XX縣審計(jì)局網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案（試行）

1、XX縣審計(jì)局網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案（試行）為加強(qiáng)審計(jì)網(wǎng)絡(luò)和信息系統(tǒng)安全管理工作，預(yù)防和遏制審計(jì)網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件的發(fā)生，減輕和消除突發(fā)事件造成的危害和影響，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，提高處置網(wǎng)絡(luò)與信息安全突發(fā)事件能力，確保審計(jì)網(wǎng)絡(luò)和信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全。結(jié)合審計(jì)工作實(shí)際情況，特制定本應(yīng)急預(yù)案。一、應(yīng)急處理機(jī)構(gòu)及職責(zé)為保證突發(fā)情況下應(yīng)急機(jī)制的迅速啟動(dòng)和指揮順暢，成立審計(jì)網(wǎng)絡(luò)和信息系統(tǒng)應(yīng)急處理工作領(lǐng)導(dǎo)小組，下設(shè)工作小組。（一）領(lǐng)導(dǎo)小組組長(zhǎng)由局長(zhǎng)擔(dān)任，副組長(zhǎng)為分管政府信息公開(kāi)和信息化工作的局領(lǐng)導(dǎo)，成員為相關(guān)處室負(fù)責(zé)人。應(yīng)急預(yù)案啟動(dòng)后，負(fù)責(zé)應(yīng)急行動(dòng)的總體組織

2、指揮工作。主要職責(zé)：1研究布置應(yīng)急行動(dòng)有關(guān)具體事宜。2應(yīng)急行動(dòng)期間的總體組織指揮。3向上級(jí)匯報(bào)應(yīng)急行動(dòng)的進(jìn)展和向有關(guān)部門(mén)通報(bào)相關(guān)情況。4負(fù)責(zé)與有關(guān)部門(mén)進(jìn)行重大事項(xiàng)的工作協(xié)調(diào)。5負(fù)責(zé)應(yīng)急行動(dòng)其它的有關(guān)組織領(lǐng)導(dǎo)工作。（二）工作小組組長(zhǎng)由局辦公室主任擔(dān)任，成員為局辦公室、信息化管理機(jī)構(gòu)具體人員，根據(jù)領(lǐng)導(dǎo)小組的指揮開(kāi)展相應(yīng)的應(yīng)急行動(dòng)。主要職責(zé)：1執(zhí)行領(lǐng)導(dǎo)小組下達(dá)的應(yīng)急指令。2負(fù)責(zé)應(yīng)急行動(dòng)物資器材的準(zhǔn)備。3負(fù)責(zé)處理現(xiàn)場(chǎng)一切故障現(xiàn)象。4隨時(shí)向領(lǐng)導(dǎo)小組匯報(bào)應(yīng)急工作的進(jìn)展情況。5負(fù)責(zé)聯(lián)系相關(guān)廠商和技術(shù)人員，獲取技術(shù)支持。二、應(yīng)急處理基本程序和主要內(nèi)容（一）突發(fā)事件發(fā)生后，應(yīng)急處理工作小組迅速組織技術(shù)力量查明原

3、因、開(kāi)展修復(fù)工作。如果該事件造成重大影響的，及時(shí)向應(yīng)急處理領(lǐng)導(dǎo)小組匯報(bào)，在領(lǐng)導(dǎo)小組統(tǒng)一組織下啟動(dòng)應(yīng)急預(yù)案，開(kāi)展應(yīng)急處理。（二）事件響應(yīng)后，應(yīng)急處理工作小組組織相關(guān)技術(shù)人員立即趕到現(xiàn)場(chǎng)，確認(rèn)故障，研究解決方案：1硬件故障（1）應(yīng)急處理工作小組經(jīng)現(xiàn)場(chǎng)確認(rèn)后進(jìn)行更換維修。（2）不能進(jìn)行維修的，聯(lián)系代理商報(bào)修，代理商技術(shù)人員到場(chǎng)解決，力保數(shù)據(jù)完整。屬于服務(wù)端設(shè)備故障的，除聯(lián)系代理商報(bào)修以外，及時(shí)聯(lián)系電子政務(wù)中心。終端設(shè)備如需送修，需先行拆下硬盤(pán)，避免敏感信息外泄。（3）硬件系統(tǒng)發(fā)生嚴(yán)重故障，導(dǎo)致系統(tǒng)不能恢復(fù)并造成嚴(yán)重影響的，應(yīng)急處理領(lǐng)導(dǎo)小組召開(kāi)安全會(huì)議，根據(jù)破壞程度作出處理意見(jiàn)。2軟件故障（1）確認(rèn)可

