1．总则

    1．1编制目的

    为科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全。

    1．2编制依据

根据《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《中共中央办公厅、国务院办公厅转发<国家信息化领导小组关于加强网络与信息安全保障工作的意见>的通知》、《计算机病毒防治管理办法》等法律法规及有关规定、文件精神，结合我局实际，制定本预案。

    1．3基本原则

    1．3．1统一领导，协同作战。莆田市民政局网络与信息安全突发事件应急工作由局网络与信息安全应急协调领导小组统一领导和协调，局机关各科室、下属各单位遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。

    1．3．2明确责任，依法规范。各有关部门，按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制"的要求，依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任制和责任追究制。

    1．3．3防范为主，加强监控。开展安全教育和培训工作，提高莆田市民政局干部职工的信息安全防护意识和水平，积极做好日常安全工作，提高应对突发网络与信息安全事件的能力。建立和完善信息安全监控体系，加强对网络与信息安全隐患的日常监测，建立完善的信息系统安全监控和管理机制，保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。

    1．4适用范围

    凡在莆田市民政局范围内发生的严重影响网络与信息系统正常运行，造成系统中断、系统破坏、数据破坏或者国家秘密信息被窃取、泄露等，对社会稳定或公众利益等方面造成不良影响以及造成一定程度经济损失的重大网络与信息安全事件，适用本预案。

    2．组织指挥体系及职责

    2．1网络与信息安全应急协调领导小组

    成立莆田市民政局网络与信息安全应急协调领导小组，组长由局主要领导担任，副组长由局分管领导担任，成员由局机关各科室、下属单位负责人组成。负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。

    2．2领导小组办公室

    网络与信息安全应急协调领导小组办公室(以下简称领导小组办公室)设在莆田市民政局办公室，办公室主任由局办公室主任兼任。领导小组办公室主要负责网络与信息安全应急协调领导小组的日常工作，负责建立健全协调机制和信息通报机制，制定相应的应急处理工作流程，明确各部门在应急协调工作中的任务和责任；负责协调组织各项应急准备工作，主要包括应急响应规划制定、应急队伍建设、应急资源准备、灾难恢复准备、发布预警信息、应急响应培训和演练及其他应急响应相关工作；按照网络与信息安全应急协调领导小组的命令和指示，组织协调各成员单位，落实网络与信息安全应急保障工作。

    3．预警和预防机制

    3．1信息监测及预警报告

制定和完善网络与信息安全突发公共事件监测、预警、报告制度，建立网络与信息安全事故通报制度。要落实责任制，按照“早发现、早报告、早处置”的原则，加强网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。

发生网络与信息安全突发事件的单位应当在事件发生后，对发生的事件进行调查核实、保存相关证据，并向有关部门和领导小组办公室报告。初次报告最迟不得超过半小时，重大和特别重大的网站网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

    3．2预警预防行动

积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑应急备份与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

3．3预警支持系统

领导小组办公室建立和健全信息监测、指挥决策支持及预警发布系统，及时发布预警信息。

3．4预警级别

本预案所指的网络与信息安全突发公共事件，是指网络与信息系统突然遭受不可预知外力的破坏、毁损、故障，发生对国家、社会、公众造成或者可能造成重大危害，危及公共安全的紧急事件。

 3．4．1事件分类。

根据网络与信息安全突发公共事件的发生过程、性质和特征，网络与信息安全突发公共事件可划分为网站网络安全突发事件和信息安全突发事件。网络安全突发事件是指自然灾害，事故灾难和人为破坏引起的网站网络与信息系统的损坏；信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

自然灾害是指地震、台风、雷电、火灾、洪水等。

事故灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。

人为破坏是指人为破坏网络线路、通信设施、黑客攻击、病毒攻击、恐怖袭击等事件。

 3．4．2事件分级。

根据网络与信息安全突发公共事件的可控性、严重程度和影响范围，将网络与信息安全突发公共事件分为四级：Ⅰ级 (特别重大 )、Ⅱ级 (重大 )、Ⅲ级 (较大 )、Ⅳ级 (一般 )。国家有关法律法规有明确规定的，按国家有关规定执行。

Ⅰ级 (特别重大 )：网络与信息系统发生全局性大规模瘫痪，事态发展超出自己的控制能力，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发公共事件。

Ⅱ级 (重大 )：网络与信息系统造成全局性瘫痪，对国家安全、社会秩序、经济建设和公共利益造成严重损害需要跨部门协同处置的突发公共事件。

Ⅲ级 (较大 )：网络与信息系统的某一部分瘫痪，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发公共事件。

Ⅳ级 (一般 )：网络与信息系统受到一定程度的损坏，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发公共事件。

3．5预警处理与发布。

对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并在 1小时内进行风险评估，判定事件等级。必要时应启动相应的预案，同时向应急小组办公室通报情况。

应急领导小组办公室接到报警信息后应及时组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别，并及时向局应急领导小组报告。

应急领导小组接到报告后，对发生和可能发生Ⅰ级或Ⅱ级的网络与信息安全突发公共事件时，应迅速召开应急领导小组会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员。并向相关部门进行通报。

对需要向市公安局网络安全支队通报的要及时通报，并争取支援。

    4．应急响应

    在发生网络与信息安全事件时，各单位应第一时间报告到领导小组办公室，如有必要，领导小组办公室报告局网络与信息安全应急协调领导小组。同时与相关的产品技术支持单位联系，获得必要的技术支持。

    4．1预案启动

    在发生网络与信息安全事件后，事件发生单位和现场应急响应小组尽最大可能收集事件相关信息，鉴别事件性质，确定事件来源，以确定事件范围和评估事件带来的影响和损害，确认为网络与信息安全事件后，对事件进行定级和上报。按照应急响应流程，由网络与信息安全应急协调领导小组决定启动应急预案，并由领导小组办公室负责应急处理协调工作。

