1.总则
1.1编制目的
提高学校应对网络安全突发事件的能力,建立健全科学、有效、反应迅速的应急工作机制,保障网络与信息系统安全稳定,最大限度地减轻网络安全突发事件的危害,维护学校稳定。
1.2编制依据
依据《中华人民共和国网络安全法》《国家网络安全事件应急预案》《黑龙江省网络安全事件应急预案》《黑龙江省教育系统网络与信息安全突发事件应急预案》等法规和文件精神,结合学校实际情况,制定本预案。
1.3适用范围
本预案适用于学校校本部、大庆校区、各直属附属医院发生的网络安全事件以及发生在其他地区或其他单位影响我校的网络安全事件的预防、监测、报告和处置工作。本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对学校和社会造成负面影响的事件。可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。其中,信息内容安全事件的应对,参照有关规定和办法。
1.4事件分级
参照相关事件分级规定,结合我校特点,将网络安全事件分为四级:特别重大网络安全事件(I级)、重大网络安全事件(II级)、较大网络安全事件(III级)、一般网络安全事件(IV级)。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家及学校安全、社会及校园秩序、经济建设和师生利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5工作原则
(1)统一指挥、密切协同。哈尔滨医科大学网络安全和信息化工作领导小组(以下简称领导小组)统筹协调哈医大网络安全应急指挥工作,建立与国家、省、行业网络安全职能部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
(2)分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则,各单位要在主管部门和学校领导下,负责本单位网络安全应急工作。各级党委(党组)对本单位网络安全工作负主体责任,领导班子主要负责人是网络安全工作第一责任人。
(3)预防为主、平战结合。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
2.组织机构与职责
2.1领导机构与职责
在领导小组的领导下,领导小组办公室(以下简称“网信办”)统筹协调组织网络安全事件应对工作,建立健全跨部门联动处置机制。发生较大及以上网络安全事件时,成立哈尔滨医科大学网络安全事件应急指挥部(以下简称指挥部),指挥长由主管网络安全的副校级领导担任,副指挥长由宣传部门负责人担任,成员由相关单位负责人担任。
2.2办事机构与职责
哈尔滨医科大学网络安全应急办公室(以下简称“应急办”)设在网信办,具体工作由现代教育技术中心承担。应急办负责网络安全应急管理事务性工作,对接国家、省、行业相关职能部门,向领导小组报告网络安全事件情况,提出网络安全事件应对措施建议,指导各单位建立网络与信息安全突发事件的监测预警和防控机制,协调相关单位做好应急处置的技术支撑工作。有关单位指派负责相关工作的副处级同志为联络员,联络应急办工作。
2.3各单位职责
各单位按照职责和权限,负责本单位网络安全事件的预防、监测、报告和应急处置工作,设立网络安全员对本单位的网络安全进行检查监督,落实各自网络安全责任。
3.监测与预警
3.1预警分级
建立学校网络安全事件预警制度。按照事件紧急程度、发展态势和可能造成的危害程度,网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2预警监测
现代教育技术中心对校本部建设运行的网络和信息系统开展网络安全监测工作。大庆校区、各直属附属医院网信部门结合本部门实际,统筹组织开展对本单位网络和信息系统的安全监测工作。各单位及时将重要监测信息报网信办。
3.3预警研判与发布
网信办组织专家对监测报告进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即釆取防范措施的及时通知有关单位;认为可能发生重大以上(含重大)网络安全事件的信息,应立即启动应急预案,并向教育厅、省网信办报告。
应急办可根据监测研判情况,发布蓝色预警;红色、橙色、黄色预警分别由国家、省、省教育厅发布;对达不到预警级别但又需要发布警示信息的,应急办向各单位发布风险提示信息。
预警信息包括预警级别、起始时间、可能影响范围、警示事项、应釆取的措施、时限要求和发布机关等。
3.4预警响应
3.4.1红、橙、黄色预警响应
应急办及相关单位按照教育部、省委网信办、教育厅网络安全应急办要求,实行24小时值守,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,按照规定及时报送事件信息。
3.4.2蓝色预警响应
(1)应急办组织预警响应工怍,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定预防措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
(2)大庆校区、各直属附属医院要按照应急办或本级网络安全事件应急指挥机构要求启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作并及时将事件的事态发展情况报应急办。应急办要密切关注事态发展,有关重大事项及时报上级相关部门。
(3)网络安全应急技术支撑队伍要保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.5预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
4.应急处置
4.1事件报告
学校建立健全网络安全事件信息报告机制。事发单位发生网络安全事件后,应立即报告学校应急办。应急办接到报告后立即启动应急预案并报告学校网络安全和信息化工作领导小组,组织本单位的应急队伍和工作人员根据不同的事件类型和事件原因,釆取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。经分析研判,确认为重大和特别重大网络安全事件的,要在事件发生后2小时内报告厅网络安全应急办;确认为一般或较大网络安全事件的,要在事件发生后3小时内报告厅网络安全应急办。对于人为破坏活动,学校应急办同时报告本地网信部门和公安机关。
报告内容要真实,不得瞒报、虚报、漏报。发生重大网络安全事件及以上时,要连续上报网络信息安全事件应急处置的进展情况及有关内容。
重大网络安全事件快报及续报应当包括以下内容:
(1)事件单位的名称、负责人、联系电话;
(2)事件发生的时间、地点;
(3)事件的简要经过;
