管理信息系统网络与信息安全应急预案

《管理信息系统网络与信息安全应急预案》由会员分享，可在线阅读，更多相关《管理信息系统网络与信息安全应急预案（57页珍藏版）》请在装配图网上搜索。

1、目 录1.总则61.1.编制目的61.2.编制依据61.3.适用范围71.4.工作原则71.5.与其他预案的关系82.风险与资源分析82.1.风险分析82.2.资源分析92.2.1.应急人力资源92.2.2.应急物资和装备资源103.事件分级103.1.分级参考要素103.1.1.网络与信息系统的重要程度103.1.2.系统损失113.1.3.社会影响113.2.分级规范123.2.1.特别重大事件123.2.2.重大事件133.2.3.较大事件143.2.4.一般事件154.应急组织机构154.1.应急决策机构154.1.1.应急指挥中心154.1.2.应急办164.2.应急指挥机构174.

2、2.1.应急指挥部174.2.2.应急工作组（可选）184.2.3.现场指挥部（可选；可与下级单位合署）205.预防与预警215.1.预警分级215.2.预警监测215.3.预警发布225.4.预警响应225.5.预警调整与解除236.应急响应与处置236.1.应急响应分级236.2.信息报告246.2.1.应急值班电话246.2.2.初始信息报告方式和要求246.2.3.公司内部应急过程信息报告程序256.2.4.公司系统对外信息报告程序276.3.应急响应286.3.1.应急响应研判与发布286.3.2.应急处置措施286.4.应急调整与结束316.4.1.应急响应调整316.4.2.I、

3、II级应急响应结束316.4.3.III、IV级应急响应结束316.5.信息发布（新闻发布）316.6.后期处置326.6.1.恢复生产及善后326.6.2.事件调查326.6.3.总结与改进336.6.4.存档与备案336.6.5.检查与考核337.应急保障347.1.应急队伍保障347.2.应急经费保障347.3.应急物资装备保障347.4.通信与信息保障358.附则358.1.预案备案358.2.修订358.3.解释358.4.实施时间359.附件36附件1 组织机构图37附件2 公司本部应急决策机构人员构成及部分联络方式38附件3 应急信息内部报告内容模板39附件4 管理信息系统网络与

4、信息安全预警发布（调整）、解除通知单40附件5 管理信息系统网络与信息安全事件应急信息快速报告单42附件6 管理信息系统网络与信息安全事件应急响应启动（调整）通知单、解除通知单43附件7 管理信息系统网络与信息安全事件应急响应信息统计表45附件8 应急信息外部报告模板48附件9 应急信息报告流程图49附件10 突发事件预警工作流程50附件11 突发事件应急响应工作流程53云南电网有限责任公司管理信息系统网络与信息安全应急预案1. 总则1.1. 编制目的为提高云南电网有限责任公司(以下简称公司）管理信息系统网络与信息安全事件的处置能力，最大限度的预防和减少管理信息系统网络与信息安全事件及其造成的

5、损害和影响，保证公司信息和财产安全，保证电网安全稳定运行，结合实际制定本应急预案。1.2. 编制依据计算机信息系统 安全等级保护划分准则（GB 17859-1999）信息技术 安全技术 信息安全事件管理指南（GB/Z 20985-2007）信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007） 信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007）信息安全技术 信息安全应急响应计划规范（GB/T 243632009）网络与信息安全事件及预警分类分级规范（Q/CSG-118003-2012）中国南方电网有限责任公司应急管理规定（Q/CSG210003-2014）中

6、国南方电网有限责任公司管理信息系统网络与信息安全应急预案（Q/CSG4.10.14-2014-2） 中国南方电网有限责任公司信息安全事件管理办法（Q/CSG218013-2014）云南省网络与信息安全事件应急预案云南电网有限责任公司应急指挥平台管理实施细则（Q/CSG-YNPG210002-2014）云南电网有限责任公司应急物资与装备管理实施细则（Q/CSG-YNPG210003-2014）云南电网有限责任公司应急队伍管理实施细则（Q/CSG-YNPG210004-2014）云南电网有限责任公司突发事件总体应急预案云南省人民政府网络与信息安全应急预案1.3. 适用范围本预案适用于公司因有害程序

7、、网络攻击、信息破坏、信息内容安全、故障和灾害等导致的管理信息系统（不含运行管理系统）网络与信息安全事件达到一般级及以上的应急处置工作，或公司应急指挥中心认为必要时启动本预案；本预案用于指导公司各下属单位编制管理信息系统网络与信息安全专项应急预案。1.4. 工作原则 统一领导，分级负责。按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的要求，在公司应急指挥中心统一领导下，建立健全本单位管理信息系统网络与信息安全事件应急处置工作责任制，明确责任，并将责任落实到人。同时，加强各下属单位间的协调与配合，形成合力，共同履行应急处置工作。 安全第一，预防为主。立足安全防护，加强预警。建立预防和预警

8、机制，将风险评估和安全检查列入常态工作，制定信息通报工作制度，做到早发现、早报告、早处置；根据信息系统的业务特征和本单位应急工作实际，制定管理信息系统网络与信息安全应急预案，做好应急资源准备、保障措施落实、应急培训和应急演练等工作，切实提高对各类信息安全事件的应急响应和处置能力。 分级处置，处置优先。根据管理信息系统网络与信息安全事件的不同等级，实行分级处置，提高事件的处置效率。发生管理信息系统网络与信息安全事件时，事发各单位要按照处置优先、快速反应原则，及时获取充分而准确的信息，跟踪研判，果断决策，按照相关应急预案进行迅速处置，最大程度地减少危害和影响。 整合资源，形成合力。充分利用公司现有

