管理信息系统网络与信息安全应急预案.doc

《管理信息系统网络与信息安全应急预案.doc》由会员分享，可在线阅读，更多相关《管理信息系统网络与信息安全应急预案.doc（57页珍藏版）》请在三一办公上搜索。

1、目 录1.总则61.1.编制目的61.2.编制依据61.3.适用范围71.4.工作原则71.5.与其他预案的关系82.风险与资源分析82.1.风险分析82.2.资源分析92.2.1.应急人力资源92.2.2.应急物资和装备资源103.事件分级103.1.分级参考要素103.1.1.网络与信息系统的重要程度103.1.2.系统损失113.1.3.社会影响113.2.分级规范123.2.1.特别重大事件123.2.2.重大事件133.2.3.较大事件143.2.4.一般事件154.应急组织机构154.1.应急决策机构154.1.1.应急指挥中心154.1.2.应急办164.2.应急指挥机构174.

2、2.1.应急指挥部174.2.2.应急工作组（可选）184.2.3.现场指挥部（可选；可与下级单位合署）205.预防与预警215.1.预警分级215.2.预警监测215.3.预警发布225.4.预警响应225.5.预警调整与解除236.应急响应与处置236.1.应急响应分级236.2.信息报告246.2.1.应急值班电话246.2.2.初始信息报告方式和要求246.2.3.公司内部应急过程信息报告程序256.2.4.公司系统对外信息报告程序276.3.应急响应286.3.1.应急响应研判与发布286.3.2.应急处置措施286.4.应急调整与结束316.4.1.应急响应调整316.4.2.I、

3、II级应急响应结束316.4.3.III、IV级应急响应结束316.5.信息发布（新闻发布）316.6.后期处置326.6.1.恢复生产及善后326.6.2.事件调查326.6.3.总结与改进336.6.4.存档与备案336.6.5.检查与考核337.应急保障347.1.应急队伍保障347.2.应急经费保障347.3.应急物资装备保障347.4.通信与信息保障358.附则358.1.预案备案358.2.修订358.3.解释358.4.实施时间359.附件36附件1 组织机构图37附件2 公司本部应急决策机构人员构成及部分联络方式38附件3 应急信息内部报告内容模板39附件4 管理信息系统网络与

4、信息安全预警发布（调整）、解除通知单40附件5 管理信息系统网络与信息安全事件应急信息快速报告单42附件6 管理信息系统网络与信息安全事件应急响应启动（调整）通知单、解除通知单43附件7 管理信息系统网络与信息安全事件应急响应信息统计表45附件8 应急信息外部报告模板48附件9 应急信息报告流程图49附件10 突发事件预警工作流程50附件11 突发事件应急响应工作流程53云南电网有限责任公司管理信息系统网络与信息安全应急预案1. 总则1.1. 编制目的为提高云南电网有限责任公司(以下简称公司）管理信息系统网络与信息安全事件的处置能力，最大限度的预防和减少管理信息系统网络与信息安全事件及其造成的

5、损害和影响，保证公司信息和财产安全，保证电网安全稳定运行，结合实际制定本应急预案。1.2. 编制依据计算机信息系统 安全等级保护划分准则（GB 17859-1999）信息技术 安全技术 信息安全事件管理指南（GB/Z 20985-2007）信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007） 信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007）信息安全技术 信息安全应急响应计划规范（GB/T 243632009）网络与信息安全事件及预警分类分级规范（Q/CSG-118003-2012）中国南方电网有限责任公司应急管理规定（Q/CSG210003-2014）中

6、国南方电网有限责任公司管理信息系统网络与信息安全应急预案（Q/CSG4.10.14-2014-2） 中国南方电网有限责任公司信息安全事件管理办法（Q/CSG218013-2014）云南省网络与信息安全事件应急预案云南电网有限责任公司应急指挥平台管理实施细则（Q/CSG-YNPG210002-2014）云南电网有限责任公司应急物资与装备管理实施细则（Q/CSG-YNPG210003-2014）云南电网有限责任公司应急队伍管理实施细则（Q/CSG-YNPG210004-2014）云南电网有限责任公司突发事件总体应急预案云南省人民政府网络与信息安全应急预案1.3. 适用范围本预案适用于公司因有害程序

