公司单位局信息系统安全应急预案.doc

温州市工商局信息系统安全应急预案（试行）为保证温州市工商系统网络与信息安全，防范出现大规模的网络与信息安全事件，根据温州市工商系统网络和信息系统建设及应用的现状，针对存在的问题与风险，特制定本安全应急预案。一、现状与风险 随着温州市工商系统信息化建设的发展，信息化已经渗透到工商的每一项工作，信息化给我们的工作带来效率的同时，也增加了我们对计算机系统的依赖性，网络与信息安全的风险也逐渐显露。一是随着工商业务的发展，逐步与外部相关部门实现了联网与信息交接，从而使温州市工商系统网络由过去完全封闭的内部网，转变成与外部网、因特网逻辑隔离的网络。二是网络与信息系统中的关键设备如主机、路由器、交换机、操作系统等大部分采用国外产品，存在着较大的安全隐患。三是系统内计算机应用操作人员水平参差不齐，安全意识和安全防护手段不尽如人意。四是敌对势力以及受利益驱使的犯罪分子一直蠢蠢欲动，对政府部门构成巨大威胁。上述几个方面构成温州市工商系统网络与信息安全的主要风险。二、指导思想与总体目标 指导思想：以“科学发展观”为指导，把做好全市工商系统网络与信息安全工作作为当前一项严肃的政治任务来完成，切实维护国家的政治安全、经济安全和政府部门网络信息安全。 总体目标：建立科学、有效、反应迅速的网络与信息安全应急工作机制，提高应对突发事件的组织指挥能力和应急处置能力，最大限度地减轻网络与信息安全突发事件的危害，确保工商计算机信息系统的实体安全、运行安全和数据安全。三、组织体系1、领导机构 建立温州市工商管理局网络与信息安全应急领导小组（以下简称领导小组），市局分管信息化的领导任组长，办公室、信息办负责人任副组长，成员由市局各处室、直属单位负责人组成。领导小组负责研究制订系统网络与信息安全应急处置工作的规划和计划，协调推进网络与信息安全应急机制和工作体系建设；发生网络与信息安全突发事件后，决定启动本预案，领导应急处置工作。2、应急办公室 领导小组下设应急办公室，办公室设在市局信息办，办公室主任由信息办负责人担任，成员由市局信息办相关技术人员组成。应急办公室的职责： （1）负责处理领导小组的日常工作，检查督促领导小组决定事项的落实。 （2）研究提出网络与信息安全应急机制建设规划和年度工作计划，检查、指导和督促全市网络与信息安全应急机制建设。 （3）负责网络与信息安全应急预案的管理，检查落实预案执行情况。 （4）负责应对网络与信息安全突发事件的预案演习和宣传培训。 （5）对接市政府和市级各部门、各县（市）区政府网络与信息安全突发事件应急处置工作。 （6）及时收集分析网络与信息安全相关信息，及时向领导小组提出启动本预案的建议。四、预防预警1、异常报告 系统每位干部和职工均有责任和义务维护系统信息化硬件、软件、网络和信息安全，发现计算机设备和网络发生异常情况，应立即向所在单位信息员报告，信息员应及时对异常计算机设备和网络进行检查并采取必要措施；信息员无法解决问题的，应立即向本级信息办报告。信息办接到报告后，应立即采取措施，对异常情况进行分析，防止异常情况扩散。2、信息监测 建立网络与信息安全突发事件监测、预测、预警制度。各级信息办要按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发事件和可能引发突发事件的有关信息的收集、分析判断和持续监测。3、预警处理与发布 对于可能发生或已经发生的网络与信息安全突发事件，各级信息办应立即采取措施控制事态，在2小时内进行风险评估，判定事件等级，并立即向应急办公室报告。应急办公室接到报警信息后，应及时对信息进行技术分析、研判，根据问题的性质、危害程度和发展态势，向领导小组提出预警的建议。对需要发布预警的，由领导小组授权应急办公室发布。预警内容应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。对发生和可能发生重大网络与信息安全突发事件，应急办公室应迅速提议召开领导小组会议。由领导小组会议决定启动本预案，确定指挥人员。五、应急响应1、应急指挥 本预案启动后，根据领导小组会议的统一部署，担任指挥的领导和参与指挥的有关处室领导迅速进入指挥岗位，迅速建立与现场的通信联系，分析事件发展态势，研究提出处置方案，并调集和配置应急处置所需的人、财、物等资源，统一指挥应急处置工作。 需要成立现场指挥部的，应立即在现场开设指挥部。现场指挥部在领导小组的领导下全权负责现场的应急处置工作。2、应急支援 本预案启动后，根据情况成立应急响应先遣小组，赶赴事发地，督促、指导和协调处置工作。领导小组根据事态的发展和处置工作需要，及时增派专家，调动必需的物资、设备，支援应急工作。3、信息处理 应急办公室做好信息分析、报告和发布工作。要组织有关人员研判各类信息，研究提出对策措施。5、信息发布 网络与信息安全突发事件发生后，导致工商行政管理公共行政业务无法正常开展的。应急办公室应通知相关业务处室。相关业务处室应做好业务应急准备，并根据情况向社会和服务对象发布通知。6、应急结束 网络与信息安全突发事件经应急处置后，得到有效控制，事态下降到一定程度或基本得以解决，由应急办公室向领导小组提出应急结束的建议，经批准后实施。六、后期处置1、善后处理 应急处置工作结束后，各级信息办要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。2、调查评估 在应急处置工作结束后，各级信息办应对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急办公室。七、保障措施1、应急装备保障 建立信息网络硬件、软件、应急救援设备等应急物资库。应急物资库采用服务外包的形式，与专业公司签订合同，在网络与信息安全突发事件发生时，由应急办公室出面向公司调用。