1、供电局网络与信息安全应急预案供电局网络与信息安全应急预案预案版本: 编制部门: 颁布日期: 批 准 页预案名称突发事件总体应急预案预案编码版次编制与修订概要完成日期状 态角色人 员编写初审会签审核批准II / 38目 录1总则11.1 编制目的11.2 编制依据11.3 适用范围11.4 处置原则12与其他预案的关系23风险与资源分析23.1风险分析23.2资源分析33.3突发事件分级44应急指挥机构及职责64.1 应急组织设置64.2 应急组织职责65监测与预警65.1 预警分级65.2 风险监测65.3 预警发布与响应76应急响应86.1 响应分级86.2 信息报告96.3 应急处置106
2、.4 应急结束126.5 信息发布127后期处置127.1恢复生产127.2事件调查127.3总结及改进138应急保障138.1应急队伍138.2应急物资与装备138.3通信与信息138.4经费138.5其他149培训和演练149.1应急培训149.2预案演练1410附则1410.1预案备案1410.2维护和更新1410.3制定与解释1410.4实施时间1510.5应急指挥中心会议室1511附件15附件1 突发事件预警发布(调整)单16附件2 预警响应信息快速报告单17附件3 网络与信息安全预警解除单18附件4 应急响应启动流程19附件5 网络与信息安全应急信息快速报告单20附件6 网络与信息
3、安全应急信息报告单21附件7 突发事件应急响应启动(调整)单23附件8 相关人员、单位事件应急联系电话24附件9 、级应急响应流程30附件10 、级应急响应流程31附件11 突发事件应急响应解除单32 供电局网络与信息安全应急预案1 总则1.1 编制目的为了保证云南电网公司供电局(以下简称局)网络与信息系统的安全、稳定运行,保障网络系统、应用系统和数据系统的正常运转,减少管理信息系统网络与信息突发事件造成的损失和影响,建立网络与信息系统紧急情况下有效的应急机制,根据局的实际情况制定本预案。1.2 编制依据下列文件中的条款通过本预案的引用而成为本预案的条款。凡是注日期的引用文件,其随后所有的修改
4、(不包括勘误的内容)或修订版均不适用于本预案,然而,鼓励根据本预案达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件其最新版本适用于本预案。计算机信息系统 安全等级保护划分准则(GB 17859-1999)信息技术 安全技术 信息安全事件管理指南(GB/Z 20985-2007)信息安全技术 信息安全事件分类分级指南(GB/Z 20986-2007) 信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)信息安全技术 信息安全应急响应计划规范(GB/T 243632009)网络与信息安全事件及预警分类分级规范(Q/CSG-118003-2012)中国南方电网有
5、限责任公司应急管理规定(Q/CSG210003-2014)中国南方电网有限责任公司管理信息系统网络与信息安全应急预案(Q/CSG4.10.14-2014-2) 中国南方电网有限责任公司信息安全事件管理办法(Q/CSG218013-2014)云南省网络与信息安全事件应急预案云南电网公司应急指挥平台管理实施细则(Q/CSG-YNPG210002-2014)云南电网公司应急物资与装备管理实施细则(Q/CSG-YNPG210003-2014)云南电网公司应急队伍管理实施细则(Q/CSG-YNPG210004-2014)1.3 适用范围本预案适用于电网管理信息系统网络与信息安全事件达到级及以上应急响应的
