第一章 总则
第一条 编制目的。为健全完善学校网络信息安全事件应急工作机制,规范网络安全事件应急处置流程,提高应急处置能力,预防和减少网络安全事件造成的损失和危害,维护学校安全稳定,根据国家相关法律法规和上级文件精神,结合学校实际,制定本预案。
第二条 编制依据。预案编制的依据主要有《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规,《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等文件。
第三条 本预案适用于学校各单位。本预案所指信息安全突发事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络信息安全事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件,详见附件。信息内容安全事件的应对,参照有关规定和办法。
第四条 事件分级。网络信息安全事件分为三级:重大网络信息安全事件(Ⅰ级)、较大网络信息安全事件(Ⅱ级)和一般网络信息安全事件(Ⅲ级)。
(一)符合下列情形之一的,为重大网络信息安全事件(Ⅰ级):
1.校园网发生全校性大规模瘫痪,90%以上用户无法正常上网,对学校正常工作造成特别严重损害。
2.关键信息基础设施或核心业务信息系统(网站)遭受特别严重损失,造成系统大规模瘫痪,90%以上核心业务信息系统丧失业务处理能力。
3.网络病毒在全校大面积爆发。
4.关键信息基础设施或核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
5.其他对学校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
(二)符合下列情形之一且未达到重大网络信息安全事件的,为较大网络信息安全事件(Ⅱ级):
1.校园网发生大面积瘫痪,50%以上用户无法正常上网,学校正常工作造成严重损害。
2.关键信息基础设施或核心业务信息系统(网站)遭受严重系统损失,造成系统大面积瘫痪,50%以上核心业务信息系统的 业务处理能力受到重大影响。
3.重要业务信息系统(网站) 的信息或数据发生丢失或被窃 取、篡改、假冒。
4.其他对学校安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
(三)符合下列情形之一且未达到较大网络信息安全事件的,为一般网络信息安全事件(Ⅲ级):
1.校园网发生局部瘫痪,学校某一个单位的用户无法正常上网,对学校正常工作不造成损害。
2.网络病毒在学校某一个单位广泛传播。
除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络信息安全事件,为一般网络信息安全事件。
第五条 工作原则。
(一)统一指挥,密切协同。“武汉工商学院突发公共事件处置工作领导小组”(以下简称领导小组)全面负责学校突发公共事件的应对处置工作,形成处置突发事件的快速反应机制,下设“网络信息安全类突发事件应急处置工作组”(以下简称网安工作组),统筹协调网络安全应急指挥工作,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(二)分级管理,强化责任。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校各单位是本单位网络安全工作的责任主体,负责本单位网络信息安全应急工作,各单位主要负责人是网络信息安全工作第一责任人。
(三)预防为主,平战结合。坚持事件处置和预防工作相结合,做好事件预防、预判和预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络信息安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
第二章组织机构与职责
第六条 领导机构与职责。网络信息安全类突发事件应急处置工作组,组长由分管信息工作的校领导担任,副组长由信息中心主任担任。工作组成员由学校办公室、纪委监察部、宣传策划部、学生工作部、信息中心、教务部、国际交流合作处、保卫部和各院部主要负责人组成。工作组办公室设在信息中心。
主要职责:通过技术手段对校园网有害信息实施24小时监控;及时处置重大有害信息传播、封堵黑客攻击和计算机病毒扩散;及时处置和报告校园网遭受境内外严重攻击的重大安全事件;查处网上违法违纪事件。
网安工作组统筹协调学校全局性网络信息安全事件应急工作,指导各单位网络信息安全事件应急处置;发生重大和较大网络信息安全事件时,负责组织指挥和协调事件处置,并根据实际情况取得社会技术支撑力量的支持参加应对工作。
第七条 各单位职责。信息中心负责日常网络信息安全管理事务性工作,对接湖北省网络安全职能部门,做好网络信息安全事件的预防、监测、报告和应急处置工作,向网安工作组报告网络信息安全事件情况,提出重大网络信息安全事件应对措施建议,为学校的网络信息安全事件应对提供决策支持和技术支撑。学校学校各单位按照“谁主管谁负责、谁运维谁负责”的原则,承担各自网络信息安全责任,全面落实各项工作。
第三章 监测与预警
第八条 预警分级。建立网络信息安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度,网络信息安全事件预警等级
分为三级:由高到低依次用红色、橙色和黄色表示,分别对应发生或可能发生的学校重大、较大和一般网络信息安全事件。
第九条 安全监测。
(一)事件监测
信息中心通过多种渠道监测、发现已经发生的网络信息安全事件,将掌握的情况立即通知相关单位。各单位对本单位网络和信息系统(网站)的运行状况进行密切监测,一旦发生网络信息安全事件,应当立即通过电话等方式向网络信息安全应急组报告,不得迟报、谎报、瞒报、漏报。
(二)威胁监测
信息中心对网络安全威胁进行监测,建立多方协作的信息共享机制,通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息,依托信息技术安全工作管理平台实现安全威胁信息的收集、校验、发布、跟踪。各单位加强对本单位网络和信息系统(网站)的网络安全威胁监测,对发生的威胁及时进行处置和上报。
第十条 预警研判和发布。信息中心对监测信息进行研判,对发生网络信息安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知有关单位;认为可能发生较大以上(含较大)网络信息安全事件的信息,应立即向网安工作组报告。
第四章 应急处置
