一、总则

　　（一）目的
 
    　为科学应对网络与信息安全突发事件，建立健全信息网络安全应急响应机制，有效预防、及时控制和最大限度地消除信息网络系统各类突发事件的危害和影响，根据市局有关规定,制定本应急案。
 
　　（二）工作原则
 
　　1．统一领导，协同配合。分局信息网络突发事件应急工作分由局信息化工作领导小组统一领导和协调，相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合，具体实施。
 
    　2．明确责任，依法规范。分局办公室(电脑室)按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息网络安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任分工制和责任追究制。
 
    　3．条块结合，整合资源。充分利用现有信息安全应急支援服务设施，整合分局所属信息安全工作力量。充分依靠分局各部门的信息安全工作力量，进一步完善应急响应服务体系，形成局域信息安全保障工作合力。
 
    　4．防范为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。
 
　　（三）适用范围
 
　　本预案适用分局信息网络系统突发安全事故的应急处理工作。

　　二、组织机构及职责

   　（一）应急指挥机构
 
    　设立分局信息网络安全突发事件领导小组，为信息网络安全突发事件应急工作的综合性议事、协调机构。由分局长任组长,副局长任副组长,各部门一把手为领导小组成员。领导小组办公室设在分局办公室,其主要职责是:

　　1．拟订分局应对信息网络安全突发事件的工作规划和应急预案，报领导批准后组织实施；
 
    　2．督促检查各部门及各地下属单位的有关部门的信息安全突发事件监测、预警工作情况，并给予指导；
 
    　3．汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议；

 
　    4．监督检查、协调指导各部门及各地下属单位的有关部门的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作；

     　5．组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报分局批准后督促落实；

　　6．分局信息化工作领导小组交办的其他工作。
 
    （二）现场应急处理工作组
 
    发生安全事件后，分局信息安全应急领导小组成立现场应急处理工作组，由相关部门领导及电脑室工作人员组成,对计算机系统和网络安全事件的处理提供技术支持和指导，按照正确流程，快速响应，提出事件统计分析报告。
 
　　三、预警和预防机制
 
    （一）信息监测及报告

    　1．电脑室要加强信息安全监测、分析和预警工作，进一步提高信息安全监察执法能力，加大对计算机犯罪的打击力度。
 
    　2．建立信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后，立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起2小时内将有关材料报至分局电脑室。

　　（二）预警
 
　　分局电脑室接到信息安全突发事件报告后，在经初步核实后，将有关情况及时向分局信息安全应急领导小组报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急领导小组的决策实施行动方案，发布指示和命令。
 
　　（三）预警支持系统
 
　　电脑室建立和逐步完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。
 
    　（四）预防机制
 
    　积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。
 
     　四、应急处理程序
 
    　（一）级别的确定

     　信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。分为两级：一(I级)、二(II级)。
 
    　I级：分局与市局、区政府的网络联系中断,分局网站瘫痪，造成或可能造成分局各项正常业务开展的信息安全事件范围出现并可能造成较大损害的信息安全事件；II级：分局内部部分网络联系中断，对分局部分业务开展造成较大冲击的信息安全事件。

    　（二）预案启动
 
    　1．发生I、II级网络信息安全事件后，由分局信息安全应急领导小组启动相应预案，并负责应急处理工作。
 
　　2．分局信息安全应急领导小组办公室接到报告后，应当立即上报应急领导小组，并会同相关成员单位尽快组织技术人员对突发事件性质、级别及启动预案的时机开展评估，向分局应急领导小组提出启动预案的建议，报分局局长批准。
 
    　3．在分局局长做出启动预案决定后，分局信息安全应急领导小组立即启动应急处理工作。

    （三）现场应急处理
 
    　1.检查。事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。
 
    　2.抑制。抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。
 
    　3.根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。
 
　　（四）报告和总结
 
　　回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市局信息化工作领导组备案。

　　（五）应急行动结束
 
    　根据信息安全事件的处置进展情况和现场应急处理工作组意见，分局电脑室组织相关部门及技术人员对信息安全事件处置情况进行综合评估，并提出应急行动结束建议，报分局局长批准。

　　七、监督检查与责任追究

　　（一）预案执行监督

    　分局信息安全应急领导小组办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。

   　 1．发生重大信息安全事件的单位应当按照规定，及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。

　　2．应急行动结束后，分局信息安全应急领导小组办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。

   　（二）责任追究

    　1．在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，分局信息安全应急领导小组办公室将予以通报批评；对造成严重不良后果的，将视情节追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

   　2．对未及时落实分局信息安全应急领导小组办公室指令，影响应急行动效果的，按《国务院关于特大安全事故行政责任追究的规定》及有关规定追究相关人员的责任。
 
    　八、附则

    　1、本预案所称网络与信息安全重大突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本局机关网络与信息系统、关系到整个局的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。

　　2．本预案通过演习、实践检验，以及根据应急力量变更、成员变化、新技术、新资源的应用和应急事件发展趋势，及时修订和完善。

    　3.本预案由分局信息安全应急领导小组办公室负责解释。

 

   　4.本预案自发布之日起实施。