重大网络安全事件应急专项预案

华能集团企业重大网络安全事件应急预案中国华能集团企业编制12月目录TOC\o"1-1"\t"标题222,2"1总则 11.1编制目标 11.2编制依据 11.3适用范围 11.4应急预案体系 11.5应急工作标准 22危险性和风险分析 22.1现有系统 22.2关键资产 22.3风险分析 23组织机构及职责 33.1应急组织体系 33.2指挥机构及职责 44预防和预警 74.1安全风险预防 74.2预警行动 85应急响应 95.1响应程序 95.2应急结束 96信息公布 97后期处理 98保障方法 98.1通信和信息保障 98.2应急队伍保障 108.3应急物资装备保障 108.4经费保障 109培训和演练 109.1培训 109.2演练 1010奖惩 1111附则 1211.1术语和定义 1211.2应急预案立案 1211.3维护和更新 1211.4制订和解释 1311.5应急预案实施 13华能集团企业重大网络安全事件应急预案1总则1.1编制目标为加强集团企业处理重大网络突发事件能力，提升应对紧急事件反应速度和协调水平，确保集团企业快速有效地处理重大网络安全事件，减轻或消除突发事件危害和影响，确保集团企业网络和信息安全，制订本预案。1.2编制依据依据《国家突发公共事件总体应急预案》、《中国安全生产法》、《国务院相关部门和单位制订和修订突发公共事件应急预案框架指南》和《电力二次系统安全防护要求》等相关法规和规章制度制订本预案。1.3适用范围本预案适适用于发生在集团企业通信网络重大网络安全事件应急响应工作。1.4应急预案体系应急预案体系包含事件定位、影响分析、控制风险、限制损害事故后果、立即恢复业务处理、降低事件影响，降低系统风险等。网络安全应急预案体系是集团企业信息安全防御体系关键组成部分，应急预案体系经过预防方法和恢复控制相结合方法，使由意外事故（如自然灾难、事故、设备故障和有意行为）引发破坏降低至可接收水平。1.5应急工作标准在集团企业领导下，网络安全工作坚持统一指挥、分级负责，严密组织、亲密协同，快速反应、保障有力标准。2危险性和风险分析2.1现有系统华能集团企业通信网络关键指服务于集团企业管理信息化需求，以集团企业本部为关键，连接各直属单位、分支机构和产业企业企业通信网络，和上述单位和其下属企业之间通信网络。2.2关键资产系统中关键资产包含：路由器关键交换机光缆线路机房动力、空调应用服务器数据库服务器备份服务器数据库服务器中数据2.3风险分析2.3.1病毒入侵风险：资产包含关键服务器、多数PC及网络设备等，事件将使部分业务受到影响，发生可能性为中等。2.3.2网络入侵风险：资产包含关键服务器、网络设备等，事件将使部分网络受阻，部分业务中止，发生可能性较低。2.3.3网络故障风险：资产包含交换机和路由器等网络设备，事件将使全部或部分网络瘫痪，全部或部分业务中止，发生可能性较低。2.3.4服务器系统故障风险：资产包含关键服务器、磁盘阵列等主机设备，事件将使关键业务应用中止，数据丢失，发生可能性较低。2.3.5软件系统故障风险：资产包含应用软件、数据库软件等，事件将使关键业务应用中止，发生可能性较低。2.3.6线路故障风险：资产包含关键光缆、基础设施等，事件将使全部或部分网络瘫痪，全部或部分业务中止，发生可能性较低。