咸阳市人民政府办公室关于印发《咸阳市网络与信息安全突发事件应急预案》的通知
(咸政办发〔2011〕52号)
各县市区人民政府,市人民政府各有关工作部门、派出机构、直属事业机构:
现将《咸阳市网络与信息安全突发事件应急预案》印发给你们,请结合实际,认真组织实施。
二〇一一年五月三日
咸阳市网络与信息安全突发事件应急预案
1、总则
为加强网络与信息安全管理,提高应急防范能力,保障基础信息网络和重要信息系统安全,维护国家安全与社会稳定,促进国民经济与社会信息化健康发展,制定本预案。
1.1 编制目的
确保全市基础网络、电子政务系统与其他重要信息系统的日常业务能够持续运行;确保信息的保密性、完整性、可靠性;保证全市突发公共事件信息传输的畅通。
1.2 编制依据
(1)《中华人民共和国突发事件应对法》
(2)《国家突发公共事件总体应急预案》
(3)《中华人民共和国保守国家秘密法》
(4)《信息安全事件分类分级指南》(gb/z20986-2007)
(5)中华人民共和国计算机信息系统安全保护条例。
(6)中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》的通知(中办发〔2003〕27号)。
(7)全国人民代表大会常务委员会《关于维护互联网安全的决定》。
(8)公安部、国家保密局、国家密码管理委员会办公室和国务院信息化工作办公室《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)。
(9)网络与信息安全主要威胁及隐患现象。当前我市网络与信息安全保障工作仍存在一些亟待解决的问题:网上有害信息传播、病毒入侵和网络攻击日趋严重,网络失泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视、地面网络的攻击破坏活动以及利用信息网络进行的反动宣传日益猖獗;网络与信息系统的防护水平不高,应急能力不强;信息安全管理和技术人才缺乏,少数政务网站安全设施配置不够到位,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会信息安全意识不强,信息安全管理薄弱;随着我市信息化的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。
1.3 事件分类等级
根据网络与信息安全突发公共事件的可控性、严重程度和影响范围,一般分为四级:
ⅰ级(特别重大)信息安全事件
重要网络与信息安全系统发生大规模瘫痪,事态发展超出的市政府和省级主管部门的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。
1)信息系统中断运行2小时以上、影响人数100万人以上。信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上经济损失。
2)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害事件。
3)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
ⅱ级(重大)网络与信息安全事件
重要网络与信息安全系统发生大规模瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害,需要跨部门、跨地区协同处置的突发公共事件。
1)信息系统中断运行30分钟以上,影响人数10万人以上。
2)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的损失。
3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害事件。
4)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
ⅲ级(较大)网络与信息安全事件
某一网络与信息系统发生较大规模瘫痪,对国家安全、社会秩序、经济建设和公共利益造成较严重损害,本地区政府和本部门主管领导能够组织相关力量处置的突发公共事件。
1)信息系统中断运行造成严重影响的。
2)信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1000万人民币以上的损失。
3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害事件。