(4)事件造成的危害程度、影响范围等;
(5)其他需上报的有关事项。
4.2应急响应
网络安全事件应急响应分为四级,分别对应特别重大(I级)、重大(II级)、较大(III级)和一般网络安全事件(IV级)。I级为最高响应级别。
4.2.1 I级、II级
学校应急办按照国家、省和省教育厅网络应急机构的要求开展工作。
(1)启动指挥体系
学校应急指挥机构进入应急状态,在省教育厅网络安全应急指挥部的统一领导、指挥、协调下,负责学校应急处置工作或支援保障工作,相关工作人员24小时值班。
(2)掌握事件动态
①跟踪事态发展。事件发生单位及时将事态发展变化情况和处置进展情况报学校网络安全应急指挥部办公室。
②检查影响范围。相关单位立即全面了解本单位范围内的网络和信息系统是否受到事件的波及或影响,并将有关情况及时报学校网络安全应急指挥部办公室。
③及时通报情况。学校应急办负责汇总上述有关情况,重大事项及时报教育厅和省网络安全应急指挥部,并通报相关单位。
(3)决策部署
学校应急办按照国家、省、省教育厅网络安全应急机构的要求,部署我校应急处置工作或支援保障工作。
(4)处置实施
各相关要单位按照国家、省、省教育厅网络安全应急机构要求做好下列工作。
①控制事态防止蔓延。尽快控制事态,组织、督促相关运行单位有针对性地加强防范,防止事态蔓延。
②消除隐患恢复系统。各相关单位根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏的网络和信息系统正常运行。有关基础电信企业、网络产品和服务提供者立即启动应急预案,采取相应的措施,配合用户处理系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,协助处置网络安全的事件。必要时可依法征用单位和个人的设备和资源,并按照国家规定给予补偿。
③调查取证。事发单位在应急恢复过程中应保留相关证据。对于人为破坏活动,配合相关职能补办开展调查取证工作。
④省际协调。我校按照省网络安全应急指挥部要求,根据国家有关规定,开展与其他地区和社会组织的协调。
⑤协调配合网络安全事件引发的其他突发事件的应急处置。
4.2.2 III级响应
网络安全事件的III级响应,学校按照省教育厅网络应急机构的要求开展工作。
教育厅网络安全应急办组织专家根据事件的性质和情况确定。
(1)学校应急办进入应急状态,按照本预案做好应急处置工作。
(2)学校应急办及时将事态发展变化情况报省教育厅网络安全应急指挥部办公室。将有关重大事项及时通报相关单位。
(3)处置中需要应急技术支撑队伍配合和支持的,学校应急办协商相关单位予以协调。
(4)学校应急办结合实际有针对性地加强防范,防止造成更大范围影响和损失。
4.2.3 IV级响应
网络安全事件的IV级响应,学校应急办组织专家根据事件的性质和情况确定。
(1)应急办进入应急状态,按照本预案做好应急处置工作。
(2)应急办及时将事态发展变化情况报省教育厅网络应急部门。将有关重大事项及时通报相关单位。
(3)处置中需要应急技术支撑队伍配合和支持的,应急办予以协调。
(4)应急办结合实际有针对性地加强防范,防止造成更大范围影响和损失。
4.3应急结束
4.3.1 I、II、III级响应结束
I、II、III级响应按照国家应急办、省应急办、省教育厅网络安全应急办统一部署结束。III级网络安全事件应急处置要在72小时内完成。
4.3.2 IV级响应结束
学校应急办提出建议,报领导小组批准后结束,上报教育厅网络安全应急办并及时通知相关单位。
IV级网络安全事件应急处置要在48小时内完成。
4.4信息发布
网络安全事件应急信息的公开发布由网信办决定,应急办发布。其他单位不得擅自发布相关信息。
5.调查与评估
涉及安全事件的单位负责组织网络安全事件的善后处置工作,包括尽快消除安全事件影响,妥善安置和慰问受害及受影响人员,保证学校稳定。
特别重大和重大网络安全事件由国家和省调查处理和总结评估,并按程序上报。较大网络安全事件由省教育厅组织调查处理和总结评估。一般网络安全事件由学校组织调查处理和总结评估。相关总结调查报告需上报省教育厅。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
6.预防工作
6.1日常管理
学校现代教育技术中心、大庆校区现代教育技术中心、各直属附属医院信息中心按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2应急演练
应急办协调有关单位定期组织应急演练,检验和完善预案,提高实战能力。
学校现代教育技术中心、大庆校区现代教育技术中心、各直属附属医院信息中心每年至少组织或参加一次应急演练,并将演练情况上报应急办存档。
6.3宣传
学校将网络安全教育作为国家安全教育的重要内容,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高在校师生的网络安全意识。
6.4培训
学校现代教育技术中心、大庆校区现代教育技术中心、各直属附属医院信息中心应将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
6.5重要活动期间的预防措施
在国家重要活动、会议期间,各单位要加强网络安全事件的防范和应急响应,确保网络安全。网信办加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。
7.保障措施
7.1机构和人员
各单位应落实网络安全工作责任制,将网络安全应急工作作为重点工作予以部署,建立健全应急工作机制,把网络安全应急工作责任落实到具体岗位和个人。
7.2技术支撑队伍
加强网络安全应急技术支撑队伍建设,配备必要的网络安全专业技术人才,建立必要的网络安全信息共享机制,加强与网络安全相关技术单位的沟通、协调,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。
7.3经费保障
学校要为网络安全事件应急处置提供必要的资金保障。支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作开展,为网络安全应急工作提供必要的经费保障。
7.8责任与奖惩
学校和各单位对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励;对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
8.附则
8.1预案管理与更新
本预案根据上级有关文件的更新适时修订,修订工作由学校应急办组织。
大庆校区、各直属附属医院要根据本预案制定或修订本单位的网络安全事件应急预案。各预案要做好与本预案的衔接,并报学校应急办备案。
8.2预案解释
本预案由应急办负责解释。
8.3预案实施时间
本预案自印发之日起实施。