7、、网络攻击、信息破坏、信息内容安全、故障和灾害等导致的管理信息系统（不含运行管理系统）网络与信息安全事件达到一般级及以上的应急处置工作，或公司应急指挥中心认为必要时启动本预案；本预案用于指导公司各下属单位编制管理信息系统网络与信息安全专项应急预案。1.4. 工作原则 统一领导，分级负责。按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的要求，在公司应急指挥中心统一领导下，建立健全本单位管理信息系统网络与信息安全事件应急处置工作责任制，明确责任，并将责任落实到人。同时，加强各下属单位间的协调与配合，形成合力，共同履行应急处置工作。 安全第一，预防为主。立足安全防护，加强预警。建立预防和预警

8、机制，将风险评估和安全检查列入常态工作，制定信息通报工作制度，做到早发现、早报告、早处置；根据信息系统的业务特征和本单位应急工作实际，制定管理信息系统网络与信息安全应急预案，做好应急资源准备、保障措施落实、应急培训和应急演练等工作，切实提高对各类信息安全事件的应急响应和处置能力。 分级处置，处置优先。根据管理信息系统网络与信息安全事件的不同等级，实行分级处置，提高事件的处置效率。发生管理信息系统网络与信息安全事件时，事发各单位要按照处置优先、快速反应原则，及时获取充分而准确的信息，跟踪研判，果断决策，按照相关应急预案进行迅速处置，最大程度地减少危害和影响。 整合资源，形成合力。充分利用公司现有

9、网络与信息安全应急支援服务设施，整合公司内、外部的信息安全应急力量，充分依靠公司以及第三方厂商的信息安全应急力量，形成信息安全应急工作合力。 科学规范，合理有序。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练和修编，确保应急预案切实可行。1.5. 与其他预案的关系（1） 与政府预案的关系本预案配合云南省人民政府网络与信息安全应急预案的指挥、协调行动。（2） 与公司应急预案的关系本预案为公司专项应急预案，遵循云南电网有限责任公司突发事件总体应急预案规定原则编制。管理信息系统网络与信息安全事件可能导致设备事

10、故或电力供应中断等情况的发生，根据实际情况相应启动包括云南电网有限责任公司人身事故应急预案、云南电网有限责任公司设备事故应急预案、云南电网有限责任公司大面积停电事件应急预案、云南电网有限责任公司电力供应及客户服务应急预案等专项应急预案。（3） 与上、下级预案的关系本预案与南方电网公司管理信息系统网络与信息安全应急预案衔接和配合。本预案可规范公司各下属单位管理信息系统网络与信息安全应急预案的编制，公司各下属单位管理信息系统网络与信息安全应急预案与本预案保持衔接和配合，协调、指导各下属单位管理信息系统网络与信息安全事件应急处置工作。同时，事故发生单位应按本预案及事发单位的管理信息系统网络与信息安全

11、专项应急预案、相关现场处置方案进行联合处置，由本预案指挥、协调相关单位的应急处置工作。2. 风险与资源分析 2.1. 风险分析公司管理信息系统网络与信息安全出现计算机病毒、漏洞攻击、扫描窃听以及设备设施故障等风险，因此而引起的信息安全事件包括有害程序类、网络攻击类、信息破坏类、信息内容安全类、故障类、灾害类和其它类等七类:（1） 有害程序类突发事件：指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。 （2） 网络攻击类突发事件：指通过网络或其它技术手段，利用配置缺陷、协议缺陷、

12、程序缺陷等攻击网络与信息系统，造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。 （3） 信息安全破坏类突发事件：指通过网络或其它技术手段，造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的网络与信息安全突发事件。信息安全破坏类事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件等。（4） 负面信息安全类突发事件：指利用网络发布或传播危害国家安全、社会稳定和公共利益的内容的网络与信息安全突发事件。负面信息包括违反宪法和法

13、律、行政法规的信息，诽谤、造谣信息，组织串连、煽动集会游行的信息等。（5） 系统故障类突发事件：指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。（6） 灾害破坏类突发事件：指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。（7） 其它类事件：指不能归为以上6类的信息安全突发事件。2.2. 资源分析2.2.1. 应急人力资源2.2.1.1.

