信息安全应急预案汇总十篇

时间：2022-07-28 04:36:27

信息安全应急预案

信息安全应急预案篇（1）

为科学应对网络与信息安全(以下简称信息安全)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，制定本应急预案。

（二）工作原则

1．统一领导，协同配合。全区信息安全突发事件应急工作由区信息化工作领导组统一领导和协调，相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合，具体实施。

2．明确责任，依法规范。各镇人民政府、各街道办事处、区直各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责，谁运营、谁负责”的原则，实行责任分工制和责任追究制。

3．条块结合，整合资源。充分利用现有信息安全应急支援服务设施，整合我区所属信息安全工作力量。充分依靠省市各有关部门在地方的信息安全工作力量，进一步完善应急响应服务体系，形成区域信息安全保障工作合力。

4．防范为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

（三）适用范围

本预案适用III、IV级应急处理工作和具体响应I、II级应急处理工作。

基础通信网络的应急处理按照信息产业部有关规定实施，区人民政府积极支持和配合。

二、组织机构及职责

（一）应急指挥机构

在区信息化工作领导组的统一领导下，设立区网络与信息安全突发事件专项应急委员会(以下简称区信息安全专项应急委)，为区人民政府处理信息安全突发事件应急工作的综合性议事、协调机构。主要职责是：按照国家、省、市、区信息化工作领导机构的要求开展处置工作；研究决定全区信息安全应急工作的有关重大问题；决定III、IV级信息安全突发事件应急预案的启动，组织力量对III级和IV级突发事件进行处置；统一领导和组织指挥重大信息安全突发事件的应急响应处置工作；区信息化工作领导组交办的事项和法律、法规、规章规定的其他职责。

区信息安全专项应急委由分管信息化工作的副区长任主任，有关单位负责人组成。

区信息安全专项应急委办公室设在区计算机信息中心，其主要职责是：

1．督促落实区信息化工作领导组和区信息安全专项应急委作出的决定和措施；

2．拟订或者组织拟订区人民政府应对信息安全突发事件的工作规划和应急预案，报区人民政府批准后组织实施；

3．督促检查各镇、各街道和区直有关部门信息安全专项应急预案的制订、修订和执行情况，并给予指导；

4．督促检查各镇、各街道和区直有关部门的信息安全突发事件监测、预警工作情况，并给予指导；

5．汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议；

6．监督检查、协调指导各镇、各街道和区直有关部门的信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作；

7．组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划，报区人民政府批准后督促落实；

8．区信息化工作领导组和区信息安全专项应急委交办的其他工作。

（二）区信息安全专项应急委各成员单位的职责

区计算机信息中心：统筹规划建设应急处理技术平台，会同___公安分局、国保大队、区国家保密局等有关单位组织制定全区突发事件应急处理政策文件及技术方案，负责安全事件处理的培训，及时收集、上报和通报突发事件情况，负责向区人民政府报告有关工作情况。

___公安分局：严密监控境内互联网有害信息传播情况，制止互联网上对社会热点和敏感问题的恶意炒作，监测政府网站、新闻网站、门户网站和国家重大活动、会议期间重点网站网络运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为。

国保大队：收集潜在的国外敌人攻击计划和能力信息，依法对间谍组织以及敌对势力、民族分裂势力、势力等内外勾结，利用计算机网络危害国家安全的行为开展各种侦察工作；依法对涉嫌危害国家安全的犯罪进行查处；依法对在计算机网络上窃取国家秘密或制作、传播危害国家安全信息的违法犯罪活动进行查处。

区

财政局：制定经费保障相关政策及方案；保证应急处理体系建设和突发事件应急处理所需经费。区国家保密局：依法组织协调有关部门对计算机网络上泄露和窃取国家秘密的行为进行查处，做好密级鉴定和采取补救措施。

（三）现场应急处理工作组

发生安全事件后，区信息安全专项应急委成立现场应急处理工作组，对计算机系统和网络安全事件的处理提供技术支持和指导，按照正确流程，快速响应，提出事件统计分析报告。

现场应急处理工作组由以下各方面的人员组成：

管理方面包含应急委副主任，以及相关成员单位领导及科室负责人。主要任务是确保安全策略的制定与执行；识别网络与信息系统正常运行的主要威胁；在出现问题时决定所采取行动的先后顺序；做出关键的决定；批准例外的特殊情况等。

技术方面应包含市有关专家、区信息安全有关技术支撑机构技术人员。主要负责从技术方面处理发生问题的系统；检测入侵事件，并采取技术手段来降低损失。

三、预警和预防机制

（一）信息监测及报告

1．公安、国保大队、区计算机信息中心等单位要加强信息安全监测、分析和预警工作，进一步提高信息安全监察执法能力，加大对计算机犯罪的打击力度。

2．建立信息安全事故报告制度。发生信息安全突发事件的单位应当在事件发生后，立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起5小时内将有关材料报至区计算机信息中心。

（二）预警

区计算机信息中心接到信息安全突发事件报告后，在经初步核实后，将有关情况及时向区信息安全专项应急委报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急委的决策实施行动方案，指示和命令。

（三）预警支持系统

区计算机信息中心建立和逐步完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。

（四）预防机制

积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

四、应急处理程序

（一）级别的确定

信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等四项。各参考要素分别说明如下：

（1）信息密级是衡量因信息失窃或泄文秘站:密所造成的信息安全事件中所涉及信息重要程度的要素；

（2）公众影响是衡量信息安全事件所造成负面影响范围和程度的要素；

（3）业务影响是衡量信息安全事件对事发单位正常业务开展所造成负面影响程度的要素；

（4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

信息安全突发事件级别分为四级：一般(IV级)、较大(III级)、重大(II级)和特别重大(I级)。

IV级：区内较大范围出现并可能造成较大损害的信息安全事件。

III级：区属重要部门网络与信息系统、重点网站或者关系到本地区社会事务或经济运行的其他网络与信息系统受到大面积严重冲击。

II级：区属重要部门或局部基础网络、重要信息系统、重点网站瘫痪，导致业务中断，纵向或横向延伸可能造成严重社会影响或较大经济损失。

I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者区直单位多地点或多个基础网络、重要信息系统、重点网站瘫痪，导致业务中断，造成或可能造成严重社会影响或巨大经济损失的信息安全事件。

（二）预案启动

1．发生IV级网络信息安全事件后，区政府启动相应预案，并负责应急处理工作；发生III级网络信息安全事件后，区政府启动相应预案，并由区信息安全专项应急委负责应急处理工作；发生I、II级的信息安全突发事件后，上报市人民政府启动相应预案。

2．区信息安全专项应急委办公室接到报告后，应当立即上报区应急委，并会同相关成员单位尽快组织专家组对突发事件性质、级别及启动预案的时机开展评估，向区应急委提出启动预案的建议，报区人民政府批准。

3．在区人民政府做出启动预案决定后，区信息安全专项应急委立即启动应急处理工作。

（三）现场应急处理

事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。

检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。

抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。

根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。

清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。

（四）报告和总结

回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报市信息化工作领导组备案。（《重大信息安全事件处理结果报告表》见附件三）

（五）应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见，区计算机信息中心组织相关部门及专家组对信息安全事件处置情况进行综合评估，并提出应急行动结束建议，报区人民政府批准。应急行动是否结束，由区人民政府决定。

五、保障措施

（一）技术支撑保障

区计算机信息中心建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

（二）应急队伍保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识。大力发展信息安全服务业，增强社会应急支援能力。

（三）物资条件保障

安排区信息化建设专项资金用于预防或应对信息安全突发事件，提供必要的经费保障，强化信息安全应急处理工作的物资保障条件。

（四）技术储备保障

区计算机

信息中心组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，组织参加省、市相关培训，推广和普及新的应急技术。六、宣传、培训和演习

（一）公众信息交流

区计算机信息中心在应急预案修订、演练的前后，应利用各种新闻媒介开展宣传；不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。

（二）人员培训

为确保信息安全应急预案有效运行，区信息安全专项应急委定期或不定期举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。

（三）应急演习

为提高信息安全突发事件应急响应水平，区信息安全专项应急委办公室定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。

七、监督检查与奖惩

（一）预案执行监督

区信息安全专项应急委办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。

1．发生重大信息安全事件的单位应当按照规定，及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况的，有权直接向区信息安全专项应急委举报。

2．应急行动结束后，区信息安全专项应急委办公室对相关成员单位采取的应急行动的及时性、有效性进行评估。

（二）奖惩与责任

1．对下列情况可以经区信息安全专项应急委办公室评估审核，报区信息安全专项应急委批准后予以奖励：在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。奖励资金由区、镇财政或相关单位提供。

2．在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、渎职行为的，区信息安全专项应急委办公室将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

3．对未及时落实区信息安全专项应急委指令，影响应急行动效果的，按《国务院关于特大安全事故行政责任追究的规定》及有关规定追究相关人员的责任。

八、附则

本预案所称网络与信息安全重大突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本区政府机关网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。信息安全事件的主体是指信息安全事件的制造者或造成信息安全事件的最终原因。信息安全事件的客体是指受信息安全事件影响或发生信息安全事件的计算机系统或网络系统。依据计算机系统和网络系统的特点，信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。

1．本预案通过演习、实践检验，以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势，及时修订和完善；

2．本预案所附的成员、通信地址等发生变化时也应随时修订；

3．本预案由区计算机信息中心会同___公安分局、国保大队、区国家保密局负责修订，经区人民政府常务会议审议批准后实施。

4．本预案修订采取改版或换页的方式进行。

5.本预案由区计算机机信息中心负责解释。

信息安全应急预案篇（2）

中图分类号：G250文献标识码：A文章编号：1003-1588（2015）05-0129-03

1背景

随着图书馆的不断发展，信息化发展的规模也不断扩大，图书馆信息系统成为图书馆业务管理中不可缺少的部分，已逐渐成为图书馆业务稳定运行的有效保障。

图书馆是365天24小时不中断为读者提供服务，信息安全已经成为图书馆正常运行的重大隐患。图书馆网络信息系统任何一个故障的出现，都会使图书馆业务运行受到不同程序的影响，如业务终端用户计算机故障、网络链接中单点故障、楼层支路交换设备故障等；而核心交换机、服务器、数据库等故障会影响到图书馆整个业务的正常运行，严重者可导致图书馆业务整体瘫痪[1]。因此，图书馆网络信息系统应始终把安全性放在首位.建立完善的安全体系，具备周密的应急预案。

2建立完善的安全体系防范策略

2.1架构安全

合理的架构是图书馆业务服务网络安全的前提，网络在总体结构上要减少相互间的依赖和影响。任何一个模块出现故障后，对上/下工序流程不产生严重影响。各子系统可独立运作，各子系统单一升级而不影响到其他子系统的功能。

