贵州水利厅水利信息系统应急处理预案

1 贵州省水利厅网络与信息安全事件应急预案贵州省水利厅网络与信息安全事件应急预案 1 1总总 则则 1 11 1 编制目的编制目的 为建立健全水利厅系统网络与信息安全事件应急保障和恢复工作 机制 提高应对突发网络与信息安全事件的组织指挥和应急处置能力 保证应急指挥调度工作迅速 高效 有序进行 保障水利信息系统安 全运行 保障信息的合法性 完整性 准确性 保障网络 计算机 相关配套设备设施及系统运行环境的安全 为贵州水利建设提供现代 化服务保障 制定本预案 1 1 编制依据 编制依据 根据 中华人民共和国计算机信息系统安全保护条例 互联网 信息服务管理办法 计算机病毒防治管理办法 水利网络与信息 安全事件应急预案 等相关法规 规定 文件精神 制定本预案 1 31 3 适用范围适用范围 本预案适用于贵州省水利厅系统局域网及专网非涉密信息系统突 发网络安全事件的应急处理和恢复工作 1 41 4 工作原则工作原则 1 预防为主 建立 健全计算机网络与信息安全科学管理制度 有效预防网络与信息安全事故的发生 2 分级负责 按照 谁主管谁负责 谁运营谁负责 的原则 建立和完善安全责任制 各级各部门应积极支持和协助应急处置工作 3 果断处置 一旦发生网络与信息安全事故 应果断决策 迅 2 速处置 及时启动应急处置预案 尽最大力量减少损失 尽快恢复网 络与系统运行 4 以人为本 把保障人员以及公共利益的安全作为首要任务 5 常备不懈 加强技术储备 规范应急处置措施与操作流程 定期进行预案演练 确保应急预案切实有效 实现水利网络与信息安 全突发公共事件应急处置的科学化 程序化与规范化 2 2 组织体系和工作职责组织体系和工作职责 在厅网络安全与信息化领导小组领导下 成立 应急领导组 应急指挥组 应急实施组 应急沟通组 1 应急领导组 由厅网信办牵头 负责应急管理体系 管理办 法和预案的评审和确定 负责应急预案启动和终止命令的下达和授权 负责应急实施过程中的决策和授权 负责对故障处置或演练后预案变 更的最终评审和确认 2 应急指挥组 由厅办公室牵头 根据应急领导组的授权 负 责现场指挥 协调各应急小组工作 负责应急处置情况 故障升级等 相关信息的确认 负责向应急领导组汇报应急处置的进展情况 负责 在应急过程中 策略的调整和应急指挥 负责组织并协调应急现场的 各种资源 含第三方 3 应急实施组 由厅科技处牵头 厅水资处 防汛办 水管局 等网信办成员单位负责故障的分析 为现场应急指挥组提供应急预案 实施的参考建议 负责按照现场应急指挥组的指令 严格执行相应的 应急处置方案 负责将现场故障处理情况向应急指挥组及时汇报和更 新 在实施应急措施过程中 协调其他专业组为应急提供技术支持 3 故障解决后总结 归纳应急工作的经验和教训 完善相关应急预案 负责制定 修改 优化应急预案中应急场景的具体处置方案 负责组 织应急预案的检查和评审工作 4 应急沟通组 由厅水资处牵头 负责准备应急现场的故障初 始 进展 升级 解决等相关报告 负责故障处理时间控制 以衡量 是否需要更新报告或升级处理 负责按应急指挥组指令 及时将应急 情况汇报给管理层和业务层 负责应急处置后 给应急指挥组和实施 组汇总所有沟通报告 参加应急演练 并提出相应的改进建议 3 3 分类分级分类分级 3 13 1 事件分类事件分类 网络与信息安全事件根据其产生原因 表现形式 可划分为以下 六类 1 有害程序事件 指计算机病毒事件 蠕虫事件 特洛伊木马 事件 僵尸网络事件 混合程序攻击事件 网页内嵌恶意代码事件和 其他有害程序事件 2 人为攻击事件 指通过网络或其他技术手段 对信息系统实 施攻击 如拒绝服务攻击事件 后门攻击事件 漏洞攻击事件 网络 扫描窃听事件 网络钓鱼事件 干扰事件和其他网络攻击事件 3 信息破坏事件 指利用网络进行信息篡改事件 信息假冒事 件 