1 总则
1.1 编制目的
建立郑州市科技工业学校信息安全突发事件应急工作体系,健全我校对信息安全突发事件的预防、处置、善后等工作机制,提高我校应对网络与信息安全突发事件的能力和水平,预防、减少网络与信息安全突发事件对我局造成的损失和危害。
1.2 编制依据
《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《广东省网络与信息安全事件应急预案》等相关规定。
1.3 工作原则
按照统一指挥、分级负责的原则,遵循“谁主管谁负责、谁运行谁负责”的处理方式,充分协调市信息化主管部门,调动下属单位和签约的信息安全服务公司等各方面的资源,共同做好我校网络与信息安全突发事件的预防和处置工作。
1.4 适用范围
本预案适用于郑州市科技工业学校对信息安全事件的处置。
1.5 分类分级
1.6 事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。
(1)有害程序事件包括:计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。
(2)网络攻击事件包括:拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。
(3)信息破坏事件包括:信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。
(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作、讨论敏感问题,并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障事件包括:软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。
(6)灾害性事件包括:水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。
(7)其他信息安全事件:不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。
1.7 安全事件分级
网络与信息安全事件分为四级:由高到低划分为Ⅰ级(特别重大级)、Ⅱ级(重大级)、Ⅲ级(较大级)、Ⅳ级(一般级)4个级别。
(1)符合下列情形之一的,为Ⅰ级网络与信息安全事件:
①信息系统中断运行2小时以上且影响人数100万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一且未达到Ⅰ级网络与信息安全事件的,为Ⅱ级网络与信息安全事件:
①信息系统中断运行30分钟以上且影响人数10万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
(3)符合下列情形之一且未达到Ⅱ级网络与信息安全事件的,为Ⅲ级网络与信息安全事件:
①信息系统中断运行造成较严重影响的。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
③通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
④其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成威胁、造成的影响和情况较为严重,但未达到Ⅲ级事件标准的网络与信息安全事件为Ⅳ级网络与信息安全事件。
网络与信息安全事件分为四级:由高到低划分为Ⅰ级(特别重大级)、Ⅱ级(重大级)、Ⅲ级(较大级)、Ⅳ级(一般级)4个级别。
(1)符合下列情形之一的,为Ⅰ级网络与信息安全事件:
①信息系统中断运行且影响市民正常访问或对外提供服务。
②信息系统中的数据丢失或被窃取、篡改、假冒,对我市的安全和社会稳定构成严重威胁。
③向公众提供服务的网站出现非法言论,应用系统信息被篡改,特别是向公众提供服务的网站系统被篡改。
④其他对我市社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)符合下列情形之一的,为Ⅱ级网络与信息安全事件:
①信息系统中的数据丢失或被窃取、篡改、假冒,对市、我局的安全和社会稳定构成威胁。
②黑客攻击导致无法正常浏览;向公众提供服务的数据库损坏;网络系统瘫痪;硬件设备损坏;断电导致无法使用。
③其他对我市的秩序、经济建设和公众利益构成严重威胁、影响的网络与信息安全事件。
