浙江省單位網(wǎng)絡安全事件應急預案

1、浙江省XXX單位網(wǎng)絡安全事件應急預案- 1 -目錄1.總則1761.1.編制目的1761.2.編制依據(jù)1761.3.適用范圍1761.4.工作原則1772.事件分級和分類1772.1.事件分級1772.2.事件分類1793.應急處置機構(gòu)與職責1803.1.應急處置機構(gòu)1803.2.職責1813.2.1.應急領導小組1813.2.2.應急工作小組1813.2.3.各處室員工1824.應急響應1824.1.事件判定1824.2.預案啟動1824.3.應急指揮1834.4.應急處置1834.5.結(jié)束響應1854.6.事件調(diào)查和報告1854.7.應急整體流程1865.預防工作1875.1.日常管理18

2、85.2.宣傳和培訓1885.3.應急演練1895.4.管理和維護1895.5.重要活動期間的預防措施1896.保障措施1896.1.人力保障1906.2.物質(zhì)保障1906.3.技術保障1907.獎懲措施1918.附則191附件1 應急人員名單192附件2 數(shù)據(jù)安全事件應急響應結(jié)果調(diào)查報告194211. 總則1.1. 編制目的建立健全浙江省xxx單位政務系統(tǒng)數(shù)據(jù)安全事件應急工作機制，提高網(wǎng)絡安全事件應急處置能力，預防和減少網(wǎng)絡安全事件造成的損失和危害，保障各政務系統(tǒng)安全穩(wěn)定運行，根據(jù)國家相關法律法規(guī)和監(jiān)管部門有關規(guī)定，結(jié)合本單位政務系統(tǒng)實際情況，制定本應急預案。1.2. 編制依據(jù)中華人民共和國

3、網(wǎng)絡安全法、國家網(wǎng)絡安全事件應急預案（中網(wǎng)辦發(fā)文20174號）、國家信息化領導小組關于加強信息安全保障工作的意見(中辦發(fā)200327號)、信息安全技術網(wǎng)絡安全事件分類分級指南（GBZ 20986-2007）、信息安全技術 信息安全應急響應計劃規(guī)范（GBT 24363-2009）等相關規(guī)定。1.3. 適用范圍本預案所指網(wǎng)絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對政務系統(tǒng)或者其中的數(shù)據(jù)造成危害，對單位、社會造成負面影響的事件，可分為信息破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他事件。本預案適用于浙江省xxx單位及直屬大數(shù)據(jù)管理服務中心網(wǎng)絡安全事件的應對工作，在發(fā)生

4、網(wǎng)絡安全事件時，各部門應參照本預案進行應急處置。1.4. 工作原則堅持統(tǒng)一領導、分級負責；堅持統(tǒng)一指揮、密切協(xié)同、快速反應、科學處置；堅持預防為主，預防與應急相結(jié)合；堅持誰主管誰負責、誰運行誰負責，充分發(fā)揮各方面力量共同做好網(wǎng)絡安全事件的預防和處置工作。2. 事件分級和分類2.1. 事件分級網(wǎng)絡安全事件分為四級：特別重大數(shù)據(jù)安全事件（級）、重大數(shù)據(jù)安全事件（級）、較大數(shù)據(jù)安全事件（級）、一般數(shù)據(jù)安全事件（級），級為最高級。（1）特別重大數(shù)據(jù)安全事件（級）重大事件是指能夠?qū)е绿貏e嚴重影響或破壞的網(wǎng)絡安全事件，包括以下情況： 對外提供服務的網(wǎng)站類應用系統(tǒng)，其頁面被篡改為反動信息、煽動性信息等造成嚴

5、重政治影響的； 造成5萬條及以上數(shù)據(jù)泄露； 造成等級保護定級為三級及以上信息系統(tǒng)總量的50%及以上范圍處于中斷服務狀態(tài)； 造成等級保護定級為二級信息系統(tǒng)總量的80%以上范圍處于中斷服務狀態(tài)； 其他造成特別重大損失或特別重大的不良影響的安全事件。（2）重大網(wǎng)絡安全事件（級）重大事件是指能夠?qū)е螺^大范圍影響或破壞的數(shù)據(jù)安全事件，包括以下情況： 造成5萬條以下5千條及以上數(shù)據(jù)泄露； 造成等級保護定級為三級及以上信息系統(tǒng)總量的20%及以上范圍處于中斷服務狀態(tài)； 造成等級保護定級為二級信息系統(tǒng)總量的80%以上范圍處于中斷服務狀態(tài)； 對外提供服務的網(wǎng)站類應用系統(tǒng)其頁面被篡改，發(fā)布虛假或詐騙等信息并已造成嚴

