供电局网络与信息安全应急预案.doc

供电局 网络与信息安全应急预案 预案版本： 编制部门： 颁布日期： 批批 准准 页页 预案名称预案名称突发事件总体应急预案 预案编码预案编码 版次版次编制与修订概要编制与修订概要完成日期完成日期状状 态态 角色角色人人 员员 编写编写 初审初审 会签会签 审核审核 批准批准 目 录 1 1总则总则1 1 1.1 编制目的.1 1.2 编制依据.1 1.3 适用范围.1 1.4 处置原则.1 2 2与其他预案的关系与其他预案的关系2 2 3 3风险与资源分析风险与资源分析2 2 3.1 风险分析2 3.2 资源分析3 3.3 突发事件分级4 4 4应急指挥机构及职责应急指挥机构及职责6 6 4.1 应急组织设置.6 4.2 应急组织职责.6 5 5监测与预警监测与预警6 6 5.1 预警分级.6 5.2 风险监测.6 5.3 预警发布与响应7 6 6应急响应应急响应8 8 6.1 响应分级.8 6.2 信息报告.9 6.3 应急处置10 6.4 应急结束12 6.5 信息发布12 7 7后期处置后期处置1212 7.1 恢复生产.12 7.2 事件调查.12 7.3 总结及改进.13 8 8应急保障应急保障1313 8.1 应急队伍.13 8.2 应急物资与装备.13 8.3 通信与信息.13 8.4 经费13 8.5 其他14 9 9培训和演练培训和演练1414 9.1 应急培训.14 9.2 预案演练.14 1010附则附则1414 10.1 预案备案14 10.2 维护和更新14 10.3 制定与解释14 10.4 实施时间15 10.5 应急指挥中心会议室15 1111附件附件1515 附件 1 突发事件预警发布（调整）单.16 附件 2 预警响应信息快速报告单.17 附件 3 网络与信息安全预警解除单.18 附件 4 应急响应启动流程19 附件 5 网络与信息安全应急信息快速报告单.20 附件 6 网络与信息安全应急信息报告单.21 附件 7 突发事件应急响应启动（调整）单.23 附件 8 相关人员、单位事件应急联系电话.24 附件 9 、级应急响应流程30 附件 10 、级应急响应流程.31 附件 11 突发事件应急响应解除单32 1 供电局 网络与信息安全应急预案 1总则总则 1.1 1.1 编制目的编制目的 为了保证云南电网公司××供电局（以下简称××局）网络与信息系统的安全、 稳定运行，保障网络系统、应用系统和数据系统的正常运转，减少管理信息系统网络 与信息突发事件造成的损失和影响，建立网络与信息系统紧急情况下有效的应急机制， 根据××局的实际情况制定本预案。 1.2 1.2 编制依据编制依据 下列文件中的条款通过本预案的引用而成为本预案的条款。凡是注日期的引用文 件，其随后所有的修改（不包括勘误的内容）或修订版均不适用于本预案，然而，鼓 励根据本预案达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的 引用文件其最新版本适用于本预案。 计算机信息系统 安全等级保护划分准则（GB 17859-1999） 信息技术 安全技术 信息安全事件管理指南（GB/Z 20985-2007） 信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007） 信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007） 信息安全技术 信息安全应急响应计划规范（GB/T 243632009） 网络与信息安全事件及预警分类分级规范（Q/CSG-118003-2012） 中国南方电网有限责任公司应急管理规定（Q/CSG210003-2014） 中国南方电网有限责任公司管理信息系统网络与信息安全应急预案 （Q/CSG4.10.14-2014-2） 中国南方电网有限责任公司信息安全事件管理办法（Q/CSG218013-2014） 云南省网络与信息安全事件应急预案 云南电网公司应急指挥平台管理实施细则（Q/CSG-YNPG210002-2014） 云南电网公司应急物资与装备管理实施细则（Q/CSG-YNPG210003-2014） 云南电网公司应急队伍管理实施细则（Q/CSG-YNPG210004-2014） 2 1.3 1.3 适用范围适用范围 本预案适用于××电网管理信息系统网络与信息安全事件达到级及以上应急响 应的处置，或××局应急指挥中心认为必要时启动本预案。 