新闻危机应急预案2目录1总则····························41.1编制目的·····················41.2编制依据·····················41.3适用范围·····················51.4工作原则·····················52应急响应组织体系及职责····················63分级····························63.1网络与信息安全事件················63.2分级·······················74预测与预警·························84.1预报和预测····················84.2预警·······················94.3预警解除·····················95应急报告··························105.1报告程序····················105.2报告内容····················106应急处置··························116.1应急启动····················116.2应急行动····················116.3现场应急处置··················127应急终止··························1338后期处置··························138.1汇总统计····················138.2应急行动评估··················139保障措施··························149.1应急响应队伍的建设···············149.2技术储备····················149.3必备资料····················1410预案管理··························1410.1制定与发布··················1410.2预案更新···················1510.3解释与实施··················1511附件····························154新闻危机应急预案1总则1.1编制目的为提高企业在面对重特大网络与新闻危机事件时的组织指挥和应急处置能力,保证网络与安全事件应急处置工作迅速、高效、有序执行,特制定本预案。1.2编制依据《国务院关于实施国家突发公共事件总体应急预案的决定》(国发[2005]11号)《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)《中华人民共和国计算机信息网络国际联网管理暂行规定》(中华人民共和国国务院令第195号)《计算机信息网络国际联网安全保护管理办法》(公安部第33号令)《计算机信息系统国际联网保密管理规定》(国保发[1999]10号)《GB17859-1999》计算机信息系统安全保护等级划分准则》(2001年1月1日起施行)《中共中央办公厅、国务院、国资委办公厅转发《国家信息化领5导小组关于加强网络与信息安全保障工作的意见》的通知》(中办发[2003]27号)1.3适用范围本预案是企业突发事件总体应急预案的专项预案之一。本预案适用于企业突然发生且可能造成重大泄密、重大经济损失、重大经营影响、重大声誉和社会影响的重大网络与信息安全事件的应急管理。1.4工作原则1.4.1统一领导,分工协作在公司统一领导下,遵照“统一领导、归口负责、综合协调、各司其职”的原则,协同配合,有效地处置突发事件和应急情况。1.4.2明确责任,依法规范各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,根据突发事件的影响程度进行分级,确定不同级别的情况报告、应急响应、预案启动机制,落实责任制和责任追究制。1.4.3统筹安排,协调配合充分利用现有网络与信息安全服务设施和工作力量,利用自身和就近社会力量,统筹安排各有关部门应急工作任务。各部门在明确职6责的基础上,加强协调、密切配合、信息共享、形成信息安全保障工作合力。1.4.4防范为主,加强监控贯彻预防为主的思想,树立常备不懈的观念,宣传普及网络与信息安全防范知识,经常性地做好应对网络与信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。1.4.5快速处理,确保恢复突发新闻危机事件时,能够及时发现、预警并准确判断和快速、及时采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度,确保信息系统恢复正常,尽可能减少突发事件给经济和社会运行带来的影响或造成的损失。2应急响应组织体系及职责应急响应组织体系,由应急领导小组、应急办公室、职能部门、现场应急指挥部组成。3分级3.1网络与信息安全事件由于安全事故、自然灾害、黑客攻击、计算机病毒破坏等多种原因,造成正常运行受到严重影响,导致关键业务中断、系统破坏、信7息失窃或泄密等现象,以及境内外敌对势力、破坏分子利用信息网络、媒体进行有组织的大规模宣传和攻击,在能源安全、社会稳定或公众利益等方面造成一定社会影响或重大经济损失的事件统称为新闻危机事件。新闻危机事件分级的参考要素包括信息密级、公众影响、业务影响和经济损失等四项。(1)信息密级是指因信息失窃或泄密所造成的网络与信息安全事件中所涉及信息的重要程度;(2)公众影响是指新闻、网络报道对社会所造成的负面影响范围和程度;(3)业务影响是指新闻危机事件对单位正常业务开展所造成的负面影响程度;(4)经济损失是指恢复系统正常运行和消除新闻危机事件负面影响所需付出的资金代价。