9、网络与信息安全应急支援服务设施，整合公司内、外部的信息安全应急力量，充分依靠公司以及第三方厂商的信息安全应急力量，形成信息安全应急工作合力。 科学规范，合理有序。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练和修编，确保应急预案切实可行。1.5. 与其他预案的关系（1） 与政府预案的关系本预案配合云南省人民政府网络与信息安全应急预案的指挥、协调行动。（2） 与公司应急预案的关系本预案为公司专项应急预案，遵循云南电网有限责任公司突发事件总体应急预案规定原则编制。管理信息系统网络与信息安全事件可能导致设备事

10、故或电力供应中断等情况的发生，根据实际情况相应启动包括云南电网有限责任公司人身事故应急预案、云南电网有限责任公司设备事故应急预案、云南电网有限责任公司大面积停电事件应急预案、云南电网有限责任公司电力供应及客户服务应急预案等专项应急预案。（3） 与上、下级预案的关系本预案与南方电网公司管理信息系统网络与信息安全应急预案衔接和配合。本预案可规范公司各下属单位管理信息系统网络与信息安全应急预案的编制，公司各下属单位管理信息系统网络与信息安全应急预案与本预案保持衔接和配合，协调、指导各下属单位管理信息系统网络与信息安全事件应急处置工作。同时，事故发生单位应按本预案及事发单位的管理信息系统网络与信息安全

11、专项应急预案、相关现场处置方案进行联合处置，由本预案指挥、协调相关单位的应急处置工作。2. 风险与资源分析 2.1. 风险分析公司管理信息系统网络与信息安全出现计算机病毒、漏洞攻击、扫描窃听以及设备设施故障等风险，因此而引起的信息安全事件包括有害程序类、网络攻击类、信息破坏类、信息内容安全类、故障类、灾害类和其它类等七类:（1） 有害程序类突发事件：指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。 （2） 网络攻击类突发事件：指通过网络或其它技术手段，利用配置缺陷、协议缺陷、

12、程序缺陷等攻击网络与信息系统，造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。 （3） 信息安全破坏类突发事件：指通过网络或其它技术手段，造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的网络与信息安全突发事件。信息安全破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件等。（4） 负面信息安全类突发事件：指利用网络发布或传播危害国家安全、社会稳定和公共利益的内容的网络与信息安全突发事件。负面信息包括违反宪法和法

13、律、行政法规的信息，诽谤、造谣信息，组织串连、煽动集会游行的信息等。（5） 系统故障类突发事件：指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。（6） 灾害破坏类突发事件：指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。（7） 其它类事件：指不能归为以上6类的信息安全突发事件。2.2. 资源分析2.2.1. 应急人力资源2.2.1.1.

14、内部应急力量（1） 公司及各下属单位内从事网络通讯、信息安全、业务系统开发、信息系统运维等相关专业的专家和技术人员。（2） 公司各单位的专家、信息管理人员、行政管理人员、后勤保卫人员等是开展应急工作的重要力量。（3） 公司系统内技术力量雄厚、装备先进的信息系统开发设计和运维等单位，可作为公司内灵活调动的救援队伍。2.2.1.2. 外部应急力量（1） 公司及各下属单位所在地地方政府相关部门等。（2） 软硬件制造商、供应商、系统集成商以及技术服务提供商。（3） 可利用的其它企事业单位人力和物力资源。2.2.2. 应急物资和装备资源管理信息系统网络与信息安全应急物资和装备资源主要包括：（1） 公司网

15、络与信息安全专用应急物资和装备。（2） 公司及各下属单位备品备件、硬件、软件、网络设备、安全设备及软件、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等，以及事件处理案例、解决方案。（3） 地方政府有关部门、相关厂商可以协调提供的网络与信息安全应急物资和装备。3. 事件分级 按照管理信息系统网络与信息安全事件的危害程度、影响范围和造成的损失，将公司安全事件分为特别重大事件、重大事件、较大事件和一般事件四个级别。3.1. 分级参考要素对管理信息系统网络与信息安全事件的分级参考下列三个要素：网络与信息系统的重要程度、损失和社会影响。3.1.1. 网络与信息系统的重要程度网络与信息系统的

16、重要程度主要考虑网络与信息系统所承载的业务对公司重要性，根据信息系统安全保护等级有关规范，将公司信息系统安全保护等级从高到低划分为四级、三级、二级、提供互联网服务的一级系统和非互联网服务的一级系统。3.1.2. 系统损失系统损失是指由于网络与信息安全事件对网络与信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给公司和国家所造成损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。系统损失的级别判定标准如表1所示：表1系统受损程度分级定义信息系统受损程度分级定义特别严重损失系统已宕机丧失业务处理能力；或系统/用户关键数据被窃取或篡改；或系统应用或服务器/设备已被恶意

17、人员/程序完全控制进行非法行为；严重损失系统部分应用长时间中断（超过关键系统可用性指标）；或系统应用或服务器/设备已被恶意人员/程序完全控制；一般损失系统部分应用中断（不超过关键系统可用性指标）；或系统应用或服务器/设备能够被恶意人员/程序完全控制；轻微损失系统提供服务的能力下降；或系统应用或服务器/设备有被恶意人员/程序完全控制的可能性；3.1.3. 社会影响社会影响是指网络与信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。社会影响程度即公司形象受损程度判定标准如表2所示：表2形象受损程度分级定义形象受损程度分级定义特别严重损失被国

