网络安全事件应急预案

网络安全事件应急预案尚邦治2017.09.01一、网络安全要求的变化《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。一、网络安全要求的变化网络安全概念：网络：是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全：是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。摘自：公安部网络安全保卫局郭启全《网络安全法及相关法律法规解读》一、网络安全要求的变化网络安全概念：网络运营者：是指网络的所有者、管理者和网络服务提供者。网络数据：是指通过网络收集、存储、传输、处理和产生的各种电子数据。个人信息：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。一、网络安全要求的变化为了适应无线移动接入、虚拟计算环境、云计算、大数据、物联网和工控系统等新技术、新应用情况下信息安全等级保护工作的开展，对GB/T22239-2008进行修订。修订的思路和方法是针对无线移动接入、虚拟计算环境、云计算、物联网和工控系统等新技术、新应用领域提出特殊的安全要求。一、网络安全要求的变化对GB/T22239-2008的修订完成后，标准成为由多个部分组成的系列标准，目前主要有六个部分组成。第1部分：安全通用要求；第2部分：云计算安全扩展要求；第3部分：移动互联安全扩展要求；第4部分：物联网安全扩展要求；第5部分：工业控制安全扩展要求；第6部分：大数据安全扩展要求。一、网络安全要求的变化网络安全法：第五十四条网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。一、网络安全要求的变化网络安全法：第五十五条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。一、网络安全要求的变化网络安全法：第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。二、国家网络安全事件应急预案二、国家网络安全事件应急预案国家网络安全事件应急预案目录1、总则2、组织机构与职责3、监测与预警4、应急处臵5、调查与评估6、预防工作7、保障措施8、附则备注：医院应该制定网络安全事件应急预案二、国家网络安全事件应急预案1总则1.1编制目的1.2编制依据1.3适用范围1.4事件分级1.5工作原则二、国家网络安全事件应急预案1.3适用范围本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。二、国家网络安全事件应急预案本预案适用于网络安全事件的应对工作。其中，有关信息内容安全事件的应对，另行制定专项预案。专项预案是针对某类安全事件而制定的应急预案。二、国家网络安全事件应急预案1.4事件分级网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。二、国家网络安全事件应急预案1.4事件分级（特别重大）（1）符合下列情形之一的，为特别重大网络安全事件：①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。二、国家网络安全事件应急预案1.4事件分级（重大）（2）符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。二、国家网络安全事件应急预案1.4事件分级（较大）（3）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：①重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。二、国家网络安全事件应急预案1.4事件分级（一般）（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。二、国家网络安全事件应急预案2组织机构与职责2.1领导机构与职责2.2办事机构与职责2.3各部门职责2.4各省（区、市）职责二、国家网络安全事件应急预案3监测与预警3.1预警分级3.2预警监测3.3预警研判和发布3.4预警响应3.4.1红色预警响应3.4.2橙色预警响应3.4.3黄色、蓝色预警响应3.5预警解除二、国家网络安全事件应急预案3.1预警分级网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。二、国家网络安全事件应急预案3.2预警监测各单位按照“谁主管谁负责、谁运行谁负责”的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省（区、市）网信部门结合本地区实际，统筹组织开展对本地区网络和信息系统的安全监测工作。各省（区、市）、各部门将重要监测信息报应急办，应急办组织开展跨省（区、市）、跨部门的网络安全信息共享。二、国家网络安全事件应急预案3.3预警研判和发布各省（区、市）、各部门组织对监测信息进行研判，认为需要立即采取防范措施的，应当及时通知有关部门和单位，对可能发生重大及以上网络安全事件的信息及时向应急办报告。各省（区、市）、各部门可根据监测研判情况，发布本地区、本行业的橙色及以下预警。应急办组织研判，确定和发布红色预警和涉及多省（区、市）、多部门、多行业的预警。预警信息包括：事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。二、国家网络安全事件应急预案3.4预警响应3.4.1红色预警响应（1）应急办组织预警响应工作，联系专家和有关机构，组织对事态发展情况进行跟踪研判，研究制定防范措施和应急工作方案，协调组织资源调度和部门联动的各项准备工作。（2）有关省（区、市）、部门网络安全事件应急指挥机构实行24小时值班，相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作，组织指导应急支撑队伍、相关运行单位开展应急处臵或准备、（二）风险分析和控制工作，重要情况报应急办。（3）国家网络安全应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急车辆、设备、软件工具等，确保处于良好状态。二、国家网络安全事件应急预案3.4.2橙色预警响应（1）有关省（区、市）、部门网络安全事件应急指挥机构启动相应应急预案，组织开展预警响应工作，做好（二）风险分析、应急准备和风险控制工作。（2）有关省（区、市）、部门及时将事态发展情况报应急办。应急办密切关注事态发展，有关重大事项及时通报相关省（区、市）和部门。（3）国家网络安全应急技术支撑队伍保持联络畅通，检查应急车辆、设备、软件工具等，确保处于良好状态。二、国家网络安全事件应急预案3.4.3黄色、蓝色预警响应有关地区、部门网络安全事件应急指挥机构启动相应应急预案，指导组织开展预警响应。二、国家网络安全事件应急预案4应急处臵4.1事件报告4.2应急响应4.2.1Ⅰ级响应4.2.2Ⅱ级响应4.2.3Ⅲ级、Ⅳ级响应4.3应急结束4.3.1Ⅰ级响应结束4.3.2Ⅱ级响应结束二、国家网络安全事件应急预案4.2.1Ⅰ级响应属特别重大网络安全事件的，及时启动I级响应，成立指挥部，履行应急处臵工作的统一领导、指挥、协调职责。应急办24小时值班。（国家级别的网络安全事件）有关省（区、市）、部门应急指挥机构进入应急状态，在指挥部的统一领导、指挥、协调下，负责本省（区、市）、本部门应急处臵工作或支援保障工作，24小时值班，并派员参加应急办工作。有关省（区、市）、部门跟踪事态发展，检查影响范围，及时将事态发展变化情况、处臵进展情况报应急办。指挥部对应对工作进行决策部署，有关省（区、市）和部门负责组织实施。二、国家网络安全事件应急预案4.2.2Ⅱ级响应网络安全事件的Ⅱ级响应，由有关省（区、市）和部门根据事件的性质和情况确定。（1）事件发生省（区、市）或部门的应急指挥机构进入应急状态，按照相关应急预案做好应急处臵工作。（2）事件发生省（区、市）或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。（3）处臵中需要其他有关省（区、市）、部门和国家网络安全应急技术支撑队伍配合和支持的，商应急办予以协调。相关省（区、市）、部门和国家网络安全应急技术支撑队伍应根据各自职责，积极配合、提供支持。（4）有关省（区、市）和部门根据应急办的通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。二、国家网络安全事件应急预案4.3应急结束4.3.1Ⅰ级响应结束应急办提出建议，报指挥部批准后，及时通报有关省（区、市）和部门。4.3.2Ⅱ级响应结束由事件发生省（区、市）或部门决定，报应急办，应急办通报相关省（区、市）和部门。二、国家网络安全事件应急预案5调查与评估特别重大网络安全事件由应急办组织有关部门和省（区、市）进行调查处理和总结评估，并按程序上报。重大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估，其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。二、国家网络安全事件应急预案6预防工作6.1日常管理6.2演练6.3宣传6.4培训6.5重要活动期间的预防措施二、国家网络安全事件应急预案6.1日常管理各地区、各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。二、国家网络安全事件应急预案6.5重要活动期间的预防措施在国家重要活动、会议期间，各省（区、市）、各部门要加强网络安全事件的防范和应急响应，确保网络