资阳市统计局
第一章 总则
第一条 为建立健全资阳市统计局网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,提高对网络安全事件的应急处置能力,保证网络安全事件应急指挥协调工作迅速、高效、有序地进行,满足突发情况下信息系统安全稳定、持续运行,保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全。
第二条 根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》和《信息安全技术、信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定、法规、文件精神,制定本预案。
第三条 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对资阳市统计局网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
第四条 网络安全事件按照其性质、严重程度、可控性和影响范围等因素分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
(一)Ⅰ级(特别重大)。符合下列情形之一的,为特别重大网络安全事件:
l 重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
l 重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
l 对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响。
l 恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,不可承受。
(二)Ⅱ级(重大)。符合下列情形之一的,为重大网络安全事件:
l 重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
l 重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
l 对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响。
l 恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,部分可承受。
(三)Ⅲ级(较大)。符合下列情形之一的,为较大网络安全事件:
l 重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
l 要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
l 对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响。
l 恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,基本可以承受。
(四)Ⅳ级(一般)。符合下列情形的,为一般网络安全事件:
对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
第五条 资阳市统计局网络安全事件分为业务系统类、基础环境类、安全技术类、信息内容类和其他类事件。
(一)业务系统类事件
业务系统类事件是指因业务系统软件、硬件故障导致业务中断的网络安全事件。此类事件涵盖业务系统运行所需的服务器、存储和软件环境等引发的网络安全事件。
(二)基础环境类事件
基础环境类事件是指因外围保障设施故障、人为破坏、网络故障、其他设备设施故障、自然灾害等其他突发事件导致的网络安全事件。此类事件涵盖电力中断、通讯中断、数据中心机房设备故障等。
(三)安全技术类事件
安全技术类事件是指威胁正常统计工作秩序的各类网络安全事件,包括计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等基于有害程序的攻击事件;拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰等网络攻击事件;信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等信息破坏事件。
(四)信息内容类事件
信息内容类事件是指利用网络传播法律、法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。
(五)其他类事件