4、靠的最新備份數(shù)據(jù)已經(jīng)轉(zhuǎn)移到其他電腦上。（2）分析軟件故障節(jié)點(diǎn)，根據(jù)對(duì)應(yīng)的故障解決問(wèn)題。（3）不能進(jìn)行處理的，及時(shí)聯(lián)系開(kāi)發(fā)運(yùn)維單位處理。3網(wǎng)絡(luò)故障（1）通過(guò)各種技術(shù)手段認(rèn)定故障點(diǎn)。（2）根據(jù)故障點(diǎn)位置不同分別處理：若故障點(diǎn)在本局網(wǎng)絡(luò)內(nèi)部的，進(jìn)行故障網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)線路的維護(hù)、更換；故障點(diǎn)在本局網(wǎng)絡(luò)以外的，聯(lián)系電子政務(wù)中心或者電信服務(wù)商，及時(shí)解決問(wèn)題。4病毒爆發(fā)或黑客攻擊突發(fā)事件應(yīng)急處理措施（1）當(dāng)發(fā)現(xiàn)有大規(guī)模計(jì)算機(jī)感染病毒或發(fā)現(xiàn)黑客攻擊事件，首先中斷被感染電腦或攻擊主機(jī)的網(wǎng)絡(luò)連接，并在防火墻上對(duì)來(lái)源主機(jī)地址進(jìn)行阻斷。（2）應(yīng)急處理工作小組立即組織技術(shù)力量分析攻擊類(lèi)型和病毒爆發(fā)特征，切斷傳播途徑，利

5、用專(zhuān)殺工具對(duì)所有計(jì)算機(jī)進(jìn)行病毒掃描和木馬清除。如果現(xiàn)有手段無(wú)法有效清除該病毒木馬，要立即向應(yīng)急處理領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有關(guān)專(zhuān)業(yè)安全軟件廠商研究解決。（3）評(píng)估系統(tǒng)毀壞程度，備份系統(tǒng)、保存系統(tǒng)日志，通過(guò)檢查日志、特征等信息，確定病毒爆發(fā)和傳播原因。分析攻擊手段、攻擊使用漏洞、攻擊過(guò)程和發(fā)起攻擊地址。情節(jié)嚴(yán)重并發(fā)生嚴(yán)重后果的，向公安機(jī)關(guān)報(bào)案。（4）恢復(fù)被攻擊前數(shù)據(jù)，安裝系統(tǒng)補(bǔ)丁，升級(jí)系統(tǒng)。5涉密信息泄露事件（1）根據(jù)掌握情況及時(shí)確認(rèn)泄密事件等級(jí)。（2）應(yīng)急處理領(lǐng)導(dǎo)小組召開(kāi)安全會(huì)議，制定泄密事件補(bǔ)救措施。如降低涉密信息密級(jí)、追回涉密信息等。（3）涉及涉密信息等級(jí)高的，要及時(shí)通報(bào)公安機(jī)關(guān)追查和采取

6、措施，追回相關(guān)涉密信息，盡量減少損失，并追究相關(guān)責(zé)任人。6局網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論突發(fā)事件應(yīng)急處理措施（1）網(wǎng)站、網(wǎng)頁(yè)由網(wǎng)站內(nèi)容管理人員隨時(shí)密切監(jiān)視信息內(nèi)容。（2）發(fā)現(xiàn)網(wǎng)上出現(xiàn)非法信息時(shí)，值班人員立即向應(yīng)急處理工作小組報(bào)告；情況緊急的及時(shí)采取對(duì)該言論做屏障隱藏等處理措施，再按程序報(bào)告；網(wǎng)站維護(hù)員要妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄。（3）應(yīng)急處理工作小組在接到報(bào)告后立即清理非法信息，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁(yè)重新投入使用；同時(shí)組織技術(shù)力量，必要時(shí)聘請(qǐng)外部專(zhuān)業(yè)機(jī)構(gòu)共同追查非法信息來(lái)源。情況嚴(yán)重要向公安部門(mén)報(bào)警或有關(guān)機(jī)關(guān)報(bào)告。7視頻會(huì)議故障應(yīng)急處理措施（1）發(fā)現(xiàn)者立即上報(bào)會(huì)議負(fù)責(zé)人。（2）會(huì)議負(fù)

