根据《中华人民共和国突发事件应对法》《国家网络与信息安全事件应急预案》《福建省网络与信息安全事件应急预案》等法律规定和《福建省机关管理局关于印发网络与信息安全事件应急预案(试行)的通知》文件精神,进一步健全中心网络与信息安全事件应急工作机制,提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害,结合中心实际制定本预案。
一、工作重点和事件分类
(一)应急工作重点及适用范围
1.发生在中心范围内Ⅳ级(一般)网络与信息安全事件的预防和处置。
2.省预防和处置Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)网络与信息安全事件中,涉及中心责任的应急响应。
(二)网络与信息安全事件分级
1.特别重大网路与信息安全事件(Ⅰ级)
(1)重要信息系统遭受特别严重的系统损失,丧失业务处理能力,中断运行2小时以上,影响人数100万以上。
(2)信息系统中的重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成特别严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
2.重大网络与信息安全事件(Ⅱ级)
(1)重要信息系统遭受严重的系统损失,业务处理能力受到极大影响,中断运行30分钟以上、影响人数10万人以上。
(2)信息系统中的重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
3.较大网络与信息安全事件(Ⅲ级)
(1)重要信息系统遭受较大的系统损失,明显影响系统效率,中断运行造成较严重影响的。
(2)信息系统中的重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
(3)通过网络传播反动信息、煽动性信息、涉密信息、谣言等,对国家安全和社会稳定构成较严重危害的事件。
(4)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
4.除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件,为一般网络与信息安全事件(Ⅳ级)。
二、组织机构和工作机制
(一)组织机构
中心网络与信息安全事件应急指挥组
组长:郑涵良
副组长:许斌、胡岩辉、邵山、张慧钦
成员:杨为疆、李夏芸、黄秀华、程芳、陈华俊、许晓青、郭向荣、郑凡
应急指挥组下设应急管理办公室设在中心综合办公室,联络人:郑凡
(二)工作机制
坚持统一指挥、分级负责、快速反应、科学处置,各互联网访问平台(中心网站、一卡通平台、畅捷通t+、金网际国资管理平台、英才软件等其他与中心业务相关的平台)由各主管部门负责日常网络信息安全管理工作,加强对各类突发网络信息安全事件和可能引发突发事件的有关信息的收集、分析判断和持续监测,共同做好预防和应急处置工作。
1. 中心应急指挥组负责中心Ⅳ级(一般)网络与信息安全事件应急工作的指挥、协调和上报,作出应对处置网络与信息安全事件的决策,采取相应措施并及时上报局应急指挥组。
2.中心应急指挥组根据局应急指挥组的处置决策配合处置Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)及部分Ⅳ级(一般)网络与信息安全事件。
(三)工作流程
三、预防预警
(一)预防管理
中心各平台主管部门加强网络与信息安全事件的日常预防工作,健全通报机制,采取有效措施,减少和避免网络与信息安全事件的发生及危害,重点做好网络安全检查、容灾备份和隐患排查。
1.强化监测,主动防御。强化网络和信息安全防护意识,加强日常安全检测,积极主动防御,做到安全风险早发现。中心各部门及下属单位涉及网站、平台登录录入设备定期进行杀毒自检,做到不登陆非工作相关的网站进行浏览;不下载非官方网站提供的软件、压缩包等可运行程序;不随意安装各类辅助软件;不使用U盘、移动硬盘等移动设备进行数据的传输。
2.明确分工,落实责任。加强网络和信息安全组织体系建设,明确网络安全应急工作权责,健全安全信息通报机制,做到安全风险早通报。确定专人负责主办系统的日常操作,使用专属计算机进行各类系统的登录录入,保证使用数据及操作设备的安全性。出现安全事件时,应第一时间报中心网络与信息安全事件应急指挥组处置。由于个人操作不当导致安全事件发生的,视情节给予惩处。