其他类事件是指不能归为以上分类的网络安全事件。
第六条 坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
第二章 组织机构与职责
第七条 领导机构与职责
资阳市统计局网络安全事件应急工作,由资阳市统计局网络安全和信息化领导小组统一领导。
网络安全和信息化领导小组组成为:
组 长: 陈天华 局党组书记、局长
副组长:唐文龙 局党组成员、副局长
黎 平 局党组成员、副局长
吴 俊 局党组成员、总统计师
凌 建 局党组成员、市社会经济调查队队长
王凤先 局党组成员、总经济师
成 员: 各科室(中心)负责人
具体职责如下:
(一)决定I级和II级网络与信息安全事件应急预案的启动,督促检查安全事件处置情况及各有关部门在安全事件处置工作中履行职责情况。
(二)对全局各科室贯彻执行应急处置预案、应急处置准备情况进行督促检查。
(三)牵头组织重大敏感时期、重要活动、重要会议期间发生的信息安全事件的协调处置。
网络安全与信息化领导小组联系方式详见附录1。
第八条 网络安全与信息化领导小组办公室(以下简称网信办)
主 任:黎平 局党组成员、副局长
副主任:李俊林 统计信息网络管理科科长
成 员:吴剑 社调队科长
具体职责如下:
(一)负责网络信息安全工作的组织、协调和监督,制定相关制度和应急预案;
(二)根据资阳市统计局发生的网络信息安全事件程度提出相应级别预案的启动,组织协调统计信息网络管理科、业务科室落实应急预案,共同做好处置工作;
(三)负责及时收集、通报和上报网络信息安全事件处置的有关情况。
网络安全与信息化领导小组办公室成员联系方式详见附录2。
第九条 网信办设在统计信息网络管理科,由统计信息网络管理科负责网络安全事件的管理,网络安全管理员、系统管理员负责网络安全事件的执行。特别重大网络安全事件由网络安全与信息化领导小组进行决策。
第十条 在资阳市统计局网络安全与信息化领导小组的领导下,网信办负责统筹协调组织网络安全事件应对工作,建立健全跨科室联动处置机制。必要时成立网络安全事件应急指挥部,负责特别重大网络安全事件处置的组织指挥和协调。
第十一条 网信办负责对各系统进行实时监测与事件通报;负责启动“应急预案”和执行发布报警信号命令;负责记录事件的处置过程。
第十二条 网信办负责对事件的处置过程进行监督,并在事件结束后组织人员进行事后的分析与处理;负责预案库(排障手册)的建设与管理。
第三章 应急处置
第十三条 应急响应级别分为四级:Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级,分别对应Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)网络安全事件。
第十四条 发生网络安全事件,事发科室进行初步判断,对于Ⅳ级(一般)网络安全事件,事发科室必须在60分钟内向网信办报告;对于Ⅲ级(较大)网络安全事件,事发科室必须在30分钟内向网信办报告;对于Ⅱ级(重大)网络安全事件,事发科室必须在20分钟内向网信办报告;Ⅰ级(特别重大)网络安全事件应在10分钟内向网信办报告。
第十五条 网信办接到Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)网络安全事件报告后,根据事件分析判定事件级别。
网信办应立即将判定为Ⅰ级(特别重大)、Ⅱ级(重大)的网络安全事件上报至网络安全与信息化领导小组。
Ⅰ级(特别重大)网络安全事件由网信办报送市公安局相关部门,并由网络安全与信息化领导小组上报至市委、市政府相关部门。
第十六条 网络安全事件发生后,事发科室必须在第一时间实施即时处置,控制事态发展。在开展即时处置的同时,及时汇总信息并迅速报告网信办。
第十七条 根据网络安全事件严重程度,由网络安全与信息化领导小组决定并指定特定小组或人员及时向新闻媒体发布相关信息,所指定的小组或人员应严格按照网络安全与信息化领导小组规定及要求对外发布信息,其他科室或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。
第十八条 网络安全事件发生时,各科室和人员发现问题后,应先详细记录该事件的信息,了解事件可能造成的损失、影响以及现场控制情况。在汇总相关信息的基础上,及时判断事件性质,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况,判定事件级别。
第十九条 对于判定为Ⅰ级(特别重大)的网络安全事件,网络安全与信息化领导小组会同市公安局相关部门成立网络安全事件应急指挥部,统一组织、协调指挥应急处置。
对于判定为Ⅱ级(重大)的网络安全事件,网信办立即上报网络安全与信息化领导小组,由领导小组统一组织、协调指挥应急处置。
