浙江工商大学数据安全事件应急预案
(内部试行)
第一章 总则
1.1 编制目的。为建立健全浙江工商大学数据安全事件应急工作机制,提高数据安全事件应急处置能力,预防和减少数据安全事件造成的损失和危害,保障校内各业务系统安全稳定运行,根据国家相关法律法规和监管部门有关规定,结合学校实际情况,制定本应急预案。
1.2 编制依据。《中华人民共和国网络安全法》《国家政务数据安全事件应急预案》(中网办发文〔2017〕4号)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)《信息安全技术政务数据安全事件分类分级指南》(GBZ 20986-2007)《信息安全技术 信息安全应急响应计划规范》(GBT 24363-2009)等相关规定。
1.3 适用范围。本预案所指数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对个人、部门、学校拥有的信息化系统或数据造成危害,从而对个人、学校、社会造成负面影响的事件,可分为信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于浙江工商大学数据安全事件的应对工作,在发生数据安全事件时,应参照本预案进行应急处置。
1.4 工作原则。坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好数据安全事件的预防和处置工作。
第二章 事件分级和分类
2.1 事件分级。数据安全事件分为四级:特别重大数据安全事件(Ⅰ级)、重大数据安全事件(Ⅱ级)、较大数据安全事件(Ⅲ级)、一般数据安全事件(Ⅳ级),Ⅰ级为最高级。
(1)特别重大数据安全事件(Ⅰ级)。上级管理部门认定的特别重大数据安全事件,影响整个学校的数据安全或导致特别严重影响和破坏。
(2)重大数据安全事件(Ⅱ级)。重大数据安全事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况:
① 造成5万条以下5千条及以上数据泄露;
② 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态;
③ 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成严重的经济和社会影响;
④ 其他造成重大损失或重大的不良影响的数据安全事件;
(3)较大数据安全事件(Ⅲ级)。较大事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况:
① 造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态;
② 造成等级保护定级为二级信息系统总量的50%以上及80%以下范围处于中断服务状态;
③ 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并已造成一般的经济和社会影响;
④ 造成5千条以下50条及以上数据泄露;
⑤ 其他造成严重损失或严重的不良影响的数据安全事件。
(4)一般数据安全事件(Ⅳ级)。一般数据安全事件是指能够导致轻微影响或破坏的数据安全事件,包括以下情况:
① 造成等级保护定级为二级信息系统总量的50%以下范围处于中断服务状态;
② 造成50条及以下数据泄露;
③ 其他造成一般损失或一般的不良影响的数据安全事件。
2.2 事件分类。综合考虑学校数据安全事件的起因、表现、结果等,学校数据安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他学校数据安全事件等5个基本分类,每个基本分类分别包括若干个子类。
(1)数据破坏事件。数据破坏事件是指通过网络或其他技术手段,造成学校系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、数据窃取事件、数据丢失事件和其它数据破坏事件。
(2)信息内容安全事件。信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的数据安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的数据安全事件;组织串连、煽动集会游行的数据安全事件;其他信息内容安全事件。
(3)设备设施故障。设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。
(4)灾害性事件。灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的数据安全事件。
(5)其他事件。其他事件类别是指不能归为以上基本分类的数据安全事件。
第三章 应急处置机构与职责
3.1 应急处置机构。根据数据安全事件应急工作要求,成立浙江工商大学数据安全事件应急领导小组(以下简称“应急领导小组”),负责数据安全事件应急处置组织、协调和领导工作。应急领导小组下设浙江工商大学数据安全事件应急工作小组(以下简称“应急工作小组”),具体负责数据安全事件应急处置工作。
3.2.应急领导小组职责。应急领导小组的主要职责包括:
(1)负责数据安全事件的应急指挥、组织协调和过程控制;
(2)负责研究、决定数据安全事件应急处置决策和应对措施;
(3)负责向单位领导、监管部门和公安机关汇报应急处置进展情况和总结报告;
(4)负责统筹协调,确定相关职能部门应急处理工作职责及具体分工。
3.3.应急工作小组职责。应急工作小组的主要职责包括:
(1)定期向应急领导小组汇报数据安全状况;
(2)在应急领导小组组织、协调、指导下,开展数据安全事件应急处置工作;
(3)负责对数据安全事件产生的影响和损失进行分析与评估,及时通报评估结果;
(4)负责《浙江工商大学数据安全事件应急预案》的制定、修订、落实;
(5)组织、指导、监督各部门制定相应的数据安全事件应急预案细则,并定期组织演练;
(6)应急领导小组交办的其他工作。
3.4 各部门职责。各部门的主要职责包括:
(1)监测各自负责的系统和数据安全状况;
(2)及时上报发现的数据安全事件;
(3)提供应急所需人力、物力等资源保障;
(4)做好秩序维护、安全保障、支援等工作。
第四章 应急响应
4.1 事件判定。部门发现数据安全事件时,即刻向应急工作小组报告,说明数据安全事件具体情况。应急工作小组应根据“2.1事件分级”标准研究判定数据安全事件等级。
4.2 预案启动。
(1)判定为Ⅰ级和Ⅱ级事件的,应急工作小组组长应即刻向应急领导小组汇报。由应急领导小组组长指示下达应急预案启动指令,同时即刻组织协调应急工作小组开展应急处置工作。其中,涉及政治类影响事件的,应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门。
(2)判定为Ⅲ级和Ⅳ级事件的,由应急工作小组组长或副组长下达应急预案启动指令,迅速组织协调相关人员开展应急处置工作,并即刻上报应急领导小组。
4.3 应急指挥。
(1)Ⅰ级和Ⅱ级事件,应由应急领导小组组长或副组长担任总指挥(其中,如发生涉及政治类影响的数据安全事件,原则上应由组长担任总指挥)。应急领导小组负责组织、协调应急工作小组做好具体应急处置工作。必要时,由应急领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通,联系协调第三方安全专家作为应急处置技术顾问。
(2)Ⅲ级事件,由应急工作小组组长担任总指挥。应急工作小组负责组织、协调,并做好具体应急处置工作。
(3)Ⅳ级事件,由应急工作小组组长或副组长担任总指挥。应急工作小组负责组织、协调,并做好具体应急处置工作。
4.4 应急处置。应急工作小组在应急处置工作中应通过口头、电话、或书面方式定时向应急领导小组汇报应急处置工作进展情况。Ⅰ级和Ⅱ级事件应由应急处置工作小组组长每小时向应急领导小组汇报一次;Ⅲ级事件应由应急工作小组副组长每2小时向应急领导小组汇报一次;Ⅳ级事件应由应急工作小组牵头技术人员每4小时向对应急领导小组汇报一次。
依据《中华人民共和国网络安全法》规定,如遇数据安全事件中涉及犯罪情形的,除做好相应的应急处理外,还应保护好案发现场,同时向公安机关报案。
数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施:
(1)数据破坏事件
①及时从备份数据中恢复受破坏的最新信息数据;
②检查恢复后的系统状态是否正常运行;
③分析信息数据受破坏的原因,人为恶意破坏的应进行追溯,系统故障导致的应分析系统软件故障点,及时联系软件开发商进行修复。
(2)信息内容安全事件
①暂时切断网站对外服务;
②网站维护人员即刻登录后台,上传换回原始页面;
③网站、网页由安全监控平台随时密切监视信息内容;
④保存有关日志审计记录;
⑤备份不良信息出现的目录。
(3)设备设施故障事件
①分析、确认故障设备,准确定位设备位置;
②切换备用设备;
③联系设备供应商分析设备故障原因,及时进行修理,涉外修理的应清理数据;
④无法修理的应采购新的设备,保证设备冗余状态。
(4)灾害性事件
①评估灾害性事件对机房、信息系统的影响程度;
②受灾机房网络及信息系统受破坏不能提供服务的,应及时启动容灾机房业务系统;
③回收受灾机房的数据处理、存储设施,无法使用的进行彻底数据清理;
④重建受灾机房。
数据安全事件应急处置完毕后,信息系统恢复重建工作由应急工作小组负责组织制定恢复、整改或重建方案。
4.5 结束响应。数据安全事件经应急处置后,事件得以完全解决,信息系统完全恢复正常运行,信息数据恢复完好;或事态影响下降到可接受范围内,信息系统主要功能恢复正常运行,按“谁启动、谁结束”的原则,由数据安全事件应急总指挥下达应急结束指令。
4.6 事件调查和报告。应急工作小组应对事件进行研究分析和调查处理,查明数据安全事件的性质、原因、经过、危害和影响,提出调查处理建议和今后同类事件的安全防范措施,以防止同类事件再次发生,同时,由应急领导小组提出对具体责任人的处罚决定,如涉及违法行为的,应依据法律、法规,应移交相关部门处理。事件调查完成后,应形成数据安全事件调查结果报告,参照《数据安全事件应急响应结果调查报告》(附录2)。事件的调查处理和总结评估工作原则上在应急响应结束后7天内完成。
数据安全事件调查和报告程序如下:
(1)Ⅰ级和Ⅱ级数据安全事件由应急领导小组组织协调,进行事件调查,将调查结果向应急领导小组组长报告。同时,应急领导小组组长应根据应急领导小组办公会议决议,视情况上报市网信部门、公安部门和数据资源管理部门,报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(2)对于Ⅲ级和Ⅳ级数据安全事件由应急工作小组组长组织协调,进行事件调查,将调查结果上报应急领导小组。
第五章 预防工作
5.1 日常管理。应急领导小组负责应急预案日常管理的统筹协调,组织各应急工作小组做好数据安全事件日常预防工作,落实网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免数据安全事件的发生及危害,提高应对数据安全事件的能力。
5.2 宣传和培训。应急领导小组负责应急预案宣传和培训的统筹协调,组织各应急工作小组针对应急响应相关管理人员和技术人员、各部门的干部职工两个重点群体做好宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式开展应急预案的宣传。
(1)定期组织应急响应相关管理人员和技术人员的应急预案培训,同时在应急预案的首次制定颁布、修订等关键节点都要组织开展应急预案的不定期培训。尤其对于重要系统的专项应急预案在组织培训的基础上,应通过实际的应急响应演练过程,帮助相关人员不断更新应急响应的知识和技能,提高各类人员的应急工作熟练程度,提高突发事件发生时应急响应的效率,并认真做好培训效果的反馈和培训计划的更新。
(2)组织各部门干部职工进行应急预案普及宣传培训,加强数据安全事件预防和处置的有关法律、法规和政策的宣传,开展数据安全基本知识和技能的宣传活动,提高全体工作人员的应急意识和应急基本常识。
5.3 应急演练。应急领导小组负责应急演练统筹协调,组织应急工作小组定期开展应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练。在更新应急预案后或者遇到可预见的安全事件时,应及时开展应急响应演练,以检验应急预案的正确性,不断加强人员的应急安全意识和应急响应的熟练程度。
5.4 管理和维护。应急领导小组负责应急员管理和维护统筹协调,组织应急工作小组做好应急预案的维护工作,保证应急预案的有效性。应确保应急预案分发给所有应急相关人员,采用不同形式在多个地点进行保存,以确保预案在紧急情况下可用;预案在每次修订后,确保所有的拷贝统一更新,按照有关规定及时销毁旧版本;应急演练和数据安全事件发生后实际执行时,对实际执行过程进行详细记录,评估效果,对不足之处进行相应的修订;应定期评审和修订应急预案文档,保证应急预案准确性和有效性。
5.5 重要活动期间的预防措施。应急领导小组统筹协调重要活动期间数据安全保障工作,要求各应急工作小组在重要活动期间进一步加强数据安全监测和分析研判,加强数据安全事件的防范和应急响应,其中,核心网络和重要信息系统的重点岗位应保持7*24小时值班,值班电话应保持7*24小时开机,及时发现和处置数据安全事件隐患,若出现重大安全事件,值班人员应第一时间到达机房并在三分钟内断开互联网网络连接,防止扩大影响范围,并将事件上报应急工作小组。
第六章 保障措施
6.1 人力保障。应急领导小组明确应急保障工作组织体系和人员,明确领导责任,落实岗位责任制。
加强应急人才队伍建设,确保应急处置人员具备应急工作必要的技术能力,定期组织人员培训以满足应急工作的要求,并通过应急演练,保证应急处置人员的熟练度;建立长效的应急人员保障机制,包括设立专门的应急管理岗位。
建立应急技术专家队伍,为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全应急方面资深人员组成。
6.2 物质保障。应急领导小组统筹协调应急工作小组具体落实物质保障工作,加强对数据安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。物质保障需求由相关应急工作小组提出,由采购部门负责落实。
6.3 技术保障。应急领导小组统筹协调应急工作小组落实技术保障工作,加强数据安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持数据安全监测预警、预防防护、处置救援、应急服务等方向,提升数据安全应急产业整体水平与核心竞争力,增强防范和处置数据安全事件的产业支撑能力。
加强与第三方应急专业机构和社会资源的联系,包括网信办、经信委、公安机关、信息安全企业、通信运营商、供应商、供电部门等外部技术和业务支持单位等。
第七章 奖惩措施
7.1 数据安全事件应急处置工作实行责任追究制。
7.2 对下列情况可以经领导小组评估审核,报领导小组批准后予以奖励:在应急行动中做出特殊贡献的先进单位和集体;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
7.3 对不按照规定制定预案和组织开展演练,迟报、谎报、漏报和瞒报数据安全事件重要情况或者数据安全事件应急管理工作中有其他失职、渎职行为的,对有关责任人予以通报批评。情节严重的,依据有关规定严肃处理。
第八章 附则
8.1 本预案由应急工作组负责制定、解释和修改。
8.2 本预案在数字化办公室内部先行试用。
8.3 本预案自学校正式发布之日起正式执行。