1、 政务部门信息安全应急预案编制指南 北京市 地方标准编制说明 一、 任务来源 ,起草单位, 协作单位 ,主要起草人 本任务的来源是:北京市质量技术监督局下发的 2014年北京市地方标准修订项目计划,项目编号: 20141080。 本标准由北京市经济和信息化委员会提出、归口和解释。起草单位包括 : 北京市政务信息安全应急处置中心、 中国科学院 信息工程研究所 、北京邮电大学 。 主要起草人 包括 : 王宗君、刘鹏、 刘宝旭、史宜会、 陈钊、王枞 、 郭子亮、杨泽明、 刘建毅 、 李若愚、汪秋云、严坚、刘涛、郭立生。 二、 制定标准的必要性和意义 1、 落 实政策法规的要求 国务院办公厅关于印发突
2、发事件应急预案管理办法的通知(国办发 2013101 号)明确单位和基层组织应急预案由机关、企业、事业单位、社会团体和居委会、村委会等法人和基层组织制定,北京市网络与信息安全事件应急预案(京应急委发 201223 号)明确市级单位预案由市级网络与信息系统运营使用管理单位负责制定修订,且市经信负责监督、检查、指导全市电子政务信息安全时间的预防和应对工作。该标准为了解决目前电子政务部门、单位、基层组织信息安全应急预案编制形式简单、编制目的模糊、编制内容宏观、编制方 法落后、完善方式简单、衔接不一致等问题,指导北京市范围内各电子政务部门、单位、基层组织网络与信息安全预案的编制工作。 同时,北京市在
3、2008 年北京市实施 办法, 2010年北京市人民政府关于实施北京市突发事件总体应急预案的决定(京政发 201012号), 2013 年 6 月,北京市突发事件应急委员会办公室发布了关于开展区县总体应急预案、市级专项和市级部门应急预案修订与编制工作的通知均对各专业方向制定应急预案提出了明确的要求。 2、 保障北京市政务信息安全的要求 随着近些年北 京市信息化的发展趋势,“十三五”时期是北京市重要战略机遇期,也是北京加快信息化发展、融入信息时代全球城市竞争新格局、引领全国城市发展的关键时期。随着新一轮信息技术革命的深入推进,以“智能化”为特征的信息化为北京实现跨越式发展提供了新思路、新方法和新
4、路径,北京在深入贯彻科学发展观、全面推进“智慧北京”建设、努力建设中国特色世界城市的同时,也使得基础网络与重要信息系统对北京市的城市运行、管理、服务、保障等工作的支撑作用更加突出。北京作为首都,人口稠密、经济要素高度积聚,政治、经济、文化等国际交往频繁,重大活动多 ,信息安全突发事件诱因复杂,应急处置难度大,北京地区一旦发生重大或特别重大网络与信息安全事件,势必对北京市的公共安全、政治稳定和社会经济秩序构成严重威胁,并对其它地区产生重大影响。 3、 规范和指导政务部门信息安全应急预案的需要 网络与信息安全应急预案是信息安全突发事件应对工作的基础和关键。 市通信保障和信息安全应急指挥部办公室为市
5、通信保障和信息安全应急指挥部的常设办事机构,设在北京市经济和信息化委员会(以下简称“经信委”),具体承担本市网络与信息安全事件应对工作和应急通信保障工作的规划、组织、协调、指导、检查 职责。 为配合经信委对全市电子政务信息安全应急工作的管理, 2008年特成立北京市政务信息安全应急处置中心(以下简称“应急中心”) ,配合上级主管部门制定和完善市级信息安全应急预案,指导北京市各政务部门制定应急预案并组织应急预案培训。 近年来,国家信息化主管部门编制了初成体系的网络与信息安全应急预案大纲,很多单位根据国家的有关要求,纷纷着手编制各自的网络与信息安全应急预案。 为更好的完成北京市网络与信息安全事件应
6、急预案修订与北京市电子政务网络与信息安全应急预案的编制工作, 2012 年 5月至 2013 年 8 月期间 ,应急中心相关人员会同其他部门选取部分市级委办局、区县,就上述工作开展调研,通过对北京市各单位网络与信息安全应急预案的分析,发现编制全面、规范、可操作性强的应急预案缺乏可直接参照的范本, 很多单位在网络与信息安全应急预案编制过程中存在 编制形式简单、编制目的模糊、编制内容宏观、编制方法落后、完善方式简单、衔接不一致等问题,需制定统一的标准对其进行规范。 综上所述,在今后经信委落实政策法规要求,开展相关工作以及提供应急预案编制指导时,需要依托该标准为全市党政机关及各委办局用户提供相应的编