2、数据保障 建立业务数据备份系统，保证在网络和信息安全突发事件发生时，可紧急恢复。3、交通运输保障 本预案启动后，根据领导小组的决定，市局办公室负责确保应急交通工具，确保应急期间人员、物资和信息传递的需要。4、经费保障 网络与信息系统突发事件应急处置资金，应列入年度预算。八、监督管理1、宣传教育 市局各处室、直属单位和各县（市）局、分局要加强网络与信息安全突发事件应急和处置有关知识的宣传，提高防范意识。并将网络与信息安全突发事件的应急管理、工作流程等列入干部的培训内容，增强应急处置能力。2、应急演练 建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案。应急办公室每年要组织一次网络与信息安全突发事件应急演练。3、检查与考核 建立检查和考核机制。网络与信息安全应急工作列入工作目标考核体系。应急办公室不定期对应急制度、计划、方案和人员等进行检查，并以应急演练的评定结果作为考核的依据。九、附则1、附件 网络和信息安全突发事件应急处置规程。2、解释部门 本预案由市局信息办负责解释。3、实施时间 本预案自印发之日起实施。附件:网络和信息安全突发事件应急处置规程一、网站出现非法信息的应急处置规程 1、发现网站出现非法信息时，网站内容管理部门应按规定向局领导报告，同时通报信息办；信息办应立即采取屏蔽、删除等处理措施，防止信息扩散。 2、信息办应追查非法信息来源，确定相关责任人。 3、信息办在查清事件发生原因的基础上，及时总结经验教训，提出强化安全防范的措施，写出调查报告，报网络和信息安全应急领导小组。 4、领导小组根据调查报告，决定是否追究相关责任人责任。二、黑客攻击的紧急处置规程 1、发现网页内容被篡改，或通过入侵检测手段等发现有黑客正在进行攻击时,应立即向信息办报告。 2、信息办首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向网络和信息安全应急领导小组报告。 3、恢复或重建被破坏的系统。 4、追查黑客攻击来源。 5、情况严重时，召开网络和信息安全应急领导小组会议；经会议批准，可向公安部门报警。 6、总结经验教训，采取有效的防范措施。三、病毒防治应急处置规程 1、当计算机使用人员发现其计算机被感染上病毒后，若无法清除该病毒，应第一时间将计算机从网络上物理断开。 2、向信息办人员报告，确定病毒的性质和危害，对病毒进行进一步查杀。 3、若该病毒已经在局域网内扩散，并严重影响日常办公及网络安全，应立即向领导小组报告。 4、领导小组根据报告，确定具体的处置方式，保证网络畅通和计算机安全。 5、总结经验教训，采取有效的防范措施。四、软件系统异常应急处置规程 1、对发现系统软件和应用软件响应异常的，应立即向信息办报告。 2、信息办对系统软件和应用软件进行检查，视情采取停用、修复和重新启用等手段。 3、信息办通过检查访问各类日志记录等资料，确认分析异常原因。 4、情况严重的，召开网络和信息安全应急领导小组会议； 5、总结经验教训，采取有效的防范措施。五、数据库安全应急处置规程核心数据库数据异常应遵循如下规程： 1、发现核心数据库数据大规模异常或丢失后，立即向信息办报告。 2、信息办接到报告后，应指定数据库管理员进行检查，确属异常的，应立即向领导小组报告。 3、领导小组决定是否启动应急预案。经领导小组批准启动应急预案后，暂停相关业务服务，并通知相关业务处室。 4、使用备份数据恢复数据后重新启动服务，并立即追查原因。如属设备故障的，应立即联系厂商维修设备。如属人为原因的，应立即追查相关人员，必要时请公安机关介入。 5、总结相关教训，分析具体原因，加固核心数据库系统安全，并报领导小组。六、广域网外部线路中断应急处置规程 1、广域网线路若中断后，应立即向领导小组报告。 2、信息办应迅速判断故障节点，查明故障原因。 3、如属工商内部管辖范围，由系统管理员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。 4、如属通信部门管辖范围，立即与通信维护部门联系，请求及时修复。 5、总结经验教训，采取有效的防范措施。七、局域网中断应急处置规程 1、局域网中断后，信息办应判断故障节点，查明故障原因，并向领导小组汇报。 2、如属线路故障，应立即抢修线路。 3、如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。 4、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即报告领导小组，请求厂方专家支援。 5、总结经验教训，采取有效的防范措施。八、设备故障应急处置规程 1、发现服务器等关键设备损坏后，应立即向信息办领导报告。 2、信息办指定系统管理员查明设备故障原因，并向领导小组汇报情况。 3、如果能够自行恢复，应立即用备件替换受损部件。 4、如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。 5、如果设备一时不能修复，应向领导小组汇报，视情决定是否启动应急预案。 6、总结经验教训，采取有效的防范措施。九、机房着火应急处置规程 1、一旦机房发生火灾，应遵照下列原则：首先保证人员安全；其次保证关键设备和数据安全；三是保证一般设备安全。 2、人员疏散程序：机房值班人员立即按响火警警报，并通过119电话向消防部门请求支援，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。 3、灭火程序：规范化的机房启动气体灭火系统，没有气体灭火系统的机房，首先切断所有电源，取出泡沫灭火器进行灭火。 4、灭火后，迅速组织抢修受损的基础设施，减少损失，尽快恢复正常工作。