政务数据安全事件应急预案.docx

政务数据平安事件应急预案目录.总那么31. 1.编制目的32.编制依据32. 3.适用范围34.工作原那么41 .事件分级和分类4. 1.事件分级42 .2.事件分类63.应急处置机构与职责73. 1.应急处置机构72.职责81. 2. 1.应急领导小组82. 2.各科室工作人员82. 应急响应8黑客攻击事故应急处置措施82.1. 病毒事故应急处置措施93.政务系统平安事故的应急处置措施94. 4.信息失密、泄密事故应急处置措施95.网络线路突然中断事故应急处置措施9向单位主要领导报告，同时向相关管理部门报案。4. 5.网络线路突然中断事故应急处置措施由平安员及政务系统管理员共同实施，实施步骤如下:（1）发生网络中断事故时，首先通知平安员；（2）平安员判断事故节点，查明故障原因，涉及政务 系统中断，由政务系统管理员联系服务供应商，查明故障原 因；（3）启动备用线路或搭建临时线路；（4）抢修线路。4. 6.不可抗拒因素引发的重大、特大事故应急处置措 施不可抗拒因素引发的事故主要指因地震、台风、雷电、 火灾、水灾等不可预测的自然力导致的信息平安事故。由安 全员及政务系统管理员实施，实施步骤如下：（1）定期做好数据备份，防止因事故造成政务数据丢 失；（2）及时切断事故区域设备电源，政务系统由系统管 理员通知服务供应商做好相关防护工作，防止硬件设施因事 故损坏；（3）在保证人员平安的前提下，及时组织相关人员将 硬件设施转移到安域。4. 7.事件判定-10 -工作人员发现政务数据平安事件时，即刻向应急领导小 组报告，说明数据平安事件具体情况。应急领导小组应根据 “2. 1事件分级”标准研究判定数据平安事件等级。4.8. 预案启动（1）判定为I级和n级事件的，由应急领导小组组长 指示下达应急预案启动指令，同时即刻组织数据平安部门开 展应急处置工作。其中，涉及政治类影响事件的，应按相关 要求同时上报网信部门、数据资源管理部门和公安机关等网 络平安主管部门。（2）判定为ni级和w级事件的，由应急领导小组组长 或副组长下达应急预案启动指令，数据平安管理部门迅速组 织协调相关人员开展应急处置工作，并同时上报数据资源管 理部门。4. 9.应急指挥（1） I级和II级事件，应由应急领导小组组长担任总 指挥。应急领导小组负责组织、协调数据平安管理部门做好 具体应急处置工作。必要时，由应急领导小组出面与网信部 门、公安机关和数据资源管理部门等网络平安主管部门积极 沟通，联系协调第三方平安专家作为应急处置技术顾问。（2） III级和IV级事件，由应急领导小组组长或者副组 长担任总指挥。数据平安管理部门负责组织、协调，并做好 具体应急处置工作。-11 -4. 10.应急处置数据平安管理部门在应急处置工作中应通过口头、 、 或书面方式定时向应急领导小组汇报应急处置工作进展情 况。依据网络平安法规定，如遇数据平安事件中涉及犯 罪情形的，除做好相应的应急处理外，还应保护好案发现场， 同时向公安机关报案。政务数据平安事件应急处理过程中根据不同事件类型 采取以下应急处理措施：（1）数据破坏事件及时从备份数据中恢复受破坏的最新信息数据；检查恢复后的系统状态是否正常运行；分析信息数据受破坏的原因，人为恶意破坏的应进行 追溯，系统故障导致的应分析系统软件故障点，及时联系软 件开发商进行修复。（2）信息内容平安事件暂时切断网站对外服务；网站维护人员即刻登录后台，上传换回原始页面；网站、网页由平安监控平台随时密切监视信息内容；保存有关日志审计记录；备份不良信息出现的目录。（3）设备设施故障事件12 -分析、确认故障设备，准确定位设备位置；切换备用设备；联系设备供应商分析设备故障原因，及时进行修理, 涉外修理的应清理数据；无法修理的应采购新的设备，保证设备冗余状态。（4）灾害性事件评估灾害性事件对机房、政务系统的影响程度；受灾机房网络及信息系统受破坏不能提供服务的，应 及时启动容灾机房业务系统；回收受灾机房的数据处理、存储设施，无法使用的进 行彻底数据清理；重建受灾机房。数据平安事件应急处置完毕后，政务系统恢复重建工作 由数据平安管理部门会同相关技术人员负责组织制定恢复、 整改或重建方案。4. 11.结束响应数据平安事件经应急处置后，事件得以完全解决，政务 系统完全恢复正常运行，政务数据恢复完好；或事态影响下 降到可接受范围内，政务系统主要功能恢复正常运行，按“谁 启动、谁结束”的原那么，由数据平安事件应急总指挥下达应 急结束指令。4.12. 事件调查和报告数据平安管理部门应对事件进行研究分析和调查处理, 查明数据平安事件的性质、原因、经过、危害和影响，提出 调查处理建议和今后同类事件的平安防范措施，以防止同类 事件再次发生，同时，由数据平安管理部门提出对具体责任 人的处分决定，如涉及违法行为的，应依据法律、法规，应 移交相关部门处理。