工业控制综合系统信息安全应急专题预案

工业控制系统信息安全应急预案为了切实做好市污水厂网络和信息安全突发事件防范和应急处理工作，提升污水厂中控系统预防和控制网络和信息安全突发事件能力和水平，减轻或消除突发事件危害和影响，确保市污水厂中控系统网络和信息安全，结合工作实际，制订本预案。一、总则本预案适适用于本预案定义1级、2级网络和信息安全突发公共事件和可能造成1级、2级网络和信息安全突发公共事件应对处理工作。本预案所指网络和信息系统关键性是依据系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益和公民、法人和其它组织正当权益危害程度来确定。（一）分类分级。本预案所指网络和信息安全突发公共事件，是指关键网络和信息系统忽然遭受不可预知外力破坏、毁损、故障，发生对国家、社会、公众造成或可能造成重大危害，危及公共安全紧急事件。1、事件分类。依据网络和信息安全突发公共事件发生过程、性质和特征，网络和信息安全突发公共事件可划分为网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾难，事故灾难和人为破坏引发网络和信息系统损坏；信息安全突发事件是指利用信息网络进行有组织大规模反动宣传、煽动和渗透等破坏活动。自然灾难是指地震、台风、雷电、火灾、洪水等。事故灾难是指电力中止、网络损坏或是软件、硬件设备故障等。人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖攻击等事件。2、事件分级。依据网络和信息安全突发公共事件可控性、严重程度和影响范围，将网络和信息安全突发公共事件分为四级：1级(尤其重大)、2级(重大)、3级(较大)、4级(通常)。国家相关法律法规有明确要求，按国家相关要求实施。1级(尤其重大)：网络和信息系统发生全局性大规模瘫痪，事态发展超出自己控制能力，对国家安全、社会秩序、经济建设和公共利益造成尤其严重损害突发公共事件。2级(重大)：网络和信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处理突发公共事件。3级(较大)：某一部分网络和信息系统瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地域协同处理突发公共事件。4级(通常)：网络和信息系统受到一定程度损坏，对公民、法人和其它组织权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益突发公共事件。（二）工作标准。1、主动预防，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等步骤，在法律、管理、技术、人才等方面，采取多个方法，充足发挥各方面作用，共同构筑网络和信息安全保障体系。2、明确责任，分级负责。根据“谁主管谁负责，谁运行谁负责”标准，建立和完善安全责任制，协调管理机制和联动工作机制。3、以人为本，快速反应。把保障公共利益和公民、法人和其它组织正当权益安全作为首要任务，立即采取方法，最大程度地避免公民财产遭受损失。网络和信息安全突发公共事件发生时，要根据快速反应机制，立即获取充足而正确信息，跟踪研判，果断决议，快速处理，最大程度地降低危害和影响。4、依靠科学，平战结合。加强技术贮备，规范应急处理方法和操作步骤，实现网络和信息安全突发公共事件应急处理工作科学化、程序化和规范化。树立常备不懈观念，有条件则定时进行预案演练，确保应急预案切实可行。二、预防预警（一）信息监测和汇报。1、深入完善网络和信息安全突发公共事件监测、估计、预警制度。要落实责任制，根据“早发觉、早汇报、早处理”标准，加强对各类网络和信息安全突发公共事件和可能引发突发公共事件相关信息搜集、分析判定和连续监测。当发生网络和信息安全突发公共事件时，按要求立即向信息中心责任人、分管领导汇报，同时和相关产品技术支持单位联络，取得必需技术支持。首次汇报最迟不得超出半小时，重大和尤其重大网络和信息安全突发公共事件实施态势进程汇报和日汇报制度。汇报内容关键包含信息起源、影响范围、事件性质、事件发展趋势和采取方法等。2、建立网络和信息安全汇报制度。发觉下列情况时应立即向信息中心责任人、分管领导汇报，必需时向市信息中心及市公安局汇报：（1）利用网络从事违法犯罪活动情况；（2）网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中止或数据篡改、丢失等情况；（3）网络恐怖活动嫌疑情况和预警信息；（4）其它影响网络和信息安全信息。（二）预警处理和公布。