《网络与信息安全专项应急预案》.doc
《《网络与信息安全专项应急预案》.doc》由会员分享,可在线阅读,更多相关《《网络与信息安全专项应急预案》.doc(24页珍藏版)》请在冰点文库上搜索。
编号:
Q/CSG-YN4.10.07.06.10-2013-03
威信供电有限公司
网络与信息安全应急预案
预案版本:
3.00版
编制部门:
经理工作部
颁布日期:
2008年08月29日
修订日期:
2013年03月28日
目次
1 总则 1
1.1 编制目的 1
1.2 编制依据 1
1.3 适用范围 1
1.4 工作原则 1
1.5 与其他预案的关系 1
2 风险与资源分析 1
2.1 风险分析 1
2.2 资源分析 1
3 突发事件分级 1
4 组织机构及职责 2
4.1 应急组织设置 2
4.2 应急组织职责 2
5 预防与预警 2
5.1 预警分级 2
5.2 预警监测 2
5.3 预警发布及行动 2
5.4 预警调整与解除 2
6 应急响应与处置 2
6.1 应急响应分级 2
6.2 信息报告 2
6.3 响应程序 3
6.4 应急结束 3
6.5 信息发布 3
6.6 后期处置 3
7 应急保障 3
8 附则 3
8.1 预案备案 3
8.2 预案修订 3
8.3 预案解释 3
8.4 预案实施 3
附件 4
附件1 XX1 4
附件2 XX2 5
II
威信供电有限公司网络与信息安全应急预案
1总则
1.1编制目的
为了保证威信供电有限公司(以下简称公司)网络与信息系统的安全、稳定运行,保障网络系统、主营业务系统和数据系统的正常运转,减少因各类网络与信息安全事件造成的损失和影响,建立有序开展、行动高效的应急制度,根据公司的实际情况制定本预案。
1.2编制依据
本预案依据下列规章制度和应急预案编制:
(1)《云南电网公司应急管理工作规定》
(2)《云南电网公司突发事件应急预案编制指南》
(3)《云南电网公司突发事件应急响应分级标准》
(4)《云南电网公司突发事件预警管理办法》
(5)《云南电网公司突发事件信息管理办法》
(6)《昭通供电局网络与信息安全应急预案》
(7)《威信供电有限责任公司突发事件总体应急预案》
1.3适用范围
本预案适用于公司发生的达到云南电网公司Ⅳ级及以上应急响应标准的网络与信息安全事件的应对与处置工作。
1.4工作原则
公司在网络与信息安全事件应急处置中,必须遵循以下原则:
积极防御、综合防范。
立足安全防护,加强预警,重点保护基础信息网络和重要信息系统,重要数据信息;从预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
统一指挥,快速反应。
在应急指挥机构的统一指挥、调配下,各应急力量快速就位,快捷地开展网络与信息安全事件应急处置行动。
科学处置,有效行动。
通过对事件的全面分析,制定科学、可行的应急方案,按照应急方案科学处置,使受损网络和设备迅速而有效的得到控制和处理,最大程度地减少危害和影响。
整合资源,形成合力。
充分利用现有网络与信息安全应急资源,整合公司内、外部的信息安全应急力量,充分依靠公司以及第三方厂商的信息安全应急力量,形成信息安全应急工作合力。
1.5与其他预案的关系
1.6与公司专项应急预案的关系
本预案是公司突发事件专项应急预案之一,本预案可能配合的公司专项应急预案包括《威信供电有限责任公司自然灾害应急预案》。
1.7与上级预案的关系
当公司发生的网络与信息安全事件为云南电网公司Ⅲ级及以上应急响应时,由本预案负责指挥、协调现场处置方案,同时接受昭通供电局网络与信息安全专项应急预案的指挥、协调。
2风险与资源分析
2.1风险分析
公司可能发生的网络与信息安全事件包括网络中断事件、系统瘫痪事件和数据安全事件。
(1)网络中断事件是指导致公司的电网调度自动化系统、应用系统所使用的网络中断、不能正常使用的事件。