信息泄露事件 信息窃取事件 信息丢失事件和其他信息破坏事 件 4 信息内容安全事件 指通过网络传播法律法规禁止信息 组 织非法串联 煽动集会游行或炒作敏感问题并危害国家安全 社会稳 4 定和公众利益的事件 5 设备设施故障事件 指软硬件自身故障 外围保障设施故障 人为破坏事故和其他设备设施故障 6 灾害性事件 指由自然灾害等其他突发事件导致的网络与信 息安全事件 3 23 2 事件分级事件分级 网络与信息安全事件根据其影响程度 严重程度 影响范围和可 控性 将水利网络与信息安全事件分为四级 由高到低划分为特别重 大 级 重大 级 较大 级 一般 级 四个级别 影响程度主要考虑网络与信息安全事件所影响的信息系统的重要 程度 本预案中信息系统的重要程度是依据信息系统的安全保护定级 等级来确定 安全保护等级定级为四级以上 含四级 的为特别重要 信息系统 三级的为重要信息系统 二级的为一般信息系统 安全保 护等级定级为一级的信息系统 不需要启动应急预案 由相关业务部 门和运行维护部门根据维护流程处置 严重程度主要考虑事件对信息系统的破坏程度 以及利用信息网 络发布 传播的信息内容对国家安全 社会稳定和公共利益的危害程 度 对信息系统的破坏程度分为特别严重破坏 严重破坏和一般破坏 特别严重破坏指造成信息系统瘫痪或信息受到特别严重破坏 严重破 坏指造成信息系统主要功能受损或信息受到严重破坏 一般破坏指造 成信息系统性能下降或信息受到一般破坏 1 1 级 特别重大 级 特别重大 发生以下任一种网络与信息安全事件 且发生以下任一种网络与信息安全事件 且 5 不能在短时间内恢复 不能在短时间内恢复 1 特别重要信息系统受到特别严重破坏 2 启动省水旱灾害应急预案 级或 级响应时期 防汛抗旱相 关特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏 3 水利厅及厅直系统 市 州 水务局中有 7 个以上部门同时 发生特别重要信息系统受到严重破坏或重要信息系统受到特别严重破 坏 4 其他对社会秩序和公共利益造成特别严重损害 或者对国家 安全造成严重损害的网络与信息安全事件 2 2 级 重大 发生以下任一种网络与信息安全事件 且不能级 重大 发生以下任一种网络与信息安全事件 且不能 在短时间内恢复 在短时间内恢复 1 特别重要信息系统受到严重破坏 2 重要信息系统受到特别严重破坏 3 启动省水旱灾害应急预案 级 级或 级响应时期 防汛 抗旱相关特别重要信息系统受到一般破坏 重要信息系统受到严重破 坏或一般信息系统受到特别严重破坏 4 水利厅及厅直部门 市 州 水务局中有 7 个以上部门同时 发生特别重要信息系统受到一般破坏 重要信息系统受到严重破坏或 一般信息系统受到特别严重破坏 5 其他对社会秩序和公共利益造成严重损害 或者对国家安全 造成损害的网络与信息安全事件 3 3 级 较大 发生以下任一种网络与信息安全事件 且不能级 较大 发生以下任一种网络与信息安全事件 且不能 6 在短时间内恢复 在短时间内恢复 1 较大突发公共事件引发的 有可能造成水利厅某个下属部门 所属网络通信故障的情况 2 通信网络故障可能升级为造成水利厅某个下属部门所属网络 通信故障的情况 3 其他对公民 法人和其他组织的合法权益产生严重损害 或 者对社会秩序和公共利益造成损害 但不损害国家安全的网络与信息 安全事件 4 4 级 一般 发生以下任一种网络与信息安全事件 且不能级 一般 发生以下任一种网络与信息安全事件 且不能 在短时间内恢复 在短时间内恢复 1 一般突发公共事件引发的 有可能造成水利厅局域网内某个 交换点所属局部网络通信故障 不影响正常一般通信 的情况 2 其他对公民 法人和其他组织的合法权益造成损害 但不损 害国家安全 社会秩序和公共利益的网络与信息安全事件 其他网络与信息安全事件根据 谁主管谁负责 