网络信息安全应急管理标准

1　范围

本标准规定了公司网络信息安全应急管理的职责和权限、管理内容和方法、报告和记录。

本标准适用于公司的网络信息安全应急管理。

2　规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

中华人民共和国计算机信息系统安全保护条例

中华人民共和国无线电管理条例

中办发 [2003]27号 中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强网络与信息安全保障工作的意见》的通知

南方电网安监[2003]29号 中国南方电网有限责任公司安全生产工作规定

XX公司系统安全生产事故总体应急预案

3　术语和定义

下列术语和定义适用于本标准

3.1　网络与信息安全重大突发事件

是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本公司网络与信息系统、关系到公司的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。

3.2　信息安全事件的主体

指信息安全事件的制造者或造成信息安全事件的最终原因。

3.3　信息安全事件的客体

指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。

4　职责

4.1　主管领导

4.1.1　审批信息安全应急预案。

4.1.2　审批信息安全应急预案活动经费。

4.2　信息中心

4.2.1　制定安全应急预案。

4.2.2　组织安全应急预案应用培训。

4.2.3　组织安全应急预案演习、评审、修订。

4.2.4　协调、指导事故单位处理事故。

4.2.5　监督检查措施落实情况。

4.2.6　制定网络安全预防措施。

4.3　生产技术部

制定经费保障相关政策及方案。

4.4　总经理工作部

4.4.1　组织协调有关部门对网络违规行为进行查处。

4.4.2　并做好密级鉴定和采取补救措施。

4.5　相关单位/基层单位

4.5.1　学习网络安全相关知识。

4.5.2　提出合理化建议。

4.5.3　收集事故资料。

4.5.4　上报事故信息。

4.5.5　编写事故报告。

4.5.6　落实整改措施。

5　管理活动的内容与方法

5.1　本标准依据的流程

网络信息安全应急管理流程（见附录A）

5.2　工作原则

5.2.1　统一领导，协同作战

全公司信息安全突发事件应急工作由公司网络与信息安全专项应急委员会统一领导和协调，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职“的原则协同配合、具体实施，完善应急工作体系和机制。

5.2.2　明确责任，依法规范

各部门和有关单位，按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任制和责任追究制。

5.2.3　整合资源，条块结合

充分利用现有信息安全应急支援服务设施，整合我公司所属信息安全工作力量，充分依靠各有关部门在地方的信息安全工作力量，进一步完善应急响应服务体系，形成区域信息安全保障工作合力。

5.2.4　防范为主，加强监控

宣传普及信息安全防范知识，贯彻预防为主的思想，树立常备不懈的观念，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

5.3　应急组织机构

5.3.1　公司网络与信息安全突发事件专项应急委员会

5.3.1.1　在公司应急委的统一领导下，设立公司网络与信息安全突发事件专项应急委员会(以下简称公司信息安全专项应急委)，为公司处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、公司信息安全应急机构的要求开展处置工作；研究决定全公司信息安全应急工作的有关重大问题；决定III、IV级信息安全突发事件应急预案的启动，组织力量对III级和IV级突发事件进行处置，决定启动公司网络与信息安全突发事件应急指挥部(以下简称公司信息安全应急指挥部)，统一领导和组织指挥重大信息安全突发事件的应急处置工作；指导监督公司信息安全专项应急委的工作；公司应急委交办的事项和法律、法规、规章规定的其他职责。

5.3.1.2　公司信息安全专项应急委，由分管信息化工作的公司领导任主任，相关主任、公司信息中心主任任副主任，成员由公司信息中心、公司安监部、公司生技部、公司总经理工作部及其他有关单位负责人组成。