18、家级主管单位通报；或高危风险在互联网上扩散；或企密数据在互联网上扩散；或系统被黑/被利用的状况在互联网上扩散；严重损失被省部级主管单位通报；或在国家级信息安全相关检查中被发现高危风险；或高危风险在互联网上可见；或企密数据在互联网上可见；或系统被黑/被利用的状况在互联网上可见；一般损失被厅局级主管单位通报；或在省部级信息安全相关检查中被发现高危风险；轻微损失被地市级主管单位通报；或在厅局级信息安全相关检查中被发现高危风险；3.2. 分级规范公司管理信息系统网络与信息安全事件分级分类参照国标：信息安全技术信息安全事件分类分级指南（GB/Z 209862007），并参照公司信息安全工作实际情况，将管

19、理信息系统网络与信息安全事件分为有害程序类、网络攻击类、信息破坏类、内容安全类、设备故障类、灾害类和其他类共七类，以及特别重大事件级、重大事件级、较大事件级、一般事件级共四级。事件的定级标准通过系统遭受的损失和引起的社会影响两方面进行判定，3.2.1. 特别重大事件特别重大事件指能够导致特别严重影响或破坏的信息安全事件，有下列情形之一的，可被定为特别重大信息安全事件：（1）会使特别重要信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在跨区域或网、省单位内网范围出现任何系统损失；b) 等级保护四级系统在部分系统及设备或单个系统/设备范围出现严重或特别严重的系统损失；c)

20、 等级保护三级系统在跨区域范围出现严重或特别严重系统损失，或者在网、省单位内网范围出现特别严重系统损失；d) 等级保护一、二级系统在跨区域范围出现特别严重系统损失。（2）产生特别重大的社会影响。具体适用于以下情况：a) 由等级保护四级系统引起，导致公司出现严重或特别严重形象损失；b) 由等级保护三级系统引起，导致公司出现特别严重形象损失，c) 由等级保护三级系统在跨区域或网、省单位内网范围引起，导致公司出现严重形象损失；d) 由等级保护一、二级系统在跨区域或省单位内网范围引起，导致公司出现特别严重形象损失。3.2.2. 重大事件指能够导致严重影响或破坏的信息安全事件，有下列情形之一的，可被定为

21、重大信息安全事件：（1） 会使特别重要信息系统遭受严重的系统损失，或使重要信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在部分系统及设备或单个系统/设备范围出现一般系统损失；b) 等级保护三级系统在跨区域范围出现一般系统损失；c) 等级保护三级系统在网、省单位内网范围出现严重系统损失；d) 等级保护三级系统或者在部分系统及设备或单个系统/设备出现特别严重系统损失；e) 等级保护一、二级系统在跨区域范围出现严重系统损失；f) 等级保护一、二系统在网、省单位内网范围出现严重或特别严重系统损失；g) 等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/

22、设备范围出现特别严重系统损失。（2） 产生重大的社会影响。具体适用于以下情况：a) 由等级保护四级系统引起，导致公司出现轻微形象损失；b) 由等级保护四级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失；c) 由等级保护三级系统在跨区域或网、省单位内网范围引起，导致公司出现一般或轻微形象损失；d) 由等级保护三级系统在部分系统及设备或单个系统由等级保护三级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现严重形象损失；e) 由等级保护二级系统或者提供互联网服务的一级系统引起，导致公司出现严重形象损失；f) 由等级保护二级系统或者提供互联网服务的一级系统在跨区域引起

23、，导致公司出现一般形象损失；g) 由非互联网服务的等级保护一级系统在跨区域或网、省单位内网范围引起，导致公司出现严重形象损失；h) 由等级保护一、二级系统在在部分系统及设备或单个系统/设备范围引起，导致公司出现特别严重形象损失。3.2.3. 较大事件较大事件指能够导致较严重影响或破坏的信息安全事件，有下列情形之一的，可被定为较大信息安全事件：（1） 会使特别重要信息系统遭受较大的系统损失，或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在部分系统及设备或单个系统/设备出现轻微系统损失；b) 等级保护三级系统在跨区域范围出现轻微系

24、统损失；c) 等级保护三级系统在网、省单位内网范围出现一般系统损失；d) 等级保护三级系统或者在部分系统及设备或单个系统/设备范围出现一般或者严重系统损失；e) 等级保护一、二级系统在跨区域或网、省单位内网范围出现一般系统损失；f) 等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/设备范围出现一般或者严重系统损失。（2） 产生较大的社会影响。具体适用于以下情况：a) 由等级保护三级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般或轻微形象损失；b) 由等级保护一、二级系统在跨区域范围引起，导致公司出现轻微形象损失；c) 由等级保护一、二级系统在网、省单位内

25、网范围引起，导致公司出现一般形象损失；d) 由等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失；e) 由非互联网服务的等级保护一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现严重形象损失。3.2.4. 一般事件指不满足以上条件的信息安全事件，有下列情形之一的，可被定为一般信息安全事件：（1） 会使特别重要信息系统遭受较小的系统损失，或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失。具体适用于以下情况：a) 等级保护三级系统在网、省单位内网或部分系统及设备或单个系统/设备范围出现轻微系统损

26、失；b) 等级保护二级系统或者提供互联网服务的一级系统在跨区域或网、省单位内网范围出现轻微系统损失。（2） 产生一般的社会影响。具体适用于以下情况：a) 由等级保护一、二系统在网、省单位内网范围或者在部分系统及设备或单个系统/设备范围引起，导致公司出现轻微形象损失。b) 由非互联网服务的等级保护一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失。4. 应急组织机构各级单位应急组织机构均分为应急决策机构和应急指挥机构。日常状态组织机构仅有应急决策机构，应急状态组织机构图详见附件1。4.1. 应急决策机构应急决策机构为常设机构，各级单位均应设立应急指挥中心，下设应急指挥中心

