1、应急预案编号：JDJE/YA11应急预案版本号：20XX山西电建二公司网络与信息安全突发事件应急预案发布日期：20XX年6月1日编写人： 审查人： 批准人： 目 录1. 事故类型和危害程度分析2. 应急处置基本原则3. 组织机构及职责4. 事件定义5. 信息报告程序6. 应急处置7. 应急保障8. 培训和演练9. 附则附件一：应急组织体系结构图附件二：事故信息报告程序附件三：事故信息报告内容附件四：网络与信息安全事件响应分级图附件五：应急响应流程图附件六：应急预案终止图附件七：应急工作相关联的单位或人员通信联系方式表山西电建二公司网络与信息安全突发事件应急预案1 事故类型和危害程度分析1.1 2、编制目的： 为了正确、有效和快速地处理网络与信息安全突发事件，最限度地减少突发事件对公司生产、经营、管理造成的损失和对会的不良影响，提高公司信息系统的安全稳定运行水平，完善公司信息系统应急响应机制，建立公司信息系统应急体系，特制本预案。1.2 编制依据：1.2.1 中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令147号）；1.2.2 国家信息化领导小组关于加强信息安全保障工作意见（中办发200327号）；1.2.3 计算机信息系统保密管理暂行规定（国保发19981号）；1.2.3 国家电网公司信息化工作管理办法；1.2.4 国家电网公司保密工作管理办法（试行）；1.2.5 国家3、电网公司安全生产工作规定；1.2.6 重特大生产安全事故预防与应急处理暂行规定；1.2.7 山西省电力公司网络与信息安全突发事件应急预案。1.3 适用范围：本应急预案是公司级专项应急预案，适用于公司所属各单位应对处置各类对公司构成重大损失和影响的网络与信息安全突发事件；指导和规范各单位制定网络与信息安全突发事件应急预案，建立自上而下分级负责的网络与信息安全突发事件应急处置体系，规范对网络与信息安全突发事件处理的逐级汇报流程。网络与信息安全突发事件包括公司管理信息系统、网络及通信系统和相关支撑的软硬件及物理环境的突发事件。14 安全风险辨识：通过危险源辨识和风险评估，在公司系统网络与信息系统运行4、过程中，存在如下安全风险，可能会导致发生网络与信息安全突发事件。1.4.1 机房供电系统掉电引发系统宕机的安全风险；1.4.2 机房设备短路发生火灾的安全风险；1.4.3 楼层漏水、跑水引发机房设备短路的安全风险；1.4.4 网络系统故障引发关键应用系统瘫痪的安全风险；1.4.5 数据存储设备故障引发应用系统瘫痪的安全风险；1.4.6 公司网站主页被篡改为恶意信息的安全风险；1.4.7 关键应用系统故障阻碍生产、经营活动正常进行的安全风险。1.4.8 数据中心机房设备因人为破坏、盗窃等原因造成应用系统瘫痪的安全风险。1.5 发生事故的条件：供电系统发生事故，机房设备的不安全状态，操作人员的不安5、全行为，及网络与信息系统安全的漏洞，都可能导致网络与信息系统事故发生的安全风险。2 应急处置基本原则2.1 预防为主，常备不懈，超前预想。坚持“安全第一、预防为主”的方针。做好应对各种网络与信息安全突发事件的预案准备、应急资源准备、保障措施准备和超前网络与信息安全突发事件预想，充分利用现有资源，制定科学的应急预案，定期组织开展应急培训和应急演练，提高对各种网络与信息安全突发事件的应急响应和处置能力。2.2 统一指挥，分级管理，分工协作。通过成立各级应急领导小组、信息管理部门和工作组，建立有系统、分层次的应急组织。组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。应急预案制定、修订和6、应急处置应明确牵头部门或单位，以及各有关部门和单位的职责和权限。应急处理过程中，牵头部门和单位要主动协调各有关方面，参与单位听从指挥、步调一致。2.3 保证重点，有效组织，及时响应。对重要系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点、反应迅速。2.4 技术支撑，健全机制，不断完善。