您现在的位置:首页
 > 资源库栏目 > 基本信息公开 > 应急管理 > 应急预案
索引号 001008003002079/2018-16889
组配分类 应急预案 发布机构 区质监局
生成日期 2018-08-01 公开方式 主动公开
关于印发《温州市龙湾区质量技术监督局信息安全事件应急预案》的通知
发布日期:2018-08-01 16:14:43浏览次数: 来源:区质监局 字体:[ ]

 

 

温州市龙湾区质量技术监督局文件

 

 

温龙质〔2018〕28号

 

 

温州市龙湾区质量技术监督局

关于印发《温州市龙湾区质量技术监督局信息安全事件应急预案》的通知

 

各科室、队、基层所:

现将《温州市龙湾区质量技术监督局信息安全事件应急预案》印发给你们,请认真贯彻执行。

 

 

                          温州市龙湾区质量技术监督局 

2018年6月11日

 

 

 

 

温州市龙湾区质量技术监督局

信息安全事件应急预案

 

一、总则

1.1编制目的

为科学应对网络与信息安全突发事件,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保障信息系统的实体安全、运行安全和数据安全。

1.2编制依据

《中华人民共和国计算机信息系统安全保护条例》;《中共中央办公厅、国务院办公厅转发

1.3基本原则

1.3.1统一领导,协同作战。区质监局信息安全事件应急预案应急工作由局信息化领导小组统一领导和协调,局机关各科室、各基层站所遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。

1.3.2明确责任,依法规范。局各科、所,按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制"的要求,依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。

1.3.3防范为主,加强监控。开展安全教育和培训工作,提高区质监系统的信息安全防护意识和水平,积极做好日常安全工作,提高区质监系统应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系,加强对网络与信息安全隐患的日常监测,建立完善的信息系统安全监控和管理机制,保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。

1.4适用范围

凡在区质监系统范围内发生的严重影响网络与信息系统正常运行,造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件,适用本预案。

二、组织指挥体系及职责任务

龙湾区质量技术监督局网络与信息安全应急协调工作由局信息化领导小组承担。领导小组下设办公室,主要负责局网络与信息安全应急协调的日常工作,负责建立健全协调机制和信息通报机制,制定相应的应急处理工作流程,明确各科所在应急协调工作中的任务和责任;负责协调组织各项应急准备工作,主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作;按照局信息化领导小组的命令和指示,组织协调各科所,落实网络与信息安全应急保障工作。信息化领导小组及办公室名单和联系方式见附件1。

三、预警和预防机制

3.1信息监测及预警报告

制定和完善网络与信息安全突发公共事件监测、预警、报告制度,加强网络与信息安全监测、分析和预警工作,建立网络与信息安全事故通报制度。发生网络与信息安全突发事件的科所应当在事件发生后,对发生的事件进行调查核实、保存相关证据,并向局领导小组办公室报告。领导小组办公室建立和健全信息监测、指挥决策支持及预警发布系统,及时发布预警信息。

3.2预防机制

积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑应急备份与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,由局统一建立制度化、程序化的处理流程。

四、应急响应启动条件

实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:

1级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发科所利益基本不影响或损害极小;

2级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发科所利益有一定的影响或破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害;

3级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害;

4级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害。

5级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害;

当发生2级和2级以上的网络与信息安全事件时,启动本预案,并向局应急领导小组办公室报告。

五、应急响应流程

在发生网络与信息安全事件时,各单位应第一时间报告到领导小组办公室(电话:85988030),如有必要,由领导小组办公室报告局信息化领导小组,同时与相关的产品技术支持单位联系,获得必要的技术支持。技术支持联系方式见附件1。

5.1预案启动

在发生网络与信息安全事件后,事件发生科所和现场应急响应小组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行定级和上报。按照应急响应流程,由信息化领导小组决定启动应急预案,并由领导小组办公室负责应急处理协调工作。

5.2应急处理

5.2.1确认阶段。事件发生科所要初步确定应急处理方式,检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。应根据事件具体情况采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。

