大余县应急管理局网络安全事件应急预案

1总则

1.1编制目的

为建立健全应急局系统网络与信息安全事件应急保障和恢复工作机制，提高应对突发网络与信息安全事件的组织指挥和应急处置能力，保证应急指挥调度工作迅速、高效、有序进行，保障大余县应急管理信息系统安全运行，保障信息的合法性、完整性、准确性，保障网络、计算机、相关配套设备设施及系统运行环境的安全，为大余县应急管理提供现代化服务保障，制定本预案。

1.2编制依据

根据《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《计算机病毒防治管理办法》等相关法规、规定、文件精神，制定本预案。

1.3适用范围

本预案适用于大余县省应急管理局系统局域网及专网非涉密信息系统突发网络安全事件的应急处理和恢复工作。

1.4工作原则

（1）预防为主。建立、健全计算机网络与信息安全科学管理制度，有效预防网络与信息安全事故的发生。

（2）分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制。各级各部门应积极支持和协助应急处置工作。

（3）果断处置。一旦发生网络与信息安全事故，应果断决策，迅速处置，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。

（4）以人为本。把保障人员以及公共利益的安全作为首要任务。

（5）常备不懈。加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现应急管理网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。

2组织体系和工作职责

在局网络安全与信息化领导小组领导下，成立：应急组织组、应急指挥组、应急实施组。

（1）应急组织部。由局网信办牵头，负责应急管理体系、管理办法和预案的评审和确定；负责应急预案启动和终止命令的下达和授权；负责应急实施过程中的决策和授权；负责对故障处置或演练后预案变更的最终评审和确认。

（2）应急指挥部。由局办公室牵头，根据应急领导组的授权，负责现场指挥，协调各应急小组工作；负责应急处置情况、故障升级等相关信息的确认；负责向应急领导组汇报应急处置的进展情况；负责在应急过程中，策略的调整和应急指挥；负责组织并协调应急现场的各种资源（含第三方）。

（3）应急实施组。由局网信办牵头负责故障的分析，为现场应急指挥组提供应急预案实施的参考建议；负责按照现场应急指挥组的指令，严格执行相应的应急处置方案；负责将现场故障处理情况向应急指挥组及时汇报和更新；在实施应急措施过程中，协调其他专业组为应急提供技术支持；故障解决后总结、归纳应急工作的经验和教训，完善相关应急预案；负责制定、修改、优化应急预案中应急场景的具体处置方案；负责组织应急预案的检查和评审工作。

3分类分级

3.1事件分类

网络与信息安全事件根据其产生原因、表现形式，可划分为以下六类：

（1）有害程序事件。指计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）人为攻击事件。指通过网络或其他技术手段，对信息系统实施攻击，如拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件。指利用网络进行信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件。指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障事件。指软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件。指由自然灾害等其他突发事件导致的网络与信息安全事件。

3.2事件分级

网络与信息安全事件根据其影响程度、严重程度、影响范围和可控性，将应急管理网络与信息安全事件分为四级：由高到低划分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）四个级别。

影响程度主要考虑网络与信息安全事件所影响的信息系统的重要程度。本预案中信息系统的重要程度是依据信息系统的安全保护定级等级来确定，安全保护等级定级为四级以上（含四级）的为特别重要信息系统，三级的为重要信息系统，二级的为一般信息系统。安全保护等级定级为一级的信息系统，不需要启动应急预案，由相关业务部门和运行维护部门根据维护流程处置。

严重程度主要考虑事件对信息系统的破坏程度，以及利用信息网络发布、传播的信息内容对国家安全、社会稳定和公共利益的危害程度。对信息系统的破坏程度分为特别严重破坏、严重破坏和一般破坏。特别严重破坏指造成信息系统瘫痪或信息受到特别严重破坏；严重破坏指造成信息系统主要功能受损或信息受到严重破坏；一般破坏指造成信息系统性能下降或信息受到一般破坏。

1、Ⅰ级（特别重大）：发生以下任一种网络与信息安全事件，且不能在短时间内恢复。

（1）特别重要信息系统受到特别严重破坏；

（2）启动省灾害或事故应急预案Ⅰ级或Ⅱ级响应时期，应急管理相关特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏；

（3）应急管理局同时发生特别重要信息系统受到严重破坏或重要信息系统受到特别严重破坏；

（4）其他对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害的网络与信息安全事件。

2、Ⅱ级（重大）：发生以下任一种网络与信息安全事件，且不能在短时间内恢复。

（1）特别重要信息系统受到严重破坏；

（2）重要信息系统受到特别严重破坏；

（3）启动省灾害、事故应急预案Ⅰ级、Ⅱ级或Ⅲ级响应时期，应急管理相关特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏；