1.4 1.4 处置原则处置原则 （1） 统一指挥，协调配合。在应急指挥机构的统一指挥、调配下，各应急力量 快速就位，快速地开展网络与信息安全事件应急处置行动。督促相关部门遵照“统一领 导、分级负责、各司其职、协调配合”的原则协同配合，开展应急工作。 （2） 分级处置，明晰责任。根据网络与信息安全突发事件的不同等级，实行分 级处置，提高突发事件的处置效率。按照中国南方电网公司“谁主管、谁负责，谁运营、 谁负责”的要求，在局应急指挥机构统一领导下，局及下属单位负责本单位的网络与信 息安全应急响应工作。 （3） 快速行动，有序处置。发生网络与信息安全突发事件时，事发单位要按照 处置优先、快速反应的机制，及时获取充分而准确的信息，跟踪研判，果断决策，按 照相关应急预案进行迅速处置，最大程度地减少危害和影响。 （4） 整合资源，形成合力。充分利用现有网络与信息安全应急支援服务设施， 整合局内、外部的信息安全应急力量，充分依靠××局以及第三方厂商的信息安全应 急力量，形成信息安全应急工作合力。 （5） 常备不懈，预防为主。坚持应急与预防工作相结合，做好常态下的风险评 估、监测预警、物资储备、队伍建设、装备完善、预案修编等工作，加强宣传和培训 教育工作，提供应急综合处置能力。 2与其他预案的关系与其他预案的关系 （1）与局级专项应急预案的关系 本预案是局级突发事件专项应急预案之一，网络与信息安全事件可能导致设备事 故或电力供应中断等情况的发生，根据实际情况相应启动××供电局设备事故（事 件）应急预案 、 ××供电局电力安全事故（事件）应急预案 、 ××供电局电力供 应应急预案等专项应急预案。 （2）与上下级预案的关系 本预案应与云南电网公司网络与信息安全应急预案衔接和配合；同时，应按 本预案及事故发生单位的网络与信息安全专项应急预案、相关现场处置方案进行联合 3 处置，由本预案指挥、协调下级相关应急预案的应急处置工作。 （3）与政府预案的关系 本预案配合××州人民政府网络与信息安全应急预案的指挥、协调行动。 3风险与资源分析风险与资源分析 3.1 风险分析风险分析 ××管理信息系统网络与信息系统存在受到算机病毒、漏洞攻击、扫描窃听以及 设备设施故障等风险，因此而引起的信息安全事件可以分为有害程序类、网络攻击类、 信息破坏类、信息内容安全类、故障类、灾害类和其它类等七类。 1、有害程序类突发事件：指受到有害程序的影响而导致的信息安全突发事件。有 害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混 合攻击程序事件、网页内嵌恶意代码事件等。 2、网络攻击类突发事件：指通过网络或其它技术手段，利用配置缺陷、协议缺陷、 程序缺陷等攻击信息系统，造成信息系统异常或不可用的信息安全突发事件。网络攻 击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、 网络钓鱼事件、干扰事件等。 3、信息破坏类事件：指通过网络或其它技术手段，造成信息系统中的信息被篡改、 假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄密的信息安全突发事件。信 息破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信 息丢失事件等 4、信息内容安全类突发事件：指利用网络发布、传播危害国家安全、社会稳定和 公共利益等违法内容的信息安全突发事件。信息内容包括违反宪法和法律、行政法规 的信息，组织串连、煽动集会游行的信息等。 5、故障类突发事件：指网络与信息系统因自身或外围设备设施故障、以及人为误 操作等导致的信息安全突发事件。故障类事件包括软硬件自身故障、外围保障设施故 障、人为破坏事故、人为误操作事故等。 6、灾害类突发事件：指由于不可抗力对网络与信息系统造成物理破坏而导致的信 息安全突发事件。灾害类事件包括水灾、台风、火灾、雷击、地震、坍塌、恐怖袭击、 战争等导致的信息安全突发事件。 7、其它类事件：指不能归为以上 6 类的信息安全突发事件。 4 3.2 资源分析资源分析 1、内部应急力量 （1）××局及下属单位以信息化及通信专业为主体的应急抢修队伍和专家。 （2）××局及下属单位从事信息网络、信息安全、业务系统等专家和技术人员。 