6、处置,或局应急指挥中心认为必要时启动本预案。1.4 处置原则(1) 统一指挥,协调配合。在应急指挥机构的统一指挥、调配下,各应急力量快速就位,快速地开展网络与信息安全事件应急处置行动。督促相关部门遵照“统一领导、分级负责、各司其职、协调配合”的原则协同配合,开展应急工作。(2) 分级处置,明晰责任。根据网络与信息安全突发事件的不同等级,实行分级处置,提高突发事件的处置效率。按照中国南方电网公司“谁主管、谁负责,谁运营、谁负责”的要求,在局应急指挥机构统一领导下,局及下属单位负责本单位的网络与信息安全应急响应工作。(3) 快速行动,有序处置。发生网络与信息安全突发事件时,事发单位要按照处置优先、
7、快速反应的机制,及时获取充分而准确的信息,跟踪研判,果断决策,按照相关应急预案进行迅速处置,最大程度地减少危害和影响。(4) 整合资源,形成合力。充分利用现有网络与信息安全应急支援服务设施,整合局内、外部的信息安全应急力量,充分依靠局以及第三方厂商的信息安全应急力量,形成信息安全应急工作合力。(5) 常备不懈,预防为主。坚持应急与预防工作相结合,做好常态下的风险评估、监测预警、物资储备、队伍建设、装备完善、预案修编等工作,加强宣传和培训教育工作,提供应急综合处置能力。2 与其他预案的关系(1)与局级专项应急预案的关系本预案是局级突发事件专项应急预案之一,网络与信息安全事件可能导致设备事故或电力
8、供应中断等情况的发生,根据实际情况相应启动供电局设备事故(事件)应急预案、供电局电力安全事故(事件)应急预案、供电局电力供应应急预案等专项应急预案。(2)与上下级预案的关系本预案应与云南电网公司网络与信息安全应急预案衔接和配合;同时,应按本预案及事故发生单位的网络与信息安全专项应急预案、相关现场处置方案进行联合处置,由本预案指挥、协调下级相关应急预案的应急处置工作。(3)与政府预案的关系本预案配合州人民政府网络与信息安全应急预案的指挥、协调行动。3 风险与资源分析3.1风险分析管理信息系统网络与信息系统存在受到算机病毒、漏洞攻击、扫描窃听以及设备设施故障等风险,因此而引起的信息安全事件可以分为
9、有害程序类、网络攻击类、信息破坏类、信息内容安全类、故障类、灾害类和其它类等七类。1、有害程序类突发事件:指受到有害程序的影响而导致的信息安全突发事件。有害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。 2、网络攻击类突发事件:指通过网络或其它技术手段,利用配置缺陷、协议缺陷、程序缺陷等攻击信息系统,造成信息系统异常或不可用的信息安全突发事件。网络攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。 3、信息破坏类事件:指通过网络或其它技术手段,造成信息系统中的信息被篡改、假冒
10、、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄密的信息安全突发事件。信息破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件等4、信息内容安全类突发事件:指利用网络发布、传播危害国家安全、社会稳定和公共利益等违法内容的信息安全突发事件。信息内容包括违反宪法和法律、行政法规的信息,组织串连、煽动集会游行的信息等。5、故障类突发事件:指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故等。6、灾害类突发事件:指由于不可抗力对网络与信息系统造成物理破坏而导致的信息安
11、全突发事件。灾害类事件包括水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的信息安全突发事件。7、其它类事件:指不能归为以上6类的信息安全突发事件。3.2资源分析1、内部应急力量(1)局及下属单位以信息化及通信专业为主体的应急抢修队伍和专家。(2)局及下属单位从事信息网络、信息安全、业务系统等专家和技术人员。2、外部应急力量(1)软硬件制造商、供应商、系统集成商、技术服务提供商,及信息系统开发和运维等单位。单位应急联系人电话昆明能讯科技有限责任公司系统维护陈华勋四川创立信息科技有限责任公司网络维护田智华上海华讯网络系统有限公司网络维护李泰宁建伟商贸有限公司服务器维护杨建伟云南远信科技有
