江阴市人力资源和社会保障Word文档格式.docx

江阴市人力资源和社会保障Word文档格式.docx

《江阴市人力资源和社会保障Word文档格式.docx》由会员分享，可在线阅读，更多相关《江阴市人力资源和社会保障Word文档格式.docx（11页珍藏版）》请在冰点文库上搜索。

局成立突发信息网络事件应急领导小组（以下简称信息网络事件应急小组）。

组长：

局长；

副组长：

分管信息化建设领导；

成员：

局规划信息科、办公室以及信息中心主要负责人。

下设信息安全应急工作办公室，办公室设立在规划信息科，同时成立信息安全应急处理小组，负责处理信息安全事件。

（二）信息网络事件应急小组职责

1、负责编制、修订所辖范围内突发信息网络事件应急预案。

2、通过本系统局域网络中心及国内外安全网络信息组织交流等手段获取安全预警信息，周期性或即时性地向局域网和用户网络管理部门发布；

对异常流量来源进行监控，并妥善处理各种异常情况。

3、及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置；

负责调查和处置突发信息网络事件，及时上报并按照相关规定做好善后工作。

4、负责组建信息网络安全应急救援队伍并组织培训和演练。

三、预防及预警机制

突发信息网络事件安全预防措施包括分析安全风险，准备应急处置措施，建立网络和信息系统的监测体系，控制有害信息的传播，预先制定信息安全重大事件的通报机制。

（一）风险点及事故分析

金保工程信息系统涉及对业务信息进行采集、加工、存储、传输、检索等处理的各个环节，中间涉及到服务器、存储、网络传输、人员操作等多个设施和部门，任意节点出现故障或问题，都可能引起信息系统全部或部分出现故障，从而影响业务系统的正常运行。

（二）具体措施

1、建立安全、可靠、稳定运行的机房环境，防火、防盗、防雷电、防水、防静电、防尘；

建立备份电源系统；

加强所有人员防火、防盗等基本技能培训。

2、实行实时监视和监测，采用认证方式避免非法接入和虚假路由信息。

3、重要系统采用可靠、稳定硬件，落实数据备份机制，遵守安全操作规范；

安装有效的防病毒软件，及时更新升级扫描引擎；

加强对局域网内所有用户的安全技术培训。

4、安装反入侵检测系统，监测恶意攻击、病毒等非法侵入技术的发展，控制有害信息经过网络的传播，建立网关控制、内容过滤等控制手段。

（三）监控及预警信息报送

信息中心应加强信息安全监控、分析和预警工作，进一步提高信息安全检测能力。

对主机房和容灾机房应制定专人巡视制度，节假日制定值班人员巡视制度，监控服务器、存储和核心交换机等的运行状况，做好机房设备运行记录。

各单位在使用业务系统的过程中，如发生问题，应及时与信息中心取得联系。

信息中心接到报修电话后，应及时响应，判断故障原因后，及时修复。

如遇大面积故障，应及时向上级部门汇报，启动应急预案。

对于未造成严重后果的信息安全事件，应分析其可能造成的次生、衍生事件，及时将可能诱发次生、衍生事件的信息作为预警信息逐级上报。

四、信息安全事件级别

网络与信息安全事件分为四级：

特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）。

1、符合下列情形之一的，为特别重大网络与信息安全事件（Ⅰ级）：

信息系统中断运行6小时以上、中断业务进行的；

信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁，或导致10万元人民币以上的经济损失；

其他构成特别严重威胁、造成特别严重影响的网络与信息安全事件；

2、符合下列情形之一且未达到特别重大网络与信息安全事件（Ⅰ级）的，为重大网络与信息安全事件（Ⅱ级）：

信息系统中断运行50分钟以上、中断业务进行的；

信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致5万元人民币以上、10万元人民币以下的经济损失；

其他构成严重威胁、造成严重影响的网络与信息安全事件。

3、符合下列情形之一且未达到重大网络与信息安全事件（Ⅱ级）的，为较大网络与信息安全事件（Ⅲ级）：

信息系统中断运行造成较严重影响的；

信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁，或导致1万元人民币以上、5万元人民币以下的经济损失；

