部机关各司局,部直属各单位,各省、自治区、直辖市水利(水务)厅(局),各计划单列市水利(水务)局,新疆生产建设兵团水利局:
为贯彻落实《中华人民共和国网络安全法》和《国家网络安全事件应急预案》,全面提升水利预防和处置网络安全事件能力,保障包括水利关键信息基础设施在内的水利重要网络和信息系统安全运行,我部组织编制了《水利网络安全事件应急预案》。现印发你们,请结合实际贯彻执行。
水利网络安全事件应急预案
1 总则
1.1 编制目的
1.2 编制依据
1.3 适用范围
1.4 事件分级
1.5 工作原则
2 组织体系及职责
2.1领导机构与职责
2.2部机关司局职责
2.3部直属单位职责
2.4技术支撑单位职责
2.5省级水行政主管部门职责
2.6水利部重要网络和信息系统主管单位和运行管理单位职责
3 监测与预警
3.1预警分级
3.2预警监测
3.3预警研判和发布
3.4预警响应
3.4.1 红色预警响应
3.4.2 橙色预警响应
3.4.3 黄色、蓝色预警响应
3.5预警解除
4 应急处置
4.1 先期处置
4.1.1 即时处置
4.1.2 事件报告
4.2 应急响应
4.2.1 启动响应
4.2.2 部机关及直属单位网络安全事件应急响应
4.2.3 省级水行政主管部门网络安全事件应急响应
4.3 应急结束
4.3.1 部机关及直属单位网络安全事件应急结束
4.3.2 省级水行政主管部门网络安全事件应急结束
5 调查与评估
6 预防工作
6.1 日常管理
6.2 演练
6.3 培训和宣传
6.4 重要敏感时期的预防控制
7 保障措施
7.1 机构和人员
7.2 技术支撑队伍
7.3 专家队伍
7.4 社会资源
7.5 基础平台
7.6 信息共享与合作
7.7 物资保障
7.8 经费保障
7.9 文档资料
7.10 通信联络保障
7.11 责任与奖惩
8 附则
8.1 预案管理
8.2 预案解释
8.3 预案实施时间
1 总则
1.1 编制目的 为建立健全水利系统网络安全事件应急工作机制,提高应对网络安全事件的组织指挥和应急处置能力,保证应急指挥调度工作迅速、高效、有序进行,保障水利重要网络和信息系统安全运行,预防和减少水利网络安全事件对国家安全、公众利益、社会秩序及公共安全所造成的损失和危害,依据国家有关规定,制定本预案。1.2 编制依据
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《国家防汛抗旱应急预案》《信息安全技术 信息安全事件分类分级指南》《信息系统安全等级保护基本要求》和《水利信息网运行管理办法》等有关法规、规定,制定本预案。1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害、对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。本预案适用于水利网络安全事件的应对工作。其中有关信息内容安全事件的应对遵循国家有关要求,国家秘密信息事件的应对遵循国家保密有关法律法规要求。
1.4 事件分级
网络安全事件分为四级:特别重大、重大、较大和一般网络安全事件。(1)特别重大网络安全事件
符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)重大网络安全事件
符合下列情形之一且未达到特别重大级别的网络安全事件:
①启动国家防汛抗旱应急预案Ⅰ级、Ⅱ级响应时期,涉及范围内的省级以上防汛抗旱指挥系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行6小时以上,对国家开展防汛抗旱应急处置工作的应急保障造成特别严重影响的;
②大型水利工程、防洪重点中型水库以及跨省、跨流域引调水工程的运行控制和生产调度系统等关键信息基础设施因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行12小时以上,或系统不按调度指令工作,造成特别严重影响或后果的;
③公民个人信息、省级以上集中存储的水利工程基础数据及其他重要敏感信息和关键数据大规模丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁的;
④省级以上防汛抗旱指挥系统、水资源信息管理系统或其他全国联网的重要水利信息系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行12小时以上的;
