政务部门信息安全应急预案编制.doc

政务部门信息安全应急预案编制指南北京市地方标准编制说明一、任务来源，起草单位，协作单位，主要起草人本任务的来源是：北京市质量技术监督局下发的2014年北京市地方标准修订项目计划，项目编号：20141080。本标准由北京市经济和信息化委员会提出、归口和解释。起草单位包括：北京市政务信息安全应急处置中心、中国科学院信息工程研究所、北京邮电大学。主要起草人包括：王宗君、刘鹏、刘宝旭、史宜会、陈钊、王枞、郭子亮、杨泽明、刘建毅、李若愚、汪秋云、严坚、刘涛、郭立生。二、制定标准的必要性和意义1、落实政策法规的要求国务院办公厅关于印发突发事件应急预案管理办法的通知（国办发2013101号）明确单位和基层组织应急预案由机关、企业、事业单位、社会团体和居委会、村委会等法人和基层组织制定，北京市网络与信息安全事件应急预案（京应急委发201223号）明确市级单位预案由市级网络与信息系统运营使用管理单位负责制定修订，且市经信负责监督、检查、指导全市电子政务信息安全时间的预防和应对工作。该标准为了解决目前电子政务部门、单位、基层组织信息安全应急预案编制形式简单、编制目的模糊、编制内容宏观、编制方法落后、完善方式简单、衔接不一致等问题，指导北京市范围内各电子政务部门、单位、基层组织网络与信息安全预案的编制工作。同时，北京市在2008年北京市实施办法，2010年北京市人民政府关于实施北京市突发事件总体应急预案的决定（京政发201012号），2013年6月，北京市突发事件应急委员会办公室发布了关于开展区县总体应急预案、市级专项和市级部门应急预案修订与编制工作的通知均对各专业方向制定应急预案提出了明确的要求。2、保障北京市政务信息安全的要求随着近些年北京市信息化的发展趋势，“十三五”时期是北京市重要战略机遇期，也是北京加快信息化发展、融入信息时代全球城市竞争新格局、引领全国城市发展的关键时期。随着新一轮信息技术革命的深入推进，以“智能化”为特征的信息化为北京实现跨越式发展提供了新思路、新方法和新路径，北京在深入贯彻科学发展观、全面推进“智慧北京”建设、努力建设中国特色世界城市的同时，也使得基础网络与重要信息系统对北京市的城市运行、管理、服务、保障等工作的支撑作用更加突出。北京作为首都，人口稠密、经济要素高度积聚，政治、经济、文化等国际交往频繁，重大活动多,信息安全突发事件诱因复杂，应急处置难度大，北京地区一旦发生重大或特别重大网络与信息安全事件，势必对北京市的公共安全、政治稳定和社会经济秩序构成严重威胁，并对其它地区产生重大影响。3、规范和指导政务部门信息安全应急预案的需要网络与信息安全应急预案是信息安全突发事件应对工作的基础和关键。市通信保障和信息安全应急指挥部办公室为市通信保障和信息安全应急指挥部的常设办事机构，设在北京市经济和信息化委员会（以下简称“经信委”），具体承担本市网络与信息安全事件应对工作和应急通信保障工作的规划、组织、协调、指导、检查职责。为配合经信委对全市电子政务信息安全应急工作的管理，2008年特成立北京市政务信息安全应急处置中心（以下简称“应急中心”）,配合上级主管部门制定和完善市级信息安全应急预案，指导北京市各政务部门制定应急预案并组织应急预案培训。近年来，国家信息化主管部门编制了初成体系的网络与信息安全应急预案大纲，很多单位根据国家的有关要求，纷纷着手编制各自的网络与信息安全应急预案。为更好的完成北京市网络与信息安全事件应急预案修订与北京市电子政务网络与信息安全应急预案的编制工作，2012年5月至2013年8月期间，应急中心相关人员会同其他部门选取部分市级委办局、区县，就上述工作开展调研，通过对北京市各单位网络与信息安全应急预案的分析，发现编制全面、规范、可操作性强的应急预案缺乏可直接参照的范本，很多单位在网络与信息安全应急预案编制过程中存在编制形式简单、编制目的模糊、编制内容宏观、编制方法落后、完善方式简单、衔接不一致等问题，需制定统一的标准对其进行规范。