(3)符合下列情形之一的,为Ⅲ级网络与信息安全事件:
①信息系统中断运行造成全局无法正常办公或访问。
②信息系统中的数据丢失或被窃取、篡改、假冒,对处室构成威胁。
③其他对我市的社会秩序、经济建设和公众利益构成一般威胁或影响的网络与信息安全事件。
(4)除上述情形外,对我市造成较大影响,但未达到Ⅲ级事件标准的网络与信息安全事件为Ⅳ级网络与信息安全事件。
2 组织机构与职责
2.1 指挥机构与职责
郑州市科技工业学校信息中心是网络与信息安全突发事件的指挥中心,负责郑州市科技工业学校网络与信息安全突发事件的应对指挥工作。指挥部由总指挥-校长,副总指挥-主管信息化副校长、现场指挥官-信息中心主任、现场副指挥官-信息中心工作负责同志组成。
2.2 总指挥
总指挥由校长担任,负责突发事件应急的领导工作,对我校网络与信息安全应急工作实施统一指挥。
2.3 副总指挥
副总指挥由主管信息化副校长担任,负责协助总指挥做好应急各项工作,协调单位实施应急工作,或受总指挥委托,指挥应急处置工作。
2.4 现场指挥官
现场指挥官由主管信息化主任担任,履行现场决策、指挥、调度职责,协助总指挥、副总指挥在事件现场指挥我校网络与信息安全应急小组、专家组、各应急专业技术队伍和单位,处置网络与信息安全突发事件。
2.5 现场副指挥官
现场副指挥官由信息中心工作负责同志担任。在发生网络与信息安全突发事件时,协助总指挥或现场指挥官开展各项应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。
2.6 网络与信息安全应急小组
网络与信息安全应急小组成员名单如下:
组长:校长
成员:副校长、李远峰、曹星、姚松茂
安全服务技术支持:曹星、姚松茂
3 监测与预警
3.1 监测
依照国家信息安全等级保护工作要求,重点做好风险漏洞隐患排查、监测预警、信息安全事件报送、信息通报等工作。
3.2 风险漏洞监测
我校依照国家信息安全等级保护工作的相关要求和规定,开展风险评估,定期开展重要基础网络与信息系统检查,了解掌握分管领域内重要基础网络与信息系统的风险现状,加强风险管理,提高重要基础网络与信息系统抗风险能力。
3.3 监测预警系统
我校进行统一部署网站监控和诊断平台,对学校门户网站、公众服务应用系统网站,进行实时监控,如发现无法正常访问、出现错别字等情况时将手机通知值班人员,并短信预警网络与信息安全应急小组人员。
3.4 预警
我校部署的网站监控和诊断平台,在检测发现存在问题时将以短信的方式通知所有预设置接收入员。
4 应急响应
4.1 信息报告
我校全体教职工应根据职责分工,及时收集、分析、汇总所管辖的基础网络与信息系统安全运行情况,发现安全风险及事件信息,及时报告网络与信息安全应急小组。
(1)信息报告内容:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
(2)对暂时无法判明破坏等级的事件,事发部门应立即将简要情况及联系人通过电话、传真等方式上报网络与信息安全应急小组;网络与信息安全应急小组接到事件报告后,立即上报对发生的信息安全事件进行等级确认。
(3)对重要基础网络与信息系统、三级(含)以上基础网络与信息系统、涉密基础网络与信息系统及在敏感期可能演化为Ⅱ级和Ⅰ级网络与信息安全事件的信息,应立即上报,不受时间限制。
4.2 先期处置
发生网络与信息安全突发事件后,网络与信息安全应急小组必须立即实施先期处置,并按照我校制定的相关应急预案,控制事件进一步发展。
(1)控制事态发展,防止破坏蔓延。网络与信息安全应急小组根据本局相关应急预案,采取紧急措施,及时控制事态发展,最大限度防止事件蔓延。
(2)快速判断事件危害。网络与信息安全应急小组尽快进行分析,根据基础网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。
(3)及时上报信息。网络与信息安全应急小组在第一时间开展先期处置的同时,若发现事件严重,应立即上报我校上级单位
(4)事件发生、发展、处置的记录和证据留存。网络与信息安全应急小组在处理过程中,保留相关证据,可采取记录、截屏、备份、录像等手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录;涉及网络犯罪行为的,按照相关法律法规要求,进行电子数据取证,为事件调查、处理提供证据。
(5)保持通信畅通。网络与信息安全应急小组人员应保持手机的畅通。
4.3 快速响应
