贵阳海关网络安全事件应急预案.docx

《贵阳海关网络安全事件应急预案.docx》由会员分享，可在线阅读，更多相关《贵阳海关网络安全事件应急预案.docx（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、贵阳海关网络安全事件应急预案1总则1.1 编制目的建立健全贵阳海关网络安全应急工作机制，提高应对网 络安全事件能力，预防和减少网络安全事件对海关业务工作 造成的损失和危害，保障海关正常的执法和办公秩序。1.2 编制依据根据中华人民共和国网络安全法中华人民共和国 海关法中华人民共和国突发事件应对法国家突发公 共事件总体应急预案国家网络安全事件应急预案海 关系统突发事件应急预案，制定本预案。1.3 适用范围本预案所指网络安全事件是指由于人为原因、软硬件缺 陷或故障、自然灾害等，对网络和信息系统或者其中的数据 造成危害，对社会造成负面影响的事件，可分为有害程序事 件、网络攻击事件、信息破坏事件、信息

2、内容安全事件、设 备设施故障事件、灾害性事件和其他事件（详见附件11本预案适用于海关非涉密网络安全事件的应对工作。涉 及国家秘密的网络安全事件的应对工作，由主管部门根据国 家有关要求组织开展。(2)科技处应加强网络安全事件监测和事态发展信息 搜集工作，重要信息及时报告科技司。(3 )应急工作组应立即根据预警信息明确影响范围， 开展网络安全风险评估，根据预警事件类别实施控制措施及 提议采取业务应急措施，控制事态发展。3.4.3 橙色预警响应：在黄色预警响应的基础上，(1 )总署应急指挥部总指挥、副总指挥应掌握情况；(2)总署应急指挥部办公室组织加强监测和情报搜集 工作，重要信息随时向成员单位通报

3、，必要时协调启动业务 应急预案；(3)总署应急工作组制定预警防范措施，指导其他海 关单位开展风险控制工作；(4)各海关单位加强风险评估与控制工作，做好数据 备份，并根据业务工作实际，制定并实施网络与信息系统限 制使用方案，指导业务现场做好业务应急工作。3.4.4 红色预警响应：在橙色预警响应的基础上，(1 )总署应急指挥部进入应急状态，实行24小时值班, 向国家网络安全应急办公室报告；(2)总署应急指挥部办公室要加强与国家相关部门、 国家网络安全应急技术支撑队伍的沟通、联系、协调，加强 综合研判和情报共享，高度关注事态发展。3.5预警变更与解除各级应急指挥部办公室及相关单位要密切关注事件进 展

4、情况，根据事态变化情况，适时调整预警级别，将调整结 果及时通报各相关部门。构成预警事件的要素消失或得到控制后，预警发布单位 应及时解除预警状态。4应急处置4.1 事件级别初步判断与核定网络安全事件发生后，海关网络安全事件级别由事发地 海关单位科技部门进行初步判断。I、n级网络安全事件由总 署应急指挥部办公室核定，in、IV级事件网络安全事件由事 发地海关单位应急指挥部办公室核定。4.2 情况报告4.2.1 报告原则(1尸即现即报”原则：各级海关单位一旦发现有网络安 全事件发生，须注意保存证据，研判应当报告的要按照报告 程序要求立即向上一级应急指挥部办公室报告。(2尸核实准确”原则：报告内容要客

5、观真实，重点要素 要准确，不得主观臆断。(3尸双线同步原则：事发地海关单位在按规定向上一 级应急指挥部办公室报告网络安全事件的同时，可以视事件 的性质、特点和影响范围，通报当地有关部门。(4 )“追踪反馈”原则：事发地海关单位应当将网络安全 事件的原因、变化动态、应急措施、处置结果等情况及时向 上级应急指挥部办公室报告。4.2.2 报告程序(1 )科技处应当在初步判断事件等级为I、n级网络安 全事件后第一时间将有关情况向本单位应急指挥部和总署 应急指挥部办公室报告，并以书面形式上报总署应急指挥部 办公室。级别复核中存在疑问的，总署应急指挥部办公室要 求提供补充证据或者材料，应急指挥部办公室应当

