一、总则 

　　1.1编制目的 

　　为贯彻落实《山西省人力资源社会保障网络与信息安全突发事件应急预案》（晋人社办发【2017】18号），提高我市人力资源和社会保障应对网络与信息安全突发事件的能力，确保网络与信息系统的稳定运行，科学应对网络信息系统突发事件，有效预防、及时控制和最大限度消除网络与信息突发事件造成的危害和影响，特制定本预案。 

　　1.2 指导思想 

　　坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。 

　　1.3编制依据 

　　依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息安全事件分类分级指南》（ GB／Z 20986－2007）、《国家网络安全事件应急预案》、《山西省人民政府突发公共事件应急预案体系建设制度》、《山西省突发事件应急预案管理办法》、《山西省人力资源社会保障网络与信息安全突发事件应急预案》等相关规定。 

　　1.4适用范围 

　　凡因自然灾害、软硬件缺陷或故障、人为破坏等对支撑网络、信息系统、信息数据造成危害，导致人力资源社会保障业务无法正常经办，影响公众权益和社会稳定的突发事件，包括有害程序事件，设备设施故障事件、网络攻击事件、信息数据安全事件、灾难性事件等，均适用本预案。 

　　1.5 事件分级 

　　网络与信息安全突发事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。突发事件级别分为四级：特别重大（I级）、重大（II级）、较大（III级）和一般(IV级）。 

　　I级：金保工程重要网络与信息系统和门户网站数据库发生全市性大规模瘫痪，或者重要敏感信息和关键数据全部丢失、被窃取、篡改，事态发展超出人力资源和社会保障部门的控制能力，需要跨部门、跨地区协同处置，对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发事件。 

　　II级：金保工程重要网络与信息系统造成全市性瘫痪或者重要敏感信息和关键数据大部分丢失、被窃取、篡改，丧失业务处理能力，门户网站软件系统遭到黑客攻击或感染病毒，造成系统损坏，对国家安全、社会秩序、经济建设和公共利益造成严重损害的突发事件。 

　　III级：金保工程部分重要网络与信息系统瘫痪，或者部分敏感信息和关键数据丢失、被窃取、篡改，门户网站网络中断、设备受损，对国家安全、社会秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发事件。 

　　IV级：金保工程重要网络与信息系统受到一定程度的损坏，或者部分敏感信息和关键数据丢失、被窃取、篡改，门户网站无法正常登录，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发事件。 

　　二、组织机构及职责 

　　2.1应急领导组 

　　忻州市人力资源和社会保障局网络安全和信息化应急领导组是网络与信息系统突发事件的决策机构。负责全面领导、指导、协调和指挥全市人力资源社会保障网络与信息安全突发事件应急工作。 

　　主要职责：统筹协调组织突发事件应对工作，负责全市人社系统内网络与信息安全的指导协调、监督检查、组织实施；负责全市网络与信息安全的隐患排查及整改工作；定期开展和部署应急预案的演练、培训工作；负责发生突发事件的上报；决定突发事件应急预案的启动和终止等事项。 

　　2.2应急执行组 

　　应急执行组是网络与信息安全突发事件的具体执行机构，组长由分管信息化工作的领导担任，组员由市局办公室、市局信息中心，以及基础设施维护商，信息系统服务商的相关人员组成。局门户网站应急执行组设网络管理员、网络安全员和网站维护更新人员。 

　　主要责任是：负责信息监控及网络运行安全监测，负责对重大敏感时期、重要活动、重要会议期间网站发生信息安全事件的监测与处置，负责网络病毒和大规模网络攻击事件的处置。在出现突发事件后初始响应与损害评估，对信息系统和网络安全事件的处理提供技术支持和指导，遵循正确的流程，采取正确快速的行动做出响应，确保发生安全事件时能够第一时间妥善处理。 

　　三、应急处置 

　　3.1事件报告 

　　（1）事件报告内容：事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。 

　　（2）对暂时无法判明破坏等级的事件，事发单位应立即将简要情况及联系人通过电话、传真等方式上报应急领导组，事件详细情况应在1小时内上报。 

　　（3）对关键基础网络与信息系统、等级保护三级（含）以上网络与信息系统、涉密基础网络与信息系统及在敏感期可能演化为Ⅱ级和Ⅰ级网络与信息安全事件的信息，事发单位应立即上报，不得拖延。 