27、办公室（简称应急办）。公司本部应急决策机构人员构成及部分联络方式见附件2，人员如有变动以公司最新发文为准。4.1.1. 应急指挥中心各级单位应急指挥中心是本单位应急管理最高领导机构，应急指挥中心由总指挥、副总指挥及成员组成；总指挥由本单位主要负责人担任、副总指挥由相关分管负责人担任，成员由其他分管负责人、总助、总师及各相关部门负责人组成。其主要职责如下：（1） 贯彻落实国家有关应急管理工作的法律、法规及上级有关规定；（2） 决定应急工作重大事项；组织建立应急体系；（3） 决定本单位红色、橙色应急预警和、级应急响应的启动、调整和终止，指挥本单位相关应急处置工作；授权应急办开展黄色、蓝色预警和、级

28、应急响应的启动、调整和终止，协调相关应急处置工作；（4） 协调保障应急管理工作人力资源及资金的投入；（5） 根据需要在事发单位成立现场指挥部等其他临时应急机构。4.1.2. 应急办各级应急指挥中心下设应急办，履行应急综合协调管理职责，应急办设在本单位安监部。各级应急办由主任、副主任和成员组成；应急办主任由副总工及以上职务人员担任，应急办副主任至少应由办公室、市场、设备、安监、系统等相关专业管理部门主任或副主任担任，应急办成员由相关专业管理部门应急管理人员组成。其主要职责如下：（1） 贯彻落实和传达应急指挥中心的相关决议和指令；（2） 协调、组织研究制定本单位应急管理的相关规定和规划，建立和完善

29、本单位应急体系，协调、督促落实相关应急工作；（3） 协助应急指挥中心应对特别重大和重大突发事件相关工作，组织协调应对较大和一般突发事件的相关工作，并负责组织事后回顾和后评估工作；（4） 制定本单位应急状态下应急值守安排，并组织实施；（5） 负责收集、汇报、通报各类突发事件信息和对政府应急管理机构的突发事件信息报送工作；（6） 提请应急指挥中心签发红色、橙色预警和、级应急响应；负责签发黄色、蓝色预警和、级应急响应；（7） 负责组织本单位总体应急预案的编制、评审，开展综合应急演练；（8） 负责本单位应急预案备案工作；（9） 落实公司有关应急管理的其他事项。（10） 按中国南方电网有限责任公司应急管

30、理规定组织将应急管理工作的责任和任务落实到具体部门、岗位和人员。应急办各成员部门按本单位人资部门确定的职能界面各司其职。4.2. 应急指挥机构应急指挥机构为临时机构，本单位在启动应急响应期间临时设立应急指挥部，下设应急工作组（可选）、现场指挥部（可选；可与下级单位合署）。4.2.1. 应急指挥部应急指挥部作为本单位应急指挥中心针对某一个或多个突发事件应急处置所授权的最高指挥机构，应急指挥部由指挥长、副指挥长、成员部门组成；指挥长、副指挥长由本单位应急指挥中心总指挥或授权副总指挥指定并授予指挥权，成员部门由指定的应急指挥部指挥长指定。原则上，、级应急响应的应急指挥部指挥长由本单位主要负责人或授权

31、分管领导担任，、级应急响应由应急办主任或授权应急办副主任担任，各单位可结合实际进行调整明确，授权的范围为指定人员的岗位职责；特殊情况可授权本单位其他人员担任，指定人选时应明确授权的范围。4.2.1.1. 应急指挥部主要职责如下：（1） 贯彻落实当地政府、上级单位及本单位应急指挥中心的相关决策和要求；（2） 在授权范围内行使指挥权，组织开展指定的突发事件应急处置工作；（3） 负责建立应急指挥部组织机构，分工明确；（4） 负责管理和维持应急指挥部的正常运转；（5） 负责以本单位应急办口径统一出口指定的突发事件应急信息。（6） 重要事项应及时报告本单位应急指挥中心，超过授权范围的应请示本单位应急指挥

32、中心决策后执行；对不立即采取措施可能导致事态扩大或严重后果的，可在确保安全、依法合规的基础上先进行处置，同时向本单位应急指挥中心报告。4.2.1.2. 应急指挥部的名称：“XX”XX电力应急指挥部（XX）公司各单位应在应急指挥场所明显位置展示。注：事发当日的日期，月为1-12；日为01-31。例如某年1月8日，即为“108”。：依据为本单位应急预案中描述的突发事件名称，例如低温雨雪冰冻、地震灾害等；：一般确定为本单位设立的最高行政区划地名，例如昆明供电局在局本部设立的即为“昆明”；本部未设立，在呈贡设立的即为“呈贡”；在乡镇、村等设立的以此类推。4.2.2. 应急工作组（可选）应急指挥部根据处

33、突涉及的工作需要成立应急工作组，应急工作组仅作为业务分工，具体工作以部门为单位实施。各部门处置分工可在部门应急预案中进行完善。典型应急工作组包括信息工作组、故障巡查及抢修组、物资保障组、后勤保障组、新闻宣传组、资产理赔组、安全巡查组。4.2.2.1. 信息工作组由安监部牵头开展信息工作，制定信息工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 办公室对外行政报告突发事件处置信息。信息主要来源安监部。（2） 新闻中心归口新闻宣传报道、舆情监测等新闻方面信息。信息来源新闻媒体、基层报告。（3） 安监部汇总应急处置综合信息，统一信息口径；组织应急指挥部会议，督促会议各项要求