6、重的經(jīng)濟和社會影響； 其他造成重大損失或重大的不良影響的安全事件； 當級網(wǎng)絡安全事件12小時內(nèi)未完成處置，則升級為級網(wǎng)絡安全事件。（3）較大網(wǎng)絡安全事件（級）較大事件是指能夠?qū)е螺^大范圍影響或破壞的數(shù)據(jù)安全事件，包括以下情況： 造成等級保護定級為三級及以上信息系統(tǒng)總量的20%以下范圍處于中斷服務狀態(tài)； 造成等級保護定級為二級信息系統(tǒng)總量的50%以上及80%以下范圍處于中斷服務狀態(tài)； 對外提供服務的網(wǎng)站類應用系統(tǒng)其頁面被篡改，發(fā)布虛假或詐騙等信息并已造成一般的經(jīng)濟和社會影響； 造成5千條以下50條及以上數(shù)據(jù)泄露； 其他造成嚴重損失或嚴重的不良影響的安全事件； 當網(wǎng)絡安全事件24小時內(nèi)未完成處置，

7、則升級為級網(wǎng)絡安全事件。（4）一般網(wǎng)絡安全事件（級）一般事件是指能夠?qū)е螺p微影響或破壞的網(wǎng)絡安全事件，包括以下情況： 造成等級保護定級為二級信息系統(tǒng)總量的50%以下范圍處于中斷服務狀態(tài)； 造成50條及以下數(shù)據(jù)泄露； 其他造成一般損失或一般的不良影響的安全事件； 當級網(wǎng)絡安全事件48小時內(nèi)未被完成處置，則升級為級網(wǎng)絡安全事件。2.2. 事件分類綜合考慮網(wǎng)絡安全事件的起因、表現(xiàn)、結(jié)果等，網(wǎng)絡安全事件可分為數(shù)據(jù)破壞事件、信息內(nèi)容安全事件、設備設施故障、災害性事件和其他網(wǎng)絡安全事件等5個基本分類，每個基本分類分別包括若干個子類。（1）數(shù)據(jù)破壞事件數(shù)據(jù)破壞事件是指通過網(wǎng)絡或其他技術手段，造成政務系統(tǒng)中的

8、數(shù)據(jù)被篡改、假冒、泄漏、竊取等而導致的數(shù)據(jù)安全事件。包括數(shù)據(jù)篡改事件、數(shù)據(jù)假冒事件、數(shù)據(jù)泄漏事件、數(shù)據(jù)竊取事件、數(shù)據(jù)丟失事件和其它數(shù)據(jù)破壞事件。（2）信息內(nèi)容安全事件信息內(nèi)容安全事件是指利用信息網(wǎng)絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的安全事件。包括違反憲法和法律、行政法規(guī)的網(wǎng)絡安全事件；針對社會事項進行討論、評論形成網(wǎng)上敏感的輿論熱點，出現(xiàn)一定規(guī)模炒作的網(wǎng)絡安全事件；組織串連、煽動集會游行的網(wǎng)絡安全事件；其他信息內(nèi)容安全事件。（3）設備設施故障設備設施故障是指由于信息系統(tǒng)自身故障或外圍保障設施故障而導致的數(shù)據(jù)安全事件，以及人為的使用非技術手段有意或無意的造成政務系統(tǒng)破壞而導致的數(shù)

9、據(jù)安全事件。包括軟硬件自身故障、外圍保障設施故障、人為破壞事故和其它設備設施故障。（4）災害性事件災害性事件是指由于不可抗力對政務系統(tǒng)造成物理破壞而導致的網(wǎng)絡安全事件。包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰(zhàn)爭等導致的網(wǎng)絡安全事件。（5）其他事件其他事件類別是指不能歸為以上基本分類的網(wǎng)絡安全事件。3. 應急處置機構(gòu)與職責3.1. 應急處置機構(gòu)根據(jù)網(wǎng)絡安全事件應急工作要求，成立本單位網(wǎng)絡安全事件應急領導小組（以下簡稱“應急領導小組”），負責網(wǎng)絡安全事件應急處置組織、協(xié)調(diào)和領導工作。應急領導小組下設網(wǎng)絡安全事件應急工作小組（以下簡稱“應急工作小組”），具體負責網(wǎng)絡安全事件應急處置工作。

