政务部门信息安全应急预案编制

政务部门信息安全应急预案编制指南 北京市地方标准编制说明 一 任务来源 起草单位 协作单位 主要起草人 本任务的来源是 北京市质量技术监督局下发的 2014 年北京市地方标准修订项目计划 项目编号 20141080 本标准由北京市经济和信息化委员会提出 归口和解释 起草单位包括 北京市政务信息安全应急处置中心 中国 科学院信息工程研究所 北京邮电大学 主要起草人包括 王宗君 刘鹏 刘宝旭 史宜会 陈 钊 王枞 郭子亮 杨泽明 刘建毅 李若愚 汪秋云 严坚 刘涛 郭立生 二 制定标准的必要性和意义 1 落实政策法规的要求 国务院办公厅关于印发突发事件应急预案管理办法 的通知 国办发 2013 101 号 明确单位和基层组织应急 预案由机关 企业 事业单位 社会团体和居委会 村委 会等法人和基层组织制定 北京市网络与信息安全事件应 急预案 京应急委发 2012 23 号 明确市级单位预案由市 级网络与信息系统运营使用管理单位负责制定修订 且市 经信负责监督 检查 指导全市电子政务信息安全时间的 预防和应对工作 该标准为了解决目前电子政务部门 单 位 基层组织信息安全应急预案编制形式简单 编制目的 模糊 编制内容宏观 编制方法落后 完善方式简单 衔 接不一致等问题 指导北京市范围内各电子政务部门 单 位 基层组织网络与信息安全预案的编制工作 同时 北京市在 2008 年 北京市实施办法 2010 年 北京市人民政府关于 实施北京市突发事件总体应急预案的决定 京政发 2010 12 号 2013 年 6 月 北京市突发事件应急委员会办公室 发布了 关于开展区县总体应急预案 市级专项和市级部 门应急预案修订与编制工作的通知 均对各专业方向制定 应急预案提出了明确的要求 2 保障北京市政务信息安全的要求 随着近些年北京市信息化的发展趋势 十三五 时期 是北京市重要战略机遇期 也是北京加快信息化发展 融 入信息时代全球城市竞争新格局 引领全国城市发展的关 键时期 随着新一轮信息技术革命的深入推进 以 智能 化 为特征的信息化为北京实现跨越式发展提供了新思路 新方法和新路径 北京在深入贯彻科学发展观 全面推进 智慧北京 建设 努力建设中国特色世界城市的同时 也使得基础网络与重要信息系统对北京市的城市运行 管 理 服务 保障等工作的支撑作用更加突出 北京作为首 都 人口稠密 经济要素高度积聚 政治 经济 文化等 国际交往频繁 重大活动多 信息安全突发事件诱因复杂 应急处置难度大 北京地区一旦发生重大或特别重大网络 与信息安全事件 势必对北京市的公共安全 政治稳定和 社会经济秩序构成严重威胁 并对其它地区产生重大影响 3 规范和指导政务部门信息安全应急预案的需要 网络与信息安全应急预案是信息安全突发事件应对工 作的基础和关键 市通信保障和信息安全应急指挥部办公 室为市通信保障和信息安全应急指挥部的常设办事机构 设在北京市经济和信息化委员会 以下简称 经信委 具体承担本市网络与信息安全事件应对工作和应急通信保 障工作的规划 组织 协调 指导 检查职责 为配合经信委对全市电子政务信息安全应急工作的管 理 2008 年特成立北京市政务信息安全应急处置中心 以 下简称 应急中心 配合上级主管部门制定和完善市级 信息安全应急预案 指导北京市各政务部门制定应急预案 并组织应急预案培训 近年来 国家信息化主管部门编制了初成体系的网络 与信息安全应急预案大纲 很多单位根据国家的有关要求 纷纷着手编制各自的网络与信息安全应急预案 为更好的 完成 北京市网络与信息安全事件应急预案 修订与 北 京市电子政务网络与信息安全应急预案 的编制工作 2012 年 5 月至 2013 年 8 月期间 应急中心相关人员会同其 他部门选取部分市级委办局 区县 就上述工作开展调研 通过对北京市各单位网络与信息安全应急预案的分析 发 现编制全面 规范 可操作性强的应急预案缺乏可直接参 照的范本 