2、外部应急力量 （1）软硬件制造商、供应商、系统集成商、技术服务提供商，及信息系统开发和 运维等单位。 单位应急联系人电话 昆明能讯科技有限责任公司系统维护陈华勋13987636845 四川创立信息科技有限责任公司网络维护田智华18687180550 上海华讯网络系统有限公司网络维护李泰宁15812005328 ××建伟商贸有限公司服务器维护杨建伟13908789148 云南远信科技有限公司 办公自动化 系统维护 罗辉15825282135 云南云电同方科技有限公司 SOA 系统维 护 刘子俞15198700140 （2）可利用的其它企事业单位人力和物力资源。 3、物资和装备资源 （1）××局及下属单位备品备件、硬件、软件、网络设备、安全设备及软件、数 据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等，以及事件处理案 例、解决方案均可作为应急的物资装备资源。 （2）地方政府有关部门、相关厂商可以协调提供的网络与信息安全应急物资和装 备。 3.3 突发事件分级突发事件分级 按照管理信息系统网络与信息安全事件的危害程度、影响范围和造成的损失，将 网络与信息安全事件分为特别重大事件、重大事件、较大事件和一般事件四个等级。 （1）特别重大网络与信息安全事件 特别重大网络与信息安全事件指网络与信息安全突发事件造成××供电局及县级 供电企业网络大面积中断，对××供电局及县级供电企业造成巨大经济损失或产生严 重不良社会影响的。 网络大面积中断：因地区综合数据网中断，造成××8 个及以上单位不能正常使用 一个及以上的关键业务系统，持续时间达 12 小时以上的； （2）重大网络与信息安全事件 5 重大网络与信息安全事件指网络与信息安全突发事件造成××供电局及县级供电 企业网络较大面积中断，对××供电局及县级供电企业造成重大经济损失或产生较严 重不良社会影响的。 网络较大面积中断：因地区综合数据网中断，造成××6 个及以上单位不能正常使 用一个及以上的关键业务系统，持续时间达 6 小时以上的； （3）较大网络与信息安全事件 较大网络与信息安全事件指网络与信息安全突发事件造成××供电局及县级供电 企业网络中断、或二级及以上等保系统瘫痪、或二级及以上等保系统数据毁坏、或经 营管理数据泄密，对××供电局及县级供电企业造成较大经济损失或产生一定程度不 良社会影响的。 1）网络中断：因地区综合数据网中断，造成××4 个及以上单位不能正常使用一 个及以上关键业务系统，持续时间超过 4 小时以上； 2)二级等保系统瘫痪：因系统主要功能不可用，造成 2 个及以上二级等保系统不 能正常使用，系统瘫痪时间 4 个小时以上； 3）数据毁坏：二级等保系统数据毁坏后不能恢复的； 4）政治敏感信息事件：××供电局企业门户网站被篡改或企业邮件系统被不法分 子利用，发布或传播了政治敏感信息，造成了一定程度不良政治影响的。 （4）一般网络与信息安全事件 一般网络与信息安全事件指网络与信息安全突发事件造成××供电局及县级供电 企业网络中断、或部分二级等保系统数据毁坏，对××供电局及县级供电企业造成一 定的经济损失。 1）网络中断：因地区综合数据网中断而不能正常使用网络，造成××各单位 1 个 及以上单位不能正常使用一个及以上关键业务系统，持续时间超过 2 小时以上； 2）二级等保系统瘫痪：因系统主要功能不可用，造成 1 个及以上二级等保系统不 能正常使用，系统瘫痪时间 2 个小时以上； 3）数据毁坏：二级等保系统数据毁坏后只能部分恢复的。 条件 地区综合数据网中断 二级等保系 统瘫痪 级别 受影响的所属 各单位范围 持续时 间 影响程 度 故障 范围 持续 时间 关键业务 数据毁坏 数据泄密 6 特大 8 个及以上单 位 12 小 时以上 非常严 重 重大 6 个及以上单 位 6 小时 以上 严重 较大 4 个及以上单 位 4 小时 以上 较严重 2 个 及以 上系 统 4 小 时以 上 不能恢复 发生涉 及××局 秘密的数 据泄漏 一般至少 1 个单位 2 小时 以上 一定程 度 1 个 及以 上系 统 2 小 时以 上 部分恢复 4应急指挥机构及职责应急指挥机构及职责 4.1 4.1 应急应急组织设置组织设置 、级应急响应启动后，××局成立应急指挥中心，并下设应急指挥中心办公 室，应急指挥中心设置网络与信息安全应急工作组、后勤保障组和信息组，根据需要 在事发单位成立现场协调组；、级应急响应的启动后，局信息中心根据会议决议 设置网络与信息安全应急工作组，根据需要在事发单位成立现场协调组。