網(wǎng)絡與信息安全事件專項應急預案

版本：版本：V0.1第頁，共13頁信息安全管理咨詢網(wǎng)絡與信息安全事件專項應急預案文件編號文件層級版本V0?1審核批準XX科學技術委員會保留所有權利。未經(jīng)版權所有者的書面許可，禁止通過直接復印機、縮微膠片、靜電復印術或任何其他方式以任何形式分發(fā)本文任何部分

修訂及審核記錄文檔信息當前版本V0.1文檔編號生命周期制訂人注：文件生命周期包括“起草-〉制訂-〉修訂-〉審核-〉批準-〉發(fā)布-〉歸檔”修訂記錄版次修訂校核提交日期修訂內(nèi)容摘要初始草案審核記錄版次審核人審核日期審核意見關聯(lián)章節(jié)目錄TOC\o"1-5"\h\z第一章總則4第二章事件分類分級4第三章組織機構與職責6第四章監(jiān)控預警8第五章應急響應9第六章應急處置11第七章監(jiān)督管理12第八章附則13第一章總則第一條編制目的為建立健全X區(qū)網(wǎng)絡與信息安全事件專項應急工作機制，提高應對突發(fā)網(wǎng)絡與信息安全事件能力，保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全運行，維護國家安全和社會穩(wěn)定，促進經(jīng)濟社會全面、協(xié)調(diào)、可持續(xù)發(fā)展，結(jié)合X區(qū)網(wǎng)絡與信息安全管理工作實際情況，特編制本預案。第二條編制依據(jù)依據(jù)《中華人民共和國突發(fā)事件應對法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《國家突發(fā)公共事件總體應急預案》、《國家網(wǎng)絡與信息安全事件應急預案》、《國家通信保障應急預案》、《信息安全事件分類分級指南》（GB/Z20986—2007）、《X網(wǎng)絡與信息安全事件專項應急預案》（滬府辦〔2009〕70號）等法律、法規(guī)和相關規(guī)定。第三條基本原則1、預防為主。根據(jù)X區(qū)網(wǎng)絡與信息安全事件專項應急預案的要求和規(guī)范，建立健全并執(zhí)行各種信息安全管理制度，有效預防網(wǎng)絡與信息安全事故的發(fā)生。2、分級負責。按照“誰主管誰負責，誰運營誰負責”的原則，建立和完善安全責任制。各部門應積極支持和協(xié)助應急處置工作。3、果斷處置。一旦發(fā)生網(wǎng)絡與信息安全事故，應迅速反應，及時啟動應急處置預案，盡最大力量減少損失，盡快恢復網(wǎng)絡與系統(tǒng)運行。第四條適用范圍本預案適用于X區(qū)范圍內(nèi)發(fā)生的預防處置III級（較大）、W級（一般）網(wǎng)絡與信息安全事件。第二章事件分類分級第五條事件分類網(wǎng)絡與信息安全事件分為有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設備設施故障和災害性事件等。（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。（2）網(wǎng)絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件和其他網(wǎng)絡攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件是指通過網(wǎng)絡傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。（5）設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。（6）災害性事件是指由自然災害等其他突發(fā)事件導致的網(wǎng)絡與信息安全事件第六條事件分類網(wǎng)絡與信息安全事件分為四級：1級（特別重大網(wǎng)絡與信息安全事件）、11級（重大網(wǎng)絡與信息安全事件）、III級（較大網(wǎng)絡與信息安全事件）、W級（一般網(wǎng)絡與信息安全事件）。符合下列情形之一的，為特別重大網(wǎng)絡與信息安全事件（I級）:（1）信息系統(tǒng)中斷運行2小時以上，影響人數(shù)100萬人以上。