事件调查完成后，应形成数据平安事件 调查结果报告。数据平安事件调查和报告程序如下：（1）I级和n级数据平安事件由应急领导小组副组长 组织协调，进行事件调查，将调查结果向应急领导小组组长 报告。同时，应急领导小组组长应根据应急领导小组办公会 议决议，视情况上报区网信部门、公安和数据资源管理部门， 报告内容主要包括信息来源、影响范围、事件性质、事件发 展趋势和采取的措施等。（2）对于ni级和w级数据平安事件由数据平安管理部 门组织协调，进行事件调查，将调查结果上报应急领导小组。5.应急演练1.日常管理数据平安管理部门负责政务数据平安日常管理工作，落 实平安防范措施，定期组织网络平安检查、排查平安隐患， 根据区网络平安主管部门的平安预警通报，及时发布平安预 警信息，切实提高应对政务数据平安事件的能力，降低政务-14 - 数据平安风险。4.13. 应急演练应急领导小组副组长负责应急演练统筹协调，组织全局 定期开展应急演练，检验和完善预案，提高实战能力，每年 至少组织一次预案演练，必要时可邀请区数据资源管理局专 业人员指导演练，提高演练的针对性，不断加强人员的应急 平安意识和应急响应的熟练程度。5 . 3.教育培训应急领导小组应充分重视政务数据平安的教育培训工 作，每年定期组织开展相关教育活动，安排相关人员参加网 络平安管理部门组织的培训活动。数据平安管理部门应充分利用各种传播媒介及其他有 效的宣传形式，充分利用各种手段开展政务数据平安教育工 作，提高全局工作人员应对网络平安事件的能力。6 .附那么本预案由投促局数据平安管理部门负责制定、解释和修 改，本预案自公布之日起执行。-15 -4. 6.不可抗拒因素引发的重大、特大事故应急处置措 施104. 7.事件判定104.8.预案启动104. 9.应急指挥114. 10.应急处置114. 11.结束响应134. 12.事件调查和报告135.应急演练135. 1.日常管理14应急演练145.2. 教育培训146.附那么141 .总那么1. 1.编制目的建立健全投资促进局（以下简称“投促局”）政务数据 平安事件应急工作机制，提高政务数据平安事件应急处置能 力，预防和减少政务数据平安事件造成的损失和危害，保障 各政务系统平安稳定运行，根据国家相关法律法规和监管部 门有关规定，结合投促局实际情况，制定本应急预案。1. 2.编制依据网络平安法、国家网络平安事件应急预案、国 家信息化领导小组关于加强信息平安保障工作的意见、信 息平安技术网络平安事件分类分级指南(GBZ 20986-2007)、 信息平安技术信息平安应急响应计划规范(GBT 24363-2009)等相关规定。1.3. 适用范围本预案所指政务数据平安事件是指由于人为原因、软硬 件缺陷或故障、自然灾害等，对政务系统或者其中的数据造 成危害，对单位、社会造成负面影响的事件，可分为信息破 坏事件、信息内容平安事件、设备设施故障、灾害性事件和 其他事件。本预案适用于投促局政务数据平安事件的应对工作，在 发生政务数据平安事件时，各科室应参照本预案进行应急处 置。1.4. 工作原那么坚持统一领导、分级负责；坚持统一指挥、密切协同、 快速反响、科学处置；坚持预防为主，预防与应急相结合; 坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共 同做好政务数据平安事件的预防和处置工作。2.事件分级和分类1.事件分级政务数据平安事件分为四级：特别重大数据平安事件 (I级)、重大数据平安事件(II级)、较大数据平安事件（in级）、一般数据平安事件（W级），I级为最高级。（1）特别重大数据平安事件（I级）重大事件是指能够导致特别严重影响或破坏的网络安全事件，包括以下情况：对外提供服务的网站类应用系统，其页面被篡改为 反动信息、煽动性信息等造成严重政治影响的； 造成5万条及以上数据泄露；造成等级保护定级为三级及以上信息系统总量的50% 及以上范围处于中断服务状态；造成等级保护定级为二级信息系统总量的80%以上 范围处于中断服务状态；其他造成特别重大损失或特别重大的不良影响的安 全事件。（2）重大网络平安事件（H级）重大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：造成5万条以下5千条及以上数据泄露；造成等级保护定级为三级及以上信息系统总量的20% 及以上范围处于中断服务状态；造成等级保护定级为二级信息系统总量的80%以上 范围处于中断服务状态； 对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重的经济和社会影响；其他造成重大损失或重大的不良影响的平安事件；当II级网络平安事件12小时内未完成处置，那么升级 为I级网络平安事件。