杭州教育係統網絡與數據安全應急預案
第一章 總則
第一條 編製目的
提高網絡與數據安全突發性危害事件的防範和應急處理能力,形成科學、有效,快速反應的應急響應機製,最大限度地減輕網絡與信息安全突發公共事件造成的影響,保障網絡與業務信息係統的正常運行和數據安全。
第二條 編製依據
根據《中華人民共和國計算機信息係統安全保護條例》、《浙江省網絡與信息安全應急預案》、《杭州市突發公共事件總體應急預案)》等規定,製定本預案。
第三條 適用範圍
本預案適用於本市教育係統(包括各級教育行政部門、學校和單位)發生或可能導致發生網絡與信息安全突發公共事件的應急處置工作。
第四條 工作原則
以人為本,加強預防;明確責任,分級負責;按照規範,加強管理;快速響應,協同應對;依靠科技,資源整合。
第五條 分類分級
本預案所稱網絡與信息安全突發公共事件件,是指因自然或人為活動危害網絡與信息係統等緊急事件。
一、 事件分類
根據網絡與信息安全突發公共事件的發生過程、性質和特征,劃分為網絡安全突發事件和信息安全突發事件。
網絡安全突發事件是指自然災害(地震、台風、雷電、火災等),事故災難(電力中斷、網絡損壞、或軟、硬件設備故障等)和人為破壞(人為破壞網絡線路、通信設施,黑客攻擊、病毒攻擊、恐怖主義活動等)引起的網絡與信息係統的損壞。
信息安全突發事件是指利用信息網絡進行有組織的大規模的反動宣傳、煽動和滲透等破壞活動。
二、 事件分級
網絡與信息安全突發事件按照其性質、嚴重程度、可控性和影響範圍等因素分為四級:Ⅰ級(特別重大)、Ⅱ級(重大)、Ⅲ級(較大)和Ⅳ級(一般)。
1、 Ⅰ級(特別重大)。網絡與信息係統發生全局性大規模癱瘓,事態發展超出本市教育係統的控製能力,對社會造成特別嚴重損害的突發事件。
2、 Ⅱ級(重大)。網絡與信息係統造成全局性癱瘓,對社會造成嚴重損害,需要跨部門、跨地區協同處置的突發事件。
3、 Ⅲ級(較大)。某一部分的網絡與信息係統癱瘓,對社會造成一定損害,但不需要跨部門、跨地區協同處置的突發事件。
4、 Ⅳ級(一般)。網絡與信息係統受到一定程度的損壞,對社會有一定影響,但不危害社會的突發公共事件。
第二章 組織體係與職責
第六條 組織體係
成立市教育係統網絡與信息安全應急協調領導小組,蔣莉兼任組長,姚益謀、張慧慧任副組長,成員為陳秋興、章潘彪、金源、黃海燕、黃柏洪。協調領導小組下設辦公室、市教育網絡安全管理應急大組。
辦公室設在市教育技術中心,負責網絡與信息安全應急響應工作的整體規劃、組織協調和決策指揮。
市教育網絡安全管理應急大組由市教育技術中心相關人員、各區、縣(市)教育局、市屬學校(單位)網絡與信息安全分管領導和技術負責人組成,負責網絡與信息安全應急響應的具體實施工作。具體名單根據工作和人員變動情況適時公布。各有關部門要及時將調整後的人員名單告知辦公室和教育技術中心。
第七條 職責
應急協調領導小組的職責:研究製定市教育係統網絡與信息安全應急處置工作的規劃、計劃和政策;協調推進網絡與信息安全應急機製和工作體係建設;發生網絡與信息安全突發公共事件後,決定啟動本預案,組織應急處置工作。
相關部門職責:
1、 市教育局辦公室
(1) 負責應急期間交通、電力、通訊、後勤等保障工作。
(2) 負責應急期間重要信息上報工作。
(3) 負責組織協調信息安全突發事件的新聞發布。
2、 市教育技術中心:
(1) 負責應急領導小組辦公室的日常工作,落實應急領導小組決定的事項。
(2) 研究提出網絡與信息安全應急機製建設規劃,並進行檢查、指導和督促工作。
(3) 負責全市教育係統網絡與信息安全應急預案的管理,指導督促重要信息係統應急預案的修訂和完善,檢查落實預案執行情況。
(4) 指導全市教育係統應對網絡與信息安全突發公共事件的科學研究、預案演習、宣傳培訓、督促應急保障體係建設。
(5) 及時收集網絡與信息安全突發公共事件相關信息,分析重要信息並向應急領導小組提出處置建議。
(6) 負責信息安全突發事件日常監測與預警。
(7) 負責信息安全突發事件先期應急處置等工作。
