贵州省水利厅网络与信息安全事件应急预案文档格式.docx
《贵州省水利厅网络与信息安全事件应急预案文档格式.docx》由会员分享,可在线阅读,更多相关《贵州省水利厅网络与信息安全事件应急预案文档格式.docx(13页珍藏版)》请在冰点文库上搜索。
2组织体系和工作职责
在厅网络安全与信息化领导小组领导下,成立:
应急领导组、应急指挥组、应急实施组、应急沟通组。
(1)应急领导组。
由厅网信办牵头,负责应急管理体系、管理办法和预案的评审和确定;
负责应急预案启动和终止命令的下达和授权;
负责应急实施过程中的决策和授权;
负责对故障处置或演练后预案变更的最终评审和确认。
(2)应急指挥组。
由厅办公室牵头,根据应急领导组的授权,负责现场指挥,协调各应急小组工作;
负责应急处置情况、故障升级等相关信息的确认;
负责向应急领导组汇报应急处置的进展情况;
负责在应急过程中,策略的调整和应急指挥;
负责组织并协调应急现场的各种资源(含第三方)。
(3)应急实施组。
由厅科技处牵头,厅水资处、防汛办、水管局等网信办成员单位负责故障的分析,为现场应急指挥组提供应急预案实施的参考建议;
负责按照现场应急指挥组的指令,严格执行相应的应急处置方案;
负责将现场故障处理情况向应急指挥组及时汇报和更新;
在实施应急措施过程中,协调其他专业组为应急提供技术支持;
故障解决后总结、归纳应急工作的经验和教训,完善相关应急预案;
负责制定、修改、优化应急预案中应急场景的具体处置方案;
负责组织应急预案的检查和评审工作。
(4)应急沟通组。
由厅水资处牵头,负责准备应急现场的故障初始、进展、升级、解决等相关报告;
负责故障处理时间控制,以衡量是否需要更新报告或升级处理;
负责按应急指挥组指令,及时将应急情况汇报给管理层和业务层;
负责应急处置后,给应急指挥组和实施组汇总所有沟通报告;
参加应急演练,并提出相应的改进建议。
3分类分级
3.1 事件分类
网络与信息安全事件根据其产生原因、表现形式,可划分为以下六类:
(1)有害程序事件。
指计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)人为攻击事件。
指通过网络或其他技术手段,对信息系统实施攻击,如拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件。
指利用网络进行信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件。
指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障事件。
指软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件。
指由自然灾害等其他突发事件导致的网络与信息安全事件。
3.2事件分级
网络与信息安全事件根据其影响程度、严重程度、影响范围和可控性,将水利网络与信息安全事件分为四级:
由高到低划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)四个级别。
影响程度主要考虑网络与信息安全事件所影响的信息系统的重要程度。
本预案中信息系统的重要程度是依据信息系统的安全保护定级等级来确定,安全保护等级定级为四级以上(含四级)的为特别重要信息系统,三级的为重要信息系统,二级的为一般信息系统。
安全保护等级定级为一级的信息系统,不需要启动应急预案,由相关业务部门和运行维护部门根据维护流程处置。
严重程度主要考虑事件对信息系统的破坏程度,以及利用信息网络发布、传播的信息内容对国家安全、社会稳定和公共利益的危害程度。
对信息系统的破坏程度分为特别严重破坏、严重破坏和一般破坏。
特别严重破坏指造成信息系统瘫痪或信息受到特别严重破坏;
严重破坏指造成信息系统主要功能受损或信息受到严重破坏;
一般破坏指造成信息系统性能下降或信息受到一般破坏。
1、Ⅰ级(特别重大):
发生以下任一种网络与信息安全事件,且不能在短时间内恢复。
(1)特别重要信息系统受到特别严重破坏;
(2)启动省水旱灾害应急预案Ⅰ级或Ⅱ级响应时期,防汛抗旱相关特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏;
(3)水利厅及厅直系统、市(州)水务局中有7个以上部门同时发生特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏;