　　（4）对涉密的信息，参与涉密突发事件应急处置人员须遵守相关保密管理规定，做好保密工作。 

　　3.2应急响应 

　　发生网络与信息安全突发事件后，事发单位必须立即实施先期处置，并按照制定的相关应急预案，控制事件进一步发展。 

　　（1）控制事态发展，及时上报信息。事发单位根据本单位相关应急预案，采取紧急措施，及时控制事态发展，最大限度防止事件蔓延，在第一时间开展先期处置的同时，及时将事件的性质、危害程度、损失情况、处置等有关情况上报应急领导组，不得瞒报、缓报、谎报。 

　　（2）事件发生、发展、处置的记录和证据留存。事发单位在处理过程中，保留相关证据，可采取记录、截屏、备份、录像等手段，对事件的发生、发展、处置过程、步骤、结果进行详细记录，为事件调查、处理提供证据。 

　　（3）保持通信畅通。事发单位将突发事件上报应急领导组时，要明确联系人，并保持通信畅通，以便应急领导组及时与事发单位联系，实时掌握事件的发展情况。 

　　3.3应急结束 

　　网络与信息安全突发事件经应急处置后，得到有效控制，事态下降到一定程度或基本得到解决。 

　　四、后期处理 

　　4.1情况汇报和经验总结 

　　网络与信息安全突发事件应急任务结束后，事发单位应做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报。由事发单位牵头，与应急领导组组成事件调查组，对事件发生原因进行全面调查，查清事件发生的原因，总结经验教训，并由应急领导组负责起草相关报告，在3个工作日内报上级主管部门和监管部门。 

　　4.2恢复重建工作 

　　按照“谁主管、谁负责，谁运行、谁负责”的原则，由事发单位组织制定恢复、整改或重建方案，报应急领导组审核实施，尽快恢复受损基础网络和信息系统。 

　　五、应急保障 

　　5.1人员保障 

　　加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、懂技术的信息安全核心人才和管理队伍，提高信息安全防御意识。加强与信息安全服务厂商联系，增强社会应急支援能力。 

　　5.2设备保障 

　　为了在硬件设备发生故障时能够尽量降低业务系统的受影响程度，需为相应的核心业务硬件系统提供必要的备份设备、线缆等硬件资源，可以在应急情况下调配使用。 

　　5.3财务保障 

　　市、县人社部门要利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作的开展。 

　　5.4通讯保障 

　　建立健全并落实信息系统突发事件信息收集、传递、处理、报送各个环节的工作制度，完善各部门已有的信息传输渠道，随时保持信息报送通畅，通讯设备完好。 

　　5.5技术保障 

　　建立应急处理的技术平台，进一步提高安全事件的发现和分析能力；从技术上逐步实现发现、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制；组织有关专家和安全厂商力量，开展应急运作机制、应急处理技术、控制等研究，推广和普及切合实际的应急技术。 

　　六、预防工作 

　　6.1日常管理 

　　各单位按照职责做好网络与信息安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份。健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。 

　　6.2应急演练 

　　为提高信息安全突发事件应急响应水平，定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。 

　　6.3宣传 

　　大力宣传网络与信息系统的基本原理、安全事件的预防措施和应急处理的基本知识，提高本单位人员的安全意识水平。 

　　6.4人员培训 

　　确保信息安全应急预案有效运行，定期或不定期地举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。 

　　6.5重要敏感时期的预防措施 

　　在国家重要活动，会议等重要敏感时期，市、县人社部门要加强网络安全事件的防范和应急响应，确保网络与信息系统安全，要加强网络安全监测和分析研判，重点部门、重点岗位保持24小时值班，及时发现和处置网络安全事件的隐患。 

　　七、监督检查与奖惩 

　　7.1监督检查 

　　应急领导组负责对应急保障工作进行不定期的督促检查。主要督促检查内容如下： 

　　网络与信息系统各项应急保障行动方案的制定、执行情况。应急领导机构的应急指挥、调度、值班等职责落实情况。应急领导部门和应急执行部门之间的协作配合情况。网络与信息系统应急保障队伍建设情况及新业务、新技术培训情况。应急预案的演练情况。应急保障所需备品、备件的储备情况。突发事件处理后的原因分析、责任划分、之后的改进防范措施等情况。 

　　7.2表彰奖励　　 

　　对下列情况可以经应急领导组评估审核批准后予以表彰奖励。 

　　在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场工作人员。 

　　7.3责任追究 

　　在发生重大信息安全事件后，有关单位、工作人员有瞒报、缓报、漏报和其它失职、渎职行为的，应急领导组将予以通报批评；构成犯罪的，由有关部门依法追究其法律责任。对未及时落实应急领导组指令，影响应急行动效果的，按《国务院关于特大安全事故行政责任追究的规定》、《山西省重大安全事故行政责任追究规定》追究相关人员的责任。 