(3)较大网络平安事件(III级)较大事件是指能够导致较大范围影响或破坏的数据安 全事件，包括以下情况：造成等级保护定级为三级及以上信息系统总量的20% 以下范围处于中断服务状态；造成等级保护定级为二级信息系统总量的50%以上 及80%以下范围处于中断服务状态； 对外提供服务的网站类应用系统其页面被篡改，发 布虚假或诈骗等信息并已造成一般的经济和社会影响；造成5千条以下50条及以上数据泄露；其他造成严重损失或严重的不良影响的平安事件；当HI网络平安事件24小时内未完成处置，那么升级为 II级网络平安事件。(4) 一般网络平安事件(IV级)一般事件是指能够导致轻微影响或破坏的网络平安事 件，包括以下情况：造成等级保护定级为二级信息系统总量的50%以下 范围处于中断服务状态；造成50条及以下数据泄露；其他造成一般损失或一般的不良影响的平安事件；当IV级网络平安事件48小时内未被完成处置，那么升 级为ni级网络平安事件。2.2.事件分类综合考虑政务数据平安事件的起因、表现、结果等，政 务数据平安事件可分为数据破坏事件、信息内容平安事件、 设备设施故障、灾害性事件和其他网络平安事件等5个基本 分类，每个基本分类分别包括假设干个子类。(1)数据破坏事件数据破坏事件是指通过网络或其他技术手段，造成政务 系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安 全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、 数据窃取事件、数据丧失事件和其它数据破坏事件。(2)信息内容平安事件信息内容平安事件是指利用信息网络发布、传播危害国 家平安、社会稳定和公共利益的内容的平安事件。包括违反 宪法和法律、行政法规的网络平安事件；针对社会事项进行 讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的 网络平安事件；组织串连、煽动集会游行的网络平安事件; 其他信息内容平安事件。(3)设备设施故障设备设施故障是指由于信息系统自身故障或外围保障 设施故障而导致的数据平安事件，以及人为的使用非技术手 段有意或无意的造成政务系统破坏而导致的数据平安事件。 包括软硬件自身故障、外围保障设施故障、人为破坏事故和 其它设备设施故障。(4)灾害性事件灾害性事件是指由于不可抗力对政务系统造成物理破 坏而导致的政务数据平安事件。包括水灾、台风、地震、雷 击、坍塌、火灾、恐怖袭击、战争等导致的政务数据平安事 件。(5)其他事件其他事件类别是指不能归为以上基本分类的网络平安 事件。3.应急处置机构与职责1.应急处置机构根据网络平安事件应急工作要求，成立投资促进局政务 数据平安事件应急领导小组(以下简称“应急领导小组”)， 负责政务数据平安事件应急处置组织、协调和领导工作。应急领导小组组长：副组长：成员：领导小组下设数据平安管理部门，设在局办公室，XX任 兼职数据平安员，负责政务数据平安日常管理工作。3.2. 职责1.应急领导小组应急领导小组的主要职责包括：（1）负责本单位政务数据平安管理工作；（2）定期召开数据平安领导小组会议，分析可能存在 的风险隐患，讨论解决方法；（3）制定单位政务数据平安管理制度，并监督制度日 常落实情况；（4）组织人员开展应急演练；（5）判定政务数据平安事件等级，并适时启动应预案 处置突发平安事件，根据事件等级和影响及时向网信部门、 数据资源管理局和公安机关等网络平安主管部门汇报情况。3.2.2.各科室工作人员各科室工作人员的主要职责包括：（1）监测各自负责的政务系统和数据平安状况；（2）及时上报发现的数据平安事件；（3）提供应急所需人力、物力等资源保障；（4）做好秩序维护、平安保障、支援等工作。4.应急响应黑客攻击事故应急处置措施由平安员实施，实施步骤如下：(1)发生黑客攻击事故时，首先通知平安员；(2)隔离被攻击电脑；(3)更改密码，改变平安策略；(4)清查系统，防止黑客留下后门程序；(5)及时上报处置情况和处置结果。4.1. 病毒事故应急处置措施由平安员实施，实施步骤如下：(1)发生病毒事故应首先通知平安员；(2)平安员首先锁定病毒源或病毒发作区域，是否有 防火墙，及时对病毒发作区域进行隔离，防止病毒扩散；(3)启动查杀病毒系统。4. 3.政务系统平安事故的应急处置措施由政务系统管理员实施，实施步骤如下：(1)政务系统发生平安事故时，应首先通知该系统管 理员；(2)政务系统管理员应立即通知政务系统服务供应商 停止应用系统运行，协调系统开发商研究解决方法。4. 4.信息失密、泄密事故应急处置措施此类事故由办公室负责，实施步骤如下：(1)发生失密、泄密事故时，首先通知办公室保密员；(2)保密员暂停涉密计算机及有关设备运行，并立即