杭州教育系统网络与数据安全应急预案
第一章 总则
第一条 编制目的
提高网络与数据安全突发性危害事件的防范和应急处理能力,形成科学、有效,快速反应的应急响应机制,最大限度地减轻网络与信息安全突发公共事件造成的影响,保障网络与业务信息系统的正常运行和数据安全。
第二条 编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《浙江省网络与信息安全应急预案》、《杭州市突发公共事件总体应急预案)》等规定,制定本预案。
第三条 适用范围
本预案适用于本市教育系统(包括各级教育行政部门、学校和单位)发生或可能导致发生网络与信息安全突发公共事件的应急处置工作。
第四条 工作原则
以人为本,加强预防;明确责任,分级负责;按照规范,加强管理;快速响应,协同应对;依靠科技,资源整合。
第五条 分类分级
本预案所称网络与信息安全突发公共事件件,是指因自然或人为活动危害网络与信息系统等紧急事件。
一、 事件分类
根据网络与信息安全突发公共事件的发生过程、性质和特征,划分为网络安全突发事件和信息安全突发事件。
网络安全突发事件是指自然灾害(地震、台风、雷电、火灾等),事故灾难(电力中断、网络损坏、或软、硬件设备故障等)和人为破坏(人为破坏网络线路、通信设施,黑客攻击、病毒攻击、恐怖主义活动等)引起的网络与信息系统的损坏。
信息安全突发事件是指利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。
二、 事件分级
网络与信息安全突发事件按照其性质、严重程度、可控性和影响范围等因素分为四级:Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)和Ⅳ级(一般)。
1、 Ⅰ级(特别重大)。网络与信息系统发生全局性大规模瘫痪,事态发展超出本市教育系统的控制能力,对社会造成特别严重损害的突发事件。
2、 Ⅱ级(重大)。网络与信息系统造成全局性瘫痪,对社会造成严重损害,需要跨部门、跨地区协同处置的突发事件。
3、 Ⅲ级(较大)。某一部分的网络与信息系统瘫痪,对社会造成一定损害,但不需要跨部门、跨地区协同处置的突发事件。
4、 Ⅳ级(一般)。网络与信息系统受到一定程度的损坏,对社会有一定影响,但不危害社会的突发公共事件。
第二章 组织体系与职责
第六条 组织体系
成立市教育系统网络与信息安全应急协调领导小组,蒋莉兼任组长,姚益谋、张慧慧任副组长,成员为陈秋兴、章潘彪、金源、黄海燕、黄柏洪。协调领导小组下设办公室、市教育网络安全管理应急大组。
办公室设在市教育技术中心,负责网络与信息安全应急响应工作的整体规划、组织协调和决策指挥。
市教育网络安全管理应急大组由市教育技术中心相关人员、各区、县(市)教育局、市属学校(单位)网络与信息安全分管领导和技术负责人组成,负责网络与信息安全应急响应的具体实施工作。具体名单根据工作和人员变动情况适时公布。各有关部门要及时将调整后的人员名单告知办公室和教育技术中心。
第七条 职责
应急协调领导小组的职责:研究制定市教育系统网络与信息安全应急处置工作的规划、计划和政策;协调推进网络与信息安全应急机制和工作体系建设;发生网络与信息安全突发公共事件后,决定启动本预案,组织应急处置工作。
相关部门职责:
1、 市教育局办公室
(1) 负责应急期间交通、电力、通讯、后勤等保障工作。
(2) 负责应急期间重要信息上报工作。
(3) 负责组织协调信息安全突发事件的新闻发布。
2、 市教育技术中心:
(1) 负责应急领导小组办公室的日常工作,落实应急领导小组决定的事项。
(2) 研究提出网络与信息安全应急机制建设规划,并进行检查、指导和督促工作。
(3) 负责全市教育系统网络与信息安全应急预案的管理,指导督促重要信息系统应急预案的修订和完善,检查落实预案执行情况。
(4) 指导全市教育系统应对网络与信息安全突发公共事件的科学研究、预案演习、宣传培训、督促应急保障体系建设。
(5) 及时收集网络与信息安全突发公共事件相关信息,分析重要信息并向应急领导小组提出处置建议。
(6) 负责信息安全突发事件日常监测与预警。
(7) 负责信息安全突发事件先期应急处置等工作。
