1 目的
为了切实做好信息安全事件的防范和应急响应工作,进一步提高预防和控制信息安全事件的能力和水平,减轻或消除信息安全事件的危害和影响,结合工作实际,特制定本预案。本预案适用于发生网络与信息安全突发事件(以下简称突发事件)的预防和应急处置工作。
依照《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)等标准,并参照《GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范》,制定本预案。
3.1.1 事件定义
网络与信息安全突发事件指信息网络系统相关支撑的软硬件及物理环境的突发事件。根据网络与信息安全突发事件对服务的社会用户和生产、经营和管理的影响范围、程度、可能产生的后果和损失等因素,将突发事件分为重大(Ⅰ)、较大(Ⅱ)和一般(Ⅲ级)三个等级。
3.2事件分类
3.2.1 根据网络与信息安全突发事件的性质、机理和发生过程,主要分为以下三类:
(1)自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统损坏。
(2)事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统损坏。
(3)人为破坏。指人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统损坏,或是利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
3.2.2 根据突发事件的故障情况可以分为以下几类:
(1)通道与网络故障;
(2)主机设备、操作系统、中间件和数据库软件故障;
(3)应用停止服务故障;
(4)应用系统数据丢失;
(5)机房电源、空调等环境故障;
(6)大面积病毒爆发、蠕虫、木马程序、有害移动代码等;
(7)非法入侵,或有组织的攻击;
(8)自然灾害或人为外力破坏;
(9)信息发布和服务网站遭受攻击和破坏;
(10)其他原因。
3.3事件分级
3.3.1 Ⅰ级网络与信息安全突发事件
(1)对所服务社会用户的生产、生活造成特别严重影响,影响社会用户数量超过单位服务总用户数量的90%。
(2) 对单位的生产、经营、管理和信息发布造成特别严重的影响,影响内部用户数超过90%。
(3)出现大面积的有害信息传播,影响范围大,性质恶劣,影响单位内部用户数超过90%。
(4) 涉及国家或公司利益的机密信息通过信息系统泄漏,造成特别重大影响。
3.3.2 Ⅱ级网络与信息安全突发事件
(1)对所服务社会用户的生产、生活造成严重影响,影响用户数量超过单位服务总用户数量的50%,低于90%。
(2)对单位的生产、经营、管理和信息发布造成影响,影响内部用户数超过50%,低于90%。
(3) 出现大面积的有害信息传播,影响范围大,影响用户数超过50%,低于90%。
(4) 涉及国家或企业利益的秘密信息通过信息系统泄漏,造成重大影响。
3.3.3 Ⅲ级网络与信息安全突发事件
(1)对所服务社会用户的生产、生活造成影响,影响用户数量超过单位服务总用户数量的20%,低于50%。
(2)对单位的生产、经营、管理和信息发布造成影响,影响内部用户数超过30%,低于50%。
(3) 出现大面积的有害信息传播,影响范围大,影响用户数超过30%,低于50%。
3.4应急处置基本原则
3.4.1 预防为主,常备不懈,超前预想。坚持“安全第一、预防为主、综合治理”的方针。做好应对各种网络与信息安全突发事件的预案准备、应急资源准备、保障措施准备和超前网络与信息安全突发事件预想,充分利用现有资源,制定科学的应急预案,定期组织开展应急培训和应急演练,提高对各种网络与信息安全突发事件的应急响应和处置能力。
3.4.2 统一指挥,分级管理,分工协作。通过成立各级应急领导小组、应急指挥部,建立有系统、分层次的应急组织。组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。应急预案制定、修订和应急处置应明确牵头部门,以及各有关部门的职责和权限。应急处理过程中,牵头部门要主动协调各有关方面,参与部门听从指挥、步调一致。
3.4.3 保证重点,有效组织,及时响应。对重要系统要加大监控和应急工作力度,有效组织和发挥各应急队伍和应急资源的作用,确保信息及时准确传递,有效控制损失。做到保证重点、预防和处理相结合,反应迅速。
3.4.4 技术支撑,健全机制,不断完善。在充分利用现有信息资源、系统和设备的基础上,采用先进适用的预测、预防、预警和应急处置技术,改进和完善应急处理装备、设施和手段,提高应对网络与信息安全突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力,建立健全应对网络与信息安全突发事件的有效机制。
4.1组织机构
成立网络信息安全应急指挥部(以下简称应急指挥部),负责对网络和信息安全突发事件应急指挥工作的组织领导。应急指挥部下设应急指挥小组,负责日常工作。应急指挥部总指挥由公司分管领导担任,同时设立应急指挥部组长,指挥部成员由各部门技术人员组成。
4.2工作职责
4.2.1 应急指挥部主要职责
(1) 贯彻落实法规、规定;
(2) 研究信息系统重大应急决策和部署;
(3) 宣布进入和解除应急状态,决定实施和终止信息系统应急预案;
(4) 统一领导I级和II级突发事件的应急处置工作;
5.1发生III级突发事件进入信息系统预警状态,发生II级网络与信息安全突发事件进入信息系统II级应急状态,发生I级网络与信息安全突发事件进入I级应急状态。