6、在30分 钟内完成材料补报工作；级别复核发现认定级别不准确的， 应急指挥部办公室按照总署核定级别组织开展应急响应工 作。(2 )对于III级事件，应急指挥部办公室应当在初步判 断事件等级后30分钟内，将有关情况向本单位应急指挥部 和总署应急指挥部办公室报告,24小时内以书面形式报告总 署应急指挥部办公室。(3)IV级事件报告，应急指挥部办公室应当在初步判 断事件等级后45分钟内，将有关情况向本单位应急指挥部 报告。(4 )对于III级及以上事件，在事件处置期间，每小时 将事件变化、事件处置、控制事态、消除隐患的进度情况及 时报告相关成员单位，应急指挥部办公室应当对事件进行等 级复核，如果事件等

7、级有变化，应当经领导审核后报告上一 级应急指挥部办公室复核。对属于海关系统突发事件应急预案中K II级事件 的网络安全事件，除按照以上程序报告以外，应按照海关 系统突发事件应急预案中报告要求，通过值班室将事件有 关情况第一时间电话报告总署总值班室，并作出书面报告。4.2.3 报告形式4.2.3.1 电话报告(1 )电话报告的“六个要素”：网络安全事件发生的时间、 位置、过程、现状、影响、已采取的措施。其中，时间报告 要精确到分，位置要明确具体口岸、现场及信息系统。(2)具备条件的情况下，接报人员应当填写电话报告 记录(模板详见附件3b4.2.3.2 文字报告文字报告应当采用固定报送载体，应当由

8、单位领导签 发，注明承办人姓名和联系电话，标明缓急程度、发送时间 和报告编号。内容要条理清楚，语句简洁，重点突出(模板 详见附件4b(1 )网络安全事件详细情况，包括事件发生的时间、 位置、过程、状况、原因、影响等。(2 )事发地海关单位已经采取的措施及效果。(3 )事态发展预测和下一步行动计划，如需上级单位 提供支持，还需提出相应处置建议。4.3 应急响应4.3.1 响应分级对应海关网络安全事件的四个等级将海关应急响应分 为四个级别，I级、n级、in级和iv级应急响应。根据不同的事件核定级别，启动相应级别的应急响应。4.3.2 启动程序I级及II级应急响应，由总署应急指挥部及办公室负责 启动

9、。III级应急响应启动程序如下：(1 )应急指挥部办公室提出III级应急响应启动建议， 报请总指挥批准；(2 )总指挥批准后，启动III级应急响应；(3 ) III级应急响应启动后，应急指挥部办公室成员首 先到位，并通知副总指挥、相关成员单位负责人到指定地点 就位，进入应急指挥状态；(4 ) ITI级应急响应宣布后，总署应急指挥部及其办公 室和相关成员单位应根据职责分工开展应急工作；(5 )应急指挥部办公室通报相关成员单位做好协同应 急处置准备。IV级应急响应启动程序如下：(1 )应急指挥部办公室提出IV级应急响应启动建议， 报副总指挥批准，并同时报告总指挥；(2 )副总指挥批准后，启动IV级

10、应急响应；(3 )IVII级应急响应宣布后，总署应急指挥部办公室 成员首先到位，并通知成员单位负责人到指定地点就位，进 入应急指挥状态；(4) IV级应急响应启动后，应急指挥部及其办公室和 相关成员单位应根据职责分工开展应急工作；(5 )应急指挥部办公室通报相关海关单位做好协同应 急处置准备。处置要求(1 )控制事态。应急工作组应当针对事件进行紧急处 置，控制事态，以防止事件进一步扩大；及时寻求电力、通 信等服务和设备供应商或者地方信息安全技术支持队伍的 紧急支援；必要时报告应急指挥部申请启动相应的业务应急 预案。(2)根据事态发展，若事件超出本级应急指挥部的处 置能力，需要更多的部门和单位参

11、与处置时，本级应急指挥 部办公室应当及时报告上一级应急指挥部办公室组织、协调 其他有关部门及单位参与处置工作。(3)做好处置消除隐患。应急工作组根据事件发生原 因，有针对性的采取措施，恢复受破坏信息系统正常运行， 并做好异常数据处理等善后工作。(4)加强沟通。应急工作组应在事件处置过程中及时 与事发地海关单位沟通确认事件影响，通报处置情况。(5 )做好处置记录。应急工作组在应急恢复过程中应 保留有关证据，做好处置记录。处置记录应条理清楚，内容 详实。分类处置应急工作组应当根据事件的分类，采取有针对性的处置 措施，可协调外部组织进行技术协助，并在处置过程中保持 与应急指挥部办公室及有关单位的联系

