按照中共沈阳市委网信办关于印发《沈阳市网络安全事件应急预案(修订)》的通知和市里统一部署,制定沈阳仲裁委员会办公室网络安全事件应急预案。
一、总则
(一)编制目的
建立健全我办网络安全事件应急工作机制,提高应对网络安全事件能力;预防和减少网络安全事件造成的损失和危害,切实做好新时期我办信息安全保障工作,保护公众利益,维护国家安全、公共安全和社会稳定。
(二)编制依据
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)《沈阳市突发事件总体应急预案》《沈阳市突发事件应急预案管理办法(试行)》《沈阳市网络安全事件应急预案》等法律法规及有关规定,制定本预案。
(三)适用范围
本预案所指网络安全事件是指我办由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
本预案适用于网络安全事件的应对工作。
(四)工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,平战结合、军地结合,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
二、事件分类分级
(一)事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。
1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4.信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6.灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
7.其他事件是指不能归为以上分类的网络安全事件。
(二)事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
1.符合下列情形之一的,为特别重大网络安全事件:
(1)重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
2.符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件。
(1)重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
3.符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件。
(1)重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
(2)国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
(3)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
4.除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
三、部门职责
为确保网络安全事件工作得到妥善处置,我办成立沈阳仲裁办网络安全事件应急领导小组。由党组书记邱立民同志任组长,全面负责我办网络安全事件应对工作,统筹协调组织我办信息系统网络安全事件的预防、监测、报告和应急处置工作,并配合市委网信办做好我办网络安全事件的处置工作。由金凡、王雁雁同志任副组长,负责协助组长做好分管职责内的相关工作;组员由各部门负责人组成,领导小组下设办公室,设在综合部,由吕继开同志负责。
四、运行机制
(一)预警监测
1.监测
按照“谁主管谁负责、谁运行谁负责”的要求,组织对我办建设运行的网络和信息系统开展网络安全监测工作,各支部分别下设一位网络安全监测员监测本部网络安全工作,发现可疑问题及不确定情况,及时上报至综合部,由综合部统筹负责。
我办将重要监测信息报市委网信办,市委网信办组织开展跨区县(市)、跨部门的网络安全信息共享。
2.预警
(1)确定预警级别。按照信息系统的重要程度、系统损失和社会影响,网络安全事件预警由高到低依次用红色、橙色、黄色和蓝色表示,分别应对发生或可能发生特别重大、重大、较大和一般网络安全事件。
(2)发布预警信息。重要的网络安全事件监测预警信息,经沈阳仲裁办网络安全事件应急领导小组初步研判,可能达到红色和橙色预警等级的,沈阳仲裁办网络安全事件应急领导小组要及时上报市委网信办,市委网信办要及时上报市委网信委和省委网信办。红色预警由国家网络安全应急办公室负责发布,橙色预警由省委网信办负责发布,黄色和蓝色预警经市委网信委和省委网信办授权后由市委网信办负责发布。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
(3)采取预警措施。预警信息发布后,沈阳仲裁办网络安全事件应急领导小组要加强对本办网络系统安全状况的监测,做好应急准备工作。
(4)解除预警信息。按照“谁发布谁解除”的原则,沈阳仲裁办网络安全事件应急领导小组要积极配合市委网信办预警信息解除的相关工作,市委网信办根据实际情况,经市委网信委和省委网信办授权后,按程序确定解除对本市发布的黄色和蓝色预警信息,并配合国家网络应急办公室和省委网信办做好红色和橙色预警信息解除的相关工作。
(二)应急处置
1.事件报告
网络安全事件发生后,我办网络安全事件应急领导小组应当立即启动网络安全事件应急预案,组织技术力量实施处置并及时向市委网信办报送信息,同时对事件进行调查、评估和研判,判断事件发生的影响和危害程度,以及下一步可能发展趋势。对于初判为特别重大、重大和较大网络安全事件的,应立即如实向市委网信办报告,最迟不得超过1小时,一般网络安全事件可以在处置完毕后报告。特殊情况下,各支部网络安全监测员可直接报告,不得迟报、谎报、瞒报和漏报。应急处置过程中要适时续报有关情况。
2.先期处置
沈阳仲裁办网络安全事件应急领导小组要第一时间组织技术人员对网络安全事件进行应急处置,控制事态,消除隐患,应急恢复,减少损失。
3.响应启动
按照信息系统损失程度、范围及社会影响,网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级四个等级。
(1)Ⅰ、Ⅱ级响应
