舒城县税务系统网络安全事件综合应急预案
舒城县税务系统网络安全事件综合应急预案
第一章 总则
一、编制目的
贯彻落实《中华人民共和国网络安全法》、《税务系统网络安全事件总体应急预案》、《六安市税务系统网络安全事件综合应急预案》(六税发〔2019〕43号),建立健全舒城县税务系统网络安全事件应急工作机制,指导全县税务系统及时、有效、有序处置网络安全事件,提高网络安全事件处置能力,预防和减少网络安全事件造成的损失和危害,保障全县税务系统正常工作秩序,保护纳税人权益,维护国家安全和社会稳定。
二、编制依据
根据《中华人民共和国网络安全法》、《税务系统网络安全事件总体应急预案》、《安徽省税务局突发事件应急预案》《安徽省税务系统网络安全事件综合应急预案》(皖税发〔2018〕97号)、《六安市税务系统网络安全事件综合应急预案》(六税发〔2019〕43号)和《信息安全事件分类分级指南》(GB/Z20986-2007)等法律、法规和规章制度,制定本预案。
三、定义
本预案所称网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络、信息系统或者其中的数据造成损失,对社会造成负面影响的事件。
四、适用范围
本预案适用于全县税务系统网络安全事件的应对工作,配合市税务局和县委县政府网络安全主管部门(以下简称“上级单位”)处置涉及全县税务系统一般及以上网络安全事件协调处置工作,发生在县局机关以及经专项预案明确由县税务局应对的网络安全事件。
因网络安全事件,引发突发事件或者生产安全事故的,依照总局、省局突发事件应急处置预案有关规定处置。
五、工作原则
遵循“统一领导、密切协同,快速反应、科学处置,分级负责、属地为主,预防为主、预防与应急相结合,谁主管谁负责、谁运行谁负责”的原则,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
六、应急预案体系
(一)全县税务系统网络安全事件综合应急预案。全县税务系统网络安全事件综合应急预案是全县税务系统网络安全事件应急预案体系的总纲,是县局统筹、协调和应对网络安全事件的规范性文件,由县局制定并印发实施。
(二)网络安全事件专项应急预案。为应对某类或某几类网络安全事件,县局网络安全应急办各专项工作组按照分工,依据综合应急预案和相关规定,牵头制订专项应急预案。
第二章 事件分级分类
一、事件分级
按照国家网络安全事件分类分级指南,全县税务系统网络安全事件分为:特别重大、重大、较大、一般4个级别。
除总局、省局特别规定外,以下提及的重要网络主要指税务业务专网广域网、税收业务外联网和税收业务互联网,重要信息系统主要指信息系统等级保护级别为2级和3级的应用系统,重要敏感信息和关键数据主要指重要网络和信息系统中存储的数据。
(一)符合下列情形之一的,为特别重大网络安全事件
1.重要税务网络和信息系统遭受特别严重的系统损失,造成信息系统大面积瘫痪,丧失业务处理能力。
2.重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
3.对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响。
4.恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,并且事发单位不可承受。
(二)符合下列情形之一的,为重大网络安全事件
1.重要税务网络和信息系统遭受严重的系统损失,造成信息系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
2.重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
3.对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响。
4.恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,并且事发单位部分可承受。
(三)符合下列情形之一的,为较大网络安全事件
1.重要税务网络和信息系统遭受较大的系统损失,造成信息系统中断,明显影响系统运行效率,业务处理能力受到较大影响。
2.重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
3.对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响。
4.恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,事发单位基本可以承受。
