應急管理網(wǎng)絡安全應急預案

XX省應急管理廳網(wǎng)絡安全應急預案2019年11月5日—PAGE11—目錄1總則 11.1編制目的 11.2編制依據(jù) 11.3適用范圍 11.4工作原則 22組織指揮體系及職責 32.1組織指揮體系 32.2廳應急指揮部組成 32.3廳應急指揮部職責 32.4指揮部成員單位職責 42.5應急專家組 43應急處置 53.1事件分類 53.2事件分級 63.3先期處置 83.4應急響應 93.5響應調(diào)整 113.6應急結束 124事件上報 125后期處置 135.1事件監(jiān)測 135.2事件調(diào)查 135.3總結及改進 146培訓和演練 146.1培訓 146.2演練 156.3監(jiān)督檢查 157附則 157.1獎懲和責任追究 157.2應急指揮 157.3預案管理與更新 157.4預案實施時間 16總則編制目的為了建立健全XX省應急管理廳網(wǎng)絡安全事件應急工作機制，提高應對網(wǎng)絡安全事件能力，預防和減少信息系統(tǒng)安全突發(fā)事件及其造成的損害和影響，保障信息系統(tǒng)的安全穩(wěn)定運行，制定本預案。編制依據(jù)依據(jù)《中華人民共和國網(wǎng)絡安全法》《XX省網(wǎng)絡安全事件應急預案（試行）》《XX省應急管理廳網(wǎng)絡安全管理規(guī)定》等精神，制定本預案。適用范圍本預案所指網(wǎng)絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網(wǎng)絡和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件。本預案適用于XX省應急管理廳應對和處置各類對廳網(wǎng)絡信息系統(tǒng)造成嚴重損失和影響的突發(fā)事件，規(guī)范處理突發(fā)網(wǎng)絡信息事件的操作流程，建立網(wǎng)絡信息系統(tǒng)突發(fā)事件應急處置體系。工作原則（1）安全第一，預防為主。堅持“安全第一，預防為主”的方針，立足安全防護，加強預警，重點保護基礎信息網(wǎng)絡和主要業(yè)務信息系統(tǒng)；建立預防和預警機制，將風險評估和安全檢查列入常態(tài)工作，制定信息通報工作制度，做到早發(fā)現(xiàn)、早報告、早處置。（2）統(tǒng)一領導，分級負責。按照“誰主管、誰負責，誰使用、誰負責”的要求，實行“統(tǒng)一領導，分級負責”，建立健全信息系統(tǒng)安全突發(fā)事件應急處置工作責任制，明確責任。（3）常備不懈，加強演練。做好應對網(wǎng)絡信息系統(tǒng)突發(fā)事件的預案準備、應急資源準備、保障措施準備，制定科學的應急預案，規(guī)范應急處置措施與操作流程，定期組織開展應急培訓和應急演練，提高對各類事件的應急響應和綜合處理能力。（4）處置優(yōu)先，快速反應。發(fā)生信息系統(tǒng)安全突發(fā)事件時，按照“處置優(yōu)先，快速反應”原則，及時獲取充分而準確的信息，跟蹤研判，果斷決策，按照相關應急預案進行迅速處置，最大程度地減少危害和影響。組織指揮體系及職責組織指揮體系在省應急管理科技信息化工作領導小組統(tǒng)一領導下，設立省應急管理廳網(wǎng)絡安全應急指揮部（以下簡稱“廳應急指揮部”），作為廳網(wǎng)絡信息安全突發(fā)事件應急工作的指揮機構，具體負責有關網(wǎng)絡安全事故應急指揮和協(xié)調(diào)工作。廳應急指揮部組成省應急管理廳網(wǎng)絡安全應急指揮部總指揮由省應急管理科技信息化工作領導小組常務副組長擔任，根據(jù)實際情況設立副總指揮，指定一名工作人員作為聯(lián)絡員。指揮部成員包括：廳辦公室、宣教處、科信處、救援中心單位負責人，以及網(wǎng)絡安全突發(fā)事件相關單位領導和有關人員。廳應急指揮部職責廳應急指揮部主要職責：負責組織、指揮、協(xié)調(diào)全廳網(wǎng)絡安全事故應急救援工作；協(xié)調(diào)與省網(wǎng)絡安全應急辦、省信息中心等有關部門、單位之間的聯(lián)系；在與省網(wǎng)絡安全應急辦溝通后，決定應急響應級別；在與省網(wǎng)絡安全應急辦溝通后，決定啟動廳網(wǎng)絡安全事故應急預案響應程序及終止應急救援行動；做好廳網(wǎng)絡安全事故情況的上報工作。