3组织机构及职责3.1应急组织体系领导协调小组领导协调小组系统恢复小组数据恢复小组分析小组安全保障小组基础设施保障小组系统恢复小组数据恢复小组分析小组安全保障小组基础设施保障小组安全管理员系统管理员系统管理员数据库管理员事发单位责任人安全管理员系统管理员系统管理员数据库管理员事发单位责任人保密管理员基础设施提供商设备供给商备份管理员安全服务商保密管理员基础设施提供商设备供给商备份管理员安全服务商保密产品提供商安全提供商软件开发商技术教授应用提供商保密产品提供商安全提供商软件开发商技术教授应用提供商3.2指挥机构及职责3.2.1领导协调小组由集团企业分管信息化副总经理、集团企业办公厅和信息服务中心相关责任人共同组成领导协调小组（以下简称“领导协调小组”），负责领导重大网络安全事件处理工作，具体包含：提出运行维护和应急响应具体要求；监督检验应急响应工作落实情况；应急预案同意；应急预案开启或终止决定；应急事件指挥；对应急处理过程重大事项进行协调；应急事件信息公布；警戒和防护指挥；非IT方法（切换到手工方法、法律诉讼等）指挥；对相关人力、物力等应急资源进行调配。3.2.2分析小组由包含系统管理单位责任人、安全服务提供商项目技术责任人、应用集成商技术责任人、技术教授共同组成。对应急事件分析和应急预案选择和制订负有直接技术责任，具体包含：应急事件分析；应急预案选择；临时方案设计；应急预案设计；技术协调；应急预案测试；应急预案复审和维护；人员培训；应急响应指挥支持工作。3.2.3数据恢复小组数据恢复小组组员由包含系统单位数据库管理员、备份管理员共同组成，负责日常数据维护和备份工作，应急事件发生时负责数据恢复工作实施，具体包含：日常数据维护；日常备份工作；备份介质管理；数据恢复方法有效性验证和测试；应急数据恢复工作其它相关恢复工作。3.2.3系统恢复小组系统恢复小组组员由包含系统单位系统管理员、软件开发商、硬件供给商共同组成，负责日常网络、主机、应用系统故障排除工作，应急事件发生时负责相关恢复工作实施，具体包含：日常网络、主机、应用系统、PC排错工作；应急网络设备故障恢复工作；应急主机故障恢复工作；应急应用系统故障恢复工作；其它相关恢复工作。3.2.4基础设施保障小组基础保障小组由包含系统单位系统管理员、基础设施提供商技术支持人员共同组成，负责基础设施日常保障工作，应急时负责基础设施保障和恢复工作，具体职责以下：日常动力供给保障；日常基础防护设施完好性保障；日常外联网络通畅保障；应急电力供给保障；应急基础防护方法保障；应急外联网络通畅。3.2.5安全保障小组安全保障小组由安全管理员、保密管理员、安全保密产品供给商、安全保密软件开发商共同组成，负责系统日常安全保密工作，和应急时安全保密分析调查和故障恢复工作，具体职责以下：日常系统安全工作（防病毒、入侵检测、漏洞扫描、系统加固、日志查看、防火墙配置、网闸配置等）日常系统保密工作（加密机维护、数字证书管理、访问控制列表管理等）应急安全事件调查帮助工作（入侵检测、日志分析、审计信息、审批统计等）应急安全产品故障恢复工作（防火墙、加密机、网闸等）4预防和预警4.1安全风险预防4.1.1病毒入侵风险预防：应加强内部安全管理，全方面布署防病毒方法，对关键数据进行备份，对网络进行子网划分，并控制子网间访问。4.1.2网络入侵风险预防：应加强网络入侵检测，立即修补系统漏洞，加强内部安全管理，对关键数据和应用系统进行备份。4.1.3网络设备故障风险预防：应对网络交换机、路由器等网络设备关键部件和系统配置进行备份，同时，加强日常维护检验。4.1.4服务器系统故障风险预防：应对关键服务器、磁盘阵列柜等主机设备关键部件和操作系统、应用软件、数据库系统进行备份，同时，加强日常维护检验。4.1.5软件系统故障风险预防：应对关键服务器、磁盘阵列柜等主机设备关键部件和操作系统、应用软件、数据库系统进行备份，同时，加强日常维护检验。4.1.6线路故障风险预防：网络通信线路建设时应充足考虑备用线路建设。4.2预警行动一旦确定网络系统遭到破坏、紧急情况发生或立即发生，应立即通知应急恢复人员，评定系统损失和实施应急计划。同时将事故情况上报领导协调小组。在通知开启阶段完成后，恢复人员将实施应急方法，恢复系统功效。4.3信息汇报和处理（1）集团企业建立突发事件“三个渠道”汇报制度，发生突发事件所在单位责任人、秘书系统、安监系统应立即向集团企业领导、办公厅及负责安全监督部门汇报。