第一章总则
第一条编制目的
根据《教育系统网络安全事件应急预案》和《贵州省教育系统网络安全事件应急预案》要求,结合学院工作实际,健全完善我院网络安全事件应急工作机制,规范网络安全事件工作流程,提高我院网络安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护校园网络安全稳定。
第二条编制依据
《中华人民共和国网络安全法》等法律法规,《关于加强教育行业网络与信息安全工作的指导意见》《教育系统网络安全事件应急预案》《贵州省教育系统网络安全事件应急预案》等文件规定。
第三条适用范围
本预案适用于贵州轻工职业技术学院。按照《贵州省教育系统网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害、境外敌对势力网络攻击等,对网络和信息系统或者其中的数据造成危害,对社会、学校造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。有关信息内容安全事件的应对,参照有关规定和办法。
第四条事件分级
参照《贵州省教育系统网络安全事件应急预案》事件分级规定,根据校园网络特点,可能造成的危害,可能发展蔓延的趋势等,校园网络安全事件分为四级:特别重大的网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1) 符合下列情形之一的,为特别重大网络安全事件(Ⅰ级):
①关键信息基础设施或统一运行的核心业务信息系统(网站)遭受特别严重损失,造成系统大面积瘫痪,丧失业务处理能力。
②网络病毒在全院大面积爆发。
③事件导致全院范围不能正常上网。关键信息基础设施或统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
④其他对学院安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
(2) 符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(Ⅱ级):
①关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响。
②网络病毒在校园范围出现局部爆发,影响校园网络正常运行。
③核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改。
④其他对学院安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
⑤门户网站被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散。
⑥发生国家秘密泄露、大面积个人信息泄露或大量基础数据泄露。
(3) 符合下列情形之一且未达到重大网络安全事件等级的,为较大网络安全事件(Ⅲ级):
①重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响。
②重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。
③其他对学院安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
(4) 一般网络安全事件(Ⅳ级):
除上述情形外,对学院安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
第五条工作原则
(1) 统一指挥、密切协同。网络安全和信息化工作领导小组(以下简称院网信领导小组)统筹协调全院网络安全应急指挥工作,建立与省教育厅信息中心、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(2) 分级管理、强化责任。各部门在学院党委和行政领导下,负责本部门网络安全应急工作。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,学院党委对本单位网络安全工作负主体责任。领导班子主要负责人是网络安全工作第一责任人。
(3) 预防为主、平战结合。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
第二章组织机构与职责
第六条领导机构与职责
院网信领导小组统筹协调学院全局性网络安全事件应急工作,指导各部门、各系部网络安全事件应急处置;发生特别重大网络安全事件和重大网络安全事件时,院网信领导小组负责组织和协调事件处置,并根据实际情况吸纳相关行政部门、业务主管部门和网络安全支撑单位等参加应对工作。
第七条办事机构与职责
在院网信领导小组的领导下,网络安全和信息化工作领导小组办公室(以下简称院网信领导小组办公室)负责网络安全应急管理事务性工作,对接厅网信办和网络安全职能部门,向院网信领导小组报告网络安全事件情况,提出重大网络安全事件应对措施建议,做好网络安全事件的预防、监测、报告和应急工作,指导网络安全支撑单位做好应急处置的技术支撑工作。
第八条各部门职责
按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,各部门参照本预案制定应急预案,承担各自网络安全责任,全面落实各项工作。
第三章监测与预警
第九条预警分级
建立学院网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度,学院网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生学院特别重大、重大、较大和一般网络安全事件。
第十条安全监测
(一)事件监测
学院办公室接到厅网信办或省委网信办或公安机关网安部门监测通知的网络安全事件,或通过多种渠道监测、发现已经发生的学院网络安全事件,将掌握的情况立即通知院网信领导小组。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的要求,院网信领导小组牵头对本单位的网络和信息系统(网站)开展网络安全监测工作。一旦发生网络安全事件,应当立即通过电话等方式向上级教育行政部门报告,不得迟报、谎报、瞒报、漏报。