指揮部成員單位職責廳辦公室負責協(xié)調(diào)并參與監(jiān)督、檢查應急管理廳系統(tǒng)網(wǎng)絡安全工作；履行廳保密委員會辦公室職責，指導所屬單位保密、政務信息工作，負責機關涉密網(wǎng)、公文傳輸管理?？菩盘庁撠熤笓]部的相關組織協(xié)調(diào)工作，指導廳屬單位開展網(wǎng)絡安全檢查和應急演練；成立網(wǎng)絡安全應急專家組，組織開展安全違規(guī)事件調(diào)查工作。宣教處負責廳門戶網(wǎng)站和新媒體的管理工作及網(wǎng)絡信息安全，做好網(wǎng)站和新媒體內(nèi)容監(jiān)測，當網(wǎng)絡安全事件發(fā)生后，配合完成網(wǎng)絡安全檢查及應急處置等工作。救援中心負責每年開展網(wǎng)絡和信息系統(tǒng)安全風險評估，分析風險隱患，處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入、數(shù)據(jù)泄露等安全風險。廳屬各單位是網(wǎng)絡安全工作的責任單位，負責本單位網(wǎng)絡和信息系統(tǒng)的監(jiān)測監(jiān)控、預警處置等安全運維工作，制定本單位的應急預案或臨時應急措施，當網(wǎng)絡安全事件發(fā)生后，配合完成網(wǎng)絡安全檢查及應急處置等工作。應急專家組根據(jù)事故類別和部門應急救援職責，組織成立網(wǎng)絡安全應急專家組。應急專家組由相關領域技術和應急管理專家組成。主要職責是：（1）對全廳網(wǎng)絡安全應急管理工作提供技術咨詢；（2）對網(wǎng)絡安全事故應急處置技術措施提出建議；（3）參與審查網(wǎng)絡安全事故應急處置方案；（4）對網(wǎng)絡安全事故處置工作進行技術指導等。應急處置事件分類信息系統(tǒng)存在受到計算機病毒、漏洞攻擊、掃描竊聽以及設備設施故障等風險，上述風險引起的信息安全突發(fā)事件主要包括：（1）有害程序類突發(fā)事件：指受到有害程序的影響而導致的信息安全突發(fā)事件。有害程序類事件包含計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件等。（2）網(wǎng)絡攻擊類突發(fā)事件：指通過網(wǎng)絡或其它技術手段，利用配置缺陷、協(xié)議缺陷、程序缺陷等攻擊信息系統(tǒng)，造成信息系統(tǒng)異?；虿豢捎玫男畔踩话l(fā)事件。網(wǎng)絡攻擊類事件包括拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡掃描竊聽事件、網(wǎng)絡釣魚事件、干擾事件等。（3）信息破壞類突發(fā)事件：指通過網(wǎng)絡或其它技術手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導致系統(tǒng)癱瘓、數(shù)據(jù)毀壞、數(shù)據(jù)泄密的信息安全突發(fā)事件。信息破壞類事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件等。（4）信息內(nèi)容安全類突發(fā)事件：指利用網(wǎng)絡發(fā)布或傳播危害國家安全、社會穩(wěn)定和公共利益的內(nèi)容的信息安全突發(fā)事件。信息內(nèi)容包括違反憲法和法律、行政法規(guī)的信息，組織串連、煽動集會游行的信息等。（5）故障類突發(fā)事件：指信息系統(tǒng)因自身或外圍設備設施故障、以及人為誤操作等導致的信息安全突發(fā)事件。故障類事件包括軟硬件自身故障、外圍保障設施故障、人為破壞事故、人為誤操作事故等。（6）災害類突發(fā)事件：指由于不可抗力對信息系統(tǒng)造成物理破壞而導致的信息安全突發(fā)事件。災害類事件包括水災、臺風、冰災、火災、雷擊、地震、坍塌、恐怖襲擊、戰(zhàn)爭等導致的信息安全突發(fā)事件。事件分級根據(jù)網(wǎng)絡安全事件的影響范圍、嚴重程度、可能產(chǎn)生的后果和損失等因素，將安全事件分為Ⅰ級（特別重大）、Ⅱ級（重大）、Ⅲ級（較大）、IV級（一般）。3.2.1特別重大網(wǎng)絡安全事件（Ⅰ級）符合下列情形之一的，為特別重大網(wǎng)絡安全事件：重要網(wǎng)絡和信息系統(tǒng)遭受特別嚴重的系統(tǒng)損失，造成系統(tǒng)大面積癱瘓，喪失業(yè)務處理能力，對單位造成巨大損失或產(chǎn)生嚴重不良社會影響。