网络安全事件应急响应预案是为切实做好网络突发事件的防范和应急处理工作, 进一步提 高预防和控制网络突发事件的能力和水平,下面是小编为大家整理的关于网络安全事件应急响应预案,如果喜欢可以分享给身边的朋友喔!
网络安全事件应急响应预案(精选篇1)
为了切实做好学校校园网络突发事件的防范和应急处理工作,进一步提高我校预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我校校园网络与信息安全,妥善处理危害网络与信息安全的突发事件,最大限度地遏制突发事件的影响和有害信息的扩散。结合学校工作实际,制定本预案。
第一章 总则
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章 组织指挥和职责任务
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第三章 处置措施和处置程序
第七条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,信息中心按照岗位职责的要求,技术中心人员各司其责切实加强日常信息网络安全工作的检查、维护,定时升级系统补丁和杀毒软件,检查防火墙、IDS(入侵检测系统)的运行情况,及时消除隐患;
学校各单位切实落实部门网站管理工作职责、安全责任制,特别是对于开办网上论坛、留言板、聊天室、社区等交互式栏目网站的部门要落实关于信息发布审核、信息巡查和版主负责制度的情况,要设有防范措施和专人管理;
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序
(一)发现情况
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的'交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章 保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章 附则
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
网络安全事件应急响应预案(精选篇2)
为妥善应对和处置学校网站信息安全突发事件、确保学校网站正常运行,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理方法》、信息产业部《互联网信息服务管理方法》及国家教育部、省教育厅有关文件精神,结合我校网站实际情况,特指定本应急预案。
应急措施如下:
1、网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由主办部门的信息员负责随时密切监视信息内容。
(2)发现在网上出现违反国家的法律法规、侵犯知识版权、反政府、分裂国家和色情内容的信息及损害国家、学校声誉的谣言信息时,信息员应立即向本单位信息安全负责人通报情况;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
(3)信息安全相关负责人应在接到通知后作好必要记录,指导信息员清理非法信息、妥善保存有关记录并将网站网页重新投入使用。
(4)追查非法信息来源,并将有关情况向学校信息化工作领导小组汇报。
(5)向区电教中心汇报,取得支持、帮助与指导。
(6)事态严重的,应及时向公安部门报警。
2、黑客攻击事件紧急处置措施
(1)备份正确网站文件,保障网站及时恢复。
(2)当信息员发现网站遭到黑客攻击、主页内容被恶意篡改时,立即停止主页服务并恢复正确内容。检查分析被更改的原因,在被更改的原因找到并排除之前,不得重新开放主页服务;同时向信息安全负责人通报情况。
(3)黑客攻击程度较大情况下(如破坏了服务器上文件),修复网站文件较为麻烦;为使网站尽快能正常访问,使用网站的备份文件或者临时找其他服务器替代,如事先有这些准备,一般在发现被攻击后的一到两个小时即可修复。
(4)恢复与重建被攻击或破坏的网站。
(5)对现场进行分析,并写出分析报告存档。
(6)向区电教中心汇报,取得支持、帮助与指导。
(7)学校信息化工作领导小组召开小组会议,如认为事态严重,则立即向公安部门报警。
做好校园网站信息的安全管理,核心工作就是定期备份网站,保存好网站的备份文件,以备应急使用。
网络安全事件应急响应预案(精选篇3)
一、总则
(一)为预防和减少网络与信息安全突发事件的发生,控制、减轻和消除突发事件引起的危害及造成的损失,规范突发事件预防和应对活动,保护学院的网络与信息安全,防止重要信息泄密,保障网络业务与信息传输安全通畅的运行,提高应对重大事故的应急能力,把损失降到最低程度,特制定本预案。
(二)本预案依据《中华人民共和国网络安全法》(2016年)编制。
(三)本预案适用于苏州大学应用技术学院(以下简称学院)网络与信息系统安全事件的应对与处置工作。本预案所称网络与信息安全事件是指由于自然灾害、设备软硬件故障、人为失误、黑客攻击,以及敌对势力破坏等原因,对网络信息系统造成危害,对学院正常教学、管理工作和声誉造成不利影响的信息安全事件。
(四)学院网络一旦出现安全事件,学院信息系统运行受到威胁;将给教学、管理造成不可估量的损失。网络与信息安全事件主要由以下三个方面的影响因素引起:
1.网络安全防护体系风险
网络和信息技术发展日新月异,信息技术安全产品发展也很快,目前学院信息安全保障产品还不够完备。
2.操作系统固有缺陷
目前常用的操作系统都存在一定的安全漏洞,随着各种需求和应用的不断增加,网络和系统管理变得越来越复杂。
3.接入终端多样复杂
接入网络的终端,由不同厂家在不同年代生产,目前没有纳入统一的防病毒、系统补丁和更新程序管理,致使接入终端可能成为病毒或黑客攻击网络的切入点。
(五)根据网络与信息安全事件的起因、表现、结果等,网络与信息安全事件主要分为以下六类:
1.危害程序事件
蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的网络与信息安全事件。
2.网络攻击事件
通过网络或者其它技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻击,并造成信息系统异常,或对信息系统当前运行造成潜在危害的信息安全事件。
3.信息破坏事件
通过网络或者其它技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。
4.设备设施故障事件
由于信息系统自身故障或外围保障措施故障而导致的网络与信息安全事件,以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。
5.灾害性事件
由于不可抗力对网络和信息系统造成物理破坏而导致的信息安全事件。
6.其它事件
以上没有包括的其它信息安全事件。
(六)根据苏应的计算机基础网络与信息系统的实际业务情况,依据事件性质、严重程度、可控性、影响范围等因素,学院的网络与信息安全突发事件划分为以下四个级别:I级(特别严重)、II级(严重)、III级(一般)和IV级(轻微)。
1.I级(特别严重)突发事件
是指突然发生,将使特别重要的信息系统遭受严重损失,对学院教学、对外信息造成特别重大影响,学院必须统一协调、并向主管上级单位报告及调度各方面的资源和力量进行应急处置的突发事件。符合以下条件之一的为I级事件。
(1)面向学院的核心应用系统2个以上(含2个)遭到破坏性攻击而瘫痪。
(2)敌对分子或黑客利用信息网络进行有组织、大规模反动宣传和攻击活动,出现大量危害学院教学、管理机密等犯罪行为。
(3)其它造成特别严重社会影响或巨大经济损失的网络与信息安全事件。
2.II级(严重)突发事件
是指突然发生,将使重要的信息系统遭受严重损失,对学院教学、管理造成重大影响,学院必须统一协调、调度各方面的资源和力量进行应急处置的突发事件。符合以下条件之一的为II级事件:
(1)学院内、外网全部中断1小时以上(含1小时);各单位、二级学院均与中心网络的链路中断。
(2)面向学院的核心服务崩溃。
(3)直属学院的服务器、核心路由器、交换机等关键设备3个以上(含3个)损坏。
(4)受到外部潜在的重大网络安全隐患或可能遭受的网络病毒影响。
(5)涉及上级单位通报的网络信息安全事件。
3.III级(一般)突发事件
由单位(含二级学院)认定的有可能对本单位造成重大影响,但不会影响本单位以外的学院范围内的网络与信息安全事件。
4.IV级(轻微)突发事件
是指突然发生并未使信息系统遭受严重损失,但需要信息部门引起注意以免事件升级恶化。符合以下条件之一的为IV级事件。
(1)学院内、外网全部中断10分钟以内。
(2)各单位、二级学院均与中心网络的链路中断。
(3)面向学院的非核心服务异常停止。
(七)对于网络安全事件,必须遵守以下工作原则
1.积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
2.明确责任。按照“谁主管谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
3.依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,确保应急预案切实可行。
二、组织与职责
(一)学院网络安全与信息化工作领导小组为管理机构
本预案组织机构由学院网络安全与信息化工作领导小组(简称领导小组)构成。
领导小组办公室设在信息化建设管理中心,负责人任办公室主任。
(二)领导小组的工作职责
1.负责网络与信息安全事件现场应急指挥工作,确定现场应急处置方案,协调现场应急资源调配工作。
2.负责学院网络与信息安全事件应急工作的领导和应对方案的决策。
三、预防和预警
(一)推进信息系统安全保护等级制度,开展信息安全风险评估工作:
1.技术方面
采用安装防火墙、入侵监测、计算机杀毒软件等措施,建立身份认证和授权管理机制,对主机、网络设备、安全设备与软件和网络边界进行必要配置,对重要数据定期进行备份。
