信息安全应急演练实施方案
根据总分行相关文件精神,为妥善应对和处置我行重要信息系统 突发事件,确保重要信息系统安全、稳定、持续运行,防止造成重大 损失和影响,进一步提高网络与信息系统应急保障能力,特制定本演 练方案:
、指导思想
以维护我行重要业务系统网络及设备的正常运行为宗旨。按照 “预防为主,积极处置”的原则,进一步完善丹东中支应急处置机 制,提高突发事件的应急处置能力。
二、组织机构
(一)应急演练指挥部: 总指挥: **
成员: ****
职责是:负责信息系统突发事件应急演练的指挥、组织协调和过 程控制;向上级部门报告应急演练进展情况和总结报告,确保演练工 作达到预期目的。
(二)应急演练工作组
组长:**
成员 : ** 、 ** 、 ** 、 **
职责是:负责信息系统突发事件应急演练的具体工作;对信息系 统突发事件应急演练业务影响情况进行分析和评估;收集分析信息系 统突发事件应急演练处置过程中的数据信息和记录;向应急指挥部报 告应急演练进展情况和事态发展情况。并做好后勤保障工:提供应急 演练所需人力和物力等资
第 1 页 共 8 页
源保障;做好对受影响客户的解释和安抚工 作;做好秩序维护、安全保障支援等工作;建立与电力、通讯、公安 等相关外部机构的应急演练协调机制和应急演练联动机制;其它为降 低事件负面影响或损失提供的应急支持保障等。
三、演练方案 (一)演练时间
** 年** 月**0 日举行应急演练,全体科技科成员参加。
(二)演练内容:
1、与分支机构网络通信线路故障及排除; 2、电力故障及排除; 3、机房进水;
(三)演练的目的:
突发事件应急演练以提高科技部门应对突发事件的综合水平和应 急处置能力,以防范信息系统风险为目的,建立统一指挥、协调有序 的应急管理机制和相关协调机制,以落实和完善应急预案为基础,全 面加强信息系统应急管理工作,并制定有效的问责制度。坚持以预防 为主,建立和完善信息系统突发事件风险防范体系,对可能导致突发 事件的风险进行有效地识别、分析和控制,减少重大突发事件发生的 可能性,加强应急处置队伍建设,提供充分的资源保障,确保突发事 件发生时反应快速、报告及时、措施得力操作准确,降低事件可能造 成的损失。
四、演练的准备阶段
(一)学习教育。组织员工学习《银行业重要信息系统突发事件 应急管理规范(试行)》、《 *** 计算机突发事件应急预案》,以网点 为单位认
第 2 页 共 8 页
真学习和模拟演练我社制订的应急预案,提高员工对于突发 事件的应急处置意识;熟悉在突发事件中各自的职责和任务,保证信 用社业务的正常开展。
(二)下发《农村信用合作联社重要信息系统突发事件应急演练 实施方案》;
(三)演练指挥部全面负责各项准备工作的协调与筹划。明确责 任,严格组织实施演练活动,确保演练活动顺利完成,达到预期效 果。
(四)应急演练组要提前在中支中心机房要做好充分准备,在演 练前一天准备好所有应急需要联系的电话号码,检查供电线路,计划 好断电点,演练时掐断电源,模拟供电故障;并按演练背景做好其它 准备。
五、应急演练阶段
(一)请我行信息安全员,讲解演练知识及演练过程中的注意事 项,并与其他相关同事一起温习应急预案。
(二)按照预定发生突发事故的时间表,总指挥逐项发出演练通 知; (三)参与部门及人员。科技科的全体员工都要参加,把演练当 成实战,认真对待。
(四)演练的事项
1、 2011年 6月 30日上班后,发现网络不通,不能与辖内县支行 进
行通讯,无法正常办理业务,立即报告至科技科网络管理员,科技 部门立即将此情况报告应急演练指挥部。指挥部启动相关应急预案并 组织人员进行故障排除,网络故障排除后,网络恢复正常,可办理业 务。
2、 2011年 6月 30日在没有接到任何通知的情况下,突然遭遇不 知
原因的停电,所有设备陷入瘫痪状态。办公室立即将此情况报告我 行应急演练指挥部。指挥部启动相关应急预案并组织人员联系供电部 门进行维修与排除。
第 3 页 共 8 页
3、由于空调损坏,导致我行中心机房进水,科技部门立即将此情 况上
报至应急指挥部,指挥部启动相关应急预案并组织人员进行判断 与排除。科技科查明原因后立即进行排水工作,以保证我行正常业务 的开展。
六、演练要求:
1、加强领导,确保演练工作达到预期目的。在指挥部的统一部署 下,