对于判定为Ⅲ级(较大)和Ⅳ级(一般)的网络安全事件,由网信办组织、协调应急处置工作,并向网络安全与信息化领导小组报告有关情况。
第二十条 当确定网络安全事件等级、启动相应应急响应预案后,在技术上采取应急恢复措施的同时,各科室应针对受影响或故障信息系统所承担的业务应用采取相应的业务补救措施,尽可能减少损失。
第二十一条 根据不同的事件以及事件的级别,采取相应措施进行应急处理。网络安全事件处理过程中,可以根据需要调整应急响应级别。
对于Ⅰ级(特别重大)网络安全事件,在应急处置工作结束或相关危险因素消除,网络安全与信息化领导小组确认后,终止应急响应,转入常态管理。并按照有关程序及时向市委、市政府领导报告。
对于Ⅱ级(重大)网络安全事件,在应急处置工作结束或相关危险因素消除,网络安全与信息化领导小组确认后,终止应急响应,转入常态管理。
对于Ⅲ级(较大)和Ⅳ级(一般)网络安全事件,在应急处置工作结束或相关危险因素消除后,由网信办决定终止应急响应,转入常态管理,并向网络安全与信息化领导小组报告。
第二十二条 网站、网页出现非法言论时的处置流程
(一)网站、网页由统计信息网络管理科负责随时密切监视信息内容。
(二)发现网上出现非法信息时,统计信息网络管理科派专人处理,作好必要记录,清除非法信息,确认后,再重新启动网站。
(三)服务器责任人妥善保存有关记录及日志。
(四)信息安全员通过技术手段追查非法信息来源。
(五)向上级领导汇报处理情况。
(六)如果非法信息不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
第二十三条 黑客攻击的紧急处置流程
(一)当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时,应立即将被攻击的服务器等设备从网络中隔离出来,保护现场并立刻向领导通报情况。
(二)进行被攻击、破坏系统的恢复、重建工作。
(三)追查非法来源。
(四)向上级领导汇报处理情况。
(五)如果不能自行处理或属严重事件的,应保留记录资料并立即向公安部门报警。
第二十四条 病毒安全紧急处置流程
(一)当发现计算机被感染上病毒后,将该机从网络上隔离开来。
(二)对该设备的硬盘进行数据备份。
(三)启用杀病毒软件对该机器进行杀毒处理工作。
(四)如果现行反病毒软件无法清除该病毒,在确认数据完全备份后,征求使用人同意重装系统。
第二十五条 软件系统遭破坏性攻击的紧急处置流程
(一)重要的软件平时做好备份,并存于异地存储服务器。
(二)一旦软件遭到破坏性攻击,应及时采取相应措施减少或降低损害,并立刻向领导报告。
(三) 网络安全人员检查日志等资料,确定攻击来源。
(四) 向上级领导汇报处理情况。
(五)事态严重,应保留记录资料并立即向公安部门报警。
第二十六条 数据库安全紧急处置流程
(一)主要数据库系统应做双机热备设置,至少准备两个以上数据库备份,并存于异地。
(二)一旦数据库崩溃,应立即启动备用系统,并立刻向领导报告。
(三)在备用系统运行的同时,应对主机系统进行修复工作。
(四)如果两套系统均崩溃,信息安全小组人员应立即向软硬件提供商请求支援。
(五)系统修复启动后,将数据库备份取出,按照要求将其恢复到主机系统中。
(六)如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
第二十七条 广域网线路中断紧急处置流程
(一)广域网线路中断后,应立即启动线路接续工作,同时向领导报告。
(二)迅速判断故障节点,查明故障原因及时恢复网络。
(三)如故障节点属电信部门管辖范围,立即与电信维护部门联系,要求修复。
第二十八条 局域网中断紧急处置流程
(一)配置好备用网络设备,存放在指定的地方。
(二)局域网中断后,网络维护人员应立即判断故障节点,查明原因。
(三)如属线路故障,应重新安装线路。
(四)如属路由器、交换机等网络设备硬件故障,应立即使用备用设备,并调试通畅。
(五)如属路由器、交换机配置文件破坏等软件故障,应迅速按照要求重新导入备份配置。
(六)向上级领导汇报处理情况。
第二十九条 设备安全紧急处置流程
(一)小型机、服务器关键设备损坏后,应及时向领导报告。
(二)如果能够自行恢复,应立即使用备用部件更换受损部件。
(三)如不能自行恢复的,立即与设备提供商联系,请求前来维修。
第三十条 机房灭火流程
(一)一旦发生火灾,应遵循下列原则:首先确保人员安全;其次保证关键设备、数据的安全;第三确保一般设备安全。
(二)人员疏散程序是:按响火警警报,并通过119电话向消防请求支援,所有不参与灭火的人员按照预先确定的路线撤离。
(三)人员灭火程序是:首先切断电源,启动自动灭火系统。