(四)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小的网络安全事件,为一般网络安全事件。
二、事件分类
税务系统网络安全事件分为业务系统类、基础环境类、安全技术类、信息内容安全类和其他类事件。
(一)业务系统类事件
业务系统类事件是指因业务系统软硬件故障导致业务中断的网络安全事件。此类事件涵盖业务系统运行所需的存储环境、计算环境和软件环境发生的网络安全事件。
(二)基础环境类事件
基础环境类事件是指因外围保障设施故障、人为破坏、网络故障、其他设备设施故障、自然灾害等其他突发事件导致的网络安全事件。此类事件涵盖电力中断、通讯中断、中心机房设备故障等。
(三)安全技术类事件
安全技术类事件是指威胁正常税收工作秩序的各类网络安全事件,包括计算机病毒、蠕虫、特洛伊木马、僵尸网络、网页内嵌恶意代码等基于有害程序的攻击事件;混合程序攻击、拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰等网络攻击事件;信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等信息破坏事件。
(四)信息内容安全类事件
信息内容安全类事件是指利用网络传播法律、法规禁止的信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。
(五)其他类事件
其他事件是指不能归为以上分类的网络安全事件。
三、事件定级
全县税务系统网络安全事件采用统一标准定级。
(一)定级要素
1.系统损失程度。系统损失是指由于网络安全事件对税收信息系统的软硬件、功能和数据的破坏,导致税收业务中断,给事发单位造成损失。具体包括信息系统重要程度和损失程度两类,具体标准见下表。
表2.1 税务信息系统损失与安全事件级别对应表
|
类别 |
子 类别 |
特别重大网络安全事件 |
重大网络安全事件 |
较大网络安全事件 |
一般网络安全事件 |
备注 |
|
信息系统重要程度 |
等级保护级别 |
涉及多个3级以上(含)系统 |
涉及1个或多个3级以上(含)系统 |
涉及1个或多个2级以上(含)系统 |
涉及2级系统 |
关键信息基础设施可适当提高事件定级 |
|
损失 程度 |
业务中断时间 |
超出业务可承受最大中断时间后48小时 |
超出业务可承受最大中断时间后24小时 |
超出业务可承受最大中断时间后12小时 |
超出业务可承受最大中断时间后8小时 |
至少满足其中一种情况,按自然时间计算 |
|
设备 |
大量核心设备损坏 |
部分关键设备损坏 |
少量重要设备损坏 |
个别重要设备损坏 |
||
|
关键数据 |
大量数据被破坏无法完全恢复 |
部分数据被破坏无法完全恢复 |
少量数据被破坏无法完全恢复 |
个别数据被破坏无法完全恢复 |
2.社会影响程度。社会影响是指网络安全事件对国家、社会、税务系统造成影响的范围和程度,主要包括税务系统声誉形象、纳税人利益和信息泄露等三类影响。
表2.2 社会影响与安全事件等级对应表
|
|
特别重大网络安全事件 |
重大网络 安全事件 |
较大网络 安全事件 |
一般网络 安全事件 |
|
社会影响 |
特别重大影响 |
重大影响 |
较大影响 |
一般影响 |
表2.3 社会影响程度对应表
|
影响程度 |
影响内容 |
影响描述 |
|
特别重大影响 |
税务系统 声誉形象 |
税务系统发生网络安全事件,引起社会媒体广泛关注,在互联网、社交媒体、公众媒体上公开报道,社会公众对税务系统产生严重不满和广泛质疑,给国家经济秩序带来严重的影响。 |
|
纳税人利益 |
波及到一个或多个省县的大部分地区,严重侵害纳税人权益,严重影响纳税人正常经营或生产生活,给纳税人利益带来严重损害。 |
|
|
信息泄露 |
税务系统敏感信息大量泄露,在互联网、社交媒体、公众媒体上大量传播。 |
|
|
重大影响 |
税务系统 声誉形象 |
税务系统发生网络安全事件,引起社会媒体广泛关注,在互联网、社交媒体、公众媒体上公开报道。纳税人对税务系统产生严重不满和广泛质疑,对税务系统带来严重的影响。 |
|
纳税人利益 |
波及到一个或多个省县的部分地区,较为严重侵害纳税人权益,较为严重影响纳税人正常经营或生产生活,给纳税人利益带来损害。 |
|
|
信息泄露 |
税务系统敏感信息大量泄露,在互联网、社交媒体、公众媒体上出现但并未广泛传播。 |
|
|
较大影响 |
税务系统 声誉形象 |