　　八、附则 

　　8.1预案解释 

　　本预案由市人社局网络安全和信息化应急领导组负责解释。 

　　8.2预案实施时间 

　　本预案自印发之日起实施。 

　　附件：1.组织机构 

　　2.网络安全事件分类 

　　3.技术支撑队伍通讯联络表 

　　4.应急处置手册 

　　附件1 

　　组织机构 

　　应急领导组 

　　组  长：戎志理 

　　副组长：敬培军 

　　成  员：魏君 杜补和 米润民 梁建文 顾尚荣 张彬慧 

　　任家春 何常清 梁志文 朱志勇 王强 

　　应急执行组 

　　组  长：张彬慧（兼） 

　　成  员：樊文江 李斌 李荣煌 韩清云 原鹏涛 李星 董军华 李淑芳 

　　附件2 

　　网络安全事件分类 

　　网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。 

　　（1）有害程序事件包括：计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。 

　　（2）网络攻击事件包括：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。 

　　（3）信息破坏事件包括：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。 

　　（4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作、讨论敏感问题，并危害国家安全、社会稳定和公众利益的事件。 

　　（5）设备设施故障事件包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。 

　　（6）灾害性事件包括：水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。 

　　（7）其他信息安全事件：不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。 

　　附件3 

　　技术支撑队伍通讯联络表 

　　1.金保工程专网线路 

　　联系人：移动：李彦军   联系电话: 13935030405 

　　联通：辛丽华   联系电话：18603500765 

　　电信：杨岳青   联系电话：13393509950 

　　2.服务器设备 

　　联系人：李  洋          联系电话：13513511168 

　　3.存储设备、精密空调、UPS、动环监控 

　　       联系人：张晨阳         联系电话：18535109831 

　　4.网络设备、安全设备、视频会议系统  

　　       联系人：潘云飞         联系电话：13835073495 

　　5.核心数据库 

　　联系人：闫志斌          联系电话：18636651168 

　　 6.12333电话咨询服务系统 

　　联系人：高旭光          联系电话：13935001551 

　　7.信息系统安全运维 

　　       联系人：康栗先         联系电话：13453119349 

　　8.忻州市社会保险管理信息系统 

　　       联系人：胡新成         联系电话：18935150930 

　　9.联网数据管理信息系统 

　　联系人：张毅            联系电话：18636803080 

　　10.门户网站运维管理 

　　     联系人：王浩宇          联系电话：18603509345 

　　附件4 

　　应急处理手册 

　　（一）公共服务系统（市人社局官方网站、社会保障卡便民服务网、12333客服系统）故障应急响应预案 

　　1.当有关工作人员发现网站故障，应告知应急执行组人员10分钟内赶到现场，并立即向应急领导组报告故障。 

　　2.应急执行组人员分析问题产生的原因（软件故障、硬件故障、数据库故障、网络故障）并将结果报告应急领导组。 

　　3.在应急领导组授权下，启动（软件故障、硬件故障、数据库故障、网络故障）相关应急预案。 

　　4.处理完毕后，应急执行组向应急领导组汇报有关情况。 

　　（二）业务经办系统故障应急处理预案 

　　1.当有关工作人员发现业务系统故障，应告知相关应急执行组人员10分钟内赶到现场，并立即向应急领导组报告故障。 

　　2.通知经办机构，告知业务系统发生故障。 

　　3.应急执行组人员分析问题产生的原因（软件故障、硬件故障、数据库故障、网络故障）并将结果报告应急领导组。 

　　4.在应急领导组授权下，启动（硬件故障、数据库故障、网络故障）相关应急预案，并告知经办机构故障处理时限。 

