关于印发《六安市审计局网络及信息安全应急预案》等制度的通知

六审发〔2014〕60号

各县区审计局，市局各科室局：

为进一步加强信息安全管理，保障信息系统安全运行，根据信息安全管理有关规定，结合实际，制定了《六安市审计局网络及信息安全应急预案》、《六安市审计局网络信息安全管理人员岗位工作职责》、《六安市审计局网络信息安全审计人员岗位职责》、《六安市审计局网络信息安全教育和培训制度》、《人员离岗离职信息安全管理规定》、《外部人员访问机房管理制度》。经局领导同意，予以印发，请认真遵照执行。执行中如有问题，请及时与局审计信息技术应用科联系。

附件：1、六安市审计局网络及信息安全应急预案

        2、六安市审计局网络信息安全管理人员岗位工作职责

3、六安市审计局网络信息安全审计人员岗位职责

          4、六安市审计局网络信息安全教育和培训制度

         5、人员离岗离职信息安全管理规定

         6、外部人员访问机房管理制度

                                                       六安市审计局

                                                       2014年1月26日

六安市审计局网络及信息安全应急预案

第一章  总则

第一条　本预案所称突发性事件，是指自然因素或人为活动引发的危害六安市审计局网络设施及信息安全等有关的灾害。

第二条  本预案的指导思想是确保六安市审计局有关计算机网络及信息的安全。

第三条  本预案适用于发生在六安市审计局网络范围内的突发性事件应急工作。

第四条　应急处置工作原则：

　　（一）明确责任、分级负责：按照“谁主管谁负责，谁运行谁负责”的要求，逐级建立并落实审计信息系统责任制和应急机制。

　　（二）加强领导、分工合作：市局各处室应按照规定的职责和流程，实施统计信息系统的应急处理工作。

　　（三）积极预防、及时预警：市局各处室应及早发现安全事件，及时进行预警和信息通报；积极做好应急处理准备，提高对安全事件的预防和应急处理能力。

　　（四）协作配合、确保恢复：市局各处室要协同配合，确保在最短的时间内完成系统的恢复。

　　第二章  组织指挥和职责任务

　　第五条六安市审计局成立网络与信息安全工作领导小组，局审计信息技术应用科负责日常工作。

　　组长：涂成富

　　副组长：王家保

　　成员：金持平、甘厂生、江丕俊

　　领导小组的主要职责与任务是统一领导信息网络的灾害应急工作，全面负责信息网络可能出现的各种突发事件处置工作，协调解决灾害处置工作中的重大问题等。

　　第三章  处置措施和处置程序

　　第六条处置措施

　　处置的基本措施分灾害发生前与灾害发生后两种情况。

　　（一）灾害发生前，即日常管理与灾害发生前的征兆阶段，局审计信息技术应用科要预先对灾害预警预报体系进行建设（防杀毒体系、漏洞补丁修补、防ARP网络攻击、单机网络备份系统、防单机非法内（外）联、移动设备认证系统），并开展灾害调查，编制灾害防治规划，建设专业监测网络，并规划建设灾害信息管理系统，及时处理灾害讯情信息。加强灾害险情巡查。局审计信息技术应用科要充分发挥专业监测的作用，进行定期和不定期的检查，加强对灾害重点部位的监测和防范，发现有不良险情时，要及时处理并向领导小组报告。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。

　　（二）灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向网络与信息安全领导小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

　　第七条处置程序

　　（一）发现情况

　　市局各科室信息化管理人员要严格执行监管制度、处内设备管理和定期查杀毒制度，局审计信息技术应用科做好网络信息系统安全的日常巡查工作，以保障最先发现灾害并及时处置。

　　（二）预案启动

　　一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。

　　（三）应急处置方法

　　在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。

　　流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

　　流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的IP或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：

　　1．网络信息系统故障的应急处理流程

　　（1）报告和简单处理

　　网络设备、网络应用系统故障应由发现人通知局审计信息技术应用科，局审计信息技术应用科派人立即检查故障，进行初步故障定位。如果网络、应用系统出现比较严重的问题，对网络业务的正常运行造成较大的影响，需立即向有关领导报告。

　　（2）故障判断与排除

　　对简单故障，运维人员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导,经批准后马上更换故障设备，尽快恢复网络、应用系统运行。运维部门判断无法及时修理时，应立即通知相关的系统运行服务提供商，在最短的时间内安排修理或更换系统。