⑤其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)较大网络安全事件
符合下列情形之一且未达到重大级别的网络安全事件:
①启动国家防汛抗旱应急预案Ⅰ级、Ⅱ级响应时期,涉及范围内的省级以上防汛抗旱指挥系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行3小时以上,对国家开展防汛抗旱应急处置工作的应急保障造成严重影响的;
②大型水利工程、防洪重点中型水库以及跨省、跨流域引调水工程的运行控制和生产调度系统等关键信息基础设施因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行6小时以上,或系统不按调度指令工作,造成严重影响或后果的。
③公民个人信息、省级以上集中存储的水利工程基础数据及其他重要敏感信息和关键数据大规模丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较大威胁的;
④省级以上防汛抗旱指挥系统、水资源信息管理系统或其他全国联网的重要水利信息系统因发生有害程序事件、网络攻击事件、信息破坏事件、设备设施故障事件或灾害性事件等,导致核心业务子系统中断运行6小时以上的。
⑤其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)一般网络安全事件
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
(1)统一领导,分级负责。在水利部网络安全与信息化领导小组的统一领导下,建立“分级负责、属地管理”的应急管理机制,按照“谁主管谁负责、谁运行谁负责”的原则,各部门各司其职,加强协调与配合,充分发挥各方面力量,共同做好网络安全事件的预防和处置工作。(2)统一指挥,快速反应。发生网络安全事件时,各部门听从统一指挥,密切协同,快速反应,科学处置,最大程度地减少网络安全事件造成的危害和影响。
(3)预防为主,防治结合。加强网络安全事件预警监测机制建设,预防和最大程度减少网络安全事件的发生;加强应急处置措施建设,提高应急响应能力,减少网络安全事件造成的损失。
(4)依靠科技,提高能力。加强技术储备,完善技术措施,做好预案演练,提高应急处置能力。
(5)上下联动,信息共享。加强国家、水利部及地方应急组织机构的上下联动,加强内外合作,完善沟通机制,提高网络安全事件监测预警、事态发展及应对处置信息的收集和共享能力。
2 组织体系及职责
2.1领导机构与职责 水利部网络安全与信息化领导小组办公室(以下简称“水利部网信办”)是水利网络安全事件管理的日常机构,在水利部网络安全与信息化领导小组(以下简称“部领导小组”)的领导下,负责建立健全应急联络机制,组织水利部重大、特别重大事件的研判、预警响应、信息通报及资源协调工作;统一领导、指挥、协调水利部机关由水利部信息中心统一运行管理的网络和信息系统(以下简称“部机关集中管理系统”)发生的较大、一般事件的应急处置工作;负责督导各部直属单位并指导各省级水行政主管部门网络安全事件应急体系建设工作;保持与中央网信办、国家网络安全应急办公室和国家网络与信息安全信息通报中心等应急组织的密切联系。必要时成立水利部网络安全事件应急指挥部(以下简称“水利部应急指挥部”),总指挥由部领导小组负责相关工作的主管领导担任,成员由水利部网信办、有关业务主管部门、有关专家等担任,根据工作需要对成员进行调整。水利部应急指挥部负责统筹落实国家对水利部发生的特别重大事件的应急处置工作要求;统一领导、指挥、协调水利部机关及直属单位发生的重大事件的应急处置工作;协助配合省级水行政主管部门开展特别重大、重大事件的处置工作。
2.2部机关司局职责
水利部机关各司局负责组织本部门自行运行管理的网络和信息系统的网络安全事件预防、监测、报告和应急处置工作。在水利部应急领导机构统一领导、指挥、协调下,按照要求开展特别重大、重大事件的应急处置工作;领导、指挥、协调、实施本部门发生的较大、一般事件的应急处置工作;配合组织开展应急演练工作。主管重要网络和信息系统的司局须同时履行“2.6水利部重要网络和信息系统主管单位和运行管理单位职责”中有关职责。部机关集中管理系统的网络安全事件应急处置工作由水利部应急领导机构负责,网络安全事件的预防、监测和报告工作由水利部信息中心负责,各司局配合开展本部门主管网络和信息系统网络安全事件的应急处置工作,配合开展应急演练工作。