12、限公司办公自动化系统维护罗辉云南云电同方科技有限公司SOA系统维护刘子俞(2)可利用的其它企事业单位人力和物力资源。3、物资和装备资源(1)局及下属单位备品备件、硬件、软件、网络设备、安全设备及软件、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等,以及事件处理案例、解决方案均可作为应急的物资装备资源。(2)地方政府有关部门、相关厂商可以协调提供的网络与信息安全应急物资和装备。3.3突发事件分级按照管理信息系统网络与信息安全事件的危害程度、影响范围和造成的损失,将网络与信息安全事件分为特别重大事件、重大事件、较大事件和一般事件四个等级。(1)特别重大网络与信息安全事件特别重大网络与
13、信息安全事件指网络与信息安全突发事件造成供电局及县级供电企业网络大面积中断,对供电局及县级供电企业造成巨大经济损失或产生严重不良社会影响的。网络大面积中断:因地区综合数据网中断,造成8个及以上单位不能正常使用一个及以上的关键业务系统,持续时间达12小时以上的;(2)重大网络与信息安全事件重大网络与信息安全事件指网络与信息安全突发事件造成供电局及县级供电企业网络较大面积中断,对供电局及县级供电企业造成重大经济损失或产生较严重不良社会影响的。网络较大面积中断:因地区综合数据网中断,造成6个及以上单位不能正常使用一个及以上的关键业务系统,持续时间达6小时以上的;(3)较大网络与信息安全事件较大网络与
14、信息安全事件指网络与信息安全突发事件造成供电局及县级供电企业网络中断、或二级及以上等保系统瘫痪、或二级及以上等保系统数据毁坏、或经营管理数据泄密,对供电局及县级供电企业造成较大经济损失或产生一定程度不良社会影响的。1)网络中断:因地区综合数据网中断,造成4个及以上单位不能正常使用一个及以上关键业务系统,持续时间超过4小时以上;2)二级等保系统瘫痪:因系统主要功能不可用,造成2个及以上二级等保系统不能正常使用,系统瘫痪时间4个小时以上;3)数据毁坏:二级等保系统数据毁坏后不能恢复的;4)政治敏感信息事件:供电局企业门户网站被篡改或企业邮件系统被不法分子利用,发布或传播了政治敏感信息,造成了一定程
15、度不良政治影响的。(4)一般网络与信息安全事件一般网络与信息安全事件指网络与信息安全突发事件造成供电局及县级供电企业网络中断、或部分二级等保系统数据毁坏,对供电局及县级供电企业造成一定的经济损失。1)网络中断:因地区综合数据网中断而不能正常使用网络,造成各单位1个及以上单位不能正常使用一个及以上关键业务系统,持续时间超过2小时以上;2)二级等保系统瘫痪:因系统主要功能不可用,造成1个及以上二级等保系统不能正常使用,系统瘫痪时间2个小时以上;3)数据毁坏:二级等保系统数据毁坏后只能部分恢复的。级别条件地区综合数据网中断二级等保系统瘫痪关键业务数据毁坏数据泄密受影响的所属各单位范围持续时间影响程度
16、故障范围持续时间特大8个及以上单位12小时以上非常严重重大6个及以上单位6小时以上严重较大4个及以上单位4小时以上较严重2个及以上系统4小时以上不能恢复 发生涉及局秘密的数据泄漏一般至少1个单位2小时以上一定程度1个及以上系统2小时以上部分恢复4 应急指挥机构及职责4.1 应急组织设置、级应急响应启动后,局成立应急指挥中心,并下设应急指挥中心办公室,应急指挥中心设置网络与信息安全应急工作组、后勤保障组和信息组,根据需要在事发单位成立现场协调组;、级应急响应的启动后,局信息中心根据会议决议设置网络与信息安全应急工作组,根据需要在事发单位成立现场协调组。网络与信息安全应急工作组根据需要成立系统恢复