國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成特別嚴重威脅。其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡安全事件。3.2.2重大網(wǎng)絡安全事件（Ⅱ級）符合下列情形之一且未達到特別重大網(wǎng)絡安全事件的，為重大網(wǎng)絡安全事件：重要網(wǎng)絡和信息系統(tǒng)遭受嚴重的系統(tǒng)損失，造成系統(tǒng)長時間中斷或局部癱瘓，業(yè)務處理能力受到極大影響，對單位造成重大損失或產(chǎn)生較嚴重不良社會影響。國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成嚴重威脅。其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網(wǎng)絡安全事件。3.2.3較大網(wǎng)絡安全事件（Ⅲ級）符合下列情形之一且未達到重大網(wǎng)絡安全事件的，為較大網(wǎng)絡安全事件：重要網(wǎng)絡和信息系統(tǒng)遭受較大的系統(tǒng)損失，造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，業(yè)務處理能力受到影響，對單位造成較大損失或產(chǎn)生較大不良社會影響。國家秘密信息、重要敏感信息和關鍵數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構成較嚴重威脅。其他對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網(wǎng)絡安全事件。3.2.4一般網(wǎng)絡安全事件（Ⅳ級）除上述情形外，重要網(wǎng)絡和信息系統(tǒng)遭受較小的系統(tǒng)損失，一定程度上影響業(yè)務處理，對國家安全、社會秩序、經(jīng)濟建設和公眾利益構成一定威脅、造成一定影響的網(wǎng)絡安全事件，為一般網(wǎng)絡安全事件。先期處置發(fā)生特別重大、重大、較大網(wǎng)絡安全事件后，廳應急指揮部組織各成員單位進行應急處置，需要內(nèi)部多個部門專業(yè)協(xié)同處置或外部應急資源支持的應急事件，由廳應急指揮部負責統(tǒng)一協(xié)調(diào)。網(wǎng)絡安全事件相關單位應密切關注突發(fā)事件情況，開展各項應急準備前期工作。廳應急指揮部組織、指揮、調(diào)度相關應急力量及時隔離故障區(qū)域，初步收集受損情況，并及時匯總上報給省網(wǎng)絡安全應急辦。應急響應3.4.1I級響應在省網(wǎng)絡安全應急指揮部啟動或同意啟動I級響應后，廳應急指揮部進入應急狀態(tài)，在省網(wǎng)絡安全應急部的統(tǒng)一領導、指揮、協(xié)調(diào)下，開展應急救援工作。（1）廳應急指揮部總指揮、副總指揮以及聯(lián)絡員全天候值班，信息系統(tǒng)管理職能部門負責人、與應急相關的其他部門負責人以及相關設備廠商或系統(tǒng)開發(fā)商責任人就位，取消休假，處于隨時待命狀態(tài)。（2）受影響的應用系統(tǒng)業(yè)務主管部門，啟動對應業(yè)務的單項應急預案或臨時應急措施，必要時臨時用人工方式處理業(yè)務。（3）救援中心全員參與故障排除和應急處置，廳應急指揮部調(diào)派相關網(wǎng)絡信息技術專家參與現(xiàn)場工作組的工作。（4）科信處及時跟蹤事態(tài)發(fā)展，收集、整理應急救援情況的信息，并報送給廳應急指揮部和省網(wǎng)絡安全應急辦，直到應急結束。3.4.2II級響應在省網(wǎng)絡安全應急指揮部啟動或同意啟動II級響應后，廳應急指揮部進入應急狀態(tài)，在省網(wǎng)絡安全應急部的統(tǒng)一領導、指揮、協(xié)調(diào)下，開展應急救援工作。（1）廳應急指揮部總指揮或副總指揮、聯(lián)絡員全天候值班，信息系統(tǒng)管理職能部門負責人、與應急相關的其他部門負責人以及相關設備廠商或系統(tǒng)開發(fā)商責任人就位，取消休假，處于隨時待命狀態(tài)。（2）受影響的應用系統(tǒng)業(yè)務主管部門，啟動對應業(yè)務的單項應急預案或臨時應急措施，必要時臨時用人工方式處理業(yè)務。（3）救援中心全員參與故障排除和應急處置，廳應急指揮部調(diào)派相關網(wǎng)絡信息技術專家參與現(xiàn)場工作組的工作。