34、、领导要求的落实、闭环；监督应急指挥部、现场指挥部机构运转情况；发布公司内部应急文件；归口安全巡查、安全宣传、个人防护、人身伤亡、应急值班、应急指挥机构动态、大事记信息。信息来源各部门、基层单位安监部。（4） 信息部归口信息系统运行情况、系统受影响情况、应急处置情况。信息来源信息中心及各级单位信息部门。（5） 市场部归口客户影响反应信息。信息来源基层单位市场部。（6） 物资部归口应急物资调集布点；物资供应商信息。信息来源信息部、基层单位物资部。（7） 基层单位办公室归口后勤保障、安全保卫；政府及上级单位领导动态；（8） 公司财务部归口保险理赔。基层单位自行确定保险理赔归口部门。4.2.2.2.

35、 故障巡查及抢修组由信息部牵头开展事件应急及恢复工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 市场部提供受影响外部业务用户反馈情况。（2） 办公室提供政府部署、上级领导视察等情况。（3） 物资部提供物资调拨配运情况。（4） 信息部制定巡查计划、抢修方案计划、队伍安排。（5） 安监部制定安全巡查计划。4.2.2.3. 物资保障组由物资部牵头开展物资保障工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 信息部提供系统影响情况、抢修物资及抢修队伍物资需要。（2） 市场部提供受影响外部业务用户需要。（3） 基层单位办公室提供后

36、勤保障及安保物资需要。（4） 安监部及各物资管理部门配合应急物资调集。（5） 物资部收集需求、协调供应商、调拨配送物资。4.2.2.4. 后勤保障组由基层单位办公室牵头开展后勤保障工作，制定工作规则，后评估中对实施情况进行回顾和组织改进，并通过本单位安监部将情况逐级上报公司安监部。公司本部后勤保障工作由员工服务中心承担。各部门行动任务如下：（1） 信息部提供应急队伍部署情况。（2） 安监部提供应急值班情况（3） 基层单位办公室提供后勤保障及安保物资需要。4.2.2.5. 新闻宣传组由新闻中心牵头开展新闻宣传工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 安

37、监部提供统一口径的综合应急信息。（2） 新闻中心收集舆情监测、新闻素材，进行新闻宣传报道；配合政府和上级单位协调进行新闻发布。4.2.2.6. 资产理赔组由各单位理赔归口管理部门牵头开展资产理赔工作，制定工作规则，后评估中对实施情况进行回顾和组织改进，并通过本单位安监部将情况逐级上报公司安监部。公司本部理赔工作由公司财务部负责。各部门行动任务如下：（1） 信息部提供资产受损及现场取证、抢修投入情况。（2） 各单位理赔归口管理部门进行资产理赔。4.2.2.7. 安全巡查组由安监部牵头开展安全巡查工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 信息部提供巡查及

38、抢修计划。（2） 安监部制定安全巡查计划、组织实施现场作业检查和安全宣传、配合实施用电安全检查、配合政府联合检查。4.2.3. 现场指挥部（可选；可与下级单位合署）现场指挥部作为应急指挥部派驻现场的最高指挥机构，应急指挥部可根据实际情况成立第一现场指挥部（简称第一现指）、第二现场指挥部（简称第二现指）等多个现场指挥部。其现场指挥官由应急指挥部指挥长或授权副指挥长委派，成员由现场指挥官指定。现场指挥部可下设现场工作组。其职责及分组参考应急指挥部和应急工作组确定。5. 预防与预警5.1. 预警分级按照网络与信息安全可能造成的危害、紧急程度和发展势态，将公司网络与信息安全预警分为四级，即红色、橙色、

39、黄色和蓝色。各级单位的应急预警发布级别，原则上应与突发事件级别进行对应，同时根据对各级单位影响程度的不同而有所区分：（1） 红色预警：特别重大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布红色预警；各下属单位发布红色预警。（2） 橙色预警：重大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布橙色预警；各下属单位一般发布橙色预警，但当该事件极有可能扩散至本单位系统范围以外时发布红色预警。（3） 黄色预警：较大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布黄色预警；各下属单位一般发布黄色预警，但当该事件极有可能扩散至本单位系统范围以外时发布

40、橙色及以上预警。（4） 蓝色预警：一般网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布蓝色预警；各下属单位一般发布蓝色预警，但当该事件极有可能扩散至本单位系统范围以外时发布黄色及以上预警。预警与可能发生事件的关系如下表所示: 单 位特别重大重大较大一般云南电网有限责任公司红色橙色及以上黄色及以上蓝色及以上相关公司二级单位红色橙色及以上黄色及以上蓝色及以上相关公司三级单位红色橙色及以上黄色及以上蓝色及以上5.2. 预警监测各级信息管理和运维部门负责管理信息大区的网络与信息安全事件预警监测，工作的重点包括：（1） 有害程序类事件；（2） 网络攻击类事件；（3） 信息破坏类事件；（

41、4） 信息内容安全类事件；（5） 故障类事件；（6） 灾害类事件。在预警监测中，各级信息管理和运维部门可通过多种方式获取预警支持信息，一般包括以下方式：（1） 通过风险监测和风险分析获得的数据；（2） 南方电网公司等上级主管部门应急办公室及信息部门向下传达的网络与信息安全事件预警信息；（3） 各下属单位上报的网络与信息安全事件预警信息；（4） 政府有关部门发布的网络与信息安全事件预警信息等。在获取预警信息后，应当及时进行汇总分析，必要时组织相关部门、专业技术人员、专家进行会商，对网络与信息安全事件发生的可能性及其可能造成的影响进行评估。5.3. 预警发布各单位监测到预警信息后，应填写管理信息系

