网络安全事件应急预案.pdf

《网络安全事件应急预案.pdf》由会员分享，可在线阅读，更多相关《网络安全事件应急预案.pdf（12页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、XX 局运维服务应急预案1 1/1212第一章第一章.总总则则（一）编制目的（一）编制目的为提高北京市 XXX 局处置网络安全突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保网络系统的实体安全、运行安全和数据安全，最大限度地减轻网络安全突发事件造成的危害，保障北京市 XXX 局网络系统的良好运转。（二）编制依据（二）编制依据中华人民共和国计算机信息系统安全保护条例计算机病毒防治管理办法计算机信息系统国际联网保密管理规定计算机信息网络国际联网安全保护管理办法中华人民共和国计算机信息系统安全保护条例北京市突发公共事件总体应急预案北京市公共服务网络与信息系统安全管理规定北京市突发公共事件

2、总体应急预案（三）适用范围（三）适用范围本预案所指的网络系统包括北京市 XXX 局的机房附属设施、网络设备、主机设备及应用系统等。机房附属设施包括机房空调、UPS、动力电、防水防火设施、监控设施、门禁系统等；网络设备包括路由器、交换机、防火墙等硬件设备及接入线路等；主机设备包括小型机、服务器、存储备份设备等；2 2/1212应用系统包括杀毒系统、DNS 服务系统、FTP 服务系统、IP 电话系统、视频电话系统及视频会议系统等。（四）分类分级（四）分类分级本预案所指的网络安全突发事件，是指网络系统遭受到破坏、损毁、故障，发生对北京市 XXX 局及社会公众用户无法应用的紧急事件。1 1、事件分类、

3、事件分类根据网络系统安全突发事件的发生过程、性质和特征，网络系统安全事件可以分三类，即自然灾害、事故灾难和人为破坏引起的安全事件。自然灾害是指地震、台风、雷电、火灾、洪水等。事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击等事件。2 2、事件分级、事件分级根据安全事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：级（特别重大）、级（重大）、级（较大）、级（一般）。国家有关法律法规有明确规定的，按国家有关规定执行。（1）级（特别重大）：网络系统故障造成全局性大规模瘫痪，造成特别严重损害、超出控制的安全事件。

4、（2）级（重大）：网络系统故障造成全局性大规模瘫痪，造成严重损害，影响程度较大的安全事件。3 3/1212（3）级（较大）：网络系统故障造成部分网络和应用瘫痪，造成一定损害，仅对部分用户和应用造成影响的安全事件。（4）级（一般）：网络系统故障造成单一应用瘫痪，造成局部影响，只影响单一应用的安全事件。（五）工作原则（五）工作原则积极防御、综合防范；明确责任、分级负责；以人为本、快速反应。第二章第二章.组织体系组织体系（一）网络安全应急领导小组（一）网络安全应急领导小组组长：副组长：、成员：、职责：1、研究制定网络安全应急方案；2、监督和指导网络安全现场维护小组的工作；3、发生安全应急事件时决定启

5、动本预案，组织应急处置工作。（二）网络安全应急维护小组（二）网络安全应急维护小组组长：维护公司项目经理李飞队员：职责：1、负责日常网络维护服务工作；2、负责网络故障监测及预警工作；4 4/12123、在安全事件发生时服从网络安全应急领导小组的指挥，根据应急处置工作的需要，开展相应处置工作及向领导小组进行信息反馈和事件汇报工作；4、处置安全事件时负责协调各相关维护单位进行故障设施的保障、修复和处置工作；（三）网络安全专家小组、技术支持单位（三）网络安全专家小组、技术支持单位成员：专家小组由各维护单位和服务提供商的专业技术工程师组成，包括 UPS 厂商工程师、空调厂商工程师、网络设备厂商工程师、主

6、机设备厂商工程师、网络线路提供商维护工程师等专业人员。职责：1、为日常维护服务提供技术咨询；2、协助维护服务小组参与应急事件的处置；3、协助维护服务小组参与应急事件的事后调查。第三章第三章安全监测与预警安全监测与预警（一）信息安全监测与报告（一）信息安全监测与报告网络安全维护服务分队应按照“早发现、早报告、早处置”的原则，加强对网络安全事件的有关信息的收集、分析判断和持续监测。当发生网络安全事件时，应及时通报网络安全应急领导小组，初次报告不超过 2 个小时，重大或特大的网络安全事件实行实时、动态进程报告和日报告制度。5 5/1212报告的主要内容包括：1、事件的时间、地点；2、事件的报告人；3

7、、事件的现象及初步判断；4、事件的原因；5、事件的影响范围；6、事件的性质；7、事件的发展趋势；8、采取的措施等。（二）预警处理（二）预警处理对需要向相关应用单位发布预警的网络安全事件，由网络安全应急领导小组根据其可能造成的危害程度、紧急程度和发展态势及时发布预警信息；预警信息应包括：1、事件的类别；2、可能涉及的范围；3、可能危害程度；4、可能延续时间；5、提醒事宜；6、应采取的措施等。第四章第四章应急响应应急响应（一）先期处置（一）先期处置6 6/1212当发生网络安全事件时，网络安全维护服务分队应做好先期应急处置工作，立即采取控制措施控制事态，同时向网络安全应急领导小组通报；当领导小组接

