網絡信息安全應急管理標準

網絡信息安全應急管理標準1范圍本標準規(guī)定了公司網絡信息安全應急管理的職責和權限、管理內容和方法、報告和記錄。本標準適用于公司的網絡信息安全應急管理。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，使用本標準的相關部門、單位及人員要研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國無線電管理條例中辦發(fā)[2003]27號中共中央辦公廳、國務院辦公廳轉發(fā)《國家信息化領導小組關于加強網絡與信息安全保障工作的意見》的通知南方電網安監(jiān)[2003]29號中國南方電網有限責任公司安全生產工作規(guī)定XX公司系統(tǒng)安全生產事故總體應急預案3術語和定義下列術語和定義適用于本標準3.1網絡與信息安全重大突發(fā)事件是指由于自然災害、設備軟硬件故障、內部人為失誤或破壞、黑客攻擊、無線電頻率干擾和計算機病毒破壞等原因，本公司網絡與信息系統(tǒng)、關系到公司的基礎性網絡及重要信息系統(tǒng)的正常運行受到嚴重影響，出現(xiàn)業(yè)務中斷、系統(tǒng)破壞、數(shù)據(jù)破壞或信息失竊或泄密等現(xiàn)象，以及境內外敵對勢力、敵對分子利用信息網絡進行有組織的大規(guī)模的宣傳、煽動和滲透活動，或者對國內通信網絡或信息設施、重點網站進行大規(guī)模的破壞活動，在國家安全、社會穩(wěn)定或公眾利益等方面造成不良影響以及造成一定程度直接或間接經濟損失的事件。3.2信息安全事件的主體指信息安全事件的制造者或造成信息安全事件的最終原因。3.3信息安全事件的客體指受信息安全事件影響或發(fā)生信息安全事件的計算機系統(tǒng)或網絡系統(tǒng)。4職責4.1主管領導4.1.1審批信息安全應急預案。4.1.2審批信息安全應急預案活動經費。4.2信息中心4.2.1制定安全應急預案。4.2.2組織安全應急預案應用培訓。4.2.3組織安全應急預案演習、評審、修訂。4.2.4協(xié)調、指導事故單位處理事故。4.2.5監(jiān)督檢查措施落實情況。4.2.6制定網絡安全預防措施。4.3生產技術部制定經費保障相關政策及方案。4.4總經理工作部4.4.1組織協(xié)調有關部門對網絡違規(guī)行為進行查處。4.4.2并做好密級鑒定和采取補救措施。4.5相關單位/基層單位4.5.1學習網絡安全相關知識。4.5.2提出合理化建議。4.5.3收集事故資料。4.5.4上報事故信息。4.5.5編寫事故報告。4.5.6落實整改措施。5管理活動的內容與方法5.1本標準依據(jù)的流程網絡信息安全應急管理流程（見附錄A）5.2工作原則5.2.1統(tǒng)一領導，協(xié)同作戰(zhàn)全公司信息安全突發(fā)事件應急工作由公司網絡與信息安全專項應急委員會統(tǒng)一領導和協(xié)調，督促相關部門遵照“統(tǒng)一領導、歸口負責、綜合協(xié)調、各司其職“的原則協(xié)同配合、具體實施，完善應急工作體系和機制。5.2.2明確責任，依法規(guī)范各部門和有關單位，按照“屬地管理、分級響應、及時發(fā)現(xiàn)、及時報告、及時救治、及時控制”的要求，依法對信息安全突發(fā)事件進行防范、監(jiān)測、預警、報告、響應、指揮和協(xié)調、控制。按照“誰主管、誰負責，誰運營、誰負責”的原則，實行責任制和責任追究制。5.2.3整合資源，條塊結合充分利用現(xiàn)有信息安全應急支援服務設施，整合我公司所屬信息安全工作力量，充分依靠各有關部門在地方的信息安全工作力量，進一步完善應急響應服務體系，形成區(qū)域信息安全保障工作合力。5.2.4防范為主，加強監(jiān)控宣傳普及信息安全防范知識，貫徹預防為主的思想，樹立常備不懈的觀念，經常性地做好應對信息安全突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網絡和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)性事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。