水利部办公厅会同有关部门负责组织造成社会影响的网络安全事件的新闻发布工作,指导协调有关单位回应事件引发的社会关切,把握正确舆论导向。
2.3部直属单位职责
流域机构设立或明确网络安全主管部门,负责统筹协调组织本流域(含本级及下级单位)网络安全事件应急响应体系建设工作,建立应急联络机制,制定流域机构网络安全事件应急预案,组织开展应急演练工作;综合协调本流域网络安全应急保障工作;按照要求上报预警和事件信息;在水利部应急领导机构统一领导、指挥、协调下,具体组织开展重大、特别重大事件的应急处置工作;领导、指挥、协调、实施本流域发生的较大、一般事件的应急处置工作。主管重要网络和信息系统的流域机构须同时履行“2.6水利部重要网络和信息系统主管单位和运行管理单位职责”中有关职责。其他部直属单位(含本级及下级单位)明确网络安全责任部门,建立应急联络机制,制定本单位网络安全事件应急预案实施细则,开展应急演练工作;综合协调本单位网络安全应急保障工作;按照要求上报预警和事件信息;在水利部应急领导机构统一领导、指挥、协调下,具体组织开展重大、特别重大事件的应急处置工作;领导、指挥、协调、实施本单位发生的较大、一般事件的应急处置工作。主管重要网络和信息系统的单位须同时履行“2.6水利部重要网络和信息系统主管单位和运行管理单位职责”中有关职责。
2.4技术支撑单位职责 部机关的技术支撑单位是水利部信息中心,部直属单位的技术支撑单位是单位信息化部门。技术支撑单位负责配合本级应急领导机构在事件预防、监测、研判、应急处置、调查评估等工作中提供技术支持。
2.5省级水行政主管部门职责
各省级水行政主管部门按照属地省级网络安全主管部门要求开展网络安全事件应急管理工作,与水利部建立应急联络机制,按照要求向水利部上报预警和事件信息。2.6水利部重要网络和信息系统主管单位和运行管理单位职责
水利部重要网络和信息系统(含关键信息基础设施)主管单位和运行管理单位按照职责和权限,负责本单位网络安全事件的预防、监测、研判、报告和应急处置工作,制定重要网络和信息系统网络安全事件应急预案,并定期开展预案演练工作;建立应急联络机制,按照要求上报事件预警和事件信息;协调运行维护单位、第三方机构及有关人员等,按照要求配合组织开展网络安全事件的业务补救、技术处置等应急处置工作。3 监测与预警 3.1预警分级
网络安全事件预警等级分为四级,由高到低分别为:红色预警、橙色预警、黄色预警和蓝色预警,分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。3.2预警监测 水利部重要网络和信息系统主管单位和运行管理单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的重要网络和信息系统开展网络安全监测,建立预警监测机制,完善预警系统,加强预警信息的监测收集工作。
部机关司局负责自行运行管理网络和信息系统的安全监测工作。部信息中心负责部机关集中管理系统的安全监测工作。部直属单位负责统筹组织开展对本流域或本单位网络和信息系统的安全监测工作。省级水行政主管部门根据属地省级网络安全主管部门要求,开展网络和信息系统的安全监测工作。
3.3预警研判和发布 部机关司局、部直属单位监测或收到预警信息后立即进行研判,并采取防范措施,及时通知有关部门和单位。部信息中心负责部机关集中管理系统的预警研判。对初判可能发生特别重大、重大事件的预警信息,以及对部机关集中管理系统初判可能发生较大、一般事件的预警信息立即上报水利部网信办。对初判可能发生较大、一般事件的预警信息及时发布黄色或蓝色预警,并将黄色及涉及水利关键信息基础设施的蓝色预警上报水利部网信办。
省级水行政主管部门按照属地省级网络安全主管部门要求对预警信息进行研判和防范,对初判可能发生特别重大、重大、较大、涉及水利关键信息基础设施的一般事件的预警信息立即上报水利部网信办。
水利部网信办对部机关司局和直属单位可能发生特别重大、重大事件的预警信息组织研判、确认,并及时将有关情况上报部领导小组及国家网络安全应急办公室。国家网络安全应急办公室负责发布红色预警,水利部网信办负责发布橙色预警,并负责发布部机关集中管理系统的黄色或蓝色预警。省级水行政主管部门遵循属地省级网络安全主管部门规定进行预警信息研判、发布。