税务系统发生网络安全事件,引起社会媒体关注,通过部分非主流媒体公开报道,纳税人对税务系统产生质疑,给税务系统带来较大影响。 |
|
纳税人利益 |
波及到全省或多个县,侵害纳税人权益,影响纳税人正常经营或生产生活,给纳税人利益带来影响。 |
|
|
信息泄露 |
税务系统敏感信息部分泄露,在互联网、社交媒体、公众媒体上出现但并未广泛传播。 |
|
|
一般影响 |
税务系统 声誉形象 |
税务系统发生网络安全事件,但及时恢复到正常状态,尚未引起媒体关注,给税务系统带来影响较小。 |
|
纳税人利益 |
波及到一个县的部分地区,影响纳税人正常办税,给纳税人利益带来影响。 |
|
|
信息泄露 |
税务系统敏感信息少量泄露,影响范围限于省内,税务系统业务受到影响。 |
(二)定级流程
网络安全事件定级采用综合定级方法。
首先,依据信息系统重要程度,确定事件级别范围。按照网络安全事件所涉及的业务中断时间、设备损坏和关键数据破坏程度,按照从高原则,评估损失程度。综合两方面确定事件级别。
其次,从网络安全事件对税务系统声誉形象、纳税人利益、信息泄漏等三方面,按照从高原则,评估网络安全事件造成的社会影响,确定事件级别。
最后,根据信息系统损失程度和社会影响程度两个方面的事件级别,按照从高原则,拟定事件级别。
第三章 组织体系
一、网络安全应急领导机构与工作任务
舒城县税务系统网络安全和信息化领导小组(以下简称“县局网信领导小组”)是全县税务系统网络安全应急工作的领导机构,负责统筹、协调、处置全县税务系统网络安全事件应急工作,主要应急工作任务包括:
(一)研究、部署全县税务系统网络安全事件应急管理工作。
(二)审核、批准全县税务系统网络安全事件综合应急预案。
(三)研究全县税务系统网络安全事件拟定级别,对预判为特别重大、重大、较大网络安全事件上报上级单位,并在其协调指挥下处置特别重大、重大、较大网络安全事件。
(四)指挥全县税务系统较大网络安全事件的应急处置工作,审核、批准较大网络安全事件应急处置报告。
二、网络安全应急工作机构与工作任务
舒城县税务系统网络安全和信息化领导小组办公室(以下简称“县局网信办”)设立全县税务系统网络安全应急办公室(以下简称“县局网络安全应急办”),主要应急工作任务包括:
(一)负责制定和修订《舒城县税务系统网络安全事件综合应急预案》,并组织宣贯、培训。
(二)组织对涉及本地区的一般网络安全事件进行研判;向县局网信领导小组汇报预判为特别重大、重大、较大、一般网络安全事件。
(三)按上级单位要求,启动应急响应预案;指挥、协调一般网络安全事件的应急响应工作;汇总分析,通报一般网络安全事件信息。
(四)组织对一般网络安全事件的原因调查,查明事件性质和责任,总结事故教训,提出整改措施。
(五)协调县税务局网络安全应急办专项工作组和税务分局的应急工作,组织内外部专家开展事件定级审核、应急支持和事件调查评估。
(六)监督、管理全县税务系统网络安全事件应急演练工作。
三、网络安全应急办专项工作组与工作任务
舒城县税务系统网络安全应急办设若干专项工作组(见附件1),由对应主管部门分别牵头负责,相关部门参加。各专项工作组在县局网络安全应急办的统筹协调下,承担全县税务系统网络安全事件应急处置相关工作。各专项工作组主要应急工作任务包括:
(一)负责制定和修订本工作组专项应急预案。
(二)按照县局网络安全应急办要求,依据专项应急预案,开展网络安全事件应急处置工作,并做好事件的调查、分析、总结。
(三)做好专项应急预案应急响应所需资源的准备和保障工作。
(四)协调配合其他专项工作组和县局网络安全应急办开展应急处置工作。
(五)定期组织开展本专项预案应急演练。
四、有关工作机制
(一)网络安全事件监测预警和信息通报机制。县局网络安全应急办各专项工作组和各税务分局开展网络安全风险和事件监测,及时向县局网络安全应急办报送网络安全风险预警和事件信息。县局网络安全应急办收到风险预警和事件信息后,根据事件级别及时向县局网信领导小组和上级单位报送相关信息,向全县税务系统和社会发布相关信息。
(二)网络安全事件研判定级和应急处置机制。县局网络安全应急办各专项工作组按照全县税务系统网络安全事件综合应急预案有关要求,开展事件研判、定级和应急处置。
1.县局网络安全应急办各专项工作组发生网络安全事件,开展应急处置的同时将网络安全事件报县局网络安全应急办。
2.县局网络安全应急办收到网络安全事件信息后,根据损失程度和影响范围研判事件级别;对于一般网络安全事件,由县局网络安全应急办主任或副主任主持召开应急工作会议,有关专项工作组参加,研究网络安全事件预警、处置和调查评估等事项,开展应急处置工作。
3.对于预判为特别重大、重大、较大、一般网络安全事件,立即向县局网信领导小组报告,同时启动应急响应预案。对于特别重大、重大、较大网络安全事件,由县局网信领导小组在上级单位的协调指挥下开展应急处置。对于一般网络安全事件,由县局网信领导小组直接指挥处置。
第四章 监测与预警机制
一、预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。各级税务机关可根据事件影响范围和损失程度综合确定预警等级,对可能出现跨地区或超出事发单位处置能力等的安全事件,可酌情提高预警等级。
二、预警监测
各级税务机关按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作,做好监测信息共享,并将重要监测信息及时报上级税务机关。
三、预警研判和发布
预警信息包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。在监测过程中,各级税务机关应根据预警事件的变化情况,动态调整预警级别和防范措施。
红色预警由国家网络安全应急办组织研判、确定、发布。
县局网络安全应急办各专项工作组和各县局组织对监测信息进行研判,认为需要立即采取防范措施的,及时通知有关部门和单位。对于可能发生一般及以上的网络安全事件的信息,立即上报县局网络安全应急办和本地网络安全应急办公室。县局网络安全应急办综合各方面获得的预警信息,进行分析研判,对于可能发生一般网络安全事件的信息,经县局网信领导小组研究同意后,发布蓝色及以下预警,提出防范措施
四、预警响应
(一)红色/橙色预警响应
1.县局网信领导小组、县局网络安全应急办按照上级单位的红色/橙色预警响应要求配合开展预警响应工作。
2.县局网络安全应急办组织预警响应工作,联系相关专项工作组和有关机构,对事态发展情况进行跟踪研判,制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
3.县局网络安全应急办密切关注事态发展,将预警响应情况及时报告县局网信领导小组和省局网络安全应急办。
4.县局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。
5.县局网络安全应急办实行24小时值班制度,保持联络畅通,加强网络安全事件监测和事态发展信息搜集工作,组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。
(二)黄色预警响应
1.县局网信领导小组、县局网络安全应急办按照上级单位的黄色预警响应要求配合开展预警响应工作。
2.县局网络安全应急办组织预警响应工作,联系相关专项工作组和有关机构,对事态发展情况进行跟踪研判,制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
3.县局网络安全应急办密切关注事态发展,将预警响应情况及时报告县局网信领导小组和上级单位。
4.县局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。
5.县局网络安全应急办及相关专项工作组实行24小时值班,保持联络畅通,加强网络安全事件监测和事态发展信息搜集工作,组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。
(三)蓝色预警响应
1.报经上级单位和县局网信领导小组批准后,县局网络安全应急办启动蓝色预警响应
2.县局网络安全应急办组织预警响应工作,联系相关专项工作组、专家组和有关机构,对事态发展情况进行跟踪研判,制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
3.县局网络安全应急办密切关注事态发展,将预警响应情况及时报告县局网信领导小组,重大事项及时报告上级单位。
4.县局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。
5.县局网络安全应急办保持联络畅通,加强网络安全事件监测和事态发展信息搜集工作,组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。
五、预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
第五章 应急处置
网络安全事件按照“分级指挥、属地为主、快速研判、立即处置、及时通报、留存证据”原则进行处置。