10、3.2. 職責3.2.1. 應急領導小組應急領導小組的主要職責包括：（1） 負責網(wǎng)絡安全事件的應急指揮、組織協(xié)調(diào)和過程控制；（2） 負責研究、決定網(wǎng)絡安全事件應急處置決策和應對措施；（3） 負責向單位領導、監(jiān)管部門和公安機關匯報應急處置進展情況和總結(jié)報告；（4） 負責統(tǒng)籌協(xié)調(diào)，確定相關職能部門應急處理工作職責及具體分工；3.2.2. 應急工作小組應急工作小組的主要職責包括：（1） 定期向應急領導小組匯報網(wǎng)絡安全事件狀況；（2） 在應急領導小組組織、協(xié)調(diào)、指導下，開展網(wǎng)絡安全事件應急處置工作；（3） 負責對網(wǎng)絡安全事件產(chǎn)生的影響和損失進行分析與評估，及時通報評估結(jié)果；（4） 負責網(wǎng)絡安全事件應急

11、預案的制定、修訂、落實；（5） 組織、指導、監(jiān)督單位各部門制定相應的網(wǎng)絡安全事件應急預案細則，并定期組織演練；（6） 應急領導小組交辦的其他工作。3.2.3. 各處室員工各處室員工的主要職責包括：（1） 監(jiān)測各自負責的政務系統(tǒng)和數(shù)據(jù)安全狀況；（2） 及時上報發(fā)現(xiàn)的數(shù)據(jù)安全事件；（3） 提供應急所需人力、物力等資源保障；（4） 做好秩序維護、安全保障、支援等工作。4. 應急響應應急應對過程中相關組織、技術力量人員聯(lián)系方式詳見附件1。4.1. 事件判定員工發(fā)現(xiàn)網(wǎng)絡安全事件時，即刻向應急工作小組報告，說明數(shù)據(jù)安全事件具體情況。應急工作小組應根據(jù)“2.1事件分級”標準研究判定數(shù)據(jù)安全事件等級。4.2.

12、 預案啟動（1）判定為級和級事件的，應急工作小組組長應即刻向應急領導小組匯報。由應急領導小組組長指示下達應急預案啟動指令，同時即刻組織協(xié)調(diào)應急工作小組開展應急處置工作。其中，涉及政治類影響事件的，應按相關要求同時上報網(wǎng)信部門、數(shù)據(jù)資源管理部門和公安機關等網(wǎng)絡安全主管部門。（2）判定為級和級事件的，由應急工作小組組長或副組長下達應急預案啟動指令，迅速組織協(xié)調(diào)相關人員開展應急處置工作，并即刻上報應急領導小組。4.3. 應急指揮（1）級和級事件，應由應急領導小組組長或副組長擔任總指揮（其中，如發(fā)生涉及政治類影響的數(shù)據(jù)安全事件，原則上應由組長擔任總指揮）。應急領導小組負責組織、協(xié)調(diào)應急工作小組做好具體

13、應急處置工作。必要時，由應急領導小組出面與網(wǎng)信部門、公安機關和數(shù)據(jù)資源管理部門等網(wǎng)絡安全主管部門積極溝通，聯(lián)系協(xié)調(diào)第三方安全專家作為應急處置技術顧問。（2）級事件，由應急工作小組組長擔任總指揮。應急工作小組負責組織、協(xié)調(diào)，并做好具體應急處置工作。（3）級事件，由應急工作小組組長或副組長擔任總指揮。應急工作小組負責組織、協(xié)調(diào)，并做好具體應急處置工作。4.4. 應急處置應急工作小組在應急處置工作中應通過口頭、電話、或書面方式定時向應急領導小組匯報應急處置工作進展情況。級和級事件應由應急處置工作小組組長每2小時向應急領導小組匯報一次；級事件應由應急工作小組副組長每1小時向應急領導小組匯報一次；級事件

