| 文件名称 | 市自然资源和规划局办公室 关于印发《网络安全事件应急预案》的通知 | 文件类型 | 通知 |
|---|---|---|---|
| 发文单位 | 信息中心 | 发文字号 | 黄自然资规办发〔2021〕2号 |
| 发文日期 | 2021-06-15 15:47:41 | 发布日期 | 2021-06-15 15:47:41 |
| 效力状态 | 有效 | 主题分类 |
各城区分局,局机关各科室,各直属事业单位:
为做好庆祝建党百年重大活动期间的网络信息安全保障工作,《网络安全事件应急预案》已经局网络安全和信息化领导小组办公室修订,现印发给你们,请认真组织实施。
黄石市自然资源和规划局办公室
2021年6月15日
黄石市自然资源和规划局
网络安全事件应急预案
一、总则
1.1 编制目的
为建立健全网络安全事件应急工作机制,有效预防、及时控制和妥善处理黄石市自然资源和规划局网络安全各类突发事件,切实提高我局应对网络安全事件能力,确保网络的畅通运行,制定本预案。
1.2 编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)、《国家网络安全事件应急预案》以及《湖北省自然资源厅网络安全事件应急预案》等法律法规和规范性文件。
1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。本预案适用于黄石市自然资源和规划局机关、各城区分局、直属单位计算机网络及各类应用系统网络安全事件的应对工作。
1.4事件分级
网络安全事件分为四级:特别重大(I级)、重大(Ⅱ级)、较大(Ш级)、一般(Ⅳ)。
(1)特别重大(I级):电子政务系统、门户网站、不动产登记系统等重要信息系统发生大规模瘫痪,衍生其他重大安全事件,事态发展超出黄石市自然资源和规划局控制能力的突发事件,对社会秩序、公共利益等造成重大危害。
(2)重大(Ⅱ级):电子政务系统、门户网站、不动产登记系统等重要信息系统发生系统性瘫痪,对社会秩序、公共利益等造成重大危害,无法在短时间内恢复,需要跨部门协调处置的突发事件。
(3)较大(Ш级):局部网络及各类业务管理信息系统发生故障,无法使用,基本无扩散性,对我局主要业务活动造成影响,但无需跨部门协同处置的突发事件。
(4)一般(Ⅳ):局部网络及各类业务管理信息系统发生一定程度损坏,无扩散性或发生在个别科室(单位),对我局一般业务活动造成轻微影响,可由相应技术人员单独处置的突发事件。
1.5 工作原则
(1)部门联动、快速反应。网络安全突发公共事件发生时,要按照快速反应机制,统一指挥,果断决策,部门联动,迅速科学处置,最大程度地减少危害和影响。
(2)预防为主,综合防范。立足主动预防,重点保护好电子政务系统、门户网站、不动产登记系统等重要信息系统,从预防、监控、应急处置、保障和防止泄密等环节,采取多种措施,共同做好网络安全事件的预防和处置工作。
(3)明确责任,健全机制。按照“谁主管谁负责,谁使用谁负责”以及“条块结合、以条为主”的原则,建立和完善安全责任制、协调管理机制和联动工作机制,加强局内各部门间的协调与配合,共同履行应急处置工作的管理职责。
(4)规范管理、常抓不懈。加强技术培训指导,规范应急处置措施与操作流程,实现网络安全突发事件应急处置工作的科学化、规范化,树立常抓不懈的观念,定期进行预案演练,确保应急预案切实可行。
二、领导机构与职责
黄石市自然资源和规划局网络安全与信息化领导小组是全局网络安全和信息化工作的领导机构,负责统筹协调全局网络安全和信息化重要事项、发展规划及网络安全事件应对工作。局网络安全与信息化领导小组下设办公室,负责全局网络安全和信息化领导小组的日常工作。办公室主任由分管领导兼任,成员由局办公室、信息化科和信息中心相关人员组成。
办公室主要职责是:
(1)承担全局网络安全应急值守工作。
(2)收集、分析工作信息,及时上报重要信息。
(3)负责市局网络安全的监测预警和风险评估控制、隐患排查整改工作。
(4)组织制订、修订市本级相关的专项应急预案,指导大冶市、阳新县自然资源和规划局、开发区·铁山区自然资源和规划局制定、修订网络安全突发事件相关的应急预案。
(5)负责组织协调网络安全突发事件应急演练。
(6)负责应对网络安全突发事件的宣传教育与培训。
三、监测与预警机制
3.1 预防预警信息
