网络与信息安全综合应急预案参考模板范本

1、网络与信息安全综合应急预案为贯彻落实省市财政部门关于网络与信息安全综合应急工作要求，建立健全我县财政网络与信息安全应急工作机制，明确应急相关指挥体系和工作流程，提高对网络与信息安全突发事件的应对能力，减少重大网络与信息安全突发事件造成的损失和危害，保障业务系统运行平稳、安全、有序、高效，制定本应急预案。一、总则（一）工作原则在各级网络与信息安全领导小组的领导下，坚持保障与应急相结合，坚持“谁主责谁保障，谁保障谁处置，谁处置谁报告”的原则，形成“统一指挥、协调联动、专业处置、沟通顺畅、反应灵敏、运转高效”的保障和应急体系，有效履行保障和应对网络与信息系统突发事件的职责。具体应遵循以下原则：1坚持

2、预防为主提高各单位的信息安全防护意识和水平，加强信息系统安全体系建设，按照信息系统建设运行的特点和规律积极做好日常安全工作，开展安全教育和培训工作，建立完善的安全管理、监督和审查制度，提高各单位应对突发信息安全事件的能力。2提高快速反应能力建立信息安全预警和事件快速反应机制，建立高效的事件汇报渠道，强化人力、物资、技术储备，增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接，一旦出现影响信息系统的安全事件，快速反应，及时准确处置。3加强安全监管逐步建立完善的信息系统安全监控和管理机制，对重要业务系统、主干网络、核心设备、重要数据进行持续和重点监控，及时发现信

3、息安全隐患和事件迹象，进行安全预警并采取针对性的应对措施。4分级负责、协同处置按照“谁主管谁负责”的原则，建立和完善应急处置责任制及联动工作机制。加强省、市、县局及本单位各部门之间的协调与配合，形成合力，共同履行应急处置工作的管理职责。5责任到人、制度保障加快应急制度建设和完善，明确信息安全应急响应工作的角色和职责，保证各项工作责任到人，建立应急响应各项工作的处理流程，实现应急响应工作的规范化、制度化和流程化。（二）适用范围本预案适用于县财政系统重要信息系统安全事件的应急响应工作。重要信息系统主要包括财政业务信息系统、因特网门户网站、综合办公平台、广域骨干网络系统等。（三）启动条件当发生本预案

4、中定义的4级及以上安全事件时，启动本预案。二、事件定级与分类事件分类与定级是进行安全事件应急响应工作的基础，只有准确定级才能有效地应对危机。（一）划分原则1量化原则安全事件等级评估的要素，应着重考虑那些可以量化的要素。2从高原则当安全事件难以判定具体等级、等级可上可下时，应划分为较高一级安全事件。3升级原则安全事件在处置过程中，如事态和影响进一步扩大，且达到上一级标准的，可视具体情况作升级处理。（二）事件分级根据信息安全事件造成后果的严重程度，将信息安全事件可划分为5个等级，其中1级危害程度最高，5级危害程度最低，各级网络与信息安全事件的描述如下：1级网络与信息安全事件（红色）：灾难性安全事件

5、。造成财政信息系统的业务瘫痪、对财政系统的利益或社会公共利益有灾难性的影响或危害。2级网络与信息安全事件（橙色）：特别重大安全事件。造成财政信息系统的业务停顿、对财政系统利益或社会公共利益有极其严重的影响或危害。3级网络与信息安全事件（黄色）：重大安全事件。造成财政信息系统的业务中断、影响系统效率、对财政系统利益或社会公共利益有较为严重的影响或危害。4级网络与信息安全事件（蓝色）：较大安全事件。造成财政信息系统的业务短暂停顿但可立即修复、对财政系统利益或社会公共利益有一定的影响或危害。5级网络与信息安全事件：一般安全事件。造成财政信息系统的效率受到轻微影响、对财政系统利益或社会公共利益基本不影

6、响或危害极小。3级和3级以上的网络与信息安全事件统称为重大网络与信息安全事件。（三）事件分类综合考虑网络与信息安全事件的起因、表现、结果等，网络与信息安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。1有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。2网络攻击事件网络攻击事件是指通过网络或其他技术手段，

7、利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。 网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等。3信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等。4信息内容安全事件 信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安

8、全事件。信息内容安全事件包括违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件；其他信息内容安全事件等。5设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等。6灾害性事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭

9、击、战争等导致的信息安全事件。7其他事件其他事件类别是指不能归为以上6个基本分类的信息安全事件。（四）事件定级1定级要素（1）财政工作秘密泄露造成的影响根据由于失窃或泄露财政内部工作秘密信息而造成的危害程度，可将网络与信息安全事件的级别定义如下表。表1 财政工作秘密泄露范围及影响与安全事件等级对应表级别财政工作秘密泄露的范围及影响1级财政系统工作秘密大量泄露，并在互联网等公众媒体上大量出现和传播，在电视、网络、报刊、新闻杂志等媒体有广泛的负面报道，对财政系统业务和声誉造成特别重大影响。2级财政系统工作秘密大量泄露，并在互联网某些论坛等公众媒体上出现但并未广泛传播，在公共媒体上有负面报道，对财政

10、系统业务和声誉造成重大影响。3级财政系统工作秘密部分泄露，并在互联网某些论坛等公众媒体上出现但并未广泛传播，对财政系统业务和声誉造成较大影响。4级财政系统工作秘密部分泄露，影响范围限于省内，财政系统业务因此受到影响，对省市财政机构业务运行和声誉造成较大影响。5级财政系统工作秘密少量泄露，影响范围限于单个财政机构或单个纳税人，对该财政机构或个别群众的业务和声誉造成影响。本文所定义的财政系统工作秘密具体请参见关于印发信息化建设和管理相关制度的通知(金市财政信2013196号)。（2）财政业务中断受影响范围、发生时间情况依据信息安全事件对财政业务的影响范围和发生时间（办公时间和非办公时间），将网络与

11、信息安全事件划分为不同的等级。表2 财政业务受影响程度与安全事件等级对应表影响财政服务范围办公时间非办公时间中断1-8小时中断8-24小时中断24小时以上中断8-24小时中断24小时以上财政业务系 统4级3级2级4级3级A、办公时间是指除法定节假日之外的白天正常办公时间。B、非办公时间是指非办公时间提供各项财政服务的时间。（3）财政重要系统遭破坏后影响严重程度依据信息系统等级保护备案等级确定重要系统的等级，再判断对重要系统破坏的影响大小，对照下表确定事件等级。表3 对重要系统的影响程度与安全事件等级对应表 事件等级影响程度等级保护三级系统等级保护二级系统对正常财政秩序造成重大影响1级3级对财政

12、系统的形象和声誉造成重大影响2级3级对财政机构正常的工作秩序造成影响3级4级对事发单位部分人员的正常工作造成影响4级5级影响个别单位或群众对财政系统的信任5级5级对于尚未定级信息系统发生的网络与信息安全事件，事件定级方法可考虑按照上述1、2两种因素的定级方法确定安全事件等级。2定级方法网络与信息安全事件定级采用综合定级方法，具体定级过程如下：（1）首先判断信息安全事件是否造成财政信息失窃或泄露，是否中断了正常的财政业务，是否对重要系统造成了破坏，并依据这三方面产生影响的严重程度分别确定事件等级。（2）当财政信息失窃或泄密情况发生时，需要根据文件的标识、属性和内容确定文件中涉及的财政信息类别及信

13、息泄露的范围和危害程度。按照造成的影响根据表1财政工作秘密泄露范围及影响与安全事件等级对应表确定财政信息安全事件等级。（3）当信息安全事件对财政业务造成影响时，确定财政业务受影响的时间和中断的时间；确定影响的业务时间是办公时间，还是非办公时间，判断准确的系统中断时间。按照财政业务受影响程度根据表2 财政业务受影响程度与安全事件等级对应表确定财政业务安全事件等级。（4）如果安全事件侵害的对象为重要信息系统的，应先确定该系统在国家信息安全等级保护中的定级，应着重关注等级保护定级为三级与二级的信息系统。判断影响时，应识别是否影响财政秩序、财政系统的形象和声誉、财政机构正常的工作秩序、部分人员的正常工

14、作还是影响了个别单位或群众对财政系统的信任，根据表3 对重要系统的影响程度与安全事件等级对应表确定重要系统安全事件等级。（5）如果同时出现两种以上类型的损害则依据财政信息安全事件等级、财政业务安全事件等级和重要系统安全事件等级中严重程度高的一个定级。3定级流程网络与信息安全事件定级流程如下图所示:侵害对象为重要系统的侵害对象为税收业务的侵害对象为财税信息的确定事件侵害的对象确定失窃或泄密财税信息的数量及造成的影响确定影响财税业务的范围确定受影响系统的等级保护级别确定影响财税业务的程度确定遭受破坏后影响的严重程度依据表3依据表2依据表1按照财税信息泄露造成的影响确定事件等级综合确定影响财税业务的

