
热门文章
兰州科技职业学院网络安全管理制度应急处置
第一章 网络系统风险管理办法
1、 目的
为了进一步规范网络系统风险管理活动,提升风险管理工作的可操纵性和适用性,依据兰州科技职业学院信息安全目标、策略方针,以及相关规范和标准的规定,编制本管理办法。
2、 范围
本办法适用于兰州科技职业学院及其所有下属机构的网络系统风险管理活动。
3、管理要求
网络系统风险管理是信息安全保障工作中的一项基础性工作和重要环节,组织应针对网络系统内外部业务环境及技术条件的变化情况,进行周期性的风险评估,建议每年实施一次信息安全风险管理活动。
在物理环境或业务模式发生变化时,应考虑现有信息安全管理控制措施的适宜性,必要时重新实施风险管理活动,组织可根据风险状况及时调整信息安全管理策略和方法。
风险管理活动的相关记录(例如风险评估计划、风险评估报告、风险处置计划等)必须文档化。
4、 风险评估
各级网络系统信息安全管理部门应确定被评估对象,批准立项,并指定风险评估小组负责人。
4.2、 评估计划
风险评估小组负责人应制定《风险评估计划》,并提交各级网络系统信息安全管理部门审批。计划中应包括评估目标、评估时间、评估范围、参与人员、评估方法及风险接受准则等内容。
风险评估小组负责人应确定评估小组成员及其职责,并进行必要的培训,保证所有评估小组成员掌握评估方法。
4.2.1、 确定风险评估目标
根据组织的业务战略、业务流程、安全需求等方面,明确风险评估目标。
4.2.2、 确定风险评估范围
评估范围可以是整个组织、组织的一部分、单个网络系统、特定的系统部件,也可以是组织接受的服务。
4.2.3、 确定风险评估实施人员
风险评估实施人员应覆盖各角色人员,包含但不限于各级网络系统高级管理者、信息安全管理部门负责人、信息安全管理部门职员、业务负责人、配置管理人员、IT管理人员、设备管理人员、服务器管理人员等。
4.2.4、 确定风险评估方法
应根据评估的目的、范围、时间及预期效果等因素来选择风险评估方法,使之能够与组织环境和安全要求相适应。
4.2.5、 确定风险接收准则
根据组织的实际情况,制定风险接受准则。
4.3、 评估实施
4.3.1、 识别资产
资产是任何对组织有价值的事务,是要保护的对象,资产一般可以分为以下几类:
1) 电子数据:指以电子形式存在的各种数据资料,例如数据库中的数据、系统文档、备份文件等;
2) 软件:指应用软件等,例如操作系统、应用程序、工具软件、安全组件、数据库管理系统、源程序等;
3) 硬件:指网络设备、计算机设备、存储设备、传输线路、保障设备、安全保障设备等相关硬件设施,例如路由器、服务器、台式机、移动硬盘、光纤、UPS、防火墙、打印机等;
4) 服务:组织使用的各种服务,例如办公服务、网络服务、信息服务等;
5) 书面文件:指以纸质形式存在的各种文件,例如合同、税票、服务指南、网络系统报告等;
6) 人员:组织内以及和组织相关的各级人员,例如网络系统相关人员、委托厂商、外包人员、信任机构的人员等;
7) 其它:例如舆论、形象、社会影响等。
可按照资产的存在形式、资产的分类识别需要评估的资产。
4.3.2、 识别威胁
威胁是可能导致对系统或组织有损害,不期望发生的潜在活动。可以通过分析造成威胁的因素(一般分为人为因素和环境因素)来识别威胁。
人为因素分为无意和恶意两种,例如人员缺乏专业技能或责任心导致网络系统故障或被攻击,恶意人员为了谋取利益恶意破坏网络系统或窃取信息。
环境因素分为自然界因素和其它物理因素,例如洪灾、火灾、雪灾、地震等自然灾害,供电、静电、灰尘、温湿度等异常环境条件,软件、硬件、通讯线路等故障。
4.3.3、 识别脆弱性
脆弱性是与资产自身有关的安全漏洞或隐患,脆弱性识别是针对每一项需要保护的资产,找出可能被威胁利用的弱点。主要考虑技术脆弱性和管理脆弱性,可以采用问卷调查、工具检查、人工核查等方式进行识别。
4.3.4、 确认已有安全措施的有效性
对已实施的安全措施的有效性进行确认,并对无效的措施进行改善。可以通过问卷调查、访谈、现场查看、技术检测等方式确认。
4.3.5、 评价风险
采用定性、定量或定性与定量相结合的方式,判断安全事件发生的可能性、安全事件发生造成的损失及对组织的影响,对风险进行评价。
4.4、 评估总结
评估小组将风险评估内容及结果整理形成《风险评估报告》,由各级网络系统信息安全管理部门人员审批后,提交至各级网络系统安全领导小组。
5、 风险处置
各级网络系统信息安全管理部门需指定风险处置责任人,风险处置可以采用以下方式:
风险接受:接受识别出的风险,不对风险进行任何处理。
风险降低:通过实施改善措施,将风险降低到可接受范围。
风险规避:通过禁止可能导致风险的行为来规避风险。
风险转移:通过其它方式转移风险,如购买保险或转移给相关方。
风险处置责任人应制定《风险处置计划及跟踪表》,并提交各级网络系统信息安全管理部门审批。
风险处置责任人应跟踪风险处置计划的执行情况,确保残余风险在可接受风险范围内,并提交各级网络系统安全领导小组审批是否接受残余风险。
如果识别出的风险具有代表性,可考虑在组织范围内进行全面改善。
6、附录 风险评估流程图
第二章 安全事件报告和处置管理制度
1、 目的
为了保证兰州科技职业学院网络畅通,安全运行,保证网络信息安全,形成科学、有效、反应迅速的应急工作机制,贯彻执行《中华人民共和国计算机网络系统安全保护条例》、《中华人民共和国计算机信息网络管理暂行规定》等相关法律法规;落实贯彻公安部门相关网络和信息安全管理的有关文件精神,坚持积极防御、综合防范的方针,本着以防为主、注重应急工作原则,预防和控制风险,在发生信息安全事故或事件时最大程度地减少损失,尽快使网络和系统恢复正常,做好网络和信息安全保障工作,特制定信息安全事件应急处置和报告制度。
2、 适用范围
本预案适用于本单位发生的信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。
3、 安全事件定义
1. 网络突然发生中断,如停电、线路故障、网络通信设备损坏等。
2. 单位内网络设备被非法入侵,设备上的数据被非法拷贝、修改、删除,发生泄密事件。
4、 要求
4.1、 工作原则
预防为主:立足安全防护,加强预警,重点保护基础信息网络和重要网络系统,从预防、监控、应急处理、等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
快速反应:在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,跟踪研判,果断决策,迅速处置,最大程度地减少危害和影响。
分级负责:按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”以及“条块结合,以条为主”的原则,建立和完善安全责任制及联动工作机制。加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
常备不懈:加强技术储备,规范应急处置措施与操作流程,定期进行预案演练,确保应急预案切实有效,实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。
4.2、 组织指挥机构与职责
中心应成立网络安全领导小组(以下简称领导小组),为本单位网络与信息安全应急处置的组织协调机构,负责领导、协调突发事件的应急处置工作。单位网络安全领导小组下设办公室,负责日常工作和综合协调。
4.3、 先期处置
(1)当发生网络与信息安全突发公共事件时,事发部门应做好先期应急处置工作,立即采取措施控制事态,同时向相关上级主管处室通报。
(2)网络与信息安全事件分为四级:特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般(Ⅳ级)。
(3)办公室在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。对Ⅲ级或Ⅳ级的网络与信息安全突发公共事件,由办公室自行负责应急处置工作。对有可能演变为Ⅱ级或Ⅰ级的网络与信息安全突发公共事件,要为领导小组处置工作提出建议方案,并作好启动本预案的各项准备工作。主管处室要根据网络与信息安全突发公共事件发展态势,视情况决定赶赴现场指导、组织派遣应急支援力量,支持事发处室做好应急处置工作。
4.4、 应急处置
4.4.1、 应急指挥
本预案启动后,根据领导小组会议的部署,担任总指挥的领导和参与指挥的领导迅速进入指挥岗位,启动指挥系统。网络安全执行小组负责对发生网络与信息安全突发公共事件的网络与网络系统的现场应急处置工作。
4.4.2、 信息处理
(1)现场信息收集、分析和上报。事发处室应对事件进行动态监测,评估,及时将事件的性质、危害程度和损失情况及处置工作等情况按紧急信息报送的有关规定,及时报领导小组办公室,不得隐瞒、缓报、谎报。
(2)信息处理。领导小组办公室要明确信息采集、编辑、分析、审核、签发的责任人,做好信息分析、报告和发布工作。