要警惕敌对势力对我院发动的网络攻击,我院网络若遭到敌对势力攻击,应第一时间报告网信领导小组,并按照规定上报主管部门。
(二)威胁监测
院网信领导小组办公室组织对全院网络安全威胁进行监测,建立多方协作的信息共享机制,通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息。加强对本单位网络和信息系统(网站)的网络安全威胁监测,对发生的威胁及时进行处置和上报。
(三)预警研判和发布
院网信领导小组办公室对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知有关部门;认为可能发生重大以上(含重大)网络安全事件的信息,应立即向厅网信办报告。由厅网信办组织研判,确定和发布橙色以下(含橙色)预警。对达不到预警级别但又需要发布警示信息的,由厅网信办发布风险提示信息。
红色预警由厅网信办组织研判后,提出发布红色预警的建议,确定和发布。
预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求等。
第十一条预警响应
(一)红色预警响应
红色预警响应按照厅网信办的指示和要求执行。
(1) 厅网信办组织预警响应工作,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备。组织跟踪和分析研判,密切关注舆情动态,加强教育引导,采取有效措施管控风险。
(2) 按照厅网信办的指示和要求,实行24小时值守,相关人员保持通信联络畅通。做好监测分析和信息搜集工作;开展应急处置或准备、风险评估和控制工作。
(3) 安全技术支撑部门进入待命状态,研究制定应对方案,检查设备、软件工具等,确保处于良好状态。
第十二条橙色预警响应
(1) 院网信领导小组启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2) 院网信领导小组及时将事态发展情况报厅网信办。
(3) 相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
(二)黄色、蓝色预警响应
院网信领导小组根据预案,组织做好预警响应工作。
第十三条预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
第四章应急处置
第十四条初步处置
网络安全事件发生后,应立即启动应急预案,立即组织本单位的应急队伍和工作人员根据不同的事件类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。经分析研判,初判为特别重大、重大网络安全事件的,应立即报告厅网信办;对于人为破坏活动,应同时报当地网信部门和公安机关。
(一)事发紧急报告与处置
1.网络与信息系统运维操作人员一旦发现上述安全事件,应根据实际情况第一时间采取断网等有效措施进行处置,将损害和影响降到最小范围,保留现场,并报告本单位安全责任人和主要负责人。
2.本单位安全责任人接到报告后,应立即组织技术人员赶赴现场进行紧急处置,并及时将相关情况通报到院网信领导小组。涉及人为主观破坏事件同时报告当地公安机关。
3.院网信领导小组接到报告后,应进一步判定安全事件等级,对确认I至III级安全事件的,应报告厅网信办。
4.紧急报告内容包括:
(1) 时间地点;
(2) 简要经过;
(3) 事件类型与分级;
(4) 影响范围;
(5) 危害程度;
(6) 初步原因分析;
(7) 已采取的应急措施。
5.院网信领导小组应及时跟进事件发展的情况,出现新的重大情况应及时补报。
(二)事中情况报告与处置
1.事中情况应在安全事件发生后8小时内以书面报告的形式进行报送,报送内容和形式见附1。
2.事中情况报告由单位的安全负责人组织有关人员编写,由本单位主要负责人审核后,签字并加盖公章报送省教育厅网信办。
3.安全事件的事中处置包括:及时掌握损失情况、查找和分析事件原因,修复系统漏洞,恢复系统服务,尽可能减少安全事件对正常工作带来的影响。如果涉及人为主观破坏的安全事件应积极配合公安部门开展调查。
(三)事后整改报告与处置
1.事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行报送,报送内容和格式见附2。
2.事后情况报告由单位的安全负责人组织有关人员编写,由本单位主要负责人审核后,签字并加盖公章报送省教育厅。
3.安全事件事后处置包括:进一步总结事件教训,研判安全现状、排查安全隐患,进一步加强制度建设,提升安全防护能力。如涉及人为主观破坏的安全事件应继续配合公安部门开展调查。
第十五条应急响应
网络安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级等四级,分别对应教育系统特别重大、重大、较大和一般网络安全事件。由国家网络安全应急办公室研判确定为国家级特别重大网络安全事件的,由国家网络安全应急办公室统一组织应急处置工作,具体要求以国家网络安全应急办公室部署为准。
(一)Ⅰ级响应
发生特别重大网络安全事件,按照厅网信办的指示和要求执行。由院网信领导小组向厅网信领导小组提出启动I级响应的建议,经批准后,成立专项应急工作组。
(1) 启动指挥体系
①工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持24小时联络畅通,24小时值守。
②网络安全职能部门进入应急状态,在工作组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动24小时值守。
(2) 掌握事件动态
①跟踪事态发展。与厅网信办保持联系,及时填写《教育系统网络安全事件情况报告》,将事态发展变化情况和处置进展情况上报厅网信办。