2.管理方面
健全信息安全管理制度,落实信息安全等级保护措施,开展信息安全风险评估。
(二)发生学院级及以上网络与信息安全事件时,应立即启动应急预案进行应急处理,并向领导小组报告。接到报告后,应急领导小组启动预警程序。
(三)发生网络安全事件按以下预警程序进行:
1.立即向领导小组办公室主任报告,由办公室主任预判安全事件等级,II级以上(含II级)的向领导小组汇报,并落实领导指令;II级以下的,需要根据实际情况书面方式汇报给主任。
2.通知有关成员及相关单位做好应急准备。
3.及时收集和掌握事件发展动态及现场应对情况。
4.组织相关人员和专家分析、判断网络与信息安全事件的紧急程度和发展态势,提供应急处置指导意见和技术支持。
5.根据事态变化,适时通报预警信息。
6.网络与信息安全事件解除时,及时宣布、告知预警解除。
7.II级以下网络与信息安全事件发展到II级及以上时,按相应等级启动网络与信息安全事件响应程序。
(四)预警解除
当网络与信息安全事件处置结束,经过评估确认危险已经消除,领导小组可适时下达预警解除指令。
四、应急响应
信息报送——响应程序——应急状态解除——恢复与重建——总结、评估和改进
(一)发生网络与信息安全事件时,第一时间向领导小组办公室报告并定级。
(二)填写《网络安全事项登记表》à领导小组响应与审核(依据事件级别上报相关部门及领导审核)à事件处理及按时上报进度:
1.填写《网络安全事项登记表》
填写事件主题、事件描述、事件级别、事件发生时间,签字并提交给领导小组审核确认。
2.网络与信息安全领导小组响应与审核
需依据事件等级做相应响应与审核:
I级事件:领导小组审核确认,并向主管单位及公安机关报告并保留证据。
II级事件:领导小组审核确认,协调各相关资源及时处理并需现场处理人每小时汇报进展。
III级事件:各部门负责人及领导小组办公室主任审核确认。
IV级事件:信息部领导及领导小组办公室主任审核确认。
(1)安排有关人员赴现场,协调应急处置工作。
(2)根据事态进展,及时对应急救援方案的调整做出决策。
(3)现场处理人员需及时上报信息给领导小组并及时落实有关指令。
3.现场响应与处理
完善《网络安全事项登记表》,填写事件原因,短期处理办法及长期处理办法;I级、II级事件需每小时向领导小组汇报事件处理进度,III级、IV级事件处理完成后需由部门负责人及领导小组办公室主任确认并审核。
(三)应急状态解除
网络与信息安全事件应急处理结束,相关危险因素消除后,由领导小组组长下达应急状态解除指令并完善《网络安全事项登记表》,填写解除时间,相关人员确认并审核。
(四)恢复与重建
1.应急处置工作结束后,相关单位做好有关突发事件中损失情况的统计、汇总,对处置情况进行总结,不断改进网络与信息安全事件的应急保障工作,并开展恢复与重建工作。
2.尽快恢复信息系统、恢复数据、程序。
3.经领导小组评估同意后,方可恢复系运行。
4.应急响应结束后,对发生信息安全事件的网络或系统进行风险评估,及时发现可能存在的安全隐患和安全风险。
(五)总结、评估和改进
由信息管理部对应急事件进行总结、评估并提出改进方案,上报网络安全领导小组备案。
五、应急保障
(一)对涉密信息建立严格的信息保障措施。
(二)学院中心机房需配备核心网络、应用系统或重大风险系统的容灾备份。
(三)学院需建立应急保障队伍。
(四)组织开展应急运作机制、应急处理技术、预警和控制等研究。
本预案由信息化建设管理中心组织制订并负责解释,自发布之日起实行。
信息报送à响应程序à应急状态解除à恢复与重建à总结、评估和改进
网络安全事件应急响应预案(精选篇4)
1.总则
1.1编制目的
建立健全全区网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2编制依据
《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《广东省突发事件总体应急预案》《深圳市突发事件总体应急预案》《深圳市突发事件应急预案管理办法(修订版)》《深圳市重大突发事件紧急信息报送和处置工作制度》《深圳市网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)和《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)等。
1.3事件定义和分类
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题,并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
1.4事件分级
网络安全事件分为四级:由高到低划分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5适用范围
本预案适用于光明区内网络安全事件的应对工作。信息内容安全事件的应对,另行制定专项预案。
1.6工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,平战结合、军地结合,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
1.7名称术语
网络:指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
电子政务外网:是指党政机关非涉密工作业务专网,与互联网逻辑隔离。
电子政务内网:是指满足我区各级政务部门内部办公、管理、协调、监督、决策等需要,支持政务部门之间安全互联、资源共享、业务协同的涉密政务网络。
各街道:是指光明区辖各街道。
各部门:是指光明区各级党政机关。
2.组织机构与职责
2.1领导机构与职责
区委网络安全和信息化委员会(以下简你“区委网信委”)为全区网络安全事件应急处置最高领导机构。区委网络安全和信息化委员会办公室(以下简称“区委网信办”)在区委网信委的领导下,统筹协调组织全区网络安全事件应对工作,建立健全跨部门联动处置机制。区工业和信息化局、光明公安分局、区政务服务数据管理局、社会发展研究中心等相关部门按照职责分工负责相关网络安全事件应对工作。
结合光明实际,设立全区网络安全事件应急指挥部(以下简称,“区指挥部”),组织领导、指挥协调全区网络安全突发事件的防范和应对工作,负责网络安全事件的组织领导和指挥协调。区指挥部由总指挥、执行总指挥兼现场指挥官、副总指挥和各成员组成。
总指挥由区委常委、宣传部长担任,负责区指挥部的领导工作,对光明区网络安全事件应急处置工作实施统一指挥。
执行总指挥兼现场指挥官由区委网信办主任担任,履行现场决策、指挥、调度职责,协助总指挥、副总指挥在网络安全事件现场指挥区网安应急办、专家组、各应急专业技术队伍和各街道、各部门、各单位应急处置工作组处置网络安全事件。
副总指挥由区委办公室分管副主任、区应急局局长、区工业和信息化局局长、光明公安分局分管副局长、区政务服务数据管理局局长、社会发展研究中心主任担任,负责协助总指挥做好区指挥部各项工作,协调各街道、各部门、各单位实施应急工作。
执行总指挥兼现场指挥官根据工作需要指定现场副指挥官,协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。
2.2成员单位职责
区指挥部成员由区委办公室、区委宣传部、区委网信办、区工业和信息化局、光明公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等有关部门负责同志担任,可视情对成员进行调整。区指挥部成员单位职责如下:
(1)区委办公室:负责涉及国家秘密的网络安全事件的检查和指导工作;协助上级机关及区相关职能部门查处党政机关、企事业单位网络的泄密事件;负责网络安全事件中涉及密码技术、密码产品事件的监管工作。
(2)区委宣传部:负责网络安全事件新闻发布工作。指导各街道、各部门和相关单位做好网络安全事件新闻发布工作。
(3)区委网信办:统筹协调组织全区网络安全应急处置工作,负责区网安应急办的日常工作,建立健全与市委网信办、省委网信办、中央网信办的网络安全事件应急处置工作机制。网络安全事件发生后,根据网络安全事件分级及响应需求,统筹协调有关单位配置网络安全应急资源。
(4)区工业和信息化局:指导协调工业领域的工控系统网络安全事件应急处置工作。协调基础电信运营企业为信息系统的正常运行提供基础网络保障。
(5)光明公安分局:依职责建立健全网络安全预警通报机制,协调、监督和指导开展网络安全事件的预防、监测、报告和应急处置工作,依法打击网络安全事件中的违法犯罪行为。
(6)区文化广电旅游体育局:负责广播电视网络安全事件的预防、监测、报告和应急处置工作;负责监督、检查、指导广播电视传输网络运营企业开展网络安全事件的预防和应急处置工作;配合有关部门处置网络安全事件。
(7)区应急管理局:及时掌握突发事件事态进展情况,收集、汇总、上报突发事件信息,协调各有关单位参与应急处置工作;协助区委网信办开展网络安全事件的处置工作,传达并督促有关部门(单位)落实区委、区政府、区应急委有关决定事项。
(8)区政务服务数据管理局:负责全区电子政务外网网络安全事件的预防、监测、报告和应急处置工作。统筹协调区政府门户网站,统筹指导政务服务、电子政务、政务数据管理、政务信息安全、数字政府、智慧城市等网络安全应急处置工作。
(9)社会发展研究中心:负责光明区网络安全事件中涉及国家安全事项的应急处置工作,包括:对网络、通信设备的检查、检验和窃密、泄密事件的查证、查处和防范工作;依法对破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等各种违法犯罪活动进行查处等。
2.3办事机构与职责