17、组和网络恢复组。局应急指挥中心成员如下所示:应急指挥中心职 务A角B角总指挥局长分管副局长副总指挥(信息、营销)分管副局长生产副局长副总指挥(调度)生产副局长基建副局长成员副总工程师成员信息中心主任成员生产设备管理部主任成员安全监管部主任成员电力调度控制中心主任成员市场营销部住主任成员客户服务中心主任成员计量中心主任应急办公室职务A角B角应急办公室主任副总工程师信息中心主任应急办公室副主任信息中心主任电力调度控制中心主任成员安全监管部主任成员办公室主任成员生产设备管理部副主任成员信息中心副主任成员电力调度控制中心副主任成员市场营销部副主任成员客户服务中心副主任成员计量中心副主任成员变电管理所主
18、任成员信息中心信息安全管理专责成员电力调度控制中心通信专责成员办公室保密专责成员生产设备管理部科技专责成员安全监管部应急兼事故事件专责应急工作组职务姓名小组组长信息中心副主任电力调度控制中心副主任副组长电力调度控制中心副主任信息中心副主任成员汪建宾成员陈天宝成员何花成员林玲(一)网络恢复组小组长陈韶华成员赵世龙成员蒋建伟成员陆燕成员黎尧祥成员初建雄成员朱光瑞成员李雪芳成员麦欣成员赵磊 成员祝青成员高杰(二)系统恢复组小组长邓立武成员李姝文成员刘正友成员杨庚成员李光华成员徐峥宜成员朱惠琼成员李志超后勤保障组职务A角B角组长物流服务中心主任办公室副主任副组长办公室副主任物流服务中心副主任信息组职务
19、A角B角组长办公室主任 政治工作部主任副组长政治工作部主任新闻中心主任4.2 应急组织职责局应急指挥中心、应急指挥中心办公室职责见供电局突发事件总体应急预案相关规定。各专业小组职责如下:1、 网络与信息安全应急工作组职责(1)负责为应急指挥提供辅助决策,落实应急指挥中心决议和部署,组织开展网络与信息安全应急处置。(2)负责及时向应急指挥中心或现场协调组报告事发现场应急状况。(3)负责与相关联动单位的联系。(4)负责网络与信息安全信息通报工作。(5)负责事件的调查处理,编写调查报告,报送应急指挥中心和局信息中心。(6)负责最终消除网络与信息安全事件的影响、恢复网络与信息系统运行。2、网络与信息安
20、全现场协调组职责(1)负责代表应急指挥中心在现场行使应急指挥和指导协调职权。(2)负责及时向应急指挥中心报告事发现场应急动态。(3)负责及时传达应急指挥中心的指示。3、后勤保障组(1)根据现有车辆状况及各应急组的需求,协调调配应急组应急用车。(2)负责应急抢修人员抢险工器具、材料等物资供给配送保障,组织专业队伍做好应急通讯保障。(3)负责安排生活必需品、医药物资、抢险队伍食宿,组织调用、发放安全防护装备,协助物流服务中心处理其他事务。(4)负责应急指挥中心值班人员的后勤保障。(5)负责做好与云南电网公司应急指挥中心下属机构“物资协调组、应急保障组”的对口衔接工作。4、信息组(1)负责每日网络与
21、信息安全事件应急信息的收集、整理、过滤、汇总、传递、上报,发布指挥部指令及信息快报等工作。(2)开展新闻报道宣传工作,负责做好与云南电网公司应急指挥中心下属机构“宣传报道组”的对口衔接工作。(3)做好应急经费的申请和使用管理。5 监测与预警5.1 预警分级按照网络与信息安全可能造成的危害、紧急程度和发展势态,将局网络与信息安全预警分为四级,即红色、橙色、黄色和蓝色。(1)红色预警:当出现上联省公司3条网络通道故障、核心网络设备故障、局域网核心网路链路故障、供电局到县公司通信大面具故障时,导致特别重大网络与信息安全事件即将发生或者发生的可能性很大时,发布红色预警。(2)橙色预警:当出现核心网络设
22、备配置错误、供电局到县公司通信较大面具故障,导致重大网络与信息安全事件即将发生或者发生的可能性很大时,发布橙色预警。(3)黄色预警:当出现核心网络设备配置错误、供电局到县公司通信局部故障、局部网络攻击、服务器汇聚网络设备故障、服务器硬件故障、病毒感染、敏感信息泄露、数据毁坏、拒绝服务攻击时,导致较大网络与信息安全事件即将发生或者发生的可能性很大时,发布黄色预警。(4)蓝色预警:当出现核心网络设备配置错误、供电局到县公司通信局部故障、病毒感染、数据部分毁坏、服务器硬件故障、拒绝服务攻击时,导致一般网络与信息安全事件即将发生或者发生的可能性很大时,发布蓝色预警。5.2 风险监测供电系统各级信息化管