(1)上级部门及国家安全部门的预防预警信息,包括自然资源部、国家林草局、湖北省自然资源厅、省林业局、市保密局、市委网信办、市公安局、市国家安全局、市政务与大数据局等。
(2)日常网络与信息系统运行状况的监测和分析,通过对异常状况进行分析实现网络与信息系统安全预警信息。
(3)信息安全行业官方网站上的预警信息,跟踪国内外关于网络攻击和病毒发布的预警信息,获取最新的安全预警信息。
(4)终端用户问题处置,分析是否有安全漏洞或安全攻击引起的预警信息。
3.2 报告程序与时限
按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引发网络信息安全突发事件的有关信息的收集、分析判断和持续监测。网络安全突发事件发生或确认即将发生时,相关涉及人员应立即采取措施控制事态,并做好原始记录,同时报局网络安全和信息化领导小组办公室进行风险评估,判定事件等级并发布预警,必要时应启动相应的预案。特别重大和和重大应急事件发生后,立即核实并在1个小时内向局网络安全和信息化领导小组报告,较大应急事件应在3小时内上报。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
3.3 预防预警行动
(1)严格按照上级要求做好网络安全防护工作,及时传达上级部门的预防预警信息,做好应对准备。
(2)启动网络设备与系统的日志功能,分析日常网络运行状况,对于可能存在安全隐患的节点,对其进行重点监控。
(3)及时做好最重要信息系统的数据备份、积极排查系统隐患,对各种最新的系统安全漏洞、黑客攻击手段和病毒发布情况,在局内部进行发布,并给出应急处理办法。
(4)重点监控部位实行每天巡查制,做好设备与系统运行情况登记,定期对网络安全状况进行安全审计和漏洞扫描,及时提供系统补丁。
四、应急处置
4.1 事件报告
网络安全事件发生后,应立即启动应急预案,及时报送信息。局网信办应立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告局网络安全和信息化领导小组。
4.2 应急响应
(1)特别重大事件(I级)应急响应。请求上级部门支持,组织、指挥内部和外部技术力量做好应急处置工作,并负责及时向上级部门和公安部门进行报告。
(2)重大事件(Ⅱ级)应急响应。请求上级部门支持,组织、指挥技术力量做好应急处置工作,并负责及时向局分管领导和局网络安全和信息化领导小组进行报告。
(3)较大事件(Ш级)应急响应。组织技术力量做好应急处置工作,并负责及时向局网络安全和信息化领导小组进行报告。
(4)一般事件(Ⅳ)应急响应。组织相关技术人员做好应急处置工作,并将处置情况及时向局网络安全和信息化领导小组办公室汇报。
4.3 处置过程
4.3.1 网站、网页的应急处置措施
(1)网站、网页由具体负责人员随时密切监视信息内容。
(2)当发现网上出现非法信息、网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,具体负责人员应立即向局网络安全与信息化领导小组办公室通报情况;情况紧急的应先采取删除、隔离等处理措施,再按程序报告。
(3)网络维护人员应在接到通知后立即赶到现象,做好必要的记录,清理非法信息,隔离被攻击的服务器,强化安全防范措施,并妥善保存有关记录及日志或审计记录,立即追查非法信息来源。
(4)经技术人员会商后,将有关情况向局网络安全与信息化领导小组汇报。
(5)局网络安全与信息化领导小组办公室立即组织进行风险评估,确定事件等级,经局网络安全与信息化领导小组同意,及时向上级部门和公安部门报告。
4.3.2 病毒安全应急处置措施
(1)当发现计算机感染计算机病毒后,应立即与网络隔离。
(2)对感染计算机的硬盘进行数据备份。
(3)启用反病毒软件对感染计算机进行杀毒处理,同时进行病毒检测软件对其他计算机进行病毒扫描和清除工作。
(4)如发现反病毒软件无法清除该病毒,应立即向局网络安全与信息化领导小组办公室报告。
(5)网络维护人员在接到通报后,应立即赶到现场。
(6)经技术人员确认确实无法查杀病毒的,应做好相关记录,迅速联系有关安全产品供应商研究解决。
(7)局网络安全与信息化领导小组办公室及时向局网络安全与信息化领导小组汇报,确定情况极为严重的,向上级部门和公安部门报告。