科技部门全体工作人员要高度重视,提高认识,积极参加,确保 演练效果。
2、科技部门调整好工作,确保人员参加,增强自己处理突发事件 的能
力技能。
3、完善规章制度,强化责任制的落实。演练结束后,科技科要对 这次
演练活动进行认真的总结,针对演练中出现的问题要及时进行整 改,设备需要更新的立即请示行领导进行解决,制度不完善的立即着 手完善,对于各岗位的责任制要再次加以明确和落实。
七、总结汇报。演练结束后,科技科要对演练进行总结,针对演 练中出现的问题要及时上报并进行整改。
附:应急演练具体时间安排表
第 4 页 共 8 页
信息安全等级保护工作方案
一、工作内容
一是开展信息系统定级备案工作。
1.开展政府网站定级备案。根据去年重点单位调查摸底情况,全 市尚
有 200 余个各类信息系统未开展等级保护工作,其中包括大量政 府网站(指党政机关门户网站),鉴于政府网站近年来网络安全事件 频发,需及时落实各项安全技术措施。
全市党政机关必须在规定时间内开展门户网站定级备案工作,并 于 5 月底前向公安网警部门提交《信息系统安全等级保护定级报告》 (简称定级报告),《信息系统安全等级保护备案表》、《涉及国家 秘密的信息系统分级保护备案表》(简称备案表)(模板见附件), 定级报告、备案表完成后请单位盖章后一式二份送至市公安局网警大 队。
2.开展其他信息系统定级备案。除网站外,各单位其他信息系统 也可
一并开展定级备案工作,提交时间可适当放宽。
二是开展信息系统安全测评工作。
1.有政府网站且定二级以上的单位,必须在 12 月底前开展网站 等级
保护安全测评,并根据测评结果及时落实整改建设,切实保障网 站安全运行。
2.各单位其他已定二级以上信息系统争取明年完成等级保护安全 测
评,若今年有条件的也可一并开展。
3.等级保护安全测评须由获得相关资质且在当地备案的专业测评 机构
开展。目前,拟由市政府采购中心会同市等保办从已在备案的测 评机构中通过法定方式选定若干家,确定后于 5 月底下发具体名单, 各单位可直接从
第 5 页 共 8 页
中选择开展测评工作。
三是开展等级保护安全培训(时间:半年一次)
要依托等保小组定期邀请专业测评公司技术人员开展信息安全知 识培训,进一步普及等保知识,提高信息系统使用单位各级责任人的 安全意识和专业水平。
四是实行等保例会和通报制度(时间:每季一次)。
市等保小组成员单位要定期召开等保工作会议,分析总结当前工 作开展情况及存在问题,特别是对上述工作开展进度情况定期在全市 范围予以通报。
二、系统定级建议
根据信息系统定级标准结合其他县市经验做法,对信息系统的分 类定级作如下建议,供各信息系统使用单位参考,定级标准可查阅 《信息系统安全保护等级定级指南》 (GB/T2240-20**) 。
1.政府部委局办门户网站、镇(管理区)以上政府门户网站原则 上定
为二级;
2.党政机关重要业务应用系统原则上定为二级,特别重要的定为 三级
以上;
3.医院、水电气、金融系统以及其他涉及国计民生的重要信息系 统原
则上定为二级,特别重要的定为三级以上。
三、工作要求
一是提高认识,落实工作。“等保”是提高信息安全保障能力和 水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设 健康发展的一项基本制度。各单位要充分认识开展“等保”工作的重 要性、必要性,全面贯彻落实相关要求和部署,切实做好我市“等 保”工作。
第 6 页 共 8 页
二是明确责任,密切配合。市等保小组各成员单位要加强协调配 合,共同组织信息系统主管部门和运营、使用单位开展“等保”工 作。各信息系统主管部门要积极配合等保小组工作,督促各项工作任 务的贯彻落实。
三是积极争取,保障经费。为有序推进等保各项工作,二级以上 等保单位要根据自身系统情况积极落实测评及后续整改建设资金。原 则上第二级信息系统应当每二年进行一次等级测评,第三级信息系统 应当每年进行一次等级测评。
四是及时总结,建立机制。各单位要积极探索“等保”工作在安 全评测、整改建设等方面的具体内容和工作流程,建立健全工作机 制,认真总结工作中的先进经验和存在的问题,并及时上报市等保小 组办公室,为全面推进“等保”工作打好基础。
第 7 页 共 8 页
因篇幅问题不能全部显示,请点此查看更多更全内容