河北省旅游发展委员会
网络与信息安全事件处置应急预案
为保证我委信息系统安全,加强和完善网络与信息安全应急管理措施,层层落实责任,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保信息系统和网络的通畅运行,结合实际,特制定本应急预案。
一、总则
(一)工作目标
保障信息的合法性、完整性、准确性,保障网络、计算机、相关配套设备设施及系统运行环境的安全,其中重点维护网络系统、网站业务系统、基础数据库服务器的安全。
(二)编制依据
根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《国家网络安全事件应急预案》、《河北省人民政府突发公共事件总体应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神,制定本预案。
(三)基本原则
1、预防为主。根据《计算机信息安全管理规定》的要求,建立、健全旅游委计算机信息安全管理制度,有效预防网络与信息安全事故的发生。
2、分级负责。按照“谁主管谁负责,谁运营谁负责”的原则,建立和完善安全责任制。各部门应积极支持和协助应急处置工作。
3、果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大力量减少损失,尽快恢复网络与系统运行。
(四)适用范围
本应急预案适用于委机关各处室、直属各单位。
二、组织体系
成立河北省旅游发展委员会网络与信息安全领导小组,组长由那书晨主任担任,副组长由副主任翟玉虎、赵学锋、张胜利、王荣丽同志担任,小组成员由各处室处长及委直属事业单位负责人组成。网络与信息安全应急领导小组下设办公室,办公室主任公共服务处处长杨军同志担任。
主要职责:
1、负责和处理网络与安全信息事件应急的处置的日常工作,检查督促应急领导小组决定事项的落实;
2、负责委网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况;
3、指导全委应对网络与信息安全突发事件的预演、宣传培训、保障体系建设。
三、预防预警
(一)信息监测与报告
1、按照“早发现、早报告、早处置”的原则,加强对委机关各处室、直属各单位相关的信息收集、分析判断和持续监测。当发生网络与信息安全突发事件时,按照规定及时向应急处置领导小组报告,初次报告最迟不得超过1小时,重大和特别重大的网络与信息安全突发事件实行态势进程报告和日报告制度。报告内容包括:信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2、建立网络与信息安全报告制度
发现下列情况时应及时向应急处置领导小组报告:
(1)利用网络从事违法犯罪活动的情况;
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪,应用服务中断或数据篡改,丢失等情况;
(3)有网络恐怖活动嫌疑的情况和预警信息;
(4)其他影响网络与信息安全的信息。
(二)预警处理与发布
1、对于可能发生或已经发生的网络与信息安全突发事件,立即采取措施控制事态,并向应急处置领导小组汇报情况。
2、应急处置领导小组接到报告后,迅速召开领导小组会议,研究确定网络与信息安全突发事件的等级,根据具体情况启动相应的应急预案,并向相关部门进行汇报。
四、应急预案
(一)网站、网页出现非法言论时的应急预案
1、网站、网页由负责网站维护的运维人员随时监控信息内容。
2、发现在网上出现非法信息时,网站运维人员立即向信息安全应急处置领导小组报告情况,并作好记录。清理非法信息,采取必要的安全防范措施,将网站、网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。
3、网站运维人员应妥善保存有关记录、日志或审计记录,将有关情况向安全领导小组汇报,并及时追查非法信息来源。
4、事态严重的,立即向信息安全领导组组长报告,并向相关部门进行汇报。
(二)黑客攻击或软件系统遭破坏性攻击时的应急预案
1、重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份,并将它们保存于安全处。
2、当运维人员通过入侵监测系统发现有黑客正在进行攻击时,应立即向委信息安全领导小组日常应急办公室报告。软件遭破坏性攻击(包括严重病毒)时要将系统停止运行。
3、运维人员首先要将被攻击(或病毒感染)的服务器等设备从网络中隔离出来,保护现场,并同时向信息安全领导小组报告情况。
4、应急处置办公室负责指导、恢复与重建被攻击或被破坏的系统,恢复系统数据,并及时追查非法信息来源。
5、事态严重的,立即向信息安全领导小组组长报告,并向相关部门进行汇报、备案。
(三)数据库发生故障时的应急预案
1、主要数据库系统应定期定时进行数据库备份。