第十一条 初步处置。网络信息安全事件发生后,事发单位应立即向信息中心通告,由信息中心进行初步分析研判,初判为重大(Ⅰ级)和较大(Ⅱ级)网络信息安全事件的,应立即向网安工作组报告。由网安工作组负责按程序处置。一般网络信息安全事件(Ⅲ级)由信息中心和事发单位直接处置。对于人为破坏活动,应由网安工作组根据情况同时报湖北省网信部门和公安机关;重大网络信息安全事件(Ⅰ级)的,报领导小组和相关单位。根据事件级别、事件类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。
第十二条 应急响应。网络信息安全事件应急响应分为Ⅰ级、Ⅱ级、Ⅲ级等三级,分别对应学校重大、较大和一般网络信息安全事件。
(一)Ⅰ级响应
发生重大网络信息安全事件,由信息中心向网安工作组提出启动Ⅰ级响应的建议。
1.启动指挥体
(1)工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持24小时联络畅通,网安工
作组24小时值守。
(2)信息中心以及相关职能部门进入应急状态,在工作组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动24小时值守,并派员参加网络安全工作。
2.掌握事件动态
(1)跟踪事态发展。事发单位与网安工作组保持联系,将事态发展变化情况和处置进展情况上报网安工作组。
(2)检查影响范围。网安工作组立即全面了解学校的网络和信息系统(网站)是否受到事件的波及或影响,并将有关情况及时通报。
3.处置实施
(1)控制事态防止蔓延。信息中心负责采取各种技术措施、管控手段,包括但不限于断开网络、关闭服务器、设置黑名单、暂停账号等,最大限度阻止和控制事态蔓延。
(2)消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统(网站)要在保证安全的前提下及时组织恢复。
(3)调查取证。事发系统的服务器等设备在学校数据中心的,由信息中心负责问题定位和溯源追踪工作;不在学校数据中心的,立即将相关设备封存,由事发单位配合信息中心完成问题定位和溯源追踪工作。处置时必须做好相关证据的保存工作。根据需要积极配合网信部门和公安机关开展调查取证工作。
(4)信息发布。宣传部根据实际,组织网络信息安全突发事件的应急新闻工作,统一负责对外新闻发布和舆论引导工作。未经批准,其他单位不得擅自发布相关信息。
(5)请求支持。处置中需要技术及工作支持的,由网安工作组根据实际,请相关部门支持。
(6)次生事件处置。工作组组织立即排查和制定方案,防止发生次生事件。
(二)Ⅱ级响应
(1)信息中心和事发单位进入应急状态,按照相关专项应急预案做好应急处置工作。
(2)信息中心将有关重大事项及时报网安工作组,并根据情况通报有关单位。
(3)信息中心负责采取各种技术措施、管控手段阻止和控制事态蔓延。事发系统的服务器等设备不在学校数据中心的,由事发单位立即将相关设备封存,配合信息中心完成问题定位和溯源追踪工作,处置时必须做好相关证据的保存工作。
(4)事发单位根据网安工作组要求,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
(三)Ⅲ级响应
事发单位和信息中心自行做好应急处置工作,尽快消除隐患恢复系统。
第十三条 应急结束。
(一)I级响应结束
信息中心提出建议,报网安工作组批准后,及时通报有关单位。
(二)Ⅱ级响应结束
网安工作组根据实际决定Ⅱ级响应的结束。
(三)Ⅲ级响应结束
由事发单位和信息中心完成应急处置后,自行解除Ⅲ级响应状态。
第五章 调查与评估
第十四条 重大网络信息安全事件由网安工作组组织有关单位开展调查处理和总结评估工作,并将调查评估结果上报领导小组;较大网络信息安全事件由信息中心或事发单位开展调查处理并将调查评估报告报网安工作组;一般网络信息安全事件由事发单位(可由信息中心协助)自行组织开展调查处理。
网络信息安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
第六章 预防工作
第十五条 日常管理。信息中心按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统及网站的安全保障能力。
第十六条 监测预警和通报。信息中心应全面掌握学校信息系统(网站)情况,建立学校网络安全监测预警和通报机制并指导、监督学校各单位及时修复安全威胁,全面排查安全隐患,提高发现和应对网络信息安全事件的能力。各单位收到信息中心发出的网络安全风险通报后应及时修复安全威胁,存在技术困难的,由信息中心协助修复。
第十七条 应急演练。网络信息安全应急组每年组织针对重大网络信息安全事件的跨单位的应急演练,检验和完善预案,提高实战能力。
第十八条 宣传教育。信息中心联合学生工作部、宣传部等单位在定期开展网络信息安全基本知识和技能的宣传活动,加强突发网络信息安全事件预防和处置的有关法律、法规和政策的宣传教育,提高在校师生的网络安全意识。
第十九条 工作培训。信息中心每年组织一次网络信息安全和信息化培训,将网络信息安全事件的应急知识列为领导干
部和有关人员的培训内容,各单位按要求参加网络信息安全培训,加强网络安全特别是网络安全事件应急预案的学习,提高网络信息安全管理和技术人员的防范意识及安全技能。
第七章 工作保障
第二十条 机构和人员。各单位应落实网络信息安全应急工作责任制,明确分管网络信息安全的责任领导及网络信息安全联络员,根据要求指派人员参加学校网络信息安全应急培训和应急演练。
第二十一条 技术支撑。信息中心是学校网络信息安全技术支撑单位,学校加强网络信息安全应急技术支撑队伍建设和网络安全物资保障,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
第二十二条 信息共享与应急合作。学校各单位要加强与信息中心的信息共享,保持信息畅通。学校加强与湖北省网络安全职能部门、网络安全专业机构、兄弟院校等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。
第二十三条 经费保障。学校利用现有信息化建设经费为网络安全应急工作提供必要的经费保障,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。
第二十四条 责任与奖惩。学校对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励;对迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
附件:
