的损失和危害,保证网络与信息安全事件应急处置工作迅速、高效、有序执行,特制定本预案。1.2编制依据国家网络与信息安全事件应急预案*重特大事件总体应急预案(2022版)*信息安全事件报告和处置管理办法(暂行)1.3 合用范围本预案合用于公司省份公司机关和各市分公司蓦地发生且可能造成泄密、经济损失、经营影响、声誉和社会影响的网络与信息安全事件的应急管理。1.4 工作原则坚持统一指
3、挥、密切协同、快速反应、科学处置;坚持以预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责等原则。充分发挥各方面的力量,共同做好*网络与信息安全事件的预防与处置工作。2应急响应组织体系及职责1.1.1 体系1.1.22.2.1 *信息安全领导小组*信息安全领导小组(以下简称领导小组)负责领导、组织、协调和指挥我司网络和信息安全事件应急工作。1.1.3 信息管理处信息管理处在领导小组的统一组织和协调下,具体负责我司网络和信息安全事件处置工作。(1)组织落实领导小组的决定,协调和调动各部门应对网络与信息安全事件应急相关工作;(2)负责公司网络和信息安全风险评估控制、隐患排查整改工作;(3)
4、组织拟订(修订)网络与信息安全事件应急预案,指导分公司制定(修订)网络与信息安全事件应急预案;(4)负责组织协调网络与信息安全事件应急预案演练;(5)负责应对网络与信息安全事件的宣传教育与培训;(6)负责市网络与信息安全事件应专家组和现场工作组组建等工作。1.1.4 专家组公司网络和信息安全事件应急预案中建立网络和信息安全事件应急处置的信息专家库,由信息管理处负责根据需要选定全省具有技术业务强、经验丰富的技术管理人员、外联单位和厂商人员组成。(1)为网络与信息安全事件应急处置方案提供技术支持和建议;(2)为应急预案体系及管理工作提出时常性的建议,参预应急工作重大事项的决策和实施。(3)参预预案
5、的评审、评估。1.1.5 应急工作组应急工作组负责现场应急指处置,由信息管理处指定派出。应急工作组在信息管理处授权下,行使现场应急指挥、协调、处置等职责。(1)根据事件性质,迅速调集相关专家,组建事件处置工作组,为领导小组提供决策支持;(2)根据领导小组指令,负责现场应急指挥工作,针对网络与信息安全事件发展的事态制定和调整相应网络与信息安全事件处置、恢复和保护方案;(3)采集和保存现场数据信息,保证现场与领导小组、专家组和信息管理处之间信息传递;(4)负责整合调配现场应急资源;(5)核实应急终止条件并向领导小组请示应急终止:(6)采集、整理应急处置过程资料,编写现场应急工作总结报告。1.2.5
6、综合保障组(1)负责协调相关部门和单位,确保技术专家第一时间到达现场;(2)负责现场处置所需要的车辆、电力、通讯、计算机、网络等设备设施的到位和畅通。3事件分类分级3.1事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。(3)信息破坏事件分为信息篡改事件、信息假冒事件
7、、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或者炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。3.2事件分级网络与信息安全事件分为四级:由高到低划分为特殊重大(I级)、重大(II级)、较大(In级)、普通(IV级)4个级别。(1)符合下列情形之一的,为特殊重大网络与信息安全事件(I级):全网业务中断或者公司网络核心到所有二级单位之间
