山西司法行政网欢迎您

中文域名:山西省司法厅.政务 英文域名:www.sxsfxz.gov.cn

您当前的位置是:首页>>互动交流>>民意征集

山西省司法厅网络安全事件应急预案

开始时间:2017-08-30

 

山西省司法厅网络安全事件应急预案

 

总则

1.1 编制目的

建立健全山西省司法厅网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成损失和危害,保障本厅网络和重要信息系统安全运行。

1.2 编制依据

《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《国家网络安全事件应急预案》《信息安全等级保护管理办法》《山西省计算机信息系统安全保护条例》《山西省网络安全事件应急预案》《太原市网络与信息安全突发事件应急预案》信息安全事件分类分级指南》(GB/Z 20986-2007)《政府部门信息安全管理指南》GT/T 29245-2012)等法律法规文件。

1.3 适用范围

本预案所指网络安全事件是指由于自然或人为以及软硬件本身缺陷的原因,对本厅网络、本厅统一开发部署在运信息系统或其中数据造成危害的事件。

本预案适用于本厅区域内发生的网络安全事件,以及发生在其他区域且有可能影响本厅区域的网络安全事件的预防和处置工作。其中,有关信息内容安全事件的应对,由厅机关相关业务主管处室另行制定专项预案。

1.4 事件分级

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

(1)符合下列情形之一的,为特别重大网络安全事件:

重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。

国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:

重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:

重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

1.5工作原则

建立完善“集中领导、统一指挥、结构完整、功能全面、反应快捷、运转高效”的网络安全突发事件应急体系,坚持预防为主,预防和应急相结合,全面提高应对网络安全突发事件的能力和水平,确保网络和信息系统安全稳定运行。

2 组织机构及职责

本厅网络安全事件应急响应工作组织机构包括厅网络安全和信息化领导小组(简称“厅网信领导小组”)、厅网络安全和信息化领导小组办公室(简称“厅网信办”)。

2.1 厅网信领导小组职责

统一领导、指挥、协调全厅网络安全事件的预防和应急处置工作,批准特别重大、重大、较大网络安全事件的上报工作,决定较大网络安全事件应急响应启动与终止;决定厅网信办提请审议的重要事项。

2.2 厅网信办职责

落实厅网信领导小组指示和部署,汇总上报网络安全事件处置工作进展情况,提出具体应急处置方案和措施建议;组织处置一般突发事件,对特别重大、重大、较大事件进行先期处置,经厅网信领导小组批准后按要求向省网安部门上报特别重大、重大较大网络安全事件信息;分析网络安全事件发生原因和事后调查、总结工作,负责全厅网络安全风险评估控制、隐患排查整改工作;组织拟订(修订)重要信息系统的专项处置方案,组织网络安全事件应急处置演练,实施应对网络安全事件宣传教育培训;负责突发事件信息发布、网络安全应急技术支撑队伍建设工作;承担厅网信领导小组交办的其他事项。

3 监测与预警

3.1 监测职责与机制

3.1.1 安全风险监测

厅网信办负责定期开展网络和信息系统检查,了解掌握网络和信息系统的安全状况,加强风险管理,提高网络和信息系统安全风险监测能力。

3.1.2 监测系统的建设和管理

厅网信办统一规划、建设、管理网络安全综合防控和安全事件处置平台。

3.1.3 网络安全事件信息报送机制

厅网信办设立网络安全事件接报电话传真0351-2681081,接收省网安部门发布的预警信息,向省网安部门上报本厅预警信息;接收本厅网络和信息系统使用部门和社会公众提供的事件信息,并收集社会相关机构的预警信息。

3.2 风险预警及发布

3.2.1 风险分级

厅网信办对监测或相关单位提供的预警信息进行分析研判,对可能发生的网络安全威胁及时进行预警。按照网络安全威胁的紧急程度、发展势态和可能造成的危害程度由高到低依次用红色、橙色、黄色、蓝色表示,分别对应发生或可能发生特别重大、重大、较大、一般网络事件。在敏感时期发生或可能发生网络安全事件时,相应提高预警等级。

