设计院网络信息安全突发事件应急预案.doc

2045-01-01（XXXX）网络信息安全突发事件应急预案批 准：XXX 审 核：XXX校 核：XXX编 写：XXX XX省电力勘测设计院XXXX年四月目 录1 原则1.1 编制目的1.2 编制依据1.3 适用范围1.4 工作原则2 组织机构与职责2.1 应急领导小组2.2 信息管理部门2.3 应急工作组3 事件分级3.1 事件分级3.2 III级网络信息安全突发事件3.3 II级网络信息安全突发事件3.4 I级网络信息安全突发事件4 应急响应4.1 应急启动4.2 事件报告4.3 应急处置4.4 应急结束5 保障措施5.1 通信保障5.2 物资保障5.3 技术保障5.4 资金保障5.5 人员保障6 信息发布7 后期处置7.1 后期观察7.2 调查与评估7.3 改进措施8 宣传、培训和演练8.1 宣传8.2 培训8.3 演练9 附则附图一 XX省电力勘测设计院网络信息安全应急流程图附件一 国家电网公司信息系统突发事件应急报告表附件二 XX省电力勘测设计院网络信息安全专项应急预案1 原则1.1 编制目的为了正确、有效和快速地处理网络信息安全突发事件，最大限度地减少突发事件对生产、经营、管理造成的损失和对社会的不良影响，提高信息系统的安全稳定运行水平，完善信息系统应急响应机制，建立网络信息安全应急体系，特制定本预案。1.2 编制依据根据XX省电力公司信息系统应急预案和XX省电力勘测设计院应急管理工作规定要求，编写了XX省电力勘测设计院网络信息安全突发事件应急预案。1.3 适用范围本预案适用于XX省电力勘测设计院应对和处置发生的各类对设计院构成重大损失和影响的网络信息安全突发事件。本预案中突发事件包括设计院管理信息系统、网络及通信系统和相关支撑的软硬件及物理环境的突发事件。按照“谁主管、谁负责，谁运行、谁负责”的原则，制定符合设计院要求的应急处置工作机制和应急预案，对网络信息安全中通信链路、网络、主机、应用（含数据）、安全、机房及物理环境等部分分别制定专项应急预案。1.4 工作原则预防为主，常备不懈，超前预想。坚持“安全第一、预防为主”的方针。做好应对各种网络信息安全突发事件的预案准备、应急资源准备、保障措施准备和超前网络信息安全突发事件预想，充分利用现有资源，制定科学的应急预案，定期组织开展应急培训和应急演练，提高对各种网络信息安全突发事件的应急响应和处置能力。统一指挥，分级管理，分工协作。通过成立应急领导小组、信息管理部门和工作组，建立有系统、分层次的应急组织。组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。应急预案制定、修订和应急处置明确牵头部门，以及各有关部门的职责和权限。应急处理过程中，牵头部门主动协调各有关方面，统一指挥、步调一致。保证重点，有效组织，及时响应。对重要系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点、预防和处理相结合，反应迅速。技术支撑，健全机制，不断完善。在充分利用现有信息资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对网络信息安全突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力，建立健全应对网络信息安全突发事件的有效机制。2 组织机构与职责2.1 应急领导小组建立自上而下的设计院网络信息安全突发事件应急处理组织机构。XX省电力勘测设计院应急领导小组（以下简称设计院应急领导小组）是设计院网络信息安全应急管理工作的领导机构。应急领导小组组长：XXX 应急领导小组副组长：XXX应急领导小组成员：XXX XXX XXX XXX 应急领导小组在网络信息安全应急工作中的主要职责（1） 贯彻落实国家有关网络信息安全突发事件应急处理的法规、规定；（2） 接受上级单位网络与信息安全协调小组的领导，就应急处理工作请求国家有关部门和地方政府提供应急支援；（3） 研究网络信息安重大应急决策和部署；（4） 宣布进入和解除应急状态，决定实施和终止网络信息安应急预案；（5） 统一领导设计院网络信息安全I级和II级突发事件的应急处置工作。2.2 信息管理部门技术质管部是设计院网络与信息安全的保障管理部门，具体负责信息系统的网络与信息安全应急工作。