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成特別嚴重威脅，或?qū)е?0億元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成特別嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡與信息安全事件。符合下列情形之一且未達到特別重大網(wǎng)絡與信息安全事件（I級）的，為重大網(wǎng)絡與信息安全事件（II級）：（1）信息系統(tǒng)中斷運行30分鐘以上、影響人數(shù)10萬人以上。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成嚴重威脅，或?qū)е?億元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡與信息安全事件。符合下列情形之一且未達到重大網(wǎng)絡與信息安全事件（II級）的，為較大網(wǎng)絡與信息安全事件（III級）：（1）信息系統(tǒng)中斷運行造成較嚴重影響的。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成較嚴重威脅，或?qū)е?000萬元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構成較嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網(wǎng)絡與信息安全事件。除上述情形外，對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成一定威脅、造成一定影響的網(wǎng)絡與信息安全事件，為一般網(wǎng)絡與信息安全事件（W級）。第三章組織機構與職責第七條領導機構《X區(qū)突發(fā)公共事件總體應急預案》明確，本區(qū)突發(fā)公共事件應急管理工作由區(qū)委、區(qū)政府統(tǒng)一領導；區(qū)政府是本區(qū)突發(fā)公共事件應急管理工作的行政領導機構；區(qū)應急委決定和部署本區(qū)突發(fā)公共事件應急管理工作，其日常事務由區(qū)應急辦負責。第八條應急聯(lián)動機構X區(qū)應急聯(lián)動中心設在區(qū)公安局，作為本區(qū)突發(fā)公共事件應急聯(lián)動先期處置的職能機構和指揮平臺,履行應急聯(lián)動處置較大和一般突發(fā)公共事件、組織聯(lián)動單位對特大或重大突發(fā)公共事件進行先期處置等職責。各聯(lián)動單位在各自職責范圍內(nèi)負責突發(fā)公共事件應急聯(lián)動先期處置工作。第九條工作機構■區(qū)網(wǎng)絡與信息安全協(xié)調(diào)小組區(qū)網(wǎng)絡與信息安全協(xié)調(diào)小組（以下簡稱區(qū)網(wǎng)安協(xié)調(diào)小組）作為本區(qū)區(qū)級議事協(xié)調(diào)機構之一，主要負責綜合協(xié)調(diào)本區(qū)網(wǎng)絡與信息安全保障工作。區(qū)網(wǎng)絡與信息安全協(xié)調(diào)小組區(qū)網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室（以下簡稱區(qū)網(wǎng)安辦）設在區(qū)信息委，主任由區(qū)信息委主任擔任。區(qū)網(wǎng)安辦作為區(qū)網(wǎng)安協(xié)調(diào)小組的辦事機構，主要履行以下職責：（1）負責綜合協(xié)調(diào)本區(qū)網(wǎng)絡與信息安全工作，對網(wǎng)絡與信息安全事件應急管理工作進行指導、檢查和監(jiān)督；（2）具體承擔本區(qū)網(wǎng)絡與信息安全的值守應急、信息匯總等職能，辦理和督促落實本區(qū)網(wǎng)安協(xié)調(diào)小組的決定事項；（3）組織編制、修訂本區(qū)網(wǎng)絡與信息安全相關應急預案；（4）協(xié)調(diào)推進本區(qū)網(wǎng)絡與信息安全應急體系建設以及應急演練、保障和宣傳培訓等工作。區(qū)網(wǎng)絡與信息安全事件應急處置指揮部一旦發(fā)生重大、特別重大網(wǎng)絡與信息安全事件，必要時，網(wǎng)安協(xié)調(diào)小組轉(zhuǎn)為區(qū)網(wǎng)絡與信息安全事件應急處置指揮部(以下簡稱區(qū)應急處置指揮部)，統(tǒng)一組織指揮本區(qū)網(wǎng)絡與信息安全事件應急處置行動。