青大附中网络与信息安全应急预案

第一章  总  则

第一条  为进一步做好学校信息系统网络与信息安全事件的应急工作，根据国家关于计算机信息系统安全有关规定，特制定本预案。

第二条  信息系统网络与信息安全事件指危害信息系统系统安全、影响系统正常使用、或系统发生信息泄露的事件。

 

第二章  事件内容与等级划分

第三条  网络与信息安全事件具体内容包括：

（一）系统的文档数据遭到破坏、篡改或窃取。

（二）系统硬件受到破坏性攻击不能正常发挥其部分功能或全部功能。

（三）系统软件受到破坏性攻击不能正常发挥其部分功能或全部功能。

（四）系统软件受到计算机病毒的侵害，局部或全部数据和功能受到损坏，使系统不能工作或工作效率急剧下降。

（五）系统的物理设备被人为毁坏，无法正常工作。

（六）系统受到自然灾害的破坏，如：地震、水灾、火灾、雷电、台风。

（七）系统面临意外停电而又无后备供电措施。

（八）系统的关键岗位人员不能上岗。

第四条  网络与信息安全事件的等级划分

（一）I级（特别重大事件）：指发生严重有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成全校大面积网络与信息系统瘫痪，丧失业务处理能力；发生严重信息内容安全事件和信息破坏事件，学校重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全、社会秩序、公共利益或教育形象造成特别严重损害。

（二）II级（重大事件）：指发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成全校性网络与信息系统瘫痪，业务处理能力受到极大影响；发生信息内容安全事件和信息破坏事件，学校重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全、社会秩序、公共利益或教育形象造成严重损害。

（三）III级（较大事件）：指发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成学校某一区域网络与信息系统瘫痪，对国家安全、社会秩序、公共利益或教育形象造成一定损害。

（四）IV级（一般事件）：指发生有害程序事件、网络攻击事件、设备设施故障、灾害性事件造成学校某一局部网络与信息系统故障等，对学校某些工作造成影响，但并不危及国家安全、社会秩序、公共利益及学校整体工作。

 

第三章  应急处置、事件调查与评估

第五条  网络与信息安全事件的报告

（一）当遇到一般网络与信息安全事件时，发现人应立即报告信息系统所属部门领导。相关领导通知有关人员立即进行处理；如在2个小时内仍然无法解决，应向分管校长汇报。

（二）当遇到较大网络与信息安全事件时，发现人应立即报告信息系统所属部门领导。相关领导组织有关人员到现场处理，并向分管校长报告，协调解决。

（三）当遇到重大和特别重大网络与信息安全事件时，发现人应立即报告分管校长。学校应立即成立应急响应小组，组长由校长担任，分管校长组织有关人员到现场处理，应急响应小组应及时向学校网络安全与信息化工作领导小组汇报事件处理进展情况。

（四）遇到无法与上一级领导取得联系的情况，可越级上报。

第六条  应急响应的成立及相关机构职责

（一）当遇到特别重大及重大网络与信息安全事件时，成立应急响应小组。应急响应小组能快速调动相关资源，协调本单位和相关单位的信息安全专家，防止事件处理的任何环节出现延迟，以最快速度确定故障点，及时排除故障，保证系统正常运行。

（二）应急响应小组由学校网络安全与信息化领导小组统一指导、指挥、协调。

第七条  网络与信息安全事件的处理

（一）信息泄露事件的处理

发现或接到报告后，应在第一时间内组织力量切断信息泄露源头、重新对系统进行风险评估，并及时修补系统安全漏洞，防止重复出现此类事件。

信息泄露事件处置后，安全管理员应做好事件处置相关记录。

（二）安全事件的处理

当发现网络型病毒，造成网络阻塞及网络风暴，影响整个信息系统的正常工作时，要及时升级杀毒软件的病毒库，并针对操作系统、软件漏洞升级安全补丁，进行系统全面的查杀病毒。必要时，切断网络联接，对网络局部进行杀毒，确保局部无病毒后再联通全部网络。当发现网络攻击或其它异常行为时，及时采取封堵可疑IP、关闭相关端口、保护涉密信息等措施。