14、應由應急工作小組牽頭技術人員每0.5小時向?qū)鳖I導小組匯報一次。依據(jù)中華人民共和國網(wǎng)絡安全法規(guī)定，如遇數(shù)據(jù)安全事件中涉及犯罪情形的，除做好相應的應急處理外，還應保護好案發(fā)現(xiàn)場，同時向公安機關報案。網(wǎng)絡安全事件應急處理過程中根據(jù)不同事件類型采取以下應急處理措施：（1）數(shù)據(jù)破壞事件及時從備份數(shù)據(jù)中恢復受破壞的最新信息數(shù)據(jù)；檢查恢復后的系統(tǒng)狀態(tài)是否正常運行；分析信息數(shù)據(jù)受破壞的原因，人為惡意破壞的應進行追溯，系統(tǒng)故障導致的應分析系統(tǒng)軟件故障點，及時聯(lián)系軟件開發(fā)商進行修復。（2）信息內(nèi)容安全事件暫時切斷網(wǎng)站對外服務；網(wǎng)站維護人員即刻登錄后臺，上傳換回原始頁面；網(wǎng)站、網(wǎng)頁由安全監(jiān)控平臺隨時密切監(jiān)視信息

15、內(nèi)容；保存有關日志審計記錄；備份不良信息出現(xiàn)的目錄。（3）設備設施故障事件分析、確認故障設備，準確定位設備位置；切換備用設備；聯(lián)系設備供應商分析設備故障原因，及時進行修理，涉外修理的應清理數(shù)據(jù)；無法修理的應采購新的設備，保證設備冗余狀態(tài)。（4）災害性事件評估災害性事件對機房、政務系統(tǒng)的影響程度；受災機房網(wǎng)絡及信息系統(tǒng)受破壞不能提供服務的，應及時啟動容災機房業(yè)務系統(tǒng)；回收受災機房的數(shù)據(jù)處理、存儲設施，無法使用的進行徹底數(shù)據(jù)清理；重建受災機房。數(shù)據(jù)安全事件應急處置完畢后，政務系統(tǒng)恢復重建工作由應急工作小組負責組織制定恢復、整改或重建方案。4.5. 結(jié)束響應數(shù)據(jù)安全事件經(jīng)應急處置后，事件得以完全解決

16、，政務系統(tǒng)完全恢復正常運行，政務數(shù)據(jù)恢復完好；或事態(tài)影響下降到可接受范圍內(nèi)，政務系統(tǒng)主要功能恢復正常運行，按“誰啟動、誰結(jié)束”的原則，由數(shù)據(jù)安全事件應急總指揮下達應急結(jié)束指令。4.6. 事件調(diào)查和報告應急工作小組應對事件進行研究分析和調(diào)查處理，查明數(shù)據(jù)安全事件的性質(zhì)、原因、經(jīng)過、危害和影響，提出調(diào)查處理建議和今后同類事件的安全防范措施，以防止同類事件再次發(fā)生，同時，由應急領導小組提出對具體責任人的處罰決定，如涉及違法行為的，應依據(jù)法律、法規(guī)，應移交相關部門處理。事件調(diào)查完成后，應形成數(shù)據(jù)安全事件調(diào)查結(jié)果報告，參照數(shù)據(jù)安全事件應急響應結(jié)果調(diào)查報告（附錄2）。事件的調(diào)查處理和總結(jié)評估工作原則上在應

17、急響應結(jié)束后15天內(nèi)完成。數(shù)據(jù)安全事件調(diào)查和報告程序如下：（1）級和級數(shù)據(jù)安全事件由應急領導小組組織協(xié)調(diào)，進行事件調(diào)查，將調(diào)查結(jié)果向應急領導小組組長報告。同時，應急領導小組組長應根據(jù)應急領導小組辦公會議決議，視情況上報市網(wǎng)信部門、公安部門和數(shù)據(jù)資源管理部門，報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。（2）對于級和級數(shù)據(jù)安全事件由應急工作小組組長組織協(xié)調(diào)，進行事件調(diào)查，將調(diào)查結(jié)果上報應急領導小組。4.7. 應急整體流程應急整體處理流程圖如下：5. 預防工作5.1. 日常管理應急領導小組負責應急預案日常管理的統(tǒng)籌協(xié)調(diào)，組織各應急工作小組做好網(wǎng)絡安全事件日常預防工作，

18、落實網(wǎng)絡安全檢查、隱患排查、風險評估和容災備份，健全網(wǎng)絡安全信息通報機制，及時采取有效措施，減少和避免數(shù)據(jù)安全事件的發(fā)生及危害，提高應對數(shù)據(jù)安全事件的能力。5.2. 宣傳和培訓應急領導小組負責應急預案宣傳和培訓的統(tǒng)籌協(xié)調(diào)，組織各應急工作小組針對應急響應相關管理人員和技術人員、廳機關各處室單位的干部職工兩個重點群體做好宣傳和培訓工作。充分利用各種傳播媒介及其他有效的宣傳形式，如下發(fā)宣傳手冊、利用網(wǎng)絡、宣傳彩頁、期刊、視頻會議等手段開展應急預案的宣傳。（1）定期組織應急響應相關管理人員和技術人員的應急預案培訓，同時在應急預案的首次制定頒布、修訂等關鍵節(jié)點都要組織開展應急預案的不定期培訓。尤其對于重