4)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成较严重影响的网络与信息安全事件。
ⅳ级(一般)网络与信息安全事件
重要网络与信息安全受到一定程度的损坏,对国家安全、社会秩序、经济建设和公共利益构成一定威胁,对公民、法人和其他组织的权益有一定影响突发公共事件为一般网络与信息安全事件。
1.4 适用范围
全市各县市区、市级机关的网络与信息系统,重点是:信息基础设施、重要业务系统。
1.5 工作原则
(1)坚持防御为主,综合防范;
(2)坚持统一领导、分级负责和“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则;
(3)坚持条块结合、以块为主;
(4)坚持以人为本,快速反应;
(5)依靠科学,常备不懈。
2、应急组织领导体系及职责任务
2.1 应急组织领导体系全市网络与信息安全突发事件防范及应急处置工作由市网络与信息安全协调小组统一领导、指挥、协调。
(1)咸阳市网络与信息安全协调领导小组组成:
组长:市人民政府主管副市长
副组长:市委主管副秘书长
市人民政府主管副秘书长
市工业和信息化委员会主任
成员:市委组织部、市委宣传部、市应急办、市发改委、市教育局、市科技局、市公安局、市国家安全局、市财政局、市安监局、市工业和信息化委员会、市文广新局、市质监局、市保密局、市委机要局、市人行、市政务信息办公室。
(2)咸阳市网络与信息安全突发事件应急办公室
成立咸阳市网络与信息安全突发事件应急办公室,设在市工业和信息化管理委员会,其组成:
主任:市工业和信息化委员会主任
副主任:市委组织部、市委宣传部、市应急办、市发改委、市公安局、市保密局、市委机要局、市国家安全局、市文广新局、市财政局、市工业和信息化委员会、市政务信息化办公室分管领导。
成员:市工业和信息化委员会、市公安局、市保密局、市委机要局、市国家安全局、市文广新局、市财政局、市政务信息化工作办公室、中国移动陕西有限公司咸阳分公司、中国电信陕西省咸阳分公司、中国联通有限公司咸阳分公司、陕西广电网络咸阳分公司等有关科室负责人组成。
2.2 职责及任务
(1)市网络与信息安全协调小组承担网络与信息安全方面突发应急事件的主要职责及任务:
①审查批准全市信息与网络安全突发事件应急方案。决定四级突发事件应急预案的启动,督促检查ⅲ级和ⅳ级突发事件处置工作;
②对各县市区政府、市级各部门、各有关单位贯彻执行有关法律法规、制定应急处置预案、应急处置准备情况进行督促检查;
③对各县市区政府、市级各部门、各有关单位在突发事件处置工作中履行职责情况进行督促检查,开展表彰奖励活动;
④向省人民政府、市人民政府、省信息厅等报告突发事件以及应急处置情况;
⑤按照省网络与信息安全协调小组的要求开展处置工作。
(2)市网络与信息安全突发事件应急办公室承担突发应急事件的日常工作。其主要职责及任务:
①组织制定网络与信息安全突发事件应急方案;
②统筹规划建立应急处理技术平台,会同成员单位制定相关应急措施;
③提出启动预案,加强或撤销控制措施的建议和意见;
④协调各县市区、市级各部门、中省驻咸企事业单位及驻咸部队共同做好网络与信息安全突发事件的处置工作;
⑤督促、检查应急措施的落实情况;
⑥配合省通信管理局,协调全市通信、网络等基础设施的安全应急保障工作,确保信息传输通畅。
⑦协调市政务信息办做好电子政务网络应急指挥系统的建设与管理。
⑧负责及时收集、上报和通报应急事件的有关情况,向市政府报告有关工作情况。
市政府应急办:参与协调网络与信息安全突发事件处置工作,负责向上级政府报送信息,同时向下传达有关领导指示。
a.市公安局:负责互联网信息监控及网络运行安全监测,实施互联网信息网络安全报警处置平台建设;负责对网上有害信息传播的处置;负责对影响社会稳定的网上热点问题恶意炒作事件的处置;负责查处打击恶意攻击网站和传播有害网站的责任人;负责对重大敏感时期、重要活动、重要会议期间重点网站发生信息安全事件的处置;负责计算机病毒疫情和大规模网络攻击事件的处置;会同有关部门提出信息网络安全突发事件的具体等级标准。
b.市国家安全局:负责处置利用信息网络危害国家安全的
违法犯罪活动等。
c.市国家保密局:负责组织协调有关部门查处利用计算机网络泄露国家秘密的违法行为。
d.市委机要局:负责加快对全市各县市区、市级各部门、
重要业务系统的密码、密钥管理和推广应用;建立以区域密钥管理为主的ca认证(数字认证)体系, 保证信息安全。
e.市文广新局:负责全市广播电视网络等基础设施的安全应急保障工作,确保信息传输通畅。
f.市财政局:负责建立市网络与信息安全突发事件应急处
