浙江工商大学
安全应急响应制度
第一章 总则
第一条 编制目的
为建立健全浙江工商大学数据安全事件管理与应急响应机制,提高数据安全事件应急处置能力,预防和减少数据安全事件造成的损失和危害,保障各系统安全稳定运行,根据国家相关法律法规和监管部门有关规定,结合我校实际情况,制定本制度。
第二条 编制依据
《中华人民共和国网络安全法》《国家网络安全事件应急预案》(中网办发文〔2017〕4号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)、《信息安全技术网络安全事件分类分级指南》(GBZ 20986-2007)、《信息安全技术信息安全应急响应计划规范》(GBT 24363-2009)等相关规定。
第三条 适用范围
本制度所指数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对系统或者其中的数据造成危害,对学院、社会造成负面影响的事件,可分为信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本制度适用于我校数据安全事件的应对工作,在发生数据安全事件时,各部门应参照本制度进行应急处置。
第四条 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好数据安全事件的预防和处置工作。
第二章 事件分类和分级
第五条 事件分类
综合考虑数据安全事件的起因、表现、结果等,数据安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等5个基本分类,每个基本分类分别包括若干个子类。
(1)数据破坏事件
数据破坏事件是指通过网络或其他技术手段,造成系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、数据窃取事件、数据丢失事件和其他数据破坏事件。
(2)信息内容安全事件
信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的网络安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的网络安全事件;组织串连、煽动集会游行的网络安全事件;其他信息内容安全事件。
(3)设备设施故障
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件,以及人为地使用非技术手段有意或无意地造成政务系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(4)灾害性事件
灾害性事件是指由于不可抗力对系统造成物理破坏而导致的政务数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的政务数据安全事件。
(5)其他事件
其他事件类别是指不能归为以上基本分类的网络安全事件。
第六条 事件分级
数据安全事件分为四级:特别重大数据安全事件(I级)、重大数据安全事件(Ⅱ级)、较大数据安全事件(Ⅲ级)、一般数据安全事件(Ⅳ级),I级为最高级。
(1)特别重大数据安全事件(I级)
重大事件是指能够导致特别严重影响或破坏的网络安全事件,包括以下情况:
① 对外提供服务的网站类应用系统,其页面被篡改为反动信息、煽动性信息等造成严重政治影响的;
② 造成5万条及以上数据泄露;
③ 造成等级保护定级为三级及以上信息系统总量的50%及以上范围处于中断服务状态;
④ 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态;
⑤ 其他造成特别重大损失或特别重大的不良影响的安全事件。
(2)重大网络安全事件(Ⅱ级)
重大事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况:
① 造成5万条以下5千条及以上数据泄露;
② 造成等级保护定级为三级及以上信息系统总量的20%及以上范围处于中断服务状态;
③ 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态;
④ 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并造成严重的经济和社会影响;
⑤ 其他造成重大损失或重大的不良影响的安全事件;
⑥ 当Ⅱ级网络安全事件12小时内未完成处置,则升级为I级网络安全事件。
(3)较大网络安全事件(Ⅱ级)