综上所述，在今后经信委落实政策法规要求，开展相关工作以及提供应急预案编制指导时，需要依托该标准为全市党政机关及各委办局用户提供相应的编制依据，规范编制内容，制定政务部门信息安全应急预案编制指南标准具有重大的现实意义。三、主要工作过程1、2012年5月至2013年8月期间，北京市政务信息安全应急处置中心应急工作部相关人员会同其他部门选取部分市级委办局、区县对北京市网络与信息安全事件应急预案修订与北京市电子政务网络与信息安全应急预案的编制工作开展调研分析工作(具体报告见附件材料)通过对15个区县进行调研，15个区县应急预案编制情况较好，15个区县都已制定了应急预案，但也存在一些问题，问题主要集中在未及时修订应急预案（6/15）。15个区县在应急预案编制中普通存在的问题是缺乏合作协调和相互衔接（6/15）。通过对25家委办局进行调研，25家委办局应急预案编制情况较好，24家委办局都已制定了应急预案，有1家委办局未制定应急预案，但也存在一些问题，问题主要集中在未及时修订应急预案（14/25）。25家委办局在应急预案编制中普通存在的问题是缺乏合作协调和相互衔接（8/25）和预案的修订程序欠缺（6/25）。通过本次调研发现各个单位在预案修订或制定方面比有很大程度的提高，多数被走访单位对应急预案进行了修订，现有应急预案已做成一定体系，有一定实操性；但各单位在预案编制/修订中也遇到了不知道如何编制/修订、缺乏专业指导、缺乏预算支撑等问题，各单位普遍希望得到北京市政务信息安全应急处置中心的预案修订指导服务。针对此次调研结果发现的问题，北京市政务信息安全应急处置中心特制定了电子政务信息安全应急预案编制指南以对进行指导。并在2013年至2015年期间选取部分单位进行试点，现已经在昌平区、残联、地税、首都之窗等单位进行预案编制指导，并取得很好的效果。1、2012年承担了北京市政务信息安全监控预警系统升级改造项目,建设过程中对15个厂家五大类51种产品的原始异构数据进行了调研，调研内容涵盖产品的现状、数据上报接口、状态检测接口、数据交互接口和统一身份认证接口，在升级改造过程中实现全网信息源格式有效统一，并形成“调研报告”一篇。 2、2012年承担了北京市政务信息安全事件数据采集规范及智能关联分析研究课题，对当前已有信息安全监控设备数据上报、状态检测接口进行梳理，制定统一的数据采集接口规范，规范监控系统接口和采集数据格式，形成北京市政务信息安全监控数据接口规范（草案）一篇。3、2013年6月，为规范北京市电子政务信息系统安全监控工作，实现全市电子政务信息安全监控数据分析共享，北京市政务信息安全应急处置中心、北京天诚星源信息技术有限公司、北京邮电大学共同组成电子政务信息安全监控数据规范标准编制组，召开该标准编制启动工作会议。会上，对标准编制的组织形式及任务分工进行了安排，会上形成了“会议决议”一份。4、2013年11月，标准编制组完成了地区标准电子政务信息安全监控数据规范（草案），在草案完成后，标准制定方组织了来自市标准化协会、市资源中心、市信标委等多家单位的专家对草案及申报书进行了专家论证。会议形成了“专家意见”一份。5、2013年12月，标准编制组按照“北京市地方标准申报流程”对电子政务信息安全监控数据规范地方标准进行了申报，并于2014年4月获得立项（编号：20141080）。6、2014年3月至5月，标准编制组分别向北京市财政局信息中心、北京市地税局信息中心、北京市国土资源局信息中心、北京市标准化协会、工业和信息化部电子工业标准化研究院、北京市信息安全测评中心等单位的专家进行了专家咨询和征求意见，标准编制组对此意见做出了处理，形成征求意见稿。