发生特别重大网络安全事件或重大网络安全事件,沈阳仲裁办网络安全事件应急领导小组根据市委网信办的决策部署和统一指挥,组织协调本办应急处置工作。市委网信办根据省委网信办的决策部署和统一指挥,组织协调本行政区域内应急处置工作。
(2)Ⅲ级响应
发生较大网络安全事件,沈阳仲裁办网络安全事件应急领导小组要及时向市委网信办报告。市委网信办立即组织分析研判,及时向市委网信委和省委网信办提出启动Ⅲ级响应的建议。紧急情况下可先电话报告,并及时书面补报;必要时可直接向市委网信委主要领导报告。经市委网信委和省委网信办同意后,成立指挥部。市委网信办进入应急状态,立即启动应急值班制度,成员单位联络员、网络安全技术支撑单位和专家24小时待命,随时做好技术咨询和应急处置准备工作。同时将事态发展变化情况报市委网信委和省委网信办,处置中需要省委和其他市支持的,及时商请省委网信办予以协调。
沈阳仲裁办网络安全事件应急领导小组按照市委网信办的要求,控制事态发展,防止事态蔓延;消除安全隐患,及时通报事件情况,开展调查取证及应急恢复工作。
(3)Ⅳ级
发生一般网络安全事件,沈阳仲裁办网络安全事件应急领导小组向市委网信办提出启动Ⅳ级响应建议,市委网信办研判后,按照职责权限和规定程序宣布启动Ⅳ级响应。沈阳仲裁办网络安全事件应急领导小组按相关预案开展应急处置工作;必要时,由市委网信办组织开展应急处置工作,沈阳网信部门和我办配合。
4.现场处置
网络安全事件现场应急处置,由沈阳仲裁办网络安全事件应急领导小组统一组织,实施现场指挥官制度,各部按照职责参与应急处置工作。
5.调查取证
我办在应急恢复过程中应保留相关证据。对于人为破坏活动,公安、安全、保密、通信管理等部门按职责分工负责组织开展调查取证工作。
6.应急终止
沈阳仲裁办网络安全事件应急领导小组根据网络安全事件应急任务完成情况上报市委网信办,市委网信办报市委网信委和省委网信办审定授权后,宣布终止Ⅲ级响应并立即将终止Ⅲ级相应的决定通报各成员单位和沈阳仲裁办网络安全事件应急领导小组。Ⅳ级响应终止,由我沈阳仲裁办网络安全事件应急领导小组向市委网信办提出终止Ⅳ级响应建议,市委网信办研判后,按照职责权限和规定程序宣布终止Ⅳ级响应。
(三)调查与评估
Ⅲ级网络安全事件,由市委网信办组织相关主管部门开展联合调查和总结评估;Ⅳ级网络安全事件由我办组织开展联合调查和总结评估。必要时,由市委网信办组织技术力量协助我办开展调查和总结评估等工作。要对事件的起因、性质、影响、责任等进行明确认定,并提出相应处理意见和改进措施。
事件的调查处理和总结评估工作原则上应该在应急响应结束后30天内完成。
(四)信息发布
市委宣传部、市委网信办组织网络安全突发事件的应急新闻工作,指导协调我办开展新闻发布和舆论引导工作。未经批准,其他部门和单位不得擅自发布相关信息。
网络安全事件的信息发布应当及时、准确、客观、全面。事件发生的第一时间要向社会发布网络安全风险预警,发布避免、减轻危害的措施等,并根据事件处置情况做好后续发布工作。
信息发布主要包括授权发布、散发新闻稿、组织报道、接受记者采访、举行新闻发布会等。
五、预防工作
(一)日常管理
我办按职责做好网络安全事件日常预防工作,建立健全网络安全事件风险评估和隐患排查工作机制;制定完善应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份;及时采取有效措施,减少和避免网络与信息安全事件的发生及危害,提高应对网络安全事件的能力。
(二)预案演练
结合应急预案,有计划、有重点地定期组织演练,市委网信办负责对我办预案演练工作督促和指导。
通过预案演练,不断补充、完善应急预案,提高对突发网络安全事件的应急处置能力。
(三)宣传与培训
充分利用各种传播媒介及其他有效的宣传形式,加强网络安全事件预防和处置有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣讲活动;将网络安全事件相关应急知识列入我办行政管理干部和有关人员的培训内容,加强网络安全特别是相关应急预案的培训,提高我办相关人员防范意识及技能。
(四)重要敏感时期的预防措施
在国家重要活动、会议等重要敏感时期,加强网络安全事件的防范和应急响应,确保网络安全。
六、保障措施
(一)机构与人员
我办要落实网络安全事件应急工作责任制,把责任落实到具体部门、具体岗位和个人,各部门负责人需对所在支部网络安全事件应急工作负责,各支部网络安全监测员对所在支部网络安全情况实时监控,出现可疑情况及不确定问题,及时上报至综合部,由综合部汇总,第一时间组织技术人员对网络安全事件进行应急处置,并建立健全应急工作机制。
(二)责任与奖惩
突发网络安全事件应急处置工作实行行政领导负责制和责任追究制。对在网络安全事件应急工作中作出突出贡献的先进集体和个人要给予表彰和奖励。对迟报、谎报、瞒报和漏报突发网络安全事件重要情况或者在处置过程中有其他玩忽职守、失职、渎职的有关责任人,要依据有关规定严肃追究责任,构成犯罪的,依法追究刑事责任。
附件:1.名词术语
2.网络和信息系统损失程度划分说明
附件1
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果。
a)损害国防、国家关系;
b)损害国家财产、公共利益以及个人财产或人身安全;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键信息基础设施、政府信息系统安全;
g)影响市场秩序,造成不公平竞争,破坏市场规律;
h)可推论出国家秘密事项;
i)侵犯个人隐私、企业商业秘密和知识产权;
j)损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
附件2
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
a)特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
b)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是不可承受的;
c)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
d)较小的系统损失:造成系统短暂中断,影像系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响付出的代价较小。