42、统网络与信息安全预警发布（调整）、解除通知单（见附件4）提交本单位应急办，由本单位应急办将预警信息报送公司应急办和公司信息部。（1） 各级网络与信息安全预警信息由公司应急办根据情况决定是否在全公司发布预警，若发布则报上级应急办备案。（2） 公司应急办在发布事件预警时，明确预警的响应范围和公开程度（或保密要求）。（3） 公司应急办在发布事件预警后，应通过电话等方式，将预警尽快传达到相关部门和人员。5.4. 预警响应在事件预警发布后，预警响应范围内的单位和部门应针对可能发生的事件做好以下工作：（1） 及时采取有效的防范和应对措施，包括通知相关应急处置人员严防待命，对应急装备、物资等保障措施的检查等

43、，控制事件风险，避免事件发生。其中红色、橙色预警状态下，各单位应急队伍应进入集结待命状态，各重要信息系统根据值守计划进行在岗值班，开展特巡特维和隐患排查，落实防范措施；黄色、蓝色预警状态下，各单位应急队伍做好集结准备，各重要信息系统开展隐患排查，做好防范准备。（2） 应每日上报预警响应情况，直至预警解除。其中红色、橙色预警期间，公司应急办每日8：00与18：00分别将突发事件预警行动信息逐级报至南方电网公司应急办；黄色和蓝色预警期间，公司应急办每日18：00将突发事件预警行动信息逐级报至南方电网公司应急办。（3） 应对事件预警进行持续监测，为预警响应行动、预警级别与范围调整和预警解除提供支持信

44、息。5.5. 预警调整与解除（1） 预警发布后，公司信息部应对网络与信息安全事件发展趋势持续关注，根据获取预警支持信息进行汇总分析，及时向公司应急办提出预警级别与范围调整或解除相关建议。（2） 公司应急办根据信息部相关建议，经会商研判后发布预警解除通知单（附件4）并报上级应急办备案。（3） 红色、橙色预警的调整与解除由应急办提出，应急指挥中心总指挥或授权副总指挥签发，黄色、蓝色预警的调整与解除由应急办主任或授权副主任签发。（4） 当满足下列条件之一时，可解除预警： a）预警事件发生的风险已经全部消除或得到有效控制；b）启动应急响应，从预警状态转入响应状态后，预警自动解除。6. 应急响应与处置6

45、.1. 应急响应分级按照管理信息系统网络与信息安全事件的严重程度和范围，本预案将网络与信息安全事件应急响应分为四级：I级、II级、III级、IV级。各级单位的应急响应启动级别，应根据突发事件对本单位的影响程度的不同进行区分制定，对应关系原则上如下表所示：特别重大重大较大一般云南电网有限责任公司I级I级I、II、III级I、II、III、IV级相关公司二级单位I级I级I、II级I、II、III级相关公司三级单位I级I级I级I、II级（1） 辖区内发生特别重大突发事件时，云南电网有限责任公司、相关公司二级单位、相关公司三级单位启动I级响应予以应对；（2） 辖区内发生重大突发事件时，公司启动I级响应

46、予以应对，相关公司二级单位、相关公司三级单位可启动I级响应予以应对；（3） 辖区内发生较大突发事件时，公司可启动III级或以上响应，相关公司二级单位可启动II级或以上响应予以应对，相关公司三级单位应启动I级及以上响应予以应对；（4） 辖区内发生一般突发事件时，公司可启动级或以上响应，相关公司二级单位可启动III级或以上响应，相关公司三级单位启动II级或以上响应予以应对。6.2. 信息报告6.2.1. 应急值班电话公司突发事件应急总值班电话：0871-63011100 公司网络与信息安全应急24小时值班电话：087163011001公司应急办及其他常联系电话详见附件2。6.2.2. 初始信息报告

47、方式和要求6.2.2.1. 各单位报告方式和要求（公司接报）。突发事件发生后，事发单位应迅速汇总整理并核实初步受灾情况，30分钟内将简要情况电话（座机、手机、卫星电话）逐级报告公司安监部及业务对口部门，并安排人员编制短信于电话报告后20分钟内发至公司有关人员；对于电网大面积停电事件或其他信息时效性要求较高的事件，应做到立即报告。一般及以上网络与信息安全事件发生后，事发单位应急办公室应在2小时内填报管理信息系统网络与信息安全事件应急信息快速报告单（见附件3），通过邮件、传真等方式向公司应急办和信息部报告。公司应急办负责向上级应急办报告，时限不超过2小时。初始信息报告一般包括以下内容：（1） 网络

48、与信息安全事件的类型、发生时间、发生地点；（2） 网络与信息安全事件的发生原因、性质、经初步判断的严重程度；（3） 网络与信息安全事件对公司业务和用户的影响范围与程度；（4） 网络与信息安全事件发生单位已采取的控制措施；（5） 网络与信息安全事件报告单位、联系人员及联系方式。6.2.2.2. 公司对外报告公司接报后接报人间应立即会商，初定报告对象和报告内容，并向公司应急办主任请示，视情况逐级向公司应急指挥中心总指挥或副总指挥请示。公司各相关部门于1小时内向南方电网公司对口部门，公司安监部向省应急办、省能监办及其他确定的政府部门报告应急初始信息。公司安监部于2小时内填报突发事件应急信息快速报告单