很多单位在网络与信息安全应急预案编制过程 中存在编制形式简单 编制目的模糊 编制内容宏观 编 制方法落后 完善方式简单 衔接不一致等问题 需制定 统一的标准对其进行规范 综上所述 在今后经信委落实政策法规要求 开展相 关工作以及提供应急预案编制指导时 需要依托该标准为 全市党政机关及各委办局用户提供相应的编制依据 规范 编制内容 制定 政务部门信息安全应急预案编制指南 标准具有重大的现实意义 三 主要工作过程 1 2012 年 5 月至 2013 年 8 月期间 北京市政务信息 安全应急处置中心应急工作部相关人员会同其他部门选取 部分市级委办局 区县对 北京市网络与信息安全事件应 急预案 修订与 北京市电子政务网络与信息安全应急预 案 的编制工作开展调研分析工作 具体报告见附件材料 通过对 15 个区县进行调研 15 个区县应急预案编制情 况较好 15 个区县都已制定了应急预案 但也存在一些问 题 问题主要集中在未及时修订应急预案 6 15 15 个区县在应急预案编制中普通存在的问题是缺乏合 作协调和相互衔接 6 15 通过对 25 家委办局进行调研 25 家委办局应急预案编 制情况较好 24 家委办局都已制定了应急预案 有 1 家委 办局未制定应急预案 但也存在一些问题 问题主要集中 在未及时修订应急预案 14 25 25 家委办局在应急预案编制中普通存在的问题是缺乏 合作协调和相互衔接 8 25 和预案的修订程序欠缺 6 25 通过本次调研发现各个单位在预案修订或制定方面比 有很大程度的提高 多数被走访单位对应急预案进行了修 订 现有应急预案已做成一定体系 有一定实操性 但各 单位在预案编制 修订中也遇到了不知道如何编制 修订 缺乏专业指导 缺乏预算支撑等问题 各单位普遍希望得 到北京市政务信息安全应急处置中心的预案修订指导服务 针对此次调研结果发现的问题 北京市政务信息安全 应急处置中心特制定了 电子政务信息安全应急预案编制 指南 以对进行指导 并在 2013 年至 2015 年期间选取部分单位进行试点 现已经在昌平区 残联 地税 首都之窗等单位进行预案 编制指导 并取得很好的效果 1 2012 年承担了 北京市政务信息安全监控预警系统 升级改造项目 建设过程中对 15 个厂家五大类 51 种产品 的原始异构数据进行了调研 调研内容涵盖产品的现状 数据上报接口 状态检测接口 数据交互接口和统一身份 认证接口 在升级改造过程中实现全网信息源格式有效统 一 并形成 调研报告 一篇 2 2012 年承担了 北京市政务信息安全事件数据采集 规范及智能关联分析研究 课题 对当前已有信息安全监 控设备数据上报 状态检测接口进行梳理 制定统一的数 据采集接口规范 规范监控系统接口和采集数据格式 形 成 北京市政务信息安全监控数据接口规范 草案 一篇 3 2013 年 6 月 为规范北京市电子政务信息系统安全 监控工作 实现全市电子政务信息安全监控数据分析共享 北京市政务信息安全应急处置中心 北京天诚星源信息技 术有限公司 北京邮电大学共同组成 电子政务信息安全 监控数据规范 标准编制组 召开该标准编制启动工作会 议 会上 对标准编制的组织形式及任务分工进行了安排 会上形成了 会议决议 一份 4 2013 年 11 月 标准编制组完成了地区标准 电子政 务信息安全监控数据规范 草案 在草案完成后 标准 制定方组织了来自市标准化协会 市资源中心 市信标委 等多家单位的专家对草案及申报书进行了专家论证 会议 形成了 专家意见 一份 5 2013 年 12 月 标准编制组按照 北京市地方标准 申报流程 对 电子政务信息安全监控数据规范 地方标 准进行了申报 并于 2014 年 4 月获得立项 编号 20141080 6 2014 年 3 月至 5 月 标准编制组分别向北京市财政 局信息中心 北京市地税局信息中心 北京市国土资源局 信息中心 北京市标准化协会 工业和信息化部电子工业 标准化研究院 