中共渭南高新区工委办公室
渭南高新区管委会办公室
关于印发渭南高新区网络安全事件应急预案的通知
党工委、管委会各部门,各街道党工委、办事处,金城社区,各双管单位:
《渭南高新区网络安全事件应急预案》已经党工委、管委会同意,现印发给你们,请认真贯彻落实。
附件:1.渭南高新区网络安全事件应急预案
2.网络安全事件分类
3.名词术语
4.网络和信息系统损失程度划分说明
中共渭南高新区工委办公室 渭南高新区管委会办公室
2017年8月28日
附件1
渭南高新区网络安全事件应急预案
目 录
1 总则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 事件分级
1.5 工作原则
2 组织机构与职责
2.1 领导机构与职责
2.2 各部门职责
3 监测与预警
3.1 预警分级
3.2 预警监测
3.3 预警研判和发布
3.4 预警响应
3.5 预警解除
4 应急处置
4.1 事件报告
4.2 应急响应
4.3 应急结束
5 调查与评估
6 预防工作
6.1 日常管理
6.2 宣传
6.3 重要活动期间的预防措施
7 附则
7.1 预案管理
7.2 预案解释
7.3 预案实施时间
1 总则
1.1 编制目的
建立健全渭南高新区网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。
1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
1.4 事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
在渭南高新区网络安全和信息化领导小组(以下简称“领导小组”)的领导下,渭南高新区网络安全和信息化领导小组办公室(以下简称“网信办”)统筹协调组织区内网络安全事件应对工作,建立健全跨部门联动处置机制,经济发展局、公安分局、机要局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立渭南高新区网络安全事件应急指挥部(以下简称“指挥部”),负责特别重大网络安全事件处置的组织指挥和协调。
2.2 各部门职责
各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
3 监测与预警
3.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各部门按照“谁主管谁负责、谁运行谁负责”的要求,结合实际,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各部门将重要监测信息报网信办,实现跨部门的网络安全信息共享。
3.3 预警研判和发布
各部门要对监测信息进行研判,对需要立即采取防范措施的、可能发生重大及以上网络安全事件的信息要及时向网信办报告。
网信办组织研判,确定和发布红色预警和涉及多部门、多行业的预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布部门等。
3.4 预警响应
3.4.1 红色预警响应
网信办组织预警响应工作,联系技术人员和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
3.4.2 橙色预警响应
(1)网络安全事件发生后,网信办启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)各部门及时将事态发展情况报网信办。网信办密切关注事态发展,有关重大事项及时通报省、市有关部门。
3.4.3 黄色、蓝色预警响应
网络安全事件发生后,网信办启动相应应急预案,指导组织开展预警响应。
3.5 预警解除
网信办确定是否解除预警,及时发布预警解除信息。
4 应急处置
4.1 事件报告
网络安全事件发生后,各部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告网信办。
4.2 应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
4.2.1 Ⅰ级响应
属特别重大网络安全事件的,及时启动I级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。
网信办跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报指挥部。指挥部对应对工作进行决策部署,网信办负责组织实施。
4.2.2 Ⅱ级响应
网络安全事件的Ⅱ级响应,由有网信办根据事件的性质和情况确定。
(1)网络安全事件发生后,网信办按照相关应急预案做好应急处置工作。
(2)网络安全事件发生后,网信办及时将事态发展变化情况报至上级部门。将有关重大事项及时通报各部门。
(3)各部门根据通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
4.2.3 Ⅲ级、Ⅳ级响应
事件发生的部门按相关预案进行应急响应。
4.3 应急结束
4.3.1 Ⅰ级响应结束
网信办提出建议,报指挥部批准后,及时通报各部门。
4.3.2 Ⅱ级响应结束
由网信办决定,通报各部门。
5 调查与评估
特别重大网络安全事件由网信办组织有关部门进行调查处理,对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施并按程序上报上级部门。重大及以下网络安全事件由事件部门自行组织调查处理和总结评估,并报至网信办。
事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
6 预防工作
6.1 日常管理
网信办按职责做好网络安全事件日常预防工作,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高全区应对网络安全事件的能力。
6.2 宣传
应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
6.3 培训
要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
6.4 重要活动期间的预防措施
重要活动、会议期间,要加强网络安全事件的防范和应急响应,确保网络安全。网信办统筹协调网络安全保障工作,根据需要要求启动相应预警响应,及时发现和处置网络安全事件隐患。
7 附则
7.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由网信办负责。
各部门要根据本预案制定或修订本部门、本行业网络安全事件应急预案。
7.2 预案解释
本预案由网信办负责解释。
7.3 预案实施时间
本预案自印发之日起实施。
附件2
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件3
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
1.损害国防、国际关系;
2.损害国家财产、公共利益以及个人财产或人身安全;
3.影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
4.影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
5.干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
6.危害国家关键基础设施、政府信息系统安全;
7.影响市场秩序,造成不公平竞争,破坏市场规律;
8.可推论出国家秘密事项;
9.侵犯个人隐私、企业商业秘密和知识产权;
10.损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014))
附件4
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
1.特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
2.严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
3.较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
4.较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