当发生网络硬件设备、安全设备及服务器故障或损坏情况时，应及时通知设备供应商，在72小时内解决相关问题。

当出现信息系统故障或崩溃情况时，应及时利用备份数据进行恢复，保障网络正常运转。

对于能力范围内不能解决的，应立即邀请具备条件的单位进行技术协助。

对于上述处理过程，应急处置人员要进行详细记录。

第八条  网络与信息安全事件的评估改进

（一）总结与评估

对于产生严重后果的突发事件，应急处置工作结束后，学校应组织有关人员和技术专家组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，形成网络与信息安全事件处理报告。报告内容包括：

（1）问题或故障；

（2）原因分析；

（3）采取的应急措施或应急方案；

（4）结果评价；

（5）建议应采取的后续措施或需进一步考虑的解决方案；

（6）总结经验教训。

事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。

（二）恢复重建

应急处置工作结束后，学校应当尽快协调有关部门或人员制定恢复重建规划并积极开展相关工作，尽快恢复校园网络正常运行。

（三）记录与演练

根据应急处置中暴露的管理、协调和技术问题，改进和完善预案，详细记录审查与改进意见。定期实施针对性演练，总结经验教训，消除隐患。

第四章  应急计划

第九条  学校各部门应针对各类网络与信息安全事件制定行之有效的应急计划。

（一）应急计划应条理清楚、语言简洁、步骤分明、具有强可操作性。

（二）应急计划应有多种备用方案，每种方案均可独立实施，应有各种方案的优先排序。

（三）应急计划应有明确的负责人与各级责任人的职责。

（四）应急计划应便于培训和实施演习。

（五）应急计划简单流程图应公布在显著和方便的位置，以便发生事故时，能迅速、方便地执行。

第十条  应急计划应包括紧急措施、资源备用、恢复过程、演习和应急计划关键信息。具体如下：

（一）紧急措施

制定对各种网络与信息安全事件的响应规程、抢救计划、救护计划和撤离计划，以保护人员生命，降低财产损失。

（二）资源备用

软件资源备用：对每一信息资源需要有足够备份，并将备份存放于免受攻击或受灾害影响的地方。

电源备用：应配置不间断电源，一般不间断电源应可在断电后维持工作二小时以上。应配置备用交流稳压电源。重要系统和大型系统应配备多种供电来源。

经费保障：网络与信息安全事件应急处置专项经费，应列入年度预算，切实予以保障。

重要或大型系统中的关键设备和信息安全产品应采用双机热备份。

对特别重要信息应尽可能采取安全保密的异地备份措施。

（三）恢复过程

首先恢复重要的安全产品，保证系统安全情况下，其次恢复应用系统。

（四）培训和演习

应每年进行应急计划的培训和演习，使每个工作人员熟悉应急知识和在应急计划中应采取的措施和应负的责任，以利于紧急事故出现时能迅速执行应急计划。

（五）应急计划关键信息

应急计划关键信息应张贴在显著和方便的位置，应急计划关键信息包括：火警电话、报警电话、应急负责人电话和住址。

第五章  应急宣传、演练、培训

第十一条  充分利用学校各种传播媒介及有效形式，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。

第十二条  每年至少组织一次对系统用户进行安全应急培训和应急演练，并根据演练结果对应急预案进行评审和修订。

第十三条  发生应急事件并处理完成后，应当对事件进行分析总结，进行风险评估，改进不足，弥补漏洞。

第十四条  各部门应加强对网络与信息安全等方面专业技能的培训，指定专人负责安全技术工作。

第十五条  学校应将网络与信息安全突发事件的应急管理、工作流程等列为学校行政管理干部的培训内容，增强应急处置工作中的组织能力。

第六章  附  则

第十六条  本规定由网络中心负责解释。

第十七条  本规定自发布之日起施行。

青大附中网络中心

2020年9月15日