1 总则
1.1 编制目的
建立益阳职业技术学院突发事件应急工作体系,健全益阳职业技术学院对突发事件的预防、处置、善后等工作机制,提高我校应对网络与信息安全突发事件的能力和水平,预防、减少网络与信息安全突发事件对我校造成的损失和危害。
1.2 编制依据
《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《湖南省网络与信息安全事件应急预案》等相关规定。
1.3 工作原则
按照统一指挥、分级负责的原则,遵循“谁主管谁负责、谁运行谁负责”的处理方式,充分协调市信息化主管部门,调动下属单位和签约的信息安全服务公司等各方面的资源,共同做好我校网络与信息安全突发事件的预防和处置工作。
1.4 适用范围
本预案适用于益阳职业技术学院和各下属单位对信息安全事件的处置。
1.5 分类分级
1.6 事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。
(1)有害程序事件包括:计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。
(2)网络攻击事件包括:拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。
(3)信息破坏事件包括:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。
(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作、讨论敏感问题,并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障事件包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。
(6)灾害性事件包括:水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。
(7)其他信息安全事件:不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。
1.7 安全事件分级
网络与信息安全事件分为四级:由高到低划分为Ⅰ级(特别重大级)、Ⅱ级(重大级)、Ⅲ级(较大级)、Ⅳ级(一般级)4个级别。
(1)符合下列情形之一的,为Ⅰ级网络与信息安全事件:
①信息系统中断运行2小时以上且影响人数100万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一且未达到Ⅰ级网络与信息安全事件的,为Ⅱ级网络与信息安全事件:
①信息系统中断运行30分钟以上且影响人数10万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
(3)符合下列情形之一且未达到Ⅱ级网络与信息安全事件的,为Ⅲ级网络与信息安全事件:
①信息系统中断运行造成较严重影响的。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成威胁、造成的影响和情况较为严重,但未达到Ⅲ级事件标准的网络与信息安全事件为Ⅳ级网络与信息安全事件。
网络与信息安全事件分为四级:由高到低划分为Ⅰ级(特别重大级)、Ⅱ级(重大级)、Ⅲ级(较大级)、Ⅳ级(一般级)4个级别。
(1)符合下列情形之一的,为Ⅰ级网络与信息安全事件:
①信息系统中断运行且影响市民正常访问或对外提供服务。
②信息系统中的数据丢失或被窃取、篡改、假冒,对我市的安全和社会稳定构成严重威胁。
③向公众提供服务的网站出现非法言论,应用系统信息被篡改,特别是向公众提供服务的网站系统被篡改。
④其他对我市社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一的,为Ⅱ级网络与信息安全事件:
①信息系统中的数据丢失或被窃取、篡改、假冒,对市、我校的安全和社会稳定构成威胁。
②黑客攻击导致无法正常浏览;向公众提供服务的数据库损坏;网络系统瘫痪;硬件设备损坏;断电导致无法使用。
③其他对我市的秩序、经济建设和公众利益构成严重威胁、影响的网络与信息安全事件。
(3)符合下列情形之一的,为Ⅲ级网络与信息安全事件:
①信息系统中断运行造成全局无法正常办公或访问。
②信息系统中的数据丢失或被窃取、篡改、假冒,对处室构成威胁。