3、 各区、县(市)教育局、市属学校(单位):
(1) 各区、县(市)教育局参照本预案制定适合本区域的网络与信息安全应急预案。
(2) 市属学校(单位)按照本预案执行,做好信息安全突发事件日常监测与预警、做好信息安全突发事件先期应急处置等工作。
第三章 监测与预防
第八条 信息监测与报告
网络管理员按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测,发生网络与信息安全突发事件,及时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
第九条 预警处理与发布
1、 对于可能发生或已经发生的网络与信息安全突发公共事件,立即采取措施控制事态,并在1小时内进行风险评估,判定事件等级。必要时应启动相应的预案,同时向应急小组办公室通报情况。
2、 应急办公室接到报警信息后应及时组织有关专家对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全预警级别。
3、 对发生和可能发生Ⅰ级或Ⅱ级的网络与信息安全突发公共事件时,应迅速召开应急办公室会议,研究确定网络与信息安全突发公共事件的等级,决定启动本预案,同时确定指挥人员,并向市政府、市公安局等相关部门进行通报,同时还应根据实际向网络信息用户发布预警,直至危害警报解除。
4、 对需要向省经信委、省公安厅通报的要及时通报,并争取支援。
第四章 应急响应
第十条 应急处置
当发生网络与信息安全突发公共事件时,网络管理员应做好先期应急处置工作,立即采取相应措施控制事态发展,同时向应急办公室报告,应急办公室根据事件等级及时向分管领导报告。
在接到网络与信息安全突发公共事件发生或可能发生的信息后,应急办公室应加强与有关方面的联系,掌握最新发展动态,并做好启动本预案的各项准备工作,同时根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导,组织派遣应急支援力量。
第十一条 应急指挥
1、 本预案启动后,要抓紧收集相关信息,掌握现场处置工作状态,分析时间发展态势,研究提出处置方案,统一指挥网络与信息应急处置工作。
2、 需要成立现场指挥部的,应立即在现场开设指挥部,现场指挥部要根据事件性质迅速组件各类应急工作组,开展应急处置工作。
第十二条 应急支援
本预案启动后,立即成立应急响应先遣小组,督促、指导和协调处置工作。应急办公室根据事态的发展和处置工作需要,及时增派专家小组,调动必需的物资、设备,支援应急工作。参加现场处置工作的各有关部门和单位在现场指挥部的统一指挥下,协助开展处置行动。
第十三条 扩大应急
发生或可能发生重大、特别重大突发性危害事件,采取一般处置措施无法控制和消除其严重危害,需要实施扩大应急行动。因突发性危害事件次生或衍生出其他突发性危害事件,已有的应急救援能力不足以控制事件发展态势,应及时报告上级部门,由上级部门协调指挥相关单位参与处置。
第十四条 信息处理
网络与信息安全突发公共事件发生时,短时间不能恢复正常运作时,经请示分管领导后,由应急办公室进行信息发布。
网络管理员应对事件进行动态监测、分析,将事件的性质、危害程度和信息处理工作等,及时报应急办公室,不得隐瞒、缓报、谎报。
应急办公室要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。要及时编发事件动态信息供领导参阅。要组织专家和有关人员研判各类信息,研究提出对策措施,完善应急处置计划方案。
第十五条 应急结束
网络与信息安全突发公共事件经应急处置后,得到有效控制,事态下降到一定程度或基本得到解决,分析各监测统计数据后,确定是否结束应急。
第十六条 后期处置
1、 善后处理
在应急处置工作结束后,要迅速采取措施,组织抢修受损的基础设施,尽快恢复正常工作。抓紧统计各类数据,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,并迅速组织实施。有关部门要提供必要的人员和技术、物资和装备以及资金等支持,并将善后处置的有关情况报应急办公室。
2、 调查评估