14、内部应急力量（1） 公司及各下属单位内从事网络通讯、信息安全、业务系统开发、信息系统运维等相关专业的专家和技术人员。（2） 公司各单位的专家、信息管理人员、行政管理人员、后勤保卫人员等是开展应急工作的重要力量。（3） 公司系统内技术力量雄厚、装备先进的信息系统开发设计和运维等单位，可作为公司内灵活调动的救援队伍。2.2.1.2. 外部应急力量（1） 公司及各下属单位所在地地方政府相关部门等。（2） 软硬件制造商、供应商、系统集成商以及技术服务提供商。（3） 可利用的其它企事业单位人力和物力资源。2.2.2. 应急物资和装备资源管理信息系统网络与信息安全应急物资和装备资源主要包括：（1） 公司网

15、络与信息安全专用应急物资和装备。（2） 公司及各下属单位备品备件、硬件、软件、网络设备、安全设备及软件、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等，以及事件处理案例、解决方案。（3） 地方政府有关部门、相关厂商可以协调提供的网络与信息安全应急物资和装备。3. 事件分级 按照管理信息系统网络与信息安全事件的危害程度、影响范围和造成的损失，将公司安全事件分为特别重大事件、重大事件、较大事件和一般事件四个级别。3.1. 分级参考要素对管理信息系统网络与信息安全事件的分级参考下列三个要素：网络与信息系统的重要程度、损失和社会影响。3.1.1. 网络与信息系统的重要程度网络与信息系统的

16、重要程度主要考虑网络与信息系统所承载的业务对公司重要性，根据信息系统安全保护等级有关规范，将公司信息系统安全保护等级从高到低划分为四级、三级、二级、提供互联网服务的一级系统和非互联网服务的一级系统。3.1.2. 系统损失系统损失是指由于网络与信息安全事件对网络与信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给公司和国家所造成损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。系统损失的级别判定标准如表1所示：表1系统受损程度分级定义信息系统受损程度分级定义特别严重损失系统已宕机丧失业务处理能力；或系统/用户关键数据被窃取或篡改；或系统应用或服务器/设备已被恶意

17、人员/程序完全控制进行非法行为；严重损失系统部分应用长时间中断（超过关键系统可用性指标）；或系统应用或服务器/设备已被恶意人员/程序完全控制；一般损失系统部分应用中断（不超过关键系统可用性指标）；或系统应用或服务器/设备能够被恶意人员/程序完全控制；轻微损失系统提供服务的能力下降；或系统应用或服务器/设备有被恶意人员/程序完全控制的可能性；3.1.3. 社会影响社会影响是指网络与信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响。社会影响程度即公司形象受损程度判定标准如表2所示：表2形象受损程度分级定义形象受损程度分级定义特别严重损失被国

18、家级主管单位通报；或高危风险在互联网上扩散；或企密数据在互联网上扩散；或系统被黑/被利用的状况在互联网上扩散；严重损失被省部级主管单位通报；或在国家级信息安全相关检查中被发现高危风险；或高危风险在互联网上可见；或企密数据在互联网上可见；或系统被黑/被利用的状况在互联网上可见；一般损失被厅局级主管单位通报；或在省部级信息安全相关检查中被发现高危风险；轻微损失被地市级主管单位通报；或在厅局级信息安全相关检查中被发现高危风险；3.2. 分级规范公司管理信息系统网络与信息安全事件分级分类参照国标：信息安全技术信息安全事件分类分级指南（GB/Z 209862007），并参照公司信息安全工作实际情况，将管

19、理信息系统网络与信息安全事件分为有害程序类、网络攻击类、信息破坏类、内容安全类、设备故障类、灾害类和其他类共七类，以及特别重大事件级、重大事件级、较大事件级、一般事件级共四级。事件的定级标准通过系统遭受的损失和引起的社会影响两方面进行判定，3.2.1. 特别重大事件特别重大事件指能够导致特别严重影响或破坏的信息安全事件，有下列情形之一的，可被定为特别重大信息安全事件：（1）会使特别重要信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在跨区域或网、省单位内网范围出现任何系统损失；b) 等级保护四级系统在部分系统及设备或单个系统/设备范围出现严重或特别严重的系统损失；c)