7、責(zé)人接到報(bào)告后，立即組織有關(guān)人員按緊急狀態(tài)處理程序開(kāi)展工作。根據(jù)故障發(fā)生的部位、程度，分別聯(lián)系相關(guān)專(zhuān)線服務(wù)運(yùn)營(yíng)商、視頻專(zhuān)用設(shè)備提供商，及時(shí)進(jìn)行判斷和搶修工作，采用科學(xué)、可行的辦法排除故障。（3）當(dāng)發(fā)現(xiàn)故障不能快速解決時(shí)，要立即通知相關(guān)人員會(huì)議延期，如遇緊急會(huì)議的，請(qǐng)求省廳對(duì)會(huì)議進(jìn)行錄播，以便大家學(xué)習(xí)會(huì)議精神。（三）若事故不能短時(shí)間內(nèi)解決的，及時(shí)通知市局各處室及各區(qū)縣審計(jì)局相關(guān)負(fù)責(zé)人員，同時(shí)上報(bào)省審計(jì)廳，緊急業(yè)務(wù)暫時(shí)轉(zhuǎn)入手工處理流程。（四）在事故處置過(guò)程中，盡最大可能收集事件相關(guān)信息，識(shí)別事件類(lèi)別，確定事件來(lái)源，保護(hù)備份數(shù)據(jù)。清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)?；謴?fù)工作應(yīng)該十分小心，避免出現(xiàn)誤操作導(dǎo)

8、致數(shù)據(jù)的丟失。（五）突發(fā)事件處理結(jié)束后，回顧并整理發(fā)生事件的各種相關(guān)信息，把所有情況記錄到文檔中。系統(tǒng)恢復(fù)以后，關(guān)注其安全狀況，特別是對(duì)曾經(jīng)出問(wèn)題的地方，要進(jìn)行跟蹤，做好防范工作。三、保證措施（一）做好網(wǎng)絡(luò)機(jī)房服務(wù)器的密碼保護(hù)工作，防止非本單位人員操作數(shù)據(jù)庫(kù)。定期對(duì)數(shù)據(jù)進(jìn)行檢查，對(duì)預(yù)期發(fā)生的問(wèn)題做好事先防范。服務(wù)器上打全補(bǔ)丁，安裝殺毒軟件，及時(shí)更新病毒代碼。如發(fā)現(xiàn)危害大的病毒，需在OA上張貼公告通知用戶并說(shuō)明病毒發(fā)作的原因、相應(yīng)的特征及動(dòng)員防范、注意事項(xiàng)等。（二）建立健全重要數(shù)據(jù)及時(shí)備份和災(zāi)難性數(shù)據(jù)恢復(fù)機(jī)制，對(duì)服務(wù)器的數(shù)據(jù)進(jìn)行定期備份，通過(guò)全量和增量，本地和異地方式進(jìn)行保存。做好充足的交換機(jī)、線纜、光纖收發(fā)器、計(jì)算機(jī)備品備件，以便發(fā)生事故時(shí)及時(shí)更換。（三）充分利用OA及網(wǎng)站等有效的形式，加強(qiáng)網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急處理的有關(guān)法律法規(guī)和政策的宣傳，開(kāi)展預(yù)防、預(yù)警、自救、互救和減災(zāi)等知識(shí)的宣講活動(dòng)，普及應(yīng)急處理的基本知識(shí)，提高整體安全防范意識(shí)和應(yīng)急處理能力。加強(qiáng)網(wǎng)絡(luò)與信息安全等方面的