置经费保障机制,保证应急处理体系建设和突发事件应急处置所需经费。
g.市政务信息化办公室:负责电子政务网络应急指挥系统的建设与管理。
h.市网络与信息安全专家小组主要负责网络与信息安全技术方面重大问题的咨询和处理。
i.各运营商:负责与公安系统配合检查网络安全工作,负责本系统的安全保障工作。
j.各县市区、市级各有关部门负责各自范围内的网络与信息安全管理和突发事件应急处置工作,应参照本预案, 建立本地区、本部门应急处置机制。
对基础网络设施、重要业务系统坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则。
3、监测、预警与先期处理
3.1 信息监测与报告全市相关职能部门所属主管网络与信息安全的技术机构应加强网络与信息安全监测、分析和跟踪工作。收集、分析判断和持续监测引发网络与信息安全事件的信息来源、影响范围、事件性质和事件发展趋势,及时向省网络与信息安全事件应急办公室做出我市发生或可能发生网络与信息安全事件的报告。
3.2 安全事件预警与先期处置
(1)ⅰ级、ⅱ级网络与信息安全事件预警与处置
对本地区/部门发生或可能发生ⅰ级/(特别严重)、ⅱ级(严重)网络与信息安全事件,事发单位地区应当在事件被发现时立即进入紧急(应急)工作状态,积极组织力量做好安全事件的应急响应工作,研究分析安全策略,制定安全应急解决方案,立即安排隐患排查,并派人24小时轮流值班,搜集有关信息和重要情况,及时做好上报工作。开展安全事件的调查核实工作、保存相关数据及证据,确定事件等级。研究该安全事件产生的原因、危害、机理等,提出启动预案申请等。
(2)特殊重要时期的预警与处置
特殊重要时期,各有关单位按照“ⅲ级/预警”安全事件处理要求和流程做好应急准备;当发生或可能发生“ⅲ级/预警”及以上重大网络与信息安全事件时,按高一级安全事件的处理要求和流程进行各项应急处置。
(3)ⅲ级网络与信息安全事件的预警与处置
对ⅲ级(较重)的网络与信息安全事件,事发单位和地区应当按照有关应急预案处置程序处置,并报市网络与信息安全事件应急办公室备案。
(4)网络与信息安全事件预警发布
根据其可能造成的危害程度、紧急程度和发展态势,预警级别分别用蓝色(一般)、黄色(较重)、橙色(严重)和红色(特别严重)来表示。预警信息应包括事件的类别、可能波及的范围、可能危害程度、可能持续时间、提醒事宜和应采取的措施等。
4、应急处置
4.1 应急响应程序当本地区/部门可能发生或已经发生“ⅲ级/预警”、“ⅱ级/报警”、“ⅰ级/紧急”级别的网络与信息安全事件,事发单位应立即电话报告市网络与信息安全事件应急办公室。市网络与信息安全事件应急办公室接到紧急报告时,立即报告市网络与信息安全协调领导小组并报告省网络与信息安全突发事件应急办公室。报请市网络与信息安全事件领导小组批准,指示事发单位和相关部门是否启动应急预案并进入应急响应程序。
4.2 应急响应
(1)各县市区、市直各部门应当及时作出是否启动本级预案的决定,并报市网络与信息安全突发事件应急办公室备案,或向市网络与信息安全突发事件应急办公室提出启动市级预案的申请。
(2)市网络与信息安全突发事件应急办公室接到申请后,应立即上报市网络与信息安全协调小组的领导,并会同成员单位尽快组织专家对突发事件时间、性质、级别及启动预案的时机进行评估,提出启动预案的意见,报市网络与信息安全协调小组批准。
(3)市网络与信息安全协调小组在作出是否启动市级预案的决定后,立即通知与应急处理相关的各县市区人民政府、市直各部门。
4.3 现场应急处理
发生信息安全突发事件的单位按各县市区、市直各部门作出启动本级预案的决定,或报经市网络与信息安全协调小组批准启动市级预案,须作好现场应急处理。
(1)尽最大可能收集事件相关信息,正确定位威胁和安全事件的来源,缩短响应时间。
(2)检查威胁造成的结果:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,再次侵入的可能性,损失的程度,确定暴露出的主要危险等。
(3)抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录帐号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊防卫状态安全警戒,反击攻击者的系统等。
(4)在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确响应的补救措施并彻底清除。与此同时,对攻击源进行定位并采取合适的措施将其中断。