（4）应急管理局中同时发生特别重要信息系统受到一般破坏、重要信息系统受到严重破坏或一般信息系统受到特别严重破坏；

（5）其他对社会秩序和公共利益造成严重损害，或者对国家安全造成损害的网络与信息安全事件。

3、Ⅲ级（较大）：发生以下任一种网络与信息安全事件，且不能在短时间内恢复。

（1）较大突发公共事件引发的，有可能造成应急管理局某个下属部门所属网络通信故障的情况。

（2）通信网络故障可能升级为造成应急局某个下属部门所属网络通信故障的情况。

（3）其他对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全的网络与信息安全事件。

4、Ⅳ级（一般）：发生以下任一种网络与信息安全事件，且不能在短时间内恢复。

（1）一般突发公共事件引发的，有可能造成应急管理局局域网内某个交换点所属局部网络通信故障（不影响正常一般通信）的情况。

（2）其他对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益的网络与信息安全事件。

其他网络与信息安全事件根据“谁主管谁负责”的原则，由信息系统的主管部门负责处理。

4预警机制

4.1预警系统

各级各部门要做好灾前预防技术体系的建设，加强预警信息的监测收集工作。网络与信息安全协调机构应加强与市应急局、县委县政府、县委网信办以及地方有关部门的信息沟通。

4.2预警信息

预警信息来源于预警系统监测到的和上级机构或其他职能部门通报的网络与信息安全事件信息。各股室要针对各种可能发生的信息系统突发事件，完善预测预警机制，开展风险分析，并根据确定的风险等级编制预警信息做到早发现、早报告、早处置。

4.3预警发布

一般预警信息由事发区域网络与信息安全协调机构发布并及时上报局网络安全与信息化领导小组，由局网络安全与信息化领导小组统一发布、调整和解除。

预警信息的发布、调整和解除，应以电话、电子邮件、传真等方式通知到所有相关部门以及相关人员，接到通知的部门和人员需要对预警信息进行确认。

5应急处置

5.1响应分级

应急响应级别分为四级：Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级，分别对应Ⅰ级、Ⅱ级、Ⅲ级和Ⅳ级网络与信息安全事件。

5.2先期处置

5.2.1信息报送

发生网络与信息安全事件，事发部门进行初步判断，对于Ⅳ级网络与信息安全事件，事发部门必须在2小时内向局网络安全与信息化领导小组口头报告；接到Ⅲ级网络与信息安全事件报告后1小时内，应向局网络安全与信息化领导小组书面报告；Ⅱ级或Ⅰ级网络与信息安全事件应立即向局网络安全与信息化领导小组报告，经局网络安全与信息化领导小组同意后，报省网络安全和信息化领导小组办公室。

局网络安全与信息化领导小组接到Ⅱ级及Ⅰ级的网络与信息安全事件报告后，根据事件分析判定事件级别。

5.2.2即时处置

网络与信息安全事件发生后，事发部门必须在第一时间实施即时处置，控制事态发展。在开展即时处置的同时，及时汇总信息并迅速报告局网络安全与信息化领导小组。

5.2.3事件研判

紧急情况或故障发生时，各维护监控相关部门和人员发现问题后，应先详细记录该事件的信息，了解事件可能造成的损失、影响以及现场控制情况。在汇总相关信息的基础上，及时判断事件性质，分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况，判定事件级别。

5.3应急响应

对于判定为Ⅱ级及Ⅰ级的网络与信息安全事件，局信息化领导小组确定应急响应级别，并与相关业务部门成立应急局网络与信息安全应急处置指挥部，启动相应应急响应预案。对于判定为Ⅳ级和Ⅲ级的网络与信息安全事件，事发单位（部门）网络安全与信息化领导小组确定应急响应级别，启动相应应急响应预案，并向局网络安全与信息化领导小组报告有关情况。

对于判定为Ⅱ级网络与信息安全事件，如果事件影响范围仅限于个别区域（局直单位或市州）则由各级各部门确定应急响应级别，启动相应应急响应预案，并向局网络安全与信息化领导小组报告有关情况；如果事件影响范围超过一个区域应由局网络安全与信息化领导小组确定应急响应级别，并根据需要成立应急局网络与信息安全应急处置指挥部，启动相应应急响应预案。

当确定网络与信息安全事件等级、启动相应应急响应预案后，在技术上采取应急恢复措施的同时，各级各部门应针对受影响或故障信息系统所承担的业务应用采取相应的业务补救措施，尽可能减少损失。

5.3.1Ⅰ级响应

对于Ⅰ级事