2、发生数据库崩溃,运维人员应立即进行数据及系统修复,修复困难的,可向第三方运维公司求助,以取得相应的技术支持。
3、在此情况下无法修复的,应向信息安全领导小组报告,在征得许可的情况下,可立即向软硬件提供商请求支援。
4、在取得相应技术支援也无法修复时,应及时向信息安全领导小组组长报告,在同意并业务操作可弥补的情况下,由维护人员利用最近备份的数据进行恢复。
(四)设备安全发生故障时的应急预案
1、刀片机、服务器等关键设备损坏后,运维人员应立即向网络与信息安全应急处置领导小组办公室报告情况。
2、日常应急办公室网络安全岗负责人员立即查明原因。
3、如果能够自行恢复,应立即用备件替换受损设备。
4、如不能自行恢复,应立即与设备提供商联系,请求派维护人员前来维修。
5、如果设备一时不能修复,应向信息安全领导小组汇报,并通知各处室,暂缓上传上报数据,直到故障排除设备恢复正常使用。
(五)内部局域网故障中断时的应急预案
1、机关网络信息安全维护人员日常应准备好网络备用设备,并存放在指定的位置。
2、发生局域网中断,网络安全责任人员应立即判断故障节点,查明故障原因,并向领导小组汇报。如属线路故障,应重新安装线路;如属路由器、交换机等网络设备故障,应立即取出备用设备,并及时安装调试通畅。
(六)广域网外部线路中断时的应急预案
1、广域网线路中断后,运维人员应立即向信息安全领导小组办公室报告情况。
2、应急办公室责任人员接到报告后,应迅速安排维护人员判断故障节点,查明故障原因,如属可即时恢复范围,应立即予以恢复;如属电信运营商管辖范围,应立即与电信运营商的维护部门联系,要求尽快修复。
3、如恢复正常预计时间超过两小时, 应立即向信息安全领导小组汇报。经领导同意后,通知暂缓上传上报数据。
(七)外部电中断后的应急预案
发生电力中断时,应及时通知系统运维人员采取措施。并应做出如下安排:
(1)预计停电2小时以内,由UPS供电;
(2)预计停电2-4小时,关掉非关键设备,确保各主机、路由器、交换机供电;
(3)预计停电超过4小时,白天工作时间关键设备运行,晚上所有设备停机。
(八)机房发生火灾时的应急预案
1、机房发生火灾,应遵循下列原则:
(1)保证人员安全;
(2)保证关键设备、数据安全;
(3)保证一般设备安全。
2、人员灭火和疏散的程序是:值班人员应首先切断所有电源,同时通过119电话报警。值班人员戴好防毒面具,从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
五、应急响应
(一)先期处置
当发生网络与信息安全突发事件时,值班人员应做好先期应急处置工作,立即采取措施控制事态,同时向委网络安全应急办报告。网络安全应急办在接到网络与信息安全突发事件发生或可能发生的信息后,应立即向主要领导汇报,并加强与有关方面的联系,并做好启动应急预案的各项准备工作。
1、应急指挥
预案启动后,应抓紧收集相关信息,掌握现场处置工作状态,分析事件发展态势,研究提出应对方案,统一指挥网络与信息应急处置工作。
2、应急支援
预案启动后,委网络安全应急处置领导小组应根据事态的发展和工作需要,督促、指导和协调应急处置工作,并及时调动必需的物资、设备,进行支援。
3、信息处理
对发生的网络安全事件进行动态监测、评估,将事件的性质、危害程度和损失情况及处置工作等情况,及时上报,不得隐瞒、缓报、谎报。
4、应急结束
网络与信息安全突发事件经应急处置后,由事发单位向应急领导小组提出应急结束的建议,经批准后实施。
(二)后期处置
1、善后处理
在应急处置工作结束后,要迅速采取措施,组织抢修受损的基础设施,减少损失,尽快恢复正常工作。
2、调查评估
应急处置工作结束后,委应急处置领导小组办公室应组织有关人员和专家,对事件发生及其处置进行调查,总结经验教训,写出调查评估报告。
六、保障措施
(一)数据保障
重要应用信息均应建立备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
(二)应急队伍保障
按照一专多能的要求建立网络信息安全应急处置保障队伍。
七、监督管理
(一)宣传教育
要充分利用各种传播媒介及有效的形式,加强网络与信息安全突发公共事件应急和处置的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急救援的基本知识,提高公众防范意识和应急处置能力。要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作。并将网络与信息安全突发事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
(二)责任与奖惩
机关各部门、直属各单位都要认真落实本预案的各项要求,建立监督检查机制。
八、本预案自印发之日起实施。
冀公网安备 13010802000861号