2.2设备安全

主干网采用光纤双路备份，采用双机冗余式主干交换机，网络核心设备（交换机、服务器等）需采用模块化、支持热插拔设计。主业务应用服务器要双机热备，并采用双网卡接入、服务器集群、RAID等措施。主存储系统需要极高的安全稳定性，具有合理的存储构架和数据重新快速分配能力。在设备的分配上，避免在同一台服务器上部署多种应用。在各楼层设立交换机柜，对重要接入层设备，应考虑必要的网络设备和接入端口的备份手段。中心机房配有24小时双路电源，并配备大功率的UPS电源。另外，为防止外部的攻击和病毒的侵袭，解决业务网与办公网的信息交互问题，要设置高安全区网段，须将业务内部网络与外网分开，在物理上隔离网络，业务终端用户计算机屏蔽USB接口，不配置光驱，并安装网络版的防病毒软件。

2.3软件安全

主要有：①操作系统安全。为确保图书馆的安全，主要服务器尽可能采用企业版Linux操作系统。②数据安全。为保障关键运行数据的存储、管理和备份，要求采用集中与分布方式相结合的数据库系统设计。③应用软件安全。应用软件应具有完善的备份措施，系统故障后，要求及时恢复，确保图书分编数据不丢失，图书借还信息不丢失。④数据库系统安全。主要应用系统中的数据库均采用双机热备共享RAID盘阵的方式，实现双主机同时对外提供服务，盘阵采用了最高等级的RAID5技术，任何一个硬盘故障也不会影响系统，对于核心数据库要求采用本地备份和远程备份相结合的方式。

2.4运维安全

在提高技术系统安全性的同时，还必须提供良好的运行维护，防范由于操作不当、网络管理漏洞、运维措施不完备所造成的网络信息系统异常。在网络信息系统运行中，应对设备、服务、业务等方面的监控和故障报警。通常情况下，设备运用指示灯变成黄色，表示出现故障，应尽快进行检查。

2.5外网文件交互安全

为隔离来自办公外网等的安全风险，图书馆自动化主业务系统专门设置高安全区网段，高安全区网段的文件拷贝通过私有协议或网闸实现，主要用于与办公网络以及其他网络的数据交互的病毒防御。

3制定出一套操作性强、目的明确的应急处理预案

为了及时应对图书馆网络信息系统突发故障和事件，在完善网络信息安全体系建立策略上，在技术上应做好各种预防措施的同时，制定出一套操作性强，在突发事件发生时，能迅速做出响应并快速处理，积极恢复图书馆网络业务系统等全方位的应急体系，即网络信息系统故障应急预案。

著名的墨菲定律指出：凡事只要有可能出错，那就一定会出错[2]。因此对图书馆主信息应用系统，对其部署的机房环境、人员、网络、数据存储、应用系统的主机及数据库情况以及所使用的中间件环境等因素进行全面分析，预测网络信息故障风险点和故障可能造成的危害，确定应急预案，选择处理故障的有效手段。

3.1预案适用情形

图书馆网络信息安全涉及管理与信息技术等方面，图书馆平时要从网络、计算机操作系统、应用业务系统等安全管理规范以及计算机使用人员安全意识等几个方面，做好以下几项工作： ①制定系统规章。②制订培训计划。③加强人员管理。④成立事故应急处理小组。

针对图书馆网络故障对系统的影响程度，当出现以下所列情形之一时，事故处理小组确认已达到预案应急情况，应迅速启动相应的应急处理程序：①网络遭受灾害或病毒大面积攻击而造成图书馆整个业务系统的瘫痪。②网络服务器不明原因宕机，对图书馆业务造成影响范围大，且持续时间长。③网站内容被恶意篡改。④供电系统故障。⑤机房火灾。⑥空调系统及供水系统故障。

3.2预案制定及启动

预案是由图书馆信息安全管理应急处理小组负责制定及审核。小组职责是对图书馆信息网络安全的整体规划、安全应急预案演练及网络与信息系统突发事件的处理，小组组长负责启动应急预案。

针对上述情形，在图书馆网络信息系统运行中可能存在以下问题，技术人员应立即启动以下应急预案。

3.2.1遇到网络遭受病毒大面积攻击而造成图书馆整个业务系统的瘫痪，立即启动以下应急预案。查找受病毒攻击的计算机，并及时从网络上隔离出来，判断病毒的性质，关闭相应的端口；对该机进行数据备份；启用防病毒软件对该机进行杀毒处理，同时对其他机器进行病毒检测软件扫描和清除工作；对被病毒感染的终端电脑进行全面杀毒之后再恢复使用；及时最新病毒攻击信息以及防御方法。

3.2.2遇到网络服务器不明原因宕机，对图书馆业务造成影响范围大，且持续时间长的情况，立即启动以下应急预案：①服务器宕机应急处置措施。图书馆关键应用系统所用的服务器宕机，应立即将网络线路切换到备用服务器上，并立即恢复应用系统正常使用；对宕机服务器进行全面检查，分析是硬件还是软件故障；立即与设备提供商联系，请求派维修人员前来维修；在确实解决问题之后，切换回主服务器，给主机加电；系统启动完毕，检查系统及双机状态；启动数据库；启动应用程序可以正常启动和运行。②网络不明原因中断。属局域网出故障断网后，网络维护人员应立即判断故障节点，及时向信息部负责人报告，查明故障原因，立即恢复。如遇无法恢复，立即进行备件更换或向有关厂商请求支援。属光纤主干出故障，立即向上级报告，并通知维护公司对光纤进行融接，尽快恢复网络功能；属与楼层的上联网线故障，应使用备用或更换新的双绞线连接至故障设备。属网络设备（光模块）故障如路由器、交换机等，应立即用相关备件替换，或与设备提供商联系更换设备，并调试畅通。属网络设备配置文件破坏如路由器、交换机，应迅速用备份配置文件重新复制配置，并调试畅通；如遇无法解决的技术问题，立即向有关厂商请求支援。属运营商管辖范围，立即与运营商维护部门申报故障，请求修复。

3.2.3遇到网站内容被恶意篡改，应参照以下应急预案。切断服务器的网络连接；从备份数据中恢复正确的数据；检查网站源码漏洞，安装网站源码的最新补丁；安装最新的系统补丁并重新配置防火墙，修改管理员密码；查看网络访问日志，分析事件发生原因、源IP地址和操作时间，并做好记录；重新恢复服务器网络连接；向保卫科备案，如造成重大损失或影响恶劣的，通知司法机关寻求法律途径解决。

3.2.4遇到供电系统故障，应参照以下应急预案。当供电系统出现故障，中心机房UPS在尚能维持供电一段时间时，应通知各业务相关部门，迅速将所有运行中的服务器、存储及网络设备等安全关机，防止数据损失。关闭所有服务器时，应遵循如下步骤：先关闭所有应用服务器和数据库服务器，再关闭存储设备。启动所有服务器时，应先打开存储设备，再打开数据库服务器，最后打开应用服务器；确认机房中所有设备安全关机之后，将UPS电源关闭；恢复供电后，重新启动所有设备运行，并把UPS电源打开。

3.2.5遇到机房火灾，应参照以下应急预案。确保人员安全；保护关键设备、数据安全；保护一般设备；机房工作人员立即按响火警警报，不参与灭火的人员迅速从机房离开；人员灭火时要切断所有电源，从消防工具箱中取出消防设备进行灭火。

3.2.6遇到空调系统及供水系统故障，应参照以下应急预案。空调系统及供水系统如有报警信息，应及时查找故障原因，对于不能自行排除的问题，应及时与设备提供商进行联系。如发现有漏水现象应马上关闭进水阀，并对漏水进行处理。当中心机房主空调因故障无法制冷，致使机房内环境温度超过摄氏40度时，打开机房房门，及时报告信息部相关领导请示，获得授权后应按顺序关闭所有服务器及网络设备。

3.3重大事件应急预案

针对发生重大事件导致图书馆网络瘫痪，信息系统无法正常运行，相关服务部门应立即启动以下应急预案：①各部门对读者服务窗口，立即恢复手工操作模式。②网络部门负责立即启动应急服务器系统。③应急系统使用期间，办证处不可对读者进行办理或办退读者借阅证。待系统正常恢复后才可办证或退证。④应急系统使用期间，各图书阅览室对读者只提供图书阅览、还书服务，并采用手工登记服务信息；暂停图书借书服务，待系统正常恢复后才可进行各项业务服务。⑤系统恢复后，网络部门应及时安排人员对读者还书期限信息进行延期处理。

3.4预案处理流程

图书馆网络信息系统预案处理流程见图1。

任何一个预案的落实首先必须得到图书馆领导的重视，各业务部门的积极配合，我们才能做到最佳的处理效果。[1]

4预案培训、演练及改进

图书馆网络信息系统应急预案确定后，应对与预案处置相关的所有人员进行培训，了解安全故障或事件风险点和危害程度，掌握预案应急处置办法，明确预案处理流程预警。图书馆每年要拟订年度应急演练计划，应定期或不定期开展网络信息安全预案演练，明确应急响应相关责任部门和人员的责任，模拟完成安全故障发现、判断、通报、处置、解除等各重要环节应急措施的演练，总结演练情况书面报告。

图书馆网络信息系统每年至少应进行1次应急预案文档的分析、评审，根据演练总结和实际情况，进一步对预案中存在的问题和不足及时补充、完善。

5结语

随着信息技术与图书馆工作结合日益紧密，图书馆业务和服务对信息网络的依赖性越来越高[3]。制定图书馆网络信息应急预案能提高网络与信息系统突发事件的处理能力和速度，建立科学有效的应急工作机制，确保图书馆业务系统安全运行，尽可能减少各种突发事件的危害，保障图书馆网络及信息系统安全稳定地运行。

参考文献：

[1][ZK（#]龚剑国，刘涛.谈医院信息网络应急预案的制定和应用[J].光盘技术，2008（8）：27-28.