如果以自身力量无法处理的事件,应提出应急支援请求,由领导小组办公室协调派出应急支援技术力量进行信息安全应急支援。

5.2.2遏制阶段。及时采取行动遏制事件发展,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。

5.2.3根除阶段。

在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,将对攻击源进行定位并采取合适的措施将其中断。清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。

在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。

5.2.4恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到秘密数据,需遵照秘密系统的恢复要求。

5.2.5对于重点业务系统,发生问题后在采取技术措施解决的同时,还要加强宣传,公布危害性和解决办法,以避免产生恐慌。

5.3应急支援

本预案启动后,领导小组办公室立即聘请网络与信息安全应急响应技术队伍赶赴现场,督促、指导和协调应急处置工作,并根据事态的发展和处置工作的需要,及时调动必需的物资、设备,支援应急工作。

5.4安全事件的处理记录

在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。记录表格详见附件2重大信息安全事件报告表、附件3重大信息安全事件处理结果报告表。

5.5结束响应

系统恢复正常运行后,局领导小组办公室对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报相关部门。

对于蠕虫病毒等易造成大范围传播的网络与信息安全事件,应及时向局信息化领导小组提交预警信息。

因为重大自然灾害而引起的网络与信息安全事件,可根据灾害造成的损失情况参照上述流程进行应对。

有关网络与信息安全应急处理指南详见附件4。

六、演练及维护

6.1建立定期演练制度

每年组织一次应急演练,模拟处置影响较大的信息安全事件,发现并解决应急工作体系和工作机制存在的问题,检验物资器材的完好情况,提高应急处理能力。

6.2预案的修订完善

领导小组办公室负责应急预案的修订完善。网络与信息安全技术组成员应针对应急响应工作中遇到的问题,分析应急预案的科学性和合理性,及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后,本预案应进行调整与其保持一致。

七、保障措施

7.1应急队伍保障

7.1.1局信息化领导小组要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,增强信息安全防御意识。加强应急力量配备,指定专人负责,并开展技术培训和应急演练,提高应急响应技术队伍素质,保证应急情况下应急机制的迅速启动和有效处置。

7.1.2由局领导小组办公室组织建立网络与信息安全应急响应技术队伍(包括安全分析员、应急响应人员、灾难恢复人员等),为应急救援决策提供咨询和技术支持。

7.2应急设备保障

7.2.1全局在信息系统建设和运行过程中应建立信息网络预留硬件、软件和应急救援设备等应急物资储备。根据工作需要,局应急响应工作缺乏的设备或工具软件应及时采购。在网络与信息安全突发事件发生时,应急物资储备由领导小组办公室调度使用。

7.2.2应急响应技术队伍应加强对应急工具及设备的维护调试,保证其随时处于可用状态,保证在发生网络与信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作。

7.2.3应急响应技术队伍应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。

7.3技术资料保障

全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。领导小组办公室应将这些信息建立技术档案并及时更新,以保证与实际系统的一致性。

7.4经费保障

在应急响应工作中,办公室协调区财政对所需的相关经费给予充分保障。

7.5后勤保障

各有关科所要做好应急响应工作后勤保障,确保应急响应工作的顺利开展。

八、监督检查与奖惩

8.1预案执行监督

领导小组办公室负责对预案实施的全过程进行监督检查,督促全局按本预案指定的职责采取应急措施,确保及时、到位。

8.1.1发生重大信息安全事件的科所应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。

8.1.2应急行动结束后,领导小组办公室对相关科所采取的应急行动的及时性、有效性进行评估。

8.2奖惩与责任

8.2.1对下列情况经领导小组办公室评估审核,报信息化领导小组批准后予以奖励。

在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。

8.2.2在发生重大信息安全事件后,有关责任科所、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,将予以通报批评;对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。

8.2.3对未及时落实指令,影响应急行动的效果的科所或个人,按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。