(5)恢复信息。恢复数据、程序、服务、系统。清理系统,把所有被攻击的系统和网络设备彻底还原到它们正常的任务状态。恢复中涉及机密数据,需要严格遵照机密系统的恢复要求。
4.4 应急结束
(1)发生信息安全突发事件的单位根据信息安全事件的处置进展情况,及时向市应急办、各县市区政府、市直各部门提出终止应急预案建议。
(2)市网络与信息安全突发事件应急办公室、各县市区政府、市直各部门接到终止应急预案建议后,组织相关部门及本级专家对信息安全事件的处置情况进行综合评估,按预案级别做出决定,并报市网络与信息安全协调小组备案。
(3)总结。回顾并整理发生事件的各种相关信息,详细记录所有情况,认真总结经验教训,提出改进措施,逐级上报调查报告。
5、事后工作
5.1 事后处置市网络与信息安全事件应急办公室负责指导事发单位抢修受损的基础设施,提供必要的技术支持,尽快恢复正常工作。当地人民政府及时指导做好相关工作。
5.2 调查和评估
市网络与信息安全事件应急办公室会同当地人民政府,及时组织专家和有关人员对事件造成的损失和影响以及恢复重建能力进行分析评估,研究分析发生的原因和应吸取的经验教训,提出整改措施。
5.3 社会救助
对因网络与信息安全事件造成重大损失的,经专家和有关部门确认,当地人民政府应酌情予以补助。
6、应急保障
(1)推行信息安全等级保护,实行信息安全风险评估。
(2)建立健全指挥调度机制和信息安全通报制度,完善信息安全应急处理协调机制。
(3)建立应急处理技术平台,提高安全事件的发现和分析能力,从技术上实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(4)加强应急通信装备准备,建立备份系统和紧急保障措施,形成跨部门、多手段、多路由,有线和无线相结合、微波和卫星相结合的反应快速、灵活机动、稳定可靠的通信系统。
(5)各重要信息系统在建设时应事先预留出一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。在信息与网络安全突发公共事件发生时,由市网络与信息安全事件应急指挥负责统一调用。
(6)重要信息系统均应建立异地容灾备份系统,保证重要数据在受到破坏后,可紧急恢复。各容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。
(7)加强信息安全人才培养,建设一支高素质、高技术的信息安全核心人才及管理队伍。
(8)加强对攻击网络与信息的分析和预警,进一步提高网络与信息安全监察执法能力,加大对计算机犯罪的打击力度。
(9)大力发展网络与信息安全服务业,增强社会应急支援能力。
(10)提供必要的交通运输保障和经费保障。
(11)明确监督主体的责任,对预案实施的全过程进行监督检查,保障应急措施到位,预案实施有效。
7、监督管理
7.1 宣传教育和培训各有关单位要充分利用各种传播媒介及有效的形式,加强网络与信息安全事件应急处置的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急救援的基本知识,提高公众防范意识和应急处置能力。有关单位要制定相应的教育材料,普及开展信息安全教育,及时向社会和公众公布有关网络与信息安全事件应急处置、报警电话等。
7.2 预案演练
各有关部门、单位每年应当至少组织一次应急演练,模拟处置影响较大的信息安全事件,发现并解决应急工作体系和工作机制存在的问题,检验物资器材的完好情况,提高应急处理能力。领导小组办公室负责应急预案的修订完善。各单位应急响应小组和网络与信息安全专家组成员应针对应急响应工作中遇到的问题,分析应急预案的科学性和合理性,及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后,本预案应进行调整与其保持一致。
7.3 责任与奖惩
各重要信息系统主管部门要认真贯彻落实预案的各项要求与任务,建立分级布置监督检查和奖惩机制,市网络与信息安全事件应急办公室将按预案的规定不定期进行检查,对各项制度、计划、方案、人员、物资等进行实施验证,并以演习的评定结果作为是否有效落实预案的依据。对未有效落实预案各项规定的单位和部门进行通报批评,责令限期改正。
8、附则
8.1 预案管理各县市区、市级有关部门应根据市级预案,制定部门和本行政区域的网络与信息安全应急预案,并报市工信委备案。预案原则上每年评估一次,根据实际情况适时修订。
8.2 本预案由市工业和信息化委员会负责解释。
8.3 预案实施时间
预案自批准之日起执行。