8、受到事件发生或可能发生的信息后，应加强与维护服务队伍及相关应用单位的联系，根据事件发展态势，视情况决定赴现场指导，支持维护服务队伍做好应急处置工作。（二）应急指挥（二）应急指挥本预案启动后，网络安全应急领导小组网络安全应急领导小组应迅速启动指挥系统，相关部门按照本预案确定的有关职责立即开展工作；要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，调集和配置应急处置所需的人、财、物等资源，统一指挥应急处置工作；需要成立现场指挥部的，应立即在现场开设指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。（三）应急支援（三）应急支援本预案启动后，网络安全

9、现场维护小组应根据事态的发展和处置工作需要，及时联系专家小组和应急支援单位，调动必要的物资、设备，支援应急工作。（四）信息处理（四）信息处理本预案启动后，网络安全现场维护分队应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况报送网络安全应急领导小组。7 7/1212（五）应急结束（五）应急结束网络安全事件得到处置后，得到有效控制，事态下降到一定程度或基本得到解决，网络安全现场维护小组应及时将情况上报到网络安全应急领导小组并提出应急结束的建议，经网络安全应急领导小组批准后结束应急。第五章第五章后期处置后期处置（一）善后处理（一）善后处理在应急处置结束后，网络安全现场

10、维护分队应迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施，并将善后处置的有关情况通报网络安全应急领导小组。（二）调查评估及经验教训总结（二）调查评估及经验教训总结在应急处置工作结束后，应急领导小组应立即组织有关人员和专家组成事件调查组，在现场维护小组的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告并存档，并根据奖惩制度的有关规定，对有关责任人员做出处理。第六章第六章保障措施保障措施（一）通信与信息

11、保障（一）通信与信息保障应建全网络安全应急处置通讯录，确保能及时与各维护单位和相关专家进行联系，保障应急维护工作的顺利进行。（二）应急装备保障（二）应急装备保障8 8/1212网络系统应事先预留相应的资源到北京市 XX 局重要业务系统的应急设备和设施，建立网络系统硬件、软件、应急救援设备等应急物资库，在发生安全事件时，由领导小组负责统一调用。（三）数据保障（三）数据保障重要信息系统均应建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。（四）应急队伍保障（四）应急队伍保障网络安全现场维护小组应做好自身的建设并时刻做好应急维护的准备工作，保持通讯顺畅，一旦发生安全事件立即投入应

12、急处置工作。第七章第七章监督管理监督管理（一）宣传教育（一）宣传教育领导小组应协调现场维护小组及相关维护单位、专家配合做好网络安全等方面的知识培训，提高各应用单位操作人员的防范意识及技能，并充分利用各种传播媒介及有效的形式，加强网络安全事件应急和处置的相关内容的宣传。（二）演练（二）演练建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。（三）责任与奖惩（三）责任与奖惩各相关维护和使用单位要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。应急领导小组将不定9 9/1212期进行检查，对各项制度、计划、方案、人员、物资等进行实地

13、验证，并以演练的评定结果作为是否有效落实预案的依据。对未有效落实预案各项规定的单位和部门进行通报批评，责令限期改正。第八章第八章附附则则（一）预案的制定（一）预案的制定本预案由北京市 XXX 局信息办制定。（二）解释部门（二）解释部门本预案由北京市 XXX 局信息办负责解释。（三）实施时间（三）实施时间本预案自印发之日起实施。（四）附件（四）附件附件一：网络安全应急响应流程图附件二、信息安全事件报告表1010/1212北京市国土资源局海淀分局网络安全应急预案流程图北京市国土资源局海淀分局网络安全应急预案流程图安全监测阶段开始安全应急现场维护小组发现安全事件汇报安全应急维护领导小组成员汇报安全应

14、急维护领导小组组长先期处置阶段协调工作安全应急现场维护小组进行安全事件处置应急指挥是否解决是否应急支援阶段安全应急现场维护小组联系维护单位技术专家进行应急支援协调汇报安全应急维护领导小组协调相关维护单位应急结束阶段处置完毕汇报安全应急维护领导小组批准应急结束提请结束应急安全应急现场维护小组提请结束应急善后处理后期处置阶段汇报安全应急维护领导小组专家调查组调查评估及经验总结结束1111/1212附件二、信息安全事件报告表报告时间：报告时间：xxxxxxxx 年年 xxxx 月月 xxxx 日日 xxxx 时时 xxxx 分分（注：单位名称处需加盖公章）单位名称单位名称联系电话联系电话传传真真发生

15、重大信发生重大信息安全事件息安全事件的网络与信的网络与信息系统名称息系统名称及用途及用途负责部门负责部门重大信息重大信息安全事件的安全事件的简要描述简要描述以前是否出以前是否出现过类似情现过类似情况？如曾出况？如曾出现过，请对现过，请对有关处理情有关处理情况和结果进况和结果进行简要描述行简要描述初步判定的初步判定的事发原因事发原因报告人报告人通讯地址通讯地址电子邮件电子邮件负责人负责人当前采取的当前采取的应对措施应对措施事件后果事件后果业务中断 系统破坏 数据丢失 其他对本次重对本次重大信息安全大信息安全事件的初步事件的初步定性定性1212/1212影响范围影响范围单台主机 台主机 整个信息系统 整个局域网 严重程度严重程度极严重 很严重 严重 一般 不严重