　　5.处理完毕后，应急执行组向应急领导组汇报有关情况，同时通知经办机构故障处理完毕，业务系统恢复正常服务。 

　　6.应急领导组如认为情况严重，应立即向上级主管部门和监管部门汇报。 

　　（三）硬件故障应急处理预案 

　　1、相关应急执行组人员在10分钟到位，评估硬件故障程度。 

　　2.如能自行处理，则立刻处理。否则通知第三方团队尽快赶到现场，本地团队30分钟内到达现场，外地团队90分钟内到达现场。 

　　3.如果能在短时间内维修或立即有备件替换，则立即组织维修或更换受损部件。 

　　4.如果设备一时不能修复，应向应急领导组汇报，使用备用硬件提供相应服务。 

　　5.如果没有备用硬件，应向应急领导组汇报，并告之相关部门，暂缓使用业务系统。待故障处理后，向应急领导组汇报，并通知相关单位，恢复服务。 

　　（四）数据库故障应急处理预案 

　　1.相关应急执行组人员在10分钟到位，通知第三方团队90分钟内赶到现场。 

　　2.会同第三方团队评估数据库故障程度。 

　　3.如数据库数据没有破坏，则恢复服务。 

　　4.如数据库数据遭到破坏，报告应急领导组，由应急领导组决策。通过数据库备份进行数据恢复，对数据备份无法提供的数据，则由相关单位对缺少时间段数据进行数据库补录，补录完毕后，由相关单位、系统开发商共同对数据完整性、准确性进行比对，然后恢复服务。 

　　（五）网络故障应急处理预案 

　　1.相关应急执行组人员在10分钟到位，评估网络故障节点。 

　　2.如能自行处理，则立刻处理。否则通知第三方团队30分钟内赶到现场。 

　　3.如属内部线路故障，应调试或更换局域网线路。 

　　4.如属广域网线路故障，联系电信运营商调试线路。 

　　5.如属路由器、交换机、防火墙等网络设备配置故障，应迅速按照要求配置。 

　　6.如属路由器、交换机、防火墙等网络设备硬件故障，则请示应急领导组，更换备用网络设备，并调试通畅。 

　　7.如网络瘫痪时间较长，影响面广，应向应急领导组汇报。 

　　（六）电力故障应急处理预案 

　　1.机房值班人员应立即查明原因，并向应急领导组汇报情况。 

　　2.如是办公楼局部停电，则联系后勤中心，对办公楼线路进行检修，询问供电恢复时间，向应急领导组汇报，同时打开机房门窗，保持通风，确保设备温度正常，待恢复供电后关闭门窗。 

　　3.如是政府变电室的原因，应立即与其联系，询问供电恢复时间，向应急领导组汇报，同时打开机房门窗，保持通风，确保设备温度正常，待恢复供电后关闭门窗。 

　　4.如果需长时间停电，应作如下安排。 

　　（1）停电4小时以内，由UPS供电； 

　　（2）停电4-10小时，关掉非关键设备，确保关键服务器（社会保险系统服务器和就业服务系统服务器）、核心网络设备供电； 

　　（3）停电10小时以上，通知相关单位做好停止服务准备，对机房所有服务器正常关机，确保数据完整、安全。 

　　5.如市电供应正常，UPS故障无法提供机房供电，则通知UPS维护人员尽快赶到现场，同时告知相关单位因停电无法提供服务，待UPS修复，由相关单位、系统开发商共同对业务系统的数据完整性、准确性进行比对后，恢复服务。 

　　（七）火灾应急处理预案 

　　1.值班人员立刻报告应急领导组，通知应急执行组，首先通过手持灭火器控制火势，如解决问题，则向应急领导组汇报结果。 

　　2.如无法控制，向应急领导组汇报，请示切断机房电源和启动自动气体灭火装置，如解决问题，则向应急领导组汇报结果。 

　　3.如仍然无法控制，机房值班人员立即按响火警警报，并通过119电话向公安消防请求支援，其他人员迅速从机房中有序撤出。 

　　4.火灾造成严重后果的，比如机房大面积毁坏，无法提供业务服务的，应急领导组立即向上级主管部门和监管部门汇报，并通过媒体对外做好解释工作。 

　　（八）浸水应急处理预案 

　　1.发现机房出现不明进水时，值班人员首先要切断电源，通知应急执行组，关闭楼层总水阀门，然后积极设法排水，保护机房内设备的安全。对无法控制的严重水情，应立即报告应急领导组，协调后勤中心，寻找进水源头。 

　　2.发现机房顶部出现漏水时，应积极设法用容器及塑料布、保护机房设备不被淋湿。漏水情况严重时，应切断电源，同时立即报告应急领导组。 

　　（九）地震应急处理预案 

　　1.一旦发生地震，人员立即撤离现场。 

　　2.待稳定后，做好设备损坏统计工作，及时记录，及时向应急领导组汇报。如果发现有设备损坏，及时让设备维护商检修，如果短时间不能处理的，应尽量更换新机器，保证业务顺利进行。 

　　3.地震造成严重破坏的，如设备大面积瘫痪，机房大面积毁坏，如需停止设备运行，停办业务的，应急领导组应通过媒体对外做好解释工作。 

　　未涉及到的突发事件，在应急领导组领导下视情处理。