3.快速响应,有效处置。加强日常监管和运维,强化人力、物资、技术等基础资源储备,增强应急响应能力,做到安全问题早处置。各部门确定专人定期对服务器等数据存储设备安全日志进行核查,发现异常访问操作等行为及时报中心网络与信息安全事件应急指挥组或相关平台运维服务供应商进行相关处置。设备应定期进行软、硬件升级维护,并定期作好数据优化及备份。由综合办公室不定期进行网络信息安全业务培训,增强安全防范意识,提高相关业务能力。
(二)监测预警
中心综合办公室及使用重要信息系统的有关部门共同承担中心网络与信息安全检测预警工作,加强日常预警和监测,必要时启动应急预案。重要的安全事件监测预警必须在1小时内报中心应急指挥组,由应急指挥组进行分析、研判,根据问题的性质、危害程度,提出安全预警级别建议。Ⅳ级(一般)迅速组织技术力量,及时消除影响,并将处置情况和结果报局应急管理办公室;Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)报局应急管理办公室,在局应急指挥组指挥下,由中心应急指挥组配合实施应急处置。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、采取的措施和时限要求、发布单位等。
四、应急处置
(一)信息报告
发生网络与信息安全事件时,应立即向中心应急指挥组报告情况,同时注意保存证据。指挥组研判事件危害等级,发生Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)网络与信息安全事件,中心应急指挥组第一时间上报局应急管理办公室。Ⅳ级(一般)网络与信息安全事件,中心应急指挥组1小时内上报局应急管理办公室(网络与信息系统发生异常情况报告表见附件1)。
(二)应急响应
Ⅳ级(一般)网络与信息安全事件发生后,中心应急指挥组根据实际情况启动应急预案,及时组织相关部门人员开展应对处置工作;Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)网络与信息安全事件的应急处置工作应在局应急指挥组指挥下,由中心应急指挥组配合工作。
1.启动指挥体系
中心应急指挥组及有关部门进入应急状态,针对应急处置工作统一指挥调度,指挥组各成员保持24小时联络畅通;有关部门在中心应急指挥组的统一指挥下,负责应急处置具体工作,实行24小时值班。
2.掌握事件动态
事件发生的部门应及时将事态发展变化情况、处置进展、信息系统是否受影响等报中心应急指挥组,重大事项及时报局应急管理办公室。
3.决策部署
中心应急指挥组组织应急技术支撑队伍(包含运维服务商提供的技术人员)、相关部门开展应急处置工作;无法自行处置时向局应急指挥组请求技术支持。
4.处置实施
安全事件发生后,中心应急指挥组组织应急技术支撑队伍采取技术措施,尽快控制事态,防止蔓延。有关部门根据事件发生原因,有针对性地采取措施,尽快恢复系统正常运行。事发部门在应急保障过程中应尽量保留相关证据,情节严重时向局应急管理办公室报备,并配合有关部门开展调查工作。
(三)应急结束
Ⅳ级(一般)网络与信息安全事件应急响应的结束由中心应急指挥组提出建议,报局应急指挥组批准后实施;Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)网络与信息安全事件应急响应的结束由局应急指挥组批准后实施。
五、后期处置
1.Ⅳ级(一般)网络与信息安全事件由中心应急指挥组提出处理意见和整改措施。调查处理和总结评估原则上在应急响应结束后30天内完成。Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)网络与信息安全事件由中心应急指挥组按照局应急指挥组要求完成调查处理和总结评估(网络与信息安全事件处置报告表见附件2)。
2.中心应急指挥组和事发部门根据各自职责及时采取有效舆情管控措施,必要时向局应急指挥组请求技术支持。杜绝网络与信息安全事件引发的不良网络舆论在即时通讯工具、电子邮件、社交媒体等平台传播。
3.突发网络信息安全事件应急处置完成后,工作重点应转入善后行动,争取在最短时间内恢复正常秩序。要认真做好受破坏网络软硬件系统的修复工作或者清除事件造成的后遗症,并对突发事件反映出的网络信息安全隐患问题和整改意见及时进行整改。