汕頭職業技術學院網絡與信息安全突發事件應急預案

第一章　總則

第一條 為了有效預防、及時控制和最大限度地消除各類網絡與信息安全事件的危害及影響，切實提高應急處理能力和水平，根據《信息安全事件管理指南》《信息安全事件分類分級指南》等規范，制定本應急預案。

第二條 本預案中網絡與信息安全事件是指利用校園網發布不良信息，以及硬件、軟件、數據因非法攻擊或病毒入侵等安全原因，而遭到破壞、更改、泄露造成損失和不良影響的事件。

第二章　組織機構與職責

第三條 學院成立網絡安全與信息化工作領導小組，統一領導、統一指揮網絡與信息安全突發事件的應急處置工作，協調解決應急處置工作中的重大問題。

第四條 網絡與信息中心負責學院網絡安全事件的應急技術處理，并負責與上級網絡信息安全主管部門的聯動。

第三章  安全事件報告與處置流程

第五條 根據信息安全事件的分級考慮要素：系統的重要程度、系統損失和社會影響，將學院信息安全事件劃分為三個級別：重大事件、較大事件和一般事件。    

（一）重大事件（Ⅰ級）

  會使重要系統遭受嚴重的系統損失，或產生較大的社會影響的信息安全事件。

（二）較大事件（Ⅱ級）

會使重要信息系統遭受較大的系統損失、一般系統遭受特別嚴重的系統損失，或產生較小不良社會影響的信息安全事件。

（三）一般事件（Ⅲ級）

會使重要信息系統遭受較小的系統損失、一般系統遭受不嚴重的系統損失，或不產生社會影響的信息安全事件。

   第六條 事發緊急報告與處置

（一）各部門人員一旦發現安全事件，應根據實際情況第一時間采取斷開網絡連接等有效措施進行處置，將損害和影響降到最小范圍，保留現場，并報告本部門第一安全責任人，同時將相關情況通報至網絡與信息中心。 

（二）網絡與信息中心判定安全事件等級，Ⅱ級上報主管院領導，Ⅰ級報告上級網絡信息安全主管部門，形成聯動并啟動應急處理機制，協助進行技術處理及取證工作。涉及人為主觀破壞事件應同時報告當地公安機關。

   第七條 事中情況報告與處置

（一）事中情況報告應在安全事件發現后3小時內，事件發生部門以書面報告的形式報送網絡與信息中心。

（二）網絡與信息中心視安全事件的嚴重性，及時向主管院領導進行匯報，Ⅱ級及以上應以書面形式報告。同時報送學院網絡安全與信息化工作領導小組。

（三）網絡與信息中心下達安全整改通知，事件發生部門應及時掌握損失情況、查找和分析事件原因、修復系統漏洞、恢復系統服務，盡可能減少安全事件對正常工作帶來的影響。

   第八條 事后整改報告與處置

（一）事后整改報告應在安全事件處置完畢后3個工作日內，以書面報告的形式報送網絡與信息中心。

（二）如屬Ⅱ級及以上事件網絡與信息中心應以書面報告形式，將處理情況報送學院網絡安全與信息化工作領導小組。

（三）事件發生部門應進一步總結事件教訓，研判安全現狀、排查安全隱患，進一步加強制度建設，提升安全防護能力。

（四）網絡與信息中心詳細填寫事件處理記錄，并存檔。

第四章  應急響應程序

   第九條 系統故障應急預案

（一）當發生系統故障時，發現人應在5分鐘內通知業務部門信息安全員，由信息安全員報告部門第一安全責任人及網絡與信息中心。

（二）網絡與信息中心組織故障系統的信息安全員等相關部門和人員分析事件發生源頭，查看安全審計日志，對異常事件發生源頭、發生原因、影響范圍做出判斷，并及時控制事件范圍，必要時停止系統運行。

（三）網絡與信息中心針對事件原因查找系統漏洞，提出補救措施和系統安全策略調整方案，填寫應急處置審批表，并報主管院領導審批。

（四）根據系統安全策略調整方案，對安全設備、應用系統等的安全控制策略做出相應調整，解決系統故障，確認無誤后恢復系統運行。

   第十條 網絡攻擊應急預案

（一）網絡與信息中心根據安全設備的報警和審計日志，確定攻擊目標和攻擊源；

（二）通知被攻擊系統管理員對攻擊目標采取關閉或隔離措施，詳細檢查被攻擊系統是否留有惡意代碼，更改密碼增強安全防范策略，必要時對系統和數據進行緊急備份；

（三）網絡與信息中心對攻擊來源進行隔離，分析原因，阻止攻擊行為，調整安全防范策略；

（四）網絡與信息中心在對被攻擊系統進行安全評估后，恢復系統上線運行，對于惡意攻擊上報公安部門。

    第十一條 病毒爆發應急預案：

（一）網絡與信息中心根據安全設備和網絡殺毒軟件的報警和日志，分析攻擊來源，對攻擊來源和攻擊區域采取隔離措施。

（二）對重要的網絡服務器和業務系統緊急備份，防止因病毒造成數據丟失，必要時可暫停系統運行。

（三）及時通知安全廠商、防病毒廠商，上報病毒爆發情況并尋求技術支持。獲得處理建議后及時控制病毒進一步傳播、升級病毒庫、清除病毒。

（四）分析病毒產生原因，傳播途徑，采取補救措施，糾正違規行為。對惡意制造或傳播病毒的情況上報有關部門。

（五）網絡與信息中心、被感染系統管理員對系統進行安全評估后，確認病毒已得到控制或清除后，恢復系統運行。

   第十二條 網絡設備及應用服務器異常應急預案

（一）網絡與信息中心對網絡設備及應用服務器異常事件進行原因分析，及時發布信息對事件原因、處理措施及恢復時間進行通知公告。

（二）如屬于硬件故障應及時啟用備用設備，并將故障設備報修；如屬于軟件故障，應根據故障程度進行緊急調試或啟用最近一次備份進行數據恢復。

第五章  應急預案管理

   第十三條 應急預案培訓。為確保應急預案有效運行，網絡與信息中心應定期或不定期地舉辦不同層次、不同類型的培訓班或研討會，以便各部門的相關人員都能掌握網絡信息安全應急處理的知識和技能。

   第十四條 應急預案演練。為提高信息安全突發事件應急響應水平，網絡與信息中心應每年至少組織一次預案演練；檢驗應急預案各環節之間的通信、協調、指揮等是否符合快速、高效的要求。通過演練，進一步明確應急響應各崗位責任，對預案中存在的問題和不足及時完善。

   第十五條 應急預案審查。網絡與信息中心每年對應急預案進行一次審查，根據實際情況，如演練過程中出現的問題、已發生安全事件的處置措施等對內容進行更新，以使預案更貼合實際。

第六章　附則

   第十六條 本預案自發布之日起施行，由網絡與信息中心負責解釋。原網絡與信息安全事件應急預案同時廢止。