7、2014年6月24日，标准编制组邀请了来自中国特种设备检测研究院、中科院计算所、北京科技大学、首都师范大学、电信研究院泰尔实验室、中国软件评测中心、东华软件股份公司、北京航空航天大学、北京交通大学等单位的专家对电子政务信息安全监控数据规范进行了征求意见，共收到专家意见书9份，专家组意见书1份，其中意见14条，采纳14条。8、2014年6月26日，标准编制组邀请了来自NEC、同有、avago、三零卫士、北京CA等企业单位的专家对电子政务信息安全监控数据规范进行了征求意见，共收到专家意见书15份，专家组意见书1份，其中意见14条，采纳13条。 9、2014年8月，北京市经济和信息化委员会分别向北京市财政局标准编制组按已采纳的专家意见对标准征求意见稿进行了修改，形成电子政务信息安全监控数据规范征求意见稿一份，并由北京市经济和信息化委员会分别向北京市财政局、北京市国土局、北京市科委、北京市卫生和计划生育委员会、北京市住建委、北京市信访办、北京市教育委员会、北京市市政市容委、北京市统计局、北京市工商行政管理局、北京市发展和改革委员会、北京市密码管理局、北京市安全生产监督管理局、工信部电信研究院泰尔实验室、中国电子技术标准化研究院、国都兴业信息审计系统技术(北京)有限公司、北京神州绿盟科技有限公司、北京网御星云信息技术有限公司、深圳市深信服电子科技有限公司、杭州安恒信息技术有限公司、北京冠群金辰软件有限公司、任子行网络技术股份有限公司、北京启明星辰信息安全技术有限公司、北京知道创宇信息技术有限公司等单位发公函征求意见，收到回函26个，其中5份函复意见，其中意见18条，采纳12条。 10、2015年4月17日，标准编制组邀请了来自北京市经信委科技标准处、北京市经信委信息安全协调处（应急处）、北京市财政局、北京市卫生和计划生育委员会、工信部电子工业标准化研究所、北京市标准化协会、全球网络存储工业协会中国技术中心等专家对电子政务信息安全监控数据规范进行了征求意见，共收到专家意见书11份，采纳意见11份。11、2015年9月，北京市经济和信息化委员会向北京市公安局发函征求意见，对于该标准无函复意见。12、2015年10月，标准编制组根据前期采集意见对标准征求意见稿进行了修改，形成送审意见稿。13、2015年11月，北京市质量技术监督局组织对于标准的审查会，来自工业和信息化部电子工业标准化研究院、工业和信息化部电信研究院、北京标准化协会、北京市国土资源局信息中心、北京启明星辰信息安全技术有限公司、北京安信天行科技有限公司、北京神州绿盟科技有限公司等单位的专家及北京市经济和信息化委员会的相关同志参加了会议，对标准进行审查，形成审查会会议纪要。14、2015年11月，标准编制组根据审查会会议纪要对标准送审意见稿的内容进行了修改，形成报批稿，并由北京市经济和信息化委员会向北京市质量技术监督局报批。四、制定标准的原则和依据，与现行法律、法规、标准的关系1、本标准的原则和依据中华人民共和国突发事件应对法第十七条国家建立健全突发事件应急预案体系。国务院制定国家突发事件总体应急预案，组织制定国家突发事件专项应急预案；国务院有关部门根据各自的职责和国务院相关应急预案，制定国家突发事件部门应急预案。地方各级人民政府和县级以上地方各级人民政府有关部门根据有关法律、法规、规章、上级人民政府及其有关部门的应急预案以及本地区的实际情况，制定相应的突发事件应急预案。应急预案制定机关应当根据实际需要和情势变化，适时修订应急预案。应急预案的制定、修订程序由国务院规定。国家突发公共事件总体应急预案1.6应急预案体系突发公共事件地方应急预案。