在应急处置工作结束后,应急办公室应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失情况,总结经验教训,写出调查评估报告,并根据问责制的有关规定,对有关责任人员进行处理。
第五章 保障措施
第十七条 应急装备保障
在网络信息系统建设时应事先预留一定的应急设备,储存信息网络硬件、软件、应急救援设备都有备用设备。
第十八条 数据保障
重要网络信息系统均应建立容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复,容灾备份系统应具有一定兼容性,在特殊情况下各系统间可互为备份。
第十九条 应急队伍保障
由应急办公室按照一专多能的要求建立网络与信息安全应急保障队伍。
第六章 监督管理
第二十条 宣传教育
要利用各种传播媒介及有效的形式,有计划地开展网络与信息安全突发公共事件应急和处置的宣传教育活动,定期或不定期举办应急管理培训班,加强相关工作人员安全防范意识的宣传普及,提高公众防范意识和应急处置能力。
要加强对网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作,并将网络与信息安全突发公共事件的应急管理、工作流程等列为培训内容,增强应急处置工作的组织能力。
第二十一条 预案演练
建立应急预案定期演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
第二十二条 责任与奖惩
网络与信息系统的管理部门要认真贯彻落实预案的各项要求与任务,建立监督检查和奖惩机制。应急办公室将不定期进行检查,对各项制度、计划、方案、人员、物资等进行实地验证,并以演练的评定结果作为是否有效落实预案的依据。
第七章 附则
第二十三条 本预案由杭州市教育局办公室制定,杭州市教育技术中心根据实际情况,及时修订本预案。
第二十四条 本预案自发布之日起实施。
杭州市教育技术中心
二○一九年三月十日
附件:应急处置程序与措施
危害发生时,应根据现场情况判定危害的性质,分别进入下列不同的处置程序。
流程一
当发生的危害为物理危害时,应根据当时实际情况,在保障人身安全的前提下,首先保障数据安全,然后是设备的安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二
当人为或病毒破坏危害发生时,具体按以下顺序进行:
判断破坏的来源与性质一一断开影响安全与稳定的信息网络设备一一隔离与破坏源的网络物理连接一一跟踪并锁定破坏来源的IP地址或其它网络用户信息一一及时修复被破坏的信息一一恢复信息系统。
按照危害发生的性质分别采用以下方法:
1、 病毒传播:要及时断开传播源,判断病毒的性质,然后用相应的杀毒软件查杀;
2、 网络入侵:首先要判断入侵的来源。来自外网和政务专网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵者的访问,并上报省网络与信息安全信息通报中心。在无法制止的情况下应采取断开网络连接的措施。来自内网的,查清入侵来源,隔离入侵源;
3、 信息被篡改:一经发现马上断开相应信息连接链路;
4、 网络故障:一旦发现,根据相应工作流程尽快排除;
5、 其它未列出的不确定因素造成的危害,可根据安全管理原则,结合具体情况,做出相应的处理。
流程三
当门户网站主页被恶意篡改、出现反政府、分裂国家和色情信息时,应进入网站应急处置流程:
1、 网站值班人员发现问题后,立即向信息中心负责人汇报,并由信息中心负责人依据实际情况向公司办公室或分管领导汇报,征得意见后,即与有关维护人员联系,关闭公司门户网站,并将出现的问题抓屏保存,以留作凭证;
2、 对发现的问题是否需向省政府、省公安公司报送,由应急处置工作机构决定;
3、 值班人员协调相关公司、技术人员,根据案情,找出事件发生原因,通过备份对服务器进行处理后,报信息中心负责人。
4、 信息中心负责人向公司办公室或分管领导汇报后,根据情况决定是否重新开启网站正常访问。
处置程序结束后形成事件报告,报告内容包括:危害发生的时间、地点,危害的程度,危害造成的后果,应急处置的过程、结果,消除危害的时间,以后如何防范类似危害发生的建议与方案等。