8、的链路全部中断并对业务造成特殊重大影响。全部核心数据服务器及应用系统崩溃并造成特殊严重后果;通过公司网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。其他对国家安全、社会秩序、经济建设和公众利益构成特殊严重威胁、造成严重影响的网络与信息安全事件。(2)符合下列情形之一且未达到特殊重大网络与信息安全事件(I级)的,为重大网络与信息安全事件(II级):省公司核心至部份市分公司(WlO)之间链路中断,对业务造成严重影响。面向社会的重要数据服务器及应用系统崩溃并造成严重后果。通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成危害的事件。其
9、他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成影响的网络与信息安全事件。(3)符合下列情形之一且未达到重大网络与信息安全事件(II级)的,为较大网络与信息安全事件(In级):省公司核心至少数市分公司(W3)网络中断,对业务造成严重影响的。面向公司的部份数据服务器及应用系统崩溃并造成严重后果。(4)除上述情形外,未达到In级事件标准的网络与信息安全事件为普通网络与信息安全事件(IV级)。4预测与预警公司应建立并完善预测与预警系统,做到对网络与信息安全事件早发现、早报告、早预防、早处置。信息管理处应做好网络与信息安全事件的各项预防工作,制定并落实网络与信息安全的应对措施。4.1 预报
10、和预测4.1.1 信息管理处通过以下途径获取预报信息(1)市分公司上报的网络与信息安全事件预警信息、;(2)政府通过新闻媒体公开辟布的网络与信息安全事件预警信息;(3)政府主管部门向领导小组告知的预报信息;(4)经风险评估得出的可能发生的重特大突发事件。4.1.2 开展网络与信息安全方面的日常监测和分析工作。包括确定监测的方法与程序,信息安全保护、风险分析与分级制度。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,不断完善网络与信息安全应急处理预案。4.L4针对基础信息网络的突发性、大规模安全事件,建立制度化、程序化的处理流程。4.2 预警信息管理处根据对突发事件的预报和预测结果,
11、结合公司所属单位的实际情况,及时进行以下预警:(1)达到本预案启动条件时,即将发出启动本预案的指令;(2)指令相关单位启动本单位应急预案,并通知省公司相关部门进入预警状态;(3)指令相关单位采取防范措施,并连续跟踪事态发展。4.3 预警解除根据己预警突发事件的情况变化,领导小组可适时宣布预警解除。5应急报告5.1 报告程序公司发生I、H、In级事件或者暂时无法判明等级的事件时,事发单位应立即将事件简要情况及联系人通过电话、传真等上报信息管理处,事件详细情况应在1小时内上报,如附件1(*网络与信息安全事件应急报告表)。当发生危害国家安全、泄露国家机密等事件时,同时向本级政府网监部门报告。信息管理
12、处接到事件报告后,应即将上报领导小组,其中事件详细状况的上报时间不得迟于2小时。重大和特殊重大网络与信息安全事件,由领导小组授权信息管理处,在4小时内将事件有关情况报集团公司应急办公室。对于三级(含)以上信息系统(如加油卡系统)、涉密系统及敏感时期可能演化为重大、特殊重大网络与信息安全事件的信息,事发单位应立即上报,不受时间限制。5.2 报告内容5 .2.1事件信息普通包括以下要素:事件发生时间、发生事故的网络与信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。6 .2.2在处理过程中,事件单位应尽快了解事态发
13、展情况,并随时用电话、传真和电子邮件等方式,向信息管理处报告。5.2.3在事件处置完毕后,向公司报告事件处置结果情况,包括事件潜在或者间接的危害、社会影响、有无次生及衍生事件发生、应急工作内容和现场资料的采集等详细情况。6应急准备6.1信息管理处应急准备接到报告发生I级突发事件信息,信息管理处应即将做好以下工作:(1)即将向领导小组副组长、组长汇报;(2)根据领导小组指示,通知有关职能部门;(3)采集现场资料,及时掌握现场动态和单位处置情况;(4)要求专家组准备支持;拟定应急工作组人员名单,并按领导小组指示明确现场应急指挥;料wvr4(6)根据领导指示,按报告程序,向相关单位报告。6.2 领导