1、对于可能发生或已经发生网络和信息安全突发公共事件，立即采取方法控制事态，并在1小时内进行风险评定，判定事件等级。必需时应开启对应预案，同时向信息中心及分管领导通报情况。2、信息中心接到报警信息后应立即组织相关教授对信息进行技术分析和研判，依据问题性质、危害程度，提出安全警报等级，并立即向分管领导汇报。3、分管领导接到汇报后，对发生和可能发生1级或2级网络和信息安全突发公共事件时，应快速召开应急会议，研究确定网络和信息安全突发公共事件等级，决定开启本预案，同时确定指挥人员。并向相关部门进行通报。4、对需要向市公安局通报要立即通报，并争取支援。三、应急响应（一）先期处理。1、当发生网络和信息安全突发公共事件时，值班人员应做好先期应急处理工作，立即采取方法控制事态，同时向信息中心汇报。2、信息中心在接到网络和信息安全突发公共事件发生或可能发生信息后，应加强和相关方面联络，掌握最新发展动态。对3级或4级突发事件，自行负责应急处理工作，相关情况报分管领导。分管领导在接到发生2级或1级和有可能演变为2级或1级网络和信息安全突发公共事件时，要组织信息中心对处理工作提出提议方案，并做好开启本预案各项准备工作。还要依据网络和信息安全突发公共事件发展态势，视情况决定赶赴现场指导，组织派遣应急支援力量。（二）应急指挥。1、本预案开启后，信息中心要抓紧搜集相关信息，掌握现场处理工作状态，分析事件发展态势，研究提出处理方案，统一指挥网络和信息应急处理工作。2、需要成立现场指挥部，应立即在现场开设指挥部，现场指挥部要依据事件性质快速组建各类应急工作组，开展应急处理工作。（三）应急支援。本预案开启后，立即成立由分管领导带队应急响应先遣小组，督促、指导和协调处理工作。信息中心依据事态发展和处理工作需要，立即增派教授小组，调动必需物资、设备，支援应急工作。参与现场处理工作各相关部门和单位在现场指挥部统一指挥下，帮助开展处理行动。（四）信息处理。1、各部门、中心应对事件进行动态监测、评定，立即将事件性质、危害程度和损失情况及处理工作等情况，立即报信息中心，不得隐瞒、缓报、谎报。2、信息中心要明确信息采集、编辑、分析、审核、签发责任人，做好信息分析、汇报和公布工作。要立即编发事件动态信息供领导参阅。要组织教授和相关人员研究判定各类信息，提出对策方法，完善应急处理计划方案。(五)信息公布。1、当网络和信息安全突发公共事件发生时，应立即做好信息公布工作，经过相关单位公布网络和信息安全突发公共事件预警及应急处理相关信息，引导舆论和公众行为，增强公众信心。2、要亲密关注中国外相关网络和信息安全突发公共事件新闻报道，立即采取方法，对媒体相关事件和处理工作不正确信息，进行澄清、纠正影响，接收群众咨询，释疑解惑，稳定人心。（六）扩大应急。经应急处理后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。要快速召开应急会议或由分管领导依据事态情况，研究采取有利于控制事态很方法，并向市公安局请求支援。（七）应急结束。网络和信息安全突发公共事件经应急处理后，得到有效控制，事态下降到一定程度或基础得四处理，将各监测统计数据上报局信息中心，由信息中心向分管领导提出应急结束提议，经同意后实施。四、后期处理（一）善后处理。在应急处理工作结束后，要快速采取方法，抓紧组织抢修受损基础设施，降低损失，立即恢复正常工作。统计多种数据，查明原因，对事件造成损失和影响和恢复重建能力进行分析评定，认真制订恢复重建计划，并快速组织实施。相关部门要提供必需人员和技术、物资和装备和资金等支持，并将善后处理相关情况报分管领导。（二）调查评定。在应急处理工作结束后，各相关部门应立即组织相关人员和教授组成事件调查组，对事件发生及其处理过程进行全方面调查，查清事件发生原因及财产损失情况，总结经验教训，写出调查评定汇报，报分管领导，并依据问责制相关要求，对相关责任人员做出处理，必需时采取合理形式向社会公众通报。五、保障方法（一）应急装备保障。关键网络和信息系统在建设系统时应事先预留一定应急设备，建立信息网络硬件、软件、应抢救援设备等应急物资库。在网络和信息安全突发公共事件发生时，由信息中心负责统一调用。（二）数据保障。关键信息系统均应建立异地容灾备份系统和相关工作机制，确保关键数据在受到破坏后，可紧急恢复。各容灾备份系统应含有一定兼容性，在特殊情况下各系统间可互为备份。（三）应急队伍保障。根据一专多能要求建立网络信息安全应急保障队伍。局信息中心选择若干经国家相关部门资质认可、管理规范、服务能力较强部门作为企业网络和信息安全应急支援单位，提供技术支持和服务。六、监督管理（一）宣传教育。要充足利用多种传输媒介及有效形式，加强网络和信息安全突发公共事件应急和处理相关法律法规和政策宣传