5.3應急組織機構5.3.1公司網絡與信息安全突發(fā)事件專項應急委員會5.3.1.1在公司應急委的統(tǒng)一領導下，設立公司網絡與信息安全突發(fā)事件專項應急委員會(以下簡稱公司信息安全專項應急委)，為公司處理信息安全突發(fā)事件應急工作的綜合性議事、協(xié)調機構。主要職責是：按照國家、公司信息安全應急機構的要求開展處置工作；研究決定全公司信息安全應急工作的有關重大問題；決定III、IV級信息安全突發(fā)事件應急預案的啟動，組織力量對III級和IV級突發(fā)事件進行處置，決定啟動公司網絡與信息安全突發(fā)事件應急指揮部(以下簡稱公司信息安全應急指揮部)，統(tǒng)一領導和組織指揮重大信息安全突發(fā)事件的應急處置工作；指導監(jiān)督公司信息安全專項應急委的工作；公司應急委交辦的事項和法律、法規(guī)、規(guī)章規(guī)定的其他職責。5.3.1.2公司信息安全專項應急委，由分管信息化工作的公司領導任主任，相關主任、公司信息中心主任任副主任，成員由公司信息中心、公司安監(jiān)部、公司生技部、公司總經理工作部及其他有關單位負責人組成。5.3.1.3公司信息安全專項應急委下設辦公室，設在公司信息中心，由公司信息中心主任任主任，承擔公司信息安全專項應急委的日常工作，負責全公司信息安全突發(fā)事件日常監(jiān)測與預警，其主要職責是：a)督促落實公司應急委和公司信息安全專項應急委作出的決定和措施；b)擬訂或者組織擬訂公司應對信息安全突發(fā)事件的工作規(guī)劃和應急預案，報公司批準后組織實施；c)督促檢查公司有關部門信息安全專項應急預案的制訂、修訂和執(zhí)行情況，并給予指導；d)督促檢查公司有關專業(yè)技術機構的信息安全突發(fā)事件監(jiān)測、預警工作情況，并給予指導；e)建立完善信息監(jiān)測、傳遞網絡和指揮決策支持系統(tǒng)，要保證資源共享、運轉正常、指揮有力；f)匯總有關信息安全突發(fā)事件的各種重要信息，進行綜合分析，并提出建議；g)監(jiān)督檢查、協(xié)調指導公司有關部門信息安全專項應急委的信息安全突發(fā)事件預防、應急準備、應急處置和事后恢復與重建工作；h)組織制訂信息安全常識、應急知識的宣傳培訓計劃和應急救援隊伍的業(yè)務培訓、演練計劃，報公司批準后督促落實；i)公司應急委和公司信息安全專項應急委交辦的其他工作；j)負責對本預案附件及附錄的修改、審批和實施。5.3.2公司信息安全應急指揮部a)在發(fā)生重大信息安全突發(fā)事件時，公司信息安全專項應急委可以決定啟動公司信息安全應急指揮部，由分管信息化工作的公司領導任總指揮，公司信息中心主任任副總指揮，統(tǒng)一指揮重大信息安全突發(fā)事件的處置工作。其主要職責是：組織專家組判定突發(fā)事件級別，根據(jù)情況提出加強或撤銷控制措施的建議和意見；組織召開部門協(xié)調會議，協(xié)調公司各部門、各單位共同做好突發(fā)事件處置工作；檢查督導突發(fā)事件應急措施的落實情況；及時收集、上報和通報突發(fā)事件有關情況，負責向公司報告有關工作情況；b)特別重大、重大信息安全突發(fā)事件應急指揮部可以設立若干工作小組，并可視情況在事件現(xiàn)場設立現(xiàn)場指揮部，具體指揮現(xiàn)場處置工作?，F(xiàn)場指揮部可以根據(jù)實際情況設立若干專門小組。5.3.3公司信息安全專項應急委各成員單位的職責a)信息安全專項應急委：統(tǒng)籌規(guī)劃建設應急處理技術平臺，會同公司安監(jiān)部、公司生技部、公司總經理工作部等有關部門組織制定全公司突發(fā)事件應急處理政策文件及技術方案，負責安全事件處理的培訓以及無線電頻率安全的管理，及時收集、上報和通報突發(fā)事件情況，負責向公司、人民政府報告有關工作情況；b)信息中心及公司總經理工作部：嚴密監(jiān)控境內互聯(lián)網有害信息傳播情況，制止互聯(lián)網上發(fā)生對社會熱點和敏感問題的惡意炒作，監(jiān)測政府網站、新聞網站、門戶網站和國家重大活動、會議期間重點網站網絡運行安全。