在充分利用公司现有信息资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对网络与信息安全突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力，建立健7、全公司应对网络与信息安全突发事件的有效机制。3 组织机构及职责3.1 成立山西电建二公司网络与信息安全应急领导组，全面领导公司系统网络与信息安全应急处置工作。组 长：牛耀林副组长：葛向阳 张月光成员：公司安委会各成员，各单位主要负责人应急领导小组的主要职责：3.1.1 贯彻落实国家有关网络与信息安全突发事件应急处理的法规、规定；3.1.2 接受山西省电力公司网络与信息安全协调小组的领导，就公司应急处理工作请求山西省电力公司有关部门和地方政府提供应急支援；3.1.3 研究信息系统重大应急决策和部署；3.1.4 宣布进入和解除应急状态，决定实施和终止信息系统3.1.5 统一领导公司信息系统 I 级8、和 II 级突发事件的应急处置工作；3.1.6研究决定公司对外有关网络与信息安全突发事件的新闻发布。3.2 应急领导组下设网络与信息安全应急办公室,办公室设在信息中心，负责日常工作。主 任：张月光成 员：公司安委会成员部门有关领导和专业人员。应急办公室在信息系统应急工作中的主要职责： 3.2.1 监督执行应急领导小组下达的应急指令、重大应急决策和部署,协调各方应急资源，组织应急处置；3.2.2 掌握应急处理情况，及时向领导小组报告应急处置过程中的重大问题；3.2.3 对网络与信息安全突发事件的有关信息进行汇总和整理，并根据应急领导小组的决定，向公司应急处置新闻发布小组提供相关素材。3.2.4 9、按公司相关规定参与、配合信息系统事件调查、总结应急处理经验和教训等后期处置工作；根据应急领导小组的要求向国家网络与信息安全协调小组报告。3.2.5 组织制定公司网络与信息体系应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况；3.3 各单位根据实际情况组建相关的应急工作组, 应急工作组的主要职责:3.3.1 执行信息管理部门下达的应急处置工作任务；3.3.2 执行信息管理部门下达的应急处置保障任务；3.3.3 执行应急处理、控制事件范围、进行事件恢复；3.3.4 提供技术支援、协助事件调查。公司网络与信息安全突发事件应急组织体系结构图详见附件一。4 事件定义4.110、 事件分级：根据公司网络与信息安全突发事件对服务的社会用户和公司生产、经营和管理的影响范围、程度、可能产生的后果和损失等因素，将信息系统事件分为I级、II级和III级三个等级。4.2 事件定义：4.2.1 发生下列情况之一，属于I级网络与信息安全事件：4.2.1.1 因网络故障、系统故障、病毒泛滥、机房环境影响、自然灾害及其他原因，对所服务用户的生产、生活造成影响，影响用户数量超过本单位服务总用户数量的90%。4.2.1.2 对本单位的生产、经营、管理和信息发布造成严重影响，影响内部用户数超过 90%。4.2.1.3 有害信息传播，影响范围大，影响各单位内用户数超过 90%。涉及国家或公司利益11、的机密信息通过信息系统泄漏，造成特别重大影响。4.2.2 发生下列情况之一，属于II级网络与信息安全事件：4.2.2.1 因网络故障、系统故障、病毒泛滥、机房环境影响、自然灾害及其他原因，对所服务用户的生产、生活造成影响，影响用户数量超过本单位服务总用户数量的 50%，低于 90。4.2.2.2 对本单位的生产、经营、管理和信息发布造成严重影响，影响内部用户数超过 50%，低于90%。4.2.2.3 有害信息传播，影响范围大，影响各单位内用户数超过 50%，低于 90%。涉及国家或公司利益的机密信息通过信息系统泄漏，造成重大影响。4.2.3 发生下列情况之一，属于级网络与信息安全事件：4.2.12、3.1 因网络故障、系统故障、病毒泛滥、机房环境影响、自然灾害及其他原因，对所服务用户的生产、生活造成影响，影响用户数量超过本单位服务总用户数量的 20%，低于 50%；4.2.3.2 对本单位的生产、经营、管理和信息发布造成严重影响，影响内部用户数超过 30%，低于 50%。