网络设备(路由器、交换机、终端、光缆等)自身故障、自然灾害导致网络设备破坏、网络攻击(拒绝服务攻击、后门攻击、漏洞攻击等)和有害程序(病毒、木马等程序)等导致网络软件故障等,均可能引发网络中断事件。
(2)系统瘫痪事件是指电网调度自动化系统、应用系统主要功能不可用或不能正常使用的事件。
网络和信息系统设备故障、网络攻击、有害程序、系统设计缺陷等,均可能导致系统瘫痪事件的发生。
(3)数据安全事件是指公司重要数据泄露和毁坏后无法恢复的事件。
网络和信息系统设备故障、网络攻击、有害程序、人为误操作等,均可能导致数据安全事件的发生。
2.2资源分析
2.2.1应急力量
(1)公司生产技术部、经理工作部、调度室、市场营销部、党群工作部等人员是公司网络与信息安全事件应急处理的内部力量。
(2)软硬件制造商、供应商、系统集成商、技术服务提供商、网络通道承租商以及威信县公安局网警支队,均可作为外部应急力量。
2.2.2物资和装备资源
公司及所属各部室的硬件备件(如终端电脑、网线、水晶头等)、软件备份(如操作系统、杀毒软件等)、数据备份(如MIS系统每日备份)、专业检测及维修工具、机房专用灭火器、通讯器材(固定电话、手机等)、交通工具(如公司小车班、职能部门、基层生产单位的车辆)等,均可作为本预案应急的物资装备资源。
3突发事件分级
根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,一般分为四级:
Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
国家有关法律法规有明确规定的,按国家有关规定执行。
(1)Ⅰ级(特别重大)。
重要网络与信息系统发生全网性大规模瘫痪,事态发展超出公司的控制能力,对公司网络安全、社会形象、生产经营造成特别严重损害的突发事件。
(2)Ⅱ级(重大)。
重要网络与信息系统造成全网瘫痪,对公司安全、生产经营造成严重损害,需要跨部门、跨地区协同处置的突发公共事件。
(3)Ⅲ级(较大)。
某一局部重要网络与信息系统瘫痪,对公司安全、生产造成一定损害,但不需要跨部门、跨地区协同处置的突发公共事件。
(4)Ⅳ级(一般)。
重要网络与信息系统受到一定程度的损坏,但不危害公司安全、生产运行的突发事件
3.1应急指挥机构及职责
3.1应急组织设置
当公司发生网络与信息安全事件、需要启动本预案时,由公司应急指挥中心组建本预案的指挥机构——公司网络与信息安全事件应急指挥部,当本预案停止后,解散公司网络与信息安全事件应急指挥部。
3.1.1指挥机构的组织体系
(1)公司网络与信息安全事件应急指挥部由总指挥、副总指挥和应急处置工作组构成(如图1所示),公司网络与信息安全事件应急指挥部一般应设置信息与通信联络工作组、后勤保障工作组和现场处置工作组。
总指挥
副总指挥
网络与信息安全事件应急指挥部
信息与通信联络工作组
后勤保障工作组
现场处置工作组
图1公司网络与信息安全事件应急指挥部组织体系结构图
(2)公司网络与信息安全事件应急指挥部由总指挥和副总指挥人选由公司应急指挥中心指定或同意;各应急处置工作组由组长和组员构成,应急处置工作组组长人选由网络与信息安全事件应急指挥部的总指挥和副总指挥指定。
(3)公司网络与信息安全事件应急指挥部的人员构成:
n总指挥:
一般情况下由总经理担任。
n副总指挥:
一般情况下由安全副总经理或总工程师担任。
n信息与通信联络工作组:
组长一般情况下由生产技术部的工作人员担任,组员一般情况下由生计部(1人)、调度室(1人)、信息网络管理员(1人)的工作人员担任。
n后勤保障工作组:
组长一般情况下由经理工作部的工作人员担任,组员一般情况下由组员由物资供应中心(1人)的工作人员担任。
n现场处置工作组:
组长一般情况下由网络信息管理员担任,组员一般情况下由调度室(1人)和市场营销部(1人)的工作人员担任。
3.2应急组织职责
3.2.1应急指挥部职责
公司网络与信息安全事件应急指挥部的主要职责如下:
(1)负责按照本预案指挥网络与信息安全事件应急处置工作;
(2)负责指导、协调下属各单位网络与信息安全事件应急处置工作;
(3)负责向公司应急指挥中心报告网络与信息安全事件应急处置进展情况;
(4)当网络与信息安全事件涉及启动公安部门应急预案时,配合公安部门开展应急处置工作。
3.2.2应急处置工作组职责
3.2.2.1信息与通信联络工作组职责
(1)负责接收事发单位报送的应急信息;
(2)负责向公司应急办公室报送应急信息;
(3)负责各类应急信息的收集、汇总和编辑;
(4)负责记录应急指挥工作过程信息;
(5)负责与网络与信息安全事件的事发现场和事发单位建立通信联络;
(6)负责与指挥部其他各工作组建立通信联络;
(7)负责按需要联系公安部门、软硬件制造商、供应商、系统集成商以及技术服务提供商;
(8)负责应急指挥部安排的各项通信联络工作。
3.2.2.2后勤保障工作组职责
(1)负责文件、资料等的打印、复印、递送;
(2)负责应急物资的采购和调配;
(3)负责协调车辆,保障应急人员、应急物资的运送。
3.2.2.3现场处置工作组职责
(1)负责赶赴事发现场指导事发单位的应急处置工作;
(2)负责具体按照指挥部的指令结合应急预案实施技术处理工作;
(3)负责协助事发单位调度外部应急力量和应急物资;
(4)负责及时向指挥部报告事发现场应急状况;
(5)负责消除网络与信息安全事件的影响,恢复网络与信息系统运行;
(6)负责技术报告编写,形成技术体系知识库;
(7)负责网络与信息安全事件的调查处理。
4预防与预警(可选)
4.1预警分级
公司的网络与信息安全事件分为一般、较大、重大和特别重大四个级别(分级标准参见《云南电网公司安全事件应急响应分级标准》),按照网络与信息安全事件的级别和发生的可能性,公司的人身事件预警分为四个级别,由高到低依次为红色预警、橙色预警、黄色预警、蓝色预警。
1、特别重大网络与信息安全事件在公司即将发生或者发生的可能性增大时,构成红色预警。
2、重大网络与信息安全事件在公司即将发生或者发生的可能性增大时,构成橙色预警。
3、较大网络与信息安全事件在公司即将发生或者发生的可能性增大时,构成黄色预警。
4、一般网络与信息安全事件在公司即将发生或者发生的可能性增大时,构成蓝色预警。
4.2预警监测
(1)公司生产技术部、经理工作部、调度室负责管辖范围内的网络与信息安全事件风险监测工作,网络与信息安全事件风险监测的重点包括:
n计算机病毒、蠕虫、木马、恶意代码等入侵的风险;
n漏洞攻击、后门攻击、拒绝服务、网络窃听、网络钓鱼等网络攻击的风险;
n信息丢失、信息窃取、信息泄露、信息假冒等信息安全风险;
n机房设备故障、系统软硬件故障、人为破坏、误操作等系统故障风险;
n系统变更导致的不可预测风险;
n因系统业务量增加致使系统资源不够,系统高压力状态下运行的业务风险。
(2)在风险监测中,生产技术部、经理工作部应通过多种方式获取预警支持信息,一般包括以下方式:
n通过风险监测和风险分析获得的数据;
n昭通供电局应急办公室传达的网络与信息安全事件预警信息;
n网络与信息系统运行部门上报的网络与信息安全事件预警信息;
n市公安局网警支队发布的网络与信息安全事件预警信息等。
(3)公司生产技术部、经理工作部在获取预警支持信息后,应当及时进行汇总分析,必要时组织相关部门、专业技术人员、专家进行会商,对网络与信息安全事件发生的可能性及其可能造成的影响进行评估。
4.3预警发布及行动
5.3.1公司应急办公室在接到蓝色及以上级别网络与信息安全事件预警信息后,应及时上报昭通供电局应急办公室,由其进行统一发布。