7、制依据,规范编制内容,制定 政务部门信息安全应急预案编制指南标准具有重大的现实意义。 三、 主要工作过程 1、 2012 年 5月至 2013年 8 月期间,北京市政务信息安全应急处置中心应急工作部相关人员会同其他部门选取部分市级委办局、区县对北京市网络与信息安全事件应急预案修订与北京市电子政务网络与信息安全应急预案的编制工作开展调研分析工作 (具体报告见附件材料 ) 通过对 15 个区县进行调研, 15 个区县应急预案编制情况较好, 15个区县都已制定了应急预案,但也存在一些问题,问题主要集中在未及时修订应急预案( 6/15)。 15 个区县在应急预案 编制中普通存在的问题是缺乏合作协调和相
8、互衔接( 6/15)。 通过对 25 家委办局进行调研, 25 家委办局应急预案编制情况较好, 24家委办局都已制定了应急预案,有 1家委办局未制定应急预案,但也存在一些问题,问题主要集中在未及时修订应急预案( 14/25)。 25 家委办局在应急预案编制中普通存在的问题是缺乏合作协调和相互衔接( 8/25)和预案的修订程序欠缺( 6/25)。 通过本次调研发现各个单位在预案修订或制定方面比有很大程度的提高,多数被走访单位对应急预案进行了修订,现有应急预案已做成一定体系,有一定实操性;但各单位在预案编制 /修订中也遇到了不知道如何编制 /修订、缺乏专业指导、缺乏预算支撑等问题,各单位普遍希望得
9、到北京市政务信息安全应急处置中心的预案修订指导服务。 针对此次调研结果发现的问题,北京市政务信息安全应急处置中心特制定了电子政务信息安全应急预案编制指南以对进行指导。 并在 2013年至 2015年期间选取部分单位进行试点,现已经在昌平区、残联、地税、首都之窗等单位进行预案编制指导,并取得很好的效果。 1、 2012年承担了北京市政务信息安全监控预警系统升级改造项目 ,建设过程中对 15 个厂家 五 大类 51 种产品 的原始异构数据进行了调研, 调研内容涵盖产品的现状 、 数据上报接口 、 状态检测接口 、 数据交互接口和统一身份认证接口, 在升级改造过程中 实现全网信息源格式有效统一 ,
10、并 形成“调研报告”一篇 。 2、 2012年承担了北京市政务信息安全事件数据采集规范及智能关联分析研究课题 ,对当前已有信息安全监控设备数据上报、状态检测接口进行梳理,制定统一的数据采集接口规范 ,规范监控系统接口和采集数据格式 ,形成 北京市政务信息安全监控数据接口规范(草案)一篇 。 3、 2013年 6 月, 为规范北京市电子政务信息系统安全监控工作,实现全市电 子政务信息安全监控数据分析共享, 北京市政务信息安全应急处置中心 、 北京天诚星源信息技术有限公司 、北京邮电大学 共同组成 电子政务信息安全监控数据规范 标准编制组,召开该标准编制启动工作会议。会上,对标准编制的组织形式及任
11、务分工进行了安排 , 会上形成了“会议决议”一份 。 4、 2013 年 11 月,标准编制组完成了地区标准电子政务信息安全监控数据规范(草案),在草案完成后,标准制定方组织了来自市标准化协会、市资源中心、 市 信标委等多家单位的专家 对 草案及申报书进行了专家论证。会议形成了“专家意见”一份。 5、 2013 年 12 月,标准编制组按照“北京市地方标准申报流程”对 电子政务信息安全监控数据 规范地方标准进行了申报,并于 2014年 4 月获得立项(编号: 20141080)。 6、 2014 年 3 月至 5 月,标准编制组分别向北京市财政局信息中心、北京市地税局信息中心、北京市国土资源局
12、信息中心、北京市标准化协会、工业和信息化部电子工业标准化研究院、北京市信息安全测评中心等单位的专家进行了专家咨询和征求意见,标准编制组对此意见做出了处理 ,形成征求意见稿 。 7、 2014年 6 月 24日,标准编制组邀请了来自中国特种设备检测研究院、中科院计算所 、北京科技大学、首都师范大学、电信研究院泰尔实验室、中国软件评测中心、东华软件股份公司、北京航空航天大学、北京交通大学等单位的专家对 电子政务信息安全监控数据规范 进行了征求意见,共收到专家意见书 9 份,专家组意见书 1 份, 其中意见 14条, 采纳 14 条 。 8、 2014年 6 月 26日,标准编制组邀请了来自 NEC