的原则 由信息 系统的主管部门负责处理 4 4 预警机制预警机制 4 14 1预警系统预警系统 各级各部门要做好灾前预防技术体系的建设 加强预警信息的监 测收集工作 各级网络与信息安全协调机构应加强与水利部 省委省 政府以及地方有关部门的信息沟通 4 24 2预警信息预警信息 预警信息来源于预警系统监测到的和上级机构或其他职能部门通 报的网络与信息安全事件信息 各级各部门要针对各种可能发生的信 7 息系统突发事件 完善预测预警机制 开展风险分析 并根据确定的 风险等级编制预警信息做到早发现 早报告 早处置 4 34 3 预警发布预警发布 一般预警信息由事发区域网络与信息安全协调机构发布并及时上 报厅网络安全与信息化领导小组 由厅网络安全与信息化领导小组统 一发布 调整和解除 预警信息的发布 调整和解除 应以电话 电子邮件 传真等方 式通知到所有相关部门以及相关人员 接到通知的部门和人员需要对 预警信息进行确认 5 5 应急处置应急处置 5 15 1 响应分级响应分级 应急响应级别分为四级 级 级 级和 级 分别对应 级 级 级和 级网络与信息安全事件 5 25 2 先期处置先期处置 5 2 15 2 1 信息报送信息报送 发生网络与信息安全事件 事发部门进行初步判断 对于 级网 络与信息安全事件 事发部门必须在半小时内向厅网络安全与信息化 领导小组口头报告 接到 级网络与信息安全事件报告后 1 小时内 应向厅网络安全与信息化领导小组书面报告 级或 级网络与信息 安全事件应立即向厅网络安全与信息化领导小组报告 厅网络安全与信息化领导小组接到 级及 级的网络与信息安全 事件报告后 根据事件分析判定事件级别 5 2 25 2 2 即时处置即时处置 网络与信息安全事件发生后 事发部门必须在第一时间实施即时 处置 控制事态发展 在开展即时处置的同时 及时汇总信息并迅速 报告厅网络安全与信息化领导小组 8 5 2 35 2 3 事件研判事件研判 紧急情况或故障发生时 各维护监控相关部门和人员发现问题后 应先详细记录该事件的信息 了解事件可能造成的损失 影响以及现 场控制情况 在汇总相关信息的基础上 及时判断事件性质 分析事 件已经造成的损失和预计损失 事件的严重程度和扩散性等情况 判 定事件级别 5 35 3 应急响应应急响应 对于判定为 级及 级的网络与信息安全事件 厅信息化领导小 组确定应急响应级别 并与相关业务部门成立水利厅网络与信息安全 应急处置指挥部 启动相应应急响应预案 对于判定为 级和 级的 网络与信息安全事件 事发单位 部门 网络安全与信息化领导小组 确定应急响应级别 启动相应应急响应预案 并向厅网络安全与信息 化领导小组报告有关情况 对于判定为 级网络与信息安全事件 如果事件影响范围仅限于 个别区域 厅直单位或市州 则由各级各部门确定应急响应级别 启 动相应应急响应预案 并向厅网络安全与信息化领导小组报告有关情 况 如果事件影响范围超过一个区域应由厅网络安全与信息化领导小 组确定应急响应级别 并根据需要成立水利厅网络与信息安全应急处 置指挥部 启动相应应急响应预案 当确定网络与信息安全事件等级 启动相应应急响应预案后 在 技术上采取应急恢复措施的同时 各级各部门应针对受影响或故障信 息系统所承担的业务应用采取相应的业务补救措施 尽可能减少损失 5 3 15 3 1 级响应级响应 对于 级事件 由厅网络安全与信息化领导小组及相关业务部门 组成水利厅网络与信息安全应急处置指挥部 指挥部宣布启动 级应 9 急响应 并组织 指挥应急处置工作 根据信息系统应急处置预案 组织信息系统运行管理部门及其他有关部门进行技术处理 同时组织 业务部门采取业务补救措施 必要时协调上级有关部门或单位参加应 急处置 对于造成社会影响的网络与信息安全事件 统一由厅网络安全与 信息化领导小组联络新闻媒体 对外通报系统故障情况 抢修情况 预期恢复时间等信息 