1、安全事件应急处置能力总则
为做好应对网络与信息安全事件应急处置能力的各项准备工作,提升应急处理能力,结合本市实际,制定本预案。
1.1、编制依据
《中华人民共和国突发安全事件应急处置能力应对法》、《北京市实施<中华人民共和国突发安全事件应急处置能力应对法>办法》、《北京市信息化促进条例》等法律法规,《国家突发公共安全事件应急处置能力总体应急预案》、《国家网络与信息安全事件应急处置能力应急预案》、《北京市突发公共安全事件应急处置能力应急总体预案》、《信息安全事件应急处置能力分类分级指南》(GB/Z20986-2007)等相关规定。
1.2安全事件应急处置能力分类分级
1.2.1安全事件应急处置能力分类
网络与信息安全事件应急处置能力分为有害程序安全事件应急管理处置能力、网络攻击安全事件应急处置能力、信息破坏安全事件应急处置能力、信息内容安全事件应急处置能力、设备设施故障和灾害性安全事件应急处置能力等。
(1)有害程序安全事件应急处置能力分为计算机病毒安全事件应急管理处置能力、蠕虫安全事件应急处置能力、特洛伊木马安全事件应急处置能力、僵尸网络安全事件应急处置能力、混合程序攻击安全事件应急处置能力、网页内嵌恶意代码安全事件应急处置能力和其他有害程序安全事件应急处置能力。
(2)网络攻击安全事件应急处置能力分为拒绝服务攻击安全事件应急管理处置能力、后门攻击安全事件应急处置能力、漏洞攻击安全事件应急处置能力、网络扫描窃听安全事件应急处置能力、网络钓鱼安全事件应急处置能力、干扰安全事件应急处置能力和其他网络攻击安全事件应急处置能力。
(3)信息破坏安全事件应急处置能力分为信息篡改安全事件应急管理处置能力、信息假冒安全事件应急处置能力、信息泄露安全事件应急处置能力、信息窃取安全事件应急处置能力、信息丢失安全事件应急处置能力和其他信息破坏安全事件应急处置能力。
(4)信息内容安全事件应急管理处置能力是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的安全事件应急处置能力。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性安全事件应急管理处置能力是指由自然灾害等其他突发安全事件应急处置能力导致的网络与信息安全事件应急处置能力。
1.2.2安全事件应急处置能力分级
网络与信息安全事件应急管理处置能力分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
(1)符合下列情形之一的,为特别重大网络与信息安全事件应急处置能力(Ⅰ级):
①信息系统中断运行2小时以上、影响人数100万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁,或导致10亿元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件应急处置能力。
(2)符合下列情形之一且未达到特别重大网络与信息安全事件应急管理处置能力(Ⅰ级)的,为重大网络与信息安全事件应急处置能力(Ⅱ级):
①信息系统中断运行30分钟以上、影响人数10万人以上。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁,或导致1亿元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件应急处置能力。
(3)符合下列情形之一且未达到重大网络与信息安全事件应急管理处置能力(Ⅱ级)的,为较大网络与信息安全事件应急处置能力(Ⅲ级):
①信息系统中断运行造成较严重影响的。
②信息系统中的数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁,或导致1000万元人民币以上的经济损失。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件应急处置能力。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件应急处置能力,为一般网络与信息安全事件应急管理处置能力(Ⅳ级)。
2组织机构与职责
2.1办事机构及其职责
市通信保障和信息安全应急指挥部办公室作为市通信保障和信息安全应急指挥部常设办事机构,设在市经济信息化委,办公室主任由市经济信息化委主任担任。主要职责是:
(1)承担本指挥部值守应急工作;
(2)收集、分析工作信息,及时上报重要信息;
(3)负责本市网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(4)负责发布和取消蓝色、黄色预警信息,向市应急办提出发布和取消橙色、红色预警信息的建议;
