华北水利水电大学网络安全事件应急预案
第一章总则
第一条 为进一步健全完善学校网络安全事件应急工作机制,规范学校网络安全工作流程,提高学校网络安全应急处置能力,预防和减少网络安全事件造成的损失和危害,维护学校安全稳定,根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》《教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》和《华北水利水电大学网络信息安全管理规定》,特制定本预案。
第二条 本预案适用于华北水利水电大学校内各单位。根据《国家网络安全应急预案》和《教育系统网络安全事件应急预案》规定,本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对学校和各单位网络和信息系统或其中的数据造成危害,对国家、社会、公民、学校和师生造成负面影响甚至损失的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。
第二章安全事件分级
第三条 参照《国家网络安全应急预案》和《教育系统网络安全事件应急预案》事件分级规定,结合学校特点,根据可能造成的危害、可能发展蔓延的趋势等,建立华北水利水电大学网络信息安全事件预警制度:特别重大网络信息安全事件、重大网络信息安全事件、较大网络信息安全事件、一般网络信息安全事件。由高到底依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生学校特别重大、重大、较大和一般网络与信息安全事件。
第四条 符合下列情形之一的,为特别重大网络安全事件(I级):
1.网页被篡改、盗链或破坏性病毒、文件传播,导致反动言论或者谣言等违法信息大面积扩散,给国家、社会、学校带来严重损害;
2.校园网大面积瘫痪,时间超过24小时以上的;
3.其他对学校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
第五条 符合下列情形之一且未达到特别重大网络与信息安全事件的,为重大网络与信息安全事件(Ⅱ级):
1.网页被篡改、盗链或破坏性病毒、文件传播,导致反动言论或者谣言等违法信息在一定范围内扩散,给国家、社会、学校带来严重损害的;
2.校园网大面积瘫痪,时间超过12小时以上的;
3.其他对学校安全稳定和正常秩序构成较为严重威胁,造成较为严重影响的网络信息安全事件。
第六条 符合下列情形之一且未达到重大网络与信息安全事件的,为较大网络与信息安全事件(Ⅲ级):
1.ncwu.edu.cn域名的权威系统解析效率一定程度下降,学校门户网站受到攻击导致响应速度较慢,时间超过6小时以上的;
2.网页被篡改、盗链或破坏性病毒、文件传播,导致反动言论或者谣言等违法信息小范围扩散,给国家、社会、学校带来轻微损害的;
3.学校关键信息基础设施遭受网络攻击,关键业务或校级核心业务;
4.信息系统(网站)遭受较小损失,导致一定程度影响师生工作、生活,或者造成较小经济损失,或者造成轻微不良社会影响的;
5.校园网局部区域中断,时间超过6小时以上;
6.其他对学校安全稳定和正常秩序构成较小威胁,造成较小影响的;
7.网络信息安全事件。
第七条 一般网络安全事件(Ⅳ级):
除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络与信息安全事件,为一般网络与信息安全事件。
第三章组织机构与职责
第八条 领导机构与职责。中共华北水利水电大学委员会网络安全和信息化领导小组(以下简称校网信领导小组)统筹协调学校全局性网络与信息安全事件应急工作,指导学校各部门各类网络与信息安全事件应急处置;发生特别重大网络与信息安全事件时,负责组织指挥和协调事件处置。
第九条 办事机构与职责。在校网信领导小组的领导下,网络安全和信息化领导小组办公室(以下简称校领导小组办公室)负责网络与信息安全应急管理事务性工作,对接上级主管部门并负责向上级主管部门报告网络安全事件情况,提出特别重大网络安全事件应对措施建议,统筹组织网络安全监测工作,指导网络安全技术支撑单位做好应急处置技术支撑工作。
第十条 校网信领导小组职责如下:
1.根据网络安全事件事态发展,向河南省教育厅网络安全和信息化领导小组办公室汇报有可能演变成I级和Ⅱ级的网络与信息安全事件,并做好相关准备工作;
2.责成领导小组办公室组织技术力量响应和处置涉及学校的I级和Ⅱ级网络安全事件;
3.督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况;
4.对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。
第十一条 领导小组办公室职责如下:
1.负责网络信息安全工作的组织、协调和监督,制定相关制度和应急预案;
2.根据校内发生的网络信息安全事件程度提出Ⅲ级及以下级别预案的启动,组织协调信息化办公室等单位落实应急预案,共同做好处置工作;
3.负责及时收集、通报和上报网络信息安全事件处置的有关情况。
第十二条 信息化办公室职责如下:
1.负责校园基础网络系统安全,保证校园网络提供不间断服务;
2.负责全校性信息系统的安全事件处置工作;
3.负责计算机病毒疫情和大规模网络攻击事件的处置;
