信息系统突发事件应急处理

全国海关信息中心（全国海关电子通关中心）信息系统突发事件应急处理规程（修订）第一章总则第一条为最大限度减少突发事件对海关业务的损害，保障海关业务正常运行，规范信息系统应急处理流程，持续提高对信息系统突发事件的响应能力，逐步建立信息系统突发事件（以下简称“突发事件”）应急预案完善机制，依据《全国海关联网应用项目运行管理办法》相关规定，参考《全国海关信息中心故障管理规程》、《海关系统突发公共事件应急预案》、《海关信息系统安全应急预案》的相关内容，特制定本规程。第二条本规程所称应急处理是指全国海关信息中心（全国海关电子通关中心）（以下简称“中心”）针对信息系统突发事件所采取的非常规性紧急措施。第三条应急处理工作应遵循“快速反应”、“阻断影响”、“经验总结”的原则。在最短时间内，采取有效措施消除突发事件对海关业务应用的负面影响，积极开展事后分析，总结经验，不断完善应急预案体系。第四条突发事件是指由信息系统可用性异常引发的已对海关关键业务产生严重影响的事件，由信息完整性遭受破坏引发的预计对海关声誉产生严重影响的事件，具体包括：（一）信息系统可用性受到破坏，（如信息系统故障、病毒感染、黑客攻击、供电系统等外围设施故障）造成全国海关现场通关业务中断1小时，技术支持部门预计在2小时内无法排除，已对通关现场产生严重影响的情况；（二）信息完整性受到破坏，（如信息系统故障、病毒感染、黑客攻击）造成海关关键业务数据、海关对外网站内容被非法篡改，预计对海关声誉产生严重影响的情况；（三）在国家或上级主管部门规定的特殊敏感时期，运行监控部门通过监控工具或热线电话获知，预计造成严重影响的情况；（四）除上述几种情况外，当发生影响业务的重大故障，运行调度或总调度认定属于事态紧急的情况。本规程定义的突发事件不包含信息系统泄密事件，对于信息系统泄密事件，依据《海关涉密信息系统安全保密管理实施细则（试行）》进行处理。第五条突发事件的响应分为两种情况：（一）对于有应急预案的突发事件，由客户服务部启动应急预案，并按照应急预案，开展应急处置工作。（二）对于无应急预案或应急预案执行无效的情况，确认符合本规程突发事件条件，则按照本规程第三至第六章所规定的应急处置流程开展应急处置工作。第六条应急预案是应急处理的基础，中心保障级别为二级以上（含二级）的应用项目在上线前，应具备相关的应急预案文本。在预案可行性得到确认的情况下，应当赋予运行监控人员直接操作的权限。第七条应急处置流程包括：应急处置机制启动、信息发布与事件报告、突发事件应急处理、突发事件后续分析与改进和突发事件办结。第二章工作分工及职责第八条中心设立网络信息系统应急工作小组（以下简称应急工作小组），应急工作小组在海关总署应急指挥部的领导下开展工作，同时接受信息安全（保密）领导小组的业务指导。第九条应急工作组组长由中心领导担任，成员包括客户服务部、系统管理部、网络通信部、网站音像部、数据服务分部、开发部和网络与信息系统安全保密分部部门领导。应急工作小组负责依据总署信息系统应急管理的相关规定，组织、落实中心网络及信息系统突发事件的应急处置工作。第十条应急工作组下设应急技术支持队伍，由客户服务部、系统管理部、网络通信部、网站音像部、数据服务分部、开发部和网络与信息系统安全保密分部技术人员组成，应急技术支持队伍受应急工作小组领导，承担应急工作小组下达的具体应急处置工作，负责技术层面对突发事件的处理及现场应急通信系统保障。第十一条提交项目上线部门负责按照中心统一模板编制或修订相关应急预案，并依据《中心安全运行预案管理办法（试行）》的要求进行管理。第十二条客户服务部运行监控人员应在第一时间对突发事件做出响应，并承担事件报告、信息发布、情况跟踪等职责。第十三条项目支持部门承担突发事件的后续改进工作，信息安全（保密）领导小组办公室应对这一过程进行督促、检查。第三章应急处置机制启动第十四条客户服务部监控人员在确认异常情况为突发事件后3-5分钟内，向中心领导报告突发事件情况，请示启动应急处置流程，并做好相应记录。第十五条中心领导应在接到关于启动突发事件应急处置流程的请示后5分钟内，决定是否进入应急处置状态并启动处置流程。若认定该异常情况不属于突发事件，则依据中心故障管理的相关规定处理。第十六条应急处置流程启动后，由客户服务部值班监控人员负责通知应急工作小组、应急技术支持队伍成员到达指定的工作场所，开展事件处理工作。第四章信息发布与事件报告第十七条突发事件的信息发布和上报工作应遵循“即现即报”、“核实准确”及“追踪反馈”的原则。第十八条中心启动应急处置机制后，中心领导应依据总署对于突发事件上报的相关规定要求，及时向办公厅报告突发事件情况。第十九条事件发生后，客户服务部运行监控人员应在应急处置机制启动后5分钟内通过快速通报、短信平台，发布突发事件的相关信息。第二十条在应急处理过程中，中心主任应按照总署应急管理的相关规定，及时向办公厅上报事件处理进展情况。第五章突发事件应急处理第二十一条对信息系统突发事件的应急处理工作应遵循先阻断影响，再排除故障，恢复业务应用的原则。第二十二条应急技术支持队伍负责拟定临时处理方案，处理方案应当遵循本规程所规定的突发事件应急处理原则。第二十三条在突发事件应急处理过程中，网络通信部负责确认应急通信系统（固定电话、移动电话、电话会议）的可用性，客户服务部负责确认信息交互系统（如快速通报、短信平台）的可用性，各相关技术支持部门做好应急通信系统的保障工作。原则上，应急处理过程中相关人员应集中开展工作。第二十四条应急处置过程中涉及的事件处理情况跟踪、信息管理工作，需由客户服务部依据《中心故障管理规程》第三十二条、第三十四条的规定执行。第二十五条突发事件处置完毕后，客户服务部需先与用户确认业务恢复情况，经应急工作组组长批准后，可对外发布解除应急处理状态的通知。第六章突发事件后续分析与改进第二十六条应急技术支持人员应依据《中心故障管理规程》第三十五条的有关规定开展事后分析和评测改进工作。第二十七条项目支持部门需依据分析报告，制定、修订相应的应急预案，完善系统监控手段，并将具体落实情况报信息安全（保密）领导小组。第七章突发事件办结第二十八条信息安全（保密）领导小组审议突发事件应急处置评测报告和技术分析会会议纪要，对于已形成完善应急预案的突发事件进行办结处理，转入常规管理。第八章附则第二十九条本规程由中心网络与信息系统安全保密分部解释，并负责定期评估对应急处理产生的效益，组织对规程内容的完善及优化工作。第三十条本规程自发布之日起生效。