(3)信息发布和咨询。当网络与信息安全突发公共事件发生时,领导小组办公室要及时做好信息发布工作。
4.4.3、 应急结束
网络与信息安全突发公共事件经应急处置后,得到有效控制进行收尾处理。
4.5、 后期处置
4.5.1、 善后处置
在应急处置工作结束后,尽快恢复正常工作,查明原因,对事件造成的损失和影响以及恢复重建能力进行分析评估,并将善后处置的有关情况报领导小组办公室。
4.5.2、 调查和评估
在应急处置工作结束后,办公室应立即组织有关人员和专家组成事件调查组,查清事件发生的原因及财产损失状况和总结经验教训,并根据问责制的有关规定,对有关责任人员做出处理。
第三章 应急预案
1、 总则
1.1、 编制目的
为了保证有效防范突发事件对兰州科技职业学院网络与网络安全的影响,增强处置网络故障与网络安全突发事件的能力,形成科学、有效、反应迅速的应急工作机制,及时控制和最大限度地减少突发事件造成的损失,确保重要计算机网络系统安全,根据《中华人民共和国计算机网络系统安全保护条例》、公安部《计算机病毒防治管理办法》和国家质监总局相关规定的要求,结合兰州科技职业学院实际情况,制定本预案。
1.2、 适用范围
本预案所指网络与网络系统是指(兰州科技职业学院单位重要网络系统)(以下简称重要网络系统)。不包括电信基础网络设施。
1.3、 工作原则
以人为本,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,资源整合。
1.4、 分级
本预案所称网络与网络安全突发事件,是指重要党政、社会、业务网络系统突然遭受不可预知外力的破坏、毁损、故障,发生对国家、社会、公众造成或者可能造成重大危害的紧急事件。
1.4.1、 事件分级
根据网络与网络安全突发事件的可控性、严重程度和影响范围,分为三级:一级(重大)、二级(较大)和三级(一般)。网络信息、言论由办公室负责。国家有关法律法规有明确规定的,按国家有关规定执行。
(1)一级(重大)。重要网络与网络系统发生区域性大规模瘫痪,事态发展超出了兰州科技职业学院控制能力,对兰州科技职业学院的业务和办公秩序造成特别严重损害的突发事件。
(2)二级(较大)。某一区域重要网络与网络系统瘫痪,对兰州科技职业学院某一区域的业务和办公秩序造成一定损害,但未超出兰州科技职业学院控制能力的突发事件。
(3)三级(一般)。重要网络与网络系统受到一定程度的损坏,对某一应用系统有一定影响或损害的突发事件。
1.5、 预案演练
建立应急预案演练制度。通过演练,发现应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处理能力。
2、 组织指挥机构与职责
2.1、 组织体系
发生一级、二级、三级网络与网络安全突发事件后,兰州科技职业学院信息化领导小组(以下简称领导小组),为本单位网络与网络安全应急处置的组织协调机构。负责网络与网络安全突发事件的处置、预警与信息通报工作。
2.2、 工作职责
2.2.1、 领导小组职责
发生一级、二级网络与网络安全突发事件后,决定启动本预案,组织应急处置工作。
2.2.2、 领导小组办公室职责
(1)负责处理领导小组的日常工作,检查督促协调小组决定事项落实情况。
(2)研究提出网络与网络安全应急机制建设规划,调查、指导和督促全局网络与网络安全应急机制建设,预案演习、宣传培训,检查落实预案执行情况。
(3)及时收集,分析网络与网络安全突发事件相关信息,并视情况向领导小组提出处置建议。对可能演变为二级(含二级)以上的网络与网络安全突发事件,应及时向领导小组提出启动预案的建议。
(4)发生三级网络与网络安全突发事件后,完成相应处置工作。
(5)负责各单位、部门重要网络系统信息的收集、汇总、分析、研判、报告和向全单位发布预警信息。
3、 信息报告和先期处置
3.1、 信息报送和处理
3.1.1、 事件报告与分级判定
(1)当发生网络与网络安全突发事件时,事发地单位(部门)按紧急信息报送的规定及时向领导小组办公室通报。初次报告最迟不得超过2小时,重大和较大网络与网络安全突发事件实行即时报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
(2)全天候24小时对网络与网络安全突发事件统一管理。
(3)各重要网络系统相关负责人员应确定2个以上的即时联系方式,以保证信息通报和联系渠道畅通。
(4)由领导小组办公室判定事件等级,由领导小组决定是否启动预案。
3.1.2、 先期处置