15、事件等级综合确定影响重要系统的事件等级综合确定安全事件等级图1 网络与信息安全事件定级流程三、组织机构与职责财政系统信息安全响应的总体组织框架由省、市、县三级财政机关组成。各级组织机构包括领导决策层、管理协调层和应急执行层三层，如图2所示。图2 应急响应组织机构图网络与信息安全领导小组(以下简称领导小组)是指挥和决策机构，属于领导决策层。领导小组下设网络与信息安全领导小组办公室（简称信安办），信安办平时以日常工作模式进行，当本预案启动后，信安办整体转为网络与信息安全应急办公室（简称应急办），进入应急处置模式，进行应急处置管理与协调。信安办（应急办）下设三个应急响应组：应急响应综合组、应急响应业

16、务组、应急响应技术组，负责相应的应急响应工作，属于应急执行层。网络与信息安全专家组为领导小组及其办公室、各应急响应组提供应急响应咨询、论证、技术支持等辅助工作。以下为县局应急响应组织机构设置。（一）网络与信息安全领导小组组长由局长担任，成员由相关局领导组成。日常工作模式下的主要职责为：1负责审核和批准网络与信息安全应急响应总体规划、重大网络与信息安全事件报告。2负责统筹规划网络与信息安全应急基础设施建设。应急处置模式下的主要职责：1对2级以上（含2级）网络与信息安全事件的应急响应工作进行宏观决策和现场应急指挥。2对2级以上（含2级）网络与信息安全事件，授权信安办（应急办）启动特定系统应急预案。

17、3协调2级以上（含2级）网络与信息安全事件的调查处理。（二）网络与信息安全领导小组办公室信安办（应急办）是网络与信息安全领导小组的常设机构，设在信息中心。信安办（应急办）主任由分管信息化工作的局领导兼任，成员由办公室主任、业务牵头科室负责人、技术部门负责人、其他相关处室负责人组成。日常工作模式下的主要职责为：1组建、调整各应急响应组，并根据实际工作情况，及时调整和完善应急响应体系。2定期组织网络与信息系统的风险评估和整改。3定期组织应急预案的宣传、培训和演练。4汇总、编制网络与信息安全事件报告。5组织各项应急准备工作。应急处置模式下的主要职责：1在领导小组的领导下，负责3级网络与信息安全事件市

18、局现场的应急指挥，指导协调各相关单位开展重大网络与信息安全事件应急工作。2负责3级以上（含3级）网络与信息安全事件特定系统应急预案的启动和停止。3负责3级以上（含3级）网络与信息安全事件的信息研判、信息发布、信息通报工作。4组织3级及3级以上网络与信息安全事件的调查、分析、总结工作并向领导小组提交相关工作报告。5组织和协调各种应急资源。6与外部门应急机构的沟通协调。应急处置模式：3级以上（含3级）应急事件发生时，县局信安办（应急办）立刻进入应急处置状态。负责信息安全保障与应急的通报和协调工作，包括收取和汇总各级上报信息，并及时制定、下发处置预案及意见，指挥、协调各保障组及各应急组的工作；组织技

19、术专家组会议，协调各技术支撑单位的工作；对突发事件态势进行研判和报告。 （三）应急响应综合组应急响应综合组由办公室、人教科、信息中心、财政业务科室等部门的相关人员组成，负责为应急响应工作的顺利实施提供后勤、人力、经费等方面保障。日常工作模式下的主要职责为：1负责县局应急处置情况下所需通讯联络设备与工具的配备与日常维护。2负责县局及各应急组联系人员名单的更新与维护工作。3负责制订综合办公平台、因特网门户网站的业务应急预案。4组织开展应急响应知识培训。应急处置模式下的主要职责：1负责应急行动的保障工作，包括资金保障、车辆安排、人员食宿安排等。2负责建立县局信安办（应急办）与各相关单位现场指挥机构的

20、通讯联络，并保障通信联络畅通。3负责信安办（应急办）应急处置指令的下达；负责上报信息的收集和汇总。4负责机房环境支撑系统的保障工作，包括消防、精密空调、UPS、强电、视频监控录像、环境监控等系统。5机房发生3级以上（含3级）网络与信息安全事件时，负责组织机房保安工作。6负责综合办公平台、因特网门户网站的业务保障及业务恢复正常确认工作。7负责预警信息、外部门报送材料的草拟工作；根据信安办（应急办）的授权，负责统一对外发布预警信息，负责向省财政厅应急办、市网络与信息安全信息通报中心等通报信息安全事件情况。8负责向领导小组及其办公室汇报综合保障情况。9在应急响应工作完成后，编写应急响应业务工作报告（

