深圳市XXX信息安全应急响应体系建设.doc

深圳市深圳市 XXXXXX 信息安全应急响应预案信息安全应急响应预案 深圳市深圳市XXX XX 年 XX 月 目目录录 1.1. 总则总则3 1.11.1 目的目的3 1.21.2 现状及其成因现状及其成因.3 2.2. 组织机构及职责组织机构及职责.3 2.12.1 应急指挥机构应急指挥机构 3 3.3. 预警和预防机制预警和预防机制.3 3.13.1 信息监测及报告信息监测及报告 3 3.23.2 预警预警 3 3.33.3 预警支持系统预警支持系统 3 3.43.4 预防机制预防机制 3 4.4. 应急处理程序应急处理程序.3 4.14.1 级别的确定级别的确定 3 4.24.2 预案启动预案启动 3 4.34.3 现场应急处理现场应急处理 3 4.44.4 报告和总结报告和总结 3 4.54.5 应急行动结束应急行动结束 3 5.5. 保障措施保障措施 3 5.15.1 技术支撑保障技术支撑保障 3 5.25.2 应急队伍保障应急队伍保障 3 5.35.3 物质条件保障物质条件保障 3 5.45.4 技术储备保障技术储备保障 3 6.6. 培训和演习培训和演习.3 6.16.1 人员培训人员培训 3 6.26.2 应急演习应急演习 3 7.7. 监督检查与奖惩监督检查与奖惩.3 7.1预案执行监督 .3 7.2奖惩与责任 .3 8.8. 各种突发事件应急预案各种突发事件应急预案3 8.18.1 通信网络故障应急预案通信网络故障应急预案.3 8.1.18.1.1 通信网络日常管理通信网络日常管理.3 8.1.28.1.2 通信网络故障应急预案清单通信网络故障应急预案清单 .3 8.28.2 业务数据故障应急预案业务数据故障应急预案.3 8.2.1 业务业务数据日常管理数据日常管理.3 8.2.2 业务业务数据故障数据故障预预案清案清单单.3 8.38.3 服务器软件故障预案服务器软件故障预案.3 8.48.4 服服务务器硬件故障器硬件故障应应急急预预案案.3 8.4.1 服服务务器硬件日常管理器硬件日常管理.3 8.4.2 服务器硬件故障预案清单.3 8.58.5 网络攻击事件预案网络攻击事件预案.3 8.68.6 病毒爆发应急预案病毒爆发应急预案.3 8.6.1 病毒防病毒防护护日常管理日常管理.3 8.6.2 病毒爆发应急预案清单病毒爆发应急预案清单.3 8.78.7 业务软件故障应急预案业务软件故障应急预案.3 8.7.1 业务软业务软件日常管理件日常管理.3 8.7.2 业务软业务软件故障件故障预预案清案清单单.3 8.88.8 应急演练应急演练 3 8.98.9 通用表格通用表格 3 8.9.1 信息信息安全事安全事件件报报告表告表.3 8.9.2 信息安全事件信息安全事件应应急急处处理理结结果果报报告表告表 3 8.108.10 深圳市深圳市 XXXXXX 信息突发事件处理组织机构信息突发事件处理组织机构.3 第 1 页 深圳市深圳市 XXXXXX 信息系统突发事件应急预案信息系统突发事件应急预案 本预案内容包括总则、组织指挥体系及职责、预警和预 防机制、应急处理程序、保障措施、各种突发事件应急预案 等。