23、理和运维部门负责管理信息大区内的网络与信息安全事件风险监测工作,工作的重点包括:(1)有害程序类事件;(2)网络攻击类事件;(3)信息破坏类事件;(4)信息内容安全类事件;(5)故障类事件;(6)灾害类事件。在风险监测中,各级信息化管理部门应通过多种方式获取预警支持信息,一般包括以下方式:n 信息中心、调度、营销等部门通过风险监测和风险分析获得的数据;n 上级单位向下传达的网络与信息安全事件预警信息;n 各下属单位上报的网络与信息安全事件预警信息;n 地方政府相关部门发布的网络与信息安全事件预警信息等。在获取预警支持信息后,应当及时进行汇总分析,必要组织相关部门、专业技术人员、专家进行会商,对
24、网络与信息安全事件发生的可能性及其可能造成的影响进行评估。5.3 预警发布与响应5.3.1预警信息报告各单位信息化管理部门通过对网络与信息安全事件预警支持信息的分析和评估,认为构成预警的,应立即将预警支持信息的分析和评估结果作为预警信息向局信息中心报送。5.3.2预警发布(1)局信息中心收到预警支持信息后,应当及时进行汇总分析,必要时组织局信息中心人员和相关部门进行会商,综合分析判断,确定预警等级。(2)依据预警支持信息的分析、评估的结果,达到本级单位蓝色、黄色预警级别的,由局信息中心编写发布;达到本级橙色、红色预警级别的由局信息中心编写,报局应急指挥中心批准后统一发布;达不到本级单位预警级别
25、的预警支持信息,由信息中心将预警信息转发可能受影响的单位。(3)发布预警时,应明确预警的级别、响应范围和公开程度(或保密要求),并通过“突发事件预警发布(调整)单”(见附件1)发布预警信息。(4)发布预警后,应通过应急指挥管理信息系统、公文、传真、电话、短信、电子邮件等多种方式,将预警尽快传达到相关部门及人员,如涉及政府部门或涉及民生重要部门的,将预警信息转达到政府相关部门。5.3.3预警响应在网络与信息安全预警发布后,预警响应范围内的单位和部门应针对可能发生的网络与信息安全事件,及时采取有效的防范和应对措施:(1)蓝色、黄色预警蓝色或黄色预警通知发布以后,预警范围内各单位(部门)均应立即进行
26、以下各项:1)应急预案和相关事件处置方案的准备。2)检查信息沟通渠道是否畅通。3)相关部门按专业分工加强对预警风险发展情况的监测和预报。4)预警通知要求的其它工作。(2)橙色预警橙色预警通知发布以后,预警范围内各单位(部门)均应立即进行以下各项:1)应急预案和相关事件处置方案的准备。2)检查信息沟通渠道是否畅通。3)相关部门按专业分工持续关注预警风险发展情况,定期发送风险监测信息。4)非工作时间安排专业技术人员值班。5)预警通知要求的其它工作。(3)红色预警红色预警通知发布以后,预警范围内各单位(部门)均应立即进行以下各项:1)应急预案和相关事件处置方案的准备。2)检查信息沟通渠道是否畅通。3
27、)相关部门按专业分工持续关注预警风险发展情况,定期发送风险监测信息。4)安排应急领导24小时轮流带班、专业技术人员24小时现场值班。5)应急物资及抢险、抢修设备准备。6)抢险、抢修队伍待命。7)预警通知要求的其它工作。(4)预警发布后,预警响应范围内的相关单位应每日18:00前向局信息中心汇报预警响应情况,直至预警解除。预警响应情况使用附件2填写上报。5.3.4预警调整与解除(1)预警调整预警发布后,局信息中心应持续关注网络与信息安全发展趋势,获取预警支持信息进行汇总分析,应根据突发事件的风险变化及时提出预警级别与范围调整相关建议,预警调整需经签发人批准。网络与信息安全预警信息调整使用附件1填