(5)负责本市网络与信息安全突发安全事件应急处置能力新闻报道相关工作;
(6)组织制订、修订与本指挥部职能相关的专项应急预案,指导区县、部门、单位制定、修订网络与信息安全突发安全事件应急处置能力相关的应急预案;
(7)负责组织协调网络与信息安全突发安全事件应急管理处置能力应急演练;
(8)负责本市应对网络与信息安全突发安全事件应急管理处置能力的宣传教育与培训。
2.2网络与信息安全专家顾问组
专家顾问组的职责:
(1)在网络与信息安全突发安全事件应急管理处置能力预防与应急处置时,提供咨询与建议,必要时参与值班;
(2)在制定网络与信息安全应急管理有关规定、预案、制度和项目建设的过程中提供参考意见;
(3)及时反映网络与信息安全应急管理工作中存在的问题与不足,并提出改进建议;
(4)对本市网络与信息安全突发安全事件应急管理处置能力发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
(5)参与网络与信息安全突发安全事件应急管理处置能力应急培训及相关教材编审等工作。
3监测预警
3.1监测
建立网络与信息安全事件应急管理处置能力信息接收机制
市通信保障和信息安全应急管理指挥部办公室、市经济信息化委、市公安局、市通信管理局、市广播电影电视局、市国家保密局以及市级应急救援机构应通过媒体、网站等途径公布网络与信息安全事件应急处置能力接报电话、传真、电子邮箱等信息,加强宣传培训,做好来自社会公众和网络与信息系统运营使用管理单位的预警信息、安全事件应急处置能力信息的接收,建立并完善网络与信息安全事件应急处置能力信息的接收机制。
3.2预警分级及发布
预警分级
根据监测信息或是相关单位提供的预警信息,分析研判,对可能发生的网络与信息安全事件应急处置能力进行预警。预警级别分为四级,从低到高表示为:蓝色预警、黄色预警、橙色预警和红色预警。
3.3预警响应
预警信息发布后,各相关部门、单位应依据发布的预警级别,启动相应的应急预案,组织部署所属技术力量、应急救援队伍立即响应,进入应急状态,履行承担的职责。
3.3.1蓝色预警响应
(1)市通信保障和信息安全应急指挥部办公室及各成员单位实行24小时值班,保持通信联络畅通,市通信保障和信息安全应急指挥部办公室要密切关注事态发展,收集、汇总监测信息,重要信息及时向指挥部领导、市应急办报告。
(2)市级网络与信息安全应急队伍进入应急状态,确保60%应急技术人员处于待命状态,检查应急车辆、设备、软件工具等,确保处于可用状态;针对预警内容研究制定防范措施,指导各网络与信息系统运营使用管理单位做好安全加固和预防工作;联系社会应急力量做好应急支援准备工作。
3.3.2黄色预警响应
(1)在蓝色预警响应的基础上,加强领导带班和24小时值班,保持通信联络畅通;实行每日信息报送制度,各单位、各行业主管部门、监管部门指挥部办公室逐级上报相关信息;指挥部办公室及时联系专家顾问组相关专业专家,组织专家和市级应急队伍及时对预警信息和事态发展进行研判,制定防范措施,指导各网络与信息系统运营使用管理单位做好预防工作。
(2)市级网络与信息安全应急队伍进入应急状态,确保80%应急技术人员处于待命状态,检查应急车辆、设备、软件工具等,确保处于可用状态;联系相关社会应急力量进入应急支援状态。
3.3.3橙色预警响应
在黄色预警响应的基础上,市通信保障和信息安全应急指挥部第一副总指挥应全面掌握情况,部署预警响应措施;各行业主管部门和监管部门加强监测和情报搜集工作,每天两次向指挥部办公室报送相关信息,重要信息随时报告,市通信保障和信息安全应急指挥部办公室及时向市应急办报告相关信息;市级应急队伍在开展应急处置的同时,制定预警防范措施,指导其他网络与信息系统运营使用管理单位开展风险控制工作;各网络与信息系统运营使用管理单位加强风险评估与控制工作,做好数据备份等技术防范工作。
3.3.4红色预警响应
在橙色预警响应的基础上,市通信保障和信息安全应急指挥部进入应急状态,在国家指挥部的领导下开展预警响应工作。市通信保障和信息安全应急指挥部总指挥掌握情况,部署预警响应措施,市通信保障和信息安全应急指挥部办公室、各行业主管部门、监管部门、市级应急队伍要加强与国家相关部门、国家网络与信息安全应急技术支援队伍的沟通、联系、协调,加强综合研判和情报共享,高度关注事态发展,本市各级、各类网络与信息安全应急队伍和支撑力量除参与应急处置工作的,要全面做好应急准备,并指导其他网络与信息系统运营使用管理单位开展风险控制工作。
4应急响应
4.1基本响应