全区网络安全应急指挥部办公室(以下简称“区网安应急办”) 设在区委网信办。区网安应急办负责网络安全应急跨部门、跨街道协调工作和指挥部的事务性工作,组织指导区级网络安全应急技术支撑队伍做好应急处置的技术支撑工作。区委办公室、区委宣传部、区工业和信息化局、光明公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等部门负责相关工作的科级同志为联络员,联系区网安应急办工作。
2.4各部门职责
区委和区政府各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
2.5各街道职责
各街道在区委网络安全和信息化委员会统一领导下,统筹协调组织本街道网络安全事件的预防、监测、报告和应急处置工作。
3.监测与预警
3.1预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2预警监测
各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各街道结合实际,组织本街道网络安全监测工作。各街道、各部门、各单位将重要监测信息报区网安应急办,区网安应急办组织开展跨街道、跨部门的网络安全信息共享。
区工业和信息化局、光明公安分局、区政务服务数据管理局等单位根据职责,监督、指导网络与信息系统的运营使用单位开展风险评估,对重要基础网络与信息系统及其等级保护落实工作进行定期检查,及时掌握分管领域内重要基础网络与信息系统的风险现状,加强风险管理。
3.3网络安全事件信息接收方式
区网安应急办通过媒体、网络等途径,面向公众公布网络安全事件接收电话、传真、电子邮箱等信息。
3.4预警研判与发布
各街道、各部门、各单位组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位。对可能发生较大及以上网络安全事件的信息,1小时内向区网安应急办报告。
区网安应急办组织专家组进行研判,对可能达到红色、橙色、黄色和蓝色预警等级的,要及时上报市网安应急办,同时报告区委值班室、区政府总值班室。确定为红色预警的,由国家网安应急办发布;确定为橙色预警的,由省网安应急办发布;确定为黄色预警的,由市网安应急办发布;确定为蓝色预警的,由区网安应急办发布。
预警信息包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.5预警响应
3.5.1红色、橙色、黄色预警响应
区网安应急办根据国家、省、市网安应急办的决策部署和统一指挥,实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报市网安应急办。
3.5.2 蓝色预警响应
(1)区网安应急办、有关部门网络安全事件应急指挥机构启动相应应急预案,组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施,协调组织资源调度和部门联动的各项准备工作,做好风险评估、应急准备和风险控制工作,重要情况报市网安应急办。
(2)有关街道、部门网络安全事件应急指挥机构实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况及时报区网安应急办,区网安应急办密切关注事态发展,有关重大事项及时通报相关街道和部门。
(3)区级网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.6预警解除
按照“谁发布谁解除”的原则,区网安应急办根据实际情况,按程序确定解除对本区发布的.蓝色预警信息;配合国家、省、市网安应急办做好红色、橙色、黄色预警信息解除的相关工作。
4.应急处置
4.1事件报告
网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。事件报告要按照首报、续报、终报全过程报送要求,做到有头有尾。对于初判为特别重大、重大、较大、一般网络安全事件的,事发单位应立即将简要情况及联系人通过电话、传真等方式上报区网安应急办,事件详细情况应在1小时内上报。区网安应急办接到事件报告后,及时报区委值班室、区政府总值班室,并上报市网安应急办。
事件报告内容包括:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。对涉密的信息,参与涉密网络安全事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密的工作。
事件报告要符合以下要求:对重要基础网络与信息系统及在敏感期可能演化为重大和特别重大网络安全事件的信息系统的事件,事发单位应立即上报。对涉密的信息,参与涉密网络安全事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密的工作。
4.2先期处置'
发生网络安全事件后,事发单位应立即采取以下先期处置措施。
(1)紧急控制事态发展。根据本单位相关应急预案采取紧急措施,及时、最大限度控制事态发展。
(2)快速判断事件危害。根据基础网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。
(3)及时上报信息。先期处置的同时,及时向单位责任人、区网安应急办和相关应急主管部门报告。保持通信畅通联系,实时报告事件进展情况。
(4)保留相关证据。在事件处置过程中,可采取记录、截屏、备份、录像等手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录;涉及网络犯罪行为的,按照相关法律法规要求,向市公安局网警支队报案,协助进行电子数据取证,为事件调查、处理提供证据。
如先期处置措施不能有效控制事件,应进行分级响应。
4.3应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
4.3.1I级、II级、III级响应
启动I级响应。区网安应急办组织对事件信息进行研判,认为属特别重大网络安全事件的,及时向市网安应急办报告。市网安应急办对事件信息进行研判,提出启动I级响应的建议。省网安应急办对事件信息进行研判,按流程上报国家网安应急办。经国家网安应急办确认启动I级响应后,区网安应急办迅速向区委网信委报告,启动区指挥部工作。
启动II级响应。区网安应急办组织对事件信息进行研判,认为属重大网络安全事件的,及时向市网安应急办报告。市网安应急办对事件信息进行研判,及时向省网安应急办报告,提出启动II级响应的建议。经省网安应急办确认后,迅速向区委网信委报告,启动区指挥部工作。
启动III级响应。区网安应急办组织对事件信息进行研判,认为属较大网络安全事件的,及时向市网安应急办报告。市网安应急办确认启动III级响应后,迅速向区委网信委报告,启动区指挥部工作。
(1)启动指挥体系
区指挥部进入应急状态,在国家、省、市指挥部统一领导、指挥、协调下,负责统筹指挥全区应急处置工作或资源保障工作。指挥部成员保持24小时联络通畅,区网安应急办24小时值班,并派员参加国家、省、市网安应急办工作。
(2)掌握事件动态
①跟踪事态发展。区网安应急办及时将事态发展变化情况和处置进展报市网安应急办。
②检查影响范围。区网安应急办立即全面了解全区范围内的网络和信息系统是否受到事件的波及或影响,有关情况及时报市网安应急办。
③及时通报情况。区网安应急办负责汇总上述有关情况,重大事项及时报市网安应急办,并通报有街道和部门。
(3)决策部署
区网安应急办根据市网安应急办的统一部署和我区实际做好统筹应对工作。
(4)处置实施
①控制事态防止蔓延。区网安应急办组织实施,尽快控制事态; 组织、督促相关运行单位有针对性的加强防范,防止事态蔓延。
②消除隐患恢复系统。区网安应急办根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏网络和信息系统正常运行。必要时可以依法征用单位和个人的设备和资源,并按规定给予补偿。
③调查举证。事发单位在应急恢复过程中应保留相关证据。对于人为破坏活动,区委办公室、光明公安分局、社会发展研究中心按职责分工负责组织开展调查取证工作。
④信息发布。在中央宣传部(国务院政府新闻办公室)、省委宣传部的指导下,市委宣传部指导协调、区委宣传部协助开展网络安全突发事件的应急新闻发布和舆论引导工作。未经批准,其他部门和单位不得擅自发布相关信息。
⑤区域协调。有关部门根据统一要求,建立健全市际间网络安全事件应急处置联动机制,按照各自渠道,开展与有关市之间的协调。
⑥协调配合引发的其他突发事件的应急处置。对于引发或可能引发其他特别重大安全事件的,区网安应急办应及时按程序上报。在相关街道、部门应急处置中,区网安应急办做好协调配合工作。
4.3.2 IV级响应
区网安应急办组织对事件进行研判,认为属一般网络安全事件的,及时向区委网信委提出启动IV级响应的建议,经区委网信委批准后,及时发布预警信息。
(1)区指挥部进入应急状态,履行应急处置工作的统一领导、指挥、协调职责,按照相关应急预案做好应急处置工作。区网安应急办24小时值班,指挥部成员单位保持24小时联络畅通。有关街道、部门应急指挥机构进入应急状态,24小时值班,负责做好本街道、本部门应急处置工作或支援保障工作,派员参加区网安应急办工作。
(2)事件发生地辖区或部门及时将事态发展变化情况和处置进展情况,以及本区、本部门主管范围内的网络和信息系统是否受到事件的波及或影响情况报区网安应急办。区网安应急办负责汇总上述有关情况,重大事项及时报市网安应急办,并通报有关街道和部门。
(3)区网安应急办会同公安、通管等有关部门,组织有关街道、单位、专家组和应急技术支撑队伍等及时研究对策意见,对应对工作进行决策部署。
(4)有关街道和部门根据区网安应急办的部署组织、督促相关运行单位组织实施,尽快控制事态,防止事态蔓延。处置中需要区或其他有关街道、部门网络安全应急支撑队伍配合和支持的,商区网安应急办予以协调,相关网络安全应急支撑队伍根据各自职责,积极配合、提供支持。
(5)有关街道和部门根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏网络和信息系统正常运行。事发单位在应急恢复过程中应保留相关证据。对于人为破坏活动,公安、安全、保密等部门按职责分工负责组织开展调查取证工作。必要时可依法征用单位和个人的设备和资源,并按规定给予补偿。
