黄岩电力信息网突发事件应急预案.doc

黄岩电力信息网突发事件应急预案黄岩供电局二九年三月I目 次 1 范围12 规范性引用文件13 术语和定义14 突发事件的分级25 应急指挥机构26 应急指挥机构职责37 工作原则38 信息上报49 预案启动410 现场应急处理511 应急解除512 应急保障措施613 、宣传、培训和演习614 分类应急预案的制订7附录 A （规范性附录） 黄岩电力信息网突发事件应急指挥部及办公室成员名单8附录 B （资料性附录） 黄岩电力信息网突发事件应急处理及重要相关人员联系方式9附录 C (相关专项性应急预案)10黄岩电力信息网突发事件应急预案1 范围黄岩供电局信息网络覆盖黄岩供电局所属的各个生产、办公场所，先后实施并投入运行了用电营销系统、客户呼叫系统、办公自动化系统、生产管理信息系统等应用系统。信息网的安全运行直接影响到生产、经营管理等方方面面,数据的安全性也越来越重要。为了确保黄岩电力信息网安全、可靠、稳定运行，防止数据丢失和信息泄密，在信息网络系统发生故障时能及时、正确地处理，根据上级有关信息网络运行管理规定，结合黄岩电力的实际，针对信息系统的设备、环境等运行情况，制定黄岩供电局信息网络突发事件应急预案。为保证在发生信息网络系统故障情况下，能够从容处理，缩小影响、减少停运时间、降低损失，特制定本预案。2 规范性引用文件下列文件中的条款通过本预案的引用而成为本预案的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本预案，然而，鼓励根据本预案达成协议的各方研究是否可使用这些文件的最新版本。中华人民共和国计算机信息系统安全保护条例。中共中央办公厅、国务院办公厅转发国家信息化领导小组关于加强网络与信息安全保障工作的意见的通知(中办发 2 O 0 32 7号)。国家电网科2003342号 国家电网公司信息网络运行管理规程（试行）。浙电科2004713号 浙江省电力公司网络与信息安全管理办法（试行）。公安部公通字200466号 信息安全等级保护工作的实施意见。浙电科20061228号 浙江省网络与信息安全应急预案。台州电业局企业标准 台州电力系统突发事件应急预案。黄岩供电局企业标准 黄岩电力系统突发事件应急预案。3 术语和定义下列术语和定义适用于本预案。3.1 黄岩电力信息网是指黄岩供电系统范围内由计算机及其相关和配套的设备、设施(含网络)、软件、资料构成的，按照一定的应用目标和规则对数据或信息进行采集、加工、存储、传输、检索等处理的人机系统。3.2 黄岩电力信息网突发事件指在黄岩电力信息网范围内因人员、设备、外力破（损）坏、自然灾害等原因，造成的影响较大的信息网络或应用系统服务中断、设备毁损及财产损失的紧急情况。3.3 重要应用系统指同企业生产经营活动、经济利益、社会利益密切相关的应用系统，系统故障会导致企业生产经营业务中断或造成直接经济损失。一般指电网监控、生产管理、营销、客户服务等系统。3.4 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。3.5 网络与信息安全可简称为信息安全，指信息系统在所处的环境中所具有的一种能够识别和消除不安全因素的能力，通过信息保密性、信息完整性、信息可用性、信息不可否认性四个方面来度量，包括物理安全、网络通信安全、系统安全、数据安全等层面。3.6 网络与信息安全事件指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。4 突发事件的分级黄岩电力信息网突发事件按照性质和可能造成的损害程度分为特大、重大、一般突发事件三个等级。4.1 在黄岩电力信息网中发生下列事件之一者，进入黄岩电力信息网特大突发事件：a. 造成黄岩电力信息网全网瘫痪的网络设备停机事件；b. 造成黄岩电力信息网内应用系统全停事件；c. 供应局信息中心机房的双路电源同时停电2小时以上或UPS停机2台以上事件。4.2 在黄岩电力信息网中发生下列事件之一者，进入黄岩电力信息网重大突发事件：a. 造成黄岩电力信息网中心交换机（路由器）停机1台以上事件；b. 一次事件中发生5个站所信息网通讯中断事件；c. 