局机关各科室,各直属单位:
根据《国家网络安全事件应急预案》《湖南省网络安全和信息化条例》及市委网信办、市政务公开办相关要求,为妥善应对网络信息发布和新媒体运营安全,现将《岳阳市医疗保障局网站及政务新媒体信息安全保障工作应急预案》的通知印发给你们,请认真贯彻执行。
岳阳市医疗保障局
2023年3月22日
岳阳市医疗保障局网站及政务新媒体信息安全保障工作应急预案
第一部分 安全应急处置基础
本预案的适用范围为由岳阳市医疗保障局负责建设管理的网站、政务新媒体网络和信息安全事件应急处理。
(一)日常维护
1.网站及新媒体、信息安全、信访法规、舆情管控工作人员密切关注网站及新媒体信息内容,落实上级指令要求。
2.由第三方运维公司检查云服务器杀毒软件及防火墙升级情况,及时给系统打补丁。
3.网站或新媒体工作人员应掌握应急笔记本电脑、数据备份光盘的存放和使用,学习各类软硬件知识,提高应对和处理突发网络故障的能力。
(二)安全事件分类及时限
1.安全事件定义分类
一般问题:局网站、公众号刊载来源不明或问题信息等。
重大问题:发现非法入侵,内容被篡改或不能访问等。
特大问题:出现高危安全隐患、信息泄露,特别是相关问题被省、市网信部门通报。
2.处置时限
发生突发安全事件,一般问题 2 小时内解决,重大问题24 小时内解决,特大问题 48 小时内解决。
3.处置流程
(1)发生突发事件,工作人员第一时间报告领导并进行处置。
(2)迅速准确判断事件原因,在保证人员、设备、数据安全的前提下,进行针对性处置。
(3)属一般性问题的,网站及新媒体工作人员及时进行处置;属设备损坏的,要及时报告政府办主任根据领导安排进行合理处置;属系统故障的,要及时联系维护公司进行处置;属遭受攻击的,要及时取证留存,并由维护公司进行处置。
(4)事后总结本次事件处置情况,形成分析报告。
(三)分类处置措施
1.攻击、篡改类故障
遭到网络攻击不能正常运转或出现非法、被篡改信息。
(1)发现非法信息或页面被篡改,要第一时间对其进行删除,恢复相关信息及页面,同时报告办公室主任,必要时可对网站服务器进行关闭,待检测无故障后再开启服务。
(2)网站维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报,情况非常严重的要向公安部门报案。
2.病毒木马类故障
指网站服务器感染病毒木马,造成的安全问题。
(1)由网站运营方按规定对服务器杀毒安全软件进行系统升级,并进行病毒木马扫描,封堵系统漏洞。
(2)发现服务器感染病毒木马,要立即联络运营方对其进行查杀,并酌情发布网站公告并通知关联方做好应对。
(3)由于病毒木马入侵服务器造成数据丢失或系统崩溃的,要第一时间按程序报告,并联系技术支持恢复数据。
3.系统类故障
指网站或新媒体由于长时间运行或系统存在的 bug 造成网站不能正常运行。
(1)联系技术支持部门定期备份网站或新媒体数据。
(2)发现此类问题,要报告局办公室主任,并联系网站或新媒体维护单位进行检测修复。
第二部分 组织与分工
(一)成立网络与信息安全领导小组
组长:局党组书记、局长。
副组长:局领导班子成员。
成员:局机关各科室、各直属单位主要负责人。
领导小组在应急响应工作中的主要职责:
1.负责审核和批准市医疗保障局网络与信息安全应急响应总体规划、重大网络与信息安全事件报告;
2.负责统筹规划市医疗保障局网络与信息安全应急基础设施建设;
3.对重大网络与信息安全事件的应急响应工作进行宏观决策和应急指挥;
4.协调重大网络与信息安全事件的调查处理;
5.必要时接受专家顾问组的咨询服务。
领导小组下设办公室,由分管网络与信息安全工作的副局长兼任办公室主任。主要负责:
1.组建并调整应急响应工作组;
2.定期组织网络与信息系统的风险评估和整改;
3.组织制订应急响应相关预案并定期演练;
4.编制重大网络与信息安全事件报告;
5.组织各项应急准备工作;
6.组织对本系统发生的重大网络与信息安全事件的调查、通报工作;
7.组织和协调各种应急资源;
8.管理本系统范围内的应急响应工作;
9.与跨部门应急协调机构进行沟通。
(二)成立应急响应工作小组
应急响应工作组由综合工作小组、业务响应工作小组和技术响应工作小组组成,负责信息安全事件的应急响应具体工作,应急响应工作组成员主要包括:
1.综合工作小组:
组长:局办公室主任
成员:各直属单位综合部门分管领导和具体负责人
综合工作小组主要职责:
(1)负责应急行动的后勤供应,包括车辆安排、人员食宿安排等;
(2)负责应急响应工作中的会议组织、资金保障和饮食、设备等物资供应