(6)区委宣传部组织网络安全突发事件的应急新闻工作,指导协调有关街道和部门开展应急新闻发布和舆论引导工作。未经批准,其他部门和单位不得擅自发布相关信息。
(7)对于引发或者可能引发其他重大安全事件的,区网安应急办应及时按程序上报,统筹协调做好处置工作。有关街道和部门根据区网安应急办的通报,结合实际有针对性地加强防范,防止造成更大范围影响和损失。
4.4响应升级
4.4.1响应级别变更
应急响应过程中,区网安应急办、各相关部门应密切关注事件事态发展和响应工作进展情况,根据事态变化、响应效果及专家组建议,适时调整响应级别。超出自身应急处置能力的,应及时报告上一级部门,建议变更响应级别,开展相关处置工作。
4.4.2响应级别升级
(1)事件发展蔓延,事态发展得不到控制,超出了区网安应急办处置能力,需要其它部门、单位参与处置时,区网安应急办应及时报告区委网信委,由区委网信委组织、协调区其它专项应急指挥部和各部门参与处置工作。
(2)事件造成的危害程度特别严重,超出了本区处置能力,需援助和支持时,依照《深圳市网络安全事件应急预案》,区指挥部通过区委网信委及时向市网安应急办及应急相关部门报告事件情况。应急处置工作在国家、省、市网安应急办及应急相关部门或指定部门的领导下开展。
4.5应急结束
I级响应结束,由国家网安应急办及时通报省(区、市)和部门。
II级响应结束,由省网安应急办按程序上报国家网安应急办,由国家网安应急办通报省网安应急办,省网安应急办及时通报相关地区和部门。
III级响应结束,由市网安应急办提出建议,报市委网信委批准后,上报省网安应急办,省网安应急办通报市网安应急办。
IV级响应结束,由区网安应急办提出建议,报区委网信委批准后,上报市网安应急办,市网安应急办通报区网安应急办。
4.6善后与恢复
应急处置工作结束后,事发单位和其他有关应急管理工作机构要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,要按照规定给予补助或补偿。事发单位迅速组织人员制订基础网络、信息系统的重建和恢复计划,尽快恢复受损基础网络和信息系统,降低对正常工作业务的影响。
5.调查评估和事件总结
5.1调查评估
特别重大网络安全事件,由国家网安应急办组织有关部门和省(区、市)进行调查和总结评估,并按程序上报。重大网络安全事件,由省网安应急办组织有关部门和地区进行调查处理和总结评估,将总结调查报告报国家网安应急办。较大网络安全事件,由市网安应急办组织有关部门和区进行调查处理和总结评估,将总结调查报告报省网安应急办。一般网络安全事件,由区网安应急办组织调查处理和总结评估。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
事件调查处理和总结评估工作原则上应在应急响应结束后30天内完成。
5.2事件总结
网络安全事件应急任务结束后,事发单位应牵头组织专家,与区网安应急办组成事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及事件中基础网络与信息系统、网络设施损失情况,总结经验教训,不断改进网络安全事件应急管理工作。事发单位应在30个工作日内将相关报告报送给区网安应急办。
6.预防工作
6.1日常管理
各街道、各部门、各单位按职责做好网络安全事件日常预防工作,制定完善相关应急预案。做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2演练
区委网信办牵头,协调区政务服务数据管理局等有关部门,每年至少组织一次全区网络安全应急演练,模拟处置一般网络安全事件。通过演练,检验应急体系和工作机制运行情况、应急物资配备情况,及时发现问题,完善应急预案,提高应急处置能力。演练情况报区委网信委和市委网信办。
应急演练主要开展以下工作:
(1)区委网信办确定应急响应演练的目标和范围。主要开展重要信息系统的应急演练。
(2)按照全区网络安全应急演练工作要求,各街道、各部门、各单位成立应急演练小组,制订应急演练方案。
(3)区委网信办统筹调配应急演练所需的各项资源,组织有关部门和单位进行应急演练。评估演练情况,总结经验,通报应急演练结果。针对演练中暴露的问题,分析应急预案的科学性和合理性并加以修订完善。
各街道、各部门、各单位每年至少组织或参与一次网络安全应急演练或学习培训,相关情况报区委网信办。
6.3宣传
各街道、各部门、各单位要充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
6.4培训
各街道、各部门、各单位要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识和技能。
区政务服务数据管理局组织全区党政机关开展网络安全应急管理、应急处置等培训,提高各街道各单位信息化管理人员、应急处置人员防范意识及技能。
6.5重要敏感时期的预防措施
在国家、省、市、区重要活动和会议等重要敏感时期,各街道、各部门、各单位要加强网络安全事件的防范和应急响应,确保网络安全。区网安应急办统筹协调网络安全保障工作,根据需要启动预警响应。各街道、部门加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。
7.保障措施
7.1机构和人员
各街道、各部门、各单位要落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。
7.2技术支撑队伍
光明区网络安全应急处置专业技术队伍由常设专业技术队伍和非常设专业技术队伍共同组成。
光明区网络安全事件应急处置常设专业技术队伍由区委网信办、光明公安分局、区工业和信息化局、区政务服务数据局的网络安全工作专班,深圳市信息安全测评中心(市网络与信息安全应急处置协调中心)、深圳市大数据资源管理中心,广东移动通信集团深圳光明分公司、广东电信集团深圳光明分公司、广东联合网络通信集团有限公司深圳光明分公司组成。
区网安应急办根据相关单位的网络安全事件应急处置工作能力和相关国家资质条件等,授权相关单位成立专业技术队伍,作为光明区非常设专业技术队伍。区网安应急办根据非常设专业技术队伍应急工作的开展情况,每年进行一次评估,适时调整。各街道、各部门、各单位应配备必要网络安全专业技术人才,根据实际情况加强与网络安全相关技术单位沟通、合作,建立必要的网络安全信息共享机制。.
专业技术队伍主要职责:发生突发事件时,按照区网安应急办的指令,开展应急救援;根据事发单位应急支援要求,提供应急救援服务;负责应急物资的储备、相关软件的日常管理和维护等工作。
7.3专家队伍
成立区网络安全应急专家组,建立网络安全事件应急处置咨询机制。专家组成员从中共深圳市光明区委网络安全和信息化委员会专家咨询委员会中选取。
专家组主要职责:对预防发生网络安全事件和相关应急处置工作提供咨询与研判建议;对与预案相关的规章制度的制定和项目建设提供参考意见;对应急工作中存在的问题和不足提出改进建议;参与相关应急培训和教材编审工作。
各街道、各部门、各单位应充分利用各自的专家队伍力量,配合建立网络安全事件应急处置咨询机制,为网络安全事件的预防和处置提供技术咨询和决策建议。
7.4社会资源
从教育科研机构、企事业单位、协会中选拔网络安全人才,汇集技术与数据资源,建立网络安全事件应急服务体系,提高应对特别重大、重大、较大网络安全事件的能力。
7.5技术支撑体系
(1)建设态势感知和应急指挥平台。区网安应急办整合全区网络安全监测预警资源,统筹建设区级网络安全态势感知和应急管理平台以及相应的运营机制。建立覆盖全区的网络安全事件应急响应闭环体系,实现监测预警信息的接收、研判、推送和应急联动响应,实现网络安全事件处理过程的信息快速获取传递、会商研判、科学决策、统一指挥、联动响应、统计分析,做到早发现、早预警、早响应、早处置,提高光明区网络安全事件应急处置能力。区政务服务数据管理局、光明公安分局等单位以及各行业主管部门分别负责主管监管领域内网络安全监测预警系统建设与管理工作,对各街道各有关单位进行监督、检查、指导。各街道、各部门、各单位按照区级技术规范要求配合完善建设监测预警系统,充分利用区级网络安全态势感知和应急管理平台,按照“谁主管谁负责、谁运行谁负责”的要求开展网络安全监测工作。
(2)充分利用市级容灾备份中心作用。利用统一建设的市级容灾备份中心作用,为全区党政机关和各街道重要政务信息系统提供不同等级的容灾备份服务,提升光明区重要政务信息系统数据安全和抵抗灾难打击的能力。
(3)开展基础网络与信息系统普查。根据应急工作需要,定期开展全区党政机关、重要领域、重点行业基础网络与信息系统普查工作,根据等级保护和关键信息基础设施保护要求,确定重点保障对象和关键信息基础设施,建立全区基础网络与信息系统资源目录、关键信息基础设施目录和数据库。各基础网络与信息系统、关键信息基础设施的运营、使用单位应根据本预案,结合网络安全等级保护和关键信息基础设施保护要求,制定、完善本单位应急处置预案。
(4)开展网络安全技术研究。光明区信息化、科技、等级保护、保密、密码管理等有关部门应组织开展网络安全防护相关关键技术的研究工作,研究、制定相关基础网络与信息系统的应急处置事件库、应急处置方案库;加强政策引导,支持网络安全监测预警、预防防护、处置救援、应急服务等方向,提升网络安全应急产业整体水平与核心竞争力,增强防范和处置网络安全事件的产业支撑能力,为全区网络安全应急管理提供技术保障。
7.6情报力量
光明公安分局、社会发展研究中心、区政务服务数据管理局、区工业和信息化局等部门加强网络安全有关情报搜集能力建设,完善情报共享机制,为网络安全应急工作提供情报支撑。
7.7技术研发和产业促进
有关部门加强网络安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向,提升网络安全应急产业整体水平与核心竞争力,增强防范和处置网络安全事件的产业支撑能力。