3、 各區、縣(市)教育局、市屬學校(單位):
(1) 各區、縣(市)教育局參照本預案製定適合本區域的網絡與信息安全應急預案。
(2) 市屬學校(單位)按照本預案執行,做好信息安全突發事件日常監測與預警、做好信息安全突發事件先期應急處置等工作。
第三章 監測與預防
第八條 信息監測與報告
網絡管理員按照“早發現、早報告、早處置”的原則,加強對各類網絡與信息安全突發公共事件和可能引發突發公共事件的有關信息的收集、分析判斷和持續監測,發生網絡與信息安全突發事件,及時報告。報告內容主要包括信息來源、影響範圍、事件性質、事件發展趨勢和采取的措施等。
第九條 預警處理與發布
1、 對於可能發生或已經發生的網絡與信息安全突發公共事件,立即采取措施控製事態,並在1小時內進行風險評估,判定事件等級。必要時應啟動相應的預案,同時向應急小組辦公室通報情況。
2、 應急辦公室接到報警信息後應及時組織有關專家對信息進行技術分析、研判,根據問題的性質、危害程度,提出安全預警級別。
3、 對發生和可能發生Ⅰ級或Ⅱ級的網絡與信息安全突發公共事件時,應迅速召開應急辦公室會議,研究確定網絡與信息安全突發公共事件的等級,決定啟動本預案,同時確定指揮人員,並向市政府、市公安局等相關部門進行通報,同時還應根據實際向網絡信息用戶發布預警,直至危害警報解除。
4、 對需要向省經信委、省公安廳通報的要及時通報,並爭取支援。
第四章 應急響應
第十條 應急處置
當發生網絡與信息安全突發公共事件時,網絡管理員應做好先期應急處置工作,立即采取相應措施控製事態發展,同時向應急辦公室報告,應急辦公室根據事件等級及時向分管領導報告。
在接到網絡與信息安全突發公共事件發生或可能發生的信息後,應急辦公室應加強與有關方麵的聯係,掌握最新發展動態,並做好啟動本預案的各項準備工作,同時根據網絡與信息安全突發公共事件發展態勢,視情況決定趕赴現場指導,組織派遣應急支援力量。
第十一條 應急指揮
1、 本預案啟動後,要抓緊收集相關信息,掌握現場處置工作狀態,分析時間發展態勢,研究提出處置方案,統一指揮網絡與信息應急處置工作。
2、 需要成立現場指揮部的,應立即在現場開設指揮部,現場指揮部要根據事件性質迅速組件各類應急工作組,開展應急處置工作。
第十二條 應急支援
本預案啟動後,立即成立應急響應先遣小組,督促、指導和協調處置工作。應急辦公室根據事態的發展和處置工作需要,及時增派專家小組,調動必需的物資、設備,支援應急工作。參加現場處置工作的各有關部門和單位在現場指揮部的統一指揮下,協助開展處置行動。
第十三條 擴大應急
發生或可能發生重大、特別重大突發性危害事件,采取一般處置措施無法控製和消除其嚴重危害,需要實施擴大應急行動。因突發性危害事件次生或衍生出其他突發性危害事件,已有的應急救援能力不足以控製事件發展態勢,應及時報告上級部門,由上級部門協調指揮相關單位參與處置。
第十四條 信息處理
網絡與信息安全突發公共事件發生時,短時間不能恢複正常運作時,經請示分管領導後,由應急辦公室進行信息發布。
網絡管理員應對事件進行動態監測、分析,將事件的性質、危害程度和信息處理工作等,及時報應急辦公室,不得隱瞞、緩報、謊報。
應急辦公室要明確信息采集、編輯、分析、審核、簽發的責任人,做好信息分析、報告和發布工作。要及時編發事件動態信息供領導參閱。要組織專家和有關人員研判各類信息,研究提出對策措施,完善應急處置計劃方案。
第十五條 應急結束
網絡與信息安全突發公共事件經應急處置後,得到有效控製,事態下降到一定程度或基本得到解決,分析各監測統計數據後,確定是否結束應急。
第十六條 後期處置
1、 善後處理
在應急處置工作結束後,要迅速采取措施,組織搶修受損的基礎設施,盡快恢複正常工作。抓緊統計各類數據,查明原因,對事件造成的損失和影響以及恢複重建能力進行分析評估,認真製定恢複重建計劃,並迅速組織實施。有關部門要提供必要的人員和技術、物資和裝備以及資金等支持,並將善後處置的有關情況報應急辦公室。
2、 調查評估