有害信息传播，影响范围大，影响各单位内用户数超过 30%，低于 50%。4.2.3.3 发生 III级事件公司进入信息系统预警状态，发生II级网络与信息安全突发事件公司进入信息系统 II级应急状态，发生I级网络与信息安全突发事件公司进入 I级应急状态。5 信息报告程序5.1 事件报告5.1.1 发生信息系统突发事件时，由13、公司信息中心逐级报告。5.1.2 报告分为紧急报告和详细汇报。紧急报告是指事件发生后，各级信息管理部门向上级信息管理部门以口头和应急报告表形式汇报事件的简要情况；详细汇报是指由相应单位信息系统应急处理机构在事件处理暂告一段落后，以书面形式提交的详细报告。5.1.3 各单位信息管理部门对各类突发事件的影响进行初步判断，有可能是 I级事件的，须在 30分钟内向科技信息部进行紧急报告，II级事件应在 60分钟内进行报告，III在 3小时内进行报告。5.1.4 任何项目部和个人均不得缓报、瞒报、谎报或者授意他人缓报、瞒报、谎报事件。6 应急处置6.1 启动应急预案6.1.1 发生信息系统突发事件后，事14、件发生单位立即启动应急预案，本着尽量减少损失的原则，将应急事件尽快隔离，在不影响正常生产、经营、管理秩序的情况下，保护现场。6.1.2 公司信息中心接到各单位信息系统突发事件的应急报告后，根据事件情况，启动公司信息系统应急预案。6.1.3 公司信息中心接到 I级和 II级信息系统突发事件报告后，根据事件的性质和影响向公司应急领导小组报告，对需要省公司有关部门应急支持的事件，由公司应急领导小组启动山西省电力公司网络与信息安全突发事件应急预案。6.2 应急处置6.2.1 信息系统应急处置按照各专业协同处理的原则进行，要内部多个部门和专业协同处置或外部应急资源支持的应急件，由信息管理部门负责统一协调15、。6.2.2 信息系统运行维护部门以保障重要应用系统和信息络及基础应用的安全稳定运行为目标。当发生病毒、非法入侵、网络攻击、有害信息传播、不符合规定的涉密信息传播等事件时，迅速调整网络安全设备的安全策略或隔离事件区域，查找源头，采取有效措施，控制事件的发展。当管理信息系统出现软硬件设备故障、网络链路故障、机房环境设备故障等事件时，应立即启用备份系统和备用设备，调整系统运行和安全策略，恢复系统正常运行。6.2.3 发生 III级信息系统突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案，根据事件原因采取相应措施控制影响范围，同时向公司信息中心报告，信息中心通知相关单位、部门和工作组启动16、应急准备工作。6.2.4 信息系统突发事件由 III级发展为 II级或发生 II级突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案，开展应急处理。信息中心接到应急报告后，根据事件产生的原因协调相关资源，支持事件相关单位及时、有效地进行处理，控制事件发展，同时上报公司应急领导小组，公司应急领导小组协调公司其他应急资源支持应急处理。6.2.5 信息系统突发事件由 II级发展为 I级或发生 I级突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案。公司信息中心接到应急报告后，根据事件产生的原因协调相关资源，组织有关各方对事件进行及时、有效的处理，控制事态发展，同时报公司应急领导小17、组，公司应急领导小组组织公司其他应急资源进行应急处理。6.2.6 当出现自然灾害、恐怖袭击、战争、人为非法破坏等重大突发事件，发生大规模的计算机病毒爆发、网络攻击、内部人员重大作案等重大网络与信息安全事件，由于重大技术故障导致信息网络与重要信息系统无法正常运行事件，公司无法迅速恢复正常生产、经营和管理工作时，由公司应急领导小组根据山西省电力公司网络与信息安全突发事件应急预案请求省公司网络与信息安全领导组。