12、。(1 )有害程序事件对于病毒及破坏性程序蔓延事件，应急工作组应分析有 害程序，保护现场，阻断有害程序蔓延途径，必要时切断相 关网络连接。应急工作组在有害程序大面积清除前，应制定 有害程序清除方案，对方案进行验证，减少对业务的影响， 尽快清除有害程序并恢复受影响网络和信息系统的正常运 行。(2 )网络攻击事件应急工作组通过入侵检测和安全审计等手段确定攻击 方法，采取措施保护现场，阻止攻击行为进一步造成危害， 尽快恢复受影响网络和信息系统的正常运行，并对现场进行 全面勘查取证，查明网络攻击来源。(3 )信息破坏事件应急工作组应采取有效措施，阻断数据外泄渠道，保护 现场，分析判断，查明数据泄露、窃

13、取和丢失的途径及窃取 对象。(4 )设备设施故障事件应急工作组按照海关信息系统故障管理规程对设备 设施故障进行处理。(5 )灾害性事件应急指挥部办公室及工作组应对事件进行内部和外部 紧急通报，采取措施尽快恢复网络和信息系统的正常运行， 并协调外部组织协助对网络和信息系统的受损情况进行调 查，并对灾害性事件进行评估，充分评估涉及部门、业务范 围和社会影响。(6)其他网络安全事件对于其他网络安全事件，特别是业务、系统、设备具备 特殊性的网络安全事件的处理，应急工作组应按照专门的应 急措施处置。4.4 应急结束应急指挥部办公室确认网络安全事件已得到控制或取 得预期处置结果后，可宣布应急行动结束，及时

14、通报有关单 位和部门。I级、II级应急响应由总署应急指挥部决定结束。III级和IV级应急响应由各级海关单位应急指挥部决定 结束。4.5 后续处理应急指挥部办公室负责组织有关部门对事件的起因、性 质、影响、责任等进行分析，提出处理意见和改进措施，撰 写总结报告，III级以上事件总结报告于10个工作日内完成 并上报本级应急指挥部及总署应急指挥部办公室。I级事件 总结报告由总署应急指挥部办公室按要求在30日内报国家 网络安全应急办公室。事发地海关单位应当根据突发事件的经验教训，及时完 善防范预警和应急处置的方案及措施。4.6 信息发布(1 )针对I级、II级事件，总署应急指挥部办公室会同 总署办公厅

15、研究制定新闻报道方案和对外答复口径。经总署 (办公厅)授权，可以由事发地海关单位按总署确定的对外 发布形式和口径进行新闻发布工作。(2 )针对III级、IV级事件的信息发布工作，各级海关 单位应急指挥部办公室根据本单位情况参照执行。(3 )网络安全事件涉及多个海关单位的，由总署统一 协调信息发布工作。5应急预案管理5.1 预案管理科技处根据国家相关法律、法规和海关总署应急管理工 作的规定，根据实际情况适时修订本预案，经关务会批准后 发布。监督检查应急指挥部办公室负责组织开展预案执行情况的监督 检查工作。各级海关单位应当加强对本级及下属单位应急预 案执行情况的监督检查。修订与更新有下列情形之一的

16、，应当及时对本预案进行修订：(1 )本预案所依据的相关法律、行政法规、规章、规 范性文件及上位预案等有关规定发生变化的；(2 )应急指挥机构及其职责发生重大调整的；(3)面临的风险、重要应急资源或预案中的其他重要 信息发生变化的；(4)在网络安全事件实际应对和日常应急演练中发现 问题需要做出重大调整的；(5 )其他经核准需要对本预案进行修订的情况。5.2 日常管理应急指挥部办公室应做好网络安全事件日常预防工作， 制定完善相关应急预案，做好网络安全检查、隐患排查、风 险评估和容灾备份，健全网络安全信息通报机制，及时采取 有效措施，减少和避免网络安全事件的发生及危害，提高应 对网络安全事件的能力。