14、小组应急准备接到信息管理处报告后,公司领导小组副组长(主管信息副总经理)应做好以下工作:(1)召集信息管理处、相关部门开会研究有关措施;(2)指令信息管理处、相关部门等做好应急准备;随时掌握现场处置情况,当事态发展达到II级应急预案启动条件时,即将向组长报告,下达指令启动本预案。6.3 机关职能部门应急准备接到应急办公室通知后,机关各职能部门应做好以下准备工作:6.3.1总经理办公室(1)组织协调资源配置;(2)执行领导小组指令;跟踪事件发展;6.3.2信息管理处(1)跟踪并详细了解计算机信息系统损坏对所属单位造成的危害和应对措施;(2)及时向领导小组汇报、请示并落实指令;(3)组织专家组成员
15、对事件发生地进行对口技术支持、支援。6. 3.3其它职能部门公司机关其它职能部门按领导小组指令做好应急准备工作。7应急处置料wvr46.1 应急启动当网络与信息安全事件危害程度达到口级时,由领导小组下启动本预案,进行应急处置工作。6.2 应急行动7. 2.1领导小组副组长:(1)即将召开应急会议,简明通报发生事件灾难的基本情况,按部门职能明确工作任务;(2)研究现场应急方案,根据现场事态变化进行方案修正,研究、批准重大应急决策;(3)确定现场指挥和派浮现场应急人员;(4)决定适时向集团公司或者网监部门报告;(5)在应急工作组未到事发地之前,指导单位进行现场处理。7.2.2信息管理处应做好:(1
16、)连续采集现场应急处置动态资料,及时向领导小组组长、副组长报告,传达领导小组组长、副组长的指示;(2)落实赶赴现场应急工作组人员,通知专家组到达指定地点;(3)根据现场需求协调各方应急力量到达现场;(4)保证信息管理处24小时有人值班,接收信息,传达指令;(5)组织、协调各种专业会议,沟通传达相关信息。(6)迅速制定应急处置指导方案,提交领导小组会议研究决定,并组织实施相关职能工作;(7)按指令确定派往现场的人员.7.2.3相关部门应做好以下工作:7.2.3.1总经理办公室(1)按照领导小组,组织应急力量、协调应急资源;(2)指派专人驻守信息管理处,协助开展工作。7.2.3.2其它部门公司机关
17、其它部门按领导小组指令做好应急处置的相关工作。7.2.4专家组应做好以下工作:(1)接到信息管理处的指令后,赶赴指定地点,为现场应急工作提出应急方案建议;(2)在基本掌握现场事态的情况下,提出应急技术处置建议,提供处置技术支持。7.2.5现场应急工作组应做好以下工作:(1)到达现场与单位衔接后,随时向领导小组报告现场应急情况,协助或者担负现场应急指挥工作;(2)核实现场情况,迅速安排好应急措施,进行相应的技术处理。7.3现场应急处置7.3.1处理原则(1)发生网络与信息安全事件后,应坚持属地处置为主的原则,归口管理部门应即将进行先期处置,阻挠事态扩大。(2)当发生火灾、地震、恐怖袭击等突发事件
18、时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后保障设备安料wvr4全。(3)当人为或者病毒破坏计算机信息系统安全时,按照网络与信息安全事件发生的性质可采取用隔离故障源、暂时关闭故障系统、保留痕迹、启动备用系统等措施。7.3.2处理流程(1)事件认定。采集网络与信息安全事件相关信息,识别事件类别,判断破坏的来源与性质,确保证据准确,以便缩短应急响应时间。(2)控制事态发展。抑制事件的影响进一步扩大,限制潜在的损失与破坏。(3)事件消除。在事件被抑制之后,找出事件根源,明确相应的补救措施并彻底清除。(4)系统恢复。修复被破坏的信息、清理系统、恢复数据、程序、服务,恢复信