较大事件是指能够导致较大范围影响或破坏的数据安全事件,包括以下情况:
① 造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态;
② 造成等级保护定级为二级信息系统总量的50%以上及80%以下范围处于中断服务状态;
③ 对外提供服务的网站类应用系统其页面被篡改,发布虚假或诈骗等信息并造成一般的经济和社会影响;
④ 造成5千条以下50条及以上数据泄露;
⑤ 其他造成严重损失或严重的不良影响的安全事件;
⑥ 当Ⅲ级网络安全事件24小时内未完成处置,则升级为Ⅱ级网络安全事件。
(4)一般网络安全事件(Ⅳ级)
一般事件是指能够导致轻微影响或破坏的网络安全事件,包括以
下情况:
① 造成等级保护定级为二级信息系统总量的50%以下范围处于中断服务状态;
② 造成50条及以下数据泄露;
③ 其他造成一般损失或一般的不良影响的安全事件;
④ 当Ⅳ级网络安全事件48小时内未被完成处置,则升级为Ⅲ级网络安全事件。
第三章 应急处置机构与职责
第七条 主管部门(领导小组)
(一)制定和完善数据安全应急响应策略和总体计划。
(二)协调我校内各部门之间的数据安全应急响应工作,确保信息畅通和协同作战。
(三)组织定期的数据安全应急演练和培训,提高全员的数据安全应急意识和能力。
(四)在发生重大数据安全事件时,负责向上级主管部门和相关监管机构报告,并接受其指导和监督。
第八条 支撑、建设部门(数字办)
(一)建立和维护数据安全监测系统,实时监控数据的安全状态,及时发现潜在的数据安全威胁。
(二)制定数据备份和恢复策略,确保在数据安全事件发生后能够快速恢复数据,减少业务中断时间。
(三)对数据安全事件进行技术分析和溯源,确定事件的原因和影响范围,为应急处理提供技术依据。
(四)协助领导小组制定和实施数据安全应急响应预案,提供技术解决方案。
第九条 用户部门(业务部门)
(一)遵守我校的数据安全管理制度,规范自身的数据使用行为,防止因操作不当导致数据安全事件。
(二)及时发现和报告数据安全异常情况,配合领导小组和数字办进行数据安全事件的调查和处理。
(三)在数据安全事件发生后,按照应急响应预案的要求,协助进行数据的恢复和业务的重启,减少事件对业务的影响。
第四章 应急响应
第十条 应急应对
应急应对过程中相关组织、技术力量人员联系方式详见附件1。
第十一条 事件判定
员工发现数据安全事件时,即刻向数字办报告,说明数据安全事件具体情况。数字办应根据“事件分级”标准研究判定数据安全事件等级。
第十二条 预案启动
(1)判定为I级和Ⅱ级事件的,数字办负责人应即刻向领导小组汇报。由领导小组组长指示下达应急预案启动指令,同时即刻组织协调数字办开展应急处置工作。其中,涉及政治类影响事件的,应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门。
(2)判定为Ⅲ级和Ⅳ级事件的,由数字办负责人或协助负责人下达应急预案启动指令,迅速组织协调相关人员开展应急处置工作,并即刻上报领导小组。
第十三条 应急指挥
(1)I级和Ⅱ级事件,应由领导小组组长或副组长担任总指挥(其中,如发生涉及政治类影响的数据安全事件,原则上应由组长担任总指挥)。领导小组负责组织、协调数字办做好具体应急处置工作。必要时,由领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通,联系协调第三方安全专家作为应急处置技术顾问。
(2)Ⅲ级事件,由数字办负责人担任总指挥。数字办负责组织、协调,并做好具体应急处置工作。
(3)Ⅳ级事件,由数字办负责人或协助负责人担任总指挥。数字办负责组织、协调,并做好具体应急处置工作。
第十四条 应急处置
数字办在应急处置工作中应通过口头、电话或书面方式定时向领导小组汇报应急处置工作进展情况。I级和Ⅱ级事件应由应急处置工作小组组长每2小时向领导小组汇报一次;Ⅲ级事件应由数字办协助负责人每1小时向领导小组汇报一次;Ⅳ级事件应由数字办牵头技术人员每0.5小时向领导小组汇报一次。
依据《中华人民共和国网络安全法》规定,如遇数据安全事件中涉及犯罪情形的,除做好相应的应急处理外,还应保护好案发现场,同时向公安机关报案。
数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施:
(1)数据破坏事件
① 及时从备份数据中恢复受破坏的最新信息数据;
② 检查恢复后的系统状态是否正常运行;
③ 分析信息数据受破坏的原因,人为恶意破坏的应进行追溯,系统故障导致的应分析系统软件故障点,及时联系软件开发商进行修复。