网络与信息安全事件应急管理处置能力发生后,事发单位应立即启动相关应急预案,实施处置并及时报送信息。
(1)控制事态发展,防控蔓延。事发单位先期处置,采取各种技术措施,及时控制事态发展,最大限度地防止安全事件应急处置能力蔓延。
(2)快速判断安全事件应急管理处置能力性质和危害程度。尽快分析安全事件应急处置能力发生原因,根据网络与信息系统运行和承载业务情况,初步判断安全事件应急处置能力的影响、危害和可能波及的范围,提出应对措施建议。
(3)及时报告信息。事发单位在先期处置的同时要按照预案要求,及时向上级主管部门、属地区县、市通信保障和信息安全应急指挥部办公室报告安全事件应急处置能力信息。
(4)做好安全事件应急处置能力发生、发展、处置的记录和证据留存。
4.2分级响应
4.2.1Ⅰ级响应
Ⅰ级响应由国家指挥部启动,市通信保障和信息安全应急指挥部在国家指挥部的统一指挥下,开展应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织专家顾问组专家、人才库专家及专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握安全事件应急处置能力动态。
安全事件应急处置能力影响单位及时将事态发展变化情况和处置进展情况及时上报,市通信保障和信息安全应急指挥部办公室组织全面了解本市行政区域内的基础网络和信息系统受到安全事件应急处置能力波及或影响情况,及时汇总并上报市应急办、国家指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部根据国家指挥的部署,组织事发单位及应急队伍,采取各种技术措施、管控手段,最大限度地阻止和控制事态发展;市通信保障和信息安全应急指挥部办公室全面启动预警机制,及时督促、指导本市网络与信息系统运营使用管理单位有针对性地加强防范,防止安全事件应急处置能力进一步蔓延。
②做好处置消除隐患。现场指挥部组织专家、应急技术力量、事发单位尽快分析安全事件应急处置能力发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
4.2.2Ⅱ级响应
市应急办或市通信保障和信息安全应急指挥部启动Ⅱ级响应,统一指挥、协调、组织应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织专家顾问组专家、人才库专家及专业技术人员研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握安全事件应急处置能力动态。
安全事件应急处置能力影响单位及时将事态发展变化情况和处置进展情况及时上报,市通信保障和信息安全应急指挥部办公室组织全面了解本市网络与信息系统运行情况,及时汇总有关情况并上报市应急办、国家指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部全力组织事发单位及应急队伍,采取各种技术措施、管理手段,最大限度地阻止和控制事态发展;市通信保障和信息安全应急指挥部办公室全面启动预警机制,及时督促、指导本市网络与信息系统运营使用管理单位有针对性地加强防范,防止安全事件应急管理处置能力蔓延到其他信息系统。
②做好处置消除隐患。现场指挥部组织专家、应急技术力量、事发单位尽快分析安全事件应急处置能力发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
4.2.3Ⅲ级响应
安全事件应急处置能力发生单位主管部门或属地区县启动Ⅲ级响应,按照相关预案进行应急处置,市通信保障和信息安全应急指挥部办公室根据需要指导、检查、协助应急处置工作。
(1)启动指挥体系。
市通信保障和信息安全应急指挥部办公室组织相关专家指导现场处置。
(2)掌握安全事件应急处置能力动态。
现场指挥部及时了解事发单位主管范围内的信息系统是否受到安全事件应急处置能力的波及或影响,并将有关情况及时报市通信保障和信息安全应急指挥部办公室。
(3)处置实施。
①控制事态防止蔓延。现场指挥部及时采取技术措施阻止安全事件应急处置能力蔓延;市通信保障和信息安全应急指挥部办公室向全市发布预警信息,督促、指导相关运行单位有针对性地加强防范。
②做好处置消除隐患。尽快分析安全事件应急处置能力发生原因,并根据原因有针对性地采取措施,恢复受破坏信息系统正常运行。
4.2.4Ⅳ级响应