对于日常运维事件,按照运维流程进行处置。县局网络安全应急办专项工作组在处置一般网络安全事件过程中,若需要省局提供支持,按照系统运维《重大请求》流程处置。各分局在处置一般网络安全事件过程中,若需要县局提供支持,按照应用系统运维流程处置。在运维处置过程中,若出现多个分局、多个系统集中发生类似情况或运维流程难以有效应对时,可视情况参照网络安全事件应急预案开展处置。
对涉及跨区域或超出事发单位处置能力的网络安全事件,根据事发单位请求,县局网络安全应急办协调相关专项工作组和应急技术支撑队伍协助事发单位进行处置。紧急情况下,县局网络安全应急办应请求上级单位协调相关资源予以协助。
一、事件研判和上报
网络安全事件发生后,事发单位应立即启动应急预案,组织先期处置,控制事态,消除隐患,注意保存证据,并及时向上级机关报送信息(见附件2)。
(一)县局
1.县局网络安全应急办收到事发单位上报的网络安全事件信息后,及时召开会议,会商、确定网络安全事件级别。对于预判为特别重大、重大、较大、一般网络安全事件,立即上报县局网信领导小组研究;对于确定为一般网络安全事件,由县局网络安全应急办启动应急响应机制,直接指挥处置工作。
2.县局网信领导小组召开会议,对预判为特别重大、重大、较大、一般网络安全事件进行研究,拟定为特别重大、重大、较大网络安全事件的,上报上级单位。对于确定为一般网络安全事件的,启动应急响应机制,由县局网信领导小组进行指挥、处置,并上报上级单位。
二、应急响应
网络安全事件应急响应分为四级,分别对应特别重大(Ⅰ级)、重大(Ⅱ级)、较大(Ⅲ级)、一般网络安全事件(Ⅳ级)。Ⅰ级为最高响应级别。根据实际需要,可提高应急响应级别。
(一)Ⅰ级/Ⅱ级响应
县局网信领导小组对拟定特别重大、重大网络安全事件,在上级单位指导下启动Ⅰ级/Ⅱ级响应,按照上级单位统一指挥开展应急处置工作。
1.启动应急指挥体系
县局网信领导小组、县局网络安全应急办、相关专项工作组进入应急状态,县局网络安全应急办24小时值班,按照《Ⅰ级响应工作任务表》(见附件3)、《Ⅱ级响应工作任务表》(见附件4)实施应急处置工作。及时将相关情况上报上级单位,并按要求开展相关工作。
2.掌握事件动态
(1)跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报县局网络安全应急办。
(2)检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况,及时汇总并上报县局网络安全应急办。
(3)及时通报情况。县局网络安全应急办汇总应急处置情况,上报县局网信领导小组,通报相关单位。县局网信领导小组按规定上报上级单位。
3.决策部署
4.处置实施县局网信领导小组、县局网络安全应急办、县局网络安全应急办专项工作组依据上级单位要求配合开展应急处置工作。
(1)控制事态防止蔓延。各级税务机关网络安全应急办根据上级机关网络安全应急办的部署,组织受影响单位应急保障人员采取各种技术措施、管控手段,最大限度地阻止和控制事态发展;县局网络安全应急办负责协调县直相关厅局,通信、电力、消防等相关部门协同配合,防止事态进一步蔓延。
(2)做好处置尽快恢复。各级税务机关网络安全应急办组织各专项工作组尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织业务补偿。
(3)预防和处置衍生事件。各级税务机关要做好对受影响公众的解释、疏导工作,及时进行沟通,做好临时性补救措施,防止因公众遭受损失衍生大规模群体性事件。
(4)信息发布。上级单位负责组织网络安全事件的应急新闻工作,县局在上级机关指导下,配合开展新闻发布和舆论工作。未经批准,其他部门和单位不得擅自发布相关消息。
(5)上级单位启动Ⅰ级、Ⅱ级响应涉及税务系统时,各级税务机关应按照要求,积极开展相应应急处置工作。
(二)Ⅲ级响应
县局网信领导小组对拟定较大网络安全事件,在上级单位指导下启动Ⅲ级响应,按照上级单位统一指挥开展应急处置工作。
1.启动应急指挥体系
县局网信领导小组、县局网络安全应急办、相关专项工作组进入应急响应和值班状态,按照《Ⅲ级响应工作任务表》(见附件5)实施应急处置工作。及时将相关情况上报市局网络安全应急办,按市局网络安全应急办要求开展相关工作。
县局网信领导小组、网络安全应急办、专项工作组进入应急响应和值班状态。
2.掌握事件动态
(1)跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报县局网络安全应急办。
(2)检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况,及时汇总并上报县局网络安全应急办。
(3)及时通报情况。县局网络安全应急办汇总应急处置情况,报告县局网信领导小组,通报相关单位。县局网信领导小组按规定上报上级单位。