6.3 应急结束6.3.1 在同时满足下列条件下，事件相关单位应急领导小组或信息管理部门可决定宣布解除应急状态：6.3.2 各种信息系统事件已得到有效控制，情况趋缓。6.3.3 信息系统突发事18、件处理已经结束，设备、系统已经恢复运行。6.3.4 上级应急部门发布的解除应急响应状态的指令。6.3.5 事件相关单位应急部门应及时向现场应急工作组和参与应急支援的有关单位传达解除应急状态响应的指令，恢复正常生产工作秩序。6.3.6 事件相关单位向上级有关部门和公司信息中心报告已解除应急状态，恢复正常运行。6.3.7 信息系统突发事件应急处理结束后应密切关注、监测系统1周，确认无异常现象。6.3.8 信息系统突发事件应急处理结束后，影响到公众利益和国家安全的事件，按照国家相关部门的要求配合进行事件调查。公司信息系统突发事件应急处理结束后，对按照公司相关规定要求需要公司成立调查组的事件，由公司组19、织成立调查组，对事件产生的原因、影响进行调查和评估，对责任进行认定，提出整改建议。6.3.9 公司信息系统突发事件应急处理结束后，按照公司相关规定由各单位自行组织调查的，各单位对事件产生的原因进行调查，对产生的影响进行评估，对责任进行认定，提出整改措施。调查报告按公司规定报有关部门，同时报送公司信息中心。6.3.10 信息系统突发事件应急处理结束后，相关单位应组织研究事件发生的原因和特点、分析事件发展过程，总结应急处理过程中的经验和教训，进行应急处置知识积累，进一步补充、完善和修订相关应急预案。6.3.11 信息系统突发事件应急处理结束后，相关单位应结合运行过程中的异常和事件，综合分析信息系统20、中存在的关键点和薄弱点，提出该类事件的整改措施，制定整改实施方案并予以落实，整改措施和方案报公司信息中心备案。7 应急保障7.1 通信与信息保障：应急期间，指挥、通信联络和信息交换的渠道主要有固定电话、手机、传真、电子邮件等方式，有关应急联系的手机应保持 24小时开机状态。7.2 应急队伍保障：7.2.1 公司系统各单位的网络与信息安全管理人员和技术人员为兼职应急救援人员。7.2.2 各单位要加强信息系统突发事件应急技术支持队伍的建设，提高人员的业务素质、技术水平和应急处置能力。7.2.3 公司信息中心逐步建立应对各种信息系统突发事件的应急小组。7.3 应急物质装备保障：小型备品备件由各单位储21、备，大金额主设备备件公司统一调配。7.4 经费保障：将应急体系建设所需的资金纳入年度资金预算，建立健全应急保障资金投入机制，以适应应急队伍、装备、交通、物资储备等方面建设与更新维护资金的要求，保证抢险救灾、事故恢复及灾后重建所需的资金投入。7.5 技术保障：7.5.1 各单位应重视研究涉及信息系统安全的重大问题，从信息系统建设和改造项目的规划、立项、设计、建设、运行等各环节，提出应对信息系统突发事件的技术保障要求。7.5.2 各单位在信息系统各项目建设和服务合同中应包含相关设备厂商、技术服务厂商在信息系统应急方面的技术支持内容。7.5.3 各单位应根据本预案制定具体预案，并对应急处置各个专项制22、定专项预案，形成预案体系。各专项预案中应详细定义应急处置流程、应急人员、应急操作方法等，保证对信息系统事件的准确处置。7.5.4 各单位应注意收集各类信息系统突发事件的应急处置实例，总结经验和教训，开展信息系统事件预测、预防、预警和应急处置的技术研究，加强技术储备。8 培训和演练8.1 宣传:公司各单位应加强应急工作的宣传和教育，提高各级人员对应急预案重要性的认识，加强各部门和单位之间的协调与配合。8.2 教育培训各单位在信息系统应急预案编制完成和修订后，要组织对应急预案涉及的组织、指挥、操作人员进行培训，通过培训使有关人员熟练掌握应急处理的程序和应急处理技能。涉及预案的各级人员应结合本岗位安23、全职责和应急预案的要求，管理人员应熟练掌握本单位应急预案中有关报警、接警、处警和组织、指挥应急响应的程序等内容，专项应急预案操作人员应熟悉各个操作步骤和操作命令。