28、写发布。(2)预警解除预警信息发布后在未启动应急响应前预警事件发生风险已经有效控制或全部消除,蓝色、黄色预警由局信息中心解除;对于红色、橙色预警信息,则由局应急指挥中心批准解除。解除预警应发布网络与信息安全预警解除单(附件3)。当满足下列条件之一时,应解除预警:1) 预警事件发生的风险已经全部消除;2) 预警事件发生的风险已经被有效控制;3) 预警响应范围内的单位已经全部解除预警状态。4) 事件已经发生,从预警状态转入应急状态,预警自动解除。6 应急响应6.1 响应分级6.1.1 应急响应分级标准按照管理信息系统网络与信息安全事件的严重程度和范围,本预案将网络与信息安全事件应急响应分为四级,由
29、低到高依次为级响应、级响应、级响应和级响应。响应级别与管理信息系统网络与信息安全事件等级关系如下表所示:特别重大事件重大事件较大事件一般事件局I级II级III级IV级6.1.2 应急响应启动及发布局信息中心分析判断符合应急响应启动条件时,对于级、级响应,由局信息中心向局应急办报告,由应急办组织相关部门会商,确定启动、级响应的,报应急指挥中心总指挥或授权副总指挥批准,启动相应级别响应;对于级、级响应,由局信息中心组织会商后由局信息中心负责人批准启动对应级别的应急响应,并报送局应急办备案,具体流程见附件4。6.1.3 各级应急响应的领导机构和处置主体 (1)启动网络与信息安全、级应急响应后,局应急
30、指挥中心和应急指挥办公室统一协调指挥局属各部门、单位开展应急响应相关处置工作。(2)启动网络与信息安全、级应急响应后,局信息中心协调指挥局属各部门、单位开展应急响应相关处置工作。6.2 信息报告6.2.1应急值班电话(1)局突发事件应急值班(24小时接警)电话:、95598 (2)局应急办公室电话:(3)局信息中心电话:内线:1000;外线:(4)云南电网公司应急值班电话:6.2.2网络与信息安全初始信息报告(1)报告内容管理信息系统网络与信息安全事件初始信息是指在事件刚刚发生时,与事件基本情况有关的信息,一般包括以下内容:l 事件的类型、发生时间、发生地点;l 事件的发生原因、性质、经初步判
31、断的严重程度;l 事件对局业务和用户的影响范围与程度;l 事件发生单位已采取的控制措施;l 事件报告单位、联系人员及联系方式;(2)口头报告事发单位接到报告后,应在30分钟内逐级分别口头报告局信息中心。(3)书面快速报告确定事件等级后,当事件等级达到一般及以上事件时,1小时内填报供电局网络与信息安全事件应急信息快速报告单(见附件5),通过电子邮件、传真等方式向局信息中心上报,局信息中心负责向公司信息部和局应急办报告,每级时限不超过2小时。6.2.3网络与信息安全应急信息报告(1)报告内容管理信息系统网络与信息安全事件应急信息是指在网络与信息安全事件应急响应过程中,与网络与信息安全事件和网络与信
32、息安全事件应急响应有关的数据和信息,一般包括:l 事件最新概况:包括事件当前态势、已经造成的影响情况等。l 应急处置进展情况:包括当前主要应急处置措施、已开展的应急处置行动、已取得的应急成果以及政府部门的参与情况等。l 应急资源调度情况:包括应急人员调动、应急物资调配、应急资源需求等情况。l 下一步应急工作部署:包括应急处置进展情况预估;应急处置行动计划。(2)应急信息汇报1)在网络与信息安全事件、级应急处置过程中,应急办公室负责收集、汇总网络与信息安全事件应急信息。2)在网络与信息安全事件级、级应急处置过程中,信息中心负责收集、汇总网络与信息安全事件应急信息;3),应急响应单位于每日19:0
33、0前上报当日18:00前24小时内应急信息,直到应急结束。网络与信息安全事件应急信息报告的通用格式见附件6。6.2.4应急联系方式相关应急机构、部门、人员的联系方式见附件8。6.3 应急处置6.3.1 事件响应级别达到、级响应时,按照、级应急响应流程进行处置(附件10)。(1)应急指挥。由局信息中心统一指挥处置,局信息中心视具体情况决定是否派驻现场指挥协调和专业技术人员。事发单位应急指挥应迅速到位,并与局信息中心建立沟通渠道。(2)资源调配。事发单位积极组织抢险队伍和力量,必要时向局信息中心提出申请,由局信息中心协调网内外力量给予支援。(3)抢险恢复。事发单位组织抢险恢复工作的实施,局信息中心