预警发布内容应包含事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机构等信息内容。预警发布司局、单位应根据事件或威胁的动态变化情况及时发布预警的升级或降级信息。
3.4预警响应
3.4.1 红色预警响应 (1)国家网络安全应急办公室发布涉及水利行业的红色预警时,水利部网信办负责组织水利部有关单位落实国家网络安全应急办公室研究制定的防范措施和应急工作方案。水利部网信办和有关司局、单位实行24小时值班,相关人员保持通信联络畅通。(2)有关司局、部直属单位加强事件监测和事态发展信息搜集工作,至少每日向水利部网信办报告预警响应情况,重要情况立即上报。部信息中心负责部机关集中管理系统的预警响应。水利部网信办及时将重要情况上报部领导小组和国家网络安全应急办公室,并根据指示进行预警重大事项通报。
(3)部机关及有关直属单位应急技术支撑队伍进入待命状态,保持通信联络畅通,检查应急车辆、设备、软件等应急工具,做好应急准备。
(4)有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。
3.4.2 橙色预警响应
(1)水利部网信办组织部机关司局和直属单位预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,判断相关威胁和事件可能造成的损害程度,研究制定防范措施和应急工作方案,协调组织资源调度和跨区域联动的各项准备工作。水利部网信办和有关司局、单位实行24小时值班,相关人员保持通信联络畅通。(2)有关司局、部直属单位组织落实水利部网信办研究制定的防范措施和应急工作方案,指导相关单位、应急技术支撑队伍开展应急处置或准备、风险评估和控制工作。加强事件监测和事态发展信息搜集,至少每日向水利部网信办报告预警响应情况,重要情况立即上报。部信息中心负责部机关集中管理系统的预警响应。水利部网信办及时将事态发展情况报部领导小组和国家网络安全应急办公室,并进行预警重大事项通报。
(3)部机关及有关直属单位应急技术支撑队伍进入待命状态,保持通信联络畅通,检查应急车辆、设备、软件等应急工具,做好应急准备。
(4)有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。水利部网信办跟踪省级水行政主管部门的事态发展情况,必要时通报有关单位。
3.4.3 黄色、蓝色预警响应
有关司局、部直属单位组织开展预警响应工作,指导协调相关单位、应急技术支撑队伍做好风险评估、应急准备和风险控制工作。加强事件监测和事态发展信息搜集工作,及时将黄色预警及涉及水利关键信息基础设施的蓝色预警事态发展重要情况上报水利部网信办。部信息中心负责部机关集中管理系统的预警响应。水利部网信办根据事态发展情况向有关单位进行重大事项通报。有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。及时将黄色预警及涉及水利关键信息基础设施的蓝色预警事态发展重要情况上报水利部网信办。
3.5预警解除
由预警发布单位根据实际情况,确定预警的解除并发布解除信息。其中黄色预警及涉及水利关键信息基础设施的蓝色预警解除信息上报水利部网信办。4 应急处置
4.1 先期处置 4.1.1 即时处置网络安全事件发生或接到上级主管单位、上级监管单位(网信、公安等机构)发布的与本司局、本单位相关的事件通报后,事发司局、单位应立即启动相关应急预案,在第一时间实施处置并向上级单位报送事件信息。部信息中心负责部机关集中管理系统的安全事件即时处置工作。部直属单位收到事件报告后应立即组织先期处置,控制事态发展,同时组织事件研判,根据事件报告要求,做好信息通报工作。过程中注意保存相关证据。省级水行政主管部门根据属地省级网络安全主管部门要求组织先期处置工作。
4.1.2 事件报告
事件报告方式分为快报和书面报告。快报可采用电话、手机短信等方式;快报内容至少包括事发单位、地址、负责人姓名和联系方式、发生时间、已经造成和预计造成的损失情况等信息。书面报告指通过传真方式提交《网络安全事件报告表》(见附件),进一步详细说明事件有关情况。司局、部直属单位接到事件报告后,应详细记录事件信息,了解事件造成的损失、影响以及现场控制情况。在汇总相关信息的基础上,及时判断事件的性质,分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况,研判事件级别。部信息中心负责部机关集中管理系统的事件报告工作。省级水行政主管部门根据属地省级网络安全主管部门要求进行分析研判。