北京市信息安全测评中心等单位的专家进 行了专家咨询和征求意见 标准编制组对此意见做出了处 理 形成征求意见稿 7 2014 年 6 月 24 日 标准编制组邀请了来自中国特 种设备检测研究院 中科院计算所 北京科技大学 首都 师范大学 电信研究院泰尔实验室 中国软件评测中心 东华软件股份公司 北京航空航天大学 北京交通大学等 单位的专家对 电子政务信息安全监控数据规范 进行了 征求意见 共收到专家意见书 9 份 专家组意见书 1 份 其中意见 14 条 采纳 14 条 8 2014 年 6 月 26 日 标准编制组邀请了来自 NEC 同有 avago 三零卫士 北京 CA 等企业单位的专家对 电子政务信息安全监控数据规范 进行了征求意见 共 收到专家意见书 15 份 专家组意见书 1 份 其中意见 14 条 采纳 13 条 9 2014 年 8 月 北京市经济和信息化委员会分别向北 京市财政局标准编制组按已采纳的专家意见对标准征求意 见稿进行了修改 形成 电子政务信息安全监控数据规范 征求意见稿一份 并由北京市经济和信息化委员会分别向 北京市财政局 北京市国土局 北京市科委 北京市卫生 和计划生育委员会 北京市住建委 北京市信访办 北京 市教育委员会 北京市市政市容委 北京市统计局 北京 市工商行政管理局 北京市发展和改革委员会 北京市密 码管理局 北京市安全生产监督管理局 工信部电信研究 院泰尔实验室 中国电子技术标准化研究院 国都兴业信 息审计系统技术 北京 有限公司 北京神州绿盟科技有限 公司 北京网御星云信息技术有限公司 深圳市深信服电 子科技有限公司 杭州安恒信息技术有限公司 北京冠群 金辰软件有限公司 任子行网络技术股份有限公司 北京 启明星辰信息安全技术有限公司 北京知道创宇信息技术 有限公司等单位发公函征求意见 收到回函 26 个 其中 5 份函复意见 其中意见 18 条 采纳 12 条 10 2015 年 4 月 17 日 标准编制组邀请了来自北京市 经信委科技标准处 北京市经信委信息安全协调处 应急 处 北京市财政局 北京市卫生和计划生育委员会 工信 部电子工业标准化研究所 北京市标准化协会 全球网络 存储工业协会中国技术中心等专家对 电子政务信息安全 监控数据规范 进行了征求意见 共收到专家意见书 11 份 采纳意见 11 份 11 2015 年 9 月 北京市经济和信息化委员会向北京 市公安局发函征求意见 对于该标准无函复意见 12 2015 年 10 月 标准编制组根据前期采集意见对标 准征求意见稿进行了修改 形成送审意见稿 13 2015 年 11 月 北京市质量技术监督局组织对于标 准的审查会 来自工业和信息化部电子工业标准化研究院 工业和信息化部电信研究院 北京标准化协会 北京市国 土资源局信息中心 北京启明星辰信息安全技术有限公司 北京安信天行科技有限公司 北京神州绿盟科技有限公司 等单位的专家及北京市经济和信息化委员会的相关同志参 加了会议 对标准进行审查 形成审查会会议纪要 14 2015 年 11 月 标准编制组根据审查会会议纪要对 标准送审意见稿的内容进行了修改 形成报批稿 并由北 京市经济和信息化委员会向北京市质量技术监督局报批 四 制定标准的原则和依据 与现行法律 法规 标准的 关系 1 本标准的原则和依据 中华人民共和国突发事件应对法 第十七条 国家 建立健全突发事件应急预案体系 国务院制定国家突发事件总体应急预案 组织制定国 家突发事件专项应急预案 国务院有关部门根据各自的职 责和国务院相关应急预案 制定国家突发事件部门应急预 案 地方各级人民政府和县级以上地方各级人民政府有关 部门根据有关法律 法规 规章 上级人民政府及其有关 部门的应急预案以及本地区的实际情况 制定相应的突发 事件应急预案 应急预案制定机关应当根据实际需要和情势变化 适 时修订应急预案 应急预案的制定 修订程序由国务院规 定 国家突发公共事件总体应急预案 1 6 