应急管理网络安全应急预案

XX省应急管理厅网络安全应急预案2019年11月5日—PAGE11—目录1总则 11.1编制目的 11.2编制依据 11.3适用范围 11.4工作原则 22组织指挥体系及职责 32.1组织指挥体系 32.2厅应急指挥部组成 32.3厅应急指挥部职责 32.4指挥部成员单位职责 42.5应急专家组 43应急处置 53.1事件分类 53.2事件分级 63.3先期处置 83.4应急响应 93.5响应调整 113.6应急结束 124事件上报 125后期处置 135.1事件监测 135.2事件调查 135.3总结及改进 146培训和演练 146.1培训 146.2演练 156.3监督检查 157附则 157.1奖惩和责任追究 157.2应急指挥 157.3预案管理与更新 157.4预案实施时间 16总则编制目的为了建立健全XX省应急管理厅网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少信息系统安全突发事件及其造成的损害和影响，保障信息系统的安全稳定运行，制定本预案。编制依据依据《中华人民共和国网络安全法》《XX省网络安全事件应急预案（试行）》《XX省应急管理厅网络安全管理规定》等精神，制定本预案。适用范围本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。本预案适用于XX省应急管理厅应对和处置各类对厅网络信息系统造成严重损失和影响的突发事件，规范处理突发网络信息事件的操作流程，建立网络信息系统突发事件应急处置体系。工作原则（1）安全第一，预防为主。坚持“安全第一，预防为主”的方针，立足安全防护，加强预警，重点保护基础信息网络和主要业务信息系统；建立预防和预警机制，将风险评估和安全检查列入常态工作，制定信息通报工作制度，做到早发现、早报告、早处置。（2）统一领导，分级负责。按照“谁主管、谁负责，谁使用、谁负责”的要求，实行“统一领导，分级负责”，建立健全信息系统安全突发事件应急处置工作责任制，明确责任。（3）常备不懈，加强演练。做好应对网络信息系统突发事件的预案准备、应急资源准备、保障措施准备，制定科学的应急预案，规范应急处置措施与操作流程，定期组织开展应急培训和应急演练，提高对各类事件的应急响应和综合处理能力。（4）处置优先，快速反应。发生信息系统安全突发事件时，按照“处置优先，快速反应”原则，及时获取充分而准确的信息，跟踪研判，果断决策，按照相关应急预案进行迅速处置，最大程度地减少危害和影响。组织指挥体系及职责组织指挥体系在省应急管理科技信息化工作领导小组统一领导下，设立省应急管理厅网络安全应急指挥部（以下简称“厅应急指挥部”），作为厅网络信息安全突发事件应急工作的指挥机构，具体负责有关网络安全事故应急指挥和协调工作。厅应急指挥部组成省应急管理厅网络安全应急指挥部总指挥由省应急管理科技信息化工作领导小组常务副组长担任，根据实际情况设立副总指挥，指定一名工作人员作为联络员。指挥部成员包括：厅办公室、宣教处、科信处、救援中心单位负责人，以及网络安全突发事件相关单位领导和有关人员。厅应急指挥部职责厅应急指挥部主要职责：负责组织、指挥、协调全厅网络安全事故应急救援工作；协调与省网络安全应急办、省信息中心等有关部门、单位之间的联系；在与省网络安全应急办沟通后，决定应急响应级别；在与省网络安全应急办沟通后，决定启动厅网络安全事故应急预案响应程序及终止应急救援行动；做好厅网络安全事故情况的上报工作。指挥部成员单位职责厅办公室负责协调并参与监督、检查应急管理厅系统网络安全工作；履行厅保密委员会办公室职责，指导所属单位保密、政务信息工作，负责机关涉密网、公文传输管理。科信处负责指挥部的相关组织协调工作，指导厅属单位开展网络安全检查和应急演练；成立网络安全应急专家组，组织开展安全违规事件调查工作。宣教处负责厅门户网站和新媒体的管理工作及网络信息安全，做好网站和新媒体内容监测，当网络安全事件发生后，配合完成网络安全检查及应急处置等工作。救援中心负责每年开展网络和信息系统安全风险评估，分析风险隐患，处置系统漏洞、计算机病毒、网络攻击、网络侵入、数据泄露等安全风险。厅属各单位是网络安全工作的责任单位，负责本单位网络和信息系统的监测监控、预警处置等安全运维工作，制定本单位的应急预案或临时应急措施，当网络安全事件发生后，配合完成网络安全检查及应急处置等工作。