网络与信息安全突发事件应急预案

网络与信息安全突发事件应急预案为确保快速有序处理网络与信息安全突发事件，保证网络与信息系统的正常安全运行，根据《中华人民共和国计算机信息系统安全保护条例》、《浙江省网络与信息安全应急预案》等有关规定，制定本预案。一、适用范围本预案适用于集团网络、工控系统及其它业务系统发生突发性危害事件的应急响应。二、工作原则以人为本，加强预防；明确责任，分级负责；按照规范，加强管理；快速响应，协同应对；依靠科技，资源整合。三、组织体系与职责（一）组织体系为保障集团网络与信息系统的安全、正常、有序的运行，集团成立网络与信息安全应急指挥小组，负责整体规划、组织协调和决策指挥。小组成员如下：组长：集团信息数据分管副总经理副组长：集团信息中心负责人组员：集团各职能部室负责人，集团各分公司负责人。应急指挥小组办公室设在信息中心，成员为信息中心全体成员及集团各部门、各单位系统管理员和网络安全管理员，负责网络与信息安全应急响应的具体工作。（二）职责网络与信息安全应急指挥小组的职责为：研究制定网络与信息安全应急处置工作的规划、计划和政策，协调推进网络与信息安全应急机制和工作体系建设；发生网络与信息安全突发公共事件后，决定启动本预案，组织应急处置工作。相关部门的职责为：信息中心（1）负责应急指挥小组的日常工作，落实应急指挥小组决定的事项。（2）负责执行各系统与网络技术层面的应急措施和应急响应。（3）负责网络与信息安全应急预案的管理，指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。（4）指导应对网络与信息安全突发公共事件的科学研究、预案演习、宣传培训、督促应急保障体系建设。（5）及时收集网络与信息安全突发公共事件相关信息，分析重要信息并向应急领导小组提出处置建议。2.办公室（1）负责应急期间交通、电力、通讯、后勤等保障工作。（2）负责应急期间重要信息上报工作。（3）负责组织协调信息安全突发事件的新闻发布和舆情管控。（4）各业务系统主管和使用部门：负责执行各业务系统的业务层面的应急措施和应急响应流程。3.基层单位负责执行生产控制系统故障后业务层面的应急措施（生产单位），系统故障后业务层面的应急措施（营销单位）。网络安全管理员（1）负责信息安全突发事件先期应急处置等工作。（2）负责信息安全突发事件处置过程中的相关配合工作。四、分类分级本预案所称突发性危害事件，是指因自然或人为活动危害网络与信息系统等紧急事件。（一）事件分类根据网络与信息安全突发公共事件的发生过程、性质和特征，划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害（地震、台风、雷电、火灾等）、事故灾难（电力中断、网络损坏、或软、硬件设备故障等）和人为破坏（人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖主义活动等）引起的网络与信息系统的损坏。信息安全突发事件是指利用网络与信息进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。（二）事件分级网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级：Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。Ⅰ级(特别重大)：网络与信息系统发生全局性瘫痪，事态发展超出集团的控制能力，对社会造成特别严重损害的突发网络安全事件。