网络与信息 安全应急工作组根据需要成立系统恢复组和网络恢复组。 ××局应急指挥中心成员如下所示： 应急指挥中心应急指挥中心 职 务A 角B 角 总指挥局长分管副局长 副总指挥（信息、营 销） 分管副局长生产副局长 副总指挥（调度）生产副局长基建副局长 成员副总工程师 成员信息中心主任 成员生产设备管理部主任 成员安全监管部主任 成员电力调度控制中心主任 成员市场营销部住主任 成员客户服务中心主任 成员计量中心主任 应急办公室应急办公室 职务A 角B 角 应急办公室主任副总工程师信息中心主任 应急办公室副主任信息中心主任电力调度控制中心主任 成员安全监管部主任 7 成员办公室主任 成员生产设备管理部副主任 成员信息中心副主任 成员电力调度控制中心副主任 成员市场营销部副主任 成员客户服务中心副主任 成员计量中心副主任 成员变电管理所主任 成员信息中心信息安全管理专责 成员电力调度控制中心通信专责 成员办公室保密专责 成员生产设备管理部科技专责 成员 安全监管部应急兼事故事件 专责 应急工作组应急工作组 职务姓名小组 组长信息中心副主任 电力调度控制中心副主 任 副组长电力调度控制中心副主任信息中心副主任 成员汪建宾 成员陈天宝 成员何花 成员林玲 （一）网络恢复组（一）网络恢复组 小组长陈韶华 成员赵世龙 成员蒋建伟 成员陆燕 成员黎尧祥 成员初建雄 成员朱光瑞 成员李雪芳 成员麦欣 成员赵磊 成员祝青 成员高杰 （二）系统恢复组（二）系统恢复组 小组长邓立武 成员李姝文 成员刘正友 成员杨庚 成员李光华 成员徐峥宜 成员朱惠琼 成员李志超 后勤保障组后勤保障组 职务A 角B 角 组长物流服务中心主任办公室副主任 8 副组长办公室副主任物流服务中心副主任 信息组信息组 职务A 角B 角 组长办公室主任 政治工作部主任 副组长政治工作部主任新闻中心主任 4.2 4.2 应急组织职责应急组织职责 局应急指挥中心、应急指挥中心办公室职责见××供电局突发事件总体应急预案 相关规定。各专业小组职责如下： 1、 网络与信息安全应急工作组职责 （1）负责为应急指挥提供辅助决策，落实应急指挥中心决议和部署，组织开展网 络与信息安全应急处置。 （2）负责及时向应急指挥中心或现场协调组报告事发现场应急状况。 （3）负责与相关联动单位的联系。 （4）负责网络与信息安全信息通报工作。 （5）负责事件的调查处理，编写调查报告，报送应急指挥中心和局信息中心。 （6）负责最终消除网络与信息安全事件的影响、恢复网络与信息系统运行。 2、网络与信息安全现场协调组职责 （1）负责代表应急指挥中心在现场行使应急指挥和指导协调职权。 （2）负责及时向应急指挥中心报告事发现场应急动态。 （3）负责及时传达应急指挥中心的指示。 3、后勤保障组 （1）根据现有车辆状况及各应急组的需求，协调调配应急组应急用车。 （2）负责应急抢修人员抢险工器具、材料等物资供给配送保障，组织专业队伍做 好应急通讯保障。 （3）负责安排生活必需品、医药物资、抢险队伍食宿，组织调用、发放安全防护 装备，协助物流服务中心处理其他事务。 （4）负责应急指挥中心值班人员的后勤保障。 （5）负责做好与云南电网公司应急指挥中心下属机构“物资协调组、应急保障组” 的对口衔接工作。 4、信息组 9 （1）负责每日网络与信息安全事件应急信息的收集、整理、过滤、汇总、传递、 上报，发布指挥部指令及信息快报等工作。 （2）开展新闻报道宣传工作，负责做好与云南电网公司应急指挥中心下属机构 “宣传报道组”的对口衔接工作。 （3）做好应急经费的申请和使用管理。 5监测与预警监测与预警 5.1 5.1 预警分级预警分级 按照网络与信息安全可能造成的危害、紧急程度和发展势态，将××局网络与信 息安全预警分为四级，即红色、橙色、黄色和蓝色。 （1）红色预警：当出现上联省公司 3 条网络通道故障、核心网络设备故障、局域 网核心网路链路故障、供电局到县公司通信大面具故障时，导致特别重大网络与信息 安全事件即将发生或者发生的可能性很大时，发布红色预警。 （2）橙色预警：当出现××核心网络设备配置错误、供电局到县公司通信较大面 具故障，导致重大网络与信息安全事件即将发生或者发生的可能性很大时，发布橙色 预警。 （3）黄色预警：当出现××核心网络设备配置错误、供电局到县公司通信局部故 障、局部网络攻击、服务器汇聚网络设备故障、服务器硬件故障、病毒感染、敏感信 息泄露、数据毁坏、拒绝服务攻击时，导致较大网络与信息安全事件即将发生或者发 生的可能性很大时，发布黄色预警。 （4）蓝色预警：当出现××核心网络设备配置错误、供电局到县公司通信局部故 障、病毒感染、数据部分毁坏、服务器硬件故障、拒绝服务攻击时，导致一般网络与 信息安全事件即将发生或者发生的可能性很大时，发布蓝色预警。 5.2 5.2 风险监测风险监测 ××供电系统各级信息化管理和运维部门负责管理信息大区内的网络与信息安全 事件风险监测工作，工作的重点包括： （1）有害程序类事件； （2）网络攻击类事件； （3）信息破坏类事件； （4）信息内容安全类事件； 10 （5）故障类事件； （6）灾害类事件。 在风险监测中，各级信息化管理部门应通过多种方式获取预警支持信息，一般包 括以下方式： 信息中心、调度、营销等部门通过风险监测和风险分析获得的数据； 上级单位向下传达的网络与信息安全事件预警信息； 各下属单位上报的网络与信息安全事件预警信息； 地方政府相关部门发布的网络与信息安全事件预警信息等。 在获取预警支持信息后，应当及时进行汇总分析，必要组织相关部门、专业技术 人员、专家进行会商，对网络与信息安全事件发生的可能性及其可能造成的影响进行 评估。 5.3 5.3 预警预警发布与响应发布与响应 5.3.1 预警信息报告 各单位信息化管理部门通过对网络与信息安全事件预警支持信息的分析和评估， 认为构成预警的，应立即将预警支持信息的分析和评估结果作为预警信息向局信息中 心报送。 5.3.2 预警发布 （1）局信息中心收到预警支持信息后，应当及时进行汇总分析，必要时组织局信 息中心人员和相关部门进行会商，综合分析判断，确定预警等级。 （2）依据预警支持信息的分析、评估的结果，达到本级单位蓝色、黄色预警级别 的，由局信息中心编写发布；达到本级橙色、红色预警级别的由局信息中心编写，报 局应急指挥中心批准后统一发布；达不到本级单位预警级别的预警支持信息，由信息 中心将预警信息转发可能受影响的单位。 （3）发布预警时，应明确预警的级别、响应范围和公开程度（或保密要求） ，并 通过“突发事件预警发布（调整）单”（见附件 1）发布预警信息。 （4）发布预警后，应通过应急指挥管理信息系统、公文、传真、电话、短信、电 子邮件等多种方式，将预警尽快传达到相关部门及人员，如涉及政府部门或涉及民生 重要部门的，将预警信息转达到政府相关部门。 11 5.3.3 预警响应 在网络与信息安全预警发布后，预警响应范围内的单位和部门应针对可能发生的 网络与信息安全事件，及时采取有效的防范和应对措施： （1）蓝色、黄色预警 蓝色或黄色预警通知发布以后，预警范围内各单位（部门）均应立即进行以下各 项： 1）应急预案和相关事件处置方案的准备。 2）检查信息沟通渠道是否畅通。 3）相关部门按专业分工加强对预警风险发展情况的监测和预报。 4）预警通知要求的其它工作。 （2）橙色预警 橙色预警通知发布以后，预警范围内各单位（部门）均应立即进行以下各项： 1）应急预案和相关事件处置方案的准备。 2）检查信息沟通渠道是否畅通。 3）相关部门按专业分工持续关注预警风险发展情况，定期发送风险监测信息。 4）非工作时间安排专业技术人员值班。 5）预警通知要求的其它工作。 （3）红色预警 红色预警通知发布以后，预警范围内各单位（部门）均应立即进行以下各项： 1）应急预案和相关事件处置方案的准备。 2）检查信息沟通渠道是否畅通。 3）相关部门按专业分工持续关注预警风险发展情况，定期发送风险监测信息。 4）安排应急领导 24 小时轮流带班、专业技术人员 24 小时现场值班。 5）应急物资及抢险、抢修设备准备。 6）抢险、抢修队伍待命。 7）预警通知要求的其它工作。 （4）预警发布后，预警响应范围内的相关单位应每日 18:00 前向××局信息中心 汇报预警响应情况，直至预警解除。预警响应情况使用附件 2 填写上报。 12 5.3.4 预警调整与解除 （1）预警调整 预警发布后，××局信息中心应持续关注网络与信息安全发展趋势，获取预警支 持信息进行汇总分析，应根据突发事件的风险变化及时提出预警级别与范围调整相关 建议，预警调整需经签发人批准。网络与信息安全预警信息调整使用附件 1 填写发布。 （2）预警解除 预警信息发布后在未启动应急响应前预警事件发生风险已经有效控制或全部消除， 蓝色、黄色预警由局信息中心解除；对于红色、橙色预警信息，则由局应急指挥中心 批准解除。