九、附则

9.1预案更新

结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。

9.2制定和解释

本预案由龙湾区质量技术监督局信息化领导小组办公室制定并负责解释。

9.3预案实施

本预案经龙湾区质量技术监督局信息化领导小组批准后实施。

 

 

温州市龙湾区质量技术监督局

2018年6月11日

 

 

 

 

 

 

 

 

 

 

 

 

 

附件l:联系人名单

 

一、信息化领导小组

组长:居述东

副组长:吴雪朝

成员:陈俊茂、邵赛娜、杨贤刚、吴君敏、朱仙床、项小平

 

二、领导小组办公室

主任:吴雪朝

副主任:王杰

 

三、技术支持

系统管理员:邵赛娜13957726351

网络安全管理员:王杰  13676778307

电信:林欢乐 18989777898

移动:金晓微 18857771565

区电子政务中心:项朝峰86968631、13957797686

市质监局:马金池88008809、13819760837

 

 

 

 

 

 

 

 

 

附件2

重大信息安全事件报告表

报告时间:    年  月  日  时  分       事件编号:

单位名称:


报告人:


联系电话:


发生重大信息安全事件的网络与信息系统名称及用途

 

 

 

负责部门:


负责人:


重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):

 

 

 

初步判定的事故原因:

 

 

 

当前采取的应对措施:

 

 

 

 

 

本次重大信息安全事件的初步影响状况

事件后

 

 

影响范

 

 

严重程度

 

 

 

附件3

重大信息安全事件处理结果报告表

 

 

事件编号:

 

 

单位名称:


联系人:


联系电话:


网络或信息系统名称及用途:

 

 

 

已采用的安全措施:

 

 

 

 

 

 

重大信息安全事件的补充描述及最后判定的事故原因:

 

 

 

 

 

 

 

 

 

对本次重大信息安全事件的事后影响状况

事件后果:

 

 

影响范围:

 

 

严重程度:

 

 

本次重大信息安全事件的主要处理过程及结果

 

 

 

 

 

 

针对此类事件应采取的保障网络与信息系统安全的措施和建议:

 

报告人签名:              

 

 

附件4

有关应急预案

4.1设备发生被盗或人为损害事件应急预案

发生设备被盗或人为损害设备情况时,发现者或使用者或管理者应立即报告领导小组办公室(联系电话:85988030),同时保护好现场。

领导小组办公室接报后,通知公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。

⑶事发科所和当事人应当积极配合公安部门进行调查,并将有关情况向领导小组办公室负责人汇报。

领导小组办公室安排系统管理员、事发科所及时恢复网络正常运行,并对事件进行调查。系统管理员和事发科所应在调查结束后三日内书面报告领导小组办公室负责人

4.2通信网络故障应急预案

⑴发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知网络管理员或系统管理员,经初步判断后及时上报领导小组办公室

网络管理员接报告后,应及时查清通信网络故障位置,隔离故障区域,并通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。

网络管理员和事发科所应将故障分析报告领导小组办公室负责人,在调查结束后三日内书面报告。

4.3不良信息和网络病毒事件应急预案

发现不良信息或网络病毒时,系统管理员或网络管理员应立即断开网络,终止不良信息或网络病毒传播,并报告领导小组办公室负责人

网络管理员采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。

网络管理员和事发科所应将事发经过、造成影响、处置结果在调查工作结束后三日内书面报告领导小组办公室负责人

4.4服务器软件系统故障应急预案

⑴发生服务器软件系统故障后,系统管理员应立即组织启动备份服务器系统,由备份服务器接管业务应用;同时安排将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。

⑵系统管理员应在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商,请求技术支援,作好技术处理。

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.5黑客攻击事件应急预案

⑴当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告领导小组办公室(联系电话:85988030)

⑵接报告后,领导小组办公室安排系统管理员和网络管理员核实情况,关闭服务器或系统,封锁或删除被攻破的登录帐号,阻断可疑用户进入网络的通道。

⑶系统管理员和网络管理员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应请求相关厂商支援。

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室主任(副主任)

