为加强审计网络和信息系统安全管理工作，预防和遏制审计网络和信息系统突发事件的发生，减轻和消除突发事件造成的危害和影响，形成科学、有效、反应迅速的应急工作机制，提高处置网络与信息安全突发事件能力，确保审计网络和信息系统的实体安全、运行安全和数据安全。结合审计工作实际情况，特制定本应急预案。

一、应急处理机构及职责

为保证突发情况下应急机制的迅速启动和指挥顺畅，成立审计网络和信息系统应急处理工作领导小组，下设工作小组。

（一）领导小组

组长由局长担任，副组长为分管政府信息公开和信息化工作的局领导，成员为相关处室负责人。应急预案启动后，负责应急行动的总体组织指挥工作。

主要职责：

1．研究布置应急行动有关具体事宜。

2．应急行动期间的总体组织指挥。

3．向上级汇报应急行动的进展和向有关部门通报相关情况。

4．负责与有关部门进行重大事项的工作协调。

5．负责应急行动其它的有关组织领导工作。

（二）工作小组

组长由局办公室主任担任，成员为局办公室、信息化管理机构具体人员，根据领导小组的指挥开展相应的应急行动。

主要职责：

1．执行领导小组下达的应急指令。

2．负责应急行动物资器材的准备。

3．负责处理现场一切故障现象。

4．随时向领导小组汇报应急工作的进展情况。

5．负责联系相关厂商和技术人员，获取技术支持。

二、应急处理基本程序和主要内容

（一）突发事件发生后，应急处理工作小组迅速组织技术力量查明原因、开展修复工作。如果该事件造成重大影响的，及时向应急处理领导小组汇报，在领导小组统一组织下启动应急预案，开展应急处理。

（二）事件响应后，应急处理工作小组组织相关技术人员立即赶到现场，确认故障，研究解决方案：

1．硬件故障

（1）应急处理工作小组经现场确认后进行更换维修。

（2）不能进行维修的，联系代理商报修，代理商技术人员到场解决，力保数据完整。属于服务端设备故障的，除联系代理商报修以外，及时联系电子政务中心。终端设备如需送修，需先行拆下硬盘，避免敏感信息外泄。

（3）硬件系统发生严重故障，导致系统不能恢复并造成严重影响的，应急处理领导小组召开安全会议，根据破坏程度作出处理意见。

2．软件故障

（1）确认可靠的最新备份数据已经转移到其他电脑上。

（2）分析软件故障节点，根据对应的故障解决问题。

（3）不能进行处理的，及时联系开发运维单位处理。

3．网络故障

（1）通过各种技术手段认定故障点。

（2）根据故障点位置不同分别处理：若故障点在本局网络内部的，进行故障网络设备和网络线路的维护、更换；故障点在本局网络以外的，联系电子政务中心或者电信服务商，及时解决问题。

4．病毒爆发或黑客攻击突发事件应急处理措施

（1）当发现有大规模计算机感染病毒或发现黑客攻击事件，首先中断被感染电脑或攻击主机的网络连接，并在防火墙上对来源主机地址进行阻断。

（2）应急处理工作小组立即组织技术力量分析攻击类型和病毒爆发特征，切断传播途径，利用专杀工具对所有计算机进行病毒扫描和木马清除。如果现有手段无法有效清除该病毒木马，要立即向应急处理领导小组报告，并迅速联系有关专业安全软件厂商研究解决。

（3）评估系统毁坏程度，备份系统、保存系统日志，通过检查日志、特征等信息，确定病毒爆发和传播原因。分析攻击手段、攻击使用漏洞、攻击过程和发起攻击地址。情节严重并发生严重后果的，向公安机关报案。