4.负责全校网络信息安全事件处置的技术支持工作。
第十三条 校内其他二级单位职责。校内各单位在领导小组办公室指导下负责本单位内部发生的网络信息安全管理和突发事件的应急处置工作,应对照依据本预案,建立本部门网站及信息系统相应的应急预案,报领导小组办公室备案。
第十四条 校内各单位官方微博、微信、移动政务客户端(以下简称“两微一端”)等新媒体平台根据《华北水利水电大学校内网站和域名管理办法》和《华北水利水电大学新媒体建设与管理工作实施办法》(宣字〔2017〕5号)进行登记管理,根据“谁主管谁负责、谁发布谁负责”的原则,落实保障措施。
第四章工作原则
第十五条 统一指挥、紧密协同。学校网络安全和信息化领导小组统筹协调学校网络与信息安全应急指挥工作,建立与上级主管部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
第十六条 分级管理、强化责任。根据“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,学校各党委、党总支、直属党支部对本单位网络和信息安全工作负主体责任,二级党组织书记是网络和信息安全工作第一责任人,学校各单位网络和信息安全工作的主要负责人是网络和信息安全工作直接责任人。
第十七条 预防为主、快速响应。坚持预防工作和事件快速响应处置相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络和信息安全事件风险和影响范围。
第五章监测与预警
第十八条 事件监测。领导小组办公室授权信息化办公室通过多种渠道监测、发现已经发生的网络与信息安全事件,将掌握的情况立即通知校内相关单位。校内各单位对本单位网站和信息系统的运行状况进行密切监测,一旦发生网络与信息安全事件,应当立即通过电话等方式向学校领导小组办公室报告,不得迟报、谎报、瞒报、漏报。
第十九条 威胁监测。领导小组办公室授权信息化办公室对学校网络与信息安全威胁进行监测,通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络信息安全威胁信息,依托协同办公等平台实现安全威胁信息的发布。校内各单位应加强对本单位网站和信息系统的网络与信息安全威胁监测,对发生的威胁及时进行处置和上报。
第二十条 预警研判和发布。领导小组办公室对监测信息或其他渠道转发的信息进行研判,对发生网络与信息安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知学校相关单位并发布预警信息;认为可能发生重大以上(含重大)网络信息安全事件的信息,应立即向校网信领导小组报告,领导小组向河南省教育厅网络安全和信息化领导小组办公室报告。
校网信领导小组可根据领导小组办公室的研判情况,发布本校黄色预警,领导小组办公室可发布本校蓝色预警,对达不到预警级别的信息可发布警示信息。
预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求等。
第二十一条 预警响应。
1.红色和橙色预警响应
(1)领导小组办公室组织预警响应工作,接受上级部门对预警响应的指导,联系有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度资源,做好各项准备,重要情况报校网信领导小组。
(2)组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作;开展应急处置或准备、风险评估;密切关注舆情动态,加强教育引导,采取有效措施管控风险。
(3)有关单位应根据领导小组办公室要求,实行24小时值守,相关人员保持通信畅通。
(4)领导小组办公室做好与专业机构沟通协调的准备工作;信息化办公室进入待命状态,研究制定应对方案,检查设备、软件工具等,确保处于良好状态。
2.黄色预警响应
领导小组办公室根据校网信领导小组要求,会同信息化办公室和事发单位做好预警响应工作。
3.蓝色预警响应
领导小组办公室召集信息化办公室和事发单位做好预警响应工作。
第二十二条 预警解除。校网信领导小组根据实际情况,确定是否解除黄色预警;领导小组办公室确定是否解除蓝色预警;发布的预警解除信息中需包含解除原因、注意事项等内容。
第六章应急处置
第二十三条 初步处置。网络安全事件发生后,事发单位应立即报学校领导小组办公室,领导小组办公室应按事件性质、危害和威胁程度等初步研判事件级别,通知信息化办公室采取断网等技术措施将影响降到最低,并提取网络攻击、网络入侵或网络病毒等证据。信息化办公室应组织应急队伍和工作人员根据不同的事件类型和事件原因,采取科学有效的应急处置措施。经分析研判初判为特别重大、重大网络信息安全事件的,领导小组办公室应立即报告校网信领导小组,由学校上报河南省教育厅网络安全和信息化领导小组办公室;对人为破坏活动,应同时报省网信部门和公安机关。
第二十四条 应急响应。网络与信息安全事件应急响应分为I级、Ⅱ级、Ⅲ级、Ⅳ级等四级,分别对应学校特别重大、重大、较大和一般网络与信息安全事件。
1.I级响应
发生特别重大网络安全事件,由河南省教育厅网络安全和信息化领导小组办公室提出I级响应建议,经批准后,成立应急响应工作组。
(1)启动指挥体系
