1、区局政务数据安全事件应急预案- 1 -目录1. 总则31.1. 编制目的31.2. 编制依据31.3. 适用范围31.4. 工作原则42. 事件分级和分类42.1. 事件分级42.2. 事件分类63. 应急处置机构与职责73.1. 应急处置机构73.2. 职责83.2.1. 应急领导小组83.2.2. 各科室工作人员84. 应急响应84.1. 黑客攻击事故应急处置措施84.2. 病毒事故应急处置措施94.3. 政务系统安全事故的应急处置措施94.4. 信息失密、泄密事故应急处置措施94.5. 网络线路突然中断事故应急处置措施94.6. 不可抗拒因素引发的重大、特大事故应急处置措施104.7.
2、事件判定104.8. 预案启动104.9. 应急指挥114.10. 应急处置114.11. 结束响应134.12. 事件调查和报告135. 应急演练135.1. 日常管理145.2. 应急演练145.3. 教育培训146. 附则14141. 总则1.1. 编制目的建立健全区投资促进局(以下简称“区投促局”)政务数据安全事件应急工作机制,提高政务数据安全事件应急处置能力,预防和减少政务数据安全事件造成的损失和危害,保障各政务系统安全稳定运行,根据国家相关法律法规和监管部门有关规定,结合区投促局实际情况,制定本应急预案。1.2. 编制依据中华人民共和国网络安全法、国家网络安全事件应急预案、国家信息
3、化领导小组关于加强信息安全保障工作的意见、信息安全技术网络安全事件分类分级指南(GBZ 20986-2007)、信息安全技术 信息安全应急响应计划规范(GBT 24363-2009)等相关规定。1.3. 适用范围本预案所指政务数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对政务系统或者其中的数据造成危害,对单位、社会造成负面影响的事件,可分为信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。本预案适用于区投促局政务数据安全事件的应对工作,在发生政务数据安全事件时,各科室应参照本预案进行应急处置。1.4. 工作原则坚持统一领导、分级负责;坚持统一指挥、密切协同、快
4、速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好政务数据安全事件的预防和处置工作。2. 事件分级和分类2.1. 事件分级政务数据安全事件分为四级:特别重大数据安全事件(级)、重大数据安全事件(级)、较大数据安全事件(级)、一般数据安全事件(级),级为最高级。(1)特别重大数据安全事件(级)重大事件是指能够导致特别严重影响或破坏的网络安全事件,包括以下情况: 对外提供服务的网站类应用系统,其页面被篡改为反动信息、煽动性信息等造成严重政治影响的; 造成5万条及以上数据泄露; 造成等级保护定级为三级及以上信息系统总量的50%及以上范围处于中
5、断服务状态; 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态; 其他造成特别重大损失或特别重大的不良影响的安全事件。(2)重大网络安全事件(级)重大事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况: 造成5万条以下5千条及以上数据泄露; 造成等级保护定级为三级及以上信息系统总量的20%及以上范围处于中断服务状态; 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态; 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成严重的经济和社会影响; 其他造成重大损失或重大的不良影响的安全事件; 当级网络安全事件12小时内未完成处置,则
6、升级为级网络安全事件。(3)较大网络安全事件(级)较大事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况: 造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态; 造成等级保护定级为二级信息系统总量的50%以上及80%以下范围处于中断服务状态; 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成一般的经济和社会影响; 造成5千条以下50条及以上数据泄露; 其他造成严重损失或严重的不良影响的安全事件; 当网络安全事件24小时内未完成处置,则升级为级网络安全事件。(4)一般网络安全事件(级)一般事件是指能够导致轻微影响或破坏的网络安全事件,包括以