(8)如果感染病毒的设备是服务器或者主机系统,应立即告知各下属单位做好相应的清查工作。
4.3.3 软件系统遭受破坏性攻击的应急处置措施
(1)重要的软件系统必须存有备份,与软件系统相对的数据必须经常备份。
(2)一旦软件遭到破坏性攻击,应立即向局网络安全与信息化领导小组办公室报告,组织系统维护人员进行应急处置,并将系统停止运行。
(3)系统维护人员负责软件系统和数据的恢复,并检查日志等资料,确认攻击来源。
(4)经确认为情况极为严重的,应立即向上级部门和公安部门报告。
4.3.4 数据库安全应急处置措施
(1)各数据库系统要至少准备两个以上数据库备份。
(2)一旦数据库崩溃,应立即向局网络安全与信息化领导小组报告,告知各单位暂缓上传上报数据。
(3)局网络安全与信息化领导小组办公室组织系统维护人员对主机系统进行恢复,遇无法解决的问题,立即向上级单位或软硬件供应商请求支援。
(4)重要数据库无法恢复的,应立即向有关软件厂商请求紧急支援。
4.3.5 广域网外部线路中断应急处置措施
(1)广域网主线路中断后,应立即通知线路租赁供应商查明故障原因,尽快派技术人员修复线路,同时向分管领导报告。
(2)网络维护人员接到通知后,应迅速判断故障节点,查明故障原因,立即予以修复。
4.3.6 局域网中断应急处置措施
(1)局域网中断后,网络维修人员应立即判断故障节点,查明故障原因,并向分管领导汇报。
(2)属线路故障,应重新安装线路。
(3)属路由器、交换机、网闸等网络设备故障,应立即与设备供应商联系更换设备,并调试畅通。
(4)属路由器、交换机、网闸等网络设备的配置文件破坏,应迅速按照要求重新配置,并调试畅通。如遇无法解决的技术问题,立即向上级单位或有关厂商请求支援。
(5)经确认为情况极其严重的,由局网络安全与信息化领导小组办公室向上级部门汇报。
4.3.7 设备安全应急处置措施
(1)服务器等关键设备损坏后,有关人员应立即向分管领导汇报。
(2)网络维护人员接到通知后应立即查明原因。
(3)如果能够自行恢复,应立即用备件替换受损部件。
(4)如果不能自行恢复的,立即与设备供应商联系,请求派技术人员前来维修。
(5)如果设备一时不能维修,应向局网络安全与信息化领导小组汇报,并告知各下属单位相关原因,并暂缓上传上报数据。
4.3.8 机房消防应急预案
(1)一旦机房发生火灾,首先保障人员安全撤离,其次保护好关键设备、数据安全,三是保护好一般设备安全。
(2)信息中心应立即119电话向公安消防请求支援,所有不参与灭火的人员应迅速从机房中撤离。
(3)迅速切断所有电源,并从指定位置取出气体灭火器进行灭火。
(4)根据事态发展情况,启动局消防应急预案。
4.3.9 外电中断后的应急预案
(1)外电中断后,信息中心工作人员应查明停电原因,实时监控备用电池供电情况。
(2)如因内部线路故障,由局办公室迅速派维修人员恢复供电。
(3)如市供电部门原因,应立即与供电部门联系,请供电部门迅速恢复供电。
(4)预计停电在2小时以内,关掉非关键设备,由UPS供电,确保各主机、存储设备、核心交换机等设备供电,并同时做好机房环境及UPS温度监控;预计停电超过2小时,关掉所有硬件设备。
4.4 应急结束
网络安全突发事件经应急处置后,得到了有效控制,事态下降到一定程度或基本得以解决时,由网络安全与信息化领导小组办公室提出应急结束的建议,经批准,通知应急结束。
4.5 后期处置
在应急处置工作结束后,按照“谁主管谁负责,谁使用谁负责”的原则,及时制定恢复、整改或重建方案,迅速组织实施,并将善后处置的有关情况报局局网络安全与信息化领导小组。
五、调查与评估
在应急处置工作结束后,立即组织有关人员和专家组成事件调查组,对事件发生的原因及其处置过程进行全面的调查,查清事件发生的原因及损失情况,总结经验教训,并根据问责制度的有关规定,对有关责任人员做出处理。
六、预防工作
6.1 日常管理
做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和备份工作,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2 演练
建立应急预案定期演练制度。局网络安全与信息化领导小组办公室定期组织进行应急演练。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