21、综合办公平台、因特网门户网站）。（四）应急响应业务组应急响应业务组由财政业务处室（办事大厅）等相关业务处室的人员组成，负责安全事件财政业务方面的应急响应工作。日常工作模式下的主要职责为：1负责制订重要财政业务信息系统、综合业务信息系统的业务应急预案。应急处置模式下的主要职责：1负责评估网络与信息安全事件对财政业务工作所造成的影响。2参与应急响应决策过程，从财政业务方面考虑，为领导小组及其办公室决策提供建议。3根据应急响应工作的需要，采取相应的应急处置措施，组织实施财政业务的中断与恢复；负责业务恢复正常确认工作。4负责向领导小组及其办公室汇报财政业务处理进展情况。5在应急响应工作完成后，编写应急

22、响应财政业务工作报告。（五）应急响应技术组应急响应技术组由信息化管理处（信息中心）的相关人员组成，负责安全事件技术方面的应急响应工作。日常工作模式下的主要职责为：1负责制订特定系统技术应急预案。2明确第三方产品和服务厂商的应急服务责任，确保当网络与信息安全事件发生时能及时有效地进行响应和处置。应急处置模式下的主要职责：1安全事件接警确认、分析及安全事件初定级，3级以上事件上报信安办（应急办）。2参与应急响应决策过程，从技术方面考虑，为领导小组及其办公室决策提供建议。3根据应急响应工作的需要，采取相应的应急处置措施，组织小组施行技术作业；负责技术故障排除确认工作。4负责向领导小组及其办公室汇报安

23、全事件技术处理进展情况。5协调外部单位的技术力量，做好应急响应的技术外援工作。6在应急响应工作完成后，编写应急响应技术工作报告。（六）网络与信息安全专家组当发生安全事件时，由信安办（应急办）根据实际情况商请有关专家协助解决。其主要职责为:1为领导小组及其办公室、各应急响应组提供应急响应咨询、论证、技术支持等工作。2必要时，参与应急处置。四、应急响应流程安全事件发生后，根据实际情况，采取相应处置措施，以下是安全事件应急响应流程图：图3 应急响应流程图（一）报告1有关人员接到安全事件报告并做相关确认后，立即通知应急响应技术组组长，应急响应技术组组长应立即组织相关人员对安全事件进行调查分析和评估工作

24、，并对安全事件级别作出初步判断，必要时向专家组咨询。2若初步判断为4级安全事件，应急响应技术组第一时间与应急响应业务组、应急响应综合组联系。由应急响应技术组进行技术处置，并密切关注安全事件的发展，应急响应业务组、应急响应综合组分别通知涉及的部门、人员做好安全事件事态恶化的有关应急处置准备工作。3若初步判断为3级以上（含3级）的安全事件，应急响应技术组在实施前期应急处置的同时应立即向信安办（应急办）报告，各应急响应组做好准备工作的同时向信安办（应急办）提出应急处置建议。信安办（应急办）对安全事件进行进一步分析、评估，必要时向专家组咨询。若确认为3级安全事件的，由信安办（应急办）进行现场统一指挥和

25、决策，事后向领导小组报告；若认为属2级（含2级）以上安全事件的，立即向领导小组报告。4领导小组在接到报告后，应立即召集专题会议，必要时向专家组咨询，确定安全事件级别为2级（含2级）以上的，组织相关人员进行现场指挥。5安全事件为3级的，由信安办（应急办）组织向省厅应急办、市网络与信息安全办公室等部门报告安全事件情况；安全事件为2级及以上的，经领导小组批准,由信安办（应急办）及时向省网络与信息安全办公室等部门报告安全事件情况。安全事件情况报告的内容与格式参见附件一。6应急响应技术组应将相关信息通报相关设备及服务提供商，以获得必要的应急响应支持。（二）应急处置1先期处置应急响应技术组接到报告后，要立

26、即采取临时应对措施，防止事态扩大，尽可能减少损失与影响。同时，保护事件现场，获取安全事件证据，备份相关系统日志与审计记录。2启动预案安全事件为3级的，由信安办（应急办）启动特定系统应急预案；2级及以上安全事件，领导小组启动或授权信安办（应急办）启动特定系统应急预案。3应急处置（1）处置过程中，如果发现应急处置措施确实存在缺陷，4级安全事件由各应急响应组决定是否变更和如何进行调整；3级安全事件由信安办（应急办）研究决定是否变更和如何进行调整；2级以上安全事件由领导小组组织研究和分析，决定是否变更和如何进行调整。 （2）应急处置中，如果因事态变化而造成安全事件等级变化，各应急响应组应当立即向信安办