判定为较大事件或为涉及水利关键信息基础设施的一般事件的,应于接到事件报告后1小时内快报、2小时内书面报告至水利部网信办;对研判结果可能为重大或特别重大事件的,应于接到事件报告后20分钟内快报、40分钟内书面报告至水利部网信办。省级水行政主管部门还应根据属地省级网络安全主管部门要求进行事件报告。
水利部网信办接到司局、部直属单位的特别重大或重大事件报告后,应立即组织有关业务主管部门、有关专家等研判事件级别,研判结果可能为特别重大事件的或判定为重大事件的,立即上报部领导小组和国家网络安全应急办公室,同时上报国家网络与信息安全信息通报中心。对于省级水行政主管部门报告的特别重大或重大事件,水利部网信办组织分析研判,必要时通报有关单位。
事件处置过程中,如发现事件影响范围超出原定事件级别范围的,各单位应根据上述事件报告要求上报相关情况,进行事件级别调整。
4.2 应急响应 网络安全事件应急响应级别分为四级:Ⅰ级响应、Ⅱ级响应、Ⅲ级响应和Ⅳ级响应,分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。
4.2.1 启动响应
部机关司局、部直属单位发生特别重大或重大事件时,水利部成立应急指挥部,启动相应应急响应。属较大或一般事件的,由事件发生司局、部直属单位根据情况启动相应应急响应。水利部网信办负责启动部机关集中管理系统较大或一般事件的应急响应。省级水行政主管部门按照属地省级水行政主管部门要求启动相应应急响应。
4.2.2 部机关及直属单位网络安全事件应急响应
(1)Ⅰ级响应国家启动Ⅰ级响应应对涉及部机关及直属单位的特别重大事件时,水利部应急指挥部组织落实国家应急指挥部对应急处置工作的决策部署意见。根据需要,成立现场应急工作组,赶赴现场指导应急处置工作。水利部应急指挥部和有关司局、单位安排24小时值班,相关人员保持通信联络畅通。
水利部网信办跟踪事态发展,检查影响范围。事件发生司局、直属单位负责积极跟踪、收集、上报事态发展变化及处置进展情况,负责立即检查、了解、上报主管范围内的重要网络和信息系统受到事件的波及或影响情况。部信息中心负责部机关集中管理系统发生事件的跟踪、上报工作。水利部网信办收集、汇总上述情况,及时将事态发展变化、处置进展情况上报水利部应急指挥部和国家网络安全应急办公室,并根据国家网络安全应急办公室对重大事项的通报指示进行信息通报。
(2)Ⅱ级响应
①启动指挥体系
水利部应急指挥部和有关司局、部直属单位进入应急状态,安排24小时值班,相关人员保持通信联络畅通。
水利部应急指挥部统一领导、指挥和协调事件应急处置工作或支援保障工作,研究部署应对措施。根据需要,成立现场应急工作组,赶赴事发现场,传达应对工作指示,了解事件发展态势和现场处置情况,指导应急处置工作。
有关司局、部直属单位根据水利部应急指挥部对事件的应对处置要求,组织开展应急处置工作或支援保障工作。部信息中心在相关司局配合下负责开展部机关集中管理系统的应急处置工作。
②掌握事件动态
跟踪事态发展。事件发生司局、部直属单位跟踪、收集事态发展变化情况及处置进展情况,并及时上报水利部网信办。
检查影响范围。有关单位立即全面了解主管范围内的重要网络和信息系统是否受到事件的波及或影响,有关情况及时上报水利部网信办。
及时通报情况。水利部网信办汇总上述信息,掌握事态发展变化情况,将有关情况及时上报水利部应急指挥部和国家网络安全应急办公室,并根据水利部应急指挥部要求,进行重大事项通报。
③决策部署
水利部应急指挥部组织有关司局、部直属单位、专家队伍、应急技术支撑队伍和第三方机构等研究对策意见,对应对工作进行决策部署。
④处置实施
控制事态蔓延。有关司局、部直属单位组织实施控制措施,尽快控制事态;组织、督促相关运行管理单位有针对性地加强防范,防止事态蔓延。消除隐患恢复系统。有关司局、部直属单位根据事件发生原因,组织相关运行管理单位有针对性地采取措施,备份数据、保护设备、排查隐患等,恢复受破坏网络和信息系统正常运行。
资源申请。处置过程中需要有关省(区、市)、部门和国家应急支撑队伍配合和支持的,由水利部网信办商国家网络安全应急办公室予以协调。
调查取证。事发司局、单位在应急恢复过程中应保留相关证据,积极配合公安等行政部门开展调查取证工作。