解除预警应发布网络与信息安全预警解除单 （附件 3） 。当满足下列条件 之一时，应解除预警： 1) 预警事件发生的风险已经全部消除； 2) 预警事件发生的风险已经被有效控制； 3) 预警响应范围内的单位已经全部解除预警状态。 4) 事件已经发生，从预警状态转入应急状态，预警自动解除。 6应急响应应急响应 6.1 6.1 响应分级响应分级 6.1.1 应急响应分级标准 按照管理信息系统网络与信息安全事件的严重程度和范围，本预案将网络与信息 安全事件应急响应分为四级，由低到高依次为级响应、级响应、级响应和级 响应。响应级别与管理信息系统网络与信息安全事件等级关系如下表所示： 特别重大事件重大事件较大事件一般事件 ××局I 级II 级III 级IV 级 6.1.2 应急响应启动及发布 ××局信息中心分析判断符合应急响应启动条件时，对于级、级响应，由 ××局信息中心向××局应急办报告，由应急办组织相关部门会商，确定启动、 级响应的，报应急指挥中心总指挥或授权副总指挥批准，启动相应级别响应； 对于级、级响应，由××局信息中心组织会商后由××局信息中心负责人批 准启动对应级别的应急响应，并报送××局应急办备案，具体流程见附件 4。 13 6.1.3 各级应急响应的领导机构和处置主体 (1)启动网络与信息安全、级应急响应后，××局应急指挥中心和应急指挥办 公室统一协调指挥局属各部门、单位开展应急响应相关处置工作。 (2)启动网络与信息安全、级应急响应后，××局信息中心协调指挥局属各部 门、单位开展应急响应相关处置工作。 6.2 6.2 信息报告信息报告 6.2.1 应急值班电话 （1）局突发事件应急值班（24 小时接警）电话：3205888、3388000、95598 （2）局应急办公室电话：3205256 （3）××局信息中心电话：内线：1000；外线：0878-3361000 （4）云南电网公司应急值班电话：0871-3011000 6.2.2 网络与信息安全初始信息报告 （1）报告内容 管理信息系统网络与信息安全事件初始信息是指在事件刚刚发生时，与事件基本 情况有关的信息，一般包括以下内容： 事件的类型、发生时间、发生地点； 事件的发生原因、性质、经初步判断的严重程度； 事件对××局业务和用户的影响范围与程度； 事件发生单位已采取的控制措施； 事件报告单位、联系人员及联系方式； （2）口头报告 事发单位接到报告后，应在 30 分钟内逐级分别口头报告局信息中心。 （3）书面快速报告 确定事件等级后，当事件等级达到一般及以上事件时，1 小时内填报××供电局 网络与信息安全事件应急信息快速报告单 （见附件 5） ，通过电子邮件、传真等方式向 局信息中心上报，局信息中心负责向公司信息部和局应急办报告，每级时限不超过 2 小时。 14 6.2.3 网络与信息安全应急信息报告 （1）报告内容 管理信息系统网络与信息安全事件应急信息是指在网络与信息安全事件应急响应 过程中，与网络与信息安全事件和网络与信息安全事件应急响应有关的数据和信息， 一般包括： 事件最新概况：包括事件当前态势、已经造成的影响情况等。 应急处置进展情况：包括当前主要应急处置措施、已开展的应急处置行动、 已取得的应急成果以及政府部门的参与情况等。 应急资源调度情况：包括应急人员调动、应急物资调配、应急资源需求等情 况。 下一步应急工作部署：包括应急处置进展情况预估；应急处置行动计划。 （2）应急信息汇报 1）在网络与信息安全事件、级应急处置过程中，应急办公室负责收集、汇总 网络与信息安全事件应急信息。 2）在网络与信息安全事件级、级应急处置过程中，信息中心负责收集、汇总 网络与信息安全事件应急信息； 3） ，应急响应单位于每日 19:00 前上报当日 18：00 前 24 小时内应急信息，直到应 急结束。网络与信息安全事件应急信息报告的通用格式见附件 6。 6.2.4 应急联系方式 相关应急机构、部门、人员的联系方式见附件 8。 6.3 6.3 应急处置应急处置 6.3.1 事件响应级别达到、级响应时，按照、级应急响应流程进行处置（附件 10） 。 （1）应急指挥。由局信息中心统一指挥处置，局信息中心视具体情况决定是否派 驻现场指挥协调和专业技术人员。事发单位应急指挥应迅速到位，并与局信息中心建 立沟通渠道。 （2）资源调配。事发单位积极组织抢险队伍和力量，必要时向局信息中心提出申 请，由局信息中心协调网内外力量给予支援。 （3）抢险恢复。