③其他对我市的社会秩序、经济建设和公众利益构成一般威胁或影响的网络与信息安全事件。
(4)除上述情形外,对我市造成较大影响,但未达到Ⅲ级事件标准的网络与信息安全事件为Ⅳ级网络与信息安全事件。
2 组织机构与职责
2.1 指挥机构与职责
益阳职业技术学院网络安全与信息化领导小组(以下简称指网信领导小组)是网络与信息安全突发事件的指挥机构,负责我益阳职业技术学院网络与信息安全突发事件的应对指挥工作。指挥部由总指挥、副总指挥、现场指挥官、现场副指挥官和成员单位主管信息化工作负责同志组成。
2.2 总指挥
总指挥由分管信息化的领导XX担任,负责突发事件应急的领导工作,对我校网络与信息安全应急工作实施统一指挥。
2.3 副总指挥
副总指挥由XX担任,负责协助总指挥做好应急各项工作,协调单位实施应急工作,或受总指挥委托,指挥应急处置工作。
2.4 现场指挥官
现场指挥官由XX担任,履行现场决策、指挥、调度职责,协助总指挥、副总指挥在事件现场指挥我网络与信息安全应急小组、专家组、各应急专业技术队伍和单位,处置网络与信息安全突发事件。
2.5 现场副指挥官
现场副指挥官由XXX担任。在发生网络与信息安全突发事件时,协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。
2.6 网络与信息安全应急小组
网络与信息安全应急小组成员名单如下:
组长:XXX
成员:XX,XX
安全服务技术支持:XX,XXX
2.7 专家组
我校信息安全专家组由安全服务单位,XX公司的信息安全专家组成。
专家组主要职责:对预防发生网络与信息安全突发事件和相关应急处置工作提供咨询与建议;对与预案相关的规章制度的制定和项目建设提供参考意见;对应急工作中存在的问题和不足提出改进建议。
3 监测与预警
3.1 监测
依照国家信息安全等级保护工作要求,重点做好风险漏洞隐患排查、监测预警、信息安全事件报送、信息通报等工作。
3.2 风险漏洞监测
我校依照国家信息安全等级保护工作的相关要求和规定,开展风险评估,定期开展重要基础网络与信息系统检查,了解掌握分管领域内重要基础网络与信息系统的风险现状,加强风险管理,提高重要基础网络与信息系统抗风险能力。
3.3 监测预警系统
我校进行统一部署网站监控和诊断平台,对局门户网站、公众服务应用系统网站,进行实时监控,如发现无法正常访问、出现错别字等情况时将手机通知值班人员,并短信预警网络与信息安全应急小组人员。
3.4 预警
我校部署的网站监控和诊断平台,在检测发现存在问题时将以短信的方式通知所有预设置接收人员。
4 应急响应
4.1 信息报告
单位或下属单位应根据职责分工,及时收集、分析、汇总所管辖的基础网络与信息系统安全运行情况,发现安全风险及事件信息,及时报告网络与信息安全应急小组。
(1)信息报告内容:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
(2)对暂时无法判明破坏等级的事件,事发单位应立即将简要情况及联系人通过电话、传真等方式上报网络与信息安全应急小组;网络与信息安全应急小组接到事件报告后,立即上报对发生的信息安全事件进行等级确认。
(3)对重要基础网络与信息系统、三级(含)以上基础网络与信息系统、涉密基础网络与信息系统及在敏感期可能演化为Ⅱ级和Ⅰ级网络与信息安全事件的信息,应立即上报,不受时间限制。
(4)对涉密的信息,参与涉密突发事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密工作。
4.2 先期处置
发生网络与信息安全突发事件后,网络与信息安全应急小组必须立即实施先期处置,并按照我校制定的相关应急预案,控制事件进一步发展。
(1)控制事态发展,防止破坏蔓延。网络与信息安全应急小组根据本局相关应急预案,采取紧急措施,及时控制事态发展,最大限度防止事件蔓延。
(2)快速判断事件危害。网络与信息安全应急小组尽快进行分析,根据基础网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。
(3)及时上报信息。网络与信息安全应急小组在第一时间开展先期处置的同时,若发现事件严重,应立即上报市经济贸易和信息化委员会。
(4)事件发生、发展、处置的记录和证据留存。网络与信息安全应急小组在处理过程中,保留相关证据,可采取记录、截屏、备份、录像等手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录;涉及网络犯罪行为的,按照相关法律法规要求,进行电子数据取证,为事件调查、处理提供证据。
