为建立健全网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,按照国家网络安全事件应急的有关法律法规,制定本预案。
第二条本预案所指网络安全事件是指由于人为、软硬件缺陷或故障、自然灾害等原因,对我局网络和信息系统或者其中数据造成危害,对社会造成不好影响的事件。
第三条坚持统一指挥、密切协同、快速反应、科学处置;坚持以预防为主,预防与应急相结合;坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”等原则,充分调动各方力量,共同做好市审计局网络安全事件的预防与处置工作。
第四条本预案适用于市审计局网络安全事件的应对工作,各区县审计局可参照本预案制定本单位网络安全事件应急预案。
第五条市审计局成立网络安全应急办公室,在局网络安全和信息化领导小组(以下简称领导小组)的领导下开展网络安全应急工作。网络安全应急办公室设在电子数据审计处,电子数据审计处处长为网络安全应急办公室主任。
(二)向领导小组报告网络安全事件应对工作相关情况,重大事项向局党组报告;
第七条网络安全事件分为四级:由高到低划分为特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)4个级别,其中特别重大(Ⅰ级)、重大(Ⅱ级)遵循《国家网络安全事件应急预案》分级标准做分级,较大(Ⅲ级)、一般(Ⅳ级)分级标准由我局按照严重程度、可控性和影响区域等因素确定。
(一)重要网络和信息系统遭受很严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力;
(二)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成很严重威胁;
(三)其他对国家安全、社会秩序、经济建设和公众利益构成很严重威胁、造成特别极度影响的网络安全事件。
(一)重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务解决能力受到极大影响;
(二)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁;
(三)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(二)因中心节点断电、水害、故障失灵等,导致网络中断且5个工作日以内不能回到正常状态使用;
(三)因数据丢失或系统故障,主要信息系统5个工作日以内不能回到正常状态使用;
(一)因中心节点断电、水害、故障失灵等,导致网络中断且1个工作日以内不能回到正常状态使用;
(二)因数据丢失或系统故障,主要信息系统1个工作日以内不能回到正常状态使用;
第十三条按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,电子数据审计处负责局机关网络安全监测工作,办公室负责局门户网站监测工作。
第十四条网络安全事件预警等级遵循《国家网络安全事件应急预案》的分级标准,由高到低依次为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应发生或有几率发生特别重大、重大、较大和一般网络安全事件。
第十五条网络安全应急办公室通过对监测信息进行研判,对需要立即采取防范措施的,立即向领导小组报告,同时组织实施相应预防工作,并结合详细情况发布黄色及以下预警。
对可能出现重大及以上网络安全事件的信息,在报经领导小组同意后,及时向市委网信办报告。
对网络安全主管部门发布的红色预警,应及时转发并指定专人24小时值班,应急工作全部人员保持通信联络畅通,同时组织并且开展应急处置或准备、风险评估和控制工作。
对网络安全主管部门发布的橙色预警,应及时转发并组织并且开展应急响应工作,结合真实的情况及时开展风险评估、应急准备和风险控制工作。
对黄色、蓝色预警,应根据自身的需求转发并对事态的发展进行跟踪研判,同时制定防范措施,协调开展应急处置。
上述工作的有关情况应及时报告领导小组,发现重要情况经领导小组同意后,及时向市委网信办报告。
第十七条网络安全应急办公室应根据真实的情况,报请领导小组审核后,确定是不是解除经网络安全应急办公室发布的黄色、蓝色预警。
发生较大或一般网络安全事件时,有关人员必须在1小时内向网络安全应急办公室主任报告,应急办公室主任在知晓情况后,4小时内向领导小组报告,同时组织并且开展应急处置工作,必要时组织外部技术专家参与。
(1)供电中断后,值班人员应立即告知电力修东西的人,同时记录有关信息,开展原因排查;