(2)信息内容安全事件
① 暂时切断网站对外服务;
② 网站维护人员即刻登录后台,上传回原始页面;
③ 网站、网页由安全监控平台随时密切监视信息内容;
④ 保存有关日志审计记录;
⑤ 备份不良信息出现的目录。
(3)设备设施故障事件
① 分析、确认故障设备,准确定位设备位置;
② 切换备用设备;
③ 联系设备供应商分析设备故障原因,及时进行修理,涉外修理的应清理数据;
④ 无法修理的应采购新的设备,保证设备冗余状态。
(4)灾害性事件
① 评估灾害性事件对机房、系统的影响程度;
② 受灾机房网络及信息系统受破坏不能提供服务的,应及时启动容灾机房业务系统;
③ 回收受灾机房的数据处理、存储设施,无法使用的进行彻底数据清理;
④ 重建受灾机房。
数据安全事件应急处置完毕后,系统恢复重建工作由数字办负责组织制定恢复、整改或重建方案。
第十五条 结束响应
数据安全事件经应急处置后,事件得以完全解决,系统完全恢复正常运行,数据恢复完好;或事态影响下降到可接受范围内,系统主要功能恢复正常运行,按“谁启动、谁结束”的原则,由数据安全事件应急总指挥下达应急结束指令。
第十六条 事件调查和报告
数字办应对事件进行研究分析和调查处理,查明数据安全事件的性质、原因、经过、危害和影响,提出调查处理建议和今后同类事件的安全防范措施,以防止同类事件再次发生,同时,由应急领导小组提出对具体责任人的处罚决定,如涉及违法行为的,应依据法律法规,应移交相关部门处理。事件调查完成后,应形成数据安全事件调查结果报告,参照《数据安全事件应急应结果调查报告》(附录2)。事件的调查处理和总结评估工作原则上在应急响应结束后15天内完成。
数据安全事件调查和报告程序如下:
(1)I级和Ⅱ级数据安全事件由领导小组组织协调,进行事件调查,将调查结果向领导小组组长报告。同时,应急领导小组组长应根据领导小组办公会议决议,视情况上报市网信部门、公安部门和数据资源管理部门,报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(2)对于Ⅲ级和Ⅳ级数据安全事件由数字办负责人组织协调,进行事件调查,待调查结果上报领导小组。
第五章 预防工作
第十七条 日常管理
领导小组负责日常管理的统筹协调,组织数字办做好数据安全事件日常预防工作,落实数据安全检查、隐患排查、风险评估和容灾备份,健全数据安全信息通报机制,及时采取有效措施,减少和避免数据安全事件的发生及危害,提高应对数据安全事件的能力。
第十八条 宣传和培训
领导小组负责宣传和培训的统筹协调,组织数字办针对应急响应相关管理人员和技术人员、我校的干部职工两个重点群体做好宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式,如下发宣传手册、利用网络、宣传彩页、期刊、视频会议等手段开展宣传工作。
(1)定期组织应急响应相关管理人员和技术人员的应急预案培训,同时在应急预案的首次制定颁布、修订等关键节点都要组织开展应急预案的不定期培训。尤其对于重要系统的专项应急预案在组织培训的基础上,应通过实际的应急响应演练过程,帮助相关人员不断更新应急响应的知识和技能,提高各类人员的应急工作熟练程度,提高突发事件发生时应急响应的效率,并认真做好培训效果的反馈和培训计划的更新。
(2)组织我校的干部职工进行应急预案普及宣传培训,加强数据安全事件预防和处置的有关法律法规和政策的宣传,开展数据安全基本知识和技能的宣传活动,提高全体工作人员的应急意识和应急基本常识。
第十九条 应急预案管理和维护
应急预案应具有针对性、实用性和可操作性。通过危险源辨识、风险评估进行编制;应急对策简练实用、通过演练不断完善改进。依法规范,加强管理。
领导小组负责应急人员管理和维护统筹协调,组织应急工作小组做好应急预案的维护工作,保证应急预案的有效性。应确保应急预案分发给所有应急相关人员,采用不同形式在多个地点进行保存,以确保预案在紧急情况下可用;预案在每次修订后,确保所有的拷贝统一更新,按照有关规定及时销毁旧版本;应急演练和数据安全事件发生后实际执行时,对实际执行过程进行详细记录,评估效果,对不足之处进行相应的修订;应定期评审和修订应急预案文档,保证应急预案准确性和有效性。
第二十条 应急演练
领导小组负责应急演练统筹协调,组织数字办定期开展各类别数据安全事件的应急演练,检验和完善预案,提高实战能力,每年至少组织一次预案演练。在更新应急预案后或者遇到可预见的安全事件时,应及时开展应急响应演练,以检验应急预案的正确性,不断加强人员的应急安全意识和应急响应的熟练程度。