信息安全应急预案篇（3）

二、信息网络安全事件定义

1、校园网网站受到黑客攻击，主页被恶意篡改、交互式栏目里发表煽动分裂国家、破坏国家统一和民族团结、社会主义制度；煽动抗拒、破坏宪法和国家法律、行政法规的实施；捏造或者歪曲事实，故意散布谣言，扰乱社会秩序；公然侮辱他人或者捏造事实诽谤他人；宣扬封建迷信、色情、暴力、凶杀、恐怖；发送危害国家安全、宣扬“__功”等及宗教极端势力的信息；破坏社会稳定的信息及损害国家、学校声誉和稳定的谣言。

2、校园网内网络应用服务器被非法入侵，应用服务器上的数据被非法拷贝、修改、删除，发生泄密事件。

3、在校内网站上的内容违反国家的法律法规、侵犯知识产权等，已经造成严重后果。

三、加大培训和宣传力度，加强和完善校园网安全管理，设置专门管理部门，采取统一管理和各部门分级负责的管理体制，落实各部门负责人和直接责任人，签定安全责任书。各部门要建立健全内部安全保障制度，按照“谁主管、谁负责”、“谁主办、谁负责”的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实施办法，加强信息的审查和备案工作，确保网络与信息安全。各部门的负责人为第一责任人，实验室（计算机房）管理人为具体责任人。积极贯彻中共中央《关于严禁用计算机上国际互联网的通知》精神，加强我校校园网络信息安全管理。所有计算机一律不许外接国际互联网，必须做好物理隔离。连接国际互联网的计算机用户绝对不能存储涉及国家秘密、学校内部机密的文件。

四、加强信息审查工作，若发现主页被恶意更改，应立即停止主页服务并恢复正确内容，同时检查分析被更改的原因，在被更改的原因找到并排除之前，不得重新开放主页服务。各级各类服务器提供信息服务，必须事先登记、审批，建立使用规范，落实责任人，并具备相应的安全防范措施(如：日志留存、安全认证、实时监控、防黑客、防病毒等)，加强网络设备日志分析，及时收集信息，排查不安定因素。加强BBS、留言板等交互式栏目的专人管理，交互式栏目内容实行审核制度，未经审核不得，实行版块负责制，由版主负责本版块的信息安全，以预防万一有绕过审核的信息被，若出现未经审核信息情况，应立即关闭信息功能，直至找到原因并排除为止。交互式栏目应具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备条件的电子公告服务立即关闭。对于非法网站要做到：发现一个，禁止一个,并及时向主管领导汇报，杜绝其蔓延。建立有效的网络防病毒工作机制，及时做好防病毒软件的网上升级，保证病毒库的及时更新。

五、网管中心对校园网实施24小时监控，必要时实行远程控制。网络管理人员应定期对校园网的硬件设备进行一次状态检查。对用户上网实行实时监控，若发现有异常行为应立即关闭该用户的网络连接，及时记录在案，并对其警告和批评教育，严重违法行为立即上报有关部门。所有服务器的相关责任人要做到天天检查，认真做好检查记录，了解服务器的服务水平，对异常现象和事故及时处理并做好记录。

六、加强突发事件的快速反应。网管中心作为校园网的管理部门，要有严格的网络信息监管，有必要对所有用户输入而且有可能显示给其他用户的信息进行内容检测和严格过滤。网络管理员具体负责相应的网络安全和信息安全工作，不允许有任何触犯国家网络管理条例的网络信息，对突发的信息网络安全事件应做到：

（1）及时发现、及时报告，在发现后及时向上一级领导或部门报告。

（2）保护现场，立即与网络隔离，防止影响扩大。

（3）及时取证，分析、查找原因。

（4）消除有害信息，防止进一步传播，将事件的影响降到最低。

（5）在处置有害信息的过程中，任何单位和个人不得保留、贮存、散布、传播所发现的有害信息。

（6）追究相关责任。根据实际情况提出口头警告、书面警告、停止使用网络，情节严重和后果影响较大者，提交学校及国家司法

机关处理，追究部门负责人和直接责任人的行政或法律责任。

七、及时整顿，加强防范。各单位要积极配合上级网络安全管理部门的例行检查，并接受其技术指导。针对网络存在的安全隐患和出现的问题，及时提出整治方案并具体落实到位，完善网络安全机制，防范网络安全事件再度发生。逐步建立网络信息安全管理长效工作机制，实现校园信息安全管理，创造良好的网络环境。

八、在重要、敏感时期，加大网络安全教育宣传力度，加强青少年学生的法律意识和安全意识教育，提高其安全意识和防范能力；开展安全文明上网的教育引导工作，净化校园网网上环境，及时收集信息，排查不安定因素；坚持24小时值班制度，开通值班电话，保证与上级主管部门、电信部门和当地公安机关的热线联系，积极做好预防工作，发现问题及时处理，防患于未然。

九、做好机房及户外网络设备的防火、防盗窃、防雷击、防鼠害等工作。若发生事故，应立即组织人员自救，并报警。

计算机网络突发事件应急预案

为妥善应对和处置校园计算机网络突发事件，维护学校正常的教学秩序和营造健康向上的网络环境，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》、教育部《关于开展高校上网场所清理整顿工作，进一步加强校园网管理的紧急通知》、《关于开展全省校园网络安全检查工作的通知》教育局《关于加强规范我市校园网计算机信息系统安全保护工作的通知》等有关法规文件精神，结合学校实际情况，特制定本应急预案。

一、指导思想

以维护学校正常的教学秩序和营造绿色健康的网络环境为中心，按照“预防为主，积极处置”的原则，进一步完善学校校园网络管理机制，提高突发事件的应急处置能力。

二、组织领导

成立计算机信息系统安全保护工作领导小组

组长：薛洪全

副组长：王金玉

成员：张晓刚张昆山杨晓丽

三、安全保护工作职能部门

1.由新闻信息中心负责日常工作，负责人：孙立梁

2.工作人员：张晓刚李刚尚桂田

四、应急措施

1.由新闻信息中心牵头，全校各部门负责实施。

2.各部门要加强对本部门教职工和学生进行及时、全面地教育和引导，提高安全防范意识。

3.各部门网站配备信息审核员和安全管理人员，严格执行学校计算机网络安全管理制度（见附件），规范电子阅览室、计算机机房等上网场所的管理，落实实名上网登记制度和日志留存。

4.各部门建立健全重要数据及时备份和灾难性数据恢复机制。

5.采取多层次的有害信息、恶意攻击防范与处理措施。各部门信息员、同学录及BBS管理人员为第一层防线，发现有害信息保留原始数据后及时删除；新闻信息中心为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息在及时处理的同时向党委汇报，校计算机网络安全保护工作职能部门还应向公安网监部门报告。

6.周六、周日学校安排值班人员。节假日、举行重大活动和发生重大事件时，学校安排专人24小时对整个校园网的运行进行监控并及时删除各类有害信息。

7.切实做好计算机网络设备的防雷、防盗和防信号非法接入。若有以上情况发生，在向党委及时报告的同时，校计算机网络安全保护工作职能部门还应向公安网监部门报告。

以上措施请各部门遵照执行，相关制度见附件。(校园网络安全管理制度；安全教育和培训制度；违法犯罪案件和事故、病毒、有害信息的报告、协查制度；信息内容审核制度；帐号使用登记和操作权限管理制度；网络安全技术措施；网络机房管理制度；计算机病毒和网络安全漏洞检测制度；学校计算机网络安全管理备案制度)

单位自行应急处理措施指南

1、网站、网页出现非法言论事件紧急处置措施

(1)网站、网页由主办部门的值班人员负责随时密切监视信息内容。

(2)发现在网上出现非法信息时，值班人员应立即向本单位信息安全负责人通报情况；

情况紧急的，应先及时采取删除等处理措施，再按程序报告。：

(3)信息安全相关负责人应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。

(4)追查非法信息来源，并将有关情况向本单位网络领导小组汇报。

(5)信息化领导小组组长召开小组会议，如认为事态严重，则立即向县人民政府信息化主管部门和公安部门报警。

2、黑客攻击事件紧急处置措施

(1)当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向信息安全负责人通报情况。’

(2)信息安全相关负责人应在接到通知后立即赶到现场，并首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位信息化领导小组汇报。

(3)对现场进行分析，并写出分析报告存档，必要时上报主管部门。

(4)恢复与重建被攻击或破坏系统

(5)信息化领导小组组长召开小组会议，如认为事态严重，则立即向市人民政府信息化主管部门和公安部门报警。

3、病毒事件紧急处置措施

(1)当发现有计算机被感染上病毒后，应立即向信息安全负责人报告，将该机从网络上隔离开来。

(2)信息安全相关负责人员在接到通报后立即赶到现场。

(3)对该设备的硬盘进行数据备份。

(4)启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

(5)如果现行反病毒软件无法清除该病毒，应立即向本单位信息化领导小组报告，并迅速联系有关产品商研究解决。

(6)信息化领导小组经会商，认为情况严重的，应立即县人民政府信息化主管部门和公安部门报警。

(7)如果感染病毒的设备是主服务器，经本单位信息化领导小组同意，应立即告知各下属单位做好相应的清查工作。

4、软件系统遭破坏性攻击的紧急处置措施

(1)重要的软件系统平时必须存有备份，与软件系统相对应的数据必

须按本单位容灾备份规定的间隔按时进行备份，并将它们保存于安全处。(2)一旦软件遭到破坏性攻击，应立即向信息安全负责人报告，并将该系统停止运行。．

(3)检查信息系统的日志等资料，确定攻击来源，并将有关情况向本单位信息化领导小组汇报，再恢复软件系统和数据。

(4)信息化领导小组组长召开小组会议，如认为事态严重，则立即向县政府信息化主管部门和公安部门报警。

5、数据库安全紧急处置措施

(1)在有条件的地区，主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

(2)一旦数据库崩溃，值班人员应立即启动备用系统，并向信息安全负责人报告。

(3)在备用系统运行期间；信息安全工作人员应对主机系统进行维修并作数据恢复。

(4)如果两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。

6、广域网外部线路中断紧急处置措施

(1)广域网主、备用线路中断一条后，值班人员应立即启动备用线路接续工作，同时向信息安全负责人报告。

(2)信息安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。

(3)如属我方管辖范围，由信息安全工作人员立即予以恢复。

(4)如属电信部门管辖范围，立即与电信维护部门联系，要求修复。

(5)如果主、备用线路同时中断，信息安全相关负责人应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向本单位信息化领导小组汇报。

(6)如有必要，应向县人民政府信息化主管部门汇报。

7、局域网中断紧急处置措施

(1)设备管理部门平时应准备好网络备用设备，存放在指定的位置。

(2)局域网中断后，信息安全相关负责人员应立即判断故节点，查明故障原因，并向网络安全组组长汇报。

(3)如属线路故障，应重新安装线路。

(4)如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

(5)如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

(6)如有必要，应向县人民政府信息化主管部门汇报。

8、设备安全紧急处置措施

(1)小型机：服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告。

(2)信息安全相关负责人员立即查明原因。

信息安全应急预案篇（4）

通常将在一定条件下，一定的时间段内的网络连通速率以及满足通信需求的能力，称作计算机网络的可靠性，其标志着计算机网络拓扑结构的扩容量的大小，网络拓扑结构对于满足计算机网络的正常运行具有重要的意义。