(5)保持通信畅通。网络与信息安全应急小组人员应保持手机的畅通。
4.3 分级响应
根据网络与信息安全突发事件的分类分级状况,网络与信息安全突发事件响应等级分为Ⅳ级、Ⅲ级、Ⅱ级和Ⅰ级。发生网络与信息安全突发事件后,按下列规定进行分级响应。
4.4 Ⅳ级响应
Ⅳ级突发事件由事发处室或下属单位负责开展应急处置工作。
(1)事发处室或下属单位按照我校相关的应急预案进行先期处置。若事发处室或下属单位不能自行处理将突发事件信息、处置进展情况及时报网络与信息安全应急小组。
(2)事发处室或下属单位负责人及时赶赴现场,组织协调、指挥本处室或单位专业技术队伍进行处置工作,必要时请求网络与信息安全应急小组安排专家组、网络与应急小组成员协助处置。
(3)根据事发处室或者单位需要,网络与信息安全应急小组将及时赶赴现场,指导事发处室或者单位开展应急处置工作,并及时将处置情况向委现场副指挥报告。
4.5 Ⅲ级响应
Ⅲ级突发事件由事发处室或下属单位启动Ⅲ级响应,负责开展应急处置工作。
(1)事发处室或下属单位按照我校相关的应急预案进行先期处置。若事发处室或下属单位不能自行处理将突发事件信息、处置进展情况及时报网络与信息安全应急小组。
(2)事发处室或下属单位负责人及时赶赴现场,组织协调、指挥本处室或单位专业技术队伍进行处置工作,必要时请求网络与信息安全应急小组安排专家组、网络与应急小组成员协助处置。
(3)根据事发处室或下属单位需要,网络与信息安全应急小组将及时赶赴现场,指导事发处室或者单位开展应急处置工作,并及时将处置情况向局现场副指挥报告。
4.6 Ⅱ级响应
Ⅱ级突发事件由网络与信息安全应急小组启动Ⅱ级响应,并指挥开展应急处置工作。
(1)网络与信息安全应急小组按照突发事件应急预案进行先期处置。若我校不能自行处理将突发事件信息、处置进展情况及时报市经济贸易和信息化委员会。
(2)突发事件相关负责人及时赶赴现场,组织协调、指挥局专业技术队伍进行处置工作,必要时请市经济贸易和信息化委员会安排专家组、专业技术支撑队伍协助处置。
(3)根据突发事件的需要,局副总指挥将赶赴现场,指导网络与应急小组开展应急处置工作,并及时将处置情况向局总指挥报告。
(7)未参与救援的应急小组人员保持24小时待命,检查应急物资,根据的需求,随时准备进驻现场开展应急支援。
4.7 Ⅰ级响应
Ⅰ级突发事件由网络与信息安全应急小组启动Ⅰ级响应,并指挥开展应急处置工作。
(1)网络与信息安全应急小组按照突发事件应急预案进行先期处置。若我校不能自行处理将突发事件信息、处置进展情况及时报市经济贸易和信息化委员会。
(2)突发事件相关负责人及时赶赴现场,组织协调、指挥局专业技术队伍进行处置工作,必要时请市经济贸易和信息化委员会安排专家组、专业技术支撑队伍协助处置。
(3)根据突发事件的需要,局总指挥将赶赴现场,指导网络与应急小组开展应急处置工作。
(7)未参与救援的应急小组人员保持24小时待命,检查应急物资,根据的需求,随时准备进驻现场开展应急支援。
4.8 响应升级
4.9 响应级别变更
应急响应过程中,事发单位应密切关注突发事件事态发展和响应工作进展情况,根据事态变化和响应效果适时调整响应级别。超出自身应急处置能力的,应及时报告上一级部门,建议变更响应级别,开展相关处置工作。
4.10 响应级别升级
(1)突发事件发展蔓延,事态发展得不到控制,超出了我网络与信息安全应急小组应急处置能力,需要其它部门、单位参与处置时,网络与信息安全应急小组将协调其它专项应急指挥部和相关部门参与处置工作。
(2)突发事件造成的危害程度特别严重,超出我校应急处置能力时,需要市相关部门提供援助和支持时,依照《深圳市网络与信息安全突发事件应急预案》,在市经济贸易和信息化委员会的领导下开展工作。
4.11 应急结束
网络与信息安全突发事件应急处置工作基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制后,终止应急处置工作。
(1)Ⅳ级响应结束由事发处室或下属单位提请,报局网络与应急小组,由现场副指挥确认后方可结束。
(2)Ⅲ级响应结束由事发处室或下属单位提请,报局网络与应急小组,由现场指挥确认后方可结束。
(3)Ⅱ级响应结束由局网络与应急小组提请,报局现场指挥官,由副总指挥确认后方可结束。