區(qū)計算機病毒防范服務中心(區(qū)信息安全應急防范中心)，負責本區(qū)各類網(wǎng)絡與信息安全應急資源的管理與調(diào)度，提供網(wǎng)絡與信息安全事件應急處置技術支持和服務；建設和完善本區(qū)網(wǎng)絡與信息安全事件監(jiān)測預警網(wǎng)絡，發(fā)布本區(qū)相應級別的網(wǎng)絡與信息安全事件預警信息。其他有關單位。按照“誰主管誰負責，誰運營誰負責”原則，組織實施和指導本系統(tǒng)、行業(yè)的網(wǎng)絡與信息安全事件的應急處置。專家機構組建網(wǎng)絡與信息安全事件專家咨詢組，并與其他相關專家機構建立聯(lián)絡機制，為應急處置工作提供決策建議和技術指導，必要時參與網(wǎng)絡與信息安全事件的應急處置。專家顧問組的職責：在網(wǎng)絡與信息安全突發(fā)事件預防與應急處置時，提供咨詢與建議，必要時參與值班；在制定網(wǎng)絡與信息安全應急有關規(guī)定、預案、制度和項目建設的過程中提供參考意見；及時反映網(wǎng)絡與信息安全應急工作中存在的問題與不足，并提出改進建議對本區(qū)網(wǎng)絡與信息安全突發(fā)事件發(fā)生和發(fā)展趨勢、處置措施、恢復方案等進行研究、評估，并提出相關建議；參與網(wǎng)絡與信息安全突發(fā)事件應急培訓及相關教材編審等工作。第四章監(jiān)控預警第十條建立網(wǎng)絡與信息安全事件信息接收機制區(qū)信息安全應急防范中心按照區(qū)網(wǎng)安辦的要求，分析各工作機構上報的信息和監(jiān)測預警系統(tǒng)監(jiān)測到的信息，評估風險等級，報區(qū)網(wǎng)安辦，并根據(jù)確定的風險等級編制預警信息。預警信息包括網(wǎng)絡與信息安全事件的類別、預警級別、起始時間、可能影響的范圍、警示事項、應采取的措施和發(fā)布單位等。第十一條預警事件分級根據(jù)信息預測分析結(jié)果，對可能發(fā)生的網(wǎng)絡與信息安全事件進行預警。按照網(wǎng)絡與信息安全可能造成的危害、緊急程度和發(fā)展勢態(tài)，預警級別分為四級：I級（特別嚴重）、II級（嚴重）、III級（較重）和W級（一般），依次用紅色、橙色、黃色和藍色表示。（1）1級預警（紅色）。指發(fā)現(xiàn)新的網(wǎng)絡與信息安全威脅，可能影響本區(qū)所有網(wǎng)絡和重要信息系統(tǒng)，并有擴散到全市的可能性。（2）11級預警（橙色）。指發(fā)現(xiàn)新的網(wǎng)絡與信息安全威脅，可能影響本區(qū)基礎運營網(wǎng)絡或2家以上重要信息系統(tǒng)的全部業(yè)務，并有繼續(xù)擴散的可能性。（3）111級預警（黃色）。指發(fā)現(xiàn)新的網(wǎng)絡與信息安全威脅，可能影響本區(qū)1至2家基礎運營網(wǎng)絡或1至2家重要信息系統(tǒng)的全部業(yè)務，無擴散性。（4）W級預警（藍色）。指發(fā)現(xiàn)新的網(wǎng)絡與信息安全威脅，可能影響本區(qū)1家基礎運營的部分網(wǎng)絡或1至2家重要信息系統(tǒng)的部分業(yè)務，無擴散性。第十二條預警事件發(fā)布區(qū)網(wǎng)安辦根據(jù)網(wǎng)絡與信息安全事件的管理權限、危害性和緊急程度，統(tǒng)一發(fā)布、調(diào)整和解除預警信息，對嚴重、特別嚴重或可能衍生其他安全事件的預警信息，應按照區(qū)政府的決定由授權部門發(fā)布。面向信息安全重點單位的預警信息的發(fā)布、調(diào)整和解除，以電話、電子郵件、傳真等方式通知到所有相關單位以及相關的應急響應組織人員，所有被通知的單位和人員需要對接收到的預警信息進行確認；面向社會公眾的預警信息的發(fā)布、調(diào)整和解除可通過新聞媒體、通信、信息網(wǎng)絡或組織人員等方式進行。第五章應急響應第十三條響應等級根據(jù)網(wǎng)絡與信息安全事件的可控性、嚴重程度和影響范圍，應急響應級別分為四級：1級、II級、III級和W級，分別對應特別重大、重大、較大和一般網(wǎng)絡與信息安全事件。第十四條分級響應1、11級應急響應。發(fā)生重大或特別重大信息安全事件，區(qū)網(wǎng)安辦、區(qū)應急聯(lián)動中心立即報請或由區(qū)政府確定應急響應等級和范圍，啟動相應應急預案，必要時成立區(qū)應急處置指揮部，統(tǒng)一指揮、協(xié)調(diào)有關單位和部門實施應急處置。