27、（应急办）报告，调整为2级及以上的安全事件报领导小组研究决定，调整为3级及以下安全事件由信安办（应急办）研究决定，各应急响应组按照新的事件等级进行处置。（3）在县局信安办（应急办）发布启动应急预案通知后，全局相关单位应立即根据预案进行当地现场指挥与处置，并保持与上一级信安办（应急办）的联络畅通。（4）应急处置结束后，各应急响应组要继续监控网络与信息系统的运行，直至确定可持续正常运行为止。4信息发布（1）发布责任人安全事件为3级的，由信安办（应急办）按要求对外统一发布；安全事件为2级及以上的，经领导小组审核批准后，由信安办（应急办）按要求对外统一发布。发布的内容应包括预警级别色标、事件的类别、可

28、能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。（2）其他要求其他部门或个人不得擅自对外发布或回应任何有关网络与信息系统异常的信息。5应急结束安全事件经应急处置并得到有效控制后，安全事件为3级的，由信安办（应急办）宣布应急结束；安全事件为2级及以上的，由信安办（应急办）提出应急结束的建议，经领导小组批准后执行。应急结束必须同时具备以下条件：（1）应急响应技术组确认技术故障已排除，可恢复至正常工作状态。（2）应急响应业务组确认业务已得到有效恢复。（三）后期处置1恢复正常在应急结束后，应急响应技术组和应急响应业务组要迅速采取措施，对事件造成的损失和影响以及恢复重建能力进行分析评

29、估，确认隐患已消除，解除临时应对措施，迅速组织实施信息系统重建，恢复系统正常运行。2总结报告（1）流程应急工作结束后，各应急响应组向信安办（应急办）提交书面应急工作总结报告（格式参见附件二），由信安办（应急办）进行汇总，并向领导小组汇报。（2）报告总结结束后，安全事件为3级的，由信安办（应急办）组织及时向省财政厅、市网络与信息安全办公室等部门报告事件情况、处置过程、处置结果等详细情况；安全事件为2级及以上的，经领导小组批准，由信安办（应急办）向财政部、省财政厅、市网络信息安全办公室等部门报告事件情况、处置过程、处置结果等详细情况。五、应急保障（一）组织保障1组织机构中的人员，要根据变化情况及时

30、更新，经常性对横向（外单位）及纵向（上级和下级部门）联系对象进行沟通了解，及时根据人员机构变动调整联系对象，确保在紧急情况下联系方式的可靠性。2对重要系统、网络、设备、软件等都明确责任人，对重要系统、关键设备及软件的维护设置A、B角岗位。（二）技术保障1准备应急所需的硬件设备、软件、网络通讯设备、机房设备等必要物件。2重要系统的关键设备要求有备件。3不定期对与应急响应工作相关的干部职工进行应急响应知识培训。（三）后勤保障1做好车辆、物资、资金的调度准备以及电力准备等。2做好通信与信息保障工作。应急响应综合组要加强应急通信设备与工具的配备，以建立稳定可靠的省、市、县三级信安办（应急办）之间的通信

31、系统。六、应急演练与预案维护（一）应急演练不定期组织开展网络与信息系统的应急演练，以检验应急通讯、应急人员、应急设备、应急操作流程的可靠性和可用性。通过应急演练，发现并及时修改应急预案中存在的缺陷和不足，检验各部门的应急保障能力、应急人员对应急响应工作的了解程度和实际操作技能。（二）预案维护1各应急响应组应定期识别评估职责范围内的业务和技术风险，并根据实际应急响应、系统调整、人员变动、业务变化及应急演练中发现的问题等进行动态维护和更新。信安办（应急办）负责综合应急预案、应急预案操作办法的动态维护，应急响应技术组、业务组负责特定系统应急预案的动态维护。2应急预案的更新应及时通知所涉及到的相关人员，并落实到每一次的培训和测试中。七、应急预案的组成信息安全应急处置是一项综合性工作，涉及内容多。为既要遵循预案的规范性、全面性，又要兼顾可操作性和灵活性，参照省市财政部门预案，财政局的网络与信息安全应急预案分为四部分：综合应急预案、应急预案操作办法、各特定系统应急预案和应急处置的组织机构。（一）综合应急预案综合应