7、下情况: 造成等级保护定级为二级信息系统总量的50%以下范围处于中断服务状态; 造成50条及以下数据泄露; 其他造成一般损失或一般的不良影响的安全事件; 当级网络安全事件48小时内未被完成处置,则升级为级网络安全事件。2.2. 事件分类综合考虑政务数据安全事件的起因、表现、结果等,政务数据安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等5个基本分类,每个基本分类分别包括若干个子类。(1)数据破坏事件数据破坏事件是指通过网络或其他技术手段,造成政务系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、数
8、据窃取事件、数据丢失事件和其它数据破坏事件。(2)信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的网络安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的网络安全事件;组织串连、煽动集会游行的网络安全事件;其他信息内容安全事件。(3)设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件,以及人为的使用非技术手段有意或无意的造成政务系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。(4)灾害性事件灾
9、害性事件是指由于不可抗力对政务系统造成物理破坏而导致的政务数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的政务数据安全事件。(5)其他事件其他事件类别是指不能归为以上基本分类的网络安全事件。3. 应急处置机构与职责3.1. 应急处置机构根据网络安全事件应急工作要求,成立区投资促进局政务数据安全事件应急领导小组(以下简称“应急领导小组”),负责政务数据安全事件应急处置组织、协调和领导工作。应急领导小组组 长:孔奇副组长:林瑶 朱全胜 吕晓园 陈琳 施煜华 张驰挺 蒋琳成 员:祝敏君 傅乐 陈娟娟 严佳 徐萍 陶盛笑 张燕君 陈煜晖 章晓佳 谢璐 陈思 俞哲超 柴甜甜领
10、导小组下设数据安全管理部门,设在局办公室,沈梦萍任兼职数据安全员,负责政务数据安全日常管理工作。3.2. 职责3.2.1. 应急领导小组应急领导小组的主要职责包括:(1) 负责本单位政务数据安全管理工作;(2) 定期召开数据安全领导小组会议,分析可能存在的风险隐患,讨论解决方法;(3) 制定单位政务数据安全管理制度,并监督制度日常落实情况;(4) 组织人员开展应急演练;(5) 判定政务数据安全事件等级,并适时启动应预案处置突发安全事件,根据事件等级和影响及时向网信部门、数据资源管理局和公安机关等网络安全主管部门汇报情况。3.2.2. 各科室工作人员各科室工作人员的主要职责包括:(1) 监测各自
11、负责的政务系统和数据安全状况;(2) 及时上报发现的数据安全事件;(3) 提供应急所需人力、物力等资源保障;(4) 做好秩序维护、安全保障、支援等工作。4. 应急响应4.1. 黑客攻击事故应急处置措施由安全员实施,实施步骤如下:(1) 发生黑客攻击事故时,首先通知安全员;(2) 隔离被攻击电脑;(3) 更改密码,改变安全策略;(4) 清查系统,防止黑客留下后门程序;(5) 及时上报处置情况和处置结果。4.2. 病毒事故应急处置措施由安全员实施,实施步骤如下:(1) 发生病毒事故应首先通知安全员;(2) 安全员首先锁定病毒源或病毒发作区域,是否有防火墙,及时对病毒发作区域进行隔离,防止病毒扩散;
12、(3) 启动查杀病毒系统。4.3. 政务系统安全事故的应急处置措施由政务系统管理员实施,实施步骤如下:(1) 政务系统发生安全事故时,应首先通知该系统管理员;(2) 政务系统管理员应立即通知政务系统服务供应商停止应用系统运行,协调系统开发商研究解决办法。4.4. 信息失密、泄密事故应急处置措施此类事故由办公室负责,实施步骤如下:(1) 发生失密、泄密事故时,首先通知办公室保密员;(2) 保密员暂停涉密计算机及有关设备运行,并立即向单位主要领导报告,同时向相关管理部门报案。4.5. 网络线路突然中断事故应急处置措施由安全员及政务系统管理员共同实施,实施步骤如下:(1) 发生网络中断事故时,首先通
13、知安全员;(2) 安全员判断事故节点,查明故障原因,涉及政务系统中断,由政务系统管理员联系服务供应商,查明故障原因;(3) 启动备用线路或搭建临时线路;(4) 抢修线路。4.6. 不可抗拒因素引发的重大、特大事故应急处置措施不可抗拒因素引发的事故主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力导致的信息安全事故。由安全员及政务系统管理员实施,实施步骤如下:(1) 定期做好数据备份,防止因事故造成政务数据丢失;(2) 及时切断事故区域设备电源,政务系统由系统管理员通知服务供应商做好相关防护工作,防止硬件设施因事故损坏;(3) 在保证人员安全的前提下,及时组织相关人员将硬件设施转移到安全区域