7.8合作机制建设
区网安应急办加强光明区网络安全应急合作机制建设,建立与市应急相关单位以及专业机构的合作渠道,实现信息共享和应急联动。
7.9物资保障
各街道、各部门、各单位在建设信息系统时应适当配备网络安全应急装备、工具,及时调整、升级软件硬件工具,不断增强应急技术支撑能力,必要时由区指挥部统一调用。
专业技术队伍须储备相应的应急基础设备、软件。
7.10经费保障
财政部门为网络安全应急工作提供必要的经费保障。各街道、各部门、各单位利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、情报力量建设、技术研发、预案演练、物资保障等工作开展。
按照现行区街体制事权、财权划分原则,处置电子政务网络安全事件所需要的经费实行区街财政分级负担。各单位网络安全事件应急管理工作经费应纳入年度部门预算。各应急保障资金使用单位要按照国家相关规定,严格规范应急保障资金的使用,并接受有关部门的监督。
7.11其他保障措施
(1)通信与信息保障。区工业和信息化局负责建立健全应急通信保障工作体系,完善备份系统和紧急保障措施。及时根据通信网络破坏状况,采取启用应急通信保障系统等应急保障措施,确保通信畅通。
(2)交通运输保障。各街道、各部门、各单位应配备网络安全事件应急交通工具,满足应急期间人员、物资、信息传输的需要,必要时由区网安应急办统一调配。
(3)技术资料保障。各街道、各部门、各单位应将应急技术资料纳入应急工作范围。应急技术资料包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。应根据需要对信息系统进行风险评估,开展等级保护和关键信息基础设施保护工作,随时掌握信息系统安全状况和存在的风险。
(4)治安保障。本预案启动后,当网络安全事件造成或可能造成严重社会治安问题时,公安机关应立即启动治安保障方案和有关预案。
7.12责任与奖惩
网络安全事件应急处置工作实行责任追究制。
区委网信办及有关街道和部门按照国家、省、市、区相关规定,对网络安全事件应急管理工作中表现突出的单位和个人给予表扬。
区委网信办及有关街道、部门和单位对不按规定制定预案和组织或参与演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;涉嫌犯罪的,依法移送司法机关处理。
8.附则
8.1预案管理
本预案指导全区网络安全事件应急处置工作,原则上每年评估一次,根据实际情况适时修订,修订工作由区委网信办负责。
各街道、各部门、各单位要根据本预案制定完善本街道、本部门、本行业或重要领域的网络安全事件应急预案和专项应急预案,各预案要做好与本预案的衔接,并报区委网信办备案。
其中,区发展改革局负责石油石化行业;区教育局负责教育行业;区工业和信息化局负责通讯行业,指导协调工业领域工控系统相关应急预案;区住房建设局负责燃气行业;区交通运输局负责交通领域内交通运输(公路、航运、轨道交通)行业;区水务局负责供、排水行业;区文化广电旅游体育局负责广播电视行业;区卫生健康局负责医疗卫生行业。
8.2预案发布及解释
本预案由区委网信办发布、解释。
8.3预案修订
有下列情形之一的,应当及时修订应急预案:
(1)有关法律、行政法规、规章、标准、上位预案中的有关规定发生变化的;
(2)应急指挥机构及其职责发生重大调整的;
(3)面临的风险发生重大变化的;
(4)重要应急资源发生重大变化的;
(5)预案中的其他重要信息发生变化的;
(6)在突发事件实际应对和应急演练中发现问题需要作出重大调整的;
(7)相关单位名称或职能发生变化的;
(8)应急预案制定单位认为应当修订的其他情况。
网络安全事件应急响应预案(精选篇5)
一、总则
(一)编制目的
提高处置突发事件的能力,促进互联网应急通信、指挥、调度、处理工作迅速、高效、有序地进行,满足突发情况下互联网通信保障应急和通信恢复工作的需要,维护企业利益,为保障生产的顺利进行创造安全稳定可靠的网络环境。
(二)编制依据
《中华人民共和国电信条例》、《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《非经营型互联网信息服务备案管理办法》、《互联网IP地址资源备案管理办法》和《中国互联网域名管理办法》等有关法规和规章制度。
二、组织指挥体系及职责
设立信息网络安全事故应急指挥小组,负责信息网络安全事故的组织指挥和应急处置工作。总指挥由主要领导担任,副总指挥由分管领导担任,指挥部成员由信息中心运行。
三、预测、预警机制及先期处置
(一)危险源分析及预警级别划分
1.1危险源分析
根据网络与信息安全突发公共事件的发生过程、性质和机理,网络与信息安全突发公共事件主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统的损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统的损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,网络精英攻击、病毒攻击、恐怖袭击等引起的网络与信息系统的损坏。
2.2预警级别划分
1、预警级别划分
根据预测分析结果,预警划分为四个等级:Ⅰ级(特别严重)、Ⅱ级(严重)、Ⅲ级(较重)、Ⅳ级(一般)。
Ⅰ级(特别严重):因特别重大突发公共事件引发的.,有可能造成整个学校互联网通信故障或大面积骨干网中断、通信枢纽设备遭到破坏或意外损坏等情况,及需要通信保障应急准备的重大情况;通信网络故障可能升级为造成整个学校互联网通信故障或大面积骨干网中断的情况。计算机房发现火情或其他重大自然灾害或存在重大自然灾害隐患的。
Ⅱ级(严重):因重大突发公共事件引发的,有可能造成学校网络通信中断,及需要通信保障应急准备的情况。
Ⅳ级(一般):因一般突发公共事件引发的,有可能造成局域网内某个交换点所属局部网通信故障(不影响正常一般通信)的情况。
(二)预防机制
信息网络安全事故应急指挥小组应加强对各级通信保障机构及全网通信网络安全防护工作和应急处置工作的监督检查,保障通信网络的安全畅通。
(三)预警监测
各重要信息系统重要负责人和主管科室要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。要落实责任,制定信息通报工作制度。按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发网络与信息安全突发公共事件的有关信息的收集、分析判断和持续监测。
(四)先期处置
当发生网络与信息安全突发公共事件时,发现事故的人员在按规定向相关系统管理员报告的同时,及时向信息网络安全事故应急指挥小组相关领导报告。负责人员在接手事故报告后要向信息网络安全事故应急指挥小组进行应急工作进程报告和事故分析报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
四、应急响应
(一)应急处置分级和应急处置程序
突发事件发生时应急通信保障工作和通信恢复工作,按照快速、机动、灵活的原则,根据响应的预警级别分别进行处置。
Ⅰ级:突发事件造成全学校通信故障或大面积骨干网中断、通信枢纽设备遭到破坏等情况,及接到学校下达的通信保障任务,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是核心设备故障要及时切换到备用核心设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。面对网络精英攻击或恶意破坏等人为造成的网络故障,要及时通知公安机关,同时采取紧急行动如切断数据源等将损失控制在最小范围。对于发现的重大自然灾害隐患,要及时汇报信息网络安全事故应急指挥小组并迅速通知消防局等相关部门,准备好临时处理灾情需要用到的工具。火灾属于常见灾情,发现火情后按如下步骤处置:
(1)发现火情要立即切断电源,值班员及时应用消防器材进行处理。
(2)立即上报领导做好事故处理记录。
(3)如切断电源并使用机房消防器灭火都不能控制火情,要及时报警(报警电话:119),报警时要准确说清火灾的地点和火灾状况,并留下联系电话。
(4)出现危急情况要利用各种手段及时逃生。
Ⅱ级:突发事件造成本学校多个下属分公司网络通信中断或接到学校有关部门下达的通信保障任务时,由信息网络安全事故应急指挥小组负责组织和协调。负责人员要迅速准确的定位故障源,如果是关键部位网络设备故障要及时切换到备用设备上并测试调通;如果是骨干网物理链路故障要第一时间通知相关部门(通信公司)进行抢修并切换到备用线路上测试调通。如果是业务系统发生故障按如下办法处置:
二、趋势防病毒服务器:
1、当趋势防病毒服务器出现以下情况时,值班员应负责重启趋势防病毒服务器
(1)双击IE安装页面,出现“该页无法显示”时。
(2)大量用户申告客户端无法连接服务器。
2、重启服务器后系统仍然不能正常应用,则立即通知系统管理员,并及时做好故障现象及处理过程记录。
3、当系统管理员经过一小时处理仍未排除故障时,应通知科长协调处理。
(二)应急保障任务结束
事故现场得以控制,网络环境符合有关标准,导致次生、衍生事故隐患消除后可确认网络通信保障和通信恢复应急工作任务完成。由信息网络安全事故应急指挥小组下达解除任务通知书,现场应急指挥机构收到通知书后,任务正式结束。
(三)调查、处理、后果评估与监督检查
信息网络安全事故应急指挥小组负责对重大通信事故原因进行调查、分析和处理,对事故后果进行评估,并对事故责任处理情况进行监督检查。
(四)信息发布
信息网络安全事故应急指挥小组负责有关信息的发布工作。
(五)通讯
在突发事件的应急响应过程中,要确保应急处置系统内部机构之间的通信畅通。通信联络方式主要采用固定电话、移动电话、卫星电话。
五、后期处置
(一)情况汇报和经验总结
在突发事件应急响应过程中,信息网络安全事故应急指挥小组应做好突发事件中网络设施损失情况的统计、汇总、原因分析、应急处置情况总结等,并按程序上报。如有需要维护修理的设备要及时处理。