在應急處置工作結束後,應急辦公室應立即組織有關人員和專家組成事件調查組,對事件發生及其處置過程進行全麵的調查,查清事件發生的原因及財產損失情況,總結經驗教訓,寫出調查評估報告,並根據問責製的有關規定,對有關責任人員進行處理。
第五章 保障措施
第十七條 應急裝備保障
在網絡信息係統建設時應事先預留一定的應急設備,儲存信息網絡硬件、軟件、應急救援設備都有備用設備。
第十八條 數據保障
重要網絡信息係統均應建立容災備份係統和相關工作機製,保證重要數據在受到破壞後,可緊急恢複,容災備份係統應具有一定兼容性,在特殊情況下各係統間可互為備份。
第十九條 應急隊伍保障
由應急辦公室按照一專多能的要求建立網絡與信息安全應急保障隊伍。
第六章 監督管理
第二十條 宣傳教育
要利用各種傳播媒介及有效的形式,有計劃地開展網絡與信息安全突發公共事件應急和處置的宣傳教育活動,定期或不定期舉辦應急管理培訓班,加強相關工作人員安全防範意識的宣傳普及,提高公眾防範意識和應急處置能力。
要加強對網絡與信息安全等方麵的知識培訓,提高防範意識及技能,指定專人負責安全技術工作,並將網絡與信息安全突發公共事件的應急管理、工作流程等列為培訓內容,增強應急處置工作的組織能力。
第二十一條 預案演練
建立應急預案定期演練製度。通過演練,發現應急工作體係和工作機製存在的問題,不斷完善應急預案,提高應急處置能力。
第二十二條 責任與獎懲
網絡與信息係統的管理部門要認真貫徹落實預案的各項要求與任務,建立監督檢查和獎懲機製。應急辦公室將不定期進行檢查,對各項製度、計劃、方案、人員、物資等進行實地驗證,並以演練的評定結果作為是否有效落實預案的依據。
第七章 附則
第二十三條 本預案由杭州市教育局辦公室製定,杭州市教育技術中心根據實際情況,及時修訂本預案。
第二十四條 本預案自發布之日起實施。
杭州市教育技術中心
二○一九年三月十日
附件:應急處置程序與措施
危害發生時,應根據現場情況判定危害的性質,分別進入下列不同的處置程序。
流程一
當發生的危害為物理危害時,應根據當時實際情況,在保障人身安全的前提下,首先保障數據安全,然後是設備的安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
流程二
當人為或病毒破壞危害發生時,具體按以下順序進行:
判斷破壞的來源與性質一一斷開影響安全與穩定的信息網絡設備一一隔離與破壞源的網絡物理連接一一跟蹤並鎖定破壞來源的IP地址或其它網絡用戶信息一一及時修複被破壞的信息一一恢複信息係統。
按照危害發生的性質分別采用以下方法:
1、 病毒傳播:要及時斷開傳播源,判斷病毒的性質,然後用相應的殺毒軟件查殺;
2、 網絡入侵:首先要判斷入侵的來源。來自外網和政務專網的,定位入侵的IP地址,及時關閉入侵的端口,限製入侵者的訪問,並上報省網絡與信息安全信息通報中心。在無法製止的情況下應采取斷開網絡連接的措施。來自內網的,查清入侵來源,隔離入侵源;
3、 信息被篡改:一經發現馬上斷開相應信息連接鏈路;
4、 網絡故障:一旦發現,根據相應工作流程盡快排除;
5、 其它未列出的不確定因素造成的危害,可根據安全管理原則,結合具體情況,做出相應的處理。
流程三
當門戶網站主頁被惡意篡改、出現反政府、分裂國家和色情信息時,應進入網站應急處置流程:
1、 網站值班人員發現問題後,立即向信息中心負責人彙報,並由信息中心負責人依據實際情況向公司辦公室或分管領導彙報,征得意見後,即與有關維護人員聯係,關閉公司門戶網站,並將出現的問題抓屏保存,以留作憑證;
2、 對發現的問題是否需向省政府、省公安公司報送,由應急處置工作機構決定;
3、 值班人員協調相關公司、技術人員,根據案情,找出事件發生原因,通過備份對服務器進行處理後,報信息中心負責人。
4、 信息中心負責人向公司辦公室或分管領導彙報後,根據情況決定是否重新開啟網站正常訪問。
處置程序結束後形成事件報告,報告內容包括:危害發生的時間、地點,危害的程度,危害造成的後果,應急處置的過程、結果,消除危害的時間,以後如何防範類似危害發生的建議與方案等。