5.3.2预警行动
(1)公司应急办公室收到上级单位或政府及其有关部门发布的网络与信息安全事件预警后,立即通过公文、传真、电话、短信等方式,尽快将预警信息传达到公司相关部室。
(2)在网络与信息安全事件发布后,预警响应范围内的单位和部门应针对可能发生的网络与信息安全事件,及时采取有效的防范和应对措施,控制网络与信息安全事件风险,避免网络与信息安全事件发生;可以根据具体情况采取以下措施:
n定期进行内存及系统病毒、木马、蠕虫、恶意代码查杀清除;
n定期安装必要的系统安全补丁,关闭不必要端口,检查是否存在系统后门;
n做好重要数据安全保障及备份工作、定期更换用户密码;
n准备常用备品备件、实时监控系统资源情况、规范人工操作、限制操作员权限、严格管理超级管理员权限;
n避免不必要的系统变更,并对必要变更做好记录及回退准备;
n测试机房接地电阻并分析是否正常;
n与软硬件服务商沟通。
(3)公司预警响应范围内的部门和单位每日需及时向公司应急办公室报告应对措施落实情况,由公司应急办公室汇总后向上级机构及时汇报。
4.4预警调整与解除
在发布突发事件预警以后,公司应当根据事态的发展,上报昭通供电局,并按照有关规定适时调整预警级别并重新发布。
有事实证明不可能发生突发事件或者危险已经解除的,应当立即宣布解除警报,终止预警期,并解除已经采取的有关措施。
5应急响应与处置
5.1应急响应分级
5.1.1应急响应分级标准
5.1.1.1网络与信息安全事件分级
按照网络与信息安全事件的严重程度,公司的网络与信息安全事件分为一般网络与信息安全事件和较大网络与信息安全事件两个级别。
(1)一般网络与信息安全事件:
公司内部主要应用系统服务不可用或服务质量严重劣化累计时长已经(或预期)达64小时(时间/应用系统);公司办公用户内部网络访问中断或服务质量严重劣化时长已经(或预期)达24小时;公司外部广域网访问中断或服务质量严重劣化时长已经(或预期)达48小时;公司内部主要应用系统丢失数据累计已经(或预期)达30工作日数据;公司内部主要应用系统重要、机密数据泄密或被篡改,对公司造成一定负面影响或产生一定威胁。
(2)较大网络与信息安全事件:
公司内部主要应用系统重要、机密数据泄密或被篡改,对公司造成较大负面影响或产生较大威胁。
5.1.1.2网络与信息安全事件应急响应分级
依据《云南电网公司突发事件应急响应分级标准》的规定,云南电网公司系统的网络与信息安全事件应急响应按照网络与信息安全事件级别和响应范围分为四级,由低到高依次为Ⅳ级响应、Ⅲ级响应、Ⅱ级响应和Ⅰ级响应。
当公司发生的网络与信息安全事件达到或超过云南电网公司Ⅳ级应急响应标准时,均构成公司的Ⅰ级应急响应,即公司的应急响应只包括一个级别——公司Ⅰ级应急响应。
当公司系统发生的网络与信息安全事件为云南电网公司Ⅳ级及以上应急响应时,由公司应急指挥中心启动本预案和事发单位的现场处置方案进行应急处置。
(1)公司系统已经或者预期发生一般网络与信息安全事件,且公司系统的应急力量可以应对,不需要昭通供电局及政府部门应急力量参与,构成云南电网公司Ⅳ级应急响应。
(2)公司系统已经或者预期发生满足下列条件之一的网络与信息安全事件,为云南电网公司Ⅲ级及以上应急响应:
n网络与信息安全事件为一般网络与信息安全事件,公司系统的应急力量无法单独应对,需要上级单位参与应对的;
n网络与信息安全事件为较大网络与信息安全事件的。
5.2信息报告
5.2.1应急值班电话
公司应急值班电话:
6124002,6127426
公司生产技术部电话:
0870-6123111、0870-6123176
5.2.2网络与信息安全事件初始信息
网络与信息安全事件初始信息一般包括以下内容:
(1)事件的类型、发生时间、发生地点;
(2)事件的原因、性质、范围、经初步判断的严重程度;