(4)其他对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害的网络与信息安全事件。
2、Ⅱ级(重大):
(1)特别重要信息系统受到严重破坏;
(2)重要信息系统受到特别严重破坏;
(3)启动省水旱灾害应急预案Ⅰ级、Ⅱ级或Ⅲ级响应时期,防汛抗旱相关特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏;
(4)水利厅及厅直部门、市(州)水务局中有7个以上部门同时发生特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏;
(5)其他对社会秩序和公共利益造成严重损害,或者对国家安全造成损害的网络与信息安全事件。
3、Ⅲ级(较大):
(1)较大突发公共事件引发的,有可能造成水利厅某个下属部门所属网络通信故障的情况。
(2)通信网络故障可能升级为造成水利厅某个下属部门所属网络通信故障的情况。
(3)其他对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全的网络与信息安全事件。
4、Ⅳ级(一般):
(1)一般突发公共事件引发的,有可能造成水利厅局域网内某个交换点所属局部网络通信故障(不影响正常一般通信)的情况。
(2)其他对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益的网络与信息安全事件。
其他网络与信息安全事件根据“谁主管谁负责”的原则,由信息系统的主管部门负责处理。
4预警机制
4.1预警系统
各级各部门要做好灾前预防技术体系的建设,加强预警信息的监测收集工作。
各级网络与信息安全协调机构应加强与水利部、省委省政府以及地方有关部门的信息沟通。
4.2预警信息
预警信息来源于预警系统监测到的和上级机构或其他职能部门通报的网络与信息安全事件信息。
各级各部门要针对各种可能发生的信息系统突发事件,完善预测预警机制,开展风险分析,并根据确定的风险等级编制预警信息做到早发现、早报告、早处置。
4.3预警发布
一般预警信息由事发区域网络与信息安全协调机构发布并及时上报厅网络安全与信息化领导小组,由厅网络安全与信息化领导小组统一发布、调整和解除。
预警信息的发布、调整和解除,应以电话、电子邮件、传真等方式通知到所有相关部门以及相关人员,接到通知的部门和人员需要对预警信息进行确认。
5应急处置
5.1响应分级
应急响应级别分为四级:
Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级网络与信息安全事件。
5.2先期处置
5.2.1信息报送
发生网络与信息安全事件,事发部门进行初步判断,对于Ⅳ级网络与信息安全事件,事发部门必须在半小时内向厅网络安全与信息化领导小组口头报告;
接到Ⅲ级网络与信息安全事件报告后1小时内,应向厅网络安全与信息化领导小组书面报告,Ⅱ级或Ⅰ级网络与信息安全事件应立即向厅网络安全与信息化领导小组报告。
厅网络安全与信息化领导小组接到Ⅱ级及Ⅰ级的网络与信息安全事件报告后,根据事件分析判定事件级别。
5.2.2即时处置
网络与信息安全事件发生后,事发部门必须在第一时间实施即时处置,控制事态发展。
在开展即时处置的同时,及时汇总信息并迅速报告厅网络安全与信息化领导小组。
5.2.3 事件研判
紧急情况或故障发生时,各维护监控相关部门和人员发现问题后,应先详细记录该事件的信息,了解事件可能造成的损失、影响以及现场控制情况。
在汇总相关信息的基础上,及时判断事件性质,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况,判定事件级别。
5.3应急响应
对于判定为Ⅱ级及Ⅰ级的网络与信息安全事件,厅信息化领导小组确定应急响应级别,并与相关业务部门成立水利厅网络与信息安全应急处置指挥部,启动相应应急响应预案。
对于判定为Ⅳ级和Ⅲ级的网络与信息安全事件,事发单位(部门)网络安全与信息化领导小组确定应急响应级别,启动相应应急响应预案,并向厅网络安全与信息化领导小组报告有关情况。
对于判定为Ⅱ级网络与信息安全事件,如果事件影响范围仅限于个别区域(厅直单位或市州)则由各级各部门确定应急响应级别,启动相应应急响应预案,并向厅网络安全与信息化领导小组报告有关情况;