　　（3）网络线路故障排除

　　如发现属外部线路的问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路。

　　（4）启用备份线路、设备、系统（如果存在的话），迅速恢复相关的应用。

　　2．网站检测与自动恢复系统应急处理流程

　　（1）报告和简单处理

　　当发现网站不能正常打开或网站内容被恶意篡改时，任何人员都有义务向领导小组或局审计信息技术应用科报告。由局审计信息技术应用科应急响应，联合相关部门进行故障排查。

　　（2）处理和恢复使用

　　先由网络运维部门查看网络连接情况，若不是网络故障，则由局审计信息技术应用科排查软、硬件故障。待故障处理完成并经过测试后，恢复系统的正常运行和内容的正常应用。

　　3.黑客入侵的应急处理

　　（1）报告和简单处理

　　当发现网络上有黑客攻击行为，任何人员都有义务向领导小组或局审计信息技术应用科报告。局审计信息技术应用科立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

　　（2）处理和恢复使用

　　对于黑客攻击，由局审计信息技术应用科查找入侵踪迹，分析入侵方式和原因。由安全管理员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。

　　（3）应急响应

　　安全管理员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。

　　若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。如果数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。

　　4.大规模病毒（含恶意软件）攻击的应急处理

　　（1）报告和简单处理

　　当发现网络上有大规模病毒攻击的行为，任何人员都有义务向领导小组或局审计信息技术应用科报告。由局审计信息技术应用科组织应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，立即上报有关领导。

　　（2）已知病毒的处理和恢复

　　使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后，再连接网络恢复使用。

　　（3）未知病毒的处理和恢复

　　观察网管软件根据监视窗口的链路状态，由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口，根据流量判断感染病毒或恶意程序的客户端所科交换机端口。关闭该交换机端口，隔离该工作站、服务器，阻断与局域网的连接。根据端口状态功能，查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置，对该工作站进行病毒或恶意程序清除工作。

　　根据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒的计算机上的硬盘加挂到其他机器上处理，将重要数据备份到其他存储介质，尽最大努力保护、保留感染计算机内重要的数据，同时防止病毒感染其他计算机。如果数据无法恢复，经有关领导同意后，可与国家指定的反病毒部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。如为涉及国家秘密的数据，不允许由其他机构来恢复数据。

　　5．其他没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。

　　（四）情况报告

　　灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向网络与信息安全应急处置领导小组汇报。在大型灾害发生时或上级领导通知的特殊时间内发生的灾害，可以直接向局领导报告，也可向相应的公安机关计算机信息系统安全监察部门汇报。中、小型级别的灾害，可以只向网络与信息安全应急处置领导小组汇报，并及时报告处置工作进展情况，直至处置工作结束。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。

　　（五）发布预警

　　灾害发生时，可根据灾害的危害程度适当地发布预警，特别是一些在其他地方已经出现，或在安全相关网站发布了预警而信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。

　　（六）预案终止

　　经检测，灾害险情或灾情已消除，或者得到有效控制后，由网络与信息安全领导小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

　　第四章　保障措施

灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作，是有组织的科学与社会行为，而不是随每次灾害的发生而开始和结束的活动。因此，必须做好应急保障工作。

　　第八条　人员保障

　　重视人员保障，确保在灾害发生前的人员值班，灾害处置过程和灾后重建中的人员在岗与战斗力。

　　第九条　技术保障

　　重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。

　　第十条　物资保障

　　根据近二年网络信息系统安全防治工作所需经费情况，相应购买应急设施。同时，建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。

　　第十一条　训练和演练

　　加强网络信息的防灾、减灾知识的宣传普及与培训，增强审计人员防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