    4．2应急处理

    4．2．1确认阶段。事件发生单位要初步确定应急处理方式，检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。应根据事件具体情况采取抑制措施，抑制事件进一步扩散，并根除事件影响，恢复系统运行。

    如果以自身力量无法处理的事件，应提出应急支援请求，由领导小组办公室协调派出应急支援技术力量进行信息安全应急支援。

    4．2．2遏制阶段。及时采取行动遏制事件发展，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒等。

    4．2．3根除阶段。

    在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，将对攻击源进行定位并采取合适的措施将其中断。清理系统、数据恢复、运行程序、继续服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。

    在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施，彻底消除安全隐患。

    4．2．4恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。

    4．2．5对于重点业务系统，发生问题后在采取技术措施解决的同时，还要加强宣传，公布危害性和解决办法，以避免产生社会恐慌。

    4．3  应急支援

    本预案启动后，领导小组办公室立即组织网络与信息安全应急响应技术队伍赶赴事发地，督促、指导和协调应急处置工作，并根据事态的发展和处置工作的需要，及时调动必需的物资、设备，支援应急工作。当采用一般应急处置措施仍无法控制事态时，要迅速研究采取有利于控制事态的非常措施，并向局网络与信息安全应急协调领导小组请求支援。

    4．4安全事件的处理记录

    在事件的上报、接收和处理过程中，事件接收人、处理负责人应及时作好完整的过程记录。事件处理完成后归档。

    4．5结束响应

网络与信息安全突发事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决，将各监测统计数据上报应急领导小组办公室，由应急领导小组办公室向应急领导小组提出应急结束的建议，经批准后实施。

对于蠕虫病毒等易造成大范围传播的网络与信息安全事件，应及时向领导小组办公室提交预警信息。

因为重大自然灾害而引起的网络与信息安全事件，可根据灾害造成的损失情况参照上述流程进行应对。

5．后期处置

5．1善后处理

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报应急领导小组办公室。

5．2调查评估

在应急处置工作结束后，局主管部门应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急协调领导小组，并根据问责制的有关规定，对有关责任人员作出处理。特别重大网络与信息安全事件的调查评估报告，经应急领导小组办公室审核后，报应急协调领导小组，必要时采取合理的形式向社会公众通报。

    6．保障措施

    6．1应急队伍保障

    6．1．1各部门要不断加强信息安全人才培养，进一步强化信息安全宣传教育，努力建设一支高素质、高技术的信息安全核心人才和管理队伍，增强信息安全防御意识。加强应急力量配备，指定专人负责，并开展技术培训和应急演练，提高应急响应技术队伍素质，保证应急情况下应急机制的迅速启动和有效处置。

    6．1．2由领导小组办公室在全局范围内组织建立网络与信息安全应急响应技术队伍(包括安全分析员、应急响应人员、灾难恢复人员等)。成立局网络与信息安全应急响应技术队伍，为应急救援决策提供咨询和技术支持。根据工作需要，领导小组办公室可从有关单位抽调工作人员，各单位应服从协调和安排。

    6．2应急设备保障

    6．2．1各单位在信息系统建设和运行过程中应建立信息网络预留硬件、软件和应急救援设备等应急物资储备。根据工作需要，各单位应急响应工作缺乏的设备或工具软件应及时采购。在网络与信息安全突发事件发生时，应急物资储备可由领导小组办公室调度使用。

    6．2．2应急响应技术队伍应加强对应急工具及设备的维护调试，保证其随时处于可用状态，保证在发生网络与信息安全事件时应急工具及设备能够立即投入使用，有效地支持应急响应工作。

    6．2．3应急响应技术队伍应注意跟踪最新的技术发展动态，收集、整理其他应急响应相关工具，包括文件完整性检测工具、木马、后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新。

    6．3技术资料保障

    全面的技术资料是高效的应急响应工作的前提和基础，应急技术资料是网络和信息系统重要技术信息，包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息等。信息中心应将这些信息建立技术档案并及时更新，以保证与实际系统的一致性。

    6．4经费保障

在应急响应工作中，协调财政部门应对所需的相关经费给予充分保障。

    6．5后勤保障

各有关科室、下属单位要做好应急响应工作后勤保障，确保应急响应工作的顺利开展。  

6．6演练及维护

    6．6．1建立定期演练制度

    每年组织一次应急演练，模拟处置影响较大的信息安全事件，发现并解决应急工作体系和工作机制存在的问题，检验物资器材的完好情况，提高应急处理能力。

    6．6．2预案的修订完善

    领导小组办公室负责应急预案的修订完善。网络与信息安全技术组成员应针对应急响应工作中遇到的问题，分析应急预案的科学性和合理性，及时向领导小组办公室提出修改建议。在上级预案或相关的法律法规修改后，本预案应进行调整与其保持一致。

    7．监督检查与奖惩

    7．1预案执行监督

    应急领导小组办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。    

    7．1．1发生重大信息安全事件的单位应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报。

    7．1．2应急行动结束后，应急响应领导小组办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。

    7．2奖惩与责任

    7．2．1对下列情况经网络与信息安全应急响应领导小组办公室评估审核，报网络与信息安全应急响应领导小组批准后予以奖励。

    在应急行动中做出特殊贡献的先进单位或个人；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。

    7．2．2在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，将予以通报批评；对造成严重不良后果的，将视情节追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

7．2．3对未及时落实指令，影响应急行动的效果的单位或个人，按《国务院关于特大安全事故行政责任追究的规定》追究相关人员的责任。

附件：1、网络与信息安全协调（响应）协调领导小组

2、重大信息安全事件报告表

3、重大信息安全事件处理结果报告表

4、网络与信息安全应急处理指南