5.2根据实际情况,确定突发事件的预警状态和应急状态。重大(Ⅰ级)、较大(Ⅱ级)突发事件根据情况下发做好网络与信息安全工作的通知;做好24小时值班制,做好信息上报工作。
6.1信息上报
6.1.1 发生网络与信息安全突发事件时,向上级部分或领导报告。
6.1.2 对各类突发事件的影响进行初步判断,是 I级事件的且预计在30分钟内不能处理和恢复的,须在30分钟内向上一级进行紧急报告,II级事件的应在60分钟内进行报告,III级事件的应在3小时内汇报。
7.1发生网络与信息安全突发事件后,立即启动应急预案,本着尽量减少损失的原则,将应急事件尽快隔离,在不影响正常生产、经营、管理秩序的情况下,保护现场。
7.2应急指挥部接到网络与信息安全突发事件的应急报告后,根据事件情况,启动网络与信息安全突发事件应急预案。
7.3应急指挥部接到I级和II级网络与信息安全突发事件报告后,根据事件的性质和影响向领导报告,由应急领导小组开展应急协调。
7.4应急结束
在同时满足下列条件下,应急指挥部可决定宣布解除应急状态:
(1) 各种网络与信息安全突发事件已得到有效控制,情况趋缓。
(2) 网络与信息安全突发事件处理已经结束,设备、系统已经恢复运行。
(3) 发布解除应急响应状态的指令。
(4) 事件相关方报告应急处理已经结束,恢复正常生产工作秩序。
8.1通信保障。应急期间,指挥、通信联络和信息交换的渠道主要有系统程控电话、外线电话、手机、传真、电子邮件等方式,有关应急联系的手机应保持24小时开机状态。
8.2物资保障。应急物资装备主要有车辆、备品备件、常用工具和常用工具软件。
8.3技术保障。
8.3.1 基础管理
(1)各信息系统应具备详细的基础资料:图纸文档、运行检修记录、设备清单、资源分配方案、措施落实情况、职责分工等。
(2)及时对日常出现的问题进行分析统计,对重大、频繁发生的故障做好事故报告,落实整改措施。
(3)安排做好计算机设备的检查工作,如电源、防雷、接地、操作系统、应用软件、防病毒、设备台账等。
(4)认真做好桌面机管理工作,建立完善的计算机管理网络,对计算机设备的运行状况及时跟踪、维护。
(5)配置相应的网络协议分析、测试工具。
(6)信息管理专业技术人员应熟悉信息网络、主机系统、应用系统的运行状况,从已发生的各种系统故障中总结经验,对制度贯彻不力者和不能吸取教训者要及时指出并严格考核。加大违章的考核力度,杜绝违章作业。
(7)熟悉相关应用系统的运行状况,对出现的系统故障提出纠正措施,及时整改,避免更大的危害。
8.4资金保障。保障应急培训、演练、添置应急装备物资等所需经费。
8.5人员保障
8.5.1 加强网络与信息安全突发事件应急技术支持队伍的建设,提高人员的业务素质、技术水平和应急处置能力。
8.5.2 利用国家相关科研单位的技术专家资源和厂商的技术专家资源,逐步建立应对各种网络与信息安全突发事件的应急专家组,充分发挥应急专家组的作用。
9.1后期观察
9.1.1 I级网络与信息安全突发事件应急处理结束后应密切关注、监测系统2周,确认无异常现象。
9.1.2 II级网络与信息安全突发事件应急处理结束后应密切关注、监测系统1周,确认无异常现象。
9.1.3 III级网络与信息安全突发事件应急处理结束后应密切关注、监测系统2天,确认无异常现象。
9.2改进措施
9.2.1 网络与信息安全突发事件应急处理结束后,应组织研究事件发生的原因和特点、分析事件发展过程,总结应急处理过程中的经验和教训,进行应急处置知识积累,进一步补充、完善和修订相关应急预案。
9.2.2 网络与信息安全突发事件应急处理结束后,应结合运行过程中的异常和事件,综合分析信息系统中存在的关键点和薄弱点,提出该类事件的整改措施,制定整改实施方案并予以落实,整改措施和方案备案。
10.1 宣传
加强应急工作的宣传和教育,提高人员对应急预案重要性的认识,加强协调与配合。
10.2 培训
10.2.1 在网络和信息安全突发事件应急预案编制完成和修订后,要组织对应急预案涉及的组织、指挥、操作人员进行培训,使有关人员熟练掌握应急处理的程序和应急处理技能。
10.2.2 涉及预案的各级人员应结合本岗位安全职责和应急预案的要求应熟练掌握单位应急预案中有关报警、接警、处警和组织、指挥应急响应的程序等内容,专项应急预案操作人员应熟悉各个操作步骤和操作命令。
10.2.3 信息安全教育应包括单位应急预案的有关内容,使有关人员熟悉单位应急处理的流程、应急处理设施的使用、应急联系电话、应急报告的内容和格式。
10.3 演练
10.3.1 应急预案在制定、修订后,要组织相应的演练,每年应至少组织一次事故演习。
10.3.2 要通过演练验证单位应急预案和各专项应急预案的合理性,及时修订和完善。
10.3.3 在做应急演练前要做好相关准备工作,合理安排、精细组织,确保演练工作的安全。
10.3.4 要明确演练目的和要求,记录演练过程,对演练结果进行评估和总结。
10.3.5 应根据信息系统的关键点和薄弱点,根据系统和设备的重要程度有针对性地开展演练,演练应突出重点和关键。
11 附件
11.1 《信息安全事件应急响应总结报告模板》。
信息安全事件应急响应总结报告模板
信息安全事件应急响应总结报告表 | |
原事件报告时间: | |
备案编号: | |
单位名称: | 联系人: |
联系电话: | 通信地址: |
信息系统名称及用途: | |
已采用的安全措施: | |
信息安全事件的补充描述及最后判定事件的原因: | |
本次信息安全事件的初步影响状况: | |
事件后果: | 影响范围: |
严重程度: □I级时间 □II级时间 □III级时间 □IV级时间 | |
本次信息安全事件的主要处理过程及结果: | |
针对此类信息安全事件应采取的信息系统安全保障措施和建议: | |
报告人签名: | |