(二)奖惩评定及表彰
为提高通信保障应急工作的效率和积极性,对于在应对突发事件过程中表现突出的单位和个人应给予通报表扬;对保障不力,给企业造成损失的单位和个人按有关规定进行处理。
六、保障措施
(一)物资保障
信息网络安全事故应急指挥小组应建立必要的通信保障应急资源的保障机制,根据通信保障应急工作要求,配备必要的通信保障应急装备,加强对应急资源及装备的管理、维护和保养,以备随时紧急调用。
(二)人员保障
通信保障应急队伍主要由信息中心相关人员组成。信息网络安全事故应急指挥小组人员要不断提高自身专业水平并听从组长的指挥。
(三)宣传、培训和演习
信息网络安全事故应急指挥小组应加强对通信网络安全和通信保障应急的宣传教育工作,定期或不定期地对信息网络安全事故应急指挥小组主要技术人员进行技术培训和应急演练,保障应急预案的有效实施,不断提高通信保障应急的能力。
(五)通信保障应急工作监督检查制度
信息网络安全事故应急指挥小组应加强对通信保障应急工作的监督和检查,做到居安思危、常备不懈。
3、经费保障
由信息网络安全事故应急指挥小组根据通信应急保障需要,提出项目支出预算申请,报学校批准后执行。
网络安全事件应急响应预案(精选篇6)
(一)网站、网页出现非法言论时的应急预案
1、网站、网页由办公室负责随时监控信息内容。
2、局各单位人员发现在网上出现非法信息时,立即向办公室反映情况;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3、办公室应在接到通知后10分钟内派出技术人员赶到现场,作好记录,清理非法信息,强化安全防范措施,并将网站网页重新投入使用。
4、妥善保存有关记录、日志或审计记录,将有关情况向安全领导小组汇报,并及时追查非法信息来源。
5、事态严重的,立即向信息安全领导小组组长报告,并根据指示向上级或公安部门报警。
(二)黑客攻击网站服务器或网站软件系统遭破坏性攻击时的应急预案
1、网页源代码及网站上重要的软件系统平时必须存有备份,网站数据库及与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2、当发现网页内容被篡改,或通过入侵监测系统发现有__客正在进行攻击时,应立即向办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
3、公室负责人员应在10分钟内赶到现场,首先将被攻击(或病毒感染)的网站服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组通报情况。
4、办公室负责网站恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。主机受到病毒感染时,还应立即告知办公室帮助做好清查补救工作。
5、事态严重的,立即向信息安全领导小组组长报告,并根据指示向上级或公安部门报警。
网络安全事件应急响应预案(精选篇7)
1、总则
1.1目标
为提高龙岗区平湖街道办事处处置网络与信息安全突发事件能力,形成科学、有效、反应迅速的应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络与信息安全突发事件造成的损失,保障信息系统及办公网络长期安全稳定运行,为人民群众提供良好的信息服务。
1.2编制依据
依据《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《广东省网络与信息安全事件应急预案》、《深圳市网络与信息安全突发事件应急预案》、《龙岗区网络与信息安全突发事件应急预案》等有关法律、法规和规章,制定本预案。
1.3工作原则
按照统一指挥、分级负责的原则,遵循“谁主管谁负责、谁运行谁负责”的处理方式,充分调动党政机关、社会各方面的资源,共同做好本街道网络与信息安全突发事件的预防和处置工作。
1.4适用范围
本预案适用于龙岗区平湖街道办事处建设、运维、使用和管理的计算机专网、门户网站、公共应用系统、数据机房等发生的突发事件。
1.5事件分类分级
1.5.1事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其它信息安全事件等7个类别。
一、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
二、网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
三、信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
四、信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
五、设备设施故障分为软硬件故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
六、灾害性事件是指由自然灾害等其他突发事件引发的网络与信息安全事件。
七、其它信息安全事件:不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。
1.5.2事件分级
网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
一、符合下列情形之一的,为特别重大网络与信息安全事件(I级):
(一)信息系统中断运行2小时以上、影响人数100万人以上。
(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会和谐构成特别严重威胁,或导致10亿人民币以上的经济损失。
(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
(四)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
二、符合下列情形之一且未达到特别重大网络与信息安全事件(Ⅰ级)的,为重大网络与信息安全事件(Ⅱ级):
(一)信息系统中断运行30分钟以上、影响人数10万人以上。
(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会和谐构成严重威胁,或导致1亿人民币以上的经济损失。
(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
(四)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
三、符合下列情形之一且未达到重大网络与信息安全事件(Ⅱ级)的,为较大网络与信息安全事件(Ⅲ级):
(一)信息系统中断运行造成较严重影响的。
(二)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
(三)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
(四)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。
四、一般网络信息安全事件(Ⅳ级)
除上述情形外其他信息安全事件,为一般网络信息安全事件。
2、组织机构与职责
2.1指挥机构与职责
本街道成立网络与信息安全突发事件专项应急指挥部(以下简称网络应急指挥部),负责本街道网络与信息安全突发事件日常监测和发生突发事件时的应对指挥工作。
网络应急指挥部是本街道网络与信息安全突发事件的指挥机构,由总指挥、副总指挥、现场指挥官、现场副指挥官和成员单位主管信息化领导组成。
2.1.1总指挥
总指挥负责网络与信息安全突发事件专项应急指挥部的领导工作,对本街道网络与信息安全应急工作实施统一指挥。
2.1.2副总指挥
副总指挥负责协助总指挥做好网络与信息安全突发事件专项应急指挥部各项工作,协调各部门、各单位实施应急工作,或受总指挥委托,指挥应急处置工作。原则上同时兼任现场指挥官。
2.1.3现场指挥部
发生网络与信息安全突发事件时,网络应急指挥部根据事件严重程度、应急处置工作涉及的区域范围,经专家组研判为Ⅳ级网络与信息安全突发事件时,组建现场指挥部。负责网络与信息安全突发事件处置的具体指挥和协调工作。
2.1.4现场指挥官
现场指挥官由街道党工委副书记邵凯洋同志兼任,履行现场决策、指挥、调度职责,协助总指挥在网络与信息安全突发事件现场指挥网络应急指挥部、专家组、应急专业技术队伍和各部门、各单位应急处置工作组处置网络与信息安全突发事件。
2.1.5现场副指挥官
现场副指挥官由街道办党工委<办事处>办公室主任兼任。负责协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。
2.1.6指挥机构与主要职责
一、贯彻落实《中华人民共和国突发事件应对法》、《广东省网络与信息安全突发事件应急预案》、《深圳市突发事件总体应急预案》、《深圳市网络与信息安全突发事件应急预案》、《龙岗区网络与信息安全突发事件应急预案》等相关法律和文件。
二、研究制定本街道网络与信息安全突发事件应急工作的政策措施。
三、负责按照国家、广东省、深圳市、龙岗区应急相关部门的部署,负责建立龙岗区平湖街道办事处网络与信息安全突发事件应急工作体系,负责本街道的公共服务基础网络和信息系统安全突发事件的应急处置工作;未达Ⅳ级(一般级)网络与信息安全突发事件时,指挥、协调各科室应急处置工作;发生Ⅰ级(特别重大)、Ⅱ级(重大级)、Ⅲ级(较大级)、Ⅳ级(一般级)网络与信息安全突发事件时,配合国家、省、市、区相关部门做好网络与信息安全突发事件的应急处置工作。
四、分析总结本街道网络与信息安全突发事件应急工作,制定工作规划和年度工作计划。
五、按照国家、广东省、深圳市和龙岗区应急相关部门的要求,发布相关预警、预测信息。
六、负责本街道网络与信息安全突发事件应急处置情况对外新闻发布工作。