(3)网络与信息系统故障的严重程度、故障特征;
(4)网络与信息系统受损部件列表、具体情况描述;
(5)事件发生部门已采取的控制措施及其他应对措施;
(6)事件报告部门、联系人员及通讯方式。
5.2.3网络与信息安全事件初始信息报告
(1)公司下属各部门或生产现场发生一般及以上级别网络与信息安全事件时,应在事故发生后20分钟内,向公司应急办公室报告网络与信息安全事件初始信息。
(2)公司应急办公室在接到网络与信息安全事件初始信息报告后,应对网络与信息安全事件初始信息进行确认,并在确认后立即向公司应急指挥中心总指挥、副总指挥和相关成员报告。
(3)公司应急办公室应在接到报告后,经公司应急指挥中心总指挥或副总指挥批准,20分钟内向昭通供电局应急办公室报告;需要向当地政府部门报告的,经昭通供电局应急办公室批准后,在1小时内向昭通市政府办公报告。
(4)公司负有网络与信息安全事件初始信息报告职责的单位(部门)在报告网络与信息安全事件初始信息时,应做到及时、客观、真实,不得迟报、谎报、瞒报、漏报。
5.2.4网络与信息安全事件应急信息
网络与信息安全事件应急信息是指在网络与信息安全事件应急响应过程中,与网络与信息安全事件和网络与信息安全事件应急响应有关的数据和信息,一般包括网络与信息安全事件最新概况、应急处置进展情况、应急资源调度情况、下一步应急工作部署等内容。
(1)网络与信息安全事件最新概况。
(2)应急处置进展情况,包括已开展的应急处置行动、已取得的应急成果、当前主要应急处置工作和政府部门的参与情况。
(3)应急资源调度情况,包括应急人员调动情况、应急物资调配情况和应急资源需求情况。
(4)下一步应急工作部署,包括应急处置进展情况预估和应急处置行动计划。
(5)网络与信息安全事件应急信息报告的通用格式见附件3。
5.2.5网络与信息安全事件应急信息报告
(1)在达到云南电网公司Ⅳ级及以上应急响应标准的网络与信息安全事件应急响应过程中,公司网络与信息安全事件应急指挥部负责收集应急处置范围内的网络与信息安全事件应急信息,并负责向公司应急办公室报告应急信息。
(2)在达到云南电网公司Ⅳ级及以上应急响应标准的网络与信息安全事件应急响应过程中,公司网络与信息安全事件应急指挥部一般应每隔24小时向公司应急办公室报告一次应急信息,对于应急处置中出现的特殊情况,应及时、如实向公司应急办公室汇报。
公司应急办公室有权根据具体情况缩短应急信息报告的时限和周期。
(3)在达到云南电网公司Ⅳ级及以上应急响应标准的网络与信息安全事件应急响应过程中,公司应急办公室在获取应急信息后,应及时向公司应急指挥中心总指挥、副总指挥和相关成员报告;经公司应急指挥中心总指挥或副总指挥批准,公司应急办公室负责向昭通供电局应急办公室报告应急信息;经昭通供电局应急办公室批准后,公司应急办公室负责按规定向地方政府有关部门报告应急信息。
5.3响应程序
本预案的响应程序可以分为应急启动、应急行动、应急响应扩大和应急结束四个过程,应急响应流程图见附件5。
5.3.1应急启动
(1)经公司应急指挥中心总指挥或副总指挥批准,由公司网络与信息安全事件应急指挥部启动本预案;
(2)公司网络与信息安全事件应急指挥部指挥人员和各应急处置工作组人员就位;
(3)由信息与通信联络工作组负责与事件单位的应急指挥部门和事件现场建立通信联系。
5.3.2应急行动
(1)现场处置工作组开展故障测试、分析和判断工作;
(2)现场处置工作组赶赴现场,指挥事件现场应急人员开展故障排除工作;
(3)部署应用系统的使用单位(部门)采取必要措施,消除事件影响、减少事件损失;
(4)由信息与通信联络组负责收集、整理事件应急信息,对事件的发展态势进行动态监测,及时掌握应急处置状况;
(5)后勤保障工作组按需开展物资、工具等的采购、调配、运送;
(6)总指挥、副总指挥按需要调配各级力量和资源开展现场处置工作。