如果事件影响范围超过一个区域应由厅网络安全与信息化领导小组确定应急响应级别,并根据需要成立水利厅网络与信息安全应急处置指挥部,启动相应应急响应预案。
当确定网络与信息安全事件等级、启动相应应急响应预案后,在技术上采取应急恢复措施的同时,各级各部门应针对受影响或故障信息系统所承担的业务应用采取相应的业务补救措施,尽可能减少损失。
5.3.1 Ⅰ级响应
对于Ⅰ级事件,由厅网络安全与信息化领导小组及相关业务部门组成水利厅网络与信息安全应急处置指挥部,指挥部宣布启动Ⅰ级应急响应,并组织、指挥应急处置工作,根据信息系统应急处置预案,组织信息系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关部门或单位参加应急处置。
对于造成社会影响的网络与信息安全事件,统一由厅网络安全与信息化领导小组联络新闻媒体,对外通报系统故障情况、抢修情况、预期恢复时间等信息,降低事件所造成的社会影响。
5.3.2 Ⅱ级响应
如果事件影响范围仅限于个别地区,由事发部门网络与信息安全协调部门宣布启动Ⅱ级应急响应,并组织、指挥应急处置工作,组织信息系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关单位或部门参加应急处置。
如果事件影响范围超过一个地区,则由厅网络安全与信息化领导小组和相关业务部门组成水利厅网络与信息安全应急处置指挥部,由指挥部宣布启动Ⅱ级应急响应,并组织、指挥应急处置工作。
根据信息系统应急处置预案,组织信息系统运行管理部门及其他有关部门进行技术处理,同时组织业务部门采取业务补救措施,必要时协调上级有关单位或部门参加应急处置。
对于造成社会影响的网络与信息安全事件,由事发单位有关部门根据规定对外通报系统故障情况、抢修情况和预期恢复时间等信息,降低事件造成的社会影响。
如事件没有得到及时解决,影响范围超出Ⅱ级事件的范围,由厅网络安全与信息化领导小组确认,升级为Ⅰ级事件,按照Ⅰ级响应进行处置。
5.3.3 Ⅲ级响应
事发部门网络与信息安全协调机构宣布启动Ⅲ级应急响应,并具体组织、指挥应急处置工作,根据该信息系统应急处置预案,组织信息系统运行管理部门进行技术处理,同时组织相应业务部门采取业务补救措施,随时关注事件处理进程,必要时协调上级有关单位或部门参加应急处置。
如事件没有得到及时解决,影响范围超出Ⅲ级事件的范围,事发单位或部门应向厅网络安全与信息化领导小组建议升级为Ⅱ级事件,由厅网络安全与信息化领导小组确认,并按照Ⅱ级响应进行处置。
5.3.4 Ⅳ级响应
事发部门网络与信息安全协调机构宣布启动Ⅳ级响应,具体组织、指挥应急处置工作,根据该信息系统应急处置预案,组织信息系统运行管理部门进行技术处理,同时组织相应业务部门采取业务补救措施,随时关注事件处理进程,必要时协调有关单位和部门参加应急处置。
如事件没有得到及时解决,影响范围超出Ⅳ级事件的范围,立即升级为Ⅲ级事件,并按照Ⅲ级响应进行处置。
5.4 应急结束
对于Ⅰ级网络与信息安全事件,在应急处置工作结束或相关危险因素消除,厅网络安全与信息化领导小组确认后,终止应急响应,转入常态管理。
对于Ⅱ级网络与信息安全事件,在应急处置工作结束或相关危险因素消除后,由应急处置指挥机构决定终止应急响应,转入常态管理,并向厅网络安全与信息化领导小组报告。
对于Ⅲ级和Ⅳ级网络与信息安全事件,在应急处置工作结束或相关危险因素消除后,由事发部门网络与信息安全机构宣布应急结束,转入常态管理,并向厅网络安全与信息化领导小组报告。
6 后期处置
6.1 调查与评估
网络与信息安全事件处置结束后,有关部门应对事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。
(1)责任确定。
应急处置工作结束后,应对事件进行调查,分析产生原因,确定责任人。
如涉及违法犯罪行为,由司法机关追究当事人责任。
其它事件由事发部门网络与信息安全协调机构负责调查。
(2)事件备案与归档。
应急处置工作结束后,由事件处置指挥机构将事件处置的过程和结果报厅网络安全与信息化领导小组备案。
6.2 恢复重建
按照“谁主管谁负责,谁运行谁负责”的原则,事发部门和相关职能部门制订重建和恢复计划,迅速采取各种有效措施,恢复网络与信息系统的正常运行。
并对在故障发生前半小时内所进行过的业务操作进行检查,认真核对业务数据是否正确或有无丢失,不正确或有丢失的应马上更正或补录,确保数据的正确和完整。