七、承办市委、市政府、市、龙岗区等上级应急相关部门和龙岗区大数据管理局交办的其它工作。
2.2成员单位及其职责
党工委<办事处>办公室是全街道网络与信息安全突发事件应急处置工作的主管部门,职责如下:
一、负责监督、检查、指导全街道电子政务网络与信息安全突发事件的预防和应对工作。
二、负责本街道网络与信息安全突发事件的预防、监测、报告和应急处置工作。
三、负责指挥全街道互联网信息内容安全和突发事件应急处置工作,配合各科室做好新闻发布工作。
2.3办事机构与职责
2.3.1办事机构
网络应急指挥部办公室为本街道网络应急指挥部常设办事机构。办公室主任由党工委<办事处>办公室主任兼任。
网络应急指挥部办公室设联络员一名,由党工委<办事处>办公室工作人员担任。
网络应急指挥部办公室设在本街道党工委<办事处>办公室,工作人员由党工委<办事处>办公室工作人员组成。
网络应急指挥部办公室由专家组和应急处置专业技术队伍构成。
2.3.2办事机构主要职责
网络应急指挥部办公室负责规划、组织、协调、检查本街道网络与信息安全突发事件的预防和应急工作,主要职责是:
一、组织落实网络应急指挥部的决定,协调和调度本街道各部门、应对网络与信息安全突发事件组织实施应急响应相关工作。
二、组织开展龙岗区平湖街道办事处专家组和应急专业技术队伍的建设和管理,以及应急物资的储备保障等工作。
三、负责值班室建设工作,承担网络与信息安全应急值班值守工作。
四、收集、分析工作信息,及时向指挥部上报重要信息。
五、负责龙岗区平湖街道办事处网络与信息安全风险评估、隐患排查等工作。
六、组织制定(修订)与网络应急指挥部职能相关的专项应急预案。
七、负责组织协调龙岗区平湖街道办事处网络与信息安全突发事件应急演练工作。
八、负责龙岗区平湖街道办事处网络与信息安全的宣传和培训工作。
九、负责网络应急指挥部相关技术系统的建设和管理工作。
十、负责网络应急指挥部相关技术系统的建设和管理工作。
十一、承担网络应急指挥部的其他日常工作。
2.3.3专家组
聘请任子行网络技术股份有限公司的安全专家,成立龙岗区平湖街道办事处网络与信息安全专家组,建立网络与信息安全突发事件应急处置咨询机制。
专家组主要职责:
一、对预防发生网络与信息安全突发事件和相关应急处置工作提供咨询与建议;
二、在制定龙岗区平湖街道办事处网络与信息安全应急相关规定、预案、制度和项目建设的过程中提供参考意见;
三、对龙岗区平湖街道办事处网络与信息安全应急工作中存在的问题与不足提出改进建议;
四、对龙岗区平湖街道办事处网络与信息安全事件潜在风险、处置措施、恢复方案等进行研究、评估,并提出相关建议;
五、参与龙岗区平湖街道办事处网络与信息安全事件应急培训和教材编审等工作。
2.3.4应急处置专业技术队伍
网络应急指挥部办公室组织成立一支龙岗区平湖街道办事处网络与信息安全突发事件应急处置专业技术队伍,作为本街道网络与信息安全突发事件应急处置常设专业技术队伍。
应急处置专业技术队伍主要职责:
一、按照网络应急指挥部办公室的指令,开展应急救援;
二、负责各应急处置专业技术队伍本身设备、器材及相关软件的日常管理和维护工作;
三、负责联系和组织网络与信息安全社会应急力量;
四、承办龙岗区应急相关部门交办的其他事项。
2.3.5单位职责
发生网络与信息安全事件(含Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级)时,龙岗区平湖街道办事处是网络与信息安全事件责任单位。
单位主要承担以下责任:
一、接收到预警信息后,根据预警信息并结合事件实际情况,立即组织本单位应急处置专业技术队伍进行检查和评估,依照本预案确认是否为网络与信息安全突发事件。
二、网络与信息安全突发事件发生后,组织本单位应急处置专业技术队伍采取各种技术措施进行先期处置,及时控制事态发展,最大限度地防止事件蔓延。
三、按照本预案要求在进行先期处置的同时,及时向龙岗区大数据管理局报告事件信息,再由龙岗区大数据管理局按照事件级别根据相关流程上报。
四、在先期处置过程中应尽量保留相关证据,采取手工记录、截屏、文件备份和影像设备记录等多种手段,对事件发生、发展、处置的过程、步骤、结果进行详细记录,尽可能保存原始证据,为事件处置、调查、处理提供客观证据。
五、上报突发事件信息后,与网络应急指挥部办公室保持通信畅通,实时报告事件的最新进展情况。
六、应急任务结束后,应做好网络与信息安全突发事件中基础网络、信息系统、网络设施损失情况的统计、汇总,及任务完成情况的总结汇报。
七、结合本应急预案组织编制和制定本单位维护和管理的重要信息系统的网络与信息安全突发事件专项预案。
3、监测与预警
龙岗区平湖街道办事处网络与信息安全主管部门及各科室应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全预防和预警监测机制。
3.1监测
龙岗区平湖街道办事处网络与信息安全主管部门以及各相关科室要建立相应的应急预警监测机制,加强应急网络与信息安全预警信息的监测收集工作。重点做好基础网络和信息系统风险漏洞隐患排查、监测预警、信息安全事件报送、信息通报等工作。
3.1.1风险漏洞监测
网络应急指挥部办公室根据职责进行监督、指导网络与信息系统运营、使用单位开展风险评估,定期开展基础网络与信息系统检查,了解掌握分管领域内基础网络与信息系统的风险现状,根据需要建立风险源管理系统,加强风险管理,提高基础网络与信息系统抗风险能力。
3.1.2预警
按照国家、广东省、深圳市、龙岗区相关技术规范要求,网络应急指挥部办公室对网络与信息系统的安全事件进行监测预警,组织专家组对预警信息进行研判,对可能发生的网络与信息安全事件,及时处理。
3.1.3信息接收方式
网络应急指挥部办公室通过媒体、网络、接报电话、传真、电子邮箱等方式,接收事发单位网络与信息安全事件信息。
3.2预防
龙岗区平湖街道办事处网络与信息安全主管部门要加强对各部门的网络与信息安全防护工作和应急处置准备工作的监督检查。制定并不断完善各自的网络与信息安全应急预案和组建应急处置专业技术队伍。
3.3预警
获得预警信息后,网络应急指挥部办公室应立即召开会议,组织专家组对预警信息进行研判,部署应急网络与信息安全的应对措施,对可能发生的网络与信息安全突发事件,及时向龙岗区大数据管理局上报。
各单位通过监测获得内部预警信息后,应对预警信息加以分析,按照早发现、早报告、早处置的原则,对可能演变为严重事故的情况,及时报告龙岗区大数据管理局。
预警信息包括网络与信息安全事件的类别、起始时间、可能影响范围、警示事项、预防措施、发布范围、发布机关和咨询电话等。
4、应急响应
4.1先期处置
发生网络与信息安全突发事件后,事发单位必须及时实施处置,控制事态进一步发展,并根据本预案相关流程报送信息。
(1)控制事态发展,防止破坏蔓延。根据本单位制定的应急预案,采取紧急措施,及时控制事态发展,最大限度防止事件蔓延。
(2)快速判断事件性质及危害程度。单位尽快分析事发原因,根据网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。
(3)及时上报信息。网络与信息安全突发事件专项应急指挥部在开展先期处置的同时要按照本预案要求,及时向龙岗区大数据管理局及龙岗区应急相关部门报告事件信息。
(4)做好事件发生、发展、处置的记录和证据留存。事发单位在先期处理过程中应保留相关证据,可采取记录、截屏、备份、录像等多种手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录,尽可能保存原始证据,为事件处置、调查、处理提供客观证据。
(5)保持通信畅通。网络与信息安全突发事件专项应急指挥部上报突发事件信息后,与龙岗区大数据管理局保持通信畅通,实时报告事件的最新进展情况。
4.2信息报告
根据职责分工,及时收集、分析、汇总本单位(部门)基础网络与信息安全运行情况信息,安全风险及事件信息,及时报告龙岗区大数据管理局。
网络应急指挥部办公室根据《广东省网络与信息安全事件应急预案》、《深圳市网络与信息安全突发事件应急预案》、《龙岗区网络与信息安全突发事件应急预案》的信息报告和共享流程报送信息。
(1)信息报告内容:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
(2)对暂时无法判明破坏等级的事件,应立即将简要情况及联系人通过电话、传真等方式上报龙岗区大数据管理局,事件详细情况应在45分钟内上报。
Ⅳ级(一般)网络与信息安全突发事件发生时,网络应急指挥部办公室立即将事件有关情况报龙岗区大数据管理局。
(3)对重要基础网络、三级(含)以上信息系统、涉密基础网络及在敏感期可能演化为Ⅲ级(较大)、Ⅱ级(重大)和Ⅰ级(特别重大)网络与信息安全突发事件的信息,应立即上报,不受时间限制。
(4)对涉密的信息,参与涉密突发事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密的工作。
(5)常态形势下,网络应急指挥部办公室要及时收集各单位(部门)信息系统安全运行情况信息,安全风险及事件信息,形成信息报告报龙岗区大数据管理局。信息报告须每周报送一次,报送时间为每周五下午5点之前。
4.3分级响应
根据网络与信息安全突发事件的分类分级状况,网络与信息安全突发事件响应等级分为Ⅳ级、Ⅲ级、Ⅱ级和Ⅰ级。发生网络与信息安全突发事件后,按下列规定进行分级响应。
4.3.1Ⅳ级响应
Ⅳ级安全事件进行先期处置,同时将突发事件信息、处置进展情况报龙岗区大数据管理局。Ⅳ级响应由龙岗区大数据管理局启动,并负责指挥开展应急处置工作。
一、启动指挥体系
(一)进入应急状态。网络应急指挥部进入应急状态,指挥部成员保持24小时联络畅通,应急指挥部组长实施24小时值班指挥。
(二)成立现场指挥部,组织协调、指挥应急队伍进行处置工作。
(三)提出处置方案。龙岗区大数据管理局组织专家组专家、应急专业技术人员研究对策,提出处置方案建议,为网络应急指挥部决策提供支撑。
二、掌握事件动态
(一)跟踪事态发展。现场指挥部及时将事态发展变化情况和处置进展情况上报龙岗区大数据管理局。