技术质管部在网络信息安全应急工作中的主要职责（1） 落实应急领导小组部署的各项任务；（2） 监督执行应急领导小组下达的应急指令、重大应急决策和部署,协调应急资源，组织应急处置；（3） 组织制定设计院网络信息安全应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况；（4） 及时了解、掌握和协调解决网络信息安全突发事件与应急处置工作情况，并向应急领导小组报告应急处置过程中发现的重大问题;（5） 按相关规定参与、配合网络信息安全事件调查、总结应急处理经验和教训等后期处置工作；2.3 应急工作组根据网络信息安全事件类型和应急处置的实际需要成立以下应急工作组。工作组成员单位联系电话业务处理技术质管部财务部土建室机务室机务室技术支持技术质管部技术质管部技术质管部技术质管部技术质管部技术质管部应急工作组的主要职责（1） 执行信息管理部门下达的应急处置工作任务；（2） 执行信息管理部门下达的应急处置保障任务；（3） 执行应急处理、控制事件范围、进行事件恢复；（4）提供技术支援、协助事件调查。3 事件分级3.1 事件分级根据网络信息安全突发事件对生产、经营和管理的影响范围、程度、可能产生的后果和损失等因素，将网络信息安全事件分为III级、II级和I级三个等级。发生III级网络信息安全突发事件进入预警状态，发生II级网络信息安全突发事件进入II级应急状态，发生I级网络信息安全突发事件进入I级应急状态。3.2 III级网络信息安全突发事件因下列原因对生产、经营、管理和信息发布造成影响，影响内部用户数超过30%，低于50%。（1） 通道与网络故障；（2） 主机设备、操作系统、中间件和数据库软件故障；（3） 应用停止服务故障；（4） 应用系统数据丢失；（5） 机房电源、空调等环境故障；（6） 大面积病毒爆发、蠕虫、木马程序、有害移动代码等；（7） 非法入侵，或有组织的攻击；（8） 自然灾害或人为外力破坏；（9） 信息发布和服务网站遭受攻击和破坏；（10） 其他原因。3.3 II级网络信息安全突发事件因下列原因对本单位的生产、经营、管理和信息发布造成严重影响，影响内部用户数超过50%，低于90%。（1） 通道与网络故障；（2） 主机设备、操作系统、中间件和数据库软件故障；（3） 应用停止服务故障；（4） 应用系统数据丢失；（5） 机房电源、空调等环境故障；（6） 大面积病毒爆发、蠕虫、木马程序、有害移动代码等；（7） 非法入侵，或有组织的攻击；（8） 自然灾害或人为外力破坏；（9） 信息发布和服务网站遭受攻击和破坏；(10) 其他原因。涉及国家或单位利益的秘密信息通过信息系统泄漏，造成重大影响。3.4 I级网络信息安全突发事件因下列原因对生产、经营、管理和信息发布造成特别严重的影响，影响内部用户数超过90%。（1） 通道与网络故障；（2） 主机设备、操作系统、中间件和数据库软件故障；（3） 应用停止服务故障；（4） 应用系统数据丢失；（5） 机房电源、空调等环境故障；（6） 大面积病毒爆发、蠕虫、木马程序、有害移动代码等；（7） 非法入侵，或有组织的攻击；（8） 自然灾害或人为外力破坏；（9） 信息发布和服务网站遭受攻击和破坏；（10） 其他原因。涉及国家或单位利益的机密信息通过信息系统泄漏，造成特别重大影响 。4 应急响应4.1 应急启动发生网络信息安全突发事件后，立即启动应急预案，本着尽量减少损失的原则，将应急事件尽快隔离，在不影响正常生产、经营、管理秩序的情况下，保护现场。技术质管部根据网络信息安全突发事件的等级、性质和影响向应急领导小组报告。信息应急领导小组，根据事件情况，启动网络信息安全应急预案。4.2 事件报告发生网络信息安全突发事件时，按照设计院相关要求报告。报告分为紧急报告和详细汇报。紧急报告是指事件发生后，向上级信息主管部门以口头和应急报告表（见附件一）形式汇报事件的简要情况；详细汇报是指由网络信息安全应急处理机构在事件处理暂告一段落后，以书面形式提交的详细报告。技术质管部对各类突发事件的影响进行初步判断，有可能是I级事件的，须在30分钟内向省电力公司科技信息部进行紧急报告，II级事件应在60分钟内进行报告，III级事件在3小时内汇报。4.3 应急处置网络信息安全应急处置按照各专业协同处理的原则进行，需要内部多个部门和专业协同处置或外部应急资源支持的应急事件，由技术质管部负责统一协调。信息系统运行维护部门以保障重要应用系统和信息网络及基础应用的安全稳定运行为目标。当发生病毒、非法入侵、网络攻击、有害信息传播、不符合规定的涉密信息传播等事件时，迅速调整网络安全设备的安全策略或隔离事件区域，查找源头，采取有效措施，控制事件的发展。当管理信息系统出现软硬件设备故障、网络链路故障、机房环境设备故障等事件时，应立即启用备份系统和备用设备，调整系统运行和安全策略，恢复系统正常运行。