19、息系统。把所有被破坏的系统和网络设备还原到正常运行状态。恢复工作中如果涉及到涉密数据,按公司相关安全保密规定执行。(5)事件追踪。关注系统恢复以后的安全状况,特殊是曾经浮现问题的地方;建立跟踪档案,规范记录跟踪结果;对响应效果给出评估,填写*网络与信息安全事件应急处理结果报告表”(见附件1);对进入司法程序的事件,配合公安部门进行进一步的调查,打击违法犯罪活动。8应急终止经应急处置后,现场应急工作组确认下列条件同时满足时,向领导小组报告,领导小组组长接到请示后,下达应急终止。(I)应急处置已经结束;(2)相关危(Wei)险因素已消除。9后期处置9.1 汇总统计应急处置工作结束后,信息管理处应做
20、好有关突发事件中损失情况的统计汇总、任务完成情况总结和汇报,不断改进网络及信息安全事件的应急保障工作。9.2 应急行动评估信息管理处对应急行动的及时性、有效性进行评估。9.3 奖惩评定及表彰为提高网络及信息安全事件应急处置工作的成效,省市两级应按照有关规定,对在应急处理过程中表现突出的单位和个人赋予表彰;对保障不力,给国家、公司造成损失的部门和个人进行惩罚。10保障措施1.1 1应急响应队伍的建设应急响应队伍由省市两级信息管理人员、运维商、厂商及相关外联单位组成。各单位应不断加强应急响应队伍的应急能力建设,提高全公司信息安全谨防意识,以满足公司对网络与信息安全事件应急恢复工作的需要。1.2 2
21、必备资料做好核心系统或者重大风险系统的相关配置资料、系统应急预案、系统安全事件或者异常情况处理流程图、物资储备清单和相关单位、部门及主管领导联系方式的备案。1.3 3宣传、培训和演练10. 3.1宣传公司应急办公室在应急预案修订、演练的先后,应利用新闻媒介进行宣传;并不定期的利用各种安全活动向公司员工宣传信息安全应急法律、法规和预防、应急的常识。11. 3.2人员培训为确保信息安全应急预案有效性,公司应急办公室应定期或者不定期地举办不同层次、不同类型的培训班或者研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。12. 3.3应急演练为提高信息安全突发事件应急响应水平
22、,公司应急办公室应定期或者不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。13. 4其它保障工作公司应当提供对有关网络与信息安全事件应急工作的支持,确保相关通信、电力、经费、人力资源等相关条件的落实工作。11附件附件I*网络与信息安全事件应急报告表附件2*网络与信息安全事件应急处理结果报告表附件1*网络与信息安全事件应急报告表报告时间:空_月曰_时分单位名称报告人联系电话通讯地址传真电子邮件发生安全事件的信息系统基本信息名称及用途硬件及型号操作系统数据库应用软件系统安全测评口
23、是,已经通过安全测评口是,但未通过安全测评口否,未经过安全测评发生安全事件的网络基本信息网络概况:IP地址段:网络结构:主要网络设备:其它:负责部门负责人重大信息安全事件的简要描述(如以前浮现过类似情况也应加以说明)初步判定的事件原因当前采取的应对措施本次事件的初步影响状况事件后果口业务中断系统破坏数据丢失口泄密口其他影响范围口局部口大面积口整个信息系统口其它严重程度口一级口二级口三级口电子信箱:联系电话:附件2*网络与信息安全事件应急处理结果报告表原事件报告时间;月_日一时一分备案编号:年一月一日第号总第号单位名称联系人联系电话通讯地址传真电子邮件发生安全事件的信息系统基本信息名称及用途硬件及型号操作系统数据库应用软平系统安全测评口是,已经通过安全测评口是,但未通过安全测评口否,未经过安全测评发生安全事件的网络基本信息网络概况:IP地址段:网络结构:主要网络设备:其它:重大信息安全事件的补充描述及最后判定的事件原因对本次重大信息安全事件的事后影响状况事件后果n业务中断口系统破坏口数据丢失口泄密口其他一影响范围口局部口大面积口整个信息系统其它一严重程度口一级口三级口本次重大信息安全事件的主要处理过程与结果(必要时可附文字、框图片等材料)针对此类事件应采取的保隙网络与信息系统安全的措施和建议报告人签字:联系电话:电子信箱:*WV
