网络与信息安全事件应急预案

一、总则
（一）目的
为科学应对网络与信息安全(以下简称信息安全)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，制定本应急预案。

（二）工作原则

1．统一领导，协同配合。全区信息安全突发事件应急工作由区信息化工作领导组统一领导和协调，相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合，具体实施。

2．明确责任，依法规范。各镇人民政府、各街道办事处、区直各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任分工制和责任追究制。

3．条块结合，整合资源。充分利用现有信息安全应急支援服务设施，整合我区所属信息安全工作力量。充分依靠省市各有关部门在地方的信息安全工作力量，进一步完善应急响应服务体系，形成区域信息安全保障工作合力。

4．防范为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

（三）适用范围

本预案适用III、IV级应急处理工作和具体响应I、 II级应急处理工作。

　  基础通信网络的应急处理按照信息产业部有关规定实施，区人民政府积极支持和配合。

二、组织机构及职责

（一）应急指挥机构

   在区信息化工作领导组的统一领导下，设立区网络与信息安全突发事件专项应急委员会(以下简称区信息安全专项应急委)，为区人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、省、市、区信息化工作领导机构的要求开展处置工作；研究决定全区信息安全应急工作的有关重大问题；决定III、IV级信息安全突发事件应急预案的启动，组织力量对III级和IV级突发事件进行处置；统一领导和组织指挥重大信息安全突发事件的应急响应处置工作；区信息化工作领导组交办的事项和法律、法规、规章规定的其他职责。

   区信息安全专项应急委由分管信息化工作的副区长任主任，有关单位负责人组成。

   区信息安全专项应急委办公室设在区计算机信息中心，其主要职责是：

   1．督促落实区信息化工作领导组和区信息安全专项应急委作出的决定和措施；

2．拟订或者组织拟订区人民政府应对信息安全突发事件的工作规划和应急预案，报区人民政府批准后组织实施；

3．督促检查各镇、各街道和区直有关部门信息安全专项应急预案的制订、修订和执行情况，并给予指导；

4．督促检查各镇、各街道和区直有关部门的信息安全突发事件监测、预警工作情况，并给予指导；

5．汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议；

6．监督检查、协调指导各镇、各街道和区直有关部门的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作；

7．组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报区人民政府批准后督促落实；

8．区信息化工作领导组和区信息安全专项应急委交办的其他工作。

（二）区信息安全专项应急委各成员单位的职责

区计算机信息中心：统筹规划建设应急处理技术平台，会同___公安分局、国保大队、区国家保密局等有关单位组织制定全区突发事件应急处理政策文件及技术方案，负责安全事件处理的培训，及时收集、上报和通报突发事件情况，负责向区人民政府报告有关工作情况。

___公安分局：严密监控境内互联网有害信息传播情况，制止互联网上对社会热点和敏感问题的恶意炒作，监测政府网站、新闻网站、门户网站和国家重大活动、会议期间重点网站网络运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为。

国保大队：收集潜在的国外敌人攻击计划和能力信息，依法对间谍组织以及敌对势力、民族分裂势力、邪教势力等内外勾结，利用计算机网络危害国家安全的行为开展各种侦察工作；依法对涉嫌危害国家安全的犯罪进行查处；依法对在计算机网络上窃取国家秘密或制作、传播危害国家安全信息的违法犯罪活动进行查处。

区财政局：制定经费保障相关政策及方案；保证应急处理体系建设和突发事件应急处理所需经费。

区国家保密局：依法组织协调有关部门对计算机网络上泄露和窃取国家秘密的行为进行查处，做好密级鉴定和采取补救措施。

（三）现场应急处理工作组

发生安全事件后，区信息安全专项应急委成立现场应急处理工作组，对计算机系统和网络安全事件的处理提供技术支持和指导，按照正确流程，快速响应，提出事件统计分析报告。

现场应急处理工作组由以下各方面的人员组成：

管理方面包含应急委副主任，以及相关成员单位领导及科室负责人。主要任务是确保安全策略的制定与执行；识别网络与信息系统正常运行的主要威胁；在出现问题时决定所采取行动的先后顺序；做出关键的决定；批准例外的特殊情况等。

技术方面应包含市有关专家、区信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统；检测入侵事件，并采取技术手段来降低损失。