第二十一条 重要活动期间的预防措施
领导小组统筹协调重要活动期间数据安全保障工作,要求数字办在重要启动期间进一步加强数据安全监测和分析研判,加强数据安全事件的防范和应急响应,其中核心网络和重要信息系统的重点岗位应保持24小时值班,及时发现和处置数据安全事件隐患。
第六章 保障措施
第二十二条 人力保障
领导小组明确应急保障工作组织体系和人员,明确领导责任,落实岗位责任制。
加强应急人才队伍建设,确保应急处置人员具备应急工作必要的技术能力,定期组织人员培训以满足应急工作的要求,并通过应急演练,保证应急处置人员的熟练度;建立长效的应急人员保障机制,包括设立专门的应急管理岗位。
建立应急技术专家队伍,为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全应急方面资深人员组成。
第二十三条 物质保障
领导小组统筹协调数字办具体落实物质保障工作,加强对数据安全应急装备、工具的储备,及时调整、升级软件硬件工具,
不断增强应急技术支撑能力。物质保障需求由数字办提出,由采购部门负责落实。
第二十四条 技术保障
领导小组统筹协调数字办落实技术保障工作,加强数据安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持数据安全监测预警、预防防护、处置救援、应急服务等方向,提升数据安全应急产业整体水平与核心竞争力,增强防范和处置数据安全事件的产业支撑能力。
加强与第三方应急专业机构和社会资源的联系,包括网信办、经信委、公安机关、信息安全企业、通信运营商、供应商、供电部门等外部技术和业务支持单位等。
第七章 奖惩措施
第二十五条 奖惩措施
数据安全事件应急处置工作实行责任追究制:
(1)对下列情况可以经领导小组评估审核,报领导小组批准后予以奖励:在应急行动中做出特殊贡献的先进单位和集体;在应急行动中提出重要建议方案,节约大量应急资源或避免重大损失的人员;在应急行动第一线做出重大成绩的现场作业人员。
(2)对不按照规定制定预案和组织开展演练,迟报、谎报、漏报和瞒报数据安全事件重要情况或者数据安全事件应急管理工作中有其他失职、渎职行为的,对有关责任人予以通报批评。情节严重的,处以行政处分;涉及犯罪行为的,由公安机关和司法机关依法追究刑事责任。
第八章 附则
第二十六条 本制度由我校负责制定、解释和修改。
第二十七条 本制度自发布之日起执行。
附件1应急人员名单
内部人员
主管部门 | ||||
序号 | 角色 | 职务 | 座机 | 手机号码 |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
4 |
|
|
|
|
5 |
|
|
|
|
支撑、建设部门 | ||||
序号 | 角色 | 职务 | 座机 | 手机号码 |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
4 |
|
|
|
|
5 |
|
|
|
|
6 |
|
|
|
|
7 |
|
|
|
|
8 |
|
|
|
|
9 |
|
|
|
|
外部人员
应急技术人员名单 | ||||
序号 | 姓名 | 单位 | 职责 | 联系方式 |
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
4 |
|
|
|
|
5 |
|
|
|
|
6 |
|
|
|
|
7 |
|
|
|
|
8 |
|
|
|
|
9 |
|
|
|
|
10 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件2 数据安全事件应急响应结果调查报告
报告时间: 年 月 日 时 分
数据安全事件应急响应结果调查报告 | |||||
事件名称 |
| ||||
报告人 |
| 联系电话 |
| 部门 |
|
影响系统 |
| 主要用途 |
| ||
数据安全事件补充描述 | |||||
| |||||
已采取的安全措施 | |||||
| |||||
最终判定事件原因 | |||||
| |||||
事件影响状况评估 | |||||
事件级别 | £重大事件(I级) £较大事件(Ⅱ级) £一般事件(Ⅲ级) | ||||
影响时间 |
| ||||
影响范围 |
| ||||
事件后果 |
| ||||
主要处理过程及结果 | |||||
| |||||
存在问题及建议 | |||||
| |||||
责任人及处罚决定 | |||||
| |||||
领导小组意见 | |||||
领导小组组长签字: |