应急预案体系 突发公共事件地方应急预案 具体包括 省级人民政府的 突发公共事件总体应急预案 专项应急预案和部门应急预 案 各市 地 县 市 人民政府及其基层政权组织的突 发公共事件应急预案 上述预案在省级人民政府的领导下 按照分类管理 分级负责的原则 由地方人民政府及其有 关部门分别制定 北京市实施办法 第十五条 市突发事件应急委员会应当组织编制突发事件 应急预案的制定规范 明确应急预案的体系构成 主要内 容 制定和审批程序 管理责任与要求等 北京市人民政府关于实施北京市突发公共事件总体 应急预案的决定 京政发 2005 17 号 进一步加强法制建 设 使应急管理工作逐步实现规范化 制度化和法制化 北京市网络与信息安全事件应急预案 京应急委发 2012 23 号 明确市级单位预案由市级网络与信息系统运 营使用管理单位负责制定修订 且市经信负责监督 检查 指导全市电子政务信息安全时间的预防和应对工作 该标 准为了解决目前电子政务部门 单位 基层组织信息安全 应急预案编制形式简单 编制目的模糊 编制内容宏观 编 制方法落后 完善方式简单 衔接不一致等问题 指导北京市范围 内各电子政务部门 单位 基层组织网络与信息安全预案的 编制工作 国务院办公厅关于印发突发事件应急预案管理办法 的通知 国办发 2013 101 号 明确单位和基层组织应急 预案由机关 企业 事业单位 社会团体和居委会 村委 会等法人和基层组织制定 2 与现行法律 法规 标准的关系 我国的信息安全标准化工作起步较晚 信息安全方面相 关标准的制定相对滞后 应急响应方面的相关标准更是不能 满足应急体系的发展要求 目前我国的应急体系已经发展 到比较完善的阶段 现在需要更规范的阶段 只有加快国家 相关标准的制定才能让它发挥更重要的作用 随着国际应急响应组织的不断发展壮大 为了指导和规 范各组织的应急响应 国际上已制定出很多信息安全应急响 应方面的标准 主要如下 1991 年 11 月 美国国家标准与技术协会 NIST 制定了 SP 800 3 建立计算机安全事件响应能力 1998 年 6 月 互联网工程任务组 IETF 制定了 RFC 2350 计算机安全应急响应期望 1998 年 12 月 美国国家标准与技术协会 NIST 制定了 SP 800 18 联邦信息系统安全计划制定指南 2002 年 6 月 美国国家标准与技术协会 NIST 制定了 SP800 34 信息技术系统应急计划指南 2004 年 1 月 美国国家标准与技术协会 NIST 制定了 SP800 61 计算机安全事件处理指南 2004 年 10 月 国际标准化组织 ISO 和国际电工委员会 IEC 制定了 ISO IEC TR 18044 2004 信息技术 安全技 术 信息安全事件管理 2005 年 11 月 美国国家标准与技术协会 NIST 制定了 SP800 83 恶意代码事件预防和处理指南 2006 年 9 月 美国国家标准与技术协会 NIST 制定了 SP800 84 信息系统计划和能力的测试 培训和演练指南 2006 年 8 月 美国国家标准与技术协会 NIST 制定了 SP800 86 应急响应整体取证技术指南 目前我国也制定了一些应急预案方面的标准 它们如下 GB Z 20985 2007 信息技术 安全技术 信息安全事件管 理指南 该指南对信息安全事件发现 报告 评估 总结进行 了规范 其第 7 部分对于信息安全事件的规划和准备进行 了明确 提出应当将相关方案形成文件 但对文件的形式 范围 内容要求并无直接要求 且该标准多参考国际标准 ISO IEC TR 18044 2004 信息技术 安全技术 信息安 全事件管理 的相关内容 不具备对于应急预案编制的指 导与规范作用 GB Z 20986 2007 信息安全技术 信息安全事件分类分 级指南 该指南对信息安全事件进行了分类 但未对各类事件 的应对和相关方案的内容进行要求 GB T 24363 