（4）恢复被攻击前数据，安装系统补丁，升级系统。

5．涉密信息泄露事件

（1）根据掌握情况及时确认泄密事件等级。

（2）应急处理领导小组召开安全会议，制定泄密事件补救措施。如降低涉密信息密级、追回涉密信息等。

（3）涉及涉密信息等级高的，要及时通报公安机关追查和采取措施，追回相关涉密信息，尽量减少损失，并追究相关责任人。

6．局网站、网页出现非法言论突发事件应急处理措施

（1）网站、网页由网站内容管理人员随时密切监视信息内容。

（2）发现网上出现非法信息时，值班人员立即向应急处理工作小组报告；情况紧急的及时采取对该言论做屏障隐藏等处理措施，再按程序报告；网站维护员要妥善保存有关记录及日志或审计记录。

（3）应急处理工作小组在接到报告后立即清理非法信息，强化安全防范措施，并将网站网页重新投入使用；同时组织技术力量，必要时聘请外部专业机构共同追查非法信息来源。情况严重要向公安部门报警或有关机关报告。

7．视频会议故障应急处理措施

（1）发现者立即上报会议负责人。

（2）会议负责人接到报告后，立即组织有关人员按紧急状态处理程序开展工作。根据故障发生的部位、程度，分别联系相关专线服务运营商、视频专用设备提供商，及时进行判断和抢修工作，采用科学、可行的办法排除故障。

（3）当发现故障不能快速解决时，要立即通知相关人员会议延期，如遇紧急会议的，请求省厅对会议进行录播，以便大家学习会议精神。

（三）若事故不能短时间内解决的，及时通知市局各处室及各区县审计局相关负责人员，同时上报省审计厅，紧急业务暂时转入手工处理流程。

（四）在事故处置过程中，尽最大可能收集事件相关信息，识别事件类别，确定事件来源，保护备份数据。清理系统、恢复数据、程序、服务。恢复工作应该十分小心，避免出现误操作导致数据的丢失。

（五）突发事件处理结束后，回顾并整理发生事件的各种相关信息，把所有情况记录到文档中。系统恢复以后，关注其安全状况，特别是对曾经出问题的地方，要进行跟踪，做好防范工作。

三、保证措施

（一）做好网络机房服务器的密码保护工作，防止非本单位人员操作数据库。定期对数据进行检查，对预期发生的问题做好事先防范。服务器上打全补丁，安装杀毒软件，及时更新病毒代码。如发现危害大的病毒，需在OA上张贴公告通知用户并说明病毒发作的原因、相应的特征及动员防范、注意事项等。

（二）建立健全重要数据及时备份和灾难性数据恢复机制，对服务器的数据进行定期备份，通过全量和增量，本地和异地方式进行保存。做好充足的交换机、线缆、光纤收发器、计算机备品备件，以便发生事故时及时更换。

（三）充分利用OA及网站等有效的形式，加强网络与信息安全突发事件应急处理的有关法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急处理的基本知识，提高整体安全防范意识和应急处理能力。加强网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作，将网络与信息系统突发事件的应急管理、工作流程等列为培训内容，增强应急处理工作的组织能力。

（四）以应急预案为基线，定期开展应急演练，通过演练发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处理能力。

附件1.金华市审计局网络和信息系统突发事件总体应急预案流程图

2.金华市审计局硬件故障应急预案流程图

3.金华市审计局软件故障应急预案流程图

4.金华市审计局网络故障应急预案流程图

5.金华市审计局病毒爆发或黑客攻击应急预案流程图

6.金华市审计局涉密信息泄露应急预案流程图

7.金华市审计局网站、网页出现非法言论应急预案流程图

8.金华市审计局视频会议故障应急预案流程图

附件1

金华市审计局网络和信息系统突发事件总体应急预案流程图

附件2

金华市审计局硬件故障应急处理流程图

附件3

金华市审计局软件故障应急处理流程图

附件4

金华市审计局网络故障应急处理流程图

附件5

金华市审计局病毒爆发或黑客攻击应急处理流程图

附件6

金华市审计局涉密信息泄露事件应急处理流程图

附件7

金华市审计局网站、网页出现非法言论突发事件应急处理流程图

附件8

金华市审计局视频会议故障应急处理流程图