事发单位组织抢险恢复工作的实施，局信息中心与事发单位保持 15 通讯联系，收集应急响应信息，对事态发展和影响及时进行分析和评估，视实际情况 组织召开会议通报灾情和抢险恢复情况，直至应急结束。 （4）应急处置。各相关部门负责网络与信息安全应急处置工作，局信息中心负责 综合数据网、局信息中心机房自建系统应急处置；局电力调度中心负责调度 OMS 系统 等调度管辖系统，及通信中断应急处置；局营销部门负责计量四合一系统等营销管辖 系统应急处置。 （5）应急值班。局信息中心安排人员 24 小时电话值班，密切监控灾害发展及网络 与信息系统运行情况。 6.3.2 事件响应级别达到、级响应时，按照、级应急响应流程进行处置（附件 9） 。 （1）××局应急办立即根据事件性质提请总指挥召集指挥中心成员、应急办成 员、局信息中心及相关专业管理部门人员到位，组织召开应急指挥中心紧急会议，并 明确以下内容： 通报网络与信息安全初始信息； 商议处置网络与信息安全事件的初步措施； 按需要成立工作组，如网络恢复组、系统恢复组、后勤保障组、信息组等，明 确工作组组成人员及工作职责，落实应急指挥中心决议和部署，组织开展应急 处置； （2）应急办根据会议决议起草指挥令文件，经应急指挥中心总指挥或授权副总 指挥批准，发布指挥令，部署应急处置相关工作。 （3）应急指挥。由局应急指挥中心统一指挥、处置，根据实际情况决定是否派 驻现场工作组指挥协调应急工作。事发单位应急指挥机构迅速到位，并与应急指挥中 心建立沟通渠道。 （4）资源调配。事发单位积极组织专业技术队伍，必要时向应急指挥中心提出 申请，由应急办协调网内外力量给予支援。 （5）抢险恢复。事发单位组织抢险恢复工作的实施，应急办负责与事发单位保 持通讯联系，收集应急响应信息，对事态发展和影响及时进行分析和评估，按需组织 召开会议通报应急响应信息和部署处置工作等，直至应急结束。应急办公室负责抢险 恢复相关协调工作，包括技术队伍、备品备件物资的安排及抢修工作协调等，其他部 门按照应急指挥机构及职责分工开展工作。 16 （6）应急处置。各相关部门负责网络与信息安全应急处置工作，局信息中心负 责综合数据网、局信息中心机房自建系统应急处置；局电力调度中心负责调度 OMS 系 统等调度管辖系统，及通信中断应急处置；局营销部门负责计量四合一系统等营销管 辖系统应急处置。 （7）应急值班。应急指挥中心办公室成员负责值班，履行值守应急、信息汇总 和协调职能，实行 24 小时值班制度。 6.4 6.4 应急结束应急结束 6.4.1 、级应急响应结束 在应对的网络与信息安全事件已经完成下列工作：受影响业务已恢复、系统资源 已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢 复，或接收到上级网络与信息安全应急指挥机构的结束级、级应急响应的指令， 由××局应急办及时结合电网实际提出结束级、级应急响应的建议，由××局应 急指挥中心决策应急响应的结束。应急响应解除单见附件 11。 6.4.2 、级应急响应结束 在应对的网络与信息安全事件已经完成下列工作：受影响业务已恢复、系统资源 已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢 复，网络与信息安全事件势态受到有效控制，事发单位已经能够独立应对后，由受灾 单位提出建议，××局信息中心结合电网实际进行会商，决策级、级应急响应的 结束。应急响应解除单见附件 11。 6.5 6.5 信息发布信息发布 在突发事件响应和处置期间，××局办公室负责按规定统一对外发布有关信息、 接受新闻媒体采访、组织新闻发布会，并协调、配合新闻媒体做好新闻报道工作。未 经允许，任何部门和个人不得对外发布（散布）突发事件信息或发表对突发事件的评 论。 7后期处置后期处置 后期处置系指应急响应结束后，各单位根据各级应急指挥中心或信息中心要求开 展的工作，主要包括： 17 7.1 恢复生产 按照“统筹安排，分级负责，科学规划，快速恢复”的原则，对善后处理、恢复重 建工作进行规划和部署，要求相关单位（部门）逐级制定详细可行的工作计划，快速、 有效地消除突发事件造成的不利影响，尽快恢复正常生产秩序。 7.2 事件调查 （1）按照云南电网公司及××局的事故调查规定，组织事故调查组对网络与信息 安全事件进行调查。 （2）事故调查组应准确、及时、公正地查清事故的性质、原因和责任，总结经验 教训，提出防范措施，并对责任者提出处理意见。 