17、5.3 演练应急指挥部办公室应当定期举行不同类型的应急演练， 以检验、改善和强化应急准备和应急响应的能力。I、II级网络安全事件的应急演练由海关总署组织实施， 一般每三年举行一次。111. IV级网络安全事件的应急演练由总关应急办组织实 施，一般每年举行一次，并将演练情况报总署应急指挥部办 公室（模板详见附件5卜5.4宣传总关各部门、各隶属海关单位应充分利用各种传播媒介 及其他有效的宣传形式，在本单位范围内加强网络安全事件 预防和处置的有关法律、法规和政策的宣传，开展网络安全 基本知识和技能的宣讲活动。5.5培训总关各部门、各隶属海关单位要将网络安全事件的应急 知识列为领导干部和有关人员的培训

18、内容，加强网络安全特 别是网络安全事件应急预案的培训，提高防范意识及技能。1.4事件分级海关网络安全事件根据危害程度和影响范围分为四级： I级(特别重大网络安全事件入n级(重大网络安全事件x III级(较大网络安全事件)和IV级(一般网络安全事件卜1.4.1 I级网络安全事件符合下列条件之一的，为I级网络安全事件：(1 )全国海关或多个业务量较大的直属海关的核心业 务在业务高峰期中断(或运行效率明显下降)6小时以上， 或非业务高峰期中断(或运行效率明显下降)12小时以上。(2 )全国海关门户网站瘫痪6小时以上，或海关总署 门户网站主页被篡改，造成特别严重影响的。(3)海关业务数据丢失或被窃取、

19、篡改，数据量达到 5000万条的。(4)全国海关业务网终端同时感染同一种恶意程序的 终端总数达到全国业务网终端总数50%以上，或同时感染同 一种破坏性极强恶意程序的终端总数达到全国业务网终端 总数20%以上的。(5 )海关关键信息基础设施被外部入侵并控制达2小 时以上的。(6 )海关个人敏感信息泄露超过20万人以上的。(7)其他对国家安全、社会秩序、经济建设和公众利 益构成严重威胁、造成严重影响的网络安全事件。1.4.2 n级网络安全事件符合下列条件之一的，为n级网络安全事件：5.6 重要活动期间的预防措施在国家重要活动、会议期间，各部门、各隶属海关单位 要加强网络安全事件的防范和应急响应，同

20、时加强网络安全 监测和分析研判，及时预警可能造成重大影响的风险和隐 患，重点部门、重点岗位做好值班工作，及时发现和处置网 络安全事件隐患。5.7 责任与奖惩海关网络安全事件应急处置工作的责任与奖惩依照海 关系统突发事件应急预案的相关规定办理。5.8 措施6.1 机构和人员总关各部门、各隶属海关单位要建立健全应急工作机 制，把责任落实到具体部门、具体岗位和个人。总关各部门、各隶属海关单位应建立本单位应急指挥部 成员、部门负责人、应急工作组人员名册和联络方式。应建 立与处置各类网络安全事件有关的政府部门、机构、专家、 设备供应商等的联系渠道，建立社会化应急联络保障机制， 并经常更新通讯录，确保联系

21、畅通。6.2 基础平台海关信息系统运行管理平台和海关信息系统安全管理 中心是海关网络安全事件应急管理工作的日常管理平台，海 关监控指挥中心是海关网络安全事件应急管理工作的指挥 平台，海关网络安全事件应急管理工作的沟通协调应当通过 统一通信系统开展。总关各部门、各隶属海关单位应当加强 相关系统的日常运维管理，落实责任，做到早发现、早预警、 早响应，提高应急处置能力。6.3 经费保障总关各部门、各隶属海关单位应当加强对网络安全应急 装备设备、工具的储备，及时调整、升级软件硬件工具，不 断增强应急技术支撑能力。网络安全应急工作所需资金在年度海关科技经费预算 中统筹安排，支持网络安全应急工作组建设、预

22、案演练、应 急物资保障、网络安全事件培训、网络安全事件预防、重要 活动期间安全保障等工作开展。7附则7.1 解释本预案由贵阳海关科技处负责解释。7.2 实施本预案自发布之日起实施。(1)全国海关或多个业务量较大的直属海关的核心业 务中断(或运行效率明显下降)2小时以上的。(2 )海关总署或多个直属海关门户网站瘫痪6小时以 上,或直属海关门户网站主页被篡改，造成较严重影响的。(3 )海关业务数据丢失或被窃取、篡改，数据量达到 1500万条的。(4)全国海关业务网终端同时感染同一种恶意程序的 终端总数达到全国业务网终端总数20%以上，或同时感染同 一种破坏性极强恶意程序的终端总数达到全国业务网终端