安全事件应急处置能力发生区县、部门、单位启动Ⅳ级响应,按照相关预案进行应急处置,安全事件应急处置能力发生区县、部门、单位负责同志及时赶赴现场,组织协调、指挥所属技术力量进行安全事件应急处置能力处置工作,必要时请求市网络与信息安全应急队伍支援处置;事发单位负责将安全事件应急处置能力信息、处置进展情况及时向市通信保障和信息安全应急指挥部办公室报告;根据需要,市通信保障和信息安全应急指挥部办公室有关人员及时赶赴现场,指导、检查事发单位开展应急处置工作,协调相关专家、应急队伍参加应急救援。
5信息管理
5.1信息报告
各相关部门和机构应根据各自职责分工,及时收集、分析、汇总本地区、本部门或本系统网络与信息系统安全运行情况信息,安全风险及安全事件应急处置能力信息及时报告市指挥办公室。
倡导社会公众参与网络、网站和信息系统安全运行的监督和信息报告,发现本市网络、网站和信息系统发生安全事件应急处置能力时,应及时报告。
5.2信息报告内容
安全事件应急处置能力信息一般包括以下要素:安全事件应急处置能力发生时间、发生事故网络信息系统名称及运营使用管理单位、地点、原因、信息来源、安全事件应急处置能力类型及性质、危害和损失程度、影响单位及业务、安全事件应急处置能力发展趋势、采取的处置措施等。
5.3信息发布和新闻报道
5.3.1网络与信息安全事件应急处置能力的新闻报道工作,须遵守相关法律法规以及《北京市突发公共安全事件应急处置能力新闻发布应急预案》的相关规定
5.3.2网络与信息安全事件应急处置能力发生后,需要开展新闻报道时,在市突发公共安全事件应急处置能力新闻发布工作协调小组的领导下,市通信保障和信息安全应急指挥部成立新闻宣传组,指派专人负责新闻报道工作,起草新闻稿和情况公告,及时、准确、客观报道安全事件应急处置能力信息,正确引导舆论导向
6后期处置
恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发单位负责组织制定恢复、整改或重建方案,报相关主管部门审核实施。
7保障措施
7.1专业支撑队伍
7.1.1加强市网络与信息安全应急队伍建设
加强北京市政务信息安全应急处置中心、北京网络行业协会信息安全应急响应和处置中心、北京信息安全测评中心、北京市广播电视监测中心、北京市保密技术检查中心等应急队伍建设,作为市网络与信息安全应急队伍做好网络与信息安全事件应急处置能力的应急救援和支援工作。
市网络与信息安全应急队伍承担以下主要职责:
(1)按照市通信保障和信息安全应急指挥部及其办公室的指令,开展应急救援;
(2)承办网络与信息安全事件应急处置能力应急处置培训工作;
(3)负责抢险队伍设备、器材及相关软件的日常管理和维护工作;
(4)负责网络与信息安全社会应急力量的联系和组织工作;
(5)负责协助市通信保障和信息安全应急指挥部办公室做好网络与信息安全事件应急处置能力应急演练工作;
(6)根据事发单位应急支援请求,提供应急救援服务;
(7)承办市通信保障和信息安全应急指挥部交办的其他事项。
7.1.2加强本市网络与信息安全人才库和志愿者队伍建设
依托优秀信息安全企业建立本市网络与信息安全事件应急处置能力应急处置社会网络,发挥社会力量和人才在本市网络与信息安全事件应急处置能力应对工作中的积极作用,提升本市网络与信息安全事件应急处置能力应对能力和水平。
7.2合作机制建设
市通信保障和信息安全应急指挥部办公室负责本市网络与信息安全应急合作机制建设。
8宣传、培训和演练
8.1宣传教育
市通信保障和信息安全应急指挥部办公室制定应对网络与信息安全事件应急处置能力的宣传教育规划,组织有关部门、专家、应急队伍编制公众预防、应对信息安全事件应急处置能力宣传资料,组织开展宣传教育活动。
各区县、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强网络与信息安全事件应急处置能力预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣讲活动。
8.2培训
市通信保障和信息安全应急指挥部办公室组织各有关单位,开展信息安全法规标准、信息安全预案编制、风险评估、安全事件应急处置能力分析处置、容灾备份等方面的专业技术培训。
8.3演练
市通信保障和信息安全应急指挥部每年至少组织一次预案演练,模拟处置重大或较大网络与信息安全事件应急处置能力,提升实战能力,检验和完善预案。
9预案体系
本市网络与信息安全事件应急处置能力应急预案分为专项预案、部门预案和单位预案,分市、区(县)两级管理。
市级部门预案由市通信保障和信息安全应急指挥部根据本预案要求,负责制定和修订,依据处置网络与信息安全事件应急处置能力分工,由相关成员单位负责起草和解释;
市级单位预案由市级网络与信息系统运营使用管理单位负责制定、修订;
各区县企业根据本预案和相关市级部门预案规定,结合本地区实际情况负责建立与完善本地区网络与信息安全应急预案体系。