1.2计算机网络可靠性的设计

由于相关的科研人员针对于计算机网络可靠性方面的设计积累了很多实际的设计经验及原则，因此在落实计算机网络可靠性的设计技术方案过程中，起到了很好的规范和指导的作用，使网络可靠性的建设更为快捷。

1.3优化计算机网络可靠性

设立完善的计算机网络应急机构，并同时制定合理的应急预案,针对问题实时解决。

2网络应急预案的理论基础与价值目标

2.1网络应急预案的理论基础

（1）基础。中国的《宪法》第67条第20项全国人民代表大会常务委员会行使决定全国或者个别省，自治区，直辖市的国家紧急权力；第80条规定了全国人民代表大会和全国人民代表大会常务委员会的决定，宣布进入紧急状态。这充分说明了紧急状态下政府权力出现来源必须有法律依据。（2）社会连带责任思想。提倡社会各方面参与网络应急响应系统的实施。首先，在各方面都需要网络技术支持的今天，需要加强社会网络现有空间群众之间的联系、合作和责任，这是新时期新出现在网络信息安全的“文化理念”。这个“文化观”的思考，有必要根据在全球信息化网络安全性进行设立，其中相关人员应当履行网络安全责任，增强网络安全意识，及时的对事件所造成的问题作出反应，不定期评估网络应用可能出现的安全风险。其次网络突发事件，社会成员各方面的合作。面对当前复杂多变的网络应用现状，政府需要有各方面的机构和人员的积极参与。（3）权利平衡理念。通过实施本规定紧急状态下的应急预案应遵循的基本原则和基本条件,以及各种相应的监督程序，以防止政府滥用紧急权力的过程中，保障最小的民事权利。

2.2网络应急预案的价值目标

（1）安全价值。安全价值是网络安全应急响应计划所追求的最高价值目标，也是可靠性网络安全的主要内容。随着网络技术的不断发展，关键基础设施更加依赖于一个复杂的网络空间，它是基础设施的大脑神经系统，是一个国家的具体和重要的控制系统。一旦网络空间出现突发事件，会威胁到社会的整体安全，后果是极其严重的。网络技术革命促进经济的发展，但也被部分网络风险问题淹没，网络系统的脆弱性使得网络应用存在严重的危险。数据显示，金融业在网络关闭2天，遭受的直接损失高达成交额的50%，超过2周恢复正常的网络应用，75%公司的具体业务将停止，43%公司将不再能开业。（2）经济价值。网络应急计划的实质是对网络的应急反应，有效地处理应急事件，该事件可能造成的危害最小，同时也保护了人民的合法权益。必须提到，这里的效率价值主要是在紧急情况下，时间效率而不是金钱效率，因为网络上，这是难以用金钱来衡量的损失。

3编制实用、可操作应急预案

3.1目标

编制目标一是要符合国家关于网络和信息安全工作的相关要求，内容力求全面和规范。二是要求应急预案的结构设计合理，针对不同的应急人员和系统，所使用的应急预案都有与其相对应的内容。三是要从实际情况出发，具有较强的实用性及可操作性。四是应急预案体系中所包含的各部分密切衔接、协调一致。

3.2总体规划

应急预案的制定要以实际情况为依据，避免生搬硬套这种形式主义问题。各部门应清晰职责，在突发事件出现时，以国家制定的信息安全应急预案体系理论为指导，综合考虑业务及技术部门的相关职责，确保应急响应人员能够借助应急预案准确、迅速地作出反应。在编制应急措施时，大致可以分为3个阶段。（1）根据技术能力的现有情况，分析具体问题，直接套用已有预案，结合实际的信息化建设情况，制定既全面又规范的应急草案；（2）根据本单位信息化建设的实际状况进行整理，规划应急方案内容中应加入的重要信息系统；（3）根据重要信息系统的应急工作的需求，进而对整个应急方案进行优化，提炼精华信息，并细化具体方向，主要分为2个方面，其一为对于管理层面的紧急的操作措施；其二是针对于具体问题的应急处理以及对于部分重要的信息系统应急响应的应急预案，最终形成一个完整的应急预案体系。

3.3预案的编制

3.3.1编制准备

（1）调研信息系统状况。全面调查本部门、本单位信息系统状况，重点了解安全等级、承载业务的重要程度、受众规模，分析、梳理形成本部门、本单位重要信息系统目录。（2）开展风险分析。对重要信息系统进行风险评估，查找安全风险，分析可能出现的安全事件，并对安全事件及次生、衍生安全事件可能造成的后果进行预测。（3）明确相关人员。对照《信息安全事件分类分级指南》，对可能产生IV级以上（含）安全事件的信息系统，确定响应与处置安全事件的指挥机构、办事机构、责任处室、责任人员，确定技术专家、专业技术机构等技术支撑队伍。（4）应急保障能力评估。对本部门、本单位应急装备、技术支援能力等应急处置能力进行客观评价。（5）资料收集。搜集相关资料为编制应急预案做好准备，主要参考资料有：①相关法律、法规、行业规范、技术规范、标准等；②重要信息系统的技术资料（如网络拓扑图、信息系统结构、已有安全设备使用说明等）；③借鉴国内外相关安全事件案例分析、教训和处置经验。

3.3.2编制与管理

信息安全应急预案篇（5）

中图分类号： C93 文献标识码： A

1.引言

随着计算机互联网风险的增加以及越来越多的信息盗取行为曝光，保障档案信息的安全受到越来越多的重视，相关部门也都做出了响应。但是各个具体的档案信息管理部门也需要形成自身的应急预案。因为政府部门的保护条例与总体预案只能起到指导与标杆作用，具体在突发事件发生的时候，还是需要各独立部门进行自身的档案信息安全管理。基于此，建立档案信息安全应急响应机制来降低与防范档案信息系统在运行或业务处理过程中遇到的风险，减少不必要的损失很有必要。

但是目前我国的档案信息安全应急响应机制尚不健全。有些省份即使是建立了响应预案也没有在突发事件发生时进行主动的响应。

本文作者将针对应急响应机制的重要性进行阐述并提出建立应急响应机制的三大步骤，以促进档案信息安全应急响应的更好建立。

2.档案信息安全应急响应机制的重要性

目前我国大部分职能部门，包括高校、医院、政府机关等在内的公共服务部门都已经建立了档案信息数据化管理。通过数据化管理可以减少档案管理的工作量，加强各种信息之间的联系与共享，实现一体化管理。但是随之而来的是数据化管理的风险增加。由于各个数据之间存在着联系，因此一旦获取某一个信息单位，就可以根据信息之间的关联获取更多的甚至时全部信息。由此可见，建立档案信息安全应急响应机制亟不可待。

2.1保障档案信息安全

建立应急机制可以在安全事故发生时，做出自主响应，抓住应急的最佳时机，避免被动防御。其次，完善的应急响应机制具有风险预测功能，一旦检测到可能发生的风险，就可自动进行防御阻止，防止产生进一步的危害。所以，建立档案信息安全应急响应机制对于保护档案信息安全尤为重要[1]。

2.2减少经济损失

档案运行与操作过程中遇到的风险最终都会导致或多或少的损失，最为突出的是经济损失。不法分子盗取档案信息进行欺骗、诈骗等违法活动，甚至是威胁，最终导致财产损失。更有甚者，盗取信息然后转售给违法组织，危害社会公共安全，造成经济损失。

为了提高档案信息安全度，提高公民对于信息的信赖度，加强档案信息安全应急机制必不可少。

3. 如何建立档案信息安全应急响应机制

建立档案信息安全应急响应机制需要组织、技术与人员各方面资源的配合与调动。下面作者将对如何建立应急响应机制做简要探讨。

3.1建立明确的组织管理系统

合理的应急响应机制首要任务是形成一支突发事件应急处理队伍，建立由主要负责人与主要工作人员构成的工作队伍。一般是由单位的主要领导担任应急小组组长，负责全方位的档案信息应急管理，统一协调工作，并在紧要关头部署任务。此外，主要领导人还要担当监督控制工作，以敦促各部门日常的危机预警与危机意识。在危机发生时，尤其时特大紧急案件发生时，启动应急响应机制，并向上级部门与其他协作部门报告危机。在危机处理后，评估此次的应急处理行为，总结经验教训。在日常工作中，定期进行应急演练，敦促与审议管理条例，提高全体人员的安全意识。

各应急小组组长要承担起信息安全应急响应的主要责任，各工作人员积极配合工作部署，履行自身职责，增强信息安全意识，进行档案信息安全防御与处理。

3.2确立安全警报分级系统

我国颁布了统一的安全事件分级原则《信息安全技术信息安全事件分类分级指南（GB/Z20986-2007）》，根据影响因素将安全事件分为不同级别。该分级指南针对安全事件的定性与升级要求也提出了具体的指导办法。在连带安全事件发生时，一般按照较高级别的安全事件进行定级，当安全事件处理过程中事态升级时，若达到上一级标准，也可升级为上一级的安全事故。根据事件的影响程度，安全事故的级别主要分为四级：预警预报事件为第四级（最低），一般突发事件、重大突发事件与特大突发事件依次为第三级、第二级与第一级。我们可以看出，不同级别的安全事件影响范围、影响程度、潜在损失不同，需要区别对待[2]。

各单位应在此指南的指导下确立具体安全事件属于哪一级，采取怎样的应急响应措施。通过明确的分级系统，可区别对待不同的紧急事件。应急小组应该商讨出针对不同事件不同的处理方案，在进行安全事件通报时也应该首先通报事件级别，避免由于对事态认识不够所导致的不必要的混乱与损失。

3.3预防与事后处理相结合

完整的信息安全应急机制应该是从防御到事中处理再到事后总结全面处理的系统体系。目前我国的信息安全事件处理手段主要有边界防护、病毒安全防范、软件系统安全防范、数据安全防范等。各单位应该通过建立防火墙与病毒软件相结合的危机防御系统，通过使用正版授权软件系统与安全系数较高的计算机达到硬件与软件两手结合的防御机制。

在事件处理过程中，应该根据事件危险级别采取相应的措施，并利用好相关设备，沉着应对，做好数据备份。应急工作应该实行一盘棋战略，按规定、按流程有序进行，采取责任分工的办法，将责任落实到个人，提高处理效率。

事后及时总结危机事件应对的经验，进行自我评估与自我总结。应急领导小组需要建立安全事件处理数据库，为后续的类似事件提供经验，降低应急成本。对于事件中受到损坏的设备，及时进行修复，防止次生危害。