4.6服务器硬件故障应急预案

发生服务器硬件故障后,系统管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,系统管理员应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。

系统管理员应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商处理

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.7网络核心设备硬件故障应急预案

发生核心设备硬件故障后,网络管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,网络管理员应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。

网络管理员应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商处理

网络管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.8存储核心设备硬件故障应急预案

发生存储核心设备硬件故障后,系统管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,系统管理员报告领导小组办公室负责人,发布系统故障公告;立即联系相关厂商进行故障排除工作。

系统管理员应在故障排除后,发布系统恢复公告,并将事发经过、处置结果等在工作结束后三日内报告领导小组办公室负责人

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                           温州市龙湾区质量技术监督局

                                2018年6月11日

 

 

抄送:区政法委(平安办)、温龙委网信办、戴旭强副区长

温州市龙湾区质量技术监督局办公室   2018年6月11日印发

 

 

 





索引号 001008003002079/2018-16889
组配分类 应急预案 发布机构 区质监局
生成日期 2018-08-01 公开方式 主动公开

关于印发《温州市龙湾区质量技术监督局信息安全事件应急预案》的通知

发布日期:2018-08-01 浏览次数: 来源:区质监局 字体:[ ]

 

 

温州市龙湾区质量技术监督局文件

 

 

温龙质〔2018〕28号

 

 

温州市龙湾区质量技术监督局

关于印发《温州市龙湾区质量技术监督局信息安全事件应急预案》的通知

 

各科室、队、基层所:

现将《温州市龙湾区质量技术监督局信息安全事件应急预案》印发给你们,请认真贯彻执行。

 

 

                          温州市龙湾区质量技术监督局 

2018年6月11日

 

 

 

 

温州市龙湾区质量技术监督局

信息安全事件应急预案

 

一、总则

1.1编制目的

为科学应对网络与信息安全突发事件,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保障信息系统的实体安全、运行安全和数据安全。

1.2编制依据

《中华人民共和国计算机信息系统安全保护条例》;《中共中央办公厅、国务院办公厅转发

1.3基本原则

1.3.1统一领导,协同作战。区质监局信息安全事件应急预案应急工作由局信息化领导小组统一领导和协调,局机关各科室、各基层站所遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。

1.3.2明确责任,依法规范。局各科、所,按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制"的要求,依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任制和责任追究制。

1.3.3防范为主,加强监控。开展安全教育和培训工作,提高区质监系统的信息安全防护意识和水平,积极做好日常安全工作,提高区质监系统应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系,加强对网络与信息安全隐患的日常监测,建立完善的信息系统安全监控和管理机制,保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。

1.4适用范围

凡在区质监系统范围内发生的严重影响网络与信息系统正常运行,造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等,对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件,适用本预案。

二、组织指挥体系及职责任务

龙湾区质量技术监督局网络与信息安全应急协调工作由局信息化领导小组承担。领导小组下设办公室,主要负责局网络与信息安全应急协调的日常工作,负责建立健全协调机制和信息通报机制,制定相应的应急处理工作流程,明确各科所在应急协调工作中的任务和责任;负责协调组织各项应急准备工作,主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作;按照局信息化领导小组的命令和指示,组织协调各科所,落实网络与信息安全应急保障工作。信息化领导小组及办公室名单和联系方式见附件1。

三、预警和预防机制

3.1信息监测及预警报告

制定和完善网络与信息安全突发公共事件监测、预警、报告制度,加强网络与信息安全监测、分析和预警工作,建立网络与信息安全事故通报制度。发生网络与信息安全突发事件的科所应当在事件发生后,对发生的事件进行调查核实、保存相关证据,并向局领导小组办公室报告。领导小组办公室建立和健全信息监测、指挥决策支持及预警发布系统,及时发布预警信息。

3.2预防机制

积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑应急备份与灾难恢复,制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,由局统一建立制度化、程序化的处理流程。