信息发布。水利部办公厅组织事件应急新闻工作,指导协调有关单位开展新闻发布和舆论引导工作。
协调配合引发的其他突发事件的应急处置。对于引发或可能引发其他网络安全事件的,有关部直属单位及时按照程序进行上报,并在应急处置过程中做好协调配合和信息通报工作。
部信息中心负责部机关集中管理系统的事态跟踪、处置实施、消除隐患恢复系统和调查取证,并协调配合引发的其他突发事件的应急处置。
(3)Ⅲ级、Ⅳ级响应
有关司局、部直属单位具体负责事件应急响应工作,组织相关运行管理单位做好技术处理,尽快消除隐患恢复系统;组织相关业务主管单位采取业务补救措施,尽可能减少损失。必要时可协调上级有关单位或部门参加应急处置。水利部网信办负责组织部机关集中管理系统的事件应急响应工作。
有关司局、部直属单位随时跟踪、收集事态发展变化情况,并及时将较大事件和涉及水利关键信息基础设施的一般事件事态发展和处置情况上报水利部网信办。水利部网信办将有关重大事项及时通报相关单位,相关单位根据水利部网信办的通报,结合实际组织做好有针对性的防范,防止造成更大范围的影响和损失。
4.2.3 省级水行政主管部门网络安全事件应急响应
启动应急响应时,省级水行政主管部门应根据属地省级网络安全主管部门要求开展应急响应工作,水利部采取相关应对措施,具体内容如下:(1)Ⅰ级、Ⅱ级响应
省级水行政主管部门发生特别重大或重大事件时,水利部应急指挥部组织研究水利部应对事件措施。根据需要成立应急工作组,协助配合开展处置工作。
水利部网信办跟踪事态发展,检查影响范围,收集、汇总相关情况,必要时通报有关单位。有关单位根据水利部网信办的通报,结合实际组织做好有针对性的防范,防止造成更大范围的影响和损失。
(2)Ⅲ级、Ⅳ级响应
省级水行政主管部门发生较大或一般事件时,水利部网信办跟踪、收集较大事件和涉及水利关键信息基础设施的一般事件的事态发展和处置情况。
水利部网信办根据事态发展变化情况,将有关重大事项及时通报相关单位。有关单位根据水利部网信办的通报,结合实际组织做好有针对性的防范,防止造成更大范围的影响和损失。
4.3 应急结束
4.3.1 部机关及直属单位网络安全事件应急结束 (1)Ⅰ级响应结束国家网络安全应急办公室发布应急结束通报后,终止应急响应,转入常态管理。水利部网信办通报有关单位。
(2)Ⅱ级响应结束
在应急处置工作结束、相关危险因素消除后,由水利部应急指挥部决定终止应急响应,宣布应急结束,转入常态管理。水利部网信办通报有关单位,同时上报国家网络安全应急办公室。
(3)Ⅲ级、Ⅳ级响应结束
由事件发生司局、部直属单位决定终止应急响应,宣布应急结束,转入常态管理。部机关集中管理系统发生事件由水利部网信办决定终止响应。Ⅲ级响应及涉及水利关键信息基础设施的Ⅳ级响应结束信息上报水利部网信办。水利部网信办通报其他有关单位。
4.3.2 省级水行政主管部门网络安全事件应急结束
省级水行政主管部门应根据属地省级网络安全主管部门要求适时终止应急响应,并通报水利部网信办。Ⅰ级、Ⅱ级响应结束时,水利部网信办将情况通报相关单位。5 调查与评估
水利部网信办配合国家网络安全应急办公室组织开展水利部特别重大事件的调查处理和总结评估;组织部机关及直属单位发生的重大事件的调查处理和总结评估;并将总结调查报告上报部领导小组及国家网络安全应急办公室。司局、部直属单位自行组织较大和一般事件的调查处理和总结评估,并将较大和涉及水利关键信息基础设施的一般事件总结调查报告上报水利部网信办。水利部网信办负责组织部机关集中管理系统较大和一般事件的调查处理和总结评估。
省级水行政主管部门根据属地省级网络安全主管部门要求开展事件调查与评估工作。将发生的较大及以上级别事件和涉及水利关键信息基础设施的一般事件总结调查报告上报水利部网信办。
总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件的调查处理和总结评估工作原则上应在应急响应结束后30天内完成。
6 预防工作
6.1 日常管理 各司局、单位按照职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份等工作,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。部信息中心负责部机关集中管理系统网络安全事件日常预防工作。6.2 演练 各司局、单位每年应至少组织一次应急预案的演练,模拟发生不同级别及不同类型事件的应急响应和处置,提高应急实战能力。新制定应急预案或预案修订后,应在一定时期内尽快开展演练工作,以检验预案的合理性和有效性。演练结束后应对演练情况进行评估并根据评估结果完善预案内容。水利部网信办负责组织部机关集中管理系统的应急预案演练工作。