信息中心机房发生火灾或机房温度超过40或湿度超过70的事件。d. 造成黄岩电力信息网内应用系统50%停止服务事件；4.3 在黄岩电力信息网中发生下列事件之一者，进入黄岩电力信息网一般突发事件：a. 黄岩电力信息网内因网络配置、病毒攻击、黑客入侵等造成网络服务质量下降的事件；b. 一次事件中发生2个重要应用系统停止服务的事件；c. 本单位根据情况确定的突发事件。5 应急指挥机构黄岩电力信息网突发事件的指挥机构是应急组织工作的中枢，应急指挥机构分为二级，一级为黄岩供电局信息网突发事件应急指挥部；二级为抢险、抢修现场指挥部。形成职责明确、信息通畅、上下互通、指挥有力的指挥体系。5.1 突发事件应急指挥部5.2.1突发事件应急指挥部（下称应急指）总指挥由黄岩供电局生产副局长担任，副指挥由总工和信息工区主任（常务副总指挥）担任，成员由局生技科长、安监科长、用电科长、办公室主任、调度主任和综合部经理等部门相关人员组成。5.2.2 局突发事件应急指挥部下设应急指挥部办公室（下称应急办），负责日常工作。应急办主任由黄岩供电局信息工区主任兼任。成员由信息工区各专职、安监处专职、调度通讯成员、综合部专职、各单位信息化联系人组成，办公室设在信息工区。5.2 抢修（抢险）现场指挥部突发事件应急指挥部根据突发事件的性质和抢险重点成立抢修（抢险）现场指挥部，现场总指挥由突发事件应急指挥部指定，经应急指挥部授权后，现场总指挥根据突发事件的性质和抢险重点，确定相关专业组人员进入抢修（抢险）现场指挥部，副总指挥及成员由现场总指挥确定。6 应急指挥机构职责6.1 突发事件应急指挥部主要职责6.1.1 按照国家、省、地区信息安全应急机构的要求开展处置工作。6.1.2 领导和协调突发事件发生时全局应急抢修（抢险）工作，研究部署突发事件应急抢修（抢险）和应急准备工作措施，督促检查落实情况。6.1.3 研究决定全区信息安全应急工作的有关重大问题。6.1.4 负责突发事件发布和上报的相关信息、数据的审核。6.1.5 决定启动、结束相应突发事件应急预案。6.1.6 接受上一级应急指挥部的领导，交办的事项和法律、法规、规章规定的其他职责。6.2 应急办主要职责6.2.1 及时了解事件造成的损失、影响以及抢修恢复情况。根据事件情况，提请应急指挥部决定启动、结束相应突发事件应急预案。6.2.2 负责完成指挥部下达的各项应急任务和命令，协助应急指挥部制定应急对策，协调各专业工作组之间的工作，负责与应急现场指挥部、各基层单位突发事件应急指挥部的联系。负责外部救援队伍的接洽、安排。6.2.3 负责向上级应急指挥部、地区局提交突发事件应急处理情况的报告。6.2.4 负责局应急工作的日常管理，负责组织本预案及各分类预案的符合性、适用性和有效性的事后评审，汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议。6.2.5 负责组织突发事件应急预案演习，进行应急工作总结。7 工作原则7.1 统一领导，协同作战全区信息安全突发事件应急工作由市网络与信息安全专项应急指统一领导和协调，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职的原则协同配合、具体实施，完善应急工作体系和机制。7.2 明确责任，依法规范各单位应按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任制和责任追究制。7.3 整合资源，条块结合充分利用现有信息安全应急支援服务设施，整合我区所属信息安全工作力量，进一步完善应急响应服务体系，形成信息安全保障工作合力。 7.4 防范为主，加强监控宣传普及信息安全防范知识，贯彻预防为主的思想，树立常备不懈的观念，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。7.5 安全第一，先期处置坚持“以人为本”和“安全第一、预防为主”的原则，突出在突发事件处置过程中的人身、电网和设备安全。电力信息网一旦发生突发事件，应立即启动应急预案，迅速采取有效措施，尽快控制防止事故扩大，并及时恢复重要负荷，以减少损失和社会影响。