13、、同有、 avago、三零卫士、北京 CA等企业单位的专家对 电子政务信息安全监控数据规范 进行了征求意见,共收到专家意见书 15份,专家组意见书 1份, 其中意见 14条, 采纳 13条 。 9、 2014 年 8 月 , 北京市经济和 信息化委员会 分别向北京市财政局 标准编制组按已采纳的专家意见对标准征求意见稿进行了修改,形成 电子政务信息安全监控数据规范 征求意见稿一份,并由北京市经济和信息化委员会 分别向北京市财政局 、北京市国土局、北京市科委、北京市卫生和计划生育委员会、北京市住建委、北京市信访办、北京市教育委员会、北京市市政市容委、北京市统计局、北京市工商行政管理局、北京市发展和
14、改革委员会、北京市密码管理局、北京市安全生产监督管理局、工信部电信研究院泰尔实验室、中国电子技术标准化研究院、国都兴业信息审计系统技术 (北京 )有限公司、北京神州 绿盟科技有限公司、北京网御星云信息技术有限公司、深圳市深信服电子科技有限公司、杭州安恒信息技术有限公司、北京冠群金辰软件有限公司、任子行网络技术股份有限公司、北京启明星辰信息安全技术有限公司、北京知道创宇信息技术有限公司等单位 发公函征求意见, 收到回函 26 个,其中 5 份函复意见, 其中 意见 18条,采纳 12 条。 10、 2015 年 4 月 17 日, 标准编制组邀请了来自 北京市经信委 科技标准处、北京市经信委信息
15、安全协调处(应急处) 、北京市财政局、北京市卫生和计划生育委员会、 工信部电子 工业标准化研究所、北京市 标准化 协会、 全球网 络 存储工业协会中国技术中心等专家对 电子政务信息安全监控数据规范 进行了征求意见,共收到专家意见书 11 份,采纳意见 11 份。 11、 2015 年 9月,北京市经济和信息化委员会向北京市公安局发函征求意见,对于该标准无函复意见。 12、 2015 年 10 月,标准编制组根据前期采集意见 对标准征求意见稿进行了修改,形成 送审意见稿。 13、 2015 年 11 月,北京市质量技术监督局组织对于标准的审查会,来自工业和信息化部电子工业标准化研究院、工业和信息
16、化部电信研究院、北京标准化协会、北京市国土资源局信息中心、北京启明星辰信息安全 技术有限公司、北京安信天行科技有限公司、北京神州绿盟科技有限公司等单位的专家及北京市经济和信息化委员会的相关同志参加了会议,对标准进行审查,形成审查会会议纪要。 14、 2015 年 11 月,标准编制组根据审查会会议纪要对标准送审意见稿的内容进行了修改,形成报批稿,并由北京市经济和信息化委员会向北京市质量技术监督局报批。 四、 制定 标准 的 原则和 依据 , 与现行法律、法规、标准的关系 1、 本标准的原则和依据 中华人民共和国突发事件应对法第十七条 国家建立健全突发事件应急预案体系。 国务院制定国家突发事件总
17、体应急预案,组织制定国家突发事件专项应急预案;国务院有关部门根据各自的职责和国务院相关应急预案,制定国家突发事件部门应急预案。 地方各级人民政府和县级以上地方各级人民政府有关部门根据有关法律、法规、规章、上级人民政府及其有关部门的应急预案以及本地区的实际情况,制定相应的突发事件应急预案。 应急预案制定机关应当根据实际需要和情势变化,适时修订应急预案。应急预案的制定、修订程序由国务院规定。 国家突发公共事件总体应急预案 1.6 应急预案体系突发公共事件地方应急预案。具体包括:省级人民政 府的突发公共事件总体应急预案、专项应急预案和部门应急预案;各市(地)、县(市)人民政府及其基层政权组织的突发公共事件应急预案。上述预案在省级人民政府的领导下,按照分类管理、分级负责的原则,由地方人民政府及其有关部门分别制定。 北京市实施 办法第十五条 市突发事件应急委员会应当组织编制突发事件应急预案的制定规范,明确应急预案的体系构成、主要内容、制定和审批程序、管理责任与要求等。 北京市人民政府关于实施北京市突发公共事件总体应急预案的决定(京政发 200517 号)进一步 加强法制建设,使应急管理工作逐步实现规范化、制度化和法制化。