相关单位和部门必须总结和分析故障发生原因,排除隐患,提出改进措施,避免再次发生同样故障,事件相关原因总结由事发部门网络与信息安全协调机构审批后报送有关部门和厅网络安全与信息化领导小组。
6.3 报告与发布
各级各部门要加强对信息系统运行的日常监控,发现异常情况、发生突发事件或可能发生突发事件的信息,必须立即按规定程序报告。
各级各部门业务信息系统对采取信息系统应急措施后出现的各种问题,要及时向厅网络安全与信息化领导小组报告,由水利厅负责研究解决,并统一进行解释和发出指令。
7 保障措施
7.1 应急队伍保障
建立符合要求的网络与信息安全保障技术支撑队伍,对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。
7.2 经费保障
厅网络安全与信息化领导小组应确保网络与信息安全事件应急管理工作所需的经费,包括日常运作、应急处置、安全演练等方面的经费,其预算应纳入部门财政预算。
同时,应将信息系统设备老化及更新换代和日常维护所需要的经费,纳入本单位本部门系统运行维护年度预算中,降低系统设备超期使用所造成的安全风险。
7.3 物资保障
厅网络安全与信息化领导小组应建立必要的应急响应物资保障机制,并根据工作需要,配备必要的网络和信息系统的备机、备品、备件以及其他所需的物资,特别是一些关键设备和易损设备。
加强对应急资源及装备的管理、维护和保养,以备随时调用。
7.4 资料保障
厅网络安全与信息化领导小组须备有必要的网络拓扑图、网络设备、服务器、数据库、应用系统等资料,备有各信息系统应急响应预案、调度预案、异常情况处理流程图、物资储备清单和相关单位、部门及主管领导联系方式等。
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.5 技术保障
厅网络安全与信息化领导小组应加大网络与信息安全事件预警、预防和应急处置的技术研究,跟踪、掌握网络和信息安全领域的技术方向和应用发展动态,加强网络和信息安全管理人员的业务培训,提高应急处置的技术水平。
针对网络硬件设备芯片加密算法,强化“国产密码”的应用保护技术。
7.6 联络制度
厅网络安全与信息化领导小组应明确网络与信息安全事件应急处理的一般和紧急两级联系人,其中一般联系人主要是进行日常的信息沟通,紧急联系人主要是在发生Ⅲ级及以上网络与信息安全事件情况下的直接沟通,联系信息应包括电话、传真和电子邮件等。
联系人及联系方式发生变化时要及时向有关部门报告。
建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。
厅网络安全与信息化领导小组应在重要部位醒目位置公布报警电话,厅网络安全与信息化领导小组全体人员保证全天24小时通讯畅通。
8 监督管理
8.1 宣传、培训和演练
各级各部门应采用多种形式,宣传相关法律法规和信息安全基础知识,提高网络与信息安全应急防范意识。
加强对工作人员、管理人员、领导干部的应急管理、应急处置及组织指挥等培训,并对应急管理和处置人员进行相应的技能培训。
厅网络安全与信息化领导小组组织相关业务部门定期开展演练,模拟处置影响较大的网络与信息安全事件,检验预案的可执行性。
各级各部门应定期组织演练,模拟处置区域与信息安全应急事件。
8.2 奖励与惩罚
网络与信息安全应急处置事件实行行政领导负责制和责任追究制。
对在应急处置工作中做出突出贡献的集体和个人,给予表彰和奖励。
对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或在应急处置工作中有其他失职、渎职行为的,依法对有关责任人给予行政处分;
构成犯罪的,依法追究刑事责任。
9附则
9.1 预案管理与更新
本预案由厅网络安全与信息化领导小组负责管理,并结合信息网络快速发展和经济社会发展状况,以及相关法律法规对本预案每年评审一次,提出修订意见,根据实际情况,适时修订更新本预案。
9.2 细则制定
水利厅网络安全与信息化领导小组有关成员单位(部门)应根据本预案制定本区域内应急预案实施细则,其他水利业务信息系统管辖部门分别制定和修订与其相关各环节的专项信息系统应急预案,并上报厅网络安全与信息化领导小组备案。
9.3制订、审核和解释
本预案由水利厅网络安全与信息化领导小组办公室负责解释。
9.4预案生效
本预案由水利厅批准自发布之日起生效。
9.5附件
附录1:
贵州省水利厅系统网络拓扑结构图
附录2:
贵州省水利厅网络与信息安全事件应急处理流程图
贵州省水利厅水利系统网络拓扑结构图
升级会员 