(3)负责通信联络和信息的发布工作;
(4)负责组织保安、保卫工作;
(5)负责技术工作小组和业务工作小组之间的协调工作;
(6)负责向网络与信息安全领导小组及市网信办汇报事件处理进展情况;
(7)向小组成员传达上级领导指示精神。
2.业务响应工作小组:
组长:机关党委(人事科)负责人
成员:各支委和党小组组长
业务响应工作小组主要职责:
(1)参与应急响应处理决策过程,从业务方面考虑,为处理提供建议;
(2)根据应急响应工作的需要,依据相应的专项预案,调整业务安排;
(3)根据应急响应工作的需要,根据相应的专项预案,组织小组实施业务的中断与恢复;
(4)在应急响应工作完成后,编写应急响应业务工作报告。
3.技术响应工作小组:
组长:局规划财务和法规科负责人
成员:市医保事务中心信息科
技术响应工作小组主要职责:
(1)参与应急响应处理决策过程,从技术方面考虑,为处理提供建议;
(2)根据应急响应工作的需要,依据相应的专项预案, 组织小组实行技术作业;
(3)负责向网络与信息安全领导小组及信安办汇报事件技术处理进展情况;
(4)对于涉及业务的调整、中断和恢复的技术作业,负责与业务小组进行沟通;
(5)在应急响应工作完成后,编写应急响应技术工作报告,对系统对预案提出整改意见。
第三部分 其他事项
(一)工作原则
1.报告原则。发生突发安全事件,第一时间向政府网站和新媒体负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。
2.安全原则。处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。
3.效率原则。处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。
4.协调配合原则。出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。
(二)工作流程
1.准备阶段。包括人员、组织的准备以及技术的准备,技术准备主要是依靠技术服务方提供监控管理的技术体系和平台,为事件发生后的技术分析,及时地通告和响应等提供条件和保障。同时,尽可能地在事前做好相应的安全防范工作,准备好进行应急处理的技术工具等内容。
2.监测及事件分析阶段。监测异常现象的发生,并根据异常的性质与影响,遵照相关规定按流程报告。根据告警级别的不同,通过工单、邮件、短信的方式上报和通知到相关人员。上报到应急响应管理小组后,对异常情况进行分析,判断事件类型,识别攻击的性质以及攻击强度,同时根据事件影响决定是否报告网络与信息安全领导小组;在必要的时候,向公安机关报案以获得帮助。
3.事件处理阶段。根据事件的不同,采取不同的处理方案,启用相应的专题应急预案,对于常见的、主要的事件类型,需制定专题应急处理预案。
4.结束响应阶段。网络与信息安全工作小组根据安全问题分类,采取必要的技术手段控制攻击行为、恢复系统服务并对攻击的来源进行追踪;必要时向公安机关通报相关信息,对攻击者进行溯源分析。
5.总结汇报阶段。对整个事件进行总结分析,向网络与信息安全领导小组进行汇报;网络与信息安全领导小组组织相关人员就本次事件总结经验教训,同时从中总结预警方案和内容,一方面进一步改进和完善应急响应体系,另一方面在安全运行管理平台上,适时发布总结后的预警信息,完善信息安全的整体安全保障能力。
(三)保障措施
1.坚持预防为主。持续提高本单位的信息安全防护意识和水平,加强信息系统安全体系建设,按照信息安全建设运行的特点和规律积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,提高各系统应对突发信息安全事件的能力。
2.提高快速反应能力。建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,强化人力、物力、财力储备,增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现信息安全事件,快速反应,及时准确处置。
3.加强安全监管。在网络信息安全监控系统的基础上,建立完善的信息安全监控和管理机制,对信息系统的网络状况进行持续和重点监控,及时发现信息安全隐患和事件迹象,进行安全预警并采取针对性的应对措施。
4.做好责任分工。明确信息安全应急响应工作的角色和职责,保证各项工作责任到人,建立应急响应各项工作的处理流程,实现应急响应工作的规范化、制度化和流程化。