23、 总数10%以上的。(5)海关个人敏感信息泄露超过5万人以上的。(6)其他对国家安全、社会秩序、经济建设和公众利 益构成较严重威胁、造成较严重影响的网络安全事件。1.4.3 in级网络安全事件符合下列条件之一的，为III级网络安全事件：(1)总关或所属重点隶属海关的核心业务中断(或运 行效率明显下降)2小时以上的。(2 )总关互联网政务办公网站瘫痪6小时以上，或网 站主页被篡改，造成较大影响的。(3 )发生海关业务数据被窃取、篡改的。(4)总关业务网终端同时感染同一种恶意程序的终端 总数达到全关区业务网终端总数50%以上，或同时感染同一 种破坏性极强恶意程序的终端总数达到关区业务网终端总 数2

24、0%以上的。(5 )总关互联网政务办公网站或业务网信息系统被外 部入侵并控制2小时以上的。(6)其他对国家安全、社会秩序、经济建设和公众利 益构成较大威胁、造成较大影响的网络安全事件。1.4.4 IV级网络安全事件除以上情形外，对国家安全、社会秩序、经济建设和公 众利益构成一定威胁和影响，但未达到III级事件标准的网 络安全事件为一般网络安全事件(IV级)。1.5工作原则网络安全事件应急工作，应当遵循预防为主、常备不懈 的方针，贯彻统一领导、快速反应、属地负责、分级处置、 协同配合的原则。1.5.1 统一领导网络安全事件应急工作启动、处置对策、对外联络、队 伍调动、物资调配等均由网络安全事件应

25、急指挥部(以下简 称“应急指挥部”)做出决策，各级部门必须坚决服从应急指 挥部的指令。1.5.2 快速反应建立预警、应急响应和处置快速反应机制，确保各环节 的衔接，做好人力、物力、财力储备，增强应急处理能力， 保证一旦出现网络安全事件，能够迅速启动应急处置。1.5.3 属地负责网络安全事件应急处置实行条块结合、以块为主、属地 管理。各级海关机构对本关区的网络安全事件应急处置具体 负责。1.5.4 分级处置根据海关行政管理层级和网络安全事件发生的影响范 围、性质和危害程度，分等级进行防控、处置。发生不同等 级网络安全事件时，启动相应级别的应急响应。1.5.5 协同配合根据网络安全事件的性质和影响

26、范围，应加强与相关海 关单位、地方政府、有关部门等相关主管单位的密切协作， 形成资源共享、优势互补的联动配合机制。2组织指挥机制2.1 领导机构在贵阳海关网络安全和信息化领导小组及应急工作领 导小组领导下，建立应急指挥部，负责指挥和协调贵阳海关 网络安全事件应对工作。2.2 总署应急指挥部构成贵阳海关网络安全事件应急指挥部（以下简称“应急指挥 部”）主要构成如下：总指挥：由主管科技工作的副关长担任。副总指挥：由科技处处长担任。成员：科技处、办公室、人事教育处、法规处、综合业 务一处、综合业务二处、卫检处、动植食处、企业管理和稽 查处、缉私局、财务处、机关服务中心、数据分中心等。应急指挥部下设办

27、公室，具体工作由科技处承担。应急指挥部办公室依托海关内、外部网络安全专家组建 应急工作组，为网络安全事件的预防和处置提供技术咨询和 决策建议，并充分发挥专家在应急处置工作中的作用。各隶属海关的应急指挥部及其成员单位构成可参照总 关应急指挥部的形式组建。2.3 工作职责2.3.1 应急指挥部职责应急指挥部负责统一领导贵阳关区海关网络安全事件 的应对工作。包括：(1 )负责建立海关监测预警、应急处置和应急响应机 制，发布网络安全事件预防警报，组织实施网络安全事件应 急处置。(2 )决定启动和终止应急预案。(3 )负责海关内外部跨部门的组织协调工作。(4)统一指挥调配管辖区域内的应急资源。(5 )组