三、预警和预防机制

（一）信息监测及报告

1．公安、国保大队、区计算机信息中心等单位要加强信息安全监测、分析和预警工作，进一步提高信息安全监察执法能力，加大对计算机犯罪的打击力度。

2． 建立信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后，立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至区计算机信息中心。

（二）预警

区计算机信息中心接到信息安全突发事件报告后，在经初步核实后，将有关情况及时向区信息安全专项应急委报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急委的决策实施行动方案，发布指示和命令。

（三）预警支持系统

区计算机信息中心建立和逐步完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。  

（四）预防机制

积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

四、应急处理程序

（一）级别的确定

信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下：

（1）信息密级是衡量因信息失窃或泄密所造成的信息安全事件中所涉及信息重要程度的要素；

（2）公众影响是衡量信息安全事件所造成负面影响范围和程度的要素；　

（3）业务影响是衡量信息安全事件对事发单位正常业务开展所造成负面影响程度的要素；

（4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

信息安全突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。

IV级：区内较大范围出现并可能造成较大损害的信息安全事件。

III级：区属重要部门网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。

II级：区属重要部门或局部基础网络、重要信息系统、重点网站瘫痪，导致业务中断，纵向或横向延伸可能造成严重社会影响或较大经济损失。

I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者区直单位多地点或多个基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

（二）预案启动

1．发生IV级网络信息安全事件后，区政府启动相应预案，并负责应急处理工作；发生III级网络信息安全事件后，区政府启动相应预案，并由区信息安全专项应急委负责应急处理工作；发生I、II级的信息安全突发事件后，上报市人民政府启动相应预案。

2．区信息安全专项应急委办公室接到报告后，应当立即上报区应急委，并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机开展评估，向区应急委提出启动预案的建议，报区人民政府批准。

3．在区人民政府做出启动预案决定后，区信息安全专项应急委立即启动应急处理工作。

（三）现场应急处理

事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。

检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。

抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。

根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。

清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。

（四）报告和总结

回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市信息化工作领导组备案。（《重大信息安全事件处理结果报告表》见附件三）

（五）应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见，区计算机信息中心组织相关部门及专家组对信息安全事件处置情况进行综合评估，并提出应急行动结束建议，报区人民政府批准。应急行动是否结束，由区人民政府决定。

五、保障措施

（一）技术支撑保障

区计算机信息中心建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

（二）应急队伍保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识。大力发展信息安全服务业，增强社会应急支援能力。

（三）物资条件保障

安排区信息化建设专项资金用于预防或应对信息安全突发事件，提供必要的经费保障，强化信息安全应急处理工作的物资保障条件。

（四）技术储备保障

区计算机信息中心组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，组织参加省、市相关培训，推广和普及新的应急技术。

六、宣传、培训和演习

（一）公众信息交流

区计算机信息中心在应急预案修订、演练的前后，应利用各种新闻媒介开展宣传；不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。

（二）人员培训

为确保信息安全应急预案有效运行，区信息安全专项应急委定期或不定期举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。

（三）应急演习

为提高信息安全突发事件应急响应水平，区信息安全专项应急委办公室定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。

七、监督检查与奖惩

（一）预案执行监督

区信息安全专项应急委办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。

1．发生重大信息安全事件的单位应当按照规定，及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况的，有权直接向区信息安全专项应急委举报。

2．应急行动结束后，区信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。

（二）奖惩与责任

1．对下列情况可以经区信息安全专项应急委办公室评估审核，报区信息安全专项应急委批准后予以奖励：在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。奖励资金由区、镇财政或相关单位提供。

2．在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，区信息安全专项应急委办公室将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

3．对未及时落实区信息安全专项应急委指令，影响应急行动效果的，按《国务院关于特大安全事故行政责任追究的规定》及有关规定追究相关人员的责任。

八、附则

本预案所称网络与信息安全重大突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本区政府机关网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。

1．本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时修订和完善；

2．本预案所附的成员、通信地址等发生变化时也应随时修订；

3．本预案由区计算机信息中心会同___公安分局、国保大队、区国家保密局负责修订，经区人民政府常务会议审议批准后实施。

4．本预案修订采取改版或换页的方式进行。

5.本预案由区计算机机信息中心负责解释。

6.本预案日常工作由区计算机信息中心负责。

联系电话：2319255   传真：2319257

7.本预案自发布之日起实施。

推荐访问:信息安全 事件应急预案 网络