20、 等级保护三级系统在跨区域范围出现严重或特别严重系统损失，或者在网、省单位内网范围出现特别严重系统损失；d) 等级保护一、二级系统在跨区域范围出现特别严重系统损失。（2）产生特别重大的社会影响。具体适用于以下情况：a) 由等级保护四级系统引起，导致公司出现严重或特别严重形象损失；b) 由等级保护三级系统引起，导致公司出现特别严重形象损失，c) 由等级保护三级系统在跨区域或网、省单位内网范围引起，导致公司出现严重形象损失；d) 由等级保护一、二级系统在跨区域或省单位内网范围引起，导致公司出现特别严重形象损失。3.2.2. 重大事件指能够导致严重影响或破坏的信息安全事件，有下列情形之一的，可被定为

21、重大信息安全事件：（1） 会使特别重要信息系统遭受严重的系统损失，或使重要信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在部分系统及设备或单个系统/设备范围出现一般系统损失；b) 等级保护三级系统在跨区域范围出现一般系统损失；c) 等级保护三级系统在网、省单位内网范围出现严重系统损失；d) 等级保护三级系统或者在部分系统及设备或单个系统/设备出现特别严重系统损失；e) 等级保护一、二级系统在跨区域范围出现严重系统损失；f) 等级保护一、二系统在网、省单位内网范围出现严重或特别严重系统损失；g) 等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/

22、设备范围出现特别严重系统损失。（2） 产生重大的社会影响。具体适用于以下情况：a) 由等级保护四级系统引起，导致公司出现轻微形象损失；b) 由等级保护四级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失；c) 由等级保护三级系统在跨区域或网、省单位内网范围引起，导致公司出现一般或轻微形象损失；d) 由等级保护三级系统在部分系统及设备或单个系统由等级保护三级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现严重形象损失；e) 由等级保护二级系统或者提供互联网服务的一级系统引起，导致公司出现严重形象损失；f) 由等级保护二级系统或者提供互联网服务的一级系统在跨区域引起

23、，导致公司出现一般形象损失；g) 由非互联网服务的等级保护一级系统在跨区域或网、省单位内网范围引起，导致公司出现严重形象损失；h) 由等级保护一、二级系统在在部分系统及设备或单个系统/设备范围引起，导致公司出现特别严重形象损失。3.2.3. 较大事件较大事件指能够导致较严重影响或破坏的信息安全事件，有下列情形之一的，可被定为较大信息安全事件：（1） 会使特别重要信息系统遭受较大的系统损失，或使重要信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失。具体适用于以下情况：a) 等级保护四级系统在部分系统及设备或单个系统/设备出现轻微系统损失；b) 等级保护三级系统在跨区域范围出现轻微系

24、统损失；c) 等级保护三级系统在网、省单位内网范围出现一般系统损失；d) 等级保护三级系统或者在部分系统及设备或单个系统/设备范围出现一般或者严重系统损失；e) 等级保护一、二级系统在跨区域或网、省单位内网范围出现一般系统损失；f) 等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/设备范围出现一般或者严重系统损失。（2） 产生较大的社会影响。具体适用于以下情况：a) 由等级保护三级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般或轻微形象损失；b) 由等级保护一、二级系统在跨区域范围引起，导致公司出现轻微形象损失；c) 由等级保护一、二级系统在网、省单位内

25、网范围引起，导致公司出现一般形象损失；d) 由等级保护二级系统或者提供互联网服务的一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失；e) 由非互联网服务的等级保护一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现严重形象损失。3.2.4. 一般事件指不满足以上条件的信息安全事件，有下列情形之一的，可被定为一般信息安全事件：（1） 会使特别重要信息系统遭受较小的系统损失，或使重要信息系统遭受较大的系统损失、一般信息系统遭受严重或严重以下级别的系统损失。具体适用于以下情况：a) 等级保护三级系统在网、省单位内网或部分系统及设备或单个系统/设备范围出现轻微系统损