水利部网信办组织本预案的应急演练并将演练情况上报中央网信办。部直属单位、省级水行政主管部门组织本区域网络安全事件应急预案的演练,演练情况上报水利部网信办。水利关键信息基础设施主管单位组织关键信息基础设施专项应急预案的演练工作,演练情况上报水利部网信办。
6.3 培训和宣传
各司局、单位要加强网络安全特别是网络安全事件应急预案的培训,将网络安全事件应急知识列为领导干部、管理人员、处置人员及相关工作人员的培训内容,提高防范意识。针对事件处置人员,还应加强应急处置技术培训,提高处置技能。针对发生的网络安全事件,应总结经验教训,组织相关人员进行事后教育和培训,防范事件的再次发生。各单位应采用多种形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
6.4 重要敏感时期的预防控制
在国家重要活动、会议等重要敏感时期,各司局、单位要加强网络安全事件的防范和应急响应,确保网络安全。水利部网信办根据国家在重要敏感时期的网络安全保障工作要求,统筹协调水利网络安全保障工作,采取预防控制措施。部机关司局、部直属单位、省级水行政主管部门在此期间要加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位应24小时值班,加强巡检巡查,及时发现和处置网络安全事件隐患。水利部网信办负责组织部机关集中管理系统的网络安全事件防范和应急响应。原则上不在重要敏感时期对重要网络和信息系统进行调整或升级。
7 保障措施
省级水行政主管部门根据属地省级网络安全主管部门要求制定保障措施,水利部保障措施如下:7.1 机构和人员
各司局、单位须落实网络安全应急工作责任制,设立或明确应急领导、执行和有关落实机构,明确各机构应急职责,把责任落实到具体部门、具体岗位和个人,建立健全应急工作机制。7.2 技术支撑队伍
各单位应加强网络安全应急人才培养,建立应急技术支撑队伍,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。同时加强与国家及地方网络安全相关技术单位的沟通、协调,建立必要的网络安全信息共享机制。7.3 专家队伍
水利部网信办建立水利网络安全应急专家组,部直属单位加强本流域、本单位专家队伍建设。网络安全事件应急处置工作中,应充分发挥专家队伍作用,为水利网络安全事件的预防和处置提供技术咨询和决策建议。7.4 社会资源
各单位应加强与网络安全专业机构的沟通合作,建立网络安全事件应急服务体系,提高应对能力。7.5 基础平台
水利部网信办负责组织落实水利部网络安全应急基础平台和管理平台建设工作。部直属单位负责本流域、本单位网络安全应急基础平台和管理平台建设工作。各单位要充分利用应急平台,做到网络安全事件的早发现、早预警、早响应,提高应急处置能力。7.6 信息共享与合作
水利部网信办依托国家信息共享机制,及时获取、分享情报资源。各单位应建立信息共享与合作机制,加强内外交流及沟通协作,提高信息收集能力,强化内部信息共享,为水利网络安全应急工作提供情报支撑。
7.7 物资保障
各单位应建立必要的应急响应物资保障机制,并根据工作需要,配备必要的的备机、备品、备件以及其他必须的物资,特别是一些关键设备和易损设备。加强对应急装备、工具的储备管理、维护和保养,及时调整、升级软硬件工具,以备随时调用。及时更新老化设备,降低系统设备超期使用所造成的安全风险。7.8 经费保障
各单位应为网络安全事件应急管理工作提供必要的经费保障,落实应急处置、应急技术支撑队伍建设、专家队伍建设、基础平台建设、应急宣传和培训、预案演练、物资保障等方面的应急管理经费预算,将应急管理经费列入各单位年度预算。7.9 文档资料
重要网络和信息系统运行管理单位须整理详细的网络和信息系统使用手册、工作流程、网络拓扑图、网络和设备的配置信息等配置相关文档,以及应急响应预案、调度预案、异常情况处理流程图、物资储备清单和相关单位、部门及分管领导联系方式等资料。7.10 通信联络保障