(3)如因外部原因,立即与供电单位联系,迅速恢复供电;如告知需长时间停电,应作如下安排:预计停电2小时以内,由UPS供电;预计停电2-4小时,关掉非关键设备;预计停电超过4小时,白天上班时间关键设备正常运行,晚上所有设备停机。
(1)系统管理员应立即记录有关信息,并对故障原因进行排查,如有备用服务器应立即启用;
(3)如属于硬件故障不能恢复的,应注意保存磁盘数据,避免反复重启,并立即与相关厂商联系维修;
(1)网络管理员应立即记录有关信息,迅速判断故障节点,并对故障原因进行排查;
(3)如属路由器、交换机等网络设备故障,应立即启用备用设备,并调试通畅,然后视情况联系设备厂商报修或购买新设备;
4.电信运营线)网络管理员应立即联系电信运营商迅速排查故障节点,查明故障原因;
(3)如预计恢复时间超过两小时,应告知各使用单位暂停使用网络直到网络恢复正常。
(2)如空调重启无效,可先开窗、开门降温,借用普通风扇、小型柜机空调机等设备降温,在尽可能保持网络畅通的情况下关闭非关键设备,同时联系厂家维修空调;
(3)空调正常运行后,开启关闭的设备与服务器,并监视房间温度达到正常要求。
(2)立即通过技术方法阻止网络攻击的进一步升级,必要时可切断网络,将被攻击的服务器等设备从网络中隔离出来。若相关系统遭破坏时,停止系统运行;
(3)追查非法网络攻击来源,必要时可请信息安全机构参与分析研究。查明情况后,经领导小组同意,向市委网信办报告或向市公安部门报警;
(4)针对发现的安全问题,采取对应的安全技术进行防护,避免再次被攻击,及时恢复或重建被攻击或被破坏的系统。
.重要系统被植入木马或间谍程序。(1)抓取能证明被植入木马或间谍程序的界面,注意保存好相关系统日志;
(2)必要时可切断网络,将被植入木马或间谍程序的服务器等设备从网络中隔离出来;
(3)及时清除木马或间谍程序,并追查来源,必要时可请信息安全机构参与分析研究。查明情况后,经领导小组同意,向市委网信办报告或向市公安部门报警;
(4)针对发现的安全问题,采取对应的安全技术进行防护,防止再次被植入木马或间谍程序。
.危害系统运行的病毒暴发。(1)将染毒计算机、服务器从网络上隔离,启用反病毒软件杀毒;
(2)当认为查杀病毒可能对服务器数据造成损害时,应对服务器数据来进行备份;
(3)启用反病毒软件杀毒无效时,立即升级最新版本后查杀,仍无效时,通知反病毒软件公司或有关技术专家,提供病毒样本,寻求支持解决;
(4)清除非法信息,重新加载正确信息,经检查发布无误后,联通互联网,恢复网站访问;
(5)分析追查非法信息源自,必要时可请信息安全机构参与分析研究。查明情况后,经领导小组同意,向市委网信办报告或向市公安部门报警。
.审计管理系统故障。(1)通过查看系统服务运行状况、分析系统运行日志等开展系统故障排查工作;
(2)如属系统配置的问题,保存好系统日志,重新配置,调试至系统正常运行;
(3)如属系统服务停止运行,根据详细情况重启数据库、中间件、应用系统等服务。同时根据日志等信息分析原因,做好系统修复;
(4)不能判断故障原因时,联系应用软件开发集成商、系统软件开发商,提出解决方案。
.机房发生火灾。(1)火灾刚发生时,机房值班人员或身置起火现场的人员使用灭火器等扑救初期火灾,呼喊提醒同事协助,设法电线)火灾不能及时扑灭,火势蔓延迅速,全部人员迅速撤出火灾现场,关闭机房房门,机房值班人员迅速启用机房消防联动系统实施灭火;
(3)火势已无法控制,立即拨打119报警电话,通过专业消防实施扑救。疏散周围人员迅速离开,同时关闭好办公楼其他房间门窗,以减少火灾殃及其他区域的可能性;
(4)火灾扑灭后,协助专业消防部门保护现场,配合调查起火原因,清理现场,尽可能保全设备资产和信息资源;
(1)立即清扫去除积水,加强通风,必要时应当先断电再行处置;(2)需要系统停止运行再行处置的,执行相应的操作;
(3)属于空调排水系统故障造成水害,应立即维修或更换排水系统,必要时联系厂家;
(4)属于自来水造成的水害,应立即通知物业值班室(67518489)或门卫(67519108)关闭水源;
网络安全事件处置完毕后,网络安全应急办公室应向领导小组报告处置情况,对发现的重要情况经领导小组同意后,向市委网信办报告。第二十一条
网络安全事件处置完毕后,网络安全应急办公室应对应急响应工作做多元化的分析和回顾,总结经验并部署采取适当的后续措施。
国家重要活动、会议、节假日等敏感时期,网络安全应急办公室应加强排查网络安全风险隐患,加强网络安全值守。第二十三条
网络安全应急办公室应定期或不定期安排应急演练,及时有效地发现应急工作存在的问题,逐渐完备应急预案,提高应急处置能力。
局门户网站作为局关键信息基础设施,每年应至少开展一次网络安全应急演练,演练方案见附件。
若您当前使用的浏览器为QQ浏览器或者360浏览器仍出现该提示,请切换至极速模式。
蒙公网安备15010202150197号