南宁市审计局关于印发《信息安全应急预案》的通知

局机关各科室、投资审计中心：
　　现将我局《信息安全应急预案》印发给你们，请认真组织实施。


　　为了切实做好我局信息安全突发事件的防范和应急处理工作，进一步提高预防和控制网络突发事件的能力和水平，减轻或消除网络突发事件的危害和影响，做好网上舆论管理和信息安全保障工作，严格执行中华人民共和国国务院新闻办公室、中华人民共和国信息产业部发布的《互联网新闻信息服务管理规定》，遵守各项网络与信息安全管理制度，确保网络与信息安全，结合我局工作实际，制定本预案。
　　一、指导思想
　　以维护我局正常的网络环境为中心，按照“预防为主，积极处置”的原则，进一步完善我局网络管理机制，提高突发事件的应急处置能力。 　　二、组织机构
　　成立信息安全工作领导小组。领导小组下设办公室，设在局办公室，负责牵头实施日常工作。 　　三、应急措施
　　（一）各科室要加强对本科室职工进行及时、全面地教育和引导，提高安全防范意识。
　　（二）局网站配备信息审核员和安全管理人员，严格执行本局各项计算机管理制度，规范专网和外网的管理。
　　（三）建立健全重要数据及时备份和灾难性数据恢复机制。认真做好日常数据备份工作，以防发生数据灾难时对数据进行恢复。
　　（四）采取多层次的有害信息、恶意攻击防范与处理措施。各科室工作人员为第一层防线，发现有害信息时，应向局信息安全管理人员报告，由其做出处理；局信息安全管理人员为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息在及时处理的同时向办公室负责人报告，必要时还应向公安网络监督部门报告。
　　（五）网站、网页出现非法言论事件紧急处置措施
　　1.信息安全管理员负责随时密切监视信息内容，发现在网上出现非法信息时，应立即向办公室负责人报告；情况紧急的，应先及时采取删除等处理措施，再按程序报告。
　　2.信息安全相关负责人应在接到报告后立即赶到现场，做好必要记录，清理非法信息，妥善保存有关记录及日志，强化安全防范措施，并将网站网页重新投入使用。
　　3.追查非法信息来源，并将有关情况向分管领导汇报。
　　4.由分管领导召开会议，如认为事态严重，则立即向党组报告，并向政府信息化主管部门和公安部门报警。
　　（六）黑客攻击事件紧急处置措施
　　1.当发现网页内容被篡改，或发现有黑客正在进行攻击时，首先将被攻击的服务器等设备从网络中隔离出来，保护现场，应立即向分管领导报告情况。
　　2.对现场进行分析，并写出分析报告存档，必要时上报政府信息化主管部门。
　　3.恢复与重建被攻击或破坏系统。
　　4.由分管领导召开会议，如认为事态严重，则立即向党组报告，并向政府信息化主管部门和公安部门报警。
　　（七）病毒事件紧急处置措施
　　1.当发现有计算机被感染上病毒后，应立即将该机从网络上隔离开来。
　　2.对该设备的硬盘进行数据备份。
　　3.启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
　　4.如果现行反病毒软件无法清除该病毒，应立即向网络管理员报告，并迅速联系有关产品商研究解决。
　　5.由分管领导召开会议，如认为事态严重，则立即向党组报告，并向政府信息化主管部门和公安部门报警。
　　6.如果感染病毒的设备是主服务器，经综合科报分管领导同意，应立即告知各科做好相应的清查工作。
　　（八）软件系统遭破坏性攻击的紧急处置措施
　　1.重要的软件系统平时必须存有备份将它们保存于安全处。
　　2.一旦软件遭到破坏性攻击，应立即向分管领导报告，并将该系统停止运行。
　　3.检查信息系统的日志等资料，确定攻击来源，并将有关情况向分管领导汇报，再恢复软件系统和数据。
　　4.由分管领导召开会议，如认为事态严重，则立即向党组报告，并向政府信息化主管部门和公安部门报警。
　　（九）数据库安全紧急处置措施
　　1.主要数据库系统应按要求做好数据库备份。
　　2.一旦数据库崩溃，网络管理员应立即启动备用系统，并向分管领导报告。
　　3.在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。
　　4.如果系统崩溃而无法恢复，应立即向有关厂商请求紧急支援。
　　（十）广域网外部线路中断紧急处置措施
　　1.信息安全工作人员接到报告后，应迅速判断故障节点，查明故障原因。
　　2.如属我方管辖范围，由信息安全工作人员立即予以恢复。
　　3.如属政府数字化办或电信部门管辖范围，立即与政府数字化办办或电信维护部门联系，要求修复。
　　4.线路中断，信息安全工作人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向信息安全负责人汇报。
　　5.如有必要，应向政府信息化主管部门汇报。