對發(fā)生重大計算機病毒疫情和大規(guī)模網絡攻擊事件進行預防和處置。依法查處網上散布謠言、制造恐慌、擾亂社會秩序、惡意攻擊黨和政府的有害信息。打擊攻擊、破壞網絡安全運行、制造網上恐怖事件的違法犯罪行為；c)公司生技部：制定經費保障相關政策及方案；保證應急處理體系建設和突發(fā)事件應急處理所需經費；d)公司總經理工作部：依法組織協(xié)調有關部門對計算機網絡上泄露和竊取國家秘密的行為進行查處，并做好密級鑒定和采取補救措施。5.3.4現(xiàn)場應急處理工作組a)現(xiàn)場應急處理工作組，在出現(xiàn)安全事件后，對計算機系統(tǒng)和網絡安全事件的處理提供技術支持和指導，遵循正確的流程，采取正確快速的行動作出響應，提出事件統(tǒng)計分析報告；b)現(xiàn)場應急處理工作組由以下各方面的人員組成：c)管理方面包含應急指揮部辦公室主任或副主任，以及相關成員單位領導及部門負責人。主要確保安全策略的制定與執(zhí)行；識別網絡與信息系統(tǒng)正常運行的主要威脅；在出現(xiàn)問題時決定所采取行動的先后順序；做出關鍵的決定；批準例外的特殊情況等；d)技術方面應包含公司信息化專家咨詢委員會網絡與信息安全專家委會有關專家、公司信息安全有關技術支撐機構技術人員。主要負責從技術方面處理發(fā)生問題的系統(tǒng)；檢測入侵事件，并采取技術手段來降低損失。5.4信息安全突發(fā)事件級別5.4.1一般(IV級)、較大(III級)、重大(II級)和特別重大(I級)，對應顏色依次為藍色、黃色、橙色和紅色。5.4.2IV級：公司內較大范圍出現(xiàn)并可能造成較大損害的其他信息安全事件。5.4.3Ⅲ級：公司重要部門網絡與信息系統(tǒng)、重點網站或者關架到公司事務或經濟運行的其他網絡與信息系統(tǒng)受到大面積．嚴重沖擊。5.4.4II級：公司重要部門或局部地區(qū)基礎網絡、重要信息系統(tǒng)、重點網站癱瘓，導致業(yè)務中斷，但縱向或橫向延伸可能造成嚴重社會影響或較大經濟損失。5.4.5I級：敵對分子利用信息網絡進行有組織的大規(guī)模的宣傳、煽動和滲透活動，或者公司多地點或多地區(qū)基礎網絡、重要信息系統(tǒng)、重點網站癱瘓，導致業(yè)務中斷，造成或可能造成嚴重社會影響或巨大經濟損失的信息安全事件。5.5督促落實各項措施信息中心根據(jù)具體情況督促落實各項措施，包括：網絡安全、系統(tǒng)運行安全、設備安全等。詳細措施要求參見Q/HD212.07—2007《網絡信息系統(tǒng)管理標準》規(guī)定。5.6制定應急預案信息中心根據(jù)各項安全措施制定安全應急預案，報分管領導審批同意后，信息中心將預案下發(fā)執(zhí)行。5.7宣傳、技術培訓5.7.1公眾信息交流公司信息安全專項應急委辦公室在應急預案修訂、演練的前后，應利用各種新聞媒介進行宣傳；并不定期的利用各種安全活動向社會大眾宣傳信息安全應急法律、法規(guī)和預防、應急的常識。5.7.2人員培訓為確保信息安全應急預案有效運行，公司信息安全專項應急委應定期或不定期地舉辦不同層次、不同類型的培訓班或研討會，以便不同崗位的應急人員都能全面熟悉并掌握信息安全應急處理的知識和技能。5.8應急演習信息中心根據(jù)培訓的情況及項目進展情況必要時制定演練計劃，報分管領導審批。通過后，信息中心組織公司各部門實施計劃。檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否符合快速、高效的要求。通過演習，進一步明確應急響應各崗位責任。5.9總結、評審預案信息中心對演練實施結果進行總結、評審。對預案中存在的問題和不足及時補充、完善。5.10修訂預案5.10.1信息中心根據(jù)預案評審及演練結果的總結情況，對預案進行修訂。5.10.2信息中心將修定好的應急預案上報公司分管領導審批。通過后，信息中心發(fā)布執(zhí)行修訂預案。5.11發(fā)生事故5.11.1相關單位在網絡運行過程中發(fā)生安全事故。發(fā)生信息安全突發(fā)事件的單位應當在事件發(fā)生后，立即向公司信息安全專項應急委辦公室報告。公司直單位直接向公司信息安全專項應急委辦公室報告。