49、OA邮件向南方电网公司安监部报告。6.2.3. 公司内部应急过程信息报告程序信息报告实行首报责任制，出现信息漏报、瞒报、迟报等情况，由首报责任人负责。6.2.3.1. 公司层面应急信息报告和核实。（1） 公司启动响应的情况。凡响应范围内的单位，不论是否启动本单位应急响应，均由各单位安监部统一向公司安监部报告本单位应急信息。公司安监部将信息收集汇总后，发公司各部门，并上报南网。公司各部门根据安监部提供的信息，向各单位对口部门进行核实。（2） 公司未启动响应，基层单位启动响应的情况。基层单位凡启动响应，按本单位应急预案要求由本单位安监部统一向公司安监部报告本单位应急信息。公司安监部将信息收集汇总后

50、，发公司各部门。公司各部门根据安监部提供的信息，向各单位对口部门进行核实。（3） 应急响应期间，信息报告分为阶段报告和及时报告。原则上，向公司安监部阶段报告时间为每日8时前（可据实际情况提前至前日晚报告，数据截至前日20时）、16时（数据截至当日13时），内部报告的内容详见附件3和附件7，报告方式主要选择OA邮件、外网邮件（特殊情况可选择卫星电话等）；公司安监部汇总后于每日9时、17时将信息进行流转。及时报告是对紧急、重要事项的报告，报告方式主要选择电话+短信、QQ等，并获取公司安监部接报人员反馈；公司安监部接报后视情况整理信息经应急办领导审核后通过短信平台发布。6.2.3.2. 各地市单位、

51、专业公司应急信息报告和核实。（1） 公司启动响应本单位在响应范围内或本单位启动响应的，由本单位安监部横向汇总各部门信息后，统一向公司安监部报告本单位综合和专业应急信息。（2） 县级单位参考地市单位信息报告方式执行。6.2.3.3. 报告内容事件应急信息是指在事件应急响应过程中，与事件和事件应急响应有关的数据和信息，一般包括：（1）事件最新概况：包括事件当前态势、已经造成的影响情况等。（2）应急处置进展情况：包括当前主要应急处置措施、已开展的应急处置行动、已取得的应急成果以及政府部门的参与情况等。（3）应急资源调度情况：包括应急人员调动、应急物资调配、应急资源需求等情况。（4）下一步应急工作部署

52、：包括应急处置进展情况预估；应急处置行动计划。6.2.4. 公司系统对外信息报告程序6.2.4.1. 公司对外信息报告事发后1小时内公司安监部向南方电网公司安监部（OA邮件）、云南省能监办（外网邮件）、云南省应急办（外网邮件或传真）报告突发事件初始信息；响应期间每日17时通过外网邮箱报告应急处置动态情况，对外报告的内容详见附件8。办公室依据安监部提供的信息视情况向省政府、南方电网公司报告突发事件信息。各单位对外信息报告，原则上仅对当地政府部门报告，具体程序由各单位自行明确。6.3. 应急响应6.3.1. 应急响应研判与发布6.3.1.1. 突发事件发生后，由事发单位信息管理负责人对突发事件规模

53、和事态控制情况进行分析，对照突发事件与应急响应分级标准，初步判定突发事件等级与需要启动的应急响应级别；6.3.1.2. 接报后，公司信息部应与公司应急办进行会商，根据突发事件初始信息，从事件级别、应急资源匹配程度、社会影响、政府关注程度四方面综合判断，提出需启动的应急响应级别建议，公司应急办组织研判、确定级别并发布。相关公司二、三级单位负责本级单位响应的研判与发布，原则上与同一突发事件直接相关的单位响应不应低于公司响应启动级别。6.3.1.3. 公司应急办负责发布应急响应通知单，达到级或级响应启动条件时，报公司应急指挥中心总指挥或副总指挥批准后发布通知单；达到启动级或响应时，由公司应急办主任或

54、经授权的副主任签发批准启动响应（公司突发事件应急响应发布流程见附件11）。6.3.1.4. 在发布应急响应时，应明确应急响应的级别、开始时间、影响范围、工作要求及措施，填写应急响应启动（调整）通知单（见附件6），利用公司OA、企业邮件、应急指挥系统及短信通知形式向本单位相关部门及事发单位发布响应信息。6.3.1.5. 接收到应急响应启动信息的单位、部门，应利用公司OA、企业邮件、应急指挥系统回复确认信息。6.3.1.6. 启动响应后，经批准后，应急办应按规定向上级应急办和政府相关部门汇报。6.3.2. 应急处置措施6.3.2.1. 现场初步处置（1） 突发事件发生后，事发单位立刻按照故障处理流

55、程或现场处置方案对突发事件进行初步处置；（2） 如果接收到应急响应启动的通知，则由“现场初步处置”进入、级应急响应处置方式，否则继续按照故障处理流程或现场处置方案处置，直至突发事件处置结束。6.3.2.2. I、II级响应处置（1） I、II级响应启动后，按照I、II级应急响应流程进行处置（附件11）。（2） 公司应急办立即根据事件性质提请总指挥召集指挥中心成员、应急办成员、信息部等相关专业管理部门人员到位，组织召开应急指挥中心紧急会议，并明确以下内容：a) 通报网络与信息安全事件初始信息；b) 商议处置网络与信息安全事件的初步措施；c) 成立管理信息系统网络与信息安全事件工作组，如：安全技术