根据网络与信息安全突发事件的分类分级状况,网络与信息安全突发事件响应等级分为Ⅳ级、Ⅲ级、Ⅱ级和Ⅰ级。发生网络与信息安全突发事件后,按规定进行快速响应。事发处室应按照我校相关的应急预案进行先期处置。若事发处室不能自行处理将突发事件信息、处置进展情况及时报网络与信息安全应急小组。应急小组组织专业技术队伍进行处置工作。
4.4 响应升级
4.5 响应级别升级
(1)突发事件发展蔓延,事态发展得不到控制,超出了我校网络与信息安全应急小组应急处置能力,需要其它单位参与处置时,网络与信息安全应急小组将协调其它专项应急指挥部和相关部门参与处置工作。
4.6 应急结束
网络与信息安全突发事件应急处置工作基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制后,终止应急处置工作。
(1)Ⅳ级响应结束由事发处室提请,报我校网络与应急小组,由主管信息化副校长确认后方可结束。
(2)Ⅲ级响应结束由事发处室提请,报局网络与应急小组,由信息中心确认后方可结束。
(3)Ⅱ级响应结束由局网络与应急小组提请,报我校信息中心主任,由主管信息化校长确认后方可结束。
(4)Ⅰ级响应结束由局网络与应急小组提请,报主管信息化副校长指挥,由校长确认后方可结束。
5 后期处置
5.1 情况汇报和经验总结
网络与信息安全突发事件应急任务结束后,网络与信息安全应急小组、事发科室应做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报,不断改进信息安全突发事件应急管理工作。由事发科室牵头,与网络与信息安全应急小组组成信息事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及财产损失状况等,总结经验教训,并由事发科室起草相关报告,网络与信息安全应急小组负责协助,在10个工作日内报主管信息化校长。
5.2 善后处置
应急处置工作结束后,网络与信息安全应急小组、事发科室要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,要按照规定给予补助或补偿。
5.3 恢复重建
恢复重建工作由网络与信息安全应急小组负责。应急处置工作结束后,按照风险评估结果,迅速组织人员制订基础网络、信息系统的重建和恢复计划,尽快恢复受损基础网络和信息系统,降低对正常工作业务的影响。
5.4 表彰与惩处
网络与信息安全应急小组对在网络与信息安全突发事件应急工作中表现突出的单位和个人给予表彰;对保障不力,瞒报、漏报突发事件,给我校造成严重损失的,予以全局通报;涉嫌犯罪的,依法移送司法机关处理。
6 应急保障
6.1 应急专业技术队伍保障
应当根据实际情况,配备相应的应急力量或引进专业化、社会化网络与信息安全应急专业技术队伍。
6.2 应急物资保障
在建设信息系统时应适当配备必要的信息网络硬件、软件、应急救援设备等应急物资;
专业技术队伍须储备相应的应急基础设备、软件。
6.3 技术资料保障
我校应将应急技术资料,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等,建立技术档案并及时更新,以保证与实际系统的一致性。还应根据需要对信息系统进行风险评估,随时掌握信息系统安全状况和存在的风险。
7 宣传、培训和演练
7.1 宣传
网络与信息安全应急小组应利用各种网络安全周,多举办信息化相关活动,宣传信息安全有关法律、法规、规章,开展网络与信息安全教育,普及信息安全应急处置的基本知识,提高我校师生信息安全防范意识和应急处置能力。
7.2 培训
网络与信息安全应急小组应组织单位开展信息安全应急管理、应急处置等培训,提高各单位信息化管理人员、应急处置人员防范意识及技能。
7.3 演练
网络与信息安全应急小组每年应组织一次网络与信息安全应急演练,模拟处置影响较大的网络与信息安全突发事件,检验预案的可执行性。通过演练,及时发现和改进应急体系和工作机制存在的问题,完善应急预案,提高应急处置能力,检验应急物资的完好情况。
应急演练主要开展以下工作:
(1)网络与信息安全应急小组确定应急响应演练的目标和范围,主要开展重要信息系统的应急演练;
(2)网络与信息安全应急小组调配应急演练所需的各项资源,负责组织单位打完进行应急演练,对应急演练进行评估,并通报应急演练结果,总结经验,分析应急预案的科学性和合理性,针对预案中的问题进行修订完善。
8.1预案制定、发布及解释
本预案由郑州市科技工业学校负责制定、发布及解释。