降低事件所造成的社会影响 5 3 25 3 2 级响应级响应 如果事件影响范围仅限于个别地区 由事发部门网络与信息安全 协调部门宣布启动 级应急响应 并组织 指挥应急处置工作 组织 信息系统运行管理部门及其他有关部门进行技术处理 同时组织业务 部门采取业务补救措施 必要时协调上级有关单位或部门参加应急处 置 如果事件影响范围超过一个地区 则由厅网络安全与信息化领导 小组和相关业务部门组成水利厅网络与信息安全应急处置指挥部 由 指挥部宣布启动 级应急响应 并组织 指挥应急处置工作 根据信 息系统应急处置预案 组织信息系统运行管理部门及其他有关部门进 行技术处理 同时组织业务部门采取业务补救措施 必要时协调上级 有关单位或部门参加应急处置 对于造成社会影响的网络与信息安全事件 由事发单位有关部门 根据规定对外通报系统故障情况 抢修情况和预期恢复时间等信息 降低事件造成的社会影响 如事件没有得到及时解决 影响范围超出 级事件的范围 由厅 网络安全与信息化领导小组确认 升级为 级事件 按照 级响应进 行处置 10 5 3 35 3 3 级响应级响应 事发部门网络与信息安全协调机构宣布启动 级应急响应 并具 体组织 指挥应急处置工作 根据该信息系统应急处置预案 组织信 息系统运行管理部门进行技术处理 同时组织相应业务部门采取业务 补救措施 随时关注事件处理进程 必要时协调上级有关单位或部门 参加应急处置 如事件没有得到及时解决 影响范围超出 级事件的范围 事发 单位或部门应向厅网络安全与信息化领导小组建议升级为 级事件 由厅网络安全与信息化领导小组确认 并按照 级响应进行处置 5 3 45 3 4 级响应级响应 事发部门网络与信息安全协调机构宣布启动 级响应 具体组织 指挥应急处置工作 根据该信息系统应急处置预案 组织信息系统运 行管理部门进行技术处理 同时组织相应业务部门采取业务补救措施 随时关注事件处理进程 必要时协调有关单位和部门参加应急处置 如事件没有得到及时解决 影响范围超出 级事件的范围 立即 升级为 级事件 并按照 级响应进行处置 5 45 4 应急结束应急结束 对于 级网络与信息安全事件 在应急处置工作结束或相关危险 因素消除 厅网络安全与信息化领导小组确认后 终止应急响应 转 入常态管理 对于 级网络与信息安全事件 在应急处置工作结束或相关危险 因素消除后 由应急处置指挥机构决定终止应急响应 转入常态管理 并向厅网络安全与信息化领导小组报告 11 对于 级和 级网络与信息安全事件 在应急处置工作结束或相 关危险因素消除后 由事发部门网络与信息安全机构宣布应急结束 转入常态管理 并向厅网络安全与信息化领导小组报告 6 6 后期处置后期处置 6 16 1 调查与评估调查与评估 网络与信息安全事件处置结束后 有关部门应对事件的起因 性 质 影响 责任 经验教训和恢复重建等问题进行调查和评估 1 责任确定 应急处置工作结束后 应对事件进行调查 分析 产生原因 确定责任人 如涉及违法犯罪行为 由司法机关追究当事 人责任 其它事件由事发部门网络与信息安全协调机构负责调查 2 事件备案与归档 应急处置工作结束后 由事件处置指挥机 构将事件处置的过程和结果报厅网络安全与信息化领导小组备案 6 26 2 恢复重建恢复重建 按照 谁主管谁负责 谁运行谁负责 的原则 事发部门和相关 职能部门制订重建和恢复计划 迅速采取各种有效措施 恢复网络与 信息系统的正常运行 并对在故障发生前半小时内所进行过的业务操 作进行检查 认真核对业务数据是否正确或有无丢失 不正确或有丢 失的应马上更正或补录 确保数据的正确和完整 相关单位和部门必须总结和分析故障发生原因 排除隐患 提出 改进措施 避免再次发生同样故障 事件相关原因总结由事发部门网 络与信息安全协调机构审批后报送有关部门和厅网络安全与信息化领 导小组 6 36 3 报告与发布报告与发布 