应急专家组根据事故类别和部门应急救援职责，组织成立网络安全应急专家组。应急专家组由相关领域技术和应急管理专家组成。主要职责是：（1）对全厅网络安全应急管理工作提供技术咨询；（2）对网络安全事故应急处置技术措施提出建议；（3）参与审查网络安全事故应急处置方案；（4）对网络安全事故处置工作进行技术指导等。应急处置事件分类信息系统存在受到计算机病毒、漏洞攻击、扫描窃听以及设备设施故障等风险，上述风险引起的信息安全突发事件主要包括：（1）有害程序类突发事件：指受到有害程序的影响而导致的信息安全突发事件。有害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。（2）网络攻击类突发事件：指通过网络或其它技术手段，利用配置缺陷、协议缺陷、程序缺陷等攻击信息系统，造成信息系统异常或不可用的信息安全突发事件。网络攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。（3）信息破坏类突发事件：指通过网络或其它技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄密的信息安全突发事件。信息破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件等。（4）信息内容安全类突发事件：指利用网络发布或传播危害国家安全、社会稳定和公共利益的内容的信息安全突发事件。信息内容包括违反宪法和法律、行政法规的信息，组织串连、煽动集会游行的信息等。（5）故障类突发事件：指信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故等。（6）灾害类突发事件：指由于不可抗力对信息系统造成物理破坏而导致的信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的信息安全突发事件。事件分级根据网络安全事件的影响范围、严重程度、可能产生的后果和损失等因素，将安全事件分为Ⅰ级（特别重大）、Ⅱ级（重大）、Ⅲ级（较大）、IV级（一般）。3.2.1特别重大网络安全事件（Ⅰ级）符合下列情形之一的，为特别重大网络安全事件：重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力，对单位造成巨大损失或产生严重不良社会影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。3.2.2重大网络安全事件（Ⅱ级）符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响，对单位造成重大损失或产生较严重不良社会影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。3.2.3较大网络安全事件（Ⅲ级）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响，对单位造成较大损失或产生较大不良社会影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。3.2.4一般网络安全事件（Ⅳ级）除上述情形外，重要网络和信息系统遭受较小的系统损失，一定程度上影响业务处理，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。先期处置发生特别重大、重大、较大网络安全事件后，厅应急指挥部组织各成员单位进行应急处置，需要内部多个部门专业协同处置或外部应急资源支持的应急事件，由厅应急指挥部负责统一协调。网络安全事件相关单位应密切关注突发事件情况，开展各项应急准备前期工作。厅应急指挥部组织、指挥、调度相关应急力量及时隔离故障区域，初步收集受损情况，并及时汇总上报给省网络安全应急办。应急响应3.4.1I级响应在省网络安全应急指挥部启动或同意启动I级响应后，厅应急指挥部进入应急状态，在省网络安全应急部的统一领导、指挥、协调下，开展应急救援工作。（1）厅应急指挥部总指挥、副总指挥以及联络员全天候值班，信息系统管理职能部门负责人、与应急相关的其他部门负责人以及相关设备厂商或系统开发商责任人就位，取消休假，处于随时待命状态。