具体包括：省级人民政府的突发公共事件总体应急预案、专项应急预案和部门应急预案；各市（地）、县（市）人民政府及其基层政权组织的突发公共事件应急预案。上述预案在省级人民政府的领导下，按照分类管理、分级负责的原则，由地方人民政府及其有关部门分别制定。北京市实施办法第十五条市突发事件应急委员会应当组织编制突发事件应急预案的制定规范，明确应急预案的体系构成、主要内容、制定和审批程序、管理责任与要求等。北京市人民政府关于实施北京市突发公共事件总体应急预案的决定（京政发200517号）进一步加强法制建设，使应急管理工作逐步实现规范化、制度化和法制化。北京市网络与信息安全事件应急预案（京应急委发201223号）明确市级单位预案由市级网络与信息系统运营使用管理单位负责制定修订，且市经信负责监督、检查、指导全市电子政务信息安全时间的预防和应对工作。该标准为了解决目前电子政务部门、单位、基层组织信息安全应急预案编制形式简单、编制目的模糊、编制内容宏观、编制方法落后、完善方式简单、衔接不一致等问题，指导北京市范围内各电子政务部门、单位、基层组织网络与信息安全预案的编制工作。国务院办公厅关于印发突发事件应急预案管理办法的通知（国办发2013101号）明确单位和基层组织应急预案由机关、企业、事业单位、社会团体和居委会、村委会等法人和基层组织制定。2、与现行法律、法规、标准的关系我国的信息安全标准化工作起步较晚,信息安全方面相关标准的制定相对滞后,应急响应方面的相关标准更是不能满足应急体系的发展要求。目前我国的应急体系已经发展到比较完善的阶段,现在需要更规范的阶段,只有加快国家相关标准的制定才能让它发挥更重要的作用。随着国际应急响应组织的不断发展壮大,为了指导和规范各组织的应急响应,国际上已制定出很多信息安全应急响应方面的标准,主要如下:1991年11月,美国国家标准与技术协会 NIST 制定了SP 800-3:建立计算机安全事件响应能力1998年6月,互联网工程任务组(IETF)制定了 RFC 2350:计算机安全应急响应期望1998年12月,美国国家标准与技术协会 NIST 制定了 SP 800-18:联邦信息系统安全计划制定指南2002年6月,美国国家标准与技术协会 NIST 制定了 SP800-34:信息技术系统应急计划指南2004年1月,美国国家标准与技术协会 NIST 制定了 SP800-61:计算机安全事件处理指南2004年10月,国际标准化组织(ISO)和国际电工委员会(IEC)制定了ISO/IEC TR 18044-2004:信息技术安全技术信息安全事件管理2005年11月,美国国家标准与技术协会 NIST 制定了 SP800-83:恶意代码事件预防和处理指南2006年9月,美国国家标准与技术协会 NIST 制定了 SP800-84:信息系统计划和能力的测试、培训和演练指南2006年8月,美国国家标准与技术协会 NIST 制定了 SP800-86:应急响应整体取证技术指南目前我国也制定了一些应急预案方面的标准,它们如下:GB/Z 20985-2007信息技术 安全技术 信息安全事件管理指南该指南对信息安全事件发现、报告、评估、总结进行了规范，其第7部分对于信息安全事件的规划和准备进行了明确，提出应当将相关方案形成文件，但对文件的形式、范围、内容要求并无直接要求，且该标准多参考国际标准ISO/IEC TR 18044-2004:信息技术安全技术信息安全事件管理的相关内容，不具备对于应急预案编制的指导与规范作用。GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南该指南对信息安全事件进行了分类，但未对各类事件的应对和相关方案的内容进行要求。