2009 信息安全技术 信息安全应急响应计 划规范 该指南对于信息安全应急响应计划进行了规范 但该 响应针对于灾难恢复或备份系统恢复为主要手段的相应 而对于需对信息安全现场处置以及不需要恢复系统介入的 内容并无介绍 且响应计划规范偏于技术实施 与预案编 制无关 无法指导单位或组织按国家规定的预案框架行预 案编制 目前我国应急响应预案方面的标准相对较少 尤其是科 学的信息安全应急响应标准体系尚未形成 需要加快信息安 全相关应急响应标准的制定步骤 以满足不断成熟完善的信 息安全应急响应体系 电子政务信息安全应急预案编制指南的制定应在参考 借鉴国外标准先进模式的基础上 从北京市的实际出发 充 分考虑与国内现有的其他应急响应相关标准和规范的协调 问题 并紧密结合相关行业技术发展和实践经验 五 主要条款的说明 主要技术指标 参数 实验验证的 论述 本标准针对预案编制形式简单 编制目的模糊 编制 内容宏观 编制方法落后 完善方式简单 衔接不一致等 问题 对预案编制的科学性 针对性 可操作性和完整性 进行了规范 可用于指导北京市范围内党政机关网络与信 息安全预案的编制工作 本标准规定了北京市电子政务编制信息安全事件应急 预案 以下简称应急预案 的编制程序 体系构成以及预 案内容和附件的主要内容 主要技术内容如下 应急预案编制流程应急预案编制流程 对应急预案的编制流程进行明确 将其规范为启动应 急预案编制工作 应急调查 风险评估 业务影响分析 应急资源和能力评估 应急预案编制 应急预案评审及修 订 应急预案发布及生效等过程 构建应急预案体系构建应急预案体系 明确综合预案 专题预案和现场处置方案等组成的应 急预案体系 为各政务部门制定各层级预案 通过综合预 案阐述组织和机构信息安全应急工作的基本原则 总体目 标 应急组织结构 部门职责 应急行动总体思路 应急 救援活动总体思路 应急救援活动的组织协调 通过专题 预案针对某种具体的 特定类型的信息安全事件的应急响 应计划 通过现场处置方案对各个信息系统应急响应做出 周密而细致的安排 规范各岗位的应急处置职责 组织本 单位现场作业人员及相关专业人员共同进行编制现场处置 方案 通过不同层次的预案明确部门进行信息安全应急时的 组织 范围和实操手册的要求 预案内容与附件预案内容与附件 结合应急处置过程需要规定应急预案的内容 明确应 急预案应当包含框架以及框架中的要素 以及需明确的预 案附件的内容 包括相关人员联系方式 应急装备物资清 单 规范化格式文本 关键路线 标识和图纸 以及有关 协议和备忘录等 资料性附录资料性附录 按照编制指南中的内容 对于各类预案提供模板作为 资料性附录 为标准读者提供直观参考 六 重大意见分歧的处理依据和结果 本标准无重大意见分歧 七 采用国际标准和国外先进标准的 说明采标程度 以 及与国内外同类标准水平的对比情况 本标准未采用国际标准和国外先进标准 八 作为推荐性标准或者强制性标准的建议及其理由 随着网络与信息化程度的不断提高及复杂化 信息安 全事件不断出现 计算机病毒网络化趋势愈来愈明显 黑 客攻击呈现指数增长 利用互联网传播有害信息的手段层 出不穷 仅通过单纯的技术手段应对突发事件 无法实现 业务的快速恢复 尤其在网络与信息安全领域 通过身份 认证 加密 访问控制 防病毒 防火墙 漏洞扫描 入 侵检测 审计等技术手段增加信息系统健壮性 从而保障 信息系统运行的方式 已不能满足网络与信息安全工作的 需要 而应急管理通过体系化的建设 在预防 准备 响 应 恢复 重建 倡议和等阶段采取响应举措 能够降低 损失 控制破坏程度 同时可以尽可能快的速度和尽可能 小的代价终止紧急状态 恢复到正常状态 预案是应急管 理的重点 预案编制标准实现预案编制规范化 可以明确 预案编制方法 预案要求 使预案更加具有可读性 利于 保存及分发 有效保证预案编制可实施化 保障用户在信 息安全事件发生时能及时完成应急处置工作 为了解决电子政务部门 单位