四、应急响应启动条件

实施预警信息等级制度,按照事件严重性和紧急程度及对社会影响的大小,分为以下五级:

1级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发科所利益基本不影响或损害极小;

2级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务以及事发科所利益有一定的影响或破坏;对国家安全、社会秩序、经济建设和公共利益产生一定危害;

3级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有较为严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生较大危害;

4级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有极其严重的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生严重危害。

5级:本级网络与信息安全事件对计算机系统或网络系统所承载的业务、事发科所利益以及社会公共利益有灾难性的影响或破坏,对国家安全、社会秩序、经济建设和公共利益产生特别严重的危害;

当发生2级和2级以上的网络与信息安全事件时,启动本预案,并向局应急领导小组办公室报告。

五、应急响应流程

在发生网络与信息安全事件时,各单位应第一时间报告到领导小组办公室(电话:85988030),如有必要,由领导小组办公室报告局信息化领导小组,同时与相关的产品技术支持单位联系,获得必要的技术支持。技术支持联系方式见附件1。

5.1预案启动

在发生网络与信息安全事件后,事件发生科所和现场应急响应小组尽最大可能收集事件相关信息,鉴别事件性质,确定事件来源,以确定事件范围和评估事件带来的影响和损害,确认为网络与信息安全事件后,对事件进行定级和上报。按照应急响应流程,由信息化领导小组决定启动应急预案,并由领导小组办公室负责应急处理协调工作。

5.2应急处理

5.2.1确认阶段。事件发生科所要初步确定应急处理方式,检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。应根据事件具体情况采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行。

如果以自身力量无法处理的事件,应提出应急支援请求,由领导小组办公室协调派出应急支援技术力量进行信息安全应急支援。

5.2.2遏制阶段。及时采取行动遏制事件发展,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒等。

5.2.3根除阶段。

在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,将对攻击源进行定位并采取合适的措施将其中断。清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。

在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施,彻底消除安全隐患。

5.2.4恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到秘密数据,需遵照秘密系统的恢复要求。

5.2.5对于重点业务系统,发生问题后在采取技术措施解决的同时,还要加强宣传,公布危害性和解决办法,以避免产生恐慌。

5.3应急支援

本预案启动后,领导小组办公室立即聘请网络与信息安全应急响应技术队伍赶赴现场,督促、指导和协调应急处置工作,并根据事态的发展和处置工作的需要,及时调动必需的物资、设备,支援应急工作。

5.4安全事件的处理记录

在事件的上报、接收和处理过程中,事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。记录表格详见附件2重大信息安全事件报告表、附件3重大信息安全事件处理结果报告表。

5.5结束响应

系统恢复正常运行后,局领导小组办公室对事件造成的损失、事件处理流程和应急预案进行评估,对响应流程、预案提出修改意见,总结事件处理经验和教训,撰写事件处理报告,同时确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报相关部门。

对于蠕虫病毒等易造成大范围传播的网络与信息安全事件,应及时向局信息化领导小组提交预警信息。

因为重大自然灾害而引起的网络与信息安全事件,可根据灾害造成的损失情况参照上述流程进行应对。

有关网络与信息安全应急处理指南详见附件4。

六、演练及维护

6.1建立定期演练制度

每年组织一次应急演练,模拟处置影响较大的信息安全事件,发现并解决应急工作体系和工作机制存在的问题,检验物资器材的完好情况,提高应急处理能力。

6.2预案的修订完善

领导小组办公室负责应急预案的修订完善。网络与信息安全技术组成员应针对应急响应工作中遇到的问题,分析应急预案的科学性和合理性,及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后,本预案应进行调整与其保持一致。

七、保障措施

7.1应急队伍保障

7.1.1局信息化领导小组要不断加强信息安全人才培养,进一步强化信息安全宣传教育,努力建设一支高素质、高技术的信息安全核心人才和管理队伍,增强信息安全防御意识。加强应急力量配备,指定专人负责,并开展技术培训和应急演练,提高应急响应技术队伍素质,保证应急情况下应急机制的迅速启动和有效处置。

