3.2预警监测
技术处负责组织指导呼和浩特海关系统网络安全预警监测工作,数据分中心及各隶属海关(办事处)技术部门或承担技术工作职责的部门负责对本单位运行的网络和信息系统开展网络安全监测工作,重要信息及时报告技术处。
监测信息来源于:
(1)国家有关部门发布或向海关通报的信息。 (2)国家及地方网络安全信息共享机制共享的信息。 (3)巡检人员、监控系统发现的信息。
(4)海关工作人员或企业等外部人员发现并报告的信息。
(5)其他信息。 3.3预警研判和发布
通过对监测信息进行研判,认为需要立即采取防范措施的,应当及时向本级应急指挥部报告。呼和浩特海关应急指挥部办公室根据监测研判情况在海关内部发布预警信息。
红色、橙色预警的发布,由总署应急指挥部办公室统一发布。呼和浩特海关关区范围内的黄色、蓝色预警,由呼和浩特海关总关或隶属海关(办事处)应急指挥部办公室提出预警建议,报本级应急指挥部批准后发布。
在呼和浩特海关内部发布预警信息应包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布单位等。
11
面向社会公众发布的预警信息,由呼和浩特海关应急指挥部办公室根据可能影响范围研究确定预警信息发布的范围或提出建议。
3.4预警响应
预警通报发布后,各单位应依据发布的预警级别,加强网络系统安全状况的监测,做好应急处理准备工作。
3.4.1蓝色预警响应:
呼和浩特海关技术部门和事发地海关应加强监控,密切关注事态发展。
3.4.2黄色预警响应:
(1)呼和浩特海关网络安全事件应急指挥部办公室保持通信联系畅通,密切关注事态发展,收集、汇总监测信息,重要信息及时向关领导、海关总署应急指挥部办公室报告。
(2)技术部门加强网络安全事件监测和事态发展信息搜集工作,重要信息及时报告科技司。
(3)相关隶属海关(办事处)、数据分中心立即根据预警信息开展网络安全风险评估、根据预警事件类别实施控制措施、控制事态发展。
3.4.3橙色预警响应:
在黄色预警响应的基础上,呼关应急指挥部办公室加强风险评估与控制工作,做好数据备份,并根据业务工作实际,制定并实施网络与信息系统限制使用方案,指导业务现场做好业务应急工作。
3.4.4红色预警响应:
12
由总署应急指挥部统一处置。 3.5预警变更与解除
呼和浩特海关总关和隶属海关(办事处)应急指挥部办公室及相关单位要密切关注事件进展情况,根据事态变化情况,适时调整预警级别,将调整结果及时通报各相关部门。
构成预警事件的要素消失或得到控制后,预警发布单位应及时解除预警状态。
4应急处置
4.1事件级别初步判断与核定
网络安全事件发生后,海关网络安全事件级别由事发地海关单位技术部门或承担技术工作职责的部门进行初步判断,Ⅰ、Ⅱ级网络安全事件由总署应急指挥部办公室核定,Ⅲ、Ⅳ级事件网络安全事件由呼和浩特海关应急指挥部办公室核定。
4.2情况报告 4.2.1报告原则
(1)“即现即报”原则:各级海关单位一旦发现有网络安全事件发生,须注意保存证据,按照报告程序要求立即向上一级应急指挥部办公室报告。
(2)“核实准确”原则:报告内容要客观真实,重点要素要准确,不得主观臆断。
(3)“双线同步”原则:事发地海关单位在按规定向上一级应急指挥部办公室报告网络安全事件的同时,可视事件的性质、特点和影响范围,通报当地有关部门。
13
(4)“追踪反馈”原则:事发地海关应将网络安全事件的原因、变化动态、应急措施、处置结果等情况及时向上级应急指挥部办公室报告。
4.2.2报告程序
(l)呼和浩特海关技术部门须在初步判断事件等级为I、Ⅱ级网络安全事件后30分钟内将有关情况向总关总值班室、本单位领导和总署应急指挥部办公室报告,并在4小时内以书面形式上报总署应急指挥部办公室。
(2)对于Ⅲ级事件,呼和浩特海关应急指挥部办公室需在初步判断事件等级后30分钟内,将有关情况向本关领导和总署应急指挥部办公室(科技司)及应急指挥部相关成员单位(信息中心、数据中心、信息中心广东分中心)报告,24小时内以书面形式报告科技司。
(3)对于Ⅳ级事件,在初步判断事件等级后30分钟内,将有关情况向本关领导和呼和浩特海关应急指挥部办公室报告,24小时内以书面形式报告技术处。
4.2.3报告形式 4.2.3.1电话报告
(1)电话报告的“六个要素”:网络安全事件的时间、地点、事由、现状、影响、已采取的措施。其中,时间报告要精确到分,地点要明确具体口岸或现场。
(2)接报人员必须填写电话报告记录(模板详见附件3)。
4.2.3.2文字报告
14
要采用固定报送载体,要有领导签发,注明承办人全名和联系电话,标明缓急程度、发送时间和报告编号。内容要条理清楚,语句简洁,重点突出(模板详见附件4)。
(1)网络安全事件详细情况,包括事件发生的时间、地点、过程、状况、原因、影响等。
(2)事发地海关单位已经采取的措施及效果。 (3)事态发展预测和下一步行动计划,如需上级单位提供支持,还需提出相应处置建议。
4.3应急响应 4.3.1响应分级
呼和浩特海关网络安全事件应急指挥部根据不同事件的核定级别,启动相应级别的应急响应。
4.3.2启动程序
Ⅲ级应急响应启动程序如下:
(1)应急指挥部办公室提出Ⅲ级应急响应启动建议,报请总指挥批准;
(2)总指挥批准后,启动Ⅲ级应急响应;
(3)Ⅲ级应急响应启动后,应急指挥部办公室成员首先到位,并通知副总指挥、成员单位负责人到指定地点就位,进入应急指挥状态;
(4)Ⅲ级应急响应宣布后,应急指挥部及其办公室和相关成员单位应启动24小时值班制,根据职责分工开展应急工作;
Ⅳ级应急响应启动程序如下:
15