在电力信息网突发事件处理和控制中，优先保证重要应用系统和网络主干设备的抢修恢复工作，以提高整个系统恢复速度和效率。8 信息上报8.1 突发事件应急指挥部设置接受突发事件信息的值班电话和传真，对电力信息网事故的值班电话和传真装设在信息工区，由专人进行接听，解释事件原因，确保抢修人员集中精力及时处理突发事件。8.2 各相关人员接收到突发事件信息，必须立即核实并进行必要的判断后报应急办主任，由应急办主任决定是否上报应急指挥部副总指挥或总指挥，指挥部总指挥决定是否发布信息。发生一般突发事件及以上事件，应以第一时间上报市局有关部门。8.3 突发事件应急处理期间，应急办应指定值班人员，值班人员立即到应急值班地点值班，负责信息沟通和联系。8.4 突发事件应急处理值班电话应提前在所辖范围内公布，保障发生突发事件后相关信息能及时报送和收集。8.5 上报的信息内容尽可能快速、准确、全面，应包括事件发生的时间、地点、现象、影响、原因等情况。9 预案启动9.1 应急启动程序接收到突发事件信息后，应急指挥部立即召集指挥部成员到达指挥中心，对突发事件进行初步分析后，根据事件类型向相关部门和专业应急工作组发布启动相应应急预案命令，并上报局应急委。应急指挥中心设在信息工区。9.2 特大突发事件 总指挥进岗，签发特大突发事件通知，总指挥第一时间召集指挥部全体成员到达指挥中心；10分钟内发布启动应急预案命令，并宣布进入特大突发事件紧急状态。9.3 重大突发事件 副总指挥进岗，签发重大突发事件通知；副总指挥第一时间召集应急指挥部相关专业部门成员到达指定地点；10分钟内向相关部门和专业应急工作组发布启动应急预案命令，并宣布并进入重大突发事件紧急状态。9.4 一般突发事件 应急办主任进岗，签发一般突发事件通知；应急办主任第一时间召集应急指挥部相关专业部门成员到达指定地点；10分钟内向相关部门和专业应急工作组发布启动应急预案命令，并宣布进入一般突发事件紧急状态。10 现场应急处理10.1 应急办公室应尽最大可能收集事件相关信息，确认事件类别，确定事件来源，保护证据，以便缩短应急响应时间。 10.2 检查事件造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。10.3 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。10.4 在事件被抑制之后，找出事件根源，明确相应的补救措施并彻底清除。10.5 清理系统、恢复数据、程序、服务。把所有被破坏的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。11 应急解除11.1 根据信息安全事件的处置进展情况和应急办公室的意见，信息安全应急指挥部应组织相关部门及专家组对信息安全事件的处置情况进行综合评估，并及时向应急委提出应急行动结束建议。应急行动是否结束，由应急委决定。11.2 回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重特大信息安全事件的单位应当在事件处理完毕后1个工作日内将处理结果报地区局备案。重特大信息安全事件处理结果报告表应符合地区局要求。11.3 应急工作完成后，应急办负责组织对应急工作及时进行分析和总结，并根据应急情况进一步完善应急预案。12 应急保障措施12.1 技术支撑保障 设立信息安全应急响应中心，建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发 现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。12.2应急队伍保障 加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识。大力发展信息安全服务业，增强社会应急支援能力。12.3物质条件保障 在信息化专项资金中安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。12.4技术储备保障 信息安全专项应急委办公室组织有关专家和科研力量，开