GB/T 24363-2009信息安全技术 信息安全应急响应计划规范该指南对于信息安全应急响应计划进行了规范，但该响应针对于灾难恢复或备份系统恢复为主要手段的相应，而对于需对信息安全现场处置以及不需要恢复系统介入的内容并无介绍，且响应计划规范偏于技术实施，与预案编制无关，无法指导单位或组织按国家规定的预案框架行预案编制。目前我国应急响应预案方面的标准相对较少,尤其是科学的信息安全应急响应标准体系尚未形成,需要加快信息安全相关应急响应标准的制定步骤,以满足不断成熟完善的信息安全应急响应体系。电子政务信息安全应急预案编制指南的制定应在参考借鉴国外标准先进模式的基础上,从北京市的实际出发,充分考虑与国内现有的其他应急响应相关标准和规范的协调问题,并紧密结合相关行业技术发展和实践经验。五、主要条款的说明，主要技术指标、参数、实验验证的论述本标准针对预案编制形式简单、编制目的模糊、编制内容宏观、编制方法落后、完善方式简单、衔接不一致等问题，对预案编制的科学性、针对性、可操作性和完整性进行了规范，可用于指导北京市范围内党政机关网络与信息安全预案的编制工作。本标准规定了北京市电子政务编制信息安全事件应急预案（以下简称应急预案）的编制程序、体系构成以及预案内容和附件的主要内容。主要技术内容如下：应急预案编制流程对应急预案的编制流程进行明确，将其规范为启动应急预案编制工作、应急调查、风险评估、业务影响分析、应急资源和能力评估、应急预案编制、应急预案评审及修订、应急预案发布及生效等过程。构建应急预案体系明确综合预案、专题预案和现场处置方案等组成的应急预案体系。为各政务部门制定各层级预案，通过综合预案阐述组织和机构信息安全应急工作的基本原则、总体目标、应急组织结构、部门职责、应急行动总体思路、应急救援活动总体思路、应急救援活动的组织协调。通过专题预案针对某种具体的、特定类型的信息安全事件的应急响应计划。通过现场处置方案对各个信息系统应急响应做出周密而细致的安排，规范各岗位的应急处置职责，组织本单位现场作业人员及相关专业人员共同进行编制现场处置方案。通过不同层次的预案明确部门进行信息安全应急时的组织、范围和实操手册的要求。预案内容与附件结合应急处置过程需要规定应急预案的内容，明确应急预案应当包含框架以及框架中的要素，以及需明确的预案附件的内容，包括相关人员联系方式，应急装备物资清单，规范化格式文本，关键路线、标识和图纸，以及有关协议和备忘录等。资料性附录按照编制指南中的内容，对于各类预案提供模板作为资料性附录，为标准读者提供直观参考。六、重大意见分歧的处理依据和结果本标准无重大意见分歧。七、采用国际标准和国外先进标准的，说明采标程度，以及与国内外同类标准水平的对比情况本标准未采用国际标准和国外先进标准。八、作为推荐性标准或者强制性标准的建议及其理由随着网络与信息化程度的不断提高及复杂化，信息安全事件不断出现，计算机病毒网络化趋势愈来愈明显，黑客攻击呈现指数增长，利用互联网传播有害信息的手段层出不穷。仅通过单纯的技术手段应对突发事件，无法实现业务的快速恢复。尤其在网络与信息安全领域，通过身份认证、加密、访问控制、防病毒、防火墙、漏洞扫描、入侵检测、审计等技术手段增加信息系统健壮性，从而保障信息系统运行的方式，已不能满足网络与信息安全工作的需要。而应急管理通过体系化的建设，在预防、准备、响应、恢复、重建、倡议和等阶段采取响应举措，能够降低损失，控制破坏程度，同时可以尽可能快的速度和尽可能小的代价终止紧急状态，恢复到正常状态。预案是应急管理的重点，预案编制标准实现预案编制规范化，可以明确预案编制方法，预案要求、使预案更加具有可读性，利于保存及分发，有效保证预案编制可实施化，保障用户在信息安全事件发生时能及时完成应急处置工作。为了解决电子政务部门、单位、基层组织信息安全应急预案编制形式简单、编