34、与事发单位保持通讯联系,收集应急响应信息,对事态发展和影响及时进行分析和评估,视实际情况组织召开会议通报灾情和抢险恢复情况,直至应急结束。(4)应急处置。各相关部门负责网络与信息安全应急处置工作,局信息中心负责综合数据网、局信息中心机房自建系统应急处置;局电力调度中心负责调度OMS系统等调度管辖系统,及通信中断应急处置;局营销部门负责计量四合一系统等营销管辖系统应急处置。(5)应急值班。局信息中心安排人员24小时电话值班,密切监控灾害发展及网络与信息系统运行情况。6.3.2事件响应级别达到、级响应时,按照、级应急响应流程进行处置(附件9)。(1) 局应急办立即根据事件性质提请总指挥召集指挥中心
35、成员、应急办成员、局信息中心及相关专业管理部门人员到位,组织召开应急指挥中心紧急会议,并明确以下内容:l 通报网络与信息安全初始信息;l 商议处置网络与信息安全事件的初步措施; l 按需要成立工作组,如网络恢复组、系统恢复组、后勤保障组、信息组等,明确工作组组成人员及工作职责,落实应急指挥中心决议和部署,组织开展应急处置;(2) 应急办根据会议决议起草指挥令文件,经应急指挥中心总指挥或授权副总指挥批准,发布指挥令,部署应急处置相关工作。(3) 应急指挥。由局应急指挥中心统一指挥、处置,根据实际情况决定是否派驻现场工作组指挥协调应急工作。事发单位应急指挥机构迅速到位,并与应急指挥中心建立沟通渠道
36、。(4) 资源调配。事发单位积极组织专业技术队伍,必要时向应急指挥中心提出申请,由应急办协调网内外力量给予支援。(5) 抢险恢复。事发单位组织抢险恢复工作的实施,应急办负责与事发单位保持通讯联系,收集应急响应信息,对事态发展和影响及时进行分析和评估,按需组织召开会议通报应急响应信息和部署处置工作等,直至应急结束。应急办公室负责抢险恢复相关协调工作,包括技术队伍、备品备件物资的安排及抢修工作协调等,其他部门按照应急指挥机构及职责分工开展工作。(6) 应急处置。各相关部门负责网络与信息安全应急处置工作,局信息中心负责综合数据网、局信息中心机房自建系统应急处置;局电力调度中心负责调度OMS系统等调度
37、管辖系统,及通信中断应急处置;局营销部门负责计量四合一系统等营销管辖系统应急处置。(7) 应急值班。应急指挥中心办公室成员负责值班,履行值守应急、信息汇总和协调职能,实行24小时值班制度。6.4 应急结束6.4.1 、级应急响应结束在应对的网络与信息安全事件已经完成下列工作:受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复,或接收到上级网络与信息安全应急指挥机构的结束级、级应急响应的指令,由局应急办及时结合电网实际提出结束级、级应急响应的建议,由局应急指挥中心决策应急响应的结束。应急响应解除单见附件11。6.4.2 、级应急响应结束在应对的
38、网络与信息安全事件已经完成下列工作:受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复,网络与信息安全事件势态受到有效控制,事发单位已经能够独立应对后,由受灾单位提出建议,局信息中心结合电网实际进行会商,决策级、级应急响应的结束。应急响应解除单见附件11。6.5 信息发布在突发事件响应和处置期间,局办公室负责按规定统一对外发布有关信息、接受新闻媒体采访、组织新闻发布会,并协调、配合新闻媒体做好新闻报道工作。未经允许,任何部门和个人不得对外发布(散布)突发事件信息或发表对突发事件的评论。7 后期处置后期处置系指应急响应结束后,各单位根据各级应急
39、指挥中心或信息中心要求开展的工作,主要包括:7.1恢复生产按照“统筹安排,分级负责,科学规划,快速恢复”的原则,对善后处理、恢复重建工作进行规划和部署,要求相关单位(部门)逐级制定详细可行的工作计划,快速、有效地消除突发事件造成的不利影响,尽快恢复正常生产秩序。7.2事件调查(1)按照云南电网公司及局的事故调查规定,组织事故调查组对网络与信息安全事件进行调查。(2)事故调查组应准确、及时、公正地查清事故的性质、原因和责任,总结经验教训,提出防范措施,并对责任者提出处理意见。7.3总结及改进应急响应结束后,启动应急响应的各有关单位要在48小时内向应急办和信息中心提交应急处置总结报告。在局应急指挥