各级各部门要加强对信息系统运行的日常监控 发现异常情况 发生突发事件或可能发生突发事件的信息 必须立即按规定程序报告 12 各级各部门业务信息系统对采取信息系统应急措施后出现的各种 问题 要及时向厅网络安全与信息化领导小组报告 由水利厅负责研 究解决 并统一进行解释和发出指令 7 7 保障措施保障措施 7 17 1 应急队伍保障应急队伍保障 建立符合要求的网络与信息安全保障技术支撑队伍 对网络接入 单位的网络与信息安全保障工作人员提供技术支持和培训服务 7 27 2 经费保障经费保障 厅网络安全与信息化领导小组应确保网络与信息安全事件应急管 理工作所需的经费 包括日常运作 应急处置 安全演练等方面的经 费 其预算应纳入部门财政预算 同时 应将信息系统设备老化及更 新换代和日常维护所需要的经费 纳入本单位本部门系统运行维护年 度预算中 降低系统设备超期使用所造成的安全风险 7 37 3 物资保障物资保障 厅网络安全与信息化领导小组应建立必要的应急响应物资保障机 制 并根据工作需要 配备必要的网络和信息系统的备机 备品 备 件以及其他所需的物资 特别是一些关键设备和易损设备 加强对应 急资源及装备的管理 维护和保养 以备随时调用 7 47 4 资料保障资料保障 厅网络安全与信息化领导小组须备有必要的网络拓扑图 网络 设备 服务器 数据库 应用系统等资料 备有各信息系统应急响应 预案 调度预案 异常情况处理流程图 物资储备清单和相关单位 部门及主管领导联系方式等 重要信息系统均建立备份系统 保证重 要数据在受到破坏后可紧急恢复 13 7 57 5 技术保障技术保障 厅网络安全与信息化领导小组应加大网络与信息安全事件预警 预防和应急处置的技术研究 跟踪 掌握网络和信息安全领域的技术 方向和应用发展动态 加强网络和信息安全管理人员的业务培训 提 高应急处置的技术水平 针对网络硬件设备芯片加密算法 强化 国 产密码 的应用保护技术 7 67 6 联络制度联络制度 厅网络安全与信息化领导小组应明确网络与信息安全事件应急处 理的一般和紧急两级联系人 其中一般联系人主要是进行日常的信息 沟通 紧急联系人主要是在发生 级及以上网络与信息安全事件情况 下的直接沟通 联系信息应包括电话 传真和电子邮件等 联系人及 联系方式发生变化时要及时向有关部门报告 建立突发信息网络事件 应急处置工作小组内部及其他相关部门的应急联络信息 厅网络安全 与信息化领导小组应在重要部位醒目位置公布报警电话 厅网络安全 与信息化领导小组全体人员保证全天 24 小时通讯畅通 8 8 监督管理监督管理 8 18 1 宣传 培训和演练宣传 培训和演练 各级各部门应采用多种形式 宣传相关法律法规和信息安全基础 知识 提高网络与信息安全应急防范意识 加强对工作人员 管理人员 领导干部的应急管理 应急处置及 组织指挥等培训 并对应急管理和处置人员进行相应的技能培训 厅网络安全与信息化领导小组组织相关业务部门定期开展演练 模拟处置影响较大的网络与信息安全事件 检验预案的可执行性 各 级各部门应定期组织演练 模拟处置区域与信息安全应急事件 8 28 2 奖励与惩罚奖励与惩罚 网络与信息安全应急处置事件实行行政领导负责制和责任追究制 14 对在应急处置工作中做出突出贡献的集体和个人 给予表彰和奖 励 对于迟报 谎报 瞒报 漏报网络与信息安全事件重要情况或在 应急处置工作中有其他失职 渎职行为的 依法对有关责任人给予行 政处分 构成犯罪的 依法追究刑事责任 9 9 附则附则 9 19 1 预案管理与更新预案管理与更新 本预案由厅网络安全与信息化领导小组负责管理 并结合信息网 络快速发展和经济社会发展状况 以及相关法律法规对本预案每年评 审一次 提出修订意见 根据实际情况 适时修订更新本预案 9 29 2 细则制定细则制定 水利厅网络安全与信息化领导小组有关成员单位 部门 应根据 本预案制定本区