6.3 宣传
应充分利用各种传播媒介及其他有效的宣传形式,加强网络与信息安全突发事件应急和处置有关法律法规和政策的宣传,开展网络安全基本知识和技能的宣传活动,提高工作人员信息安全防范意识和应急处置能力。
6.4 培训
将网络安全事件的应急知识列为全体干部职工的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
6.5 重要活动期间的预防措施
国家重要活动、会议期间,要加强网络安全事件的防范和应急响应,确保网络安全。局网络安全与信息化领导小组办公室统筹协调网络安全保障工作,根据需要启动预警响应。加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持每天巡查,及时发现和处置网络安全事件隐患。
七、保障措施
7.1 机构和人员
落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。明确责任分工,切实提高信息安全意识,对重点防护区域采取定人定岗的方式,实时发现和处置问题,并定期组织安全知识培训。
7.2 技术支撑队伍
加强网络安全应急加大网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。支持网络安全企业提升应急处置能力,提高应急技术支援。对内部人员进行定期技术培训,同时通过向专业网络安全公司购买安全服务的方式,加强处理互联网紧急情况的能力和效率。
7.3 基础平台
开展关键信息系统等级保护测评工作,加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。信息化项目规划设计时应积极考虑关键设备的冗余备份、重要数据的异地备份等。
7.4物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。根据需要,及时添置新的网络安全设备等,对已知的系统漏洞及时安装补丁程序。
7.5经费保障
要为网络安全应急工作提供必要的经费保障。利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、基础平台建设、预案演练、物资保障等工作开展。
7.6责任与奖惩
网络安全事件应急处置工作实行责任追究制。对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
八、附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。局网络安全与信息化领导小组办公室负责修订工作。
8.2 预案解释
本预案由黄石市自然资源和规划负责解释。
8.3 预案实施时间
本预案自印发之日起实施。
附件:1.网络安全事件分类
2.名词术语
3.网络和信息系统损失程度划分说明
附件1
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件2
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
a)损害国防、国际关系;
b)损害国家财产、公共利益以及个人财产或人身安全;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键基础设施、政府信息系统安全;
g)影响市场秩序,造成不公平竞争,破坏市场规律;
h)可推论出国家秘密事项;
i)侵犯个人隐私、企业商业秘密和知识产权;
j)损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014))
附件3
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
a)特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
b)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
c)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
d)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