4.结语

档案信息处理的数字化为档案信息的管理带来了巨大方便，降低了管理成本，增强了数据的可调动性，但是与此同时也降低了数据的自我保护功能。企图不良者只需要远程操作，动动手指就可盗取信息，并获取关联信息，导致全盘瘫痪。因此，建立档案信息安全应急响应机制被提到了更加重要的位置，对于加强信息的安全度，减少经济损失，提高公民对信息管理部门的信赖度具有十分显著的意义。本文作者主要从建立应急处理领导小组、确定安全事件分级系统、全面防御与事后处理系统三方面阐述了如何建立档案信息安全应急响应机制。只有通过不同级别的有区别的应急机制以及一盘棋式的处理方式，才能实现真正意义上的信息安全防御与保障。

信息安全应急预案篇（6）

一、组织指挥机构与职责

（一）组织体系

成立网络与信息安全领导小组，组长由分管副局长担任（特殊情况由局长担任），成员包括：各股室负责人及联络员等。

（二）工作职责

1．研究制订我局网络与信息安全应急处置工作的规划、计划和政策，协调推进我局网络与信息安全应急机制和工作体系建设。

2．研究提出网络与信息安全应急机制建设规划，检查、指导和督促网络与信息安全应急机制建设。指导督促重要信息系统应急预案的修订和完善，检查落实预案执行情况。

3．指导应对网络与信息安全突发事件的科学研究、宣传培训，督促应急保障体系建设。

4．及时收集网络与信息安全突发事件相关信息，分析重要信息并提出处置建议。及时向局领导提出启动本预案的建议。

5．负责参与重要信息的研判、网络与信息安全突发事件的调查和总结评估工作，进行应急处置工作。

二、工作原则

（一）居安思危，预防为主。立足安全防护，加强预警，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。

（二）提高素质，快速反应。加强网络安全风险科学研究和技术开发，采用先进的监测、预测、预警、预防和应急处置技术及设施，充分发挥专业人员的作用，在网络安全风险发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。

（三）加强管理，强化责任。建立和完善安全责任制及联动工作机制。加强与相关部门间协调与配合，形成合力，共同履行应急处置工作的管理职责。

三、网络安全风险防范工作流程

（一）信息监测与报告

要进一步完善网络安全风险突发事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对涉军领域网络安全风险的有关信息的收集、分析判断和持续监测。当发生网络安全风险突发事件时，在按规定向有关部门报告的同时，按紧急信息报送的规定及时向局领导汇报。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（二）预警处理与预警

1．对于可能发生或已经发生的网络安全风险突发事件，系统管理员应立即采取措施控制事态，并第一时间进行风险评估，判定事件等级并预警。必要时应启动相应的预案，同时向信息安全领导小组汇报。

2．领导小组接到汇报后应立即查明事件状态及原因，技术人员应及时对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全警报级别。

（三）风险处置

信息安全应急预案篇（7）

一、充分认识安全生产应急管理工作的重要性

事故灾难是突发公共事件的重要方面，安全生产应急管理是安全生产工作的重要组成部分。全面做好安全生产应急管理工作，提高事故防范和应急处置能力，尽可能避免和减少事故造成的伤亡和损失，是坚持"以人为本"、贯彻落实科学发展观的必然要求，也是维护广大人民群众的根本利益、构建社会主义和谐社会的具体体现。

在党中央、国务院的高度重视和正确领导下，在各地区、各部门、各单位和社会各界的共同努力下，全国安全生产形势呈现了总体稳定、趋于好转的态势，但是事故伤亡总量大、重特大事故频发、职业危害严重，安全生产形势依然严峻。目前，我国正处在工业化加速发展阶段，社会生产活动和经济规模的迅速扩大与安全生产基础薄弱的矛盾突出，处于安全生产事故的"易发期"，加强安全生产应急管理工作显得尤为重要和迫切。我国安全生产应急管理工作尽管取得了一定成绩，但在体制、机制、法制和应急救援队伍及应急能力建设等方面，还存在许多不适应的问题，必须引起高度重视，采取切实措施，认真加以解决。各级安全监管部门、煤矿安全监察机构和其他有安全监管职责的部门及各类生产经营单位，要切实统一思想，提高认识，加大力度，把安全生产应急管理工作抓紧、抓细、抓实、抓好。

二、指导思想和工作目标

指导思想：以邓小平理论和"*"重要思想为指导，坚持"以人为本"，全面落实科学发展观和构建社会主义和谐社会的战略思想，坚持"安全发展"的指导原则和"安全第一、预防为主、综合治理"的方针，全面落实《国民经济和社会发展第十一个五年规划纲要》、《国家突发公共事件总体应急预案》、《安全生产"*"规划》和国家安全生产事故灾难有关应急预案，推动"一案三制"（预案、体制、机制和法制）及应急管理体系、队伍、装备建设，切实提高预防和处置安全生产事故灾难的能力，最大限度地减少人员伤亡和财产损失，促进全国安全生产形势进一步好转。

工作目标：在"*"期间，落实和完善安全生产应急预案，到20*年底形成覆盖各地区、各部门、各生产经营单位"横向到边、纵向到底"的预案体系；建立健全统一管理、分级负责、条块结合、属地为主的安全生产应急管理体制和国家、省（区、市）、市（地）三级安全生产应急救援指挥机构及区域、骨干、专业应急救援队伍体系；建立健全安全生产应急管理的法律法规和标准体系；依靠科技进步，建设安全生产应急信息系统和应急救援支撑保障体系；形成统一指挥、反应灵敏、协调有序、运转高效的安全生产应急管理机制和政府统一领导，部门协调配合，企业自主到位，社会共同参与的安全生产应急管理工作格局。

三、完善安全生产应急预案体系

各级安全监管部门及其他有安全监管职责的部门要在政府的统一领导下，根据国家安全生产事故有关应急预案，分门别类制修订本地区、本部门、本行业和领域的各类安全生产应急预案。各生产经营单位要按照《生产经营单位安全生产事故应急预案编制导则》，制订应急预案，建立健全包括集团公司（总公司）、子公司或分公司、基层单位以及关键工作岗位在内的应急预案体系，并与政府及有关部门的应急预案相互衔接。

加强安全生产事故应急预案管理。地方政府有关部门制定的有关安全生产事故应急预案要报上一级人民政府有关部门和安全监管部门备案。生产经营单位的安全生产事故应急预案，要报所在地县级以上人民政府安全生产监督管理部门和有关主管部门备案，并告知相关单位。中央管理企业的安全生产事故应急预案，应按属地管理的原则，报所在地的省（区、市）和市（地）人民政府安全生产监督管理部门和有关主管部门备案；中央管理企业总部的安全生产事故应急预案报国家安全监管总局和有关主管部门备案。各级安全监管部门要把安全生产事故应急预案的编制、备案、审查、演练等作为安全生产监督、监察工作的重要内容，通过应急预案的备案、审查和演练，提高应急预案的质量，做到相关预案相互衔接，增强应急预案的科学性、针对性、实效性和可操作性。依据有关法律、法规和国家标准、行业标准的修改变动情况，以及生产经营单位生产条件的变化情况、预案演练过程中发现的问题和预案演练的总结等，及时对应急预案予以修订。

生产经营单位要积极组织应急预案的演练，高危企业每年至少要组织一次应急预案的演练。各级安全监管部门要协调有关部门，每年组织一次高危企业、部门、地方的联合演练。通过演练，检验预案、锻炼队伍、教育公众、提高能力，促进企业应急预案与政府、部门应急预案的衔接和对应急预案的不断完善。

四、健全和完善安全生产应急管理体制和机制

落实《国民经济和社会发展第十一个五年规划纲要》确定的关于安全生产应急救援体系建设重点工程。各级安全监管部门都要明确应急管理机构，落实应急管理职责。到20*年，完成省、市两级安全生产应急救援指挥机构的建设；应急救援任务重、重大危险源较多的县也要根据需要建立安全生产应急救援指挥机构。做到安全生产应急管理指挥工作机构、职责、编制、人员、经费五落实。

理顺各级安全生产应急管理机构与安全生产应急救援指挥机构、安全生产应急救援指挥机构与各专业应急救援指挥机构的工作关系。对于隶属于省级煤矿安全监察机构的矿山应急救援指挥机构，各省级安全监管部门要与省级煤矿安全监察机构共同协商，完善体制、建立机制、理顺关系，做好工作。

加强各地区、各有关部门安全生产应急管理机构间的协调联动，积极推进资源整合和信息共享，形成统一指挥、相互支持、密切配合、协同应对事故灾难的合力。要发挥各级政府安全生产委员会及其办公室在安全生产应急管理方面的协调作用，建立安全生产应急管理工作的协调机制。

五、加强安全生产应急队伍和能力建设

依据全国安全生产应急救援体系总体规划，依托大中型企业和社会救援力量，优化、整合各类应急救援资源，建设国家、区域、骨干专业应急救援队伍。加强生产经营单位的应急能力建设。尽快形成以企业应急救援力量为基础，以部级区域专业应急救援基地和地方骨干专业队伍为中坚力量，以应急救援志愿者等社会救援力量为补充的安全生产应急救援队伍体系。各地区、各部门要编制本地区、本行业安全生产应急救援体系建设规划，并纳入本地区、本部门经济和社会发展"*"规划之中，确保顺利实施。

各类生产经营单位要按照安全生产法律法规要求，建立安全生产应急救援组织。大中型矿山、建筑施工单位和危险物品的生产、经营、储存单位，以及具有重大危险源的生产经营单位应当建立专职安全生产应急救援队伍。其他小型高危险生产经营单位没有建立专职安全生产应急救援队伍的，要指定兼职应急救援人员，并与专业安全生产事故应急救援队伍签订应急救援协议。其他生产经营单位应根据预案实施的需要，建立必要的应急救援指挥机构和专兼职的应急救援队伍。

统筹规划，建设具备风险分析、监测监控、预测预警、信息报告、数据查询、辅助决策、应急指挥和总结评估等功能的国家、省（区、市）、市（地）安全生产应急信息系统，实现各级安全生产应急指挥机构与相关专业应急指挥机构、部级区域应急救援（医疗救护）基地以及骨干应急救援（医疗救护）机构间的信息共享。应急信息系统建设要结合实际，依托和利用安全生产通信信息系统和有关办公信息系统资源，规范技术标准，实现互联互通和信息共享，避免重复建设。