当发生网络与网络安全突发事件时,事发地单位(部门)应做好先期应急处置工作,立即采取措施控制事态,同时向领导小组办公室通报。
4、 应急处置
4.1、 一级处置
当发生一级网络与网络安全突发事件时,事发单位(部门)应立即采取措施,控制事态,并组织力量进行抢修,同时向领导小组办公室报告。
领导小组办公室接到事件报告后应立即上报信息化领导小组,由领导小组启动预案,并上报总局。
由领导小组立即调动必需的人员、物资、设备,支援应急工作,领导小组办公室将最新进展及情况进行收集、整理、上报。
当发生地震等自然灾害时,应立即对相关人员进行疏散,对受伤人员进行救助,待相对安全时,领导小组办公室应立即组织人员对受损情况进行勘察、分析、评估,将评估结果进行报领导小组,提出应急恢复方案,应急方案经领导小组批准后,立即进行实施。
当发生火灾、爆炸等事件时,应立即疏散相关人员、对受伤人员进行救助,并立即与消防、公安、安全部门联系,待消防、公安、安全部门处理完毕后,立即组织专家对受损情况进行分析、评估、根据评估结果提出应急恢复方案,并将评估结果及应急恢复方案及时上报领导小组,经领导小组批准后立即进行实施。
网络与网络安全突发事件经应急处置得到有效控制后,由领导小组宣布结束应急状态。
4.2、 二级处置
当发生二级网络与网络安全突发事件时,事发单位(部门)应立即采取措施,控制事态,并组织力量进行抢修,同时向领导小组办公室报告。
领导小组办公室接到事件报告后应立即上报信息化领导小组,由领导小组启动预案,决定是否上报总局。
领导小组办公室立即组织专家赶赴事发地,对现场情况进行勘察、评估,做出应急处置,拿出应急恢复方案,经领导小组批准后立即进行实施。由领导小组调动必需的人、财、物以保障应急工作的开展,领导小组办公室将最新进展及情况进行收集、整理、上报。
网络与网络安全突发事件经应急处置得到有效控制后,由领导小组宣布结束应急状态。
4.3、 三级处置
当发生三级网络与网络安全突发事件时,事发单位(部门)应立即采取措施,并组织力量进行抢修,同时向领导小组办公室报告。
领导小组办公室接到事件报告后应立即组织相关技术人员进行故障排除,并记录故障处理情况。领导小组办公室将处理情况及时向领导小组汇报。
5、 各类安全事件应急响应流程
5.1、 链路故障应急响应流程
广域网主、备用线路中断一条后,值班人员应立即启动备用线路接续工作,同时向网络安全负责人报告。
网络安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
如属我方管辖范围,由网络安全工作人员立即予以恢复。
如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
如果主、备用线路同时中断,网络安全相关负责人应在判断故障节点,查明故障原因后,尽快研究恢复措施,并立即向本单位信息化领导小组汇报。
5.2、 硬件设备故障紧急处理流程
设备损坏后,值班人员应立即向网络安全负责人报告。
网络安全相关负责人员立即查明原因。
如果能够自行恢复,应立即用备件替换受损部件。
如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。
如果设备一时不能修复,应向本单位信息化领导小组汇报。
5.3、 系统软件故障应急响应流程
重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于办公室。
一旦软件遭到破坏性攻击,应立即向网络安全负责人报告,并将该系统停止运行。
检查网络系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。
信息化领导小组组长召开小组会议,如认为事态严重,则立即向上级信息化主管部门报告。
5.4、 火灾应急响应流程
当发生火情时,及时向相关负责人报告,根据火情决定是否启动应急预案。
(一)如局部发生火险,火势很小,极易扑灭时,发现人员在及时报警的同时,利用现场器具进行扑救,其它人员到场后,可视情况调集其他部位的灭火器进行扑救。
(二)如火势较大,有可能蔓延时,要立即向公安消防部门报警,同时向领导报告,并通知有关人员启动应急预案,打开消防通道,疏散人员,隔离电源,有关人员接到通知后,各工作小组自动组成,迅速到位,按各自职责展开工作。
报警及扑救组要立即调集所属成员和灭火器具扑救和控制火灾,并随时向指挥部报告火场情况。
疏散组要迅速打开起火部位疏散门组织火场人员按疏散路线撤离至安全地带。