19、要系統(tǒng)的專項應急預案在組織培訓的基礎上，應通過實際的應急響應演練過程，幫助相關人員不斷更新應急響應的知識和技能，提高各類人員的應急工作熟練程度，提高突發(fā)事件發(fā)生時應急響應的效率，并認真做好培訓效果的反饋和培訓計劃的更新。（2）組織廳機關各處室單位的干部職工進行應急預案普及宣傳培訓，加強數(shù)據(jù)安全事件預防和處置的有關法律、法規(guī)和政策的宣傳，開展數(shù)據(jù)安全基本知識和技能的宣傳活動，提高全體工作人員的應急意識和應急基本常識。5.3. 應急演練應急領導小組負責應急演練統(tǒng)籌協(xié)調(diào)，組織應急工作小組定期開展應急演練，檢驗和完善預案，提高實戰(zhàn)能力，每年至少組織一次預案演練。在更新應急預案后或者遇到可預見的安全事件

20、時，應及時開展應急響應演練，以檢驗應急預案的正確性，不斷加強人員的應急安全意識和應急響應的熟練程度。5.4. 管理和維護應急領導小組負責應急員管理和維護統(tǒng)籌協(xié)調(diào)，組織應急工作小組做好應急預案的維護工作，保證應急預案的有效性。應確保應急預案分發(fā)給所有應急相關人員，采用不同形式在多個地點進行保存，以確保預案在緊急情況下可用；預案在每次修訂后，確保所有的拷貝統(tǒng)一更新，按照有關規(guī)定及時銷毀舊版本；應急演練和數(shù)據(jù)安全事件發(fā)生后實際執(zhí)行時，對實際執(zhí)行過程進行詳細記錄，評估效果，對不足之處進行相應的修訂；應定期評審和修訂應急預案文檔，保證應急預案準確性和有效性。5.5. 重要活動期間的預防措施應急領導小組統(tǒng)

21、籌協(xié)調(diào)重要活動期間數(shù)據(jù)安全保障工作，要求各應急工作小組在重要活動期間進一步加強數(shù)據(jù)安全監(jiān)測和分析研判，加強數(shù)據(jù)安全事件的防范和應急響應，其中，核心網(wǎng)絡和重要信息系統(tǒng)的重點崗位應保持24小時值班，及時發(fā)現(xiàn)和處置數(shù)據(jù)安全事件隱患。6. 保障措施6.1. 人力保障應急領導小組明確應急保障工作組織體系和人員，明確領導責任，落實崗位責任制。加強應急人才隊伍建設，確保應急處置人員具備應急工作必要的技術能力，定期組織人員培訓以滿足應急工作的要求，并通過應急演練，保證應急處置人員的熟練度；建立長效的應急人員保障機制，包括設立專門的應急管理崗位。建立應急技術專家隊伍，為數(shù)據(jù)安全事件的預防和處置提供技術咨詢和決策建議。應急響應專家隊伍成員可由內(nèi)部和外部對應急響應工作經(jīng)驗豐富或數(shù)據(jù)安全應急方面資深人員組成。6.2. 物質(zhì)保障應急領導小組統(tǒng)籌協(xié)調(diào)應急工作小組具體落實物質(zhì)保障工作，加強對數(shù)據(jù)安全應急裝備、工具的儲備，及時調(diào)整、升級軟件硬件工具，不斷增強應急技術支撐能力。物質(zhì)保障需求由相關應急工作小組提出，由采購部門負責落實。6.3. 技術保障應急領導小組統(tǒng)籌協(xié)調(diào)應急工作小組落實技術保障工作，加強數(shù)據(jù)安全防范技術研究，不斷改進技術裝備，為應急響應工作提供技術支撐。加強政策引導，重點支持數(shù)據(jù)安全監(jiān)測預警、預防防護、處置救援、應急服務等方向，提升數(shù)據(jù)安全應急產(chǎn)業(yè)整體水平與核心競爭力，增強防范和處置數(shù)據(jù)安