7.1.2由局领导小组办公室组织建立网络与信息安全应急响应技术队伍(包括安全分析员、应急响应人员、灾难恢复人员等),为应急救援决策提供咨询和技术支持。

7.2应急设备保障

7.2.1全局在信息系统建设和运行过程中应建立信息网络预留硬件、软件和应急救援设备等应急物资储备。根据工作需要,局应急响应工作缺乏的设备或工具软件应及时采购。在网络与信息安全突发事件发生时,应急物资储备由领导小组办公室调度使用。

7.2.2应急响应技术队伍应加强对应急工具及设备的维护调试,保证其随时处于可用状态,保证在发生网络与信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作。

7.2.3应急响应技术队伍应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。

7.3技术资料保障

全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。领导小组办公室应将这些信息建立技术档案并及时更新,以保证与实际系统的一致性。

7.4经费保障

在应急响应工作中,办公室协调区财政对所需的相关经费给予充分保障。

7.5后勤保障

各有关科所要做好应急响应工作后勤保障,确保应急响应工作的顺利开展。

八、监督检查与奖惩

8.1预案执行监督

领导小组办公室负责对预案实施的全过程进行监督检查,督促全局按本预案指定的职责采取应急措施,确保及时、到位。

8.1.1发生重大信息安全事件的科所应当按照规定及时如实地报告事件的有关信息,不得瞒报、缓报。

8.1.2应急行动结束后,领导小组办公室对相关科所采取的应急行动的及时性、有效性进行评估。

8.2奖惩与责任

8.2.1对下列情况经领导小组办公室评估审核,报信息化领导小组批准后予以奖励。

在应急行动中做出特殊贡献的先进单位或个人;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。

8.2.2在发生重大信息安全事件后,有关责任科所、责任人有瞒报、缓报、漏报和其它失职、渎职行为的,将予以通报批评;对造成严重不良后果的,将视情节追究责任领导和责任人的行政责任;构成犯罪的,由有关部门依法追究其法律责任。

8.2.3对未及时落实指令,影响应急行动的效果的科所或个人,按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。

九、附则

9.1预案更新

结合信息网络快速发展和经济社会发展状况,配合相关法律法规的制定、修改和完善,适时修订本预案。

9.2制定和解释

本预案由龙湾区质量技术监督局信息化领导小组办公室制定并负责解释。

9.3预案实施

本预案经龙湾区质量技术监督局信息化领导小组批准后实施。

 

 

温州市龙湾区质量技术监督局

2018年6月11日

 

 

 

 

 

 

 

 

 

 

 

 

 

附件l:联系人名单

 

一、信息化领导小组

组长:居述东

副组长:吴雪朝

成员:陈俊茂、邵赛娜、杨贤刚、吴君敏、朱仙床、项小平

 

二、领导小组办公室

主任:吴雪朝

副主任:王杰

 

三、技术支持

系统管理员:邵赛娜13957726351

网络安全管理员:王杰  13676778307

电信:林欢乐 18989777898

移动:金晓微 18857771565

区电子政务中心:项朝峰86968631、13957797686

市质监局:马金池88008809、13819760837

 

 

 

 

 

 

 

 

 

附件2

重大信息安全事件报告表

报告时间:    年  月  日  时  分       事件编号:

单位名称:


报告人:


联系电话:


发生重大信息安全事件的网络与信息系统名称及用途

 

 

 

负责部门:


负责人:


重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):

 

 

 

初步判定的事故原因:

 

 

 

当前采取的应对措施:

 

 

 

 

 

本次重大信息安全事件的初步影响状况

事件后

 

 

影响范

 

 

严重程度

 

 

 

附件3

重大信息安全事件处理结果报告表

 

 

事件编号:

 

 

单位名称:


联系人:


联系电话:


网络或信息系统名称及用途:

 

 

 

已采用的安全措施:

 

 

 

 

 