Ⅱ级(重大)：网络与信息系统发生大规模瘫痪，对集团的重要系统、生产业务造成严重影响，官方网站、服务平台被篡改或劫持等对社会具有一定影响的突发网络安全事件。

Ⅲ级(较大)：网络与信息系统发生部分瘫痪，对集团的重要系统、生产业务造成一定影响和损害，但不危害社会的突发网络安全事件。

Ⅳ级(一般)：网络与信息系统受到一定程度的损坏，对集团的重要系统、生产业务造成一定影响，但不危害社会的突发网络安全事件。五、处置流程（一）信息监测及报告网络安全管理员按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测，一旦发生网络与信息安全突发事件，及时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。（二）应急处置步骤1.主要处理流程（1）应急指挥小组办公室对于可能发生或已经发生的网络与信息安全突发公共事件，立即启动相应系统的应急处理措施控制事态，在第一时间内根据问题的性质、危害程度进行风险评估，判定事件等级，并将结果上报应急指挥小组。（2）对发生和可能发生Ⅰ级或Ⅱ级的网络与信息安全突发公共事件时，应向市委网信办、市公安局、市城投集团等上级部门进行汇报，并争取支援。应急指挥小组应迅速召集应急指挥小组会议，研究制定解决方案，同时还应根据实际向相关用户发布预警，直至危害警报解除。（3）对发生和可能发生Ⅲ级和Ⅳ级网络与信息安全突发公共事件时，应急指挥小组办公室应召开应急指挥小组办公室会议，研究确定处置方案，并向上级主管部门进行事件汇报，同时还应根据实际向相关用户发布预警，直至危害警报解除。应急指挥小组办公室第一时间制定出应急解决方案。信息中心对主要系统进行技术处理，力争在第一时间内对系统和网络进行恢复。在短时间内无法恢复的应该采取临时措施，将损害减小到最少。业务系统主管部门根据各自制定的业务层面的应急预案开展相关应急措施。（4）网络与信息安全突发公共事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，分析各监测统计数据后，由应急指挥小组确定是否结束应急响应。图1应急处理流程图技术层应急恢复措施重要系统、生产业务管理公司主要负责人为第一责任人。业务系统包括管控系统等。业务系统业务层面的应急措施由主管部门制定，部门主要负责人为第一责任人。业务系统主要建立在虚拟机平台上，以恢复系统快照为主。虚拟机平台发生故障则启用备用虚拟机平台。若快照恢复失败则采用手动恢复。具体步骤见各系统操作手册。特殊时期采用运维人员驻点维护的方式。由驻点人员负责系统恢复和故障排除。各部门、水厂主要负责人联系方式见集团通讯录。（三）应急处置要求应急处置当发生网络与信息安全突发公共事件时，网络安全管理员应做好先期应急处置工作，立即采取相应措施控制事态发展，同时向应急指挥小组办公室报告，应急指挥小组办公室根据事件等级及时向应急指挥小组报告。应急指挥小组办公室在接到网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态，并做好启动本预案的各项准备工作。根据网络与信息安全突发公共事件发展态势，视情况由专员赶赴现场进行工作指导，组织派遣应急支援力量。应急指挥本预案启动后，应急指挥小组办公室要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，并召集相关人员研究提出处置方案，统一指挥网络与信息应急处置工作。应急事件需成立现场指挥部的，应立即在现场组成指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。应急支援本预案启动后，应急指挥小组应指导、协调和督促处置工作。应急指挥小组办公室根据事态的发展和处置工作需要，及时增派专家小组，调动必需的物资、设备，支援应急工作。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下，协同开展处置行动。扩大应急发生或可能发生重大、特别重大突发性危害事件，采取一般处置措施无法控制和消除其严重危害时，需要实施扩大应急行动。因突发性危害事件次生或衍生出其他突发性危害事件，已有的应急救援能力不足以控制事件发展态势时，应及时报告上级部门，由上级部门协调指挥相关单位参与处置。信息处理网络与信息安全突发公共事件发生时，网络安全管理员应对事件进行动态监测、分析，将事件的性质、危害程度和信息处理工作等，及时按集团《紧急信息报送工作管理办法》要求报应急指挥小组办公室,不得瞒报、缓报、谎报。应急指挥小组办公室要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。要及时编发事件动态信息供集团相关领导决策。要组织专家和有关人员研判各类信息，研究提出对策措施，完善应急处置计划方案。（四）应急善后处置在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报应急指挥小组办公室。在应急处置工作结束后，应急指挥小组办公室应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，并根据问责制的有关规定，对有关责任人员作出处理。六、保障措施（一）应急装备保障在网络与信息系统建设时应事先预留一定的应急设备，建立网络与信息硬件、软件、应急救援设备等备用设备。（二）数据保障重要网络与信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。（三）应急队伍保障由应急指挥小组办公室按照一专多能的要求建立网络与信息安全应急保障队伍。应急队伍成员为应急指挥小组及应急指挥小组办公室的全体成员。（四）网络限制保障在特殊时期经网络与信息安全应急指挥小组批准可以对集团网络采取特殊网络限制措施确保安全。具体措施分为封闭外网端口，禁止访问互联网，禁止互联网数据交换等。七、监督管理（一）宣传教育利用各种传播媒介及有效的形式，有计划地开展网络与信息安全突发公共事件应急和处置的宣传教育活动，定期或不定期举办应急管理培训班，加强机关工作人员安全防范意识的宣传普及，提高公众防范意识和应急处置能力。要加强对网络与信息安全等方面的知识培训，提高防范意识