其他构成较严重威胁、造成较严重影响的网络与信息安全事件。

4、除上述情形外，对构成一定威胁、造成一定影响的网络与信息安全事件，为一般网络与信息安全事件（Ⅳ级）。

五、应急响应

（一）信息报告

信息中心工作人员在发现故障或接到故障报告后，首先要记录故障发生时间和发现时间，以及发现部门、发现人及联系电话，对故障的等级进行初步判定，并报告相关人员进行处理。

报告必须及时、准确、全面、不漏报。

报告的内容应包括：

事件发生时间、发生事故网络信息系统名称及运营使用地点、原因、信息来源、事件类型及性质、危害和损失程度、影响部门及业务、事件发展趋势、采取的处置措施等。

事件升级上报时限如下表所示：

升级时限

一级事件

二级事件

三级事件

四级事件

立即

相应技术人员、

应急处理小组、

应急办公室

应急处理小组

相应技术人员

相关技术人员

半小时

领导小组

1小时

主管领导

上级单位

4小时

8小时

故障上报升级时限：

1、一级事件的报告程序

（1）发现故障岗位人员根据故障初级判断结果，立即向信息中心相关人员汇报；

（2）信息中心根据故障初级判断结果，迅速将有关情况报告信息安全应急工作办公室、信息安全应急工作领导小组，报告时限不能超过30分钟；

（3）经排查故障无法在1个小时内排除，将该突发事件形成书面汇报材料呈报给主管领导，同时向上级单位上报情况。

2、二级事件的报告程序

（1）发现故障岗位人员根据故障初级判断结果，将故障有关情况向信息中心、信息安全应急工作办公室汇报，报告时限不能超过30分钟；

（2）信息中心根据故障初级判断结果，迅速将有关情况报告信息系统安全应急领导小组，报告时限不能超过60分钟；

（3）经排查故障无法在4个小时内排除，将该突发事件形成书面汇报材料呈报给主管领导，同时向上级单位上报情况。

3、三级事件的报告程序

（1）发现故障岗位人员根据故障初级判断结果，将故障有关情况向信息中心、信息安全应急工作办公室汇报，报告时限不能超过1小时；

（2）信息中心根据故障初级判断结果，迅速将有关情况报告局信息系统安全应急领导小组，报告时限不能超过4小时；

（3）经排查故障无法在8个小时内排除，将该突发事件形成书面汇报材料呈报给主管领导，做故障升级处理。

4、四级故障的报告程序

（1）发现故障岗位人员根据故障初级判断结果，将故障有关情况向信息系统安全应急领导小组汇报，报告时限不能超过24小时；

（2）将有关情况报告部门负责人。

（二）先期处置

确定网络信息安全突发事件发生后，应由信息中心初步判断事故等级。

如果发现是因计算机病毒而造成系统数据丢失或崩溃的，应立即断开网络连线，逐台电脑病毒查杀。

若发现有黑客入侵，破坏系统数据的，立即断开网络连线，关闭网络服务器，在删除有关数据之前做好备份与保存工作，以便公安机关和上级技术管理部门侦察；

如果发现数据丢失、篡改等情况，应停止一切操作，由专人备份数据库到指定位置，并确定通过备份数据可以至少把服务器恢复到故障发生时的初始状态（即保护现场）,在确定任何一步操作有回复的途径之前,不应该进行该操作。

由于服务器或主干网络发生故障等原因造成系统全部或部分子模块发生故障无法使用，并且故障不能在20分钟内修复时，经信息系统安全应急办公室报信息系统安全应急领导小组同意后，应立即启动本应急方案。

（三）应急处置过程

我局各业务系统如发生故障将造成严重的系统损失，应直接汇报至信息中心，信息中心应立即汇报给信息系统安全应急办公室，同时组织技术人员立即进行研究讨论，判断事件的等级，并派相关技术人员第一时刻介入进行现场处理，组织排查工作。

信息中心在现场处理过程中，如发生网络与信息安全事件由低到高的范围和影响面扩大，根据不同网络安全事件等级的上报流程，立即向相关部门汇报。

1、电力系统故障的应急处理

外电中断后，信息中心值班人员应立即检查中心机房UPS电源是否正常供电，并查明中断原因，及时向相关负责人报告；

如因楼内线路故障，要求相关负责部门迅速恢复供电；

如因供电部门因素导致供电中断，立即向供电部门联系，请供电部门迅速恢复供电；

如告知需要长时间停电，应作如下安排：

①预计停电1小时以内，由UPS供电；

②预计停电1小时以上2小时以内，关掉非关键设备，确保各主机、路由器、交换机供电；

③预计停电超过2小时，在设备运行1小时候关掉所有机器设备。

电力系统恢复供电后，管理人员按照规定流程开启相关设备。

2、网络中断的应急处理

故障排查：

网络中断后，技术人员要迅速判断故障节点，查明故障原因。

故障排除：

①如属线路故障，应重新安装线路；

②如属路由器、交换机等网络设备故障，技术人员立即检修并调试通畅。

如路由器、交换机配置文件破坏，信息安全员应迅速按照要求重新配置，调试通畅。

必要时，请有关供货单位、设备厂商协助调测畅通；

③如需更换设备，应上报分管领导，经批准后马上更换故障设备，尽快恢复系统运行；

④如发现属于外部线路的问题，应与线路运营商联系，敦促尽快恢复故障线路；

⑤信息中心无法及时修理时，应立即通知相关供应商及维护人员，在最短时间内安排修理。

特殊情况，如故障判断、网络恢复需要1小时以上，相关负责人应及时将相关情况汇报至分管领导，并在领导同意的情况下，采用紧急恢复措施，绕过故障设备，先行恢复网络的联通性，并及时督促及落实设备供应商抵达现场，及时判断故障并恢复正常；