明确规定了深圳市 XXX 在发生网络与信息安全重大突 发事件情况下各部门的相关职能和工作方法，具有一定的宏 观指导性和可操作性，对减少网络与信息安全突发事件，保 障业务系统正常开展起着重要作用 1.1. 总则 1.11.1 目的目的 为科学应对网络与信息安全(以下简称“信息安全”)突发 事件建立健全信息安全应急响应机制，有效预防、及时控制 和最大限度地消除信息安全各类突发事件的危害和影响 1.21.2 现状及其成因现状及其成因 近年来，深圳市 XXX 信息安全工作得到加强但信息 安全保障基础工作和技术保障措施比较薄弱，与信息化快速 发展的要求和日趋严峻的信息安全形势不协调 信息安全突发事件成因可分为两个方面：一是网络与信 息系统自身的脆弱性，主要表现在：安全漏洞的普遍性，攻击 和恶意代码的流行性，入侵检测能力的局限性，网络和系统 管理的复杂性二是网络与信息系统外部体制性的不安全性， 第 2 页 主要表现在：信息安全法制不健全，全社会的信息安全意识 淡薄，深圳市 XXX 信息安全自主可控能力不强，技术防御 整体水平不高，信息安全专业人才缺乏，专业队伍建设严重 滞后 2.2. 组织机构及职责 2.12.1 应急指挥机构应急指挥机构 2.1.1 深圳市深圳市 XXX 信息系信息系统统突突发发事件事件应应急急领导领导小小组组 在深圳市 XXX 党组的统一领导下，设立深圳市 XXX 信息系统突发事件应急领导小组(以下简称“信息突发事件应 急领导小组”)，为深圳市 XXX 处理信息安全突发事件应急 工作的综合性议事、协调机构。

主要职责是：按照国家、广东省、深圳市政府信息安全应 急机构的要求开展预防和处置工作；研究决定深圳市 XXX 信息安全应急工作的有关重大问题；决定 III 级和 IV 级信息 安全突发事件应急预案的启动，组织力量对 III 级和 IV 级突 发事件进行处置；接受深圳市政府信息安全应急机构的统一 领导，组织指挥 II 级和 I 级突发事件的应急处置工作；指导 监督信息安全应急小组的工作；法律、法规、规章规定的其他 职责 第 3 页 信息突发事件应急领导小组，由（最高领导人）作为主任， （分管信息化工作的领导）作为副主任，成员由深圳市 XXX 各部门部长组成 信息突发事件应急领导小组下设应急小组，由信息部部 长任组长，信息部副部长任副组长，信息部其它成员任组员 承担深圳市 XXX 信息安全专项应急领导小组的日常工作， 负责深圳市 XXX 信息安全突发事件日常监测与预警，其主 要职责是： 督促落实上级部门和深圳市 XXX 信息突发事件应急领 导小组做出的决定和措施； 拟订或者组织拟订深圳市 XXX 信息部应对信息安全突 发事件的工作规划和应急预案，报深圳市 XXX 领导小组批 准后组织实施； 督促检查信息安全专项应急预案的制订、修订和执行情 况； 汇总有关信息安全突发事件的各种重要信息，进行综合 分析，并提出建议； 监督检查、协调信息安全突发事件预防、应急准备、应 急处置和事后恢复与重建工作； 组织制订信息安全常识、应急知识的宣传培训计划和应 急救援队伍的业务培训、演练计划，报信息突发事件应急领 导小组批准后督促落实； 第 4 页 组织专家组判定突发事件级别，根据情况提出加强或撤 销控制措施的建议和意见；组织召开部门协调会议，协调各 部门共同做好突发事件处置工作；检查督导突发事件应急措 施的落实情况；及时收集、上报和通报突发事件有关情况，负 责向信息突发事件应急领导小组报告有关工作情况； 2.1.2 信息突信息突发发事件事件应应急急领导领导小小组组各成各成员员部部门门的的职责职责 信息部：统筹规划建设应急处理技术平台，会同其他有 关部门组织制定单位突发事件应急处理政策文件及技术方 案，负责安全事件处理的培训，及时收集、上报和通报突发 事件情况，负责向信息突发事件应急领导小组或中心领导报 告有关工作情况。

相关部门：配合信息部组织制定信息系统突发事件应急 处理政策文件及技术方案及其他各项工作 3.3. 预警和预防机制预警和预防机制 3.13.1 信息监测及报告信息监测及报告 信息部应加强信息安全监测、分析和预警工作，进一步 提高信息安全监察能力建立信息安全事故报告制度 在突发事件发生后，发现人应当立即向深圳市 XXX 信 息突发事件应急小组报告 第 5 页 发现人应当立即对发现的事件进行调查核实、保存相关 证据，并在事件被发现时将证据报至信息突发事件应急小组 3.23.2 预警预警 信息突发事件应急小组接到信息安全突发事件报告后， 应当经初步核实后，将有关情况及时向组长报告，进一步进 行情况综合，研究分析可能造成损害的程度，提出初步行动 对策，并及时报深圳市 XXX 应急领导小组领导小组主任 视情况召集协调会，决策行动方案，发布指示和命令 3.33.3 预警支持系统预警支持系统 深圳市 XXX 信息突发事件应急领导小组应建立和完善 信息监测、传递网络和指挥决策支持系统，要保证资源共享、 运转正常、指挥有力 3.43.4 预防机制预防机制 积极推行信息安全等级保护，逐步实行信息安全风险评 估。