高度重视应急管理和应急救援队伍的自身建设，建设一支政治坚定、作风过硬、业务精通、装备精良、纪律严明的安全生产应急管理和应急救援队伍。加强思想作风建设，强化忧患意识、执行意识、服务意识、奉献意识，养成勤勉敬业、雷厉风行、尊重科学、敢打硬仗的作风。加强业务建设，强化教育、培训与训练，提高管理水平和实战能力。建立激励和约束机制，对在安全生产事故应急救援工作中做出突出贡献的单位和个人，要给予表彰和奖励。

六、建立健全安全生产应急管理法律法规及标准体系

加强安全生产应急管理的法制建设，逐步形成规范的安全生产事故灾难预防和应急处置工作的法律法规和标准体系。认真贯彻《安全生产法》和即将出台的《突发公共事件应对法》，认真执行国务院《关于全面加强应急管理工作的意见》和《国家突发公共事件总体应急预案》，抓紧做好《安全生产应急管理条例》的立法准备工作和公布后的具体实施工作。要抓紧研究制定安全生产应急预案管理、救援资源管理、信息管理、队伍建设、培训教育等配套规章规程和标准，尽快形成安全生产应急管理的法规标准体系。

各地区、各有关部门要依据有关法律、法规和标准，结合实际制定并完善安全生产应急管理的地方和部门法规规章及标准。生产经营单位要建立和完善内部应急管理的规章制度。

七、坚持预防为主、防救结合，做好事故防范工作

切实加强风险管理、重大危险源管理与监控，做好事故隐患的排查整改工作。建立预警制度，加强事故灾难预测预警工作，要定期对重大危险源和重点部位进行分析和评估，对可能导致安全生产事故的信息要及时进行预警。

充分发挥安全生产应急救援队伍的作用，坚持"险时搞救援，平时搞防范"的原则，建立应急救援队伍参与事故预防和隐患排查整改的工作机制。组织矿山、危险化学品及其他相关救援队伍参与企业的安全检查、隐患排查、事故调查、危险源监控以及应急知识培训等工作。部级区域救援基地和骨干救援队伍要发挥辐射带动作用，根据自身特点和优势，广泛开展技术业务咨询和服务，帮助企业特别是中小企业做好相关工作。

以生产经营单位、社区和乡镇为重点加强基层和现场的应急管理工作。从建立健全应急预案、建立救援队伍、加大应急投入、完善救援保障、普及应急知识等方面入手，将各项工作落实到各环节、各岗位，全面加强基层安全生产应急管理工作，提高第一时间的应急处置水平和能力。

八、做好安全生产事故救援工作

按照国务院办公厅加强和改进突发公共事件信息报告工作的要求，做好信息报告等工作。对重特大事故灾难信息、可能导致重特大事故的险情，或者其他灾害和灾难可能导致重特大安全生产事故灾难的重要信息，各级安全监管部门、其他有关部门和各生产经营单位要及时上报并密切关注事态发展，做好应急准备和处置工作。

发生事故的单位要立即启动应急预案，组织现场抢救，控制险情，减少损失。要在各级政府的统一领导下，依靠科技手段，加强事故发展趋势预测工作，发挥专家的作用，科学制定事故现场救援方案。同时，建立事故应急救援的现场组织工作机制，加强协调配合，有效组织各类应急救援队伍和救援力量，调集救援物资与装备，开展应急救援工作。各级安全监管部门及其应急指挥机构要会同有关部门加强对事故现场救援的具体组织、指导、协调工作。

高度重视安全生产事故灾难的信息、舆论引导工作，为处置事故灾难营造良好的舆论环境。坚持正面宣传，及时、准确信息，正确引导舆论。充分发挥中央和地方主流新闻媒体的舆论引导作用，安全监管系统及各行业内各类媒体要积极发挥作用。

安全生产事故灾难善后处置工作结束后，现场应急救援指挥部要分析总结应急救援经验教训，提出改进建议。各级安全监管部门和其他有安全监管职责的部门要对所辖区域内安全生产事故灾难的处置、相关防范工作和应急管理工作进行评估，及时改进工作，提高应急管理工作水平。

九、加强安全生产应急管理培训和宣传教育工作

将安全生产应急管理和应急救援培训纳入安全生产教育培训体系。在有关注册安全工程师、安全评价师等安全生产类资格培训，以及特种作业培训、企业主要负责人培训、安全生产管理人员培训和市、县长等培训中增加安全生产应急管理的内容。分类组织开发应急管理和应急救援培训适用教材，加强培训管理，提高培训质量。生产经营单位要加强对从业人员的应急管理知识和应急救援内容的培训，特别是要加强重点岗位人员的应急知识培训，提高现场应急处置能力。

充分发挥出版、广播、电视、报纸、网络等文化宣传力量的作用，通过各种有效方式，加大宣传力度。要使安全生产应急管理的法律法规、应急预案、救援知识进企业、进机关、进学校、进社区，普及安全生产事故预防、避险、自救、互救和应急处置知识，提高生产经营单位从业人员救援技能，增强社会公众的安全意识和应对事故灾难的能力。

十、加强安全生产应急管理支撑保障体系建设

信息安全应急预案篇（8）

随着医院信息化程度的不断提高，计算机网络在为医疗工作人员带来高效和便利的同时，人们对网络的依赖程度也越来越高。医院业务的连续性及医疗的及时性，使网络信息系统成为医疗服务和医院管理的生命线[1]。医院为保障正常医疗业务的持续性，加强医院的风险管理能力，提高网络故障处理效率，紧急应对网络故障事件，制定网络安全系统应急预案势在必行[2]。

网络安全应急预案是指面对网络突发事件的应急管理、指挥、救援计划等[3-4]。为保障网络安全，全国人民代表大会常务委员会于2016年11月7日了《中华人民共和国网络安全法》，并于2017年6月1日起施行。其中第五十三条提到：“国家网信部门协调有关部门建立、健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练”[5]。2019年12月1日开始实施的《信息安全技术网络安全等级保护基本要求》[6]中提出：“要制定重要事件的应急预案，包括应急处理流程、系统恢复流程等内容，并应定期进行应急预案的演练”。

1 应急演练准备工作1.1 进行网络安全宣传教育

演练前，借助网络加强对网络安全重要性的宣传，使全院工作人员提高对网络应急突发事件的应急处置意识，熟悉在突发事件中各自的职责和任务。

1.2 建立网络系统应急预案领导小组

由医院院长和书记担任网络系统应急预案领导小组的总指挥，各主管院长在总指挥的领导下负责分管科室的工作安排，信息科负责网络系统故障后的技术保障、故障的报告程序并协调各部门的工作安排；此外，信息科在演练前编写《天津市口腔医院网络系统应急预案演练脚本》，并通知各科学习、熟悉流程；需做好演练过程的留痕工作安排；通过预案领导小组的统一规划，演练前充分做到分工明确，责任清晰。

1.3 网络准备工作

信息科负责应急演练的方案策划、接听电话、沟通协调、拍照摄影等人员的分工；准备所有参与应急处理的第三方公司技术人员的联系方式；检查服务器和网络设备，设计断点，按照演练要求做好准备；做好演练后的数据恢复工作安排。

1.4 演练依据

应急演练应严格按照2019年8月由信息科联合各部门修订的《医院网络系统应急预案》执行。

2 应急演练流程及措施2.1 领导下达指令，科室转入应急工作

首先，按照计划的时间和方案，由信息科掐断一切内网连接，造成内网活动停滞；随后，门诊挂号收费处、门诊办公室、牙周科等陆续向信息科报告计算机系统无法正常运行；医院信息科工作人员接到报告后，立即分析判断故障等级，经排查分析，确定为网络一类故障；由信息科主任立即上报主管院长，主管院长上报总指挥，总指挥通知院办立即召集应急预案领导小组开会部署；由演练总指挥向各主管院长宣布启动网络系统应急预案指令，随后由各主管院长向分管科室发出应急工作指令，各科室工作人员及时赶赴现场进行组织协调。

2.2 各部门的整体应急措施

科室在接到应急预案启动指令后，积极做好应急准备。信息科负责排查故障原因和确定故障等级，若确定故障是由设备出现问题引发，则由设备科协助信息科联系设备厂家，提供相关产品和技术支持。门诊办公室立即通知楼层导诊及其他各窗口的工作人员，向患者解释事件情况并安抚。办公室及时联系行政职能科室，启动各科应急预案。医政科、护理部积极组织临床科室，安抚患者，做好解释工作，以维持科室的诊疗秩序。保卫科立即启动保卫应急预案，要求全院在岗安保人员统一集结，分别在各楼层有挂号、收费的窗口处设置两名固定安保人员维持秩序，配合导诊和财务人员做好患者的疏导工作，视频监控室加强对楼内各服务窗口的监控，通过手台及时向保卫科报告点位情况，由保卫科进行安保人员的总体调度工作，配合门诊办公室做好现场秩序维持和人员疏导工作。总务科做好电梯的运行管理。

2.3 挂号缴费及医技科室的应急措施

应急演练过程中，根据患者的挂号要求，请导诊协助咨询是否还有相应的号源，若无号源，则应请患者选择其他时间来院就诊；若有号源，则应按号别收费，并开具临时收据（手写收据并加盖收费章）。

缴费工作可由信息科协助物价科提供各科的收费模板，物价科以“划价单”的形式下发至各科室；各经治医师按模板进行划价并签名后，由患者在收费窗口缴费，并由工作人员在划价单上加盖收费章。

2.4 门诊预约和候诊的应急措施

由于门诊预约系统每日会导出一份预约记录，为随时可能出现的网络故障做好应急准备，一旦网络出现问题，门诊办将以此为依据，安排数名工作人员核实患者的预约信息，对已预约未到取号时间的患者，安抚其情绪，并嘱其耐心等待；对已到取号时间的患者，由患者预约的医师对其进行加号就诊。

2.5 临床科室的应急措施

临床科室的工作由医政科、护理部共同协调；网络故障期间临床科室需详细记录患者的所有医嘱执行情况，在紧急情况下，施行口头医嘱制度，手工填写纸质检查申请单或处方；科室详细记录患者的治疗、药品情况（包括姓名、病案号、诊疗操作项目、药品名称及用量等），并及时与收费处、药剂科、检验科、放射科等科室进行确认；医师的病历书写统一改为手写方式，并严格按照《病历书写基本规范》记录病程的相关内容；临床科室根据医政科通知的时间及要求及时补录病历及医嘱；若遇到危急重症的患者，按照医院突发事件应急预案启动绿色通道。网络故障期间，各临床科室应恢复重症上报及手工日报等统计工作。网络故障恢复后，各临床科室应及时配合信息网络中心做好对各项数据的补录工作。