发生III级网络信息安全突发事件后，立即启动相关应急预案和专项应急预案，根据事件原因采取相应措施控制影响范围。网络信息安全突发事件由III级发展为II级或发生II级突发事件后，立即启动相关应急预案和专项应急预案，开展应急处理。技术质管部根据事件产生的原因协调相关资源，支持事件相关单位及时、有效地进行处理，控制事件发展，同时上报应急领导小组，应急领导小组协调其他应急资源支持应急处理。网络信息安全突发事件由II级发展为I级或发生I级突发事件后，应立即启动相关应急预案和专项应急预案。技术质管部根据事件产生的原因协调相关资源，组织有关各方对事件进行及时、有效的处理，控制事态发展，同时报应急领导小组，应急领导小组组织其他应急资源进行应急处理。当出现自然灾害、恐怖袭击、战争、人为非法破坏等重大突发事件，发生大规模的计算机病毒爆发、网络攻击、内部人员重大作案等重大网络与信息安全事件，由于重大技术故障导致信息网络与重要信息系统无法正常运行事件，无法迅速恢复正常生产、经营和管理工作时，由应急领导小组请求上级网络与信息安全协调小组、省公安厅和省信息产业厅的应急支持。4.4 应急结束在同时满足下列条件下，应急领导小组或信息管理部门可决定宣布解除应急状态：（1） 各种网络信息安全事件已得到有效控制，情况趋缓。（2） 网络信息安全突发事件处理已经结束，设备、系统已经恢复运行。（3） 上级应急部门发布的解除应急响应状态的指令。应急部门应及时向现场应急工作组和参与应急支援的有关单位传达解除应急状态响应的指令，恢复正常生产工作秩序。向上级有关部门报告已解除应急状态，恢复正常运行。5 保障措施5.1 通信保障应急期间，指挥、通信联络和信息交换的渠道主要有系统程控电话、外线电话、手机、传真、电子邮件等方式，有关应急联系的手机应保持24小时开机状态。5.2 物资保障应急物资装备主要有车辆、备品备件、常用工具和常用工具软件。序号物资种类准备情况1车辆准备车辆，随时可以调用2备品备件准备备用服务器，备用交换机。3常用工具准备服务器、交换机等设备常用的维护工具（改锥、钳子、扳手等）；网络系统常用工具（测线仪、网钳等）；简单施工工具（电钻、切割机、梯子等）4常用工具软件准备各种操作系统光盘、数据库安装光盘、应用服务器安装光盘、应用系统安装程序、系统调试软件5.3 技术保障重视研究涉及网络信息安全的重大问题，从信息系统建设和改造项目的规划、立项、设计、建设、运行等各环节，提出应对突发事件的技术保障要求。在信息系统各项目建设和服务合同中应包含相关设备厂商、技术服务厂商在应急方面的技术支持内容。制定具体预案，并对应急处置各个专项制定专项预案，形成预案体系。各专项预案中应详细定义应急处置流程、应急人员、应急操作方法等，保证对突发事件的准确处置。注意收集各类网络信息安全突发事件的应急处置实例，总结经验和教训，开展网络信息安全事件预测、预防、预警和应急处置的技术研究，加强技术储备。5.4 资金保障在每年运行维护费用中应列支应急培训、演练、添置应急装备物资等所需经费。5.5 人员保障加强网络信息安全突发事件应急技术支持队伍的建设，提高人员的业务素质、技术水平和应急处置能力。6 信息发布发生网络信息安全突发事件后，根据应急领导小组的决定，向省电力公司科技信息部提供相关素材。同时通过院网页和办公自动化系统进行发布。7 后期处置7.1 后期观察I级网络信息安全突发事件应急处理结束后应密切关注、监测系统2周，确认无异常现象。II级网络信息安全突发事件应急处理结束后应密切关注、监测系统1周，确认无异常现象。III级网络信息安全突发事件应急处理结束后应密切关注、监测系统2天，确认无异常现象。7.2 调查与评估网络信息安全突发事件应急处理结束后，对按照相关规定要求需要成立调查组的事件，由组织成立调查组，对事件产生的原因、影响进行调查和评估，对责任进行认定，提出整改建议。网络信息安全突发事件应急处理结束后，按照相关规定自行组织调查的，对事件产生的原因进行调查，对产生的影响进行评估，对责任进行认定，提出整改措施。调查报告按规定报有关部门，同时报送省电力公司科技信息部。7.3 改进措施网络信息安全突发事件应急处理结束后，组织研究事件发生的原因和特点、分析事件发展过程，总结应急处理过程中的经验和教训，进行应急处置知识积累，进一步补充、完善和修订相关应急预案。网络信息安全突发事件应急处理结束后，结合运行过程中的异常和事件，综合分析信息系统中存在的关键点和薄弱点，提出该类事件的整改措施，制定整改实施方案并予以落实，整改措施和方案报省电力公司科技信息部备案。8 宣传、培训和演练8.1 宣传加强应急工作的宣传和教育，提高各级人员对应急预案重要性的认识，加强各部门和单位之间