26、失；b) 等级保护二级系统或者提供互联网服务的一级系统在跨区域或网、省单位内网范围出现轻微系统损失。（2） 产生一般的社会影响。具体适用于以下情况：a) 由等级保护一、二系统在网、省单位内网范围或者在部分系统及设备或单个系统/设备范围引起，导致公司出现轻微形象损失。b) 由非互联网服务的等级保护一级系统在部分系统及设备或单个系统/设备范围引起，导致公司出现一般形象损失。4. 应急组织机构各级单位应急组织机构均分为应急决策机构和应急指挥机构。日常状态组织机构仅有应急决策机构，应急状态组织机构图详见附件1。4.1. 应急决策机构应急决策机构为常设机构，各级单位均应设立应急指挥中心，下设应急指挥中心

27、办公室（简称应急办）。公司本部应急决策机构人员构成及部分联络方式见附件2，人员如有变动以公司最新发文为准。4.1.1. 应急指挥中心各级单位应急指挥中心是本单位应急管理最高领导机构，应急指挥中心由总指挥、副总指挥及成员组成；总指挥由本单位主要负责人担任、副总指挥由相关分管负责人担任，成员由其他分管负责人、总助、总师及各相关部门负责人组成。其主要职责如下：（1） 贯彻落实国家有关应急管理工作的法律、法规及上级有关规定；（2） 决定应急工作重大事项；组织建立应急体系；（3） 决定本单位红色、橙色应急预警和、级应急响应的启动、调整和终止，指挥本单位相关应急处置工作；授权应急办开展黄色、蓝色预警和、级

28、应急响应的启动、调整和终止，协调相关应急处置工作；（4） 协调保障应急管理工作人力资源及资金的投入；（5） 根据需要在事发单位成立现场指挥部等其他临时应急机构。4.1.2. 应急办各级应急指挥中心下设应急办，履行应急综合协调管理职责，应急办设在本单位安监部。各级应急办由主任、副主任和成员组成；应急办主任由副总工及以上职务人员担任，应急办副主任至少应由办公室、市场、设备、安监、系统等相关专业管理部门主任或副主任担任，应急办成员由相关专业管理部门应急管理人员组成。其主要职责如下：（1） 贯彻落实和传达应急指挥中心的相关决议和指令；（2） 协调、组织研究制定本单位应急管理的相关规定和规划，建立和完善

29、本单位应急体系，协调、督促落实相关应急工作；（3） 协助应急指挥中心应对特别重大和重大突发事件相关工作，组织协调应对较大和一般突发事件的相关工作，并负责组织事后回顾和后评估工作；（4） 制定本单位应急状态下应急值守安排，并组织实施；（5） 负责收集、汇报、通报各类突发事件信息和对政府应急管理机构的突发事件信息报送工作；（6） 提请应急指挥中心签发红色、橙色预警和、级应急响应；负责签发黄色、蓝色预警和、级应急响应；（7） 负责组织本单位总体应急预案的编制、评审，开展综合应急演练；（8） 负责本单位应急预案备案工作；（9） 落实公司有关应急管理的其他事项。（10） 按中国南方电网有限责任公司应急管

30、理规定组织将应急管理工作的责任和任务落实到具体部门、岗位和人员。应急办各成员部门按本单位人资部门确定的职能界面各司其职。4.2. 应急指挥机构应急指挥机构为临时机构，本单位在启动应急响应期间临时设立应急指挥部，下设应急工作组（可选）、现场指挥部（可选；可与下级单位合署）。4.2.1. 应急指挥部应急指挥部作为本单位应急指挥中心针对某一个或多个突发事件应急处置所授权的最高指挥机构，应急指挥部由指挥长、副指挥长、成员部门组成；指挥长、副指挥长由本单位应急指挥中心总指挥或授权副总指挥指定并授予指挥权，成员部门由指定的应急指挥部指挥长指定。原则上，、级应急响应的应急指挥部指挥长由本单位主要负责人或授权