①工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持24小时联络畅通,领导小组办公室和信息化办公室24小时派人值守。
②校内有关单位、领导小组办公室、信息化办公室和人员进入应急状态,在工作组的统一领导、指挥及协调下组织人员开展应急处置或支援保障工作,启动24小时值守,并派员参加应急响应工作组的工作。
(2)掌握事件动态
①跟踪事态发展。学校工作组与河南省教育厅网络安全和信息化领导小组办公室保持联系,及时填写《教育系统网络安全事件情况报告》,将事态发展变化情况和处置进展情况上报河南省教育厅网络安全和信息化领导小组办公室。
②检查影响范围。校内有关单位立即了解本单位主管的网络和信息系统是否受到事件的波及或影响,并将有关情况及时报校领导小组办公室。
③及时通报情况。领导小组办公室负责整理上述情况,重大事项及时报学校应急响应工作组和河南省教育厅网络安全和信息化领导小组办公室,并通报校内有关单位。
(3)决策部署。应急响应工作组组织校内有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见,对处置工作进行决策部署。
(4)处置实施
①控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
②消除隐患恢复系统。根据事件发生原因,有针对性制定解决方案,备份数据,保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要在6小时内及时恢复。
③调查取证。事件单位应在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。
④信息发布。党委宣传部根据实际,组织网络安全突发事件的应急新闻工作,未经批准,校内其他单位一律不得擅自发布相关信息。
⑤协调河南省教育厅网络安全和信息化领导小组办公室支持。处置中需要技术及工作支持的,由领导小组办公室根据实际,报请应急响应工作组批准后,商河南省教育厅网络安全和信息化领导小组办公室予以支持。
⑥次生事件处置。对于引发或可能引发其他安全事件的,领导小组办公室应及时按程序上报。在相关部门应急处置中,领导小组办公室应做好协调配合工作。
2.Ⅱ级响应,由河南省教育厅网络安全和信息化领导小组办公室确定并发布。
(1)事发后领导小组办公室及校内有关单位进入应急状态,根据相关应急预案做好应急处置工作。
(2)领导小组办公室及时填写《教育系统网络安全事件情况报告》,报河南省教育厅网络安全和信息化领导小组办公室,同时办将有关重大事项及时通报校网信领导小组和校内有关单位。
(3)领导小组办公室协调其他单位和网络安全应急技术支撑队伍配合和支持事件处置工作。
(4)校内有关单位根据通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
3.Ⅲ级响应由校网信领导小组确定,领导小组办公室会同信息化办公室和事件发生单位按有关网站和信息系统应急预案进行应急响应。
4.Ⅳ级响应由领导小组办公室确定,领导小组办公室组织事件发生单位按有关网站和信息系统应急预案进行响应。
第二十五条 应急结束
1.I级和Ⅱ级响应结束。由领导小组办公室提出建议,经学校应急响应工作组上报河南省教育厅网络安全和信息化领导小组办公室批准后结束,并及时通报校内有关单位。
2.Ⅲ级响应结束。由领导小组办公室、信息化办公室和事发单位会商解除响应状态。
3.Ⅳ级响应结束。校内事发单位完成应急处置完成并经信息化办公室确认后,报领导小组办公室批准解除Ⅳ级响应状态。
第七章调查与评估
第二十六条 特别重大网络安全事件和重大网络安全事件由领导小组办公室组织有关单位开展调查处理和总结评估工作,并将调查评估结果汇总上报校网信领导小组和河南省教育厅网络安全和信息化领导小组办公室。较大网络安全事件由领导小组办公室组织有关单位开展调查处理和总结评估工作,一般网络安全事件由校内事发单位自行组织,将结果报领导小组办公室备案。
第二十七条 网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。网络安全事件的调查处理和
第二十八条 总结评估工作应在应急响应结束后5个工作日内完成。
第八章责任与奖惩
第二十九条 学校将网络安全工作纳入年终目标绩效综合考核,对在网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。
第三十条 对不根据规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照《中共华北水利水电大学委员会网络意识形态工作责任制实施细则》进行追责问责处理。根据情节轻重,对领导班子和有关领导干部采取通报、诫勉、组织调整或者进行组织处理、纪律处分;构成犯罪的,依法追究刑事责任。
第九章附则
第三十一条 本预案原则上每年评估一次,根据实际情况适时修订。修订工作由领导小组办公室组织。校内各单位要根据本单位管理的业务信息系统、网站等网络信息资产的具体情况和本预案规定制定或修订本单位的网络安全事件应急预案。各单位的预案要做好与本预案的衔接,并报领导小组办公室备案。
第三十二条 本预案由网络安全和信息化领导小组办公室负责解释。本预案自发布之日起实施。