(四)向上级领导汇报处理情况。
第三十一条 电源中断后的处置流程
(一)停电发生后,由UPS供电,密切监察UPS工作状况。
(二)当UPS供电不足时,应按预先设定的顺序逐个关掉网络设备和服务器的服务、程序和电源。
(三)向上级领导汇报处理情况。
第三十二条 关键人员不在岗的紧急处置流程
(一)关键岗位实行A、B角色。
(二)对于关键岗位平时应有人员储备,确保一项工作至少有两人能够操作。
第四章 调查与评估
第三十三条 网信办应组织有关人员及有关技术专家组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,总结经验教训,完善相关应急处理预案,整改信息系统存在的隐患。
第三十四条 事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
第五章 预防工作
第三十五条 网信办应按职责做好网络安全事件日常预防工作,制定、完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
(一)建立健全应急保障体系。采用多种技术手段监控和保障信息系统安全,不断完善网络安全管理制度。
(二)全面落实等级保护制度。按照等级保护制度要求制定防护策略,设计防护方案,落实防护措施,检查防护效果,修补防护漏洞,保障网络安全。
(三)有效落实网络安全风险评估制度。在新系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务发生重大变化时,应重新识别、分析、控制风险。
(四)建设容灾备份系统。完善容灾备份相关制度、操作规范,对重要业务系统数据进行容灾备份,并定期开展灾备恢复演练。
(五)健全网络安全信息报告机制。应建立网络安全信息报告有关工作机制,公布信息报告流程和联系方式。各科室或个人发现任何网络安全风险隐患和事件,均有权向网信办报告。网信办收到网络安全信息报告后,应认真研判并及时发布预警和响应通知。
第三十六条 网信办应充分利用各种媒介和其他有效宣传形式,加强网络安全事件预防和应急处置的有关法律、法规、政策和应急响应预案的宣传,开展网络安全基本知识和技能的宣传活动。
第三十七条 对于本应急预案应定期进行实际演练,对其中的应急措施进行实际验证,以保证应急预案的有效性,可操作性。每次演练完成后应当及时完成相应的应急演练实施报告,对应急演练中出现的问题进行总结分析,并完善相应的应急预案。
第三十八条 应急演练以应急预案为基础,在演练前应确定演练的目标、范围及方式,制定详细、严谨的应急演练方案,避免对正常业务造成不必要的影响。应急演练如涉及上级单位或其他单位,应事先做好沟通协调工作,避免干扰其正常工作。
第三十九条 在国家重要活动、会议等重要敏感时期,各科室要加强网络安全事件的防范和应急响应,确保网络安全。网信办统筹协调网络安全保障工作,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件。
第六章 应急措施
第四十条 落实网络安全应急工作责任制,建立健全网络安全应急工作机制,落实领导责任,把责任落实到具体科室、具体岗位和个人。相关责任科室、岗位和个人发生变动后应及时更新。
第四十一条 加强网络安全应急人才队伍建设。加强相关技能培训,不断提高应急人才队伍的监测预警、预防防护、应急处置能力;定期开展应急演练,提高应急处置熟练程度。建立应急人员保障长效机制,设立应急管理岗位,明确运维岗位人员的应急工作职责。
第四十二条 建立应急专家队伍,为网络安全事件的预防处置、事件定级和调查评估等提供技术咨询和决策建议。应急专家队伍应由外部门技术专家和系统内业务、技术、网络安全等相关人员组成。
第四十三条 网络安全事件发生后,网信办根据事件发生的原因、性质、影响、责任等,向外部有关单位通报事件有关情况,协调事件的应急处置。并主动向资阳市网络安全主管部门通报相关情况。
第四十四条 网络安全与信息化领导小组应确保网络安全事件应急管理工作所需的经费,包括日常运作、应急处置、安全演练等方面的经费,其预算应纳入部门专项预算。同时,应将信息系统设备老化及更新换代和日常维护所需要的经费,纳入本单位本部门系统运行维护年度预算中,降低系统设备超期使用所造成的安全风险。
第七章 附则
第四十五条 本预案原则上每年评估一次,根据实际情况适时修订。修订工作由资阳市统计局网络安全和信息化领导小组办公室负责。
第四十六条 各县(区)统计局要根据本预案制定或修订本单位网络安全事件应急预案,各预案要做好与本预案的衔接。
第四十七条 本预案由资阳市统计局网络安全和信息化领导小组办公室负责解释。
第四十八条 本预案自印发之日起实施,原预案即行废止。