31、分管领导担任，、级应急响应由应急办主任或授权应急办副主任担任，各单位可结合实际进行调整明确，授权的范围为指定人员的岗位职责；特殊情况可授权本单位其他人员担任，指定人选时应明确授权的范围。4.2.1.1. 应急指挥部主要职责如下：（1） 贯彻落实当地政府、上级单位及本单位应急指挥中心的相关决策和要求；（2） 在授权范围内行使指挥权，组织开展指定的突发事件应急处置工作；（3） 负责建立应急指挥部组织机构，分工明确；（4） 负责管理和维持应急指挥部的正常运转；（5） 负责以本单位应急办口径统一出口指定的突发事件应急信息。（6） 重要事项应及时报告本单位应急指挥中心，超过授权范围的应请示本单位应急指挥

32、中心决策后执行；对不立即采取措施可能导致事态扩大或严重后果的，可在确保安全、依法合规的基础上先进行处置，同时向本单位应急指挥中心报告。4.2.1.2. 应急指挥部的名称：“XX”XX电力应急指挥部（XX）公司各单位应在应急指挥场所明显位置展示。注：事发当日的日期，月为1-12；日为01-31。例如某年1月8日，即为“108”。：依据为本单位应急预案中描述的突发事件名称，例如低温雨雪冰冻、地震灾害等；：一般确定为本单位设立的最高行政区划地名，例如昆明供电局在局本部设立的即为“昆明”；本部未设立，在呈贡设立的即为“呈贡”；在乡镇、村等设立的以此类推。4.2.2. 应急工作组（可选）应急指挥部根据处

33、突涉及的工作需要成立应急工作组，应急工作组仅作为业务分工，具体工作以部门为单位实施。各部门处置分工可在部门应急预案中进行完善。典型应急工作组包括信息工作组、故障巡查及抢修组、物资保障组、后勤保障组、新闻宣传组、资产理赔组、安全巡查组。4.2.2.1. 信息工作组由安监部牵头开展信息工作，制定信息工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 办公室对外行政报告突发事件处置信息。信息主要来源安监部。（2） 新闻中心归口新闻宣传报道、舆情监测等新闻方面信息。信息来源新闻媒体、基层报告。（3） 安监部汇总应急处置综合信息，统一信息口径；组织应急指挥部会议，督促会议各项要求

34、、领导要求的落实、闭环；监督应急指挥部、现场指挥部机构运转情况；发布公司内部应急文件；归口安全巡查、安全宣传、个人防护、人身伤亡、应急值班、应急指挥机构动态、大事记信息。信息来源各部门、基层单位安监部。（4） 信息部归口信息系统运行情况、系统受影响情况、应急处置情况。信息来源信息中心及各级单位信息部门。（5） 市场部归口客户影响反应信息。信息来源基层单位市场部。（6） 物资部归口应急物资调集布点；物资供应商信息。信息来源信息部、基层单位物资部。（7） 基层单位办公室归口后勤保障、安全保卫；政府及上级单位领导动态；（8） 公司财务部归口保险理赔。基层单位自行确定保险理赔归口部门。4.2.2.2.

35、 故障巡查及抢修组由信息部牵头开展事件应急及恢复工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 市场部提供受影响外部业务用户反馈情况。（2） 办公室提供政府部署、上级领导视察等情况。（3） 物资部提供物资调拨配运情况。（4） 信息部制定巡查计划、抢修方案计划、队伍安排。（5） 安监部制定安全巡查计划。4.2.2.3. 物资保障组由物资部牵头开展物资保障工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 信息部提供系统影响情况、抢修物资及抢修队伍物资需要。（2） 市场部提供受影响外部业务用户需要。（3） 基层单位办公室提供后

36、勤保障及安保物资需要。（4） 安监部及各物资管理部门配合应急物资调集。（5） 物资部收集需求、协调供应商、调拨配送物资。4.2.2.4. 后勤保障组由基层单位办公室牵头开展后勤保障工作，制定工作规则，后评估中对实施情况进行回顾和组织改进，并通过本单位安监部将情况逐级上报公司安监部。公司本部后勤保障工作由员工服务中心承担。各部门行动任务如下：（1） 信息部提供应急队伍部署情况。（2） 安监部提供应急值班情况（3） 基层单位办公室提供后勤保障及安保物资需要。4.2.2.5. 新闻宣传组由新闻中心牵头开展新闻宣传工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 安