(二)检查影响范围。网络应急指挥部办公室组织对本单位基础网络与信息系统受到事件波及和影响情况进行核查,事件影响单位及时向龙岗区大数据管理局报送网络和信息系统运行状况信息。
(三)及时通报情况。网络应急指挥部办公室及时将所接收的信息通报本单位各部门及下属单位。
三、处置实施。
(一)控制事态防止蔓延。现场指挥部根据网络应急指挥部的部署,组织事发单位和应急队伍,采取各种技术措施、管控手段,最大限度地阻止和控制事态发展;使网络应急指挥部办公室全面启动预警机制,及时督促、指导网络和信息系统管理部门有针对性地加强防范,阻止进一步蔓延。对于信息内容安全事件及时采取必要的管控措施,防止有害信息传播扩散。
(二)做好处置消除隐患。现场指挥部组织专家、应急队伍、事发单位尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络和信息系统要及时组织恢复。
(三)及时开展调查取证。网络应急指挥部办公室组织有关成员单位开展事件调查和责任评估工作。及时将事件调查和责任评估结果向龙岗区大数据管理局报告。
(四)信息发布。网络应急指挥部办公室根据事件应急的实际情况,形成工作简报,报龙岗区大数据管理局。
(五)请求支援。在网络应急指挥部对事件无法处置时,及时向龙岗区大数据管理局请求应急支援。
需向社会发布的信息和新闻稿,经网络应急指挥部审批后,报办公室,由办公室进行发布。未经批准,其他部门不得发布相关信息。
4.3.2Ⅲ级、Ⅱ级和Ⅰ级响应
Ⅲ级、Ⅱ级和Ⅰ级突发事件分别由市网安应急办、省应急相关部门和国家应急相关部门启动,统一指挥、协调、组织应急处置工作。
按照本单位相关应急预案进行先期处置,同时立即龙岗区大数据管理局报告。经龙岗区大数据管理局会同专家组初步研判为Ⅲ级、Ⅱ级和Ⅰ级突发事件,上报市网安应急办,由市应急相关部门根据《深圳市网络与信息安全突发事件应急预案》的要求,统一组织、指挥开展应急处置工作。
网络应急指挥部进入应急状态,指挥部成员保持24小时通信联络,指挥部领导实施24小时值班,各单位保持24小时通信联络。
4.4响应升级
4.4.1响应级别变更
应急响应过程中,网络应急指挥部办公室、各部门应密切关注突发事件事态发展和响应工作进展情况,根据事态变化和响应效果及专家组建议,适时调整响应级别。由于在事件处置过程中,采取措施适当,应急响应及时,对事件发展状况有效控制,并根据专家组建议,报龙岗区大数据管理局审核后,建议变更响应级别,开展相关处置工作。
4.4.2响应级别升级
一、突发事件发展蔓延,事态发展得不到控制,根据事态变化和响应效果及专家组建议,超出了网络应急指挥部应急处置能力的,应及时报告龙岗区大数据管理局,建议变更响应级别,开展相关处置工作。
二、突发事件造成的危害程度特别严重,超出本街道应急处置能力时,需要龙岗区大数据管理局提供援助和支持时,依照《深圳市网络与信息安全突发事件应急预案》、《龙岗区网络与信息安全突发事件应急预案》有关规定,网络应急指挥部办公室及时向龙岗区大数据管理局报告事件情况。在龙岗区大数据管理局领导下,开展突发事件应急处置工作。
4.5应急结束
网络与信息安全突发事件处置已基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制后,终止应急处置工作。
(1)Ⅳ级响应结束由龙岗区大数据管理局提请,报市网络应急指挥部办公室批准,同时由市网络应急指挥部办公室报告市委值班室、市政府总值班室、市网络应急指挥部。
(2)Ⅲ级响应结束由市网络应急指挥部办公室提请,报市网络应急指挥部批准,同时报告市委值班室、市政府总值班室。
(3)Ⅱ级响应结束由市网络应急指挥部向市政府提请,市政府报广东省应急相关部门批准。市网络应急指挥部办公室报告市委值班室、市政府总值班室。
(4)Ⅰ级响应结束由市网络应急指挥部向市政府提请,市政府报国家应急相关部门批准,并报省应急相关部门。市网络应急指挥部办公室报告市委值班室、市政府总值班室。
4.6信息发布
网络应急指挥部办公室根据事件应急处置情况,形成工作简报,报龙岗区大数据管理局。
5、后期处置
5.1情况汇报和经验总结
网络与信息安全突发事件应急任务结束后,做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报,不断改进网络与信息安全突发事件应急管理工作。
由网络应急指挥部办公室会同专家组、事发单位组成事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及财产损失状况等,总结经验教训,并负责起草相关报告,在10个工作日内报龙岗区大数据管理局。
5.2善后处置
应急处置工作结束后,单位和其他有关应急管理工作机构要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,要按照规定给予补助或补偿。
5.3恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由单位负责组织制定恢复、整改或重建方案,报龙岗区大数据管理局。
5.4表彰与处罚
网络应急指挥部对在网络与信息安全突发事件应急工作中表现突出的单位和个人给予表彰;对保障不力,瞒报、漏报突发事件,给国家和社会造成严重损失的单位和个人依照有关法律法规进行惩处。
6、应急保障
6.1应急专业技术队伍保障
网络应急指挥部按照“政府主导、社会参与”的原则,组建网络与信息安全突发事件应急专业技术队伍,培养骨干技术人才。
各部门、各单位应当根据实际情况,配备相应的应急力量或引进专业化、社会化网络与信息安全应急专业技术队伍。
6.2应急物资保障
各科室、各部门应适当配备必要的信息网络安全相关硬件、软件、应急救援设备等应急物资。在网络与信息安全突发公共事件发生时,由网络应急指挥部负责统一调用。
专业技术队伍须储备相应的应急基础设备、软件。
网络应急指挥部办公室组织制定本街道基础网络与信息系统设备替代产品数据库。
6.3交通运输保障
各科室、各部门应配备网络与信息安全突发事件应急交通工具,满足应急期间人员、物资、信息传输的需要,在网络与信息安全突发公共事件发生时,由网络应急指挥部负责统一调配。
6.4技术资料保障
各科室、各部门应将应急技术资料,包括线路图、网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。还应根据需要进行风险评估,随时掌握安全状况和存在的风险。
6.5合作机制建设
网络应急指挥部办公室加强本街道网络与信息安全应急合作机制建设,建立与区应急相关部门和专业机构的合作渠道,实现信息共享和应急联动。
7、宣传、培训和演练
7.1宣传
网络应急指挥部办公室及有关部门应利用各种新闻媒介,宣传信息安全有关法律、法规、规章,开展网络与信息安全教育,普及网络与信息安全突发事件应急处置的基本知识,提高工作人员网络与信息安全防范意识和应急处置能力。网络应急指挥部办公室及时公布有关网络与信息安全突发事件应急预案、报警电话等。
7.2培训
网络应急指挥部办公室应定期组织各单位、开展基础网络与信息安全应急管理、应急处置等培训,提高信息化管理人员、应急处置人员防范意识及技能。
7.3演练
网络应急指挥部办公室每年组织一次网络与信息安全应急演练,模拟处置影响较大的网络与信息安全突发事件,检验预案的可执行性。通过演练,及时发现和改进应急体系和工作机制存在的问题,完善应急预案,提高应急处置能力,检验应急物资的完好情况。
应急演练主要开展以下工作:
一、网络应急指挥部办公室确定应急响应演练的目标和范围,主要开展重要基础网络与信息系统的应急演练;
二、网络应急指挥部办公室的要求,各部门、各单位成立应急演练小组;
三、网络应急指挥部调配应急演练所需的各项资源,负责组织应急演练,对应急演练进行评估,并通报应急演练结果,总结经验,分析应急预案的科学性和合理性,针对预案中的问题进行修订完善。
8、附则
8.1名称术语
一、网络与信息安全事件:由于自然或者人为以及软硬件本身缺陷的原因,对单位网络与信息系统造成危害,或对社会造成负面影响的事件。
二、敏感时期:敏感时期是指国家、深圳市或举行重大活动期间、重大节假日期间或重大政治事件、重大历史事件的发生日等特殊时期。
三、等级保护:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
四、风险评估:依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
五、重要信息系统:国家重点保护涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);网络管理中心、重要网站中的重要信息系统。社会稳定的基础信息网络和重要信息系统,主要包括:国家事务处理信息系统(党政机关办公系统);网络管理中心、重要网站中的重要信息系统。
8.2预案管理
8.2.1预案体系
本预案是《深圳市龙岗区平湖街道办事处网络与信息安全突发事件应急预案》的专项预案。本预案指导本街道网络与信息安全突发事件应急处置工作。
8.2.2预案制定、发布及解释
本预案由网络应急指挥部办公室负责制定、发布及解释。
8.2.3预案审批
预案由平湖街道办事处党工委<办事处>办公室初审,信息化分管领导审定。
8.2.4预案修订
本预案原则上每年评估一次,根据实际情况适时修订,原则上每三年至少修订一次。有下列情形之一的,应当及时修订应急预案:
一、有关法律、行政法规、规章、标准、上位预案中的有关规定发生变化的;
二、应急指挥机构及其职责发生重大调整的;
三、面临的风险发生重大变化的;
四、重要应急资源发生重大变化的;
五、预案中的其他重要信息发生变化的;
六、在突发事件实际应对和应急演练中发现问题需要作出重大调整的;
七、相关单位名称或职能发生变化的;
八、应急预案制定单位认为应当修订的其他情况。
8.2.5预案实施
本预案自发布之日起施行。
网络安全事件应急响应预案
上一篇:数学教研活动方案模板
下一篇:返回列表