7.3 总结及改进 应急响应结束后，启动应急响应的各有关单位要在 48 小时内向××应急办和信息 中心提交应急处置总结报告。在局应急指挥中心组织下，由××信息中心具体负责对 本预案和应急救援处置过程进行全面地总结、评估，找出不足并明确改进方向，及时 对本预案的不足之处予以修订。 8应急保障应急保障 8.1 应急队伍 ××局相关部门、各单位积极组织抢险队伍和力量，在、应急响应期间必要 时向应急指挥中心提出申请，由应急指挥中心协调××局内外力量给予支援；在 、应急响应期间必要时向××局信息中心提出申请，由××局信息中心协调网内 外力量给予支援。 8.2 应急物资与装备 ××局及下属单位负责组织网络与信息安全应急物资器材和装备，在、应急 响应期间必要时向××局应急指挥中心汇报，由应急指挥中心协调××局内外的物资 部门和厂家给予支持；在、应急响应期间必要时向××局信息中心汇报，由×× 局信息中心协调网内外的物资部门和厂家给予支持。 8.3 通信与信息 7.3.1 应设立网络与信息安全应急 24 小时值班电话，并做到“三不变”，即电话号码不变、 18 传真号码不变、电子邮件不变。与应急工作相关人员的电话、手机、传真、电子邮件 等联系方式应及时更新、及时分发，并保持畅通。 7.3.2 通信联络方式主要有系统程控电话、外线电话、手机、传真、电子邮件等，其中 手机、电话、传真和电子邮件为主要通信联络方式。与应急工作相关的工作人员联系 手机应保持每天 24 小时开机状态。 8.4 经费 7.4.1 局信息中心负责申报突发网络与信息安全事件应急工作经费，经××局应急指挥 中心审批后，列入年度预算管理。 8.1.2本预案启动后，应急工作所需资金经××局应急指挥中心批准，由局财务部负 责提供。 8.5 其他 为了保障网络与信息安全事件应急救援时，能够快速获得地方政府相关部门的支 持，××局及下属各单位应与地方政府相关部门建立有效的沟通渠道和协作机制。 9培训和演练培训和演练 9.1 应急培训 （1）由信息中心负责组织与本预案相关的应急培训，培训对象主要为信息中心的 工作人员和下属单位信息化管理部门的工作人员。 （2）本预案的培训可以采用案例教学、情景模拟、交流研讨、案例分析、应急演 练、对策研究等方式进行。 (3)本预案的培训重点是网络与信息安全事件应急响应流程、网络与信息安全事件 应急信息报送流程和网络与信息安全应急处置的知识和技能。 9.2 预案演练 (1)由信息中心负责制定本预案的年度演练计划，演练计划于年初报局应急办公室。 (2)本预案每年至少进行一次演练，由信息中心负责组织；本预案演练的主要内容 为应急人员对预案应急流程的熟悉和各应急处置工作组之间的配合。 (3)本预案演练结束后，由信息中心负责对演练情况进行评估和总结，针对应急演 练中暴露出的问题，制订相应的整改措施，对本预案的不足之处进行修订。 19 10 附则附则 10.1 预案备案 本预案由××局应急办公室报送云南电网公司、××州政府相关部门备案。 10.2 维护和更新 ××局应急办公室牵头负责对本预案每年评审 1 次，并提出修订意见，局信息中 心负责按照修订意见修改和更新本预案。 10.3 制定与解释 本预案由××局应急办公室负责组织制定和解释。 10.4 实施时间 本预案自××局批准发文之日起实施。 10.5 应急指挥中心会议室 本预案应急响应时应急指挥中心会议室设在局办公大楼 12 楼会议室。 11 附件附件 附件 1：突发事件预警发布（调整）单 附件 2：预警响应信息快速报告单 附件 3：网络与信息安全预警解除单 附件 4：应急响应启动流程 附件 5：网络与信息安全应急信息快速报告单 附件 6：网络与信息安全应信息报告单 附件 7：突发事件应急响应启动（调整）单 附件 8：相关人员、单位事件应急联系电话 附件 9：、级应急响应流程 附件 10：、级应急响应流程 附件 11：突发事件应急响应解除单 20 附件附件 1 突发事件预警发布（调整）单突发事件预警发布（调整）单 ××供电局网络与信息安全事件预警发布（调整）单 发布单位（部门）： 签发人： 预警名称 发布时间 预警编号专项预警名称-F（T）-20XX-YYY 预警范围 预警性质初次发布 预警调整 上次预警单号（ ） 预警级别本次：X 色上次：X 色 预警概要 预防措施及工 作要求 备注（密级或公开程度） 注：1.发布单位（部门）：填写应急办（专业管理部门） 。 2、专项预警名称：对应的专项应急预案的简称，如电网