37、监部提供统一口径的综合应急信息。（2） 新闻中心收集舆情监测、新闻素材，进行新闻宣传报道；配合政府和上级单位协调进行新闻发布。4.2.2.6. 资产理赔组由各单位理赔归口管理部门牵头开展资产理赔工作，制定工作规则，后评估中对实施情况进行回顾和组织改进，并通过本单位安监部将情况逐级上报公司安监部。公司本部理赔工作由公司财务部负责。各部门行动任务如下：（1） 信息部提供资产受损及现场取证、抢修投入情况。（2） 各单位理赔归口管理部门进行资产理赔。4.2.2.7. 安全巡查组由安监部牵头开展安全巡查工作，制定工作规则，后评估中对实施情况进行回顾和组织改进。各部门行动任务如下：（1） 信息部提供巡查及

38、抢修计划。（2） 安监部制定安全巡查计划、组织实施现场作业检查和安全宣传、配合实施用电安全检查、配合政府联合检查。4.2.3. 现场指挥部（可选；可与下级单位合署）现场指挥部作为应急指挥部派驻现场的最高指挥机构，应急指挥部可根据实际情况成立第一现场指挥部（简称第一现指）、第二现场指挥部（简称第二现指）等多个现场指挥部。其现场指挥官由应急指挥部指挥长或授权副指挥长委派，成员由现场指挥官指定。现场指挥部可下设现场工作组。其职责及分组参考应急指挥部和应急工作组确定。5. 预防与预警5.1. 预警分级按照网络与信息安全可能造成的危害、紧急程度和发展势态，将公司网络与信息安全预警分为四级，即红色、橙色、

39、黄色和蓝色。各级单位的应急预警发布级别，原则上应与突发事件级别进行对应，同时根据对各级单位影响程度的不同而有所区分：（1） 红色预警：特别重大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布红色预警；各下属单位发布红色预警。（2） 橙色预警：重大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布橙色预警；各下属单位一般发布橙色预警，但当该事件极有可能扩散至本单位系统范围以外时发布红色预警。（3） 黄色预警：较大网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布黄色预警；各下属单位一般发布黄色预警，但当该事件极有可能扩散至本单位系统范围以外时发布

40、橙色及以上预警。（4） 蓝色预警：一般网络与信息安全事件在公司系统内即将发生或者发生的可能性增大时，发布蓝色预警；各下属单位一般发布蓝色预警，但当该事件极有可能扩散至本单位系统范围以外时发布黄色及以上预警。预警与可能发生事件的关系如下表所示: 单 位特别重大重大较大一般云南电网有限责任公司红色橙色及以上黄色及以上蓝色及以上相关公司二级单位红色橙色及以上黄色及以上蓝色及以上相关公司三级单位红色橙色及以上黄色及以上蓝色及以上5.2. 预警监测各级信息管理和运维部门负责管理信息大区的网络与信息安全事件预警监测，工作的重点包括：（1） 有害程序类事件；（2） 网络攻击类事件；（3） 信息破坏类事件；（

41、4） 信息内容安全类事件；（5） 故障类事件；（6） 灾害类事件。在预警监测中，各级信息管理和运维部门可通过多种方式获取预警支持信息，一般包括以下方式：（1） 通过风险监测和风险分析获得的数据；（2） 南方电网公司等上级主管部门应急办公室及信息部门向下传达的网络与信息安全事件预警信息；（3） 各下属单位上报的网络与信息安全事件预警信息；（4） 政府有关部门发布的网络与信息安全事件预警信息等。在获取预警信息后，应当及时进行汇总分析，必要时组织相关部门、专业技术人员、专家进行会商，对网络与信息安全事件发生的可能性及其可能造成的影响进行评估。5.3. 预警发布各单位监测到预警信息后，应填写管理信息系