56、组、客户服务组、后勤保障组等，明确工作组组成人员及工作职责，为应急指挥提供辅助决策，落实应急指挥中心决议和部署，组织开展应急处置。（3） 应急办根据会议决议起草指挥令文件，经应急指挥中心总指挥或授权副总指挥批准，发布指挥令，部署应急处置相关工作。（4） 应急指挥。由公司应急指挥中心统一指挥、处置，I级响应总指挥由公司应急指挥中心总指挥或副总指挥担任，II级响应总指挥由公司应急指挥中心副总指挥或副总指挥委托分管领导担任，并根据实际情况决定是否派驻现场工作组指挥协调应急工作。事发单位应急指挥机构迅速到位，并与公司应急指挥中心建立沟通渠道。（5） 资源调配。事发单位积极组织专业技术队伍，必要时向应急

57、指挥中心提出申请，由公司应急办协调网内外力量给予支援。（6） 抢险恢复。事发单位组织抢险恢复工作的实施，公司应急办负责与事发单位保持通讯联系，收集应急响应信息，对事态发展和影响及时进行分析和评估，按需组织召开会议通报应急响应信息，对事态发展和影响及时进行分析和评估，按需组织召开处置工作部署等，直至应急结束。必要时公司应急指挥中心派驻现场工作组到事发单位，指挥、协调现场开展应急处置。公司应急办公室负责抢险恢复相关协调工作，包括技术队伍、备品备件物资的安排及抢修工作协调等，其他部门按照应急指挥机构及职责分工开展工作。（7） 应急值班。公司应急指挥中心办公室信息部成员负责值班，履行值守应急、信息汇总

58、和协调职能，实行24小时值班制度。6.3.2.3. III、IV级响应处置（1） III、IV级响应启动后，按照III、IV级应急响应流程进行处置（附件11）。（2） 应急指挥。由公司统一指挥处置，公司应急办公室视具体情况决定是否派驻现场指挥协调和专业技术人员。事发单位应急指挥应迅速到位，并与公司应急工作组建立沟通渠道。（3） 资源调配。事发单位积极组织抢险队伍和力量，必要时向应急指挥中心提出申请，由公司应急办协调网内外力量给予支援。（4） 抢险恢复。事发单位组织抢险恢复工作的实施，公司应急办公室与事发单位保持通讯联系，收集应急响应信息，对事态发展和影响及时进行分析和评估，视实际情况组织召开会

59、议通报灾情和抢险恢复情况，直至应急结束。根据灾情发展情况，必要时公司应急办公室派驻现场工作组到事发单位指导、协调应急处置工作。（5） 应急值班。公司应急办公室、应急工作组安排人员24小时电话值班，密切监控灾害发展及电网实时运行情况。6.4. 应急调整与结束6.4.1. 应急响应调整6.4.1.1. 公司应急办各成员部门、相关机构及各相关公司二、三级单位应急办应及时跟踪、掌握和分析事件和响应处置的发展和变化信息，按照响应的分级条件，向公司应急办提出调整响应的建议，公司应急办根据突发事件的态势和影响及时按程序（附件11-2）调整响应级别和范围，直至结束应急响应。6.4.1.2. 涉及、级响应之间的

60、调整应通过应急指挥中心总指挥或经授权的副总指挥签发批准；、级之间的响应调整由应急办主任或经授权的副主任签发批准。6.4.2. I、II级应急响应结束在管理信息系统网络与信息安全事件得到有效控制，未有新增损失，并降至公司应急预案定义的一般突发事件以下，或接到上级网络与信息安全事件应急指挥机构的结束I、II级应急响应的指令，公司应急办应及时结合电网实际提出结束I级、II级应急响应的建议，由公司应急指挥中心决策应急响应的结束，由应急指挥中心总指挥或授权副总指挥签发应急响应结束通知单（附件6）。6.4.3. III、IV级应急响应结束在管理信息系统网络与信息安全事件对公司信息系统的威胁解除后，公司应急

61、办公室应及时结合电网实际进行会商，决策III、IV级应急响应的结束，由应急办主任或授权副主任签发应急响应结束通知单（附件6）。6.5. 信息发布（新闻发布）在突发事件应急响应期间，安监部统一出口应急信息，各部门负责应急信息审核把关；办公室对外发布官方信息；新闻中心组织对外新闻发布、组织接受媒体采访。未经允许，任何部门和人员不得接受媒体采访，不得对外发布（散布）突发事件有关信息或评论。新闻宣传、发布其他有关要求依据公司新闻宣传管理有关规定执行。6.6. 后期处置应急响应结束单发布后，转入后期处置。各级单位在落实好应急响应结束单措施要求的同时，开展以下工作。6.6.1. 恢复生产及善后公司各部门指

62、导、督促各有关单位制定详细可行的工作计划，快速、有效地消除网络与信息安全事件造成的不利影响，尽快恢复生产秩序，并做好灾后重建、善后处理、保险理赔、过渡安置等事项。6.6.2. 事件调查组织事件调查组对事件进行调查。准确、及时、公正地查清事件性质、原因和责任，总结经验教训，提出防范措施，并对责任者提出处理意见。除组织内部调查以外，应积极配合政府有关部门组织的调查：（1） 公司特别重大级信息安全事件、重大级信息安全事件的调查，由公司信息部、信息中心、下属各单位信息管理及运行部门配合南方电网公司信息部、信息中心实施；调查结果由南方公司信息部汇总后报公司网络与信息安全领导小组审阅；（2） 公司所属范围内的较大级信息安全事件、一般级信息安全事件的调查，由公司信息部负责组织，信息中心牵头实施，下属各单位信息管理及运行部门配合实施；调查结果由公司信息部报南方电网公司信息部备案；（3） 信息安全事件调查的内容包括信息安全事件发生的原因、信息安全事件发生的经过、信息安全事件发生的影响范围，提出防范此类事件再