故障处理完毕，恢复正常后，应立即进行故障现象的回归测试，测试结果确认无问题后，再进行总结及评估，并将处理过程形成故障处理文档的知识库，进行统一归档管理。

3、黑客攻击的应急处理

当发现网络上有黑客攻击行为时，应立即向信息中心通报情况，并由负责人向分管领导报告；

信息安全员应立即赶到现场，将被攻击的服务器或其他设备从网络中隔离出来，必要时可以采取照片、截图等方式留存记录，保护现场；

如事态较为严重，经向分管领导请示后，立即向公安部门报警，配合公安部门展开调查；

相关技术人员做好被攻击或破坏后系统的恢复与重建工作；

信息中心负责组织技术力量追查非法信息来源；

将实施事件处理的过程和结果备案存档，必要时向分管领导汇报。

4、病毒及恶意软件攻击的应急处理

当发现局域网络中有大量计算机被感染上病毒后，计算机使用人员应立即上报信息中心；

信息中心技术人员应及时赶到病毒机器处理现场，立即将该机从网络上隔离开来；

技术人员对该设备的硬盘进行数据备份，并将防病毒软件的病毒特征库更新至最新版本；

技术人员启用反病毒软件对该机进行杀毒处理，并对相关机器进行病毒扫描和清除工作；

如发现反病毒软件无法清除该病毒，应向领导汇报，由技术部组织相关技术人员研究解决，通过分析病毒的特征行为，寻找病毒专杀工具进行查杀；

情况较为严重的，已影响到业务信息系统的数据传输、应用系统访问不正常等情况，应及时向有关分管领导报告。

5、软件系统故障的应急处理

软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处；

软件系统发生故障后，技术人员应立即向信息中心负责人或分管领导汇报，经确认后停止该系统的运行并切换至备份系统，保证业务正常进行；

信息中心及时组织本部门技术人员，并同时通知软件系统主要应用部门做好软件系统和有关数据的恢复工作；

检查日志等资料，确定故障原因；

组织相关人员将实施处理的过程和结果备案存档，并向有关领导汇报。

6、数据库系统故障的应急处理

数据库系统每日必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存与安全处；

数据库系统发生故障以后，技术人员立即向信息中心负责人或分管领导汇报请示，经同意后采用重启或其他手段尽快恢复数据库运行，保证业务不中断；

信息中心及时组织相关技术人员，并同时通知主要应用部门等技术力量做好数据库系统切换和有关数据的恢复工作；

组织相关人员将实施处理的过程和结果进行备案存档，并向有关领导汇报。

7、设备硬件故障的应急处理

小型机、服务器等关键设备损坏后，技术人员应立即向信息中心负责人报告；

信息中心立即组织技术人员查明原因，联系维保单位更换受损部件；

如果设备一时不能修复，应向分管领导汇报，并告知各应用部门暂缓上传上报数据。

（四）应急结束

当信息中心修复故障，确定金保工程信息系统运行恢复正常后，应及时请示网络与信息安全应急工作领导小组后，通知各部门系统恢复正常。

六、后期处置

（一）恢复与重建

应急处置工作结束后，现场领导小组组织有关人员和技术专家组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中暴露出的管理、协调和技术问题，改进和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。

（二）总结评估

1、应急处理工作结束后，应急领导小组应立即组织有关人员，专家组，会同信息中心成立事件调查小组，对事件发生及其处理过程进行全面的调查，查清事件发生的原因及财产损失状况并总结经验教训，写出调查评估报告，并将故障处理文档整理，形成知识库进行统一归档管理；

2、根据评估结果对相关责任人员进行处理，对抢修有功、组织严密、指挥得体、献计献策的人员实施奖励，并进行全局通报；

3、对玩忽职守、刻意隐瞒、谎报误报、应急处理不当、工作不负责任、临阵脱逃的人员实施纪律处分，情节严重并构成犯罪者，依法移交至司法机关追究其刑事责任。

（三）培训与演练

1、培训

单位各级人员要加强应急理论知识和技能学习，将应急专业培训列入年度培训计划，利用多种形式积极组织开展培训工作，不断提高网络信息系统突发事件的处置能力和指挥协调能力。

2、演练

信息系统领导小组应根据实际情况，成立演练机构，制订应急演练计划，编写演练文件，落实保障措施，每年应至少组织一次专项应急预案演练，每年应至少组织一次现场处置方案演练，增强应急处置的实战能力，增强预案的有效性和操作性。

（四）应急预案更新

根据信息化快速发展和经济社会发展状况，配合相关法律法规的制定、修改和完善，结合应急处置中暴露出的管理、协调和技术问题，修订和完善本预案。