42、统网络与信息安全预警发布（调整）、解除通知单（见附件4）提交本单位应急办，由本单位应急办将预警信息报送公司应急办和公司信息部。（1） 各级网络与信息安全预警信息由公司应急办根据情况决定是否在全公司发布预警，若发布则报上级应急办备案。（2） 公司应急办在发布事件预警时，明确预警的响应范围和公开程度（或保密要求）。（3） 公司应急办在发布事件预警后，应通过电话等方式，将预警尽快传达到相关部门和人员。5.4. 预警响应在事件预警发布后，预警响应范围内的单位和部门应针对可能发生的事件做好以下工作：（1） 及时采取有效的防范和应对措施，包括通知相关应急处置人员严防待命，对应急装备、物资等保障措施的检查等

43、，控制事件风险，避免事件发生。其中红色、橙色预警状态下，各单位应急队伍应进入集结待命状态，各重要信息系统根据值守计划进行在岗值班，开展特巡特维和隐患排查，落实防范措施；黄色、蓝色预警状态下，各单位应急队伍做好集结准备，各重要信息系统开展隐患排查，做好防范准备。（2） 应每日上报预警响应情况，直至预警解除。其中红色、橙色预警期间，公司应急办每日8：00与18：00分别将突发事件预警行动信息逐级报至南方电网公司应急办；黄色和蓝色预警期间，公司应急办每日18：00将突发事件预警行动信息逐级报至南方电网公司应急办。（3） 应对事件预警进行持续监测，为预警响应行动、预警级别与范围调整和预警解除提供支持信

44、息。5.5. 预警调整与解除（1） 预警发布后，公司信息部应对网络与信息安全事件发展趋势持续关注，根据获取预警支持信息进行汇总分析，及时向公司应急办提出预警级别与范围调整或解除相关建议。（2） 公司应急办根据信息部相关建议，经会商研判后发布预警解除通知单（附件4）并报上级应急办备案。（3） 红色、橙色预警的调整与解除由应急办提出，应急指挥中心总指挥或授权副总指挥签发，黄色、蓝色预警的调整与解除由应急办主任或授权副主任签发。（4） 当满足下列条件之一时，可解除预警： a）预警事件发生的风险已经全部消除或得到有效控制；b）启动应急响应，从预警状态转入响应状态后，预警自动解除。6. 应急响应与处置6

45、.1. 应急响应分级按照管理信息系统网络与信息安全事件的严重程度和范围，本预案将网络与信息安全事件应急响应分为四级：I级、II级、III级、IV级。各级单位的应急响应启动级别，应根据突发事件对本单位的影响程度的不同进行区分制定，对应关系原则上如下表所示：特别重大重大较大一般云南电网有限责任公司I级I级I、II、III级I、II、III、IV级相关公司二级单位I级I级I、II级I、II、III级相关公司三级单位I级I级I级I、II级（1） 辖区内发生特别重大突发事件时，云南电网有限责任公司、相关公司二级单位、相关公司三级单位启动I级响应予以应对；（2） 辖区内发生重大突发事件时，公司启动I级响应

46、予以应对，相关公司二级单位、相关公司三级单位可启动I级响应予以应对；（3） 辖区内发生较大突发事件时，公司可启动III级或以上响应，相关公司二级单位可启动II级或以上响应予以应对，相关公司三级单位应启动I级及以上响应予以应对；（4） 辖区内发生一般突发事件时，公司可启动级或以上响应，相关公司二级单位可启动III级或以上响应，相关公司三级单位启动II级或以上响应予以应对。6.2. 信息报告6.2.1. 应急值班电话公司突发事件应急总值班电话：0871-63011100 公司网络与信息安全应急24小时值班电话：087163011001公司应急办及其他常联系电话详见附件2。6.2.2. 初始信息报告方式和要求6.2.2.1. 各单位报告方式和要求（公司接报）。突发事件发生后，事发单位应迅速汇总整理并核实初步受灾情况，30分钟内将简要情况电话（座机、手机、卫星电话）逐级报告公司安监部及业务对口部门，并安排人员编制短信于电话报告后20分钟内发至公司有关人员