　　第五章　附则

　　第十二条　本预案由局审计信息技术应用科负责解释。　

　　第十三条　本预案自发布之日起施行。

　　第十四条  各县（区）审计局可参照本预案执行。

六安市审计局网络信息安全管理人员岗位工作职责

　　第一条 为保证审计网络的正常运行，对于安全管理人员，特制定本制度。

　　第二条 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。

　　第三条 负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

　　第四条 加强对信源单位的信息发布和电子公告系统的信息发布的审核管理工作，杜绝违反《计算机信息网络国际互联网安全保护管理办法》的内容出现。

　　第五条 一旦发现从事下列危害计算机信息网络安全的活动的，做好记录并立即向当地公安机关报告：

　　（一）未经允许进入计算机信息网络或者使用计算机信息网络资源；

　　（二）未经允许对计算机信息网络功能进行删除、修改或者增加；

　　（三）未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加；

　　（四）故意制作、传播计算机病毒等破坏性程序的；

　　（五）从事其他危害计算机信息网络安全的活动。

　　第六条 在信息发布的审核过程中，如发现有以下行为的，将一律不予以发布，并保留有关原始记录，在二十四小时内向当地公安机关报告：

　　（一）煽动抗拒、破坏宪法和法律、行政法规实施；

　　（二）煽动颠覆国家政权，推翻社会主义制度；

　　（三）煽动分裂国家、破坏国家统一；

　　（四）煽动民族仇恨、民族歧视、破坏民族团结；

　　（五）捏造或者歪曲事实、散布谣言，扰乱社会秩序；

　　（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪；

　　（七）公然侮辱他人或者捏造事实诽谤他人；

　　（八）损害国家机关信誉；

　　（九）其他违反宪法和法律、行政法规。

　　第七条 接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。

　　第八条 本制度自公布日期起生效。

六安市审计局网络信息安全审计人员岗位职责

　　第一条  为有效落实网络安全管理规定，确保信息系统的可靠运行，特制定网络安全审计人员岗位职责制度。

　　第二条  检查信息安全规章制度的执行情况，督促各项制度切实落实，揭示制度性缺陷。

　　第三条  检查软件系统和硬件设备的安全性，对安全管理员的工作情况进行评审，揭示安全管理漏洞。

　　第四条  记载系统突发异常的现象、时间和处理方式，第一时间向领导汇报。

　　第五条  编写安全审计报告，对发现的问题提出合理化建议，及时向领导汇报。

　　第六条  协助安全管理人员制定网络安全规则，确保防火墙、入侵检测等安全设备配置的合理性。

　　第七条  协助安全管理人员处理安全事故，分析问题产生的原因，制定整改措施。

　　第八条  其它需要完成的事项。

第九条 本制度自公布日期起生效。

六安市审计局网络信息安全教育和培训制度

　　第一条 为保证审计网络的安全运行，特制定本制度。

　　第二条 应定期开办网络安全培训班，组织工作人员学习网络法律、法规，提高工作人员的网络安全水平。

　　第三条 应对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识，强化网络安全意识。增强守法观念。

　　第四条 定期召开网络安全会议，通报网络安全状况，解决网络安全问题。

　　第五条 应积极配合当地公安局及其他上级管理中心的工作，自觉参加各种培训活动。

　　第六条 本制度自公布日期起生效。

人员离岗离职信息安全管理规定

第一条  为保证我局内部计算机网络信息安全，适应信息安全等方面的需要，防止计算机网络失密泄密事件发生，特制定本制度；

第二条  工作人员离职之后仍对其在本部门任职期间承诺或负有保密义务的秘密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论离职人员因何种原因离职。  

第三条  离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘以及其他任何形式的载体，均归本单位所有，而无论这些秘密信息有无商业上的价值。

第四条  离职人员应当于离职时，或者于本单位提出请求时，返还全部属于本单位的财物，包括记载着本单位秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的，则视为离职人员已同意将这些载体物的所有权转让给本单位，本单位应当在离职人员返还这些载体时，给予离职人员相当于载体本身价值的经济补偿；但秘密信息可以从载体上消除或复制出来时，可以由本单位将秘密信息复制到本单位享有所有权的其他载体上，并把原载体上的秘密信息消除，此种情况下离职人员无须将载体返还，本单位也无须给予离职人员经济补偿。

第五条  离职人员离职时，应将工作时使用的电脑、硬盘、u盘及其他一切存储设备中关于工作相关或与本单位有利益关系的信息、文件等内容交接给本单位相关人员，不得在离职后以任何形式带走相关信息。  

外部人员访问机房管理制度

一、为维护信息系统安全，确保各业务系统安全稳定运行和重要区域信息安全，制定本管理制度。

二、非本单位机房工作人员进出机房须按本制度进行审批。

三、因工作需要进出机房，机房管理人员应根据操作内容，确定进入人员，选择进出时间，填写《机房出入审批登记表》，重大操作原则上应放在业务数据录入或备份之后进行。整个工作过程需由相关科室工作人员陪同进行。如遇审批领导不在，而又必须紧急处理的，需由相关科室工作人员向负责领导电话报告，并准予进入，待领导回来后补办相关手续。

四、非本单位人员,严禁单独进入机房,确需进入的,机房管理人员必须全程跟踪，严禁从事非业务范围内的其它任何操作。

五、外部参观人员出入机房，由单位领导或科室负责人陪同进行参观，机房管理人员需做好登记备案工作。

六、进入机房的人员要保持机房的清洁、卫生。严禁在机房、档案室内吵闹、吸烟、吃零食，严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等进入，避免对机房设备和馆藏档案构成威胁。

七、相关业人员进入机房，原则上须两人同时进出，并按规定进行相关业务操作，严禁随意对设备进行操作，严禁接触与业务无关的设备，如违规造成网络和业务系统事故的，将追究操作人员的责任。

八、进入机房人员在机房内完成相关工作时，需保证机房正常的环境秩序，认真填写机房内工作内容后方可退出。

九、机房配备监控设施，未按规定进入者，如造成损失和泄密等不安全后果的，对机房管理人员及违规进入人员，给予严肃处理。损失后果情节严重的，由本单位依照有关规定进行处理；如触犯国家有关法律、法规者，移交公安、司法机关处理。违反本规定，给国家、集体或者他人财产或人身安全造成损失的，应当依法承担民事或刑事责任。

附：《机房出入审批登记表》

机房出入审批登记表

                                                                      六安市审计局

                                                                      2014年1月26日