III、W級響應。發(fā)生一般、較大信息安全事件，區(qū)網(wǎng)安辦會同區(qū)應急聯(lián)動中心，組織協(xié)調(diào)區(qū)信息技術中心等專業(yè)機構及負責處置網(wǎng)絡與信息安全事件職責的部門和單位以及事發(fā)地鎮(zhèn)政府、開發(fā)區(qū)管委會，調(diào)度所需應急資源，協(xié)助事發(fā)單位開展應急處置。第十五條響應程序（1）應急資源調(diào)配人員協(xié)調(diào)。區(qū)網(wǎng)安辦根據(jù)具體的網(wǎng)絡與信息安全事件，負責組織協(xié)調(diào)信息安全專家、網(wǎng)絡專家、信息系統(tǒng)專家等各類應急響應技術人員。相關權限。區(qū)網(wǎng)安辦負責明確和協(xié)調(diào)處置機構或人員在應急響應過程中所需的權限。其它必要資源。區(qū)信息安全應急防范中心根據(jù)應急數(shù)據(jù)庫中的信息獲取處置事件所必需的資源，如網(wǎng)絡與通訊資源、計算機設備、網(wǎng)絡設備、網(wǎng)絡安全設備與軟件、處置案例、解決方案等，為處置小組提供參考。（2）處置方案制訂與檢驗。處置小組制訂具體處置方案，交由區(qū)信息安全應急防范中心組織相關工作機構、事發(fā)單位和有關職能部門進行檢驗，檢驗結(jié)果上報區(qū)應急處置指揮部。（3）處置決策與資源調(diào)度。區(qū)應急處置指揮部對市信息安全應急防范中心上報的檢驗結(jié)果進行評估，經(jīng)批準后，聯(lián)絡小組及有關部門按處置方案的要求，協(xié)調(diào)、落實所需的資源。（4）實施處置。處置小組根據(jù)指揮部下達的指令，按照承擔職責和操作權限建立運行機制，執(zhí)行對網(wǎng)絡與信息安全事件的應急處置。第六章應急處置第十六條信息報告與處理信息來源主要有以下三類：（1）預測預警系統(tǒng)監(jiān)測到的網(wǎng)絡與信息安全事件信息；（2）上級機構或其他職能部門通報的網(wǎng)絡與信息安全事件信息；（3）接到來自社會和各信息安全責任單位的報告信息。網(wǎng)絡與信息安全事件發(fā)生后，事發(fā)單位、責任單位和相關工作機構要按照相關應急預案和報告制度，在立即組織搶險救援的同時，及時匯總信息并迅速報告上級主管部門和區(qū)網(wǎng)安辦。發(fā)生一般網(wǎng)絡與信息安全事件，事發(fā)單位必須在半小時內(nèi)向區(qū)網(wǎng)安辦值班室（設在區(qū)信息安全應急防范中心）口頭報告，在1小時內(nèi)向區(qū)網(wǎng)安辦值班室（設在區(qū)信息安全應急防范中心）書面報告；較大以上網(wǎng)絡與信息安全事件或特殊情況，立即報告。第十七條信息處理可按以下程序進行：（1）記錄與了解。接到網(wǎng)絡與信息安全事件報警后，要先詳細記錄該事件的細節(jié)信息，了解事件造成的損失、影響以及現(xiàn)場控制情況，并盡可能全面了解與事件有關的信息。（2）事件確認與判斷。在匯總相關信息的基礎上，及時判斷事件性質(zhì)，并根據(jù)判定結(jié)果，開展下一步的工作。屬于網(wǎng)絡與信息安全事件的，應參考數(shù)據(jù)庫對該次事件做進一步的事件驗證，確認屬于網(wǎng)絡與信息安全事件的，應進入事件分析流程。屬于誤報的，值班人員應對該事件進行記錄和處理。對于與網(wǎng)絡與信息安全無關的事件，值班人員也應做好記錄，并將事件轉(zhuǎn)交給相關主管機構處理。（3）事件分析。事件確認后，根據(jù)掌握的信息，分析事件已經(jīng)造成的損失和預計損失、事件的嚴重程度和擴散性等情況。（4）準備啟動應急處置規(guī)程。市信息安全應急防范中心根據(jù)事件分析的結(jié)果，按照網(wǎng)絡與信息安全事件等級判斷標準擬定事件等級報市網(wǎng)安辦，由市網(wǎng)安辦確定事件等級，并做好啟動相應應急預案處置規(guī)程的準備。第十八條調(diào)查和評估區(qū)網(wǎng)安辦負責對網(wǎng)絡與信息安全事件的起因、性質(zhì)、影響、責任、經(jīng)驗教訓和恢復重建等問題進行調(diào)查和評估，調(diào)查評估情況要向區(qū)政府報告，并通報相關單位。（1）責任確定。應急處置工作