（2）尤其紧急情况下，各基层单位值班人员可在向本单位责任人汇报同时，直接汇报集团企业。（3）依据国家相关法律、法规要求必需向当地政府主管部门汇报，应该立即向当地政府主管部门汇报。（4）发生突发事件相关单位，应在突发事件发生后8小时内提交简明书面汇报，在突发事件处理结束后2日内提交专题书面汇报。5应急响应5.1响应程序事件发生后，由事发单位对事件进行判定，评定系统损失，上报事件情况，继而选择对应应急计划。并依据领导协调小组指示意见，在经过事件定位后，选择对应应急响应小组组员，实施应急响应预案。5.2应急结束预案终止时间由现场工作小组依据现场实际进展情况，在和相关单位协调后报领导协调小组决定。6信息公布集团企业建立突发事件信息公布制度，由集团企业办公厅统一管理对外公布突发事件信息。7后期处理事发单位要对重大网络安全事件起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评定，并向领导协调小组和集团企业相关部门作出汇报。必需时，集团企业也将负责或配合国家相关主管部门对重大网络安全事件进行调查评定。8保障方法8.1通信和信息保障重大网络事件领导小组办公室电话表：计算机处62291601传真62291329集团企业总值班室电话：62291666、62291877、62291777。8.2应急队伍保障重视应急人员建设和保障，确保在安全事件发生前人员值班，事件处理过程和事后系统重建中人员在岗和处理能力。8.3应急物资装备保障重视网络信息技术建设和升级换代，在安全事件发生前确保网络信息系统强劲和安全，安全事件处理过程中和事后重建中相关技术支撑。8.4经费保障将应急经费纳入年度计划和预算，购置对应应急设施，确保发生重大网络安全事件时应急经费能够立即到位。9培训和演练9.1培训对于应急响应内容和包含到人员需要进行相关培训和演练，培训包含以下方面：相关应急响应预案培训相关人员相关技能培训经过演练进行协作培训9.2演练应急预案正式同意之前全部必需进行演练。演练是组织应急预案完善关键工作，包含应急预案演练计划安排、演练过程和效果具体统计，演练活动评定汇报和应急预案改善提议等。9.2.1应急预案演练计划安排应急预案演练应该事优异行周密组织和安排。要确定应急预案演练计划，确定应急程序、资源配置和调用情况，和是否需要其它相关部门帮助。9.2.2演练过程和效果具体统计应急预案演练过程要进行跟踪，并对演练过程和效果进行真实具体统计，以确定应急预案实施过程是否符合经济性、合理性和可操作性。9.2.3评定汇报和改善提议应急预案演练效果应进行评定，评定汇报应对应急预案是否可操作、应急程序是否科学合理、应急资源是否快速到位做出明确结论，评定汇报必需有明确责任人。应急预案演练中出现问题，应立即提出改善意见，假如是包含应急预案演练能否真正进行重大问题，应该认可演练没有取得成功，提议改善后重新进行演练。组织应该重视应急预案演练评定汇报，对存在问题进行改善和调整。10奖惩在发生重大网络安全事件后，相关责任单位、责任人有瞒报、缓报、漏报和其它渎职、渎职行为，集团企业将给予通报批评；对造成严重不良后果，将视情节由相关主管部门追究责任领导和责任人行政责任；组成犯罪，由相关部门依法追究其法律责任。11附则11.1术语和定义本预案所称重大网络安全事件，是指因为自然灾难、设备软硬件故障、内部人为失误或破坏、黑客攻击和计算机病毒破坏等原因，集团企业关键网络信息系统正常运行受到严重影响，出现业务中止、系统破坏、数据破坏或信息失窃或泄密等现象，和境内外敌对势力、敌对分子利用信息网络进行有组织大规模宣传、煽动和渗透活动，对国家安全、社会稳定、公众利益或集团企业运行等方面造成不良影响和造成一定程度直接或间接经济损失事件。11.2应急预案立案本预案报国家安监总局、