（4）科信處及時跟蹤事態(tài)發(fā)展，收集、整理應急救援情況的信息，并報送給廳應急指揮部和省網(wǎng)絡安全應急辦，直到應急結束。3.4.3III級響應啟動III級響應后，廳應急指揮部進入應急狀態(tài)，履行應急處置工作的組織、指揮和協(xié)調(diào)職責，開展應急救援工作。（1）總指揮或副總指揮、聯(lián)絡員全天候值班，與應急相關的人員就位，取消休假，處于隨時待命狀態(tài)。（2）受影響的應用系統(tǒng)業(yè)務主管部門，啟動對應業(yè)務的單項應急預案或臨時應急措施。（3）救援中心負責故障排除和應急處置，必要時由廳應急指揮部調(diào)派相關網(wǎng)絡信息技術專家組成專家組赴現(xiàn)場參與應急處置工作。（4）科信處及時跟蹤事態(tài)發(fā)展，收集、整理應急救援情況的信息，并報送給廳應急指揮部和省網(wǎng)絡安全應急辦，直到應急結束。3.4.4IV級響應啟動IV級響應后，廳應急指揮部進入應急狀態(tài)，組織開展相關的應急處置工作。（1）副總指揮、聯(lián)絡員、與應急相關的人員就位，處于隨時待命狀態(tài)。（2）受影響的應用系統(tǒng)業(yè)務主管部門，啟動對應業(yè)務的單項應急預案或臨時應急措施。（3）救援中心負責故障排除和應急處置，必要時由廳應急指揮部調(diào)派相關網(wǎng)絡信息技術專家組成專家組赴現(xiàn)場參與應急處置工作。（4）科信處及時跟蹤事態(tài)發(fā)展，收集、整理應急救援情況的信息，并報送給廳應急指揮部，直到應急結束。響應調(diào)整I級響應和II級響應事件：由省網(wǎng)絡安全應急辦下令調(diào)整。III級響應和IV級響應事件：廳應急指揮部視事件發(fā)展情況、危害程度、事件分級條件等綜合因素研究決定是否調(diào)整事件響應，并報省網(wǎng)絡安全應急辦批準。應急結束I級響應和II級響應：由省網(wǎng)絡安全應急辦下令解除應急狀態(tài)，并由廳應急指揮部通知廳各部門。III級響應和IV級響應：在網(wǎng)絡信息安全突發(fā)事件已得到有效控制，情況趨緩或網(wǎng)絡信息安全突發(fā)事件處置結束，網(wǎng)絡信息安全恢復正常運行的情況下，由廳應急指揮部下令解除應急狀態(tài)，恢復正常秩序。事件上報建立突發(fā)事件報告制度。報告分為緊急報告和詳細匯報。緊急報告是指事件發(fā)生后，有關單位和人員向廳應急指揮部以口頭和應急報告表形式匯報事件的簡要情況；詳細匯報是指在網(wǎng)絡安全事件處理暫告一段落后，以書面形式提交的詳細報告。口頭報告的內(nèi)容主要包括事件發(fā)生的時間、概況、可能造成的影響等情況。廳應急指揮部初判為特別重大、重大、較大網(wǎng)絡安全事件的，立即報告省網(wǎng)絡安全應急辦。任何處室、單位和個人均不得緩報、瞞報、謊報或者授意他人緩報、瞞報、謊報事件。后期處置事件監(jiān)測Ⅰ級網(wǎng)絡信息安全突發(fā)事件應急處理結束后應安排專人密切關注、監(jiān)測系統(tǒng)2周，確認無異?，F(xiàn)象。Ⅱ級網(wǎng)絡信息安全突發(fā)事件應急處理結束后應安排專人密切關注、監(jiān)測系統(tǒng)1周，確認無異?，F(xiàn)象。Ⅲ、IV級網(wǎng)絡信息安全突發(fā)事件應急處理結束后應安排專人密切關注、監(jiān)測系統(tǒng)2天，確認無異常現(xiàn)象。事件調(diào)查特別重大網(wǎng)絡安全事件由國家網(wǎng)絡安全應急辦、省網(wǎng)絡安全應急辦組織進行調(diào)查處理和總結評估，廳應急指揮部配合。重大網(wǎng)絡安全事件由省網(wǎng)絡安全應急辦組織進行調(diào)查處理和總結評估，廳應急指揮部配合。較大網(wǎng)絡安全事件和一般網(wǎng)絡安全事件由廳應急指揮部組織調(diào)查處理和總結評估。較大網(wǎng)絡安全事件和一般網(wǎng)絡安全事件應急處理結束后，有關單位應按照信息系統(tǒng)事故調(diào)查相關要求，組成事件調(diào)查組對事件進行調(diào)查，形成事件調(diào)查報告。調(diào)查要準確、及時、公正地查清事件起因、性質(zhì)、影響和責任，總結經(jīng)驗教訓，提出改進措施，并對責任者提出處理意見。調(diào)查報告及時報省網(wǎng)絡安全應急辦。按照單位規(guī)定自行組織調(diào)查的