②检查影响范围。立即全面了解本单位主管的网络和信息系统受到事件的波及或影响范围,并将有关情况及时报厅网信办。
③及时通报情况。院网信领导小组负责整理上述情况,重大事项及时报厅网信办。
(3) 决策部署
工作组组织有关部门、专家组、应急技术支撑队伍等方面及时研究对策意见,对处置工作进行决策部署。
(4) 处置实施
①控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
②消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统及时组织恢复。
③调查取证。在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。
④信息发布。党委宣传部根据实际,组织网络安全突发事件的应急新闻工作,指导协调各单位开展新闻发布和舆论引导工作。未经批准,其他单位不得擅自发布相关信息。
⑤协调上级支持。处置中需要技术及工作支持的,由院网信工作领导小组根据实际,报请省教育厅网信办协助支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,院网信领导小组应及时按程序上报。
(二)Ⅱ级响应
网络安全事件的Ⅱ级响应,由厅网信办根据事件性质和情况确定并发布。
(1) 响应发布单位进入应急状态,按照相关应急预案做好应急处置工作。
(2) 及时填写《教育系统网络安全事件情况报告》,报厅网信办,由厅网信办报部网络安全应急办和省委网信办。厅网信办将有关重大事项及时通报厅网信领导小组和有关单位。
(3) 处置中需要其他单位和网络安全应急技术支撑队伍配合和支持的,厅网信办予以协调。
(4) 有关单位根据通报,结合各自实际有针对性地加强防范, 防止造成更大范围影响和损失。
(三)Ⅲ级和Ⅳ级响应
按相关预案进行应急响应。
第十六条应急结束
(一)I级响应结束
厅网信办提出建议,报工作组批准后,及时通报有关单位。
(二)Ⅱ级响应结束
厅网信办根据实际决定Ⅱ级响应的结束。
(三)Ⅲ级、Ⅳ级响应结束
完成应急处置后,自行解除Ⅲ级、Ⅳ级响应状态。
第五章调查与评估
特别重大网络安全事件由部网络安全应急办组织有关单位开展调查处理和总结评估工作,并将调查评估结果汇总上报厅网信领导小组。重大网络安全事件根据事发单位属性,由厅网信办组织开展调查处理和总结评估工作。较大和一般网络安全事件自行组织开展调查处理和总结评估工作,相关调查总结报告报厅网信办。
网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成。
第六章预防工作
第十七条日常管理
做好网络安全事件日常预防工作,根据本预案制定完善相关的专项应急预案和配套的管理制度,建立完善的应急管理体制。按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统(网站)的安全保障能力。
第十八条监测预警和通报
院网信领导小组建立全院网络安全监测预警和通报机制。加强网络安全监测预警和通报,及时发现并处置安全威胁。院网信领导小组办公室全面掌握校园网信息系统(网站)情况,指导、监督各部门及时修复安全威胁,全面排查安全隐患,提高发现和应对网络安全事件的能力。
第十九条应急演练
每年至少组织一次应急演练,演练情况及时报厅网信办。
第二十条宣传教育
将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。
同时,充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高在校师生的网络安全意识。每年至少开展一次网络安全宣传工作,宣传情况及时报厅网信办。
第二十一条工作培训
定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
第七章工作保障
第二十二条机构和人员
落实网络安全应急工作责任制,明确网络安全职能部门,并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则,把网络安全应急工作责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。
第二十三条技术支撑
明确或建立网络安全技术支撑单位,加强网络安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
第二十四条专家队伍
建立网络安全专家组,为网络安全事件的预防和处置提供技术咨询和决策建议,提高应急保障能力。
第二十五条基础平台
加强监测通报,建立网络安全态势感知体系,做到早发现、早预警、早响应,提高应急处置能力。
第二十六条信息共享与应急合作
加强与网络安全职能部门、网络安全专业机构等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。
第二十七条经费保障
为网络安全应急工作提供必要的经费保障,利用现有政策和资金渠道,支持开展网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。
第二十八条责任与奖惩
对网络安全事件应急管理工作中作出突出贡献的先进部门和个人给予表彰和奖励;对迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
第八章附则
第二十九条预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由网络安全和信息化工作领导小组组织。
各部门要根据本预案制定或修订本部门的网络安全事件应急预案。各预案要做好与本预案的衔接,并报网络安全和信息化工作领导小组办公室。
第三十条预案解释
本预案由学院网络安全和信息化工作领导小组负责解释。
第三十一条预案实施时间
此次修订的预案自印发之日起实施,原网络安全事件应急预案废止。