（2）受影响的应用系统业务主管部门，启动对应业务的单项应急预案或临时应急措施，必要时临时用人工方式处理业务。（3）救援中心全员参与故障排除和应急处置，厅应急指挥部调派相关网络信息技术专家参与现场工作组的工作。（4）科信处及时跟踪事态发展，收集、整理应急救援情况的信息，并报送给厅应急指挥部和省网络安全应急办，直到应急结束。3.4.2II级响应在省网络安全应急指挥部启动或同意启动II级响应后，厅应急指挥部进入应急状态，在省网络安全应急部的统一领导、指挥、协调下，开展应急救援工作。（1）厅应急指挥部总指挥或副总指挥、联络员全天候值班，信息系统管理职能部门负责人、与应急相关的其他部门负责人以及相关设备厂商或系统开发商责任人就位，取消休假，处于随时待命状态。（2）受影响的应用系统业务主管部门，启动对应业务的单项应急预案或临时应急措施，必要时临时用人工方式处理业务。（3）救援中心全员参与故障排除和应急处置，厅应急指挥部调派相关网络信息技术专家参与现场工作组的工作。（4）科信处及时跟踪事态发展，收集、整理应急救援情况的信息，并报送给厅应急指挥部和省网络安全应急办，直到应急结束。3.4.3III级响应启动III级响应后，厅应急指挥部进入应急状态，履行应急处置工作的组织、指挥和协调职责，开展应急救援工作。（1）总指挥或副总指挥、联络员全天候值班，与应急相关的人员就位，取消休假，处于随时待命状态。（2）受影响的应用系统业务主管部门，启动对应业务的单项应急预案或临时应急措施。（3）救援中心负责故障排除和应急处置，必要时由厅应急指挥部调派相关网络信息技术专家组成专家组赴现场参与应急处置工作。（4）科信处及时跟踪事态发展，收集、整理应急救援情况的信息，并报送给厅应急指挥部和省网络安全应急办，直到应急结束。3.4.4IV级响应启动IV级响应后，厅应急指挥部进入应急状态，组织开展相关的应急处置工作。（1）副总指挥、联络员、与应急相关的人员就位，处于随时待命状态。（2）受影响的应用系统业务主管部门，启动对应业务的单项应急预案或临时应急措施。（3）救援中心负责故障排除和应急处置，必要时由厅应急指挥部调派相关网络信息技术专家组成专家组赴现场参与应急处置工作。（4）科信处及时跟踪事态发展，收集、整理应急救援情况的信息，并报送给厅应急指挥部，直到应急结束。响应调整I级响应和II级响应事件：由省网络安全应急办下令调整。III级响应和IV级响应事件：厅应急指挥部视事件发展情况、危害程度、事件分级条件等综合因素研究决定是否调整事件响应，并报省网络安全应急办批准。应急结束I级响应和II级响应：由省网络安全应急办下令解除应急状态，并由厅应急指挥部通知厅各部门。III级响应和IV级响应：在网络信息安全突发事件已得到有效控制，情况趋缓或网络信息安全突发事件处置结束，网络信息安全恢复正常运行的情况下，由厅应急指挥部下令解除应急状态，恢复正常秩序。事件上报建立突发事件报告制度。报告分为紧急报告和详细汇报。紧急报告是指事件发生后，有关单位和人员向厅应急指挥部以口头和应急报告表形式汇报事件的简要情况；详细汇报是指在网络安全事件处理暂告一段落后，以书面形式提交的详细报告。口头报告的内容主要包括事件发生的时间、概况、可能造成的影响等情况。厅应急指挥部初判为特别重大、重大、较大网络安全事件的，立即报告省网络安全应急办。任何处室、单位和个人均不得缓报、瞒报、谎报或者授意他人缓报、瞒报、谎报事件。后期处置事件监测Ⅰ级网络信息安全突发事件应急处理结束后应安排专人密切关注、监测系统2周，确认无异常现象。Ⅱ级网络信息安全突发事件应急处理结束后应安排专人密切关注、监测系统1周，确认无异常现象。Ⅲ、IV级网络信息安全突发事件应急处理结束后应安排专人密切关注、监测系统2天，确认无异常现象。事件调查特别重大网络安全事件由国家网络安全应急办、省网络安全应急办组织进行调查处理和总结评估，厅应急指挥部配合。重大网络安全事件由省网络安全应急办组织进行调查处理和总结评估，厅应急指挥部配合。较大网络安全事件和一般网络安全事件由厅应急指挥部组织调查处理和总结评估。较大网络安全事件和一般网络安全事件应急处理结束后，有关单位应按照信息系统事故调查相关要求，组成事件调查组对事件进行调查，形成事件调查报告。调查要准确、及时、公正地查清事件起因、性质、影响和责任，总结经验教训，提出改进措施，并对责任者提出处理意见。调查报告及时报省网络安全应急办。按照单位规定自行组织调查的