28、织应急工作组的应急处置行动。(6)向总署网络安全应急办公室报告有关情况。(7 )研究新闻发布方案。(8 )组织网络安全事件的调查与总结工作。232应急指挥部各成员单位主要职责(1 )科技处：承担应急指挥部办公室工作。(2 )办公室：负责对外信息发布和舆情监测等工作。(3 )法规处：负责网络安全事件应急工作的法律支持 等工作。(4 )财务处：负责应急资金及装备设备的保障和调配。(5 )人事教育处：负责网络安全事件应急工作人员的 奖惩和培训支持等工作。(6)后勤管理中心：负责应急处置中的后勤保障等工 作。(7)科技处、数据分中心：负责选派技术骨干及联系 外部机构专家组建应急工作组并提供工作场所，研

29、究海关网 络安全事件的应急处置方案并承担处置任务；为海关预警监 测、研判、响应与应急处置提供支持；加强与通信、电力运 营公司等社会保障部门的联系沟通，落实责任，确保出现问 题时能迅速得到解决。(8)各业务部门：负责协调网络安全事件引发的业务 应急处置工作。233应急指挥部办公室职责应急指挥部办公室负责海关网络安全事件应急管理日 常工作，负责网络安全事件应急管理中跨部门、跨单位的综 合协调工作，负责网络安全事件应急预案的制定、完善、宣 传培训及检查评估等工作，对口总署网络安全应急办公室。应急工作组职责应急工作组负责预警监测、预警研判、预警信息初拟及 上报、预警响应、网络安全事件的初步研判及报告，

30、提出处 置措施，做好应急响应，承担应急指挥部下达的各项现场应 急处置任务，及时通报事件处置情况。3监测与预警3.1预警分级海关网络安全事件预警等级分为四级：由高到低依次用 红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特 别重大、重大、较大和一般网络安全事件。3.2预警监测科技处负责组织指导海关系统网络安全预警监测工作， 各信息系统运行部门负责对本单位运行的网络和信息系统 开展网络安全监测工作，重要信息及时报告科技处。监测信息范围主要包括：(1 )国家有关部门发布或向海关通报的信息。(2 )国家及地方网络安全信息共享机制共享的信息。(3 )系统监控、巡检发现的信息。(4)海关工作人员或企业

31、等外部人员发现并报告的信 息O(5 )网络安全事件处置过程中发现的信息。(6 )网络安全风险评估活动中发现的信息。(7 )其他信息。3.3预警研判和发布各信息系统运行部门对监测信息应当进行研判，需要本 单位立即采取防范措施的，应当立即向本级应急指挥部报 告，建议全国各海关单位采取防范措施的，应当及时向总署 应急指挥部办公室报告。其中，红色、橙色预警的发布，需 由总署应急指挥部办公室报请总指挥或总指挥授权副总指 挥批准后发布，发布红色预警的同时，应向国家网络安全应 急办公室报告，总署应急指挥部办公室可决定向全国或部分 海关单位发布黄色、蓝色预警。总关应急指挥部办公室根据 监测信息研判情况，在全关

32、区内部发布黄色、蓝色预警信息。在海关内部发布预警信息应当包括事件的类别、预警级 别、起始时间、可能影响范围、警示事项、应采取的措施和 时限要求、发布机关等。面向社会公众发布的预警信息，由各级海关应急指挥部 办公室会同办公厅(室)根据可能影响范围研究确定预警信 息发布的范围或提出建议。3.4预警响应国家网络安全应急办公室发布的预警，由总署应急指挥 部办公室统筹组织全国海关开展响应工作。地方网络安全应 急办公室发布的预警，由各级海关应急指挥部办公室组织开 展响应工作。预警通报发布后，各海关单位应依据发布的预警级别， 加强网络与信息系统安全状况的监测，做好应急处理准备工 作，采取响应措施。3.4.1 蓝色预警响应：预警范围内海关单位应加强监控，密切关注事态发展。3.4.2 黄色预警响应：(1 )预警范围内海关单位的应急指挥部办公室保持通 信联系畅通，密切关注事态发展，收集、汇总监测信息，重 要信息及时向单位领导、上一级应急指挥部办公室报告。