3.决策部署
县局网信领导小组、县局网络安全应急办、县局网络安全应急办专项工作组依据上级单位要求配合开展应急处置工作。
4.处置实施
(1)控制事态,防止蔓延。县局网信领导小组根据上级单位部署,组织受影响单位应急保障人员采取各种技术措施、管控手段,最大限度地阻止和控制事态发展,协调相关部门、相关单位网络安全应急办,协调通信、电力、公安、银行等部门协同配合,防止事态进一步蔓延。
(2)做好处置,尽快恢复。各级税务机关网络安全应急办组织各专项工作组尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决方案,组织实施处置,对业务连续性要求高的受破坏网络与信息系统要及时组织业务补偿。
(3)预防和处置衍生事件。事件影响单位要做好对受影响公众的解释、疏导工作,及时进行沟通,做好临时性补救,防止因公众遭受损失衍生大规模群体性事件。
(4)调查取证。事发单位在应急处置过程中应保留、收集相关证据。
(5)信息发布。县局在上级单位指导下组织网络安全事件的应急新闻工作,开展新闻发布和舆论引导。未经批准,其他部门和单位不得擅自发布相关消息。
(三)Ⅳ级响应
县局网信领导小组负责对一般网络安全事件启动Ⅳ级应急响应、并指挥处置。
1.启动应急指挥体系
县局网信领导小组、县局网络安全应急办、相关专项工作组进入应急响应和值班状态,按照《Ⅳ级响应工作任务表》(见附件6)开展应急处置工作。
相关领导小组、网络安全应急办、专项工作组进入应急响应和值班状态。
2.掌握事件动态
(1)跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况,逐级上报各上级单位网络安全应急办。
(2)检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况,及时汇总并逐级上报各上级单位网络安全应急办。
(3)及时通报情况。县局网络安全应急办汇总应急处置情况,报告县局网信领导小组,通报相关单位。县局网信领导小组按规定上报上级单位。
3.决策部署
县局网络安全应急办组织相关专项工作组和专家组研究对策,对处置工作进行决策部署。
4.处置实施
应急处置工作由县局网信领导小组统筹指挥、协调。县局网络安全应急办、各专项工作组按照相关专项预案进行应急响应。
根据县局网络安全应急办的通报,结合自身实际有针对性地加强防范,防止造成更大范围影响和损失。
相关信息发布由县局网络安全应急办舆情管理在省局指导下统一开展。未经批准,各单位不得擅自发布相关消息。
三、事件级别调整
在应急处置过程中,应急处置部门监控事件动态变化,当认为需要调整事件级别时,按有关流程上报并调整事件响应级别。
四、应急结束
Ⅰ、Ⅱ、Ⅲ级应急响应由市局网信领导小组或上级单位宣布结束。
Ⅳ级应急响应由省局网络安全应急办或县局网信领导小组宣布结束。
县局网信领导小组应将应急响应工作情况报告上级单位。
响应结束后应向上级机关报送应急响应结果。
第六章 调查与评估
网络安全事件结束后,应组织开展事件调查和总结评估,查明事件起因、性质和经过,分析危害程度和责任,提出整改防范措施和处理建议,形成《网络安全事件应急响应结果报告》(见附件7)。
重大及以上网络安全事件由上级单位组织进行调查和评估。
较大以上网络安全事件由县局网络安全应急办牵头,在上级单位指导下,组织相关专项工作组和专家组进行调查处理和总结评估,报上级单位。
一般网络安全事件由县局组织调查处理和总结评估,事件调查分析报告应按规定上报上级单位。
事件的调查处理和总结评估工作原则上在应急响应结束后30日内完成。
第七章 预防工作
一、日常管理
各级税务机关按职责做好网络安全事件日常预防工作,制定、完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
(一)业务风险分析和补偿机制。业务主管部门要结合业务特点,识别业务风险因素,分析网络安全事件可能产生的直接后果和次生、衍生后果,提出控制风险、治理隐患的措施,制定网络安全事件发生后的业务补偿方案。
(二)建立健全应急保障体系。采用多种技术手段监控和保障单位信息系统安全,不断完善网络安全管理制度。
(三)全面落实信息系统等级保护制度。按照等级保护制度要求制定防护策略,设计防护方案,落实防护措施,检查防护效果,修补防护漏洞,保障网络安全。
(四)有效落实网络安全风险评估制度。在新系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务发生重大变化时,应重新识别、分析、控制风险。