各单位应明确网络安全事件应急处理的一般和紧急两级联系人,其中一般联系人主要是进行日常的信息沟通,紧急联系人主要是在发生较大(Ⅲ级)及以上网络安全事件情况下的直接沟通,联系信息应包括电话、传真等。联系人及联系方式发生变化时要及时向有关部门报告。紧急联系人应确保7x24小时联络畅通。7.11 责任与奖惩
网络安全事件应急处置工作实行责任追究制。水利部对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。水利部对不按照规定制定预案,不按规定定期组织开展预案演练和培训,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分。构成犯罪的,依法追究刑事责任。
8 附则
8.1 预案管理 本预案由水利部负责制订、管理并定期进行评估,根据实际情况进行适时修订。部直属单位根据本预案自行制定或修订本流域、本单位网络安全事件应急预案或实施细则,并上报水利部网信办备案。省级水行政主管部门根据属地省级网络安全主管部门制定的应急预案,参照本预案制定或修订本区域水利网络安全事件应急预案或实施细则,并上报水利部网信办备案。
水利部重要网络和信息系统主管单位和运行管理单位根据上级单位制定的应急预案,参照本预案自行制定或修订重要网络和信息系统网络安全事件应急预案,其中水利关键信息基础设施主管单位制定的关键信息基础设施应急预案需上报水利部网信办备案。
8.2 预案解释
本预案由水利部网信办负责解释。8.3 预案实施时间
本预案自发布之日起生效,《水利网络与信息安全事件应急预案》同时废止。附件:
1. 网络安全事件分类2. 名词术语
3. 网络和信息系统损失程度划分说明
4. 水利网络安全事件报告表
5. 水利部网络安全事件报告受理联系方式
6. 水利网络安全事件应急通讯联络表
7. 部机关及直属单位网络安全事件应急响应流程
附件1
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。
(5)设备设施故障事件分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件2
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
a)损害国防、国际关系;
b)损害国家财产、公共利益以及个人财产或人身安全;
c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f)危害国家关键基础设施、政府信息系统安全;
g)影响市场秩序,造成不公平竞争,破坏市场规律;
h)可推论出国家秘密事项;
i)侵犯个人隐私、企业商业秘密和知识产权;
j)损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术 云计算服务安全指南》(GB/T31167-2014))
三、水利关键信息基础设施
水利关键信息基础设施是事关国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能,将严重危害国家安全、公共利益的水利信息设施,包括但不限于大型水利工程、防洪重点中型水库以及跨省、跨流域引调水工程的运行控制和生产调度系统,省级以上防汛抗旱指挥系统、水资源信息管理系统或其他全国联网的重要水利信息系统,省级以上集中存储的水利工程基础数据和存储100万以上公民个人信息的系统等。
附件3
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
a)特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
b)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
c)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
d)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
附件4
水利网络安全事件报告表
附件5
水利部网络安全事件报告受理联系方式
附件6
水利网络安全事件应急通讯联络表
附件7
部机关及直属单位网络安全事件应急响应流程
声明:本文来自水利部网站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
