網絡安全應急預案第一章總則第一條為建立健全網絡安全事件應急工作機制，提高應對網絡安全事件能力，預防和減少網絡安全事件造成的損失和危害，依據國家網絡安全事件應急的有關規定，制定本預案。第二條本預案所指網絡安全事件是指由于人為、軟硬件缺陷或故障、自然災害等原因，對我局網絡和信息系統或者其中數據造成危害，對社會造成不良影響的事件。第三條堅持統一指揮、密切協同、快速反應、科學處置；堅持以預防為主，預防與應急相結合；堅持“誰主管誰負責、誰運營誰負責、誰使用誰負責”等原則，充分調動各方力量，共同做好市醫保局網絡安全事件的預防與處置工作。第四條本預案適用于市醫保局網絡安全事件的應對工作。第二章管理機構及職責第五條市醫保局成立網絡安全應急辦公室，在局網絡安全和信息化領導小組（以下簡稱領導小組）的領導下開展網絡安全應急工作。網絡安全應急辦公室設在局辦公室。第六條網絡安全應急辦公室主要職責：（一）貫徹落實局黨組決策部署，落實領導小組工作安排;（二）向領導小組報告網絡安全事件應對工作相關情況，重大事項向局黨組報告；（三）制定（完善）局網絡安全事件應急預案；（四）組織技術力量開展網絡安全應急事件處置工作；（五）開展網絡安全風險評估控制、隱患排查和整改；（六）開展網絡安全事件應急預案演練。第三章事件分級第七條網絡安全事件分為四級：由高到低劃分為特別重大(Ⅰ級）、重大(Ⅱ級）、較大(Ⅲ級）、一般(Ⅳ級）4個級別，其中特別重大(Ⅰ級）、重大(Ⅱ級）遵循《國家網絡安全事件應急預案》分級標準進行分級，較大(Ⅲ級）、一般(Ⅳ級）分級標準由我局按照嚴重程度、可控性和影響范圍等因素確定。第八條符合下列情形之一的，為特別重大網絡安全事件：（一）重要網絡和信息系統遭受特別嚴重的系統損失，造成系統大面積癱瘓，喪失業務處理能力；（二）國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成特別嚴重威脅；（三）其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網絡安全事件。第九條符合下列情形之一的，為重大網絡安全事件：（一）重要網絡和信息系統遭受嚴重的系統損失，造成系統長時間中斷或局部癱瘓，業務處理能力受到極大影響；（二）國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成嚴重威脅；（三）其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網絡安全事件。第十條符合下列情形之一的，為較大網絡安全事件：（一）網絡配線間火災或面臨火災威脅；（二）因中心節點斷電、水害、故障失靈等，導致網絡中斷且5個工作日以內不能恢復正常使用；（三）因數據丟失或系統故障，主要信息系統5個工作日以內不能恢復正常使用；（四）局門戶網站內容被惡意篡改；（五）病毒或木馬入侵導致網絡30%以上的服務器、計算機感染。第十一條符合下列情形之一的，為一般網絡安全事件：（一）因中心節點斷電、水害、故障失靈等，導致網絡中斷且1個工作日以內不能恢復正常使用；（二）因數據丟失或系統故障，主要信息系統1個工作日以內不能恢復正常使用；（三）局門戶網站被攻擊導致1個工作日以上不能正常發布內容；（四）病毒或木馬入侵導致網絡10%以上的服務器、計算機感染。第四章監測與預警第十二條建立網絡安全事件信息監測機制，通過以下途徑獲取預報信息：（一）主管部門告知的預報信息；（二）國家通過新聞媒體公開發布的網絡安全事件預警信息；（三）各區縣局上報的網絡安全事件預警信息；（四）網絡與信息安全通報機制渠道接收的網絡安全預警信息、事件信息；（五）經風險評估得出的可能發生的網絡安全事件；第十三條按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，分別做好網絡安全監測工作,辦公室負責局門戶網站監測工作。第十四條網絡安全事件預警等級遵循《國家網絡安全事件應急預案》的分級標準，由高到低依次為：紅色預警、橙色預警、黃色預警和藍色預警，分別對應發生或可能發生特別重大、重大、較大和一般網絡安全事件。第十五條網絡安全應急辦公室通過對監測信息進行研判，對需要立即采取防范措施的，立即向領導小組報告，同時組織實施相應預防工作，并結合具體情況發布黃色及以下預警。對可能發生重大及以上網絡安全事件的信息，在報經領導小組同意后，及時向市委網信辦報告。第十六條加強網絡安全事件應急響應工作。對網絡安全主管部門發布的紅色預警，應及時轉發并指定專人24小時值班，應急工作全部人員保持通信聯絡暢通，同時組織開展應急處置或準備、風險評估和控制工作。對網絡安全主管部門發布的橙色預警，應及時轉發并組織開展應急響應工作，結合實際情況及時開展風險評估、應急準備和風險控制工作。對黃色、藍色預警，應根據需要轉發并對事態的發展進行跟蹤研判，同時制定防范措施，協調開展應急處置。上述工作的有關情況應及時報告領導小組，發現重要情況經領導小組同意后，及時向市委網信辦報告。