5.11.2發(fā)生信息安全突發(fā)事件的單位應當立即對發(fā)生的事件進行調查核實、保存相關證據(jù)，并在事件被發(fā)現(xiàn)或應當被發(fā)現(xiàn)時起5小時內將有關材料報至公司信息安全專項應急委辦公室。填寫“重大信息安全事故報告表”（由信息中心提供表格樣式）。5.11.3公司信息安全專項應急委辦公室接到信息安全突發(fā)事件報告后，應當經初步核實后，將有關情況及時向辦公室主任報告，進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策，并及時報市應急委辦公室。辦公室主任視情況召集協(xié)調會，決策行動方案，發(fā)布指示和命令。5.12啟動預案5.12.1事故單位根據(jù)事故發(fā)生的具體情況啟動應急預案：a)發(fā)生IV級網絡信息安全事件后，公司啟動相應預案，并負責應急處理工作；發(fā)生III級網絡信息安全事件后，公司啟動相應預案，并由公司信息安全應急指揮部負責應急處理工作；發(fā)生I、II級的信息安全突發(fā)事件后，上報南網公司啟動相應預案，并由公司信息安全應急指揮部負責應急處理工作；b)公司信息安全應急指揮部辦公室接到報告后，應當立即上報公司信息安全應急指揮部的領導，并會同相關成員單位盡快組織專家組對突發(fā)事件性質、級別及啟動預案的時機進行評估，向公司應急委提出啟動預案的建議，報公司批準；c)在公司作出啟動預案決定后，公司信息安全應急指揮部立即啟動應急處理工作。5.12.2現(xiàn)場應急處理a)事件發(fā)生單位和現(xiàn)場應急處理工作組盡最大可能收集事件相關信息，鑒別事件類別，確定事件來源，保護證據(jù)，以便縮短應急響應時間；b)檢查威脅造成的結果，評估事件帶來的影響和損害：如檢查系統(tǒng)、服務、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進入，損失的程度，確定暴露出的主要危險等；c)抑制事件的影響進一步擴大，限制潛在的損失與破壞。可能的抑制策略一般包括：關閉服務或關閉所有的系統(tǒng)，從網絡上斷開相關系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網絡的通路，提高系統(tǒng)或網絡行為的監(jiān)控級別，設置陷阱，啟用緊急事件下的接管系統(tǒng)，實行特殊“防衛(wèi)狀態(tài)”安全警戒，反擊攻擊者的系統(tǒng)等；d)根除攻擊源。在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出事件根源，明確相應的補救措施并徹底清除。與此同時，執(zhí)法部門和其他相關機構將對攻擊源進行定位并采取合適的措施將其中斷；e)清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務。把所有被攻破的系統(tǒng)和網絡設備徹底還原到它們正常的任務狀態(tài)?；謴凸ぷ鲬撌中⌒?，避免出現(xiàn)誤操作導致數(shù)據(jù)的丟失?；謴凸ぷ髦腥缟婕暗綑C密數(shù)據(jù)，需要額外遵照機密系統(tǒng)的恢復要求。對不同任務的恢復工作的承擔單位，要有不同的擔保。如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復應該強制性地修改所有的口令；5.13應急行動結束根據(jù)信息安全事件的處置進展情況和現(xiàn)場應急處理工作組意見，公司信息安全應急指揮部辦公室應組織相關部門及專家組對信息安全事件的處置情況進行綜合評估，并由公司信息安全應急指揮部及時向公司應急委提出應急行動結束建議，并報公司批準。5.14報告總結事故單位回顧并整理發(fā)生事件的各種相關信息，盡可能地把所有情況記錄到文檔中。發(fā)生重大信息安全事件的單位應當在事件處理完畢后5個工作日內將處理結果報公司及南網備案。事故單位填寫“重大信息安全事件處理結果報告表”（由信息中心提供表格樣式）。5.15監(jiān)督檢查公司信息安全專項應急委辦公室負責對預案實施的全過程進行監(jiān)督檢查，督促成員單位按本預案指定的職