(4)Ⅰ级响应结束由局网络与应急小组提请,报副总指挥,由总指挥确认后方可结束。
5 后期处置
5.1 情况汇报和经验总结
网络与信息安全突发事件应急任务结束后,网络与信息安全应急小组、事发单位应做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报,不断改进信息安全突发事件应急管理工作。由事发单位牵头,与网络与信息安全应急小组组成信息事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及财产损失状况等,总结经验教训,并由事发单位单位负责起草相关报告,网络与信息安全应急小组负责协助,在10个工作日内报局现场副指挥。
5.2 善后处置
应急处置工作结束后,网络与信息安全应急小组、事发单位要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,要按照规定给予补助或补偿。
5.3 恢复重建
恢复重建工作由事发单位负责、网络与信息安全应急小组协助。应急处置工作结束后,按照风险评估结果,迅速组织人员制订基础网络、信息系统的重建和恢复计划,尽快恢复受损基础网络和信息系统,降低对正常工作业务的影响。
5.4 表彰与惩处
网络与信息安全应急小组对在网络与信息安全突发事件应急工作中表现突出的单位和个人给予表彰;对保障不力,瞒报、漏报突发事件,给我校和单位造成严重损失的,予以全局通报;涉嫌犯罪的,依法移送司法机关处理。
6 应急保障
6.1 应急专业技术队伍保障
单位或下属单位应当根据实际情况,配备相应的应急力量或引进专业化、社会化网络与信息安全应急专业技术队伍。
6.2 应急物资保障
单位或下属单位在建设信息系统时应适当配备必要的信息网络硬件、软件、应急救援设备等应急物资,必要时由网络与信息安全应急小组负责统一调用。
专业技术队伍须储备相应的应急基础设备、软件。
6.3 经费保障
按照现行事权、财权划分原则,处置电子政务网络与信息安全突发事件所需要的经费实行财政分级负担。我校网络与信息安全突发事件应急管理工作专项经费应纳入年度部门预算。财政、审计部门要对应急保障资金的使用和效果进行监管和评估,确保专款专用。
6.4 技术资料保障
单位或下属单位应将应急技术资料,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。还应根据需要对信息系统进行风险评估,随时掌握信息系统安全状况和存在的风险。
6.5 合作机制建设
网络与信息安全应急小组应加强与市信息安全测评中心、市经济贸易和信息化委员会、信息安全服务公司合作,从而实现信息共享和应急联动。
7 宣传、培训和演练
7.1 宣传
网络与信息安全应急小组应利用各种新闻媒介,宣传信息安全有关法律、法规、规章,开展网络与信息安全教育,普及信息安全应急处置的基本知识,提高公众信息安全防范意识和应急处置能力。
7.2 培训
网络与信息安全应急小组应组织单位或下属单位开展信息安全应急管理、应急处置等培训,提高各单位信息化管理人员、应急处置人员防范意识及技能。
7.3 演练
网络与信息安全应急小组每年应组织一次网络与信息安全应急演练,模拟处置影响较大的网络与信息安全突发事件,检验预案的可执行性。通过演练,及时发现和改进应急体系和工作机制存在的问题,完善应急预案,提高应急处置能力,检验应急物资的完好情况。
应急演练主要开展以下工作:
(1)网络与信息安全应急小组确定应急响应演练的目标和范围,主要开展重要信息系统的应急演练;
(2)网络与信息安全应急小组调配应急演练所需的各项资源,负责组织单位或下属打完进行应急演练,对应急演练进行评估,并通报应急演练结果,总结经验,分析应急预案的科学性和合理性,针对预案中的问题进行修订完善。
8 附则
8.1 预案修订
有下列情形之一的,应当及时修订应急预案:
(1)有关法律、行政法规、规章、标准、上位预案中的有关规定发生变化的;
(2)应急指挥机构及其职责发生重大调整的;
(3)面临的风险发生重大变化的;
(4)重要应急资源发生重大变化的;
(5)预案中的其他重要信息发生变化的;
(6)在突发事件实际应对和应急演练中发现问题需要作出重大调整的;
(7) 相关单位名称或职能发生变化的;
(8) 应急预案制定单位认为应当修订的其他情况。
8.2 预案制定、发布及解释
本预案由益阳职业技术学院负责制定、发布及解释。
8.3 预案实施
本预案经益阳职业技术学院批准后,自发布之日起正式实施。