各单位信息安全教育应包括本单位应急预案的有关内容，使有关人员熟悉本单位应急处理的流程、应急处理设施的使用、应急联系电话、应急报告的内容和格式。8.3 演练各单位应根据信息系统的关键点和薄弱点，根据系统和设备的重要程度有针对性地开展演练，演练应突出重点和关键。在做应急演练前要做好相关准备工作，合理安排、精细组织，确保演练工作的安全。要明确演练目的和要求，记录演练过程，对演练结果进行评估和总结。通过演练验证本单位应急预案和各专项应急预案的24、合理性，及时修订和完善。9 附则9.1 应急预案备案：9.1.1 本应急预案上报山西省电力公司安全应急办公室备案；9.1.2 本应急预案下发公司所属各单位执行。9.2 维护与更新 随着国家网络与信息安全相关法律法规的制定和修订，公司系统部门职责、网络与信息系统建设发展情况变化，公司将及时修订完善本预案。9.3 制定与解释 本应急预案由信息中心负责制定与解释。9.4 应急预案实施：本预案自发布之日起实施。 附件一：公司网络与信息安全突发事件应急组织体系结构图山西省电力公司网络与信息安全应急领导组网络与信息安全应急办公室稳定应急办公室各单位网络与信息安全应急工作组附件二：网络与信息安全突发事件报告25、程序机房值班人员监控系统网络管理系统必要时报物业公司、当地火警119，同时报110项目部级网络与信息安全应急工作组公司网络与信息安全应急办公室省公司应急领导组附件三：网络与信息安全突发事件报告内容网络与信息安全突发事件情况报告表单位名称单位地址科信部负责人电话网络与信息安全突发事件情况突发事件简要描述设备损坏情况受影响工作范围受影响的用户应急工作人员初步应急情况进一步处置方案简述应急资源申请附件四：网络与信息安全事件响应分级图1、I级应急响应应急处理完毕后向公司信息安全应急办公室详细汇报情况公司应急领导组30分钟内向公司网络与信息安全应急办公室口头汇报情况受安全事件影响的用户数达到50%以上，26、小90%人及以上、或重伤和死亡10人 及以上，事故单位进入应急状态。2、II级应急响应应急处理完毕后向公司信息安全应急办公室详细汇报情况公司应急领导组60分钟内向公司网络与信息安全应急办公室口头湖汇报情况受安全事件影响的用户数达到50%及以上，低于 90人及以上、或重伤和死亡10人 及以上，事故单位进入II级应急状态。3、III级应急响应应急处理完毕后向公司信息安全应急办公室详细汇报情况3小时内向公司网络与信息安全应急办公室口头湖汇报情况事故单位进入III级应急状态。受安全事件影响的用户数达到20%及以上，低于 50人及以上、或重伤和死亡10人 及以上，附件五：应急响应流程图必要时报物业公司、27、当地火警119，同时报1101I级应急响应上报山西省电力公司应急领导组上报山西省电力公司信息办上报山西省电力公司应急办项目部级应急领导组事故调查事故抢险救灾处置有关单位启动相关应急预案启动相关应急预案启动I级应急预案召开应急会议做出部署公司应急领导组公司网络与信息安全应急办公室发生I级应急响应网络与信息安全突发事件时，现场人员应当立即报告与处置应急措施项目部级网络与信息安全应急工作组2级应急响应项目部级应急领导组启动相关应急预案启动应急预案召开应急会议做出部署公司应急领导组事故调查事故抢险救灾处置有关单位启动相关应急预案应急措施发生应急响应网络与信息安全突发事件时，现场人员应当立即报告与处置项28、目部级网络与信息安全应急工作组公司网络与信息安全应急办公室3应急响应启动相关应急预案启动急预案召开应急会议做出部署事故调查事故抢险救灾处置有关单位启动相关应急预案公司网络与信息安全应急办公室应急措施发生急响应网络与信息安全突发事件时，现场人员应当立即报告与处置项目部级网络与信息安全应急工作组附件六：应急预案终止图同时满足以上条件时应急领导组经研究决定宣布终止应急状态2事故隐患得到消除，防范措施得到落实，应受教育者受到教育，事故责任者受到责任追究。1网络与信息系统的运行状态恢复正常；附件七：应急工作相关联的单位或人员通信联系方式表单位姓名联系方式备用方式山西省电力公司应急领导组应急办公室应急办公室关联单位应急领导组应急办公室