 

重大信息安全事件的补充描述及最后判定的事故原因:

 

 

 

 

 

 

 

 

 

对本次重大信息安全事件的事后影响状况

事件后果:

 

 

影响范围:

 

 

严重程度:

 

 

本次重大信息安全事件的主要处理过程及结果

 

 

 

 

 

 

针对此类事件应采取的保障网络与信息系统安全的措施和建议:

 

报告人签名:              

 

 

附件4

有关应急预案

4.1设备发生被盗或人为损害事件应急预案

发生设备被盗或人为损害设备情况时,发现者或使用者或管理者应立即报告领导小组办公室(联系电话:85988030),同时保护好现场。

领导小组办公室接报后,通知公安部门,一同核实审定现场情况,清点被盗物资或盘查人为损害情况,做好必要的影像记录和文字记录。

⑶事发科所和当事人应当积极配合公安部门进行调查,并将有关情况向领导小组办公室负责人汇报。

领导小组办公室安排系统管理员、事发科所及时恢复网络正常运行,并对事件进行调查。系统管理员和事发科所应在调查结束后三日内书面报告领导小组办公室负责人

4.2通信网络故障应急预案

⑴发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知网络管理员或系统管理员,经初步判断后及时上报领导小组办公室

网络管理员接报告后,应及时查清通信网络故障位置,隔离故障区域,并通知相关通信网络运营商查清原因;同时及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络联接,恢复通信网络,保证正常运转。

网络管理员和事发科所应将故障分析报告领导小组办公室负责人,在调查结束后三日内书面报告。

4.3不良信息和网络病毒事件应急预案

发现不良信息或网络病毒时,系统管理员或网络管理员应立即断开网络,终止不良信息或网络病毒传播,并报告领导小组办公室负责人

网络管理员采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。

网络管理员和事发科所应将事发经过、造成影响、处置结果在调查工作结束后三日内书面报告领导小组办公室负责人

4.4服务器软件系统故障应急预案

⑴发生服务器软件系统故障后,系统管理员应立即组织启动备份服务器系统,由备份服务器接管业务应用;同时安排将故障服务器脱离网络,保存系统状态不变,取出系统镜像备份磁盘,保持原始数据。

⑵系统管理员应在确认安全的情况下,重新启动故障服务器系统;重启系统成功,则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关厂商,请求技术支援,作好技术处理。

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.5黑客攻击事件应急预案

⑴当发现网络被非法入侵、网页内容被篡改,应用服务器上的数据被非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告领导小组办公室(联系电话:85988030)

⑵接报告后,领导小组办公室安排系统管理员和网络管理员核实情况,关闭服务器或系统,封锁或删除被攻破的登录帐号,阻断可疑用户进入网络的通道。

⑶系统管理员和网络管理员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的,应请求相关厂商支援。

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室主任(副主任)

4.6服务器硬件故障应急预案

发生服务器硬件故障后,系统管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,系统管理员应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。

系统管理员应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商处理

系统管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.7网络核心设备硬件故障应急预案

发生核心设备硬件故障后,网络管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,网络管理员应启动备份设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。

网络管理员应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商处理

网络管理员应将事发经过、处置结果等在调查工作结束后三日内报告领导小组办公室负责人

4.8存储核心设备硬件故障应急预案

发生存储核心设备硬件故障后,系统管理员应及时报告领导小组办公室负责人,并组织查找、确定故障设备及故障原因,进行先期处置。

若故障设备在短时间内无法修复,系统管理员报告领导小组办公室负责人,发布系统故障公告;立即联系相关厂商进行故障排除工作。

系统管理员应在故障排除后,发布系统恢复公告,并将事发经过、处置结果等在工作结束后三日内报告领导小组办公室负责人

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                           温州市龙湾区质量技术监督局

                                2018年6月11日

 

 

抄送:区政法委(平安办)、温龙委网信办、戴旭强副区长

温州市龙湾区质量技术监督局办公室   2018年6月11日印发