各基础信息网络和重要信息系统建设要充分考虑抗毁性 与灾难恢复，制定并不断完善信息安全应急处理预案针对 基础信息网络的突发性、大规模安全事件，各相关部门建立 制度化、程序化的处理流程 4.4. 应急处理程序应急处理程序 第 6 页 4.14.1 级别的确定级别的确定 信息安全事件分级的参考要素包括信息密级、公众影响、 业务影响和资产损失等四项各参考要素分别说明如下： (1)信息密级是衡量因信息失窃或泄密所造成的信息安 全事件中所涉及信息的重要程度的要素； (2)公众影响是衡量信息安全事件所造成的负面影响范 围和程度的要素； (3)业务影响是衡量信息安全事件对事发单位正常业务 开展所造成的负面影响程度的要素； (4)资产损失是衡量恢复系统正常运行和消除信息安全 事件负面影响所需付出资金代价的要素 信息安全突发事件级别分为四级：一般(IV 级)、较大(III 级)、重大(II 级)和特别重大(I 级)，对应颜色依次为蓝色、黄 色、橙色和红色 一般-IV 级：深圳市 XXX 较小范围出现并可能造成较大 损害的信息安全事件 较大-Ⅲ级：深圳市 XXX 部分网络与信息系统、网站受 到大面积、严重冲击。

重大-II 级：深圳市 XXX 大部分网络、信息系统、网站基 本瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社 会影响或较大经济损失 第 7 页 特别重大-I 级：深圳市 XXX 所有基础网络（包括纵向或 横向延伸）、信息系统、网站严重瘫痪，导致业务中断，造成 或可能造成严重法律纠纷或对政府重大形象工程造成巨大 负面影响的信息安全事件 4.24.2 预案启动预案启动 4.2.1 启动预案的权限发生 IV 级网络信息安全事件后， 信息突发事件应急领导小组负责启动相应预案，信息突发事 件应急小组负责应急处理工作；发生 III 级网络信息安全事 件后，信息突发事件应急领导小组负责启动相应预案，并负 责应急处理工作；发生 I、II 级的信息安全突发事件后，上报 市人民政府及上级主管部门启动相应预案，并由市信息安全 应急指挥部负责应急处理工作 4.2.2 启动预案的流程深圳市 XXX 信息安全应急小组 接到报告后，应当立即上报深圳市 XXX 信息突发事件应急 领导小组有关负责人，并会同相关成员尽快组织专家组对突 发事件性质、级别及启动预案的时机进行评估，向信息突发 事件应急领导小组提出启动预案的建议，报信息突发事件应 急领导小组批准。

4.2.3 启动预案后的应急处理在信息突发事件应急领导 小组作出启动预案决定后，信息突发事件应急小组立即启动 应急处理工作 第 8 页 4.34.3 现场应急处理现场应急处理 现场应急处理工作组应尽最大可能收集事件相关信息， 明确事件类别，确定事件来源，保护证据，以便缩短应急响 应时间 检查威胁造成的结果，评估事件带来的影响和损害：如 检查系统、服务、数据的完整性、保密性或可用性，检查攻击 者是否侵入了系统，以后是否能再次随意进入，损失的程度， 确定暴露出的主要危险等 抑制事件的影响进一步扩大，限制潜在的损失与破坏 根除恶意代码造成的不良影响在事件被抑制之后，通 过对有关恶意代码或行为的分析结果，找出事件根源，明确 相应的补救措施并彻底清除与此同时，执法部门和其他相 关机构将对攻击源进行定位并采取合适的措施将其中断 清理系统、恢复数据、程序、服务把所有被攻破的系统 和网络设备彻底还原到它们正常的任务状态恢复工作应该 十分小心，避免出现误操作导致数据的丢失另外，恢复工 作中如果涉及到机密数据，需要额外遵照机密系统的恢。