信息安全应急预案
××集团信息安全应急预案
为深入推进网络意识形态工作责任制和网络安全工作责任制落实,加强信息安全管理,保障×集团门户网站和各信息系统的安全运行,妥善应对信息安全突发事件,结合工作实际,制定本应急预案。
一、领导机构
×××集团网络安全管理领导小组。
网络安全管理领导小组下设网络安全办公室,负责×集团网络安全工作。
二、×××集团网络与信息安全防护范围
×集团网络与信息安全防护对象包含×集团使用的电子政务外网、×集团门户网站、×集团OA系统、财务系统及其他在建拟建的相关信息系统等。应对×集团信息系统遭受各种人为网络攻击、病毒入侵、破坏或自然毁损等灾情,造成系统中断、设备损坏、数据丢失等故障的网络与信息安全事件。以防范邮件攻击、防范勒索病毒入侵、防范数据被窃取、防范网站攻击篡改、防范供应链安全风险为重点,针对网络安全薄弱环节,进一步强化安全防范措施。
三、网络和信息安全处置原则
1.高度重视,责任到位。×集团各部室要有高度政治敏感性和责任心,切实承担起维护×集团网络信息安全的政治责任,确保对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。
2.统一领导、规范管理。网络与信息安全事件由×集团网络安全办公室统一协调领导,遵照"统一领导、综合协调、各司其职"的原则协同配合、具体实施,完善应急工作体系和机制。
3.预防为主,加强监控。积极做好日常安全工作,严格按照《×集团公司互联网发布信息管理制度(试行)》进行信息采集、审核和发布,加强网站及信息系统的运行监测,重点监控网页是否被篡改、信息发布是否异常、网站和信息系统运行是否异常等问题
4.快速响应,果断处置。一旦发生网络与信息安全事故,应迅速反应,及时启动应急处置预案,尽最大努力减少损失,尽快恢复网络与系统运行。
5.强化支撑,积极联动。×集团网络和信息安全保障工作,依托用友网络科技股份有限公司、北京致远互联软件公司、阿里云、云上×大数据×集团公司等厂家进行技术支撑和运行保障。
四、网络和信息安全保障措施
1.加强对网站网络信息的日常监测、监控,强化安全管理,对可能引发网络与信息安全事件的有关信息,要认真收集、分析判断,发现有异常情况时,及时处理并逐级报告。
2.加强网络和信息数据的保护,进行不间断监控,一旦发生网络与信息安全事件,立即启动应急预案,判定事件危害程度,采取应急处置措施,并立即将情况报告有关领导。在处置过程中,及时报告处置工作进展情况,直至处置工作结束。属于重大事件或存在非法犯罪行为的,及时向公安机关报案。
3.加强网络安全设备的运用和管理,及时给网络安全设备进行病毒库、应用特征库、IPS特征库升级,定时查看防火墙、堡垒机、网络行为管理机的运行日志,发现危害网络安全事件,即时处理解决安全问题,并将情况上报领导。开放网络防火墙、核心交换机设备端口给省保密局在机房安装的"中孚互联网接入口监测系统",便于省保密局实时监测上网数据。
4.保持与网站开发公司和网络运营商沟通渠道的畅通,确保在应急处理过程中遇到困难或问题时能及时获得网站开发公司和运营商的技术支援。
5.×集团网络安全领导小组办公室加强对信息安全应急工作的监督和检查,网络和信息安全工作,做到制度化、规范化、常态化,将网络和信息安全工作经费列入专项预算加以保障,确保人员支撑、技术支撑、设备支撑全面落实。
五、网络和信息安全事件分类分级
(一)事件分类
网络与信息事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
(二)事件分级
信息安全事件对业务可能造成的影响或已经造成影响的严重程度并结合资产的重要程度,把网络与信息安全事件分为四级:Ⅰ级(特别重大网络与信息安全事件)、Ⅱ级(重大网络与信息安全事件)、Ⅲ级(较大网络与信息安全事件)、Ⅳ级(一般网络与信息安全事件)。
I级(特别重大网络与信息安全事件)×集团系统发生大规模瘫痪,事态发展超出管理单位的控制能力,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件,超过工作时间16小时不能恢复。
II级(重大网络与信息安全事件)×集团系统发生大规模瘫痪,对国家安全、社会秩序、经济建设和公共利益造成严重损害,超过工作时间8小时未能恢复,需要其他单位协同处置的突发公共事件。
III级(较大网络与信息安全事件)×集团系统发生瘫痪,对业务使用单位造成一定损害,但在工作时间8小时内可以恢复的恶意攻击行为。
Ⅳ级(一般网络与信息安全事件)×集团系统受到一定程度的损坏,对所在用户的权益有一定影响,但在工作时间4小时内可以恢复。
六、网络和信息安全应急响应
完善网络与信息安全应急响应机制,规范网络与信息安全应急响应工作内容和流程,科学应对网络与信息安全突发事件,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,保障信息系统的实体安全、运行安全和数据安全。
七、网络和信息安全应急培训与演练
×集团网络安全管理领导小组应将《网络与信息安全应急预案》列入年度学习计划,组织员工认真学习,做到人人知晓。网络安全办公室将对部门学习情况进行抽查。
每年组织一次应急演练,演练可在全业务范围内进行,也可按分系统进行进行。应急演练由信息系统运行与安全应急工作组负责组织,演练结束后应急工作组成员对演练效果、存在问题、改进措施等进行评估和总结。
七、网络与信息安全应急预案
×集团网络与信息安全应急预案包括网站攻击篡改应急预案、勒索病毒入侵应急预案、数据被窃取应急预案、防范邮件攻击应急预案、防范供应链安全应急预案。当发生突发事件后,启动对应预案开展网络和信息安全保障工作。