第十七條網絡安全應急辦公室應根據實際情況，報請領導小組審核后，確定是否解除經網絡安全應急辦公室發布的黃色、藍色預警。第五章應急處置第十八條網絡安全事件應急處置工作在網絡安全應急辦公室統一調度下開展。發生較大或一般網絡安全事件時，相關人員必須在1小時內向網絡安全應急辦公室主任報告，應急辦公室主任在知曉情況后，4小時內向領導小組報告，同時組織開展應急處置工作，必要時組織外部技術專家參與。第十九條根據不同網絡安全事件，采取針對性緊急處置措施。（一）設備設施故障應急處置1．網絡配線間供電中斷。（1）供電中斷后，值班人員應立即告知電力維修人員，同時記錄相關信息，開展原因排查；（2）如因內部故障（線路、設備等故障），應迅速搶修恢復；（3）如因外部原因，立即與供電單位聯系，迅速恢復供電。2．服務器故障。（1）系統管理員應立即記錄相關信息，并對故障原因進行排查，如有備用服務器應立即啟用；（2）如屬于軟件故障，應先備份好數據，再對系統進行修復或重新安裝；（3）如屬于硬件故障不能恢復的，應注意保存磁盤數據，避免反復重啟，并立即與相關廠商聯系維修；（4）如設備不能及時修復，應公告各使用單位。3．內部局域網中斷。（1）網絡管理員應立即記錄相關信息，迅速判斷故障節點，并對故障原因進行排查；（2）如屬線路故障，應更換故障線路并調試通暢；（3）如屬路由器、交換機等網絡設備故障，應立即啟用備用設備，并調試通暢，然后視情況聯系設備廠商報修或購買新設備；（4）如屬路由器、交換機配置文件損壞，應迅速重新配置，并調試通暢。4．電信運營線路中斷。（1）網絡管理員應立即聯系電信運營商迅速排查故障節點，查明故障原因；（2）督促電信運營商盡快恢復通信；（3）如預計恢復時間超過兩小時,應告知各使用單位暫停使用網絡直到網絡恢復正常。（二）網絡攻擊、木馬、病毒等應急處置1．網絡攻擊事件。（1）保護好現場，記錄好相關信息，保存好系統日志等；（2）立即通過技術手段阻止網絡攻擊的進一步升級，必要時可切斷網絡，將被攻擊的服務器等設備從網絡中隔離出來。若相關系統遭破壞時，停止系統運行；（3）追查非法網絡攻擊來源，必要時可請信息安全機構參與分析研究。查明情況后，經領導小組同意，向市委網信辦報告或向市公安部門報警；（4）針對發現的安全問題，采取相應的安全技術進行防護，避免再次被攻擊，及時恢復或重建被攻擊或被破壞的系統。2．重要系統被植入木馬或間諜程序。（1）抓取能證明被植入木馬或間諜程序的界面，注意保存好相關系統日志；（2）必要時可切斷網絡，將被植入木馬或間諜程序的服務器等設備從網絡中隔離出來；（3）及時清除木馬或間諜程序，并追查來源，必要時可請信息安全機構參與分析研究。查明情況后，經領導小組同意，向市委網信辦報告或向市公安部門報警；（4）針對發現的安全問題，采取相應的安全技術進行防護，防止再次被植入木馬或間諜程序。3．危害系統運行的病毒暴發。（1）將染毒計算機、服務器從網絡上隔離，啟用反病毒軟件殺毒；（2）當認為查殺病毒可能對服務器數據造成損害時，應對服務器數據進行備份；（3）啟用反病毒軟件殺毒無效時，立即升級最新版本后查殺，仍無效時，通知反病毒軟件公司或相關技術專家，提供病毒樣本，尋求支持解決；（4）確認反病毒軟件有效時，應發布公告，組織全網計算機統一清查殺毒。（三）重要信息系統安全事件緊急處置1．局門戶網站內容被惡意篡改。（1）立即切斷網站服務器與互聯網的聯接；（2）抓取保存被惡意篡改內容的全部網頁頁面，并保存好系統日志；（3）查找系統安全漏洞，采取進一步的安全防范措施；（4）清除非法信息，重新加載正確信息，經檢查發布無誤后，聯通互聯網，恢復網站訪問；（5）分析追查非法信息來源，必要時可請信息安全機構參與分析研究。查明情況后，經領導小組同意，向市委網信辦報告或向市公安部門報警。2．醫保信息系統故障。（1）上報上級醫保部門開展系統故障排查工作；（2）如屬系統配置的問題，保存好系統日志，重新配置，調試至系統正常運行；（3）如屬系統服務停止運行，根據具體情況重啟數據庫、中間件、應用系統等服務。同時根據日志等信息分析原因，做好系統修復；（4）不能判斷故障原因時，聯系應用軟件開發集成商、系統軟件開發商，提出解決方案。（四）災害性事件緊急處置1．網絡配線間發生火災。（1）火災剛發生時，機房值班人員或身置起火現場的人員使用滅火器等撲救初期火災，呼喊提醒同事協助，設法電話聯系物業值班室一同處置；（2）火災不能及時撲滅，立即撥打119報警電話，通過專業消防實施撲救。疏散周圍人員迅速離開，同時關閉好辦公樓其他房間門窗，以減少火災殃及其他區域的可能性；（3）火災撲滅后，協助專業消防部門保護現場，配合調查起火原因，清理現場，盡可能保全設備資產和信息資源；（4）研討盡快恢復系統設備正常運行的最佳解決方案，做好系統恢復。2．網絡配線間發生水害。（1）立即清掃去除積水，加強通風，必要時應當先切斷電源再行處置；（2）需要系統停止運行再行處置的，執行相應的操作；（3）屬于自來水造成的水害，應立即通知物業值班室關閉水源；（4）確認水害消除，網絡配線間干燥后，恢復供電或恢復系統運行。第六章調查與評估第二十條網絡安全事件處置完畢后，網絡安全應急辦公室應向領導小組