索引号: | 113307230026013012/2024-270846 | 发布机构: | 审计局 | ||
文号: | 公开日期: | 2024-09-11 11:51 |
为加强审计网络和信息系统安全管理工作,预防和遏制审计网络和信息系统突发事件的发生,减轻和消除突发事件造成的危害和影响,形成科学、有效、反应迅速的应急工作机制,提高处置网络与信息安全突发事件能力,确保审计网络和信息系统的实体安全、运行安全和数据安全。结合审计工作实际情况,特制定本应急预案。
一、应急处理机构及职责
为保证突发情况下应急机制的迅速启动和指挥顺畅,应急处置由意识形态暨网络安全和信息安全领导小组负责,具体分工如下:
(一)领导小组
应急预案启动后,负责应急行动的总体组织指挥工作。
主要职责:
1.研究布置应急行动有关具体事宜。
2.应急行动期间的总体组织指挥。
3.向上级汇报应急行动的进展和向有关部门通报相关情况。
4.负责与有关部门进行重大事项的工作协调。
5.负责应急行动其它的有关组织领导工作。
(二)工作专班
根据领导小组的指挥开展相应的应急行动。
主要职责:
1.执行领导小组下达的应急指令。
2.负责应急行动物资器材的准备。
3.负责处理现场一切故障现象。
4.随时向领导小组汇报应急工作的进展情况。
5.负责联系相关厂商和技术人员,获取技术支持。
二、应急处理基本程序和主要内容
(一)突发事件发生后,工作专班迅速组织技术力量查明原因、开展修复工作。如果该事件造成重大影响的,及时向领导小组汇报,在领导小组统一组织下启动应急预案,开展应急处理。
(二)事件响应后,工作专班组织相关技术人员立即赶到现场,确认故障,研究解决方案:
1.硬件故障
(1)工作专班经现场确认后进行更换维修。
(2)不能进行维修的,联系代理商报修,代理商技术人员到场解决,力保数据完整。终端设备如需送修,需先行拆下硬盘,避免敏感信息外泄。
(3)硬件系统发生严重故障,导致系统不能恢复并造成严重影响的,领导小组召开安全会议,根据破坏程度作出处理意见。
2.软件故障
(1)确认可靠的最新备份数据已经转移到其他电脑上。
(2)分析软件故障节点,根据对应的故障解决问题。
(3)不能进行处理的,及时联系开发运维单位处理。
3.网络故障
(1)通过各种技术手段认定故障点。
(2)根据故障点位置不同分别处理:若故障点在本局网络内部的,进行故障网络设备和网络线路的维护、更换;故障点在本局网络以外的,联系电子政务中心或者电信服务商,及时解决问题。
4.病毒爆发或黑客攻击突发事件应急处理措施
(1)当发现有大规模计算机感染病毒或发现黑客攻击事件,30分钟内中断被感染电脑或攻击主机的网络连接,并在防火墙上对来源主机地址进行阻断。
(2)工作专班立即组织技术力量分析攻击类型和病毒爆发特征,切断传播途径,利用专杀工具对所有计算机进行病毒扫描和木马清除。如果现有手段无法有效清除该病毒木马,要将发现和前期处置情况立即向领导小组报告,并迅速联系有关专业安全软件厂商研究解决。
(3)评估系统毁坏程度,备份系统、保存系统日志,通过检查日志、特征等信息,确定病毒爆发和传播原因。分析攻击手段、攻击使用漏洞、攻击过程和发起攻击地址。情节严重并发生严重后果的,向公安机关报案。
(4)恢复被攻击前数据,安装系统补丁,升级系统。
5.涉密信息泄露事件
(1)根据掌握情况及时确认泄密事件等级,并立即将相关情况上报领导小组。
(2)领导小组召开安全会议,制定泄密事件补救措施。如降低涉密信息密级、追回涉密信息等。
(3)涉及涉密信息等级高的,要及时通报公安机关追查和采取措施,追回相关涉密信息,尽量减少损失,并追究相关责任人。
6.视频会议故障应急处理措施
(1)发现者立即上报会议负责人。
(2)会议负责人接到报告后,立即组织有关人员按紧急状态处理程序开展工作。根据故障发生的部位、程度,分别联系相关专线服务运营商、视频专用设备提供商,及时进行判断和抢修工作,采用科学、可行的办法排除故障。
(3)当发现故障不能快速解决时,要立即通知相关人员会议延期,如遇紧急会议的,请求市局对会议进行录播,以便大家学习会议精神。
(三)若事故不能短时间内解决的,及时通知局各科室相关负责人员,同时上报市审计局,紧急业务暂时转入手工处理流程。
(四)在事故处置过程中,尽最大可能收集事件相关信息,识别事件类别,确定事件来源,保护备份数据。清理系统、恢复数据、程序、服务。恢复工作应该十分小心,避免出现误操作导致数据的丢失。
(五)突发事件处理结束后,回顾并整理发生事件的各种相关信息,把所有情况记录到文档中。系统恢复以后,关注其安全状况,特别是对曾经出问题的地方,要进行跟踪,做好防范工作。
三、保证措施
(一)做好专用终端的密码保护工作,防止非本单位人员操作数据库。定期对数据进行检查,对预期发生的问题做好事先防范。如发现危害大的病毒,需在OA上张贴公告通知用户并说明病毒发作的原因、相应的特征及动员防范、注意事项等。
(二)建立健全重要数据及时备份和灾难性数据恢复机制,对重要的数据进行定期备份,通过全量和增量,本地和异地方式进行保存。做好充足的交换机、线缆、光纤收发器、计算机备品备件,以便发生事故时及时更换。
(三)充分利用OA及网站等有效的形式,加强网络与信息安全突发事件应急处理的有关法律法规和政策的宣传,开展预防、预警、自救、互救和减灾等知识的宣讲活动,普及应急处理的基本知识,提高整体安全防范意识和应急处理能力。加强网络与信息安全等方面的知识培训,提高防范意识及技能,指定专人负责安全技术工作,将网络与信息系统突发事件的应急管理、工作流程等列为培训内容,增强应急处理工作的组织能力。
(四)以应急预案为基线,每年开展应急演练至少1次,通过演练发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处理能力。