2.6 信息科的应急措施

信息科接到科室操作人员的故障信息后，应立即展开调查，首先，通过自己的工作站试验反映的系统是否存在相同的情况，随后排查系统的接口程序是否存在问题，软件问题和接口问题被排除后，应实地查看工作站电脑或查证是否有数据库锁表情况、查证数据服务器空间是否已满，当软件情况均被排除后，通过基线管理软件拓扑图查看故障点并检查机房交换机的指示灯是否全部不再闪动或闪动很慢，若是，则基本可断定是网络存在问题；随后迅速做出初步故障等级判定，在处理的同时迅速向科室领导汇报，科室领导根据故障等级启动相应等级的应急预案，报告应急预案领导小组处理。同时，信息科迅速成立故障检修组，分析故障原因，修复系统；成立技术联络组，与第三方公司取得联系，获得技术支持；成立院内协调组，上报并及时向各科室通知传达网络故障的处理情况。

信息科在故障排除后，应协助重点科室进行数据补录工作，并在数据库恢复与补录过程中，及时与软件公司取得联系获得技术支持或作为技术支援，安排人员参与医院抢救和补录工作，确保将损失和影响降至最低。

3 演练效果根据部署安排，网络系统应急演练持续时间为1 h。演练过程中，应急领导小组指挥调度有力，信息科抢修网络故障及时，临床工作人员应对应急工作较为熟练，各行政部门配合默契。由于在演练前进行了认真筹备和周密安排，所以在演练过程中，患者就诊井然有序，医疗活动未受到严重影响。

4 小结高效的组织领导、周密的应急预案和严格的人员培训是顺利应对信息网络突发安全故障的基础[7]。应急演练是为了检验医院网络系统应急预案建立的有效性，验证相关部门和人员应对网络突发故障的防范措施是否到位，提高各部门实际应对和处置突发网络故障事件的应急处理能力，增强全院工作人员的网络安全意识。因此，网络安全应急演练工作需定期组织实施，事后还应进行记录总结，并结合医院的实际情况不断优化应急方案和应急演练流程。

参考文献

[1]彭林梅.医院信息系统瘫痪应急处理与分析[J].中国新通信，2019,21(11):132.

[2]姚力，李哲.医院信息系统故障解决方案探讨[J].中国数字医学，2015,10(5):95-97.

[3]荣晓燕，朱岩.政务网络安全事件应急预案体系建设实践[J].信息安全研究，2019,5(5):377-382.

[4]宫亚峰.坚守最后防线，做好网络安全应急工作[J].中国信息安全，2017(7):37-40.

[5]中华人民共和国主席令(第五十三号).中华人民共和国网络安全法[EB/OL].(2016-11-07)[2017-06-01].baike.baidu.com/item/中华人民共和国网络安全法/16843044?fr=aladdin,2016.

信息安全应急预案篇（9）

1.1目的

为提高XX部处理突发信息网络事件的能力、形成科学、有效、反应迅速的应急工作机制，确保重要可视化数字化信息系统的实体安全、运行安全和数据安全，最大限度地减少网络与信息安全突发公共事件的危害，保护公司利益，特制定本预案。

1.2适用范围

本预案适用于XX部发生和可能发生的网络与信息安全突发事件。

1.3工作原则

(1) 预防为主。立足安全防护，加强预警，重点保护基础信息和重要信息系统，从预防、监控、应急处理、应急保障环节，采取多种措施，共同构筑网络与信息安全保障体系。

(2) 快速反应。在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，迅速处置，最大程度地减少危害和影响。

(3) 分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，加强协调与配合，形成合力，共同履行应急处置工作的管理职责。

1.4编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《计算病毒防治管理办法》及《XX矿总体应急预案》及XX部设备管理等管理规定，制定《XX部突发信息网络事故应急预案》(以下简称预案)。

2组织机构及职责

2.1组织机构

成立XX部突发信息网络事故应急领导小组(以下简称“信息网络事故应急领导小组”)。

组长：王晟秋

副组长：陈达才

成员：维护员及监控班长

2.2信息网络事故应急领导小组职责。

(1)负责编制、修所辖范围内突发信息网络事件应急预案(2)通过本系统局域网络中心及电信网络机房交流等手段获取安全预警信息，周期性或即时性地向局域网和用户网络管理部门;对异常流量来源进行监控，并妥善处理各种异常情况。

(3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件，及时上报并按照相关规定作好善后工作，

(4)负责组建信息网络安全应急救援队伍并组织培训与演练。

3 预警及预警机制

突发信息网络事件安全预防措施包括分析安全风险，准备应急处置措施，建立网络和信息系统的监测体系，控制有害信息的传播，预先制定信息安全重大事件的通报机制。

3.1突发信息网络事故分类

关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意攻击等。

3.2应急准备

XX部监控中心明确职责和管理范围，根据实际情况，安排应急值班，确保到岗到人，联络畅通，处理及时准确。

3.3具体措施

(1)建立安全、可靠、稳定运行的机房环境，防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。

(2)实行实时监视和监测，采用认证方式避免非法接入和虚假路由信息。

(3)重要系统采用可靠、稳定硬件，落实数据备份机制，遵守安全操作规范;安装有效的防病毒软件，及时更新升级扫描引擎：加强对局域网内所有用户和信息系统管理员的安全技术培训。

(4)安装反入侵检测系统，监测恶意攻击、病毒等非法浸入技术的发展，控制有害信息经过网络的传播，建立网关控制、内容过滤等控制手段。

4有关应急预案

4.1机房漏水应急预案

(1)发生机房漏水时，第一目击者应立即通知监控中心，并及时报告信息网络事件应急领导小组。

(2)若空调系统出现渗漏水，监控中心值班班长应立即安排停用故障空调，清除机房积水，并及时联系设备供应方处理，同时启动备用空调，必要情况下可临时用电扇对服务器进行降温。

(3)若为墙体或窗户渗漏水，监控中心值班班长应立即采取有效措施确保机房安全，同时安排通知综合管理部，及时清除积水，维修墙体或窗户，清除渗漏水隐患。

4.2设备、物资发生被盗或人为损害事件应急预案

(1)发生设备或物资被盗或人为损害设备情况时，使用者或管理者应立即报告信息网络事件应急领导小组，同时保护好现场。

(2)信息网络事件应急领导小组接报后，通知特保大队、值班领导、派出所、一同核实审定现场情况，查看被盗或盘查人为损害情况，做好必要的录像回放记录和文字记录。

(3)事发单位和当事人应当积极配合公安部门进行调查，并将有关情况向公与领导汇报。

4.3长时间停电应急预案

(1)接到长时间停电通知后，信息网络事件应急领导小组应及时通过办公系统电话等相关信息，部署应对具体措施，要求前端在停电前停止业务、保存数据。

(2)停电时间过长的，启动备用电源，保证监控中心正常运转，如有必要及时报巡逻队前网断电地点实时监控。

4.4通信网络故障应急预案

(1)发生通信线路中断、路由故障、流量异常、域名系统故障后，操作员应及时通知系统管理员，并停止前端一切行为操作，经初步判断后及时上报信息网络事件应急领导小组主管领导。

(2)领导小组接报告后，应及时查清通信网络故障位置，并将事态及时报告主管领导，如外网应通过相关通信网络运营商查清原因;内网故障及时组织相关技术人员检测故障区域，逐步恢复故障区与服务器的网络连接，恢复通信网络，保证正常运转。

(3)应急处置结束后，应出具故障分析报告。

4.5不良信息和网络病毒事件应急预案

(1)发现不良信息或网络病毒时，信息系统管理员应立即断开网线，终止不良信息或网络病毒传播，并报告信息网络事件应急领导小组。

(2)根据信息网络事件应急领导小组指令，采取隔离网络等措施，及时杀毒或清除不良信息，并追查不良信息来源。

(3)事态或后果严重的，信息网络事件应急领导小组应及时报告主管领导。

(4)处置结束后，应出具事件分析报告。

4.6 服务器软件系统故障应急预案

(1)发生服务器软件系统故障后，网络管理应立即启动备用服务器系统，由备用服务器接管业务应用，并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络，保存系统状态不变，保持原始数据。

(2)网络、监控中心应根据信息网络事件应急领导小组指令，在确认安全的情况下，重新启动故障服务器系统;重启系统成功。则检查数据丢失情况，利用备份数据恢复;若重启失败，立即联系相关单位，请求技术支援，作好技术处理。

(3)事态或后果严重的，及时报告主管领导。

(4)处置结束后，应出具事件分析报告。

4.7 黑客攻击事件应急预案

(1)当发现网络被非法入侵、数据影响内容被篡改、应用服务器上的数据的被非法拷贝、修改、删除、或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告信息网络事件应急领导小组。

(2)接报告后，信息网络事件应急领导小组应立即核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆账号，阻断可疑用户进入网络的通道。

(3)维护技术员应及时清理系统，恢复数据、程序，恢复系统和网络正常;情况严重的立即上报主管领导。

(4)处置结束后，应出具事件分析报告。

4.8核心设备硬件故障应急预案

(1)发生核心设备硬件故障后，网络监控中心应及时报告信息网络事件应急领导小组，并组织查找、确定故障设备及故障原因，进行先期处置。

(2)若故障设备在短时间内无法修复，监控中心维护员应启动备用设备，保持系统正常运行;将故障设备脱离网络，进行故障排除工作。

(3)网络监控中心应在故障排除后，在网络空闲时期，替换备用设备;若故障仍然存在，立即联系相关厂商，认真填写设备故障报告单备查。

(4)处置结束后，应出具事件分析报告。

4.9运矿数据损坏应急预案

(1)发生运矿数据损坏时，监控中心应及时报告信息网络事件应急领导小组，检查、备份运矿系统当前数据。

(2)监控中心维护员负责调用备份服务器备份数据，若备份数据损坏，则调用历史备份数据，若历史数据仍不可用，则调用异地备份数据。

(3)运矿数据损坏事件无法恢复时及时通知主管领导，并开展相应的备用服务器。

(4)维护员待数据系统恢复后，检查历史数据和当前数据的差别，重新备份数据，并写出故障分析报告。

4.10雷击事故应急预案

(1)遇雷暴天气或雷暴气象预报，监控中心应及时报告信息网络事件应急领导小组或主管领导，经请示同意是否可以关闭部分服务器，切断电源，暂停部分计算机网络工作。

(2)雷暴天气结束后、及时开通部分暂停服务器，恢复计算机网络工作，对设备和数据进行检查，出现故障的，及时报信息网络事件应急领导小组。

(3)因雷击造成损失的，信息网络事件应急领导小组应进行核实、报损、结束后做出书面报告。

5应急处置

发生信息网络突发事件后，相关人员应在3分钟内向信息网络事件应急领导小组报告，信息网络事件应急领导小组组织人员采取有效措施开展先期处置，恢复信息网络正常状态。

发生重大事故(事件)，无法迅速消除或恢复系统，影响较大时实施紧急关闭，并立即向主管领导汇报并通知相关业务部门。

6 善后处置

应急处置工作结束后，信息网络事件应急领导小组组织有关人员和技术人员组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中暴露出的管理、协调和技术问题，改进和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。