引导组要派出人员车辆到路口迎候消防车等并引导至现场。
在公安消防队到场后,扑救组撤出火场,转为警戒组,协助公安部门作好外围警戒。
医疗救护组根据现场情况做好伤员救治。
5.5、 水灾应急响应流程
日常用水后要关好阀门发现水管、暖气有渗露,要及时与维修部门联系;
一旦发现跑水,第一责任人应及时报告负责人;
在场的其他人员要立即关闭水、暖流气的总阀门,并向领导汇报;
值班人员根据现在情况确定是否需要关闭设备、切断电源;
及时清理室内、外的积水。
5.6、 断电应急响应流程
突发性停电事件:
发生停电故障时,相关设备应急供电由UPS负责。由于电池容量有限,应急供电主要保通讯设备、各类服务器供电。在供电正常后,技术管理人员负责通知内各单位恢复正常操作并上报应急领导小组,同时通知各部门恢复正常工作。
应及时判定故障原因,确定恢复供电时间,并由专人做好故障处理全过程的记录工作。
当确定恢复供电所需时间超过UPS可支持时间时,应立即关闭服务器及各种网络设备。
供电恢复后,应仔细核查设备的运行状态,待全部正常后由应急领导小组发布通知,解除应急状态。
信息化应急领导小组组织专人对电源故障进行登记备案工作。
计划性停电事件:
技术管理处和办公室向本单位各业务部门通报停电区域和停电时间。
应急领导小组负责安排指导各相关部门在停电期间的工作。
供电恢复后,应仔细核查设备的运行状态,确认全部正常后由信息化应急领导小组发布通知,解除应急状态。
5.7、 制冷设备故障应急响应流程
制冷设备损坏后,值班人员应立即向网络安全负责人报告。
如果能够自行恢复,应立即用备件替换受损部件。
如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。 同时监控网络设备的运状况,关闭不重要的设备,避免机房温度过高。
如果设备一时不能修复,应向本单位信息化领导小组汇报。
5.8、 病毒爆发应急响应流程
当发现有计算机被感染上病毒后,应立即向网络安全负责人报告,将该机从网络上隔离开来。
网络安全相关负责人员在接到通报后立即赶到现场。
对该设备的硬盘进行数据备份。
启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
如果现行反病毒软件无法清除该病毒,应立即向本单位网络安全领导小组报告,并迅速联系有关产品商研究解决。
网络安全领导小组组长召开小组会议,如认为事态严重,则立即向上级单位报告。
如果感染病毒的设备是主服务器,经本单位网络安全领导小组同意,应立即告知各下属单位做好相应的清查工作。
病毒爆发事件处理完毕,将计算机重新接入网络;
总结事件处理情况,并提出防范病毒再度爆发的解决方案;
实施必要的安全加固。
5.9、 网络攻击应急响应流程
发现系统服务器被远程控制、植入后门程序,或发现有黑客正在进行攻击时,应立即向网络安全负责人通报情况;
如服务器已被入侵,将被攻击的服务器等设备从网络中隔离出来,保护现场;
网络安全负责人应在接到通知后立即赶到现场,做好必要记录,妥善保存有关记录及日志或审计记录;
由网络安全领导小组对受攻击的网站、业务系统和办公系统进行现场分析,追查攻击源,修改防火墙等设备的安全配置阻断黑客继续入侵。
分析后台数据库操作日志,判断是否发生数据失窃。检查、校验数据的完整性和有效性;
网络安全领导小组提取相关数据样本后,恢复与重建被攻击或破坏的系统。如情节构成违法犯罪的,由公安系统立案侦查;重新将恢复后的服务系统接入网络;
总结事件处理情况,并提出防范再度发生的解决方案;
实施必要的安全加固。
6、 应急保障
6.1、 通信保障
信息网络事件应急领导小组负责建立《信息网络突发事件应急队伍联络名录》,全体人员保证全天24小时电话畅通。
6.2、 装备保障
信息化管理部门负责采购、并指定专人保管和维护核心服务器、网络及安全管理设备机。
6.3、 数据保障
重要网络系统必须有备份系统,并对数据进行每天增量备份和每周全备份。保证重要数据在受到破坏后可紧急恢复。
6.4、 队伍保障
各级信息化管理部门应督促本单位信息化从业人员不断提高自身专业技术水平,确保各岗位人员具备处理或配合第三方运维人员处理突发事件的能力。
7、 预案更新
信息网络事件应急领导小组要结合信息网络发展趋势和经济社会发展状况,依据相关法律法规的制定、修改和完善,结合系统信息网络安全管理工作实际适时修订本预案。
附录
风险评估流程图 .png
上一篇:兰州科技职业学院网络安全管理制度
下一篇:中华人民共和国反电信网络诈骗法