　　（十一）局域网中断紧急处置措施
　　1.设备管理部门平时应准备好网络备用设备，存放在指定的位置。
　　2.局域网中断后，信息安全工作人员应立即判断故障节点，查明故障原因，并向信息安全负责人汇报。
　　3.如属线路故障，应重新安装线路。
　　4.如属路由器、交换机等网络设备故障，应立即从将备用设备取出接上，并调试通畅。
　　5.如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。
　　6.如有必要，应向政府信息化主管部门汇报。
　　（十二）设备安全紧急处置措施
　　1.服务器等关键设备损坏后，信息安全工作人员立即查明原因。
　　2.如果能够自行恢复，应立即用备件替换受损部件。
　　3.如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。
　　4.如果设备一时不能修复，应向信息安全负责人汇报。
　　（十三）节假日、举行重大活动和发生重大事件时，应对整个网络的运行进行监控并及时删除各类有害信息。
　　（十四）切实做好计算机网络设备的防雷、防盗和防信号非法接入。若有以上情况发生，应向信息安全负责人汇报。
　　（十五）定时对机房主机及其网络通信线路进行检查，时刻关注机器指示灯与工作状态。严禁任何人员在未经综合科同意对主机的网络通信线路做出任何改动，坚决杜绝对其进行随意开关。
　　（十六）对网络设备进行配置后要及时进行保存，并将配置资料备份交综合科进行妥善管理，当网络交换设备发生故障后，应先关掉其电源并与维护单位进行联系进行设备更换，在进行更换时严禁带电操作，以免配置数据丢失。
　　（十七）电源管理。未经管理人员同意不得随意关闭机房用机电源，如需对电源进行维修，应先告知相关管理人员关闭计算机（机房主机未经办公室负责人同意不得关机）。在计算机工作时，不得对电源线路做任何改动。各信息工作人员不得在不间断电源上连接大功率的机器设备。随时注意不间断电源控制设备上的运行状况，如发现运行状况出现异常，马上报告。如遇突然停电，应及时通知相关管理人员，以保证计算机安全和工作正常运行。
　　（十八）随时对空调的运行情况进行检查，如发现有告警灯结亮，应马上对故障进行检查，如不能处理，应马上与设备提供商进行联系。
　　（十九）防火设施的管理。定期对灭火器材进行检查，保障正常使用。按照灭火器材上的使用时间，定期进行更换。发生火情时，应及时向119进行求救并向领导报告。 　　四、工作要求
　　（一）要充分认识业务用机风险的隐蔽性与突发性，以本预案内容为依据做出充分准备。
　　（二）分工合作、密切配合，确保业务用机的安全。
　　（三）深入实际、扎实开展工作，客观处理问题，把预防工作落到实处。 　　五、保障措施
　　网络与信息安全事件应急防治是一项长期的、持续的、和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次网络与信息安全事件的发生而开始和结束的活动。因此，必须做好应急保障工作。
　　（一）人员保障。重视人员的建设与保障，确保在网络与信息安全事件发生前的人员值班，网络与信息安全事件处置过程和网络与信息安全事件后重建中的人员在岗。
　　（二）技术保障。重视网络信息技术的建设和升级换代，在网络与信息安全事件发生前确保网络信息系统的强劲与安全，网络与信息安全事件处置过程中和网络与信息安全事件后重建中的相关技术支撑。
　　（三）物资保障。建立应急物资储备制度，保证应急抢险工作队伍技术装备的及时更新，以确保网络与信息安全事件应急工作的顺利进行。
　　（四）训练和演练。加强网络用户的防范知识的宣传普及，增强防范意识。有针对性地开展应急演练，确保发生网络与信息安全事件后应急手段及时到位和有效。 　　六、监督管理
　　（一）宣传教育
　　收集市级编制、出版的材料，宣传信息安全相关法律法规和信息安全基础知识，提高职工信息安全应急防范意识。
　　（二）培训
　　积极参加市数字化办等部门开设的应急管理、应急处置及组织指挥等培训课程，对各局全体人员进行培训，并对应急技术人员作进行相应的技能培训。
　　（三）演练
　　积极开展的网络安全突发事件应急演练，模拟处置影响较大的信息安全事件，组织重点单位参加，检验预案的可执行性。
　　（四）责任与奖惩
　　网络与信息安全事件应急处置工作实行行政领导负责制和责任追究制。对于在应急处置工作中做出突出贡献的先进集体和个人，给予表彰和奖励。对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或者应急处置工作中有其他失职、渎职行为的，依法对有关责任人给予行政处分；构成犯罪的，依法追究刑事责任。 　　七、附则
　　本预案由南宁市审计局办公室负责编制和解释。本预案自发布之日起试行。