浙江省单位网络安全安全事件应急预案.doc

浙江省XXX单位网络安全事件应急预案21目录1.总则 176.编制目的 176.编制依据 176.适用范围 176.工作原则 1772.事件分级和分类 177.事件分级 177.事件分类 1793.应急处置机构与职责 180.应急处置机构 180.职责 181应急领导小组 181应急工作小组 181各处室员工 1824.应急响应 182.事件判定 182.预案启动 182.应急指挥 183.应急处置 183.结束响应 185.事件调查和报告 185.应急整体流程 1865.预防工作 187.日常管理 188.宣传和培训 188.应急演练 189.管理和维护 189.重要活动期间的预防措施 1896.保障措施 189.人力保障 190.物质保障 190.技术保障 1907.奖惩措施 1918.附则 191附件1 应急人员名单 192附件2 数据安全事件应急响应结果调查报告 1941. 总则1.1. 编制目的建立健全浙江省xxx单位政务系统数据安全事件应急工作机制，提高网络安全事件应急处置能力，预防和减少网络安全事件造成的损失和危害，保障各政务系统安全稳定运行，根据国家相关法律法规和监管部门有关规定，结合本单位政务系统实际情况，制定本应急预案。

1.2. 编制依据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》（中网办发文〔2017〕4号）、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全技术网络安全事件分类分级指南》（GBZ 20986-2007）、《信息安全技术 信息安全应急响应计划规范》（GBT 24363-2009）等相关规定1.3. 适用范围本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对政务系统或者其中的数据造成危害，对单位、社会造成负面影响的事件，可分为信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件本预案适用于浙江省xxx单位及直属大数据管理服务中心网络安全事件的应对工作，在发生网络安全事件时，各部门应参照本预案进行应急处置1.4. 工作原则坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作2. 事件分级和分类2.1. 事件分级网络安全事件分为四级：特别重大数据安全事件（Ⅰ级）、重大数据安全事件（Ⅱ级）、较大数据安全事件（Ⅲ级）、一般数据安全事件（Ⅳ级），Ⅰ级为最高级。

1）特别重大数据安全事件（Ⅰ级）重大事件是指能够导致特别严重影响或破坏的网络安全事件，包括以下情况：① 对外提供服务的网站类应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的；② 造成5万条及以上数据泄露；③ 造成等级保护定级为三级及以上信息系统总量的50%及以上范围处于中断服务状态；④ 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态；⑤ 其他造成特别重大损失或特别重大的不良影响的安全事件2）重大网络安全事件（Ⅱ级）重大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：① 造成5万条以下5千条及以上数据泄露；② 造成等级保护定级为三级及以上信息系统总量的20%及以上范围处于中断服务状态；③ 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态；④ 对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重的经济和社会影响；⑤ 其他造成重大损失或重大的不良影响的安全事件；⑥ 当Ⅱ级网络安全事件12小时内未完成处置，则升级为Ⅰ级网络安全事件3）较大网络安全事件（Ⅲ级）较大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：① 造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态；② 造成等级保护定级为二级信息系统总量的50%以上及80%以下范围处于中断服务状态；③ 对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成一般的经济和社会影响；④ 造成5千条以下50条及以上数据泄露；⑤ 其他造成严重损失或严重的不良影响的安全事件；⑥ 当Ⅲ网络安全事件24小时内未完成处置，则升级为Ⅱ级网络安全事件。

4）一般网络安全事件（Ⅳ级）一般事件是指能够导致轻微影响或破坏的网络安全事件，包括以下情况：① 造成等级保护定级为二级信息系统总量的50%以下范围处于中断服务状态；② 造成50条及以下数据泄露；③ 其他造成一般损失或一般的不良影响的安全事件；④ 当Ⅳ级网络安全事件48小时内未被完成处置，则升级为Ⅲ级网络安全事件2.2. 事件分类综合考虑网络安全事件的起因、表现、结果等，网络安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等5个基本分类，每个基本分类分别包括若干个子类1）数据破坏事件数据破坏事件是指通过网络或其他技术手段，造成政务系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件包括数据篡改事件、数据假冒事件、数据泄漏事件、数据窃取事件、数据丢失事件和其它数据破坏事件2）信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件包括违反宪法和法律、行政法规的网络安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的网络安全事件；组织串连、煽动集会游行的网络安全事件；其他信息内容安全事件。