(五)建设容灾备份系统。完善容灾备份相关制度、操作规范,对重要业务系统数据进行容灾备份,并定期开展灾备恢复演练。
二、宣传与培训
各级税务机关应充分利用各种媒介和其他有效宣传形式,加强突发网络安全事件预防和应急处置的有关法律、法规、政策和应急响应预案的宣传,开展网络安全应急知识和技能的宣传活动。
各级税务机关要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识和技能。应急预案编制单位应当积极开展培训,对网络安全应急办成员、各专项工作组成员和相关的业务、技术人员进行应急知识培训。
三、应急演练
县局网络安全应急办指导、督促各单位定期组织应急演练,检验和完善预案,提高实战能力。
各级税务机关每年至少组织一次预案演练,并将演练情况报上级网络安全应急办。
在应急预案更新后或遇有可预见的网络安全事件时,应及时开展应急演练,检验应急预案的可行性,提高有关人员的应急响应熟练程度。
应急演练以应急预案为基础,在演练前应确定演练的目标、范围及方式,制定详细、严谨的应急演练方案,避免对正常业务造成不必要的影响。应急演练如涉及上级部门或其他部门,应事先做好沟通协调工作,避免干扰其正常工作。
四、重要敏感时期的预防措施
在国家重要活动、重大会议、长假及网络安全高风险预警发生等重要敏感时期,各级税务机关要加强网络安全事件的防范和应急响应,确保网络安全。县局网络安全应急办统筹协调网络安全保障工作,各专项工作组、县局网络安全应急办加强网络安全监测、分析和研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全隐患。
第八章 保障措施
一、落实应急工作责任制
各级税务机关要落实网络安全应急工作责任制,建立健全网络安全应急工作机制,压实领导责任,把责任落实到具体部门、具体岗位和个人。
二、加强人才队伍建设
加强网络安全应急人才队伍建设。加强专业技术培训,不断提高应急人才队伍的监测预警、预防防护、应急处置能力;定期开展应急演练,提高应急处置熟练程度。建立应急人员保障长效机制,设立应急管理岗位,明确岗位人员的应急工作职责。
建立应急专家队伍,为网络安全事件的预防和处置、事件定级和调查评估等提供技术咨询和决策建议。应急专家队伍应由外部门技术专家、系统内业务、技术人员组成。
三、强化外部协调
网络安全事件发生后,县局网络安全应急办根据事件发生的起因、性质、影响、责任等,向外部有关单位通报事件有关情况,协调事件的应急处置。发生一般及以上网络安全事件后,应根据需要及时、主动向本地区网络安全主管部门通报相关情况。
四、应急资源保障
应急资源包括应急经费保障、外部技术支撑服务等。
各级税务机关要编制网络安全应急专项资金预算,确保应急保障物资的及时采购和必要储备,支持网络安全应急外部支撑队伍建设、培训、基础平台建设、预案演练等工作开展。
县局网络安全应急办各专项工作组原则上应按照网络安全事件Ⅲ级响应级别,县局原则上应按照网络安全事件Ⅳ级响应级别,储备应急资源,购买外部技术支撑服务,并在合同中明确应急响应相关服务要求。采购的外部技术支撑服务包括但不限于相关的软硬件厂商、系统集成商、网络安全服务商和国家网络安全相关技术服务单位提供的监测预警、预防防护、应急处置、应急技术支援等服务。
五、责任与奖惩
网络安全事件应急处置工作实行责任追究制。
县局对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表扬和奖励;对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或在应急管理工作中有其他失职、渎职行为的,依据相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
第九章 预案管理
各单位应做好应急预案的维护工作,确保应急预案的完整性、实用性、可行性,有效指导应急响应工作。
1.各单位应安排专人负责应急预案管理,将应急预案最新版本分发给所有应急相关人员。
2.各单位应当根据信息基础设施、人员、业务变动情况及时更新应急预案。
3.各单位应在应急响应或演练结束后,分析评估应急预案的执行效果,根据需要对应急预案进行修订、完善。
4.原则上应急预案应每年进行评估、修订,发布更新,以确保应急预案的准确性和有效性。
第十章 附则
本预案由舒城县税务局网络安全应急办负责解释和修订。
本预案自印发之日起施行。
地址:舒城县城关镇梅河路403号网站技术联系电话:0564-8664849/8665333邮政编码:231300
皖公网安备 34152302000043号本站已支持IPV6访问