根据计算机基础网络与信息系统的实际业务情况,综合上述分级参考要素,网络与信息安全突发事件根据事件性质、严重程度、可控性、影响范围等因素划分为三级:特别重大(Ⅰ级)、重大(Ⅱ级)和较大(Ⅲ级)。3.2分级3.2.1Ⅰ级事件符合以下条件之一的为Ⅰ级事件:(1)安全事故引起媒体负面报道。8(2)安全事故引发重大环境影响。(3)机房核心应用系统遭受破坏性攻击而瘫痪;(4)敌对分子或黑客利用信息网络进行有组织、大规模反动宣传和攻击活动。3.2.2Ⅱ级事件符合以下条件之一为Ⅱ级事件:(1)其它辅助业务服务器崩溃;(2)关键应用系统遭受破坏性攻击,无法正常工作。3.2.3Ⅲ级事件Ⅲ级事件:认定的其它的突发网络与信息安全事件。4预测与预警建立并完善预测与预警系统,做到对新闻危机事件早发现、早报告、早预防、早处置。应急办公室配合做好网络与新闻危机事件的各项预防工作,制定并落实网络与新闻危机事件的应对措施。4.1预报和预测4.1.1应急办公室和职能部门通过以下途径获取预报信息(1)各部门上报的网络与信息安全事件预警信息;(2)政府通过新闻媒体公开发布的网络与信息安全事件预警信9息;(3)政府主管部门向应急领导小组告知的预报信息;(4)经风险评估得出的可能发生的重特大突发事件。4.1.2应急办公室组织有关部门,根据预报信息分析、判断突发事件的危害程度、紧急程度和发展态势。4.1.3网络管理人员负责组织范围内网络与信息安全方面的日常监测和分析工作。包括确定监测的方法与程序,信息安全保护、风险分析与分级制度。各类基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,不断完善网络与信息安全应急处理预案。4.1.4针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。4.2预警应急办公室根据对突发事件的预报和预测结果,结合实际情况,及时进行以下预警:(1)达到本预案启动条件时,立即发出启动本预案的指令;(2)通知各职能部门进入预警状态;(3)指令各部门采取防范措施,并连续跟踪事态发展。4.3预警解除根据已预警突发事件的情况变化,应急领导小组可适时宣布预警解除。105应急报告5.1报告程序发生网络与信息安全事件时,向应急办公室报告,同时向所在地方政府应急领导小组办公室报告(不得超过2小时)。5.2报告内容5.2.1发生网络与信息安全事件应立即报告应急领导小组,报告应包含但不限于以下内容:(1)事件单位的详细名称、单位负责人、联系电话及地址;(2)发生事件的时间、地点、类别;(3)发生事件的系统情况;(4)事件造成的危害程度、影响范围、直接经济损失的初步估;(5)事件的简要经过;(6)事件原因的初步分析判断;(7)事件发生后采取的应急处理措施及事件控制情况;(8)需要相关部门和单位协助抢救和处理的相关事宜;(9)事件报告单位、签发人和报告时间;(10)其他需要上报的有关事项。5.2.2在Ⅰ、Ⅱ级事件处理过程中,安全办公室应尽快了解事态进展情况,并随时用电话、传真和电子邮件等方式,向应急领导小组报告。5.2.3在Ⅰ、Ⅱ级事件处置完毕后,报告事件处置结果情况,包括事11件潜在或间接的危害、社会影响、有无次生及衍生事件发生、应急工作内容和现场资料的收集等详细情况。6应急处置6.1应急启动当网络与新闻危机事件符合总体应急预案规定或事件危害程度达到I、Ⅱ级时,启动本预案,进行应急处置工作。6.2应急行动6.2.1应急领导小组组长(或副组长)应做好:(1)立即召开应急会议,简明通报发生事件灾难的基本情况,按部门职能明确工作任务;(2)研究现场应急方案,根据现场事态变化进行方案修正,研究、批准重大应急决策;(3)确定现场指挥和派出现场应急人员;(4)决定适时间向上级单位应急办公室报告;6.2.2应急办公室应做好:连续收集现场应急处置动态资料,及时向应急领导小组组长、主管副组长报告,传达应急领导小组组长、副组长的指示;落实赶赴现场应急指挥和相关人员,通知专家到达指定地点根据现场需求协调各方应急力量,保证应急办公室24小时有人值班,组织、协调各种专业会议。126.3现场应急处置6.3.1处理原则(1)发生网络与信息安全事件后,归口管理部门应立即进行先期处置,阻止事态扩大。(2)当发生火灾、地震、恐怖袭击等突发事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后保障设备安全。(3)当人为或病毒破坏计算机信息系统安全时,按照网络与信息安全事件发生的性质可采取用隔离故障源、暂时关闭故障系统、保留痕迹、启动备用系统等措施。6.3.2处理流程:(1)事件认定。收集网络与信息安全事件相关信息,识别事件类别,判断破坏的来源与性质,确保准确,以便缩短应急响应时间。(2)控制事态发展。抑制事件的影响进一步扩大,限制潜在的损失与破坏。(3)事件消除。在事件被抑制之后,找出事件根源,明确相应的补救措施并彻底清除。(4)系统恢复。修复被破坏的信息系统、恢复数据。把所有被破坏的系统和网络设备还原到正常运行状态。恢复工作中如果涉及到涉密数据,按相关安全保密规定执行。(5)事件追踪。关注系统恢复以后的安全状况,特别是曾经出现问题的地方;建立跟踪档案,规范记录跟踪结果;对响应效果给出13评估;对进入司法程序的事件,配合公安保卫部门进行进一步的调查,打击违法犯罪活动。7应急终止经应急处置后,现场应急指挥部确认下列条件同时满足时,向应急领导小组报告,应急领导小组组长接到请示后,下达应急终止令,应急终止。(1)应急处置已经结束;(2)相关危险因素已消除。8后期处置8.1汇总统计应急处置工作结束后,应急办公室应做好有关突发事件中损失情况的统计汇总、任务完成情况总结和汇报,不断改进网络及新闻危机事件的应急保障工作。8.2应急行动评估应急办公室对应急行动的及时性、有效性进行评估。149保障措施9.1应急响应队伍的建设应急响应队伍由网络管理员及第三方(集成商、外包开发商)组成。应不断加强应急响应队伍的应急能力建设,提高信息安全防御意识,以满足网络与信息安全事件应急恢