5.3.1.3　公司信息安全专项应急委下设办公室，设在公司信息中心，由公司信息中心主任任主任，承担公司信息安全专项应急委的日常工作，负责全公司信息安全突发事件日常监测与预警，其主要职责是：

a) 督促落实公司应急委和公司信息安全专项应急委作出的决定和措施；

b) 拟订或者组织拟订公司应对信息安全突发事件的工作规划和应急预案，报公司批准后组织实施；

c) 督促检查公司有关部门信息安全专项应急预案的制订、修订和执行情况，并给予指导；

d) 督促检查公司有关专业技术机构的信息安全突发事件监测、预警工作情况，并给予指导；

e) 建立完善信息监测、传递网 络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力；

f) 汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议；

g) 监督检查、协调指导公司有关部门信息安全专项应急委的信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作；

h) 组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报公司批准后督促落实；

i) 公司应急委和公司信息安全专项应急委交办的其他工作；

j) 负责对本预案附件及附录的修改、审批和实施。

5.3.2　公司信息安全应急指挥部

a) 在发生重大信息安全突发事件时，公司信息安全专项应急委可以决定启动公司信息安全应急指挥部，由分管信息化工作的公司领导任总指挥，公司信息中心主任任副总指挥，统一指挥重大信息安全突发事件的处置工作。其主要职责是：组织专家组判定突发事件级别，根据情况提出加强或撤销控制措施的建议和意见；组织召开部门协调会议，协调公司各部门、各单位共同做好突发事件处置工作；检查督导突发事件应急措施的落实情况；及时收集、上报和通报突发事件有关情况，负责向公司报告有关工作情况；

b) 特别重大、重大信息安全突发事件应急指挥部可以设立若干工作小组，并可视情况在事件现场设立现场指挥部，具体指挥现场处置工作。现场指挥部可以根据实际情况设立若干专门小组。

5.3.3　公司信息安全专项应急委各成员单位的职责

a) 信息安全专项应急委：统筹规划建设应急处理技术平台，会同公司安监部、公司生技部、公司总经理工作部等有关部门组织制定全公司突发事件应急处理政策文件及技术方案，负责安全事件处理的培训以及无线电频率安全的管理，及时收集、上报和通报突发事件情况，负责向公司、人民政府报告有关工作情况；

b) 信息中心及公司总经理工作部：严密监控境内互联网有害信息传播情况，制止互联网上发生对社会热点和敏感问题的恶意炒作，监测政府网站、新闻网站、门户网站和国家重大活动、会议期间重点网站网络运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为；

c) 公司生技部：制定经费保障相关政策及方案；保证应急处理体系建设和突发事件应急处理所需经费；

d) 公司总经理工作部：依法组织协调有关部门对计算机网络上泄露和 窃取国家秘密的行为进行查处，并做好密级鉴定和采取补救措施。

5.3.4　现场应急处理工作组

a) 现场应急处理工作组，在出现安全事件后，对计算机系统和网络安全事件的处理提供技术支持和指导，遵循正确的流程，采取正确快速的行动作出响应，提出事件统计分析报告；

b) 现场应急处理工作组由以下各方面的人员组成：

c) 管理方面包含应急指挥部办公室主任或副主任，以及相关成员单位领导及部门负责人。主要确保安全策略的制定与执行；识别网络与信息系统正常运行的主要威胁；在出现问题时决定所采取行动的先后顺序；做出关键的决定；批准例外的特殊情况等；

d) 技术方面应包含公司信息化专家咨询委员会网络与信息安全专家委会有关专家、公司信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统；检测入侵事件，并采取技术手段来降低损失。

5.4　信息安全突发事件级别

5.4.1　一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)，对应颜色依次为蓝色、黄色、橙色和红色。

5.4.2　IV级：公司内较大范围出现并可能造成较大损害的其他信息安全事件。

5.4.3　Ⅲ级：公司重要部门网络与信息系统、重点网站或者关架到公司事务或经济运行的其他网络与信息系统受到大面积 ．严重冲击。

5.4.4　II级：公司重要部门或局部地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，但纵向或横向延伸可能造成严重社会影响或较大经济损失。

5.4.5　I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者公司多地点或多地区基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

5.5　督促落实各项措施

信息中心根据具体情况督促落实各项措施，包括：网络安全、系统运行安全、设备安全等。详细措施要求参见Q/HD 212.07—2007《网络信息系统管理标准》规定。

5.6　制定应急预案

信息中心根据各项安全措施制定安全应急预案，报分管领导审批同意后，信息中心将预案下发执行。

5.7　宣传、技术培训

5.7.1　公众信息交流

公司信息安全专项应急委办公室在应急预案修订、演练的前后，应利用各种新闻媒介进行宣传；并不定期的利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。