7应急保障

7.1 通信保障

监控中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息，信息网络事件应急领导小组全体人员保证全天24小时通讯畅通。

7.2装备保障

监控中心负责建立并保持电力、空调、机房等网络安全运行基本环境，预留一定数量的信息网络硬件和软件设备，指定专人保管和维护。

7.3数据保障

重要信息系统均建立备份系统，保证重要数据在受到破坏后可紧急恢复。

7.4队伍保证

建立符合要求的网络与信息安全保障技术支持力量，对网络接入部门的网络与信息安全保障工作人员提供技术支持和培训服务。

8 监督管理

8.1宣传、教育和培训

将突发信息网络事件的应急管理，工作流程等列为培训内容，增强应急处置能力，加强对突发信息网络事件的技术准备培训，提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次公司系统范围内的信息网络安全教育，提高信息安全防范意识和能力。

8.2预案演练

信息网络事件应急领导小组每年不定期安排演练，建立应急预案定期演练制度。通过演练，发现和解决应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

8.3 责任与奖惩

信息网络事件应急领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查，对在突发信息网络事件应急处置中做出贡献的集体和个人，在部门二次分配中给予奖励;对，造成不良影响或严重后果的追究其责任。

9 附则

9.1预案更新

结合公司信息网络发展配合相关制度的规定、修改和完善，适时修订本预案。

9.2 制定与解释部门

信息安全应急预案篇（10）

总则

1.1

编制目的

建立健全本市网络安全事件应急工作机制，提高应对突发网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序，保障城市安全运行。

1.2

编制依据

《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《突发事件应急预案管理办法》、《国家网络安全事件应急预案》、《XX市实施办法》、《XX市突发公共事件总体应急预案》和《信息安全技术

信息安全事件分类分级指南》（GB/Z

20986—2007）等,编制本预案。

1.3

适用范围

本预案适用于本市行政区域内发生的网络安全事件，以及发生在其他地区且有可能影响XX城市安全运行的网络安全事件的预防和处置工作。其中，有关基础电信网络的通信保障和通信恢复等应急处置工作，适用《XX市通信保障应急预案》;有关信息内容安全事件、涉密网络和系统的网络安全事件的应对，另行制定预案。

1.4

工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

组织体系

2.1

领导机构

市委网络安全和信息化委员会（以下称“市委网信委”）负责统筹协调组织本市网络安全保障工作，对处置本市网络安全事件实施统一指挥。

2.2

应急联动机构

市应急联动中心设在市公安局，作为本市突发事件应急联动先期处置的职能机构和指挥平台，履行应急联动处置较大和一般突发事件、组织联动单位对特别重大或重大突发事件进行先期处置等职责。各联动单位在其职责范围内，负责突发事件应急联动先期处置工作。

2.3

市应急处置指挥部

发生特别重大、重大网络安全事件发生，职能部门报市领导决定后，将市委网信委转为市网络安全事件应急处置指挥部（以下简称“市应急处置指挥部”），统一指挥本市网络安全事件处置工作。总指挥由市领导确定或由市委网信委负责相关工作的领导担任，成员由相关部门和单位领导组成，开设位置根据应急处置需要确定。同时，根据情况需要，设置联络和处置等专业小组，在市应急处置指挥部的统一指挥下开展工作。

2.4

职能部门

市委网络安全和信息化委员会办公室（以下称“市委网信办”）作为市委网信委的办事机构，具体承担统筹协调组织本市网络安全事件应对工作，建立健全跨部门联动处置机制。

2.5

专家咨询机构

市委网信办负责组建处置网络安全事件专家咨询组，为处置网络安全事件提供决策咨询建议和技术支持。

预防预警

3.1

预防

各区、各部门、各单位要做好网络安全事件的风险评估和隐患排查工作，及时采取有效措施，避免和减少网络安全事件的发生及危害。

3.2

预警分级

网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

3.3

预警监测

各区、各部门、各单位按照“谁主管谁负责、谁运行谁负责”的要求，组织对本区域、本单位管理范围内建设运行的网络和信息系统开展网络安全监测工作。各区、各部门、各单位将重要监测信息报市委网信办，市委网信办组织开展跨区、跨部门的网络安全信息共享。

3.4

预警信息

市委网信办根据危害性和紧急程度，适时在一定范围内，网络安全事件预警信息，预警级别可视网络安全事件的发展态势和处置进展情况作出调整。其中，红色、橙色预警信息同时报市委总值班室、市政府总值班室。

预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、机关等。

3.5

预警响应

进入预警期后，有关地区和单位立即采取预防措施，检查可能受到影响的网络和信息系统，做好相关安全风险的排查和修复工作。加强本地区、本单位网络与信息系统安全状况的监测，并将最新情况及时报市委网信办。市网络与信息安全应急管理事务中心根据事件性质，通知相关应急处置支撑队伍处于应急待命状态，并保障所需的应急设备和网络资源处于随时可以调用状态。同时，加强对全市网络与信息系统安全状况的监测，每小时向市委网信办报告最新情况。

3.6

预警解除

市委网信办根据实际情况，确定是否解除预警，及时预警解除信息。

应急响应

4.1

信息报告

4.1.1发生网络安全事件的单位必须在半小时内口头、1小时内书面报告市委网信办值班室、市应急联动中心和事发地区网络安全主管部门。较大以上网络安全事件或特殊情况，必须立即报告。

4.1.2发生重大网络安全事件，市委网信办、市应急联动中心必须在接报后1小时内口头、2小时内书面同时报告市委网信委、市委总值班室、市政府总值班室；发生特别重大网络安全事件或特殊情况，必须立即报告市委网信委、市委总值班室、市政府总值班室。

4.2

响应等级

4.2.1本市处置网络安全事件应急响应等级分为四级：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，分别对应特别重大、重大、较大、一般网络安全事件。事件的响应等级由市委网信办判定。

4.2.2发生一般或较大网络安全事件，由市委网信办和市应急联动中心决定响应等级并组织实施；发生重大或特别重大网络安全事件，由市委网信办和市应急联动中心提出处置建议，报市委网信委（或市应急处置指挥部）批准后组织实施。

4.3

应急处置

4.3.1市网络与信息安全应急管理事务中心应在接报后，立即评估事件影响和可能波及的范围，研判事件发展态势，根据需要，组织各专业机构在职责范围内参与网络安全事件的先期处置，并向市委网信办报告现场动态信息。必要时，由市委网信办牵头成立由市网络与信息安全应急管理事务中心、事发单位、主管机构负责人和相关信息安全专家组成的现场处置工作组，具体负责现场应急处置工作。

4.3.2

一般、较大网络安全事件发生后，事发单位应在第一时间实施即时处置，控制事态发展。市委网信办会同市应急联动中心组织协调相关部门、单位和专业机构以及事发地区政府调度所需应急资源，协助事发单位开展应急处置。一旦事态仍不能得到有效控制，由市委网信办报请市委网信委决定调整应急响应等级和范围，启动相应应急措施。必要时，由市委网信委统一指挥网络安全事件的处置工作。

4.3.3

重大、特别重大网络安全事件发生后，由市委网信办会同市应急联动中心组织事发地区政府和相关专业机构及单位联动实施先期处置。一旦事态仍不能得到有效控制，视情将市委网信委转为市应急处置指挥部，统一指挥、协调有关单位和部门实施应急处置。

4.4

技术实施

4.4.1处置小组制订具体处置建议方案后，组织相关专业机构、事发单位和有关部门进行检验，检验结果上报市应急处置指挥部。

4.4.2检验结果经评估后形成处置正式方案，经批准后由联络小组及有关部门按照方案要求，协调、落实所需的应急资源。

4.4.3处置小组根据市应急指挥部下达的指令，实施应急处置。处置手段主要为：

（1）封锁。对扩散性较强的网络安全事件，立即切断其与网络的连接，保障整个系统的可用性，防止网络安全事件扩散。

（2）缓解。采取有效措施，缓解网络安全事件造成的影响，保障系统的正常运行，尽量降低网络安全事件带来的损失。

（3）追踪。对黑客入侵、DOS攻击等人为破坏，由相关执法部门进行现场取证，并采取一定的技术手段，追踪对方信息。

（4）消除和恢复。根据事件处置效果，采取相应措施，消除事件影响；及时对系统进行检查，排除系统隐患，以免再次发生同类型事件，并恢复受侵害系统运行。

4.5

信息

4.5.1一般或较大网络安全事件信息和舆论引导工作，由市委网信办负责。

4.5.2重大或特别重大网络安全事件信息工作，由市政府新闻办负责，市委网信办负责舆论引导和提供口径。

后期处置

网络安全事件处置后，市委网信办负责会同事发单位和相关部门对网络安全事件的起因、性质、影响、损失、责任和经验教训等进行调查和评估。

应急保障

有关部门和市网络安全重点单位（以下简称“重点单位”）要按照职责分工和相关要求，切实做好应对网络安全事件的人员、物资、通信和经费等保障工作，保证应急处置和救援工作的顺利进行。

6.1

机构和人员

各区、各部门、各单位要落实网络安全工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急工作机制。

各区、各部门、各单位要将网络安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识及技能。

6.2

物资保障

各相关部门、专业机构、重点单位要根据实际需要，做好网络与信息系统设备储备工作，并将储备物资清单报市委网信办备案。

6.3

通信保障

市经济和信息化委员会（市无线电管理局）、市通信管理局等部门要建立无线和有线相结合、基础电信网络与机动通信系统相配套的应急通信系统，确保应急处置时通信畅通。

6.4

经费保障

依照市政府有关处置应急情况的财政保障规定执行。

6.5

责任与奖惩

网络安全事件应急处置工作实行责任追究制。

市委网信办及有关区和部门对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。

市委网信办及有关区和部门对不按规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

附则

7.1

预案解释

本预案由市委网信办负责解释。

7.2

预案修订

市委网信办根据实际情况变化，适时评估修订本预案。

7.3

预案实施

本预案由市委网信办组织实施。

各区、各部门、各单位根据本预案，制定或修订本区、本部门、本单位网络安全事件应急预案，并报市委网信办备案。

本预案自印发之日起实施。

附

件：

网络安全事件分类和分级