14、。4.7. 事件判定工作人员发现政务数据安全事件时,即刻向应急领导小组报告,说明数据安全事件具体情况。应急领导小组应根据“2.1事件分级”标准研究判定数据安全事件等级。4.8. 预案启动(1)判定为级和级事件的,由应急领导小组组长指示下达应急预案启动指令,同时即刻组织数据安全部门开展应急处置工作。其中,涉及政治类影响事件的,应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门。(2)判定为级和级事件的,由应急领导小组组长或副组长下达应急预案启动指令,数据安全管理部门迅速组织协调相关人员开展应急处置工作,并同时上报数据资源管理部门。4.9. 应急指挥(1)级和级事件,应由应
15、急领导小组组长担任总指挥。应急领导小组负责组织、协调数据安全管理部门做好具体应急处置工作。必要时,由应急领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通,联系协调第三方安全专家作为应急处置技术顾问。(2)级和级事件,由应急领导小组组长或者副组长担任总指挥。数据安全管理部门负责组织、协调,并做好具体应急处置工作。4.10. 应急处置数据安全管理部门在应急处置工作中应通过口头、电话、或书面方式定时向应急领导小组汇报应急处置工作进展情况。依据中华人民共和国网络安全法规定,如遇数据安全事件中涉及犯罪情形的,除做好相应的应急处理外,还应保护好案发现场,同时向公安机关报案。政务
16、数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施:(1)数据破坏事件及时从备份数据中恢复受破坏的最新信息数据;检查恢复后的系统状态是否正常运行;分析信息数据受破坏的原因,人为恶意破坏的应进行追溯,系统故障导致的应分析系统软件故障点,及时联系软件开发商进行修复。(2)信息内容安全事件暂时切断网站对外服务;网站维护人员即刻登录后台,上传换回原始页面;网站、网页由安全监控平台随时密切监视信息内容;保存有关日志审计记录;备份不良信息出现的目录。(3)设备设施故障事件分析、确认故障设备,准确定位设备位置;切换备用设备;联系设备供应商分析设备故障原因,及时进行修理,涉外修理的应清理数据;无法
17、修理的应采购新的设备,保证设备冗余状态。(4)灾害性事件评估灾害性事件对机房、政务系统的影响程度;受灾机房网络及信息系统受破坏不能提供服务的,应及时启动容灾机房业务系统;回收受灾机房的数据处理、存储设施,无法使用的进行彻底数据清理;重建受灾机房。数据安全事件应急处置完毕后,政务系统恢复重建工作由数据安全管理部门会同相关技术人员负责组织制定恢复、整改或重建方案。4.11. 结束响应数据安全事件经应急处置后,事件得以完全解决,政务系统完全恢复正常运行,政务数据恢复完好;或事态影响下降到可接受范围内,政务系统主要功能恢复正常运行,按“谁启动、谁结束”的原则,由数据安全事件应急总指挥下达应急结束指令。
18、4.12. 事件调查和报告数据安全管理部门应对事件进行研究分析和调查处理,查明数据安全事件的性质、原因、经过、危害和影响,提出调查处理建议和今后同类事件的安全防范措施,以防止同类事件再次发生,同时,由数据安全管理部门提出对具体责任人的处罚决定,如涉及违法行为的,应依据法律、法规,应移交相关部门处理。事件调查完成后,应形成数据安全事件调查结果报告。数据安全事件调查和报告程序如下:(1)级和级数据安全事件由应急领导小组副组长组织协调,进行事件调查,将调查结果向应急领导小组组长报告。同时,应急领导小组组长应根据应急领导小组办公会议决议,视情况上报区网信部门、公安部门和数据资源管理部门,报告内容主要包
19、括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。(2)对于级和级数据安全事件由数据安全管理部门组织协调,进行事件调查,将调查结果上报应急领导小组。5. 应急演练5.1. 日常管理数据安全管理部门负责政务数据安全日常管理工作,落实安全防范措施,定期组织网络安全检查、排查安全隐患,根据区网络安全主管部门的安全预警通报,及时发布安全预警信息,切实提高应对政务数据安全事件的能力,降低政务数据安全风险。5.2. 应急演练应急领导小组副组长负责应急演练统筹协调,组织全局定期开展应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练,必要时可邀请区数据资源管理局专业人员指导演练,提高演练的针对性,不断加强人员的应急安全意识和应急响应的熟练程度。5.3. 教育培训应急领导小组应充分重视政务数据安全的教育培训工作,每年定期组织开展相关教育活动,安排相关人员参加网络安全管理部门组织的培训活动。数据安全管理部门应充分利用各种传播媒介及其他有效的宣传形式,充分利用各种手段开展政务数据安全教育工作,提高全局工作人员应对网络安全事件的能力。6. 附则本预案由区投促局数据安全管理部门负责制定、解释和修改,本预案自公布之日起执行。