3.2.2 预警信息内容

预警信息包括网络安全事件的类别、预警级别、起始时间、可能影响范围、预防措施、发布范围和发布机关等。

3.2.3 预警发布和解除

红色、橙色预警:厅网信办接收省网安部门发布的红色、橙色预警,并报请厅网信领导小组批准后,向本系统相关单位发布或解除预警信息。

黄色预警:厅网信办对监测信息进行研判,对可能发生较大及以上网络安全事件的信息,及时向厅网信领导小组提出预警建议,经批准后及时向省网安部门报告,并向本系统相关单位发布或解除预警信息。

蓝色预警:由厅网信办发布和解除。

3.2.4 预警发布范围

网络安全事件预警信息发布范围主要包括使用本厅网络的部门和使用本厅信息系统的部门两类。预警信息发布的范围由厅网信办确定。

3.2.5 预警级别的变更

厅网信办密切关注事件进展情况,根据事态变化、上级单位要求,适时调整预警级别,并将调整结果及时通报各相关部门。

3.3 预警响应

预警信息发布后,厅网信办依据发布的预警级别,组织各相关部门和应急队伍,做好响应工作,进入应急状态。

3.3.1 红色、橙色预警响应

按照省网安部门要求进行预警响应。

3.3.2 黄色预警响应

(1)厅网信办启动相应应急预案,制定预警防范措施,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。

(2)厅网信办密切关注事态发展,及时向厅网信领导小组报告有关重大事项。

(3)厅网信办进入应急状态,确保相关应急技术人员处于待命状态,检查应急设备、软件工具等,确保处于良好状态,联系相关社会应急力量进入应急支援状态。

3.3.3 蓝色预警响应

(1)厅网信办组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。

(2)厅网信办密切关注事态发展,及时向厅网信领导小组报告有关重大事项。

3.4 预警解除

红色、橙色预警由省网安部门发布预警解除信息,黄色、蓝色预警由厅网信办根据实际情况,确定是否解除预警,及时发布预警解除信息。

4 应急响应

4.1 信息报告

1)本厅网络使用部门和信息系统业务主管部门,发现本部门网络和信息系统存在安全风险或发生安全事件时,及时报告厅网信办。

2)厅网信办监测到或收到安全事件信息时,对于初判为特别重大、重大、较大网络安全事件,立即将事件简要情况报厅网信领导小组,经批准后报告省网安部门

(3)信息报告内容

一般包括以下要素:事件发生时间、发生事件的网络和信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。

4.2 先期处置

网络安全事件发生后,厅网信办在第一时间内实施先期处置,并按照职责和规定权限启动相关应急预案,控制事态发展。

(1)控制事态发展,防控蔓延。厅网信办采取各种技术措施及时控制事态发展,最大限度防止事件蔓延。

(2)快速判断事件性质和危害程度。厅网信办尽快分析事件发生原因,根据网络和信息系统运行和承载业务情况,初步判断事件的影响、危害和可能涉及的范围,提出应对措施建议。

(3)及时报告信息。厅网信办在先期处置的同时,按照要求及时向厅网信领导小组和省网安部门报告事件信息。

(4)做好事件发生、发展、处置的记录和证据留存。厅网信办在先期处置过程中尽量保留相关证据,采取手工记录、截屏、文件备份和影像设备记录等手段,对事件发生、发展、处置的过程、步骤、结果进行详细记录,尽可能保存原始证据,为事件处置、调查、处理提供客观证据。

4.3 分级响应

根据网络安全事件的严重程度,应急响应分为一级响应、二级响应、三级响应、四级响应。

4.3.1 一级响应

由厅网信办向省网安部门报告信息,由省网安部门宣布启动一级响应并组织开展响应工作。

4.3.2 二级响应

由厅网信办向省网安部门报告信息,由省网安部门宣布启动二级响应,厅网信办配合省网安部门做好如下响应工作:

(1)厅网信办进入应急状态,做好应急处置工作。

(2)厅网信办及时将事态发展变化情况报省网安部门。

(3)根据需要向省网安部门提出技术援助和支持需求。

4.3.3 三级响应

启动条件:发生较大网络安全事件。

启动程序:由厅网信办提出启动建议,经厅网信领导小组组长或分管信息化副组长批准后,由厅网信办启动。

响应措施:

(1)启动应急体系

厅网信办进入应急状态,组织相关技术人员指导现场处置。相关成员保持24小时联络畅通,相关负责人24小时在岗带班。

(2)掌握事件动态

厅网信办及时了解事态发展变化情况和处置进展情况,检查其他信息系统是否受到事件涉及或影响,并将有关情况及时报厅网信领导小组,并根据要求报省网安部门。

(3)处置实施

厅网信办及时采取技术措施阻止事件蔓延;尽快分析事件发生原因,并根据原因有针对性的采取措施,恢复受破坏信息系统正常运行;组织开展事件调查和责任评估工作,及时向厅网信领导小组报告;根据事件应急实际情况,形成各阶段工作简报,报厅网信领导小组和省网安部门;需要向社会发布的信息和新闻稿,经厅网信领导小组审核批准后进行发布。

4.3.4 四级响应

启动条件:发生一般网络安全事件。

启动程序:由厅网信办宣布启动。

响应措施:厅网信办组织协调技术力量进行事件处置工作,并将事件信息、处置进展情况及时向厅网信领导小组报告。

4.4 响应级别变更

在应急响应过程中,厅网信办根据事态变化和响应效果,适时报厅网信领导小组,调整响应级别并开展相应级别的处置工作。根据事态发展,超出本厅处置能力,厅网信办及时向省网安部门报告事件情况并请求援助和支持。

4.5  应急结束

网络安全事件处置已基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制,按照“谁启动、谁结束”原则结束应急响应。

5 后期处置及保障措施

5.1 善后处理

厅网信办负责组织制定恢复、整改或重建方案,并根据要求报相关主管部门审核后组织实施。

5.2 事件总结

特别重大、重大网络安全事件应急处置工作结束后,由省网安部门进行全面总结评估。

较大、一般网络安全事件由厅网信办组织开展事件原因分析、事件责任调查评估,对事件影响和应急处置工作进行全面评估。一般事件总结报告报厅网信领导小组,较大事件总结报告经厅网信领导小组批准后报省网安部门。

5.3 应急保障措施

5.3.1 应急装备保障

关键信息基础设施在建设或升级改造时预留一定的应急设备,建立应急救援物资库。发生网络安全事件时,由厅网信办负责统一调配。

厅网信办根据工作需要,及时采购应急所需物资,加强对应急设备的维护调试,确保发生网络安全事件时应急设备能够立即投入使用,有效支持应急响应工作。

5.3.2 应急平台保障

厅网信办建立应急演练环境,为网络安全事件处置提供科技支撑。关键信息基础设施建立异地容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。

5.3.3 应急支援保障

经厅网信办选择,报厅网信领导小组批准,由国家有关部门资质许可的、管理规范、服务能力较强的企业作为本厅网络安全的社会应急支援单位。

5.3.4 应急技术资料保障

应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、信息系统或硬件设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商维护人员信息等,厅网信办及时更新这些信息,以保证与实际情况一致。

5.3.5 应急经费保障

装备处积极争取财政支持充分保障应急响应工作中所需的相关经费,确保在应急处置、事故恢复及系统重建所需的资金投入

5.3.6 应急后勤保障

厅办公室和后勤服务中心做好应急响应工作的交通运输和治安保障及其他后勤保障工作,确保应急响应工作的顺利开展。

6 培训与演练

6.1 培训

厅网信办将网络安全知识和突发事件应急技能列为全厅干部职工的培训内容,要特别加强对应急预案的组织、指挥和操作人员的培训,不断提高防范意识及技能。

6.2 演练

厅网信办每年组织一次一般网络安全事件的模拟演练,每三年组织一次较大网络安全事件的模拟演练,发现并解决应急工作体系和工作机制存在的问题,检验应急物资的完好情况,提高应急处置的实战能力,检验和完善预案。

7 附则

7.1 名词术语

网络与信息安全事件:由于自然或者人为以及软硬件本身缺陷的原因,对网络与信息系统造成危害,或对社会造成负面影响的事件。

7.2 预案管理

7.2.1 预案制定与解释

本预案由厅科技信息处编制负责解释。

7.2.2 预案实施与修订

本预案自印发之日起实施,原则上每三年修订一次,也可根据实际需要适时修订。