5.3.3应急响应扩大
(1)在应急处置过程中,当事件影响的范围增加时,应急指挥部应及时增加应急力量投入;
(2)在应急处置过程中,当事件发展为云南电网公司Ⅲ级及以上应急响应时,公司应急办公室应及时向昭通供电局应急办公室汇报,申请应急支援。
5.3.4应急结束
网络与信息安全事件势态被有效控制后,结束应急、停止本预案,部署事件调查与善后处理工作。
5.4应急结束
当网络与信息安全事件应急处置满足下列条件之一时,经公司应急指挥中心总指挥或副总指挥批准,由公司网络与信息安全事件应急指挥部宣布本预案的应急结束,停止本预案;
(1)当本预案应对的网络与信息安全事件经应急处置后,得到有效控制,响应级别下降到云南电网公司Ⅳ级及以下;
(2)本预案应对的网络与信息安全事件已经完成下列工作:
受影响业务已恢复、系统资源已恢复到正常状态、系统已经安全稳定运行、受损数据已恢复。
6.4信息发布
公司应急办公室负责网络与信息安全事件信息的对外发布,网络与信息安全事件信息发布必须经过严格审核和批准,保证发布信息的一致性,避免出现矛盾信息。
公司网络与信息安全事件信息发布流程及要求如下:
(1)在一般网络与信息安全事件发生后,需要对外发布网络与信息安全事件初始信息的,经公司应急指挥中心总指挥或副总指挥批准,并报请昭通供电局应急办公室批准后,由公司应急办公室组织对外发布。
(2)在较大及以上网络与信息安全事件发生后,需要对外发布网络与信息安全事件初始信息的,由昭通供电局应急办公室负责组织对外发布。
(3)在达到云南电网公司Ⅳ级应急响应标准的网络与信息安全事件应急响应过程中,需要对外发布网络与信息安全事件应急信息的,经公司应急指挥中心总指挥或副总指挥批准,并报请昭通供电局应急办公室批准后,由公司应急办公室组织对外发布。
(4)在达到云南电网公司Ⅲ级及以上应急响应标准的网络与信息安全事件应急响应过程中,需要对外发布网络与信息安全事件应急信息的,由昭通供电局应急办公室负责组织对外发布。
(5)公司应急办公室负责指定网络与信息安全事件新闻发言人由,新闻发言人负责接受新闻媒体采访,准确发布网络与信息安全事件信息。
(6)公司系统各单位、各部门及员工未经授权,不得对外发布(散布)网络与信息安全事件信息或发表对网络与信息安全事件的评论。
5.5后期处置
6.5.1恢复生产
网络与信息安全事件应急结束后,在公司应急指挥中心的指导下,按需要由公司生产技术部、经理工作部具体负责督促网络与信息安全事件善后处理工作,指导事发单位制定可行的工作计划,快速、有效地消除网络与信息安全事件造成的不利影响,尽快恢复生产秩序。
6.5.2事件调查
(1)按照国家、南方电网公司、云南电网公司、昭通供电局的规定进行调查。
(2)事件调查应准确、及时地查清事件的性质和原因,总结经验教训,提出防范措施。
6.5.3总结及改进
网络与信息安全事件应急结束后,在公司应急指挥中心组织下,由公司生产技术部具体负责对本预案和应急救援处置过程进行全面地总结、评估,找出不足并明确改进方向,及时对本预案的不足之处予以修订。
6应急保障
6.1应急队伍
公司生产技术部负责督促下属各单位组建网络与信息安全事件应急救援队伍,在公司范围内建立网络与信息安全专家库,加强网络与信息的应急技术交流和技术培训,提高公司网络与信息安全整体应急响应能力。
各单位应当根据本单位的实际情况,考虑借助第三方技术力量或引进社会化应急服务,为网络与信息安全应急处置工作提供支持。
6.2应急物资与装备
(1)经理工作部应保障1台以上(含1台)车辆供应急时调用。
(2)公司及所属部室应按需要配备一定数量的网络系统和数据系统的备品备件、专业的软硬件检测工具、通讯装备等。
6.3通信与信息
(1)网络与信息安全事件应急通信联络和信息交换的渠道主要有调度电话、系统程控电话、外线电话
升级会员 