5.7.2　人员培训

为确保信息安全应急预案有效运行，公司信息安全专项应急委应定期或不定期地举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。

5.8　应急演习

信息中心根据培训的情况及项目进展情况必要时制定演练计划，报分管领导审批。通过后，信息中心组织公司各部门实施计划。检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任。

5.9　总结、评审预案

信息中心对演练实施结果进行总结、评审。对预案中存在的问题和不足及时补充、完善。

5.10　修订预案

5.10.1　信息中心根据预案评审及演练结果的总结情况，对预案进行修订。

5.10.2　信息中心将修定好的应急预案上报公司分管领导审批。通过后，信息中心发布执行修订预案。

5.11　发生事故

5.11.1　相关单位在网络运行过程中发生安全事故。发生信息安全突发事件的单位应当在事件发生后，立即向公司信息安全专项应急委办公室报告。公司直单位直接向公司信息安全专项应急委办公室报告。

5.11.2　发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至公司信息安全专项应急委办公室。填写“重大信息安全事故报告表”（由信息中心提供表格样式）。

5.11.3　公司信息安全专项应急委办公室接到信息安全突发事件报告后，应当经初步核实后，将有关情况及时向办公室主任报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策，并及时报市应急委办公室。办公室主任视情况召集协调会，决策行动方案，发布指示和命令。

5.12　启动预案

5.12.1　事故单位根据事故发生的具体情况启动应急预案：

a) 发生IV级网络信息安全事件后，公司启动相应预案，并负责应急处理工作；发生III级网络信息安全事件后，公司启动相应预案，并由公司信息安全应急指挥部负责应急处理工作；发生I、II级的信息安全突发事件后，上报南网公司启动相应预案，并由公司信息安全应急指挥部负责应急处理工作；

b) 公司信息安全应急指挥部办公室接到报告后，应当立即上报公司信息安全应急指挥部的领导，并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机进行评估，向公司应急委提出启动预案的建议，报公司批准；

c) 在公司作出启动预案决定后，公司信息安全应急指挥部立即启动应急处理工作。

5.12.2　现场应急处理

a) 事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，鉴别事件类别，确定事件来源，保护证据，以便缩短应急响应时间；

b) 检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等；

c) 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等；

d) 根除攻击源。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断；

e) 清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，避免出现误操作导致数据的丢失。恢复工作中如涉及到机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令；

5.13　应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见，公司信息安全应急指挥部办公室应组织相关部门及专家组对信息安全事件的处置情况进行综合评估，并由公司信息安全应急指挥部及时向公司应急委提出应急行动结束建议，并报公司批准。

5.14　报告总结

事故单位回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报公司及南网备案。事故单位填写“重大信息安全事件处理结果报告表”（由信息中心提供表格样式）。

5.15　监督检查

公司信息安全专项应急委办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。

5.16　提出整改意见

5.16.1　公司信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。对发现的问题，提出整改意见。

5.16.2　相关部门根据信息中心的整改意见实施整改。

5.17　再次修订预案

信息中心根据对事故信息的汇总、分析，对应急预案进行再次修订，并报分管领导审批。通过后，信息中心将再修订预案发布实施。

5.18　奖惩、考核

5.18.1　对下列情况可以经公司信息安全专项应急委办公室评估审核，报公司信息安全专项应急委批准后予以奖励。

a) 在应急行动中做出特殊贡献的先进单位和集体；

b) 在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；

c) 在应急行动第一线做出重大成绩的现场作业人员。

5.18.2　在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，公司信息安全专项应急委办公室将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

5.18.3　对未及时落实公司信息安全专项应急委指令，影响应急行动的效果的，按Q/HD 201.09—2007《目标责任制管理标准》追究相关人员的责任。

6　报告和记录

6.1　Q/HD 212.05/JL1 重大信息安全事故报告表 信息中心保存 保存年限 5年

6.2　Q/HD 212.05/JL2 重大信息安全事件处理结果报告表 信息中心保存 保存年限 5年

7　附录

附录A（规范性附录） Q/HD 212.05/LC-1 网络信息安全应急管理流程