3）设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件，以及人为的使用非技术手段有意或无意的造成政务系统破坏而导致的数据安全事件包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障4）灾害性事件灾害性事件是指由于不可抗力对政务系统造成物理破坏而导致的网络安全事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件5）其他事件其他事件类别是指不能归为以上基本分类的网络安全事件3. 应急处置机构与职责3.1. 应急处置机构根据网络安全事件应急工作要求，成立本单位网络安全事件应急领导小组（以下简称“应急领导小组”），负责网络安全事件应急处置组织、协调和领导工作应急领导小组下设网络安全事件应急工作小组（以下简称“应急工作小组”），具体负责网络安全事件应急处置工作3.2. 职责3.2.1. 应急领导小组应急领导小组的主要职责包括：（1） 负责网络安全事件的应急指挥、组织协调和过程控制；（2） 负责研究、决定网络安全事件应急处置决策和应对措施；（3） 负责向单位领导、监管部门和公安机关汇报应急处置进展情况和总结报告；（4） 负责统筹协调，确定相关职能部门应急处理工作职责及具体分工；3.2.2. 应急工作小组应急工作小组的主要职责包括：（1） 定期向应急领导小组汇报网络安全事件状况；（2） 在应急领导小组组织、协调、指导下，开展网络安全事件应急处置工作；（3） 负责对网络安全事件产生的影响和损失进行分析与评估，及时通报评估结果；（4） 负责《网络安全事件应急预案》的制定、修订、落实；（5） 组织、指导、监督单位各部门制定相应的网络安全事件应急预案细则，并定期组织演练；（6） 应急领导小组交办的其他工作。

3.2.3. 各处室员工各处室员工的主要职责包括：（1） 监测各自负责的政务系统和数据安全状况；（2） 及时上报发现的数据安全事件；（3） 提供应急所需人力、物力等资源保障；（4） 做好秩序维护、安全保障、支援等工作4. 应急响应应急应对过程中相关组织、技术力量人员联系方式详见附件14.1. 事件判定员工发现网络安全事件时，即刻向应急工作小组报告，说明数据安全事件具体情况应急工作小组应根据“事件分级”标准研究判定数据安全事件等级4.2. 预案启动（1）判定为Ⅰ级和Ⅱ级事件的，应急工作小组组长应即刻向应急领导小组汇报由应急领导小组组长指示下达应急预案启动指令，同时即刻组织协调应急工作小组开展应急处置工作其中，涉及政治类影响事件的，应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门2）判定为Ⅲ级和Ⅳ级事件的，由应急工作小组组长或副组长下达应急预案启动指令，迅速组织协调相关人员开展应急处置工作，并即刻上报应急领导小组4.3. 应急指挥（1）Ⅰ级和Ⅱ级事件，应由应急领导小组组长或副组长担任总指挥（其中，如发生涉及政治类影响的数据安全事件，原则上应由组长担任总指挥）应急领导小组负责组织、协调应急工作小组做好具体应急处置工作。

必要时，由应急领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通，联系协调第三方安全专家作为应急处置技术顾问2）Ⅲ级事件，由应急工作小组组长担任总指挥应急工作小组负责组织、协调，并做好具体应急处置工作3）Ⅳ级事件，由应急工作小组组长或副组长担任总指挥应急工作小组负责组织、协调，并做好具体应急处置工作4.4. 应急处置应急工作小组在应急处置工作中应通过口头、、或书面方式定时向应急领导小组汇报应急处置工作进展情况Ⅰ级和Ⅱ级事件应由应急处置工作小组组长每2小时向应急领导小组汇报一次；Ⅲ级事件应由应急工作小组副组长每1小时向应急领导小组汇报一次；Ⅳ级事件应由应急工作小组牵头技术人员每小时向对应急领导小组汇报一次依据《中华人民共和国网络安全法》规定，如遇数据安全事件中涉及犯罪情形的，除做好相应的应急处理外，还应保护好案发现场，同时向公安机关报案网络安全事件应急处理过程中根据不同事件类型采取以下应急处理措施：（1）数据破坏事件①及时从备份数据中恢复受破坏的最新信息数据；②检查恢复后的系统状态是否正常运行；③分析信息数据受破坏的原因，人为恶意破坏的应进行追溯，系统故障导致的应分析系统软件故障点，及时联系软件开发商进行修复。

2）信息内容安全事件①暂时切断网站对外服务；②网站维护人员即刻登录后台，上传换回原始页面；③网站、网页由安全监控平台随时密切监视信息内容；④保存有关日志审计记录；⑤备份不良信息出现的目录3）设备设施故障事件①分析、确认故障设备，准确定位设备位置；②切换备用设备；③联系设备供应商分析设备故障原因，及时进行修理，涉外修理的应清理数据；④无法修理的应采购新的设备，保证设备冗余状态4）灾害性事件①评估灾害性事件对机房、政务系统的影响程度；②受灾机房网络及信息系统受破坏不能提供服务的，应及时启动容灾机房业务系统；③回收受灾机房的数据处理、存储设施，无法使用的进行彻底数据清理；④重建受灾机房数据安全事件应急处置完毕后，政务系统恢复重建工作由应急工作小组负责组织制定恢复、整改或重建方案4.5. 结束响应数据安全事件经应急处置后，事件得以完全解决，政务系统完全恢复正常运行，政务数据恢复完好；或事态影响下降到可接受范围内，政务系统主要功能恢复正常运行，按“谁启动、谁结束”的原则，由数据安全事件应急总指挥下达应急结束指令4.6. 事件调查和报告应急工作小组应对事件进行研究分析和调查处理，查明数据安全事件的性质、原因、经过、危害和影响，提出调查处理建议和今后同。