40、中心组织下,由信息中心具体负责对本预案和应急救援处置过程进行全面地总结、评估,找出不足并明确改进方向,及时对本预案的不足之处予以修订。8 应急保障8.1应急队伍局相关部门、各单位积极组织抢险队伍和力量,在、应急响应期间必要时向应急指挥中心提出申请,由应急指挥中心协调局内外力量给予支援;在、应急响应期间必要时向局信息中心提出申请,由局信息中心协调网内外力量给予支援。8.2应急物资与装备局及下属单位负责组织网络与信息安全应急物资器材和装备,在、应急响应期间必要时向局应急指挥中心汇报,由应急指挥中心协调局内外的物资部门和厂家给予支持;在、应急响应期间必要时向局信息中心汇报,由局信息中心协调网内外的物
41、资部门和厂家给予支持。8.3通信与信息7.3.1应设立网络与信息安全应急24小时值班电话,并做到“三不变”,即电话号码不变、传真号码不变、电子邮件不变。与应急工作相关人员的电话、手机、传真、电子邮件等联系方式应及时更新、及时分发,并保持畅通。 7.3.2通信联络方式主要有系统程控电话、外线电话、手机、传真、电子邮件等,其中手机、电话、传真和电子邮件为主要通信联络方式。与应急工作相关的工作人员联系手机应保持每天24小时开机状态。8.4经费7.4.1 局信息中心负责申报突发网络与信息安全事件应急工作经费,经局应急指挥中心审批后,列入年度预算管理。8.1.2 本预案启动后,应急工作所需资金经局应急指
42、挥中心批准,由局财务部负责提供。8.5其他为了保障网络与信息安全事件应急救援时,能够快速获得地方政府相关部门的支持,局及下属各单位应与地方政府相关部门建立有效的沟通渠道和协作机制。9 培训和演练9.1应急培训(1)由信息中心负责组织与本预案相关的应急培训,培训对象主要为信息中心的工作人员和下属单位信息化管理部门的工作人员。(2)本预案的培训可以采用案例教学、情景模拟、交流研讨、案例分析、应急演练、对策研究等方式进行。(3)本预案的培训重点是网络与信息安全事件应急响应流程、网络与信息安全事件应急信息报送流程和网络与信息安全应急处置的知识和技能。9.2预案演练(1)由信息中心负责制定本预案的年度演
43、练计划,演练计划于年初报局应急办公室。(2)本预案每年至少进行一次演练,由信息中心负责组织;本预案演练的主要内容为应急人员对预案应急流程的熟悉和各应急处置工作组之间的配合。(3)本预案演练结束后,由信息中心负责对演练情况进行评估和总结,针对应急演练中暴露出的问题,制订相应的整改措施,对本预案的不足之处进行修订。10 附则10.1预案备案本预案由局应急办公室报送云南电网公司、州政府相关部门备案。10.2维护和更新局应急办公室牵头负责对本预案每年评审1次,并提出修订意见,局信息中心负责按照修订意见修改和更新本预案。10.3制定与解释本预案由局应急办公室负责组织制定和解释。10.4实施时间本预案自局
44、批准发文之日起实施。10.5应急指挥中心会议室本预案应急响应时应急指挥中心会议室设在局办公大楼12楼会议室。11 附件附件1:突发事件预警发布(调整)单附件2:预警响应信息快速报告单附件3:网络与信息安全预警解除单附件4:应急响应启动流程附件5:网络与信息安全应急信息快速报告单附件6:网络与信息安全应信息报告单附件7:突发事件应急响应启动(调整)单附件8:相关人员、单位事件应急联系电话附件9:、级应急响应流程附件10:、级应急响应流程附件11:突发事件应急响应解除单附件1 突发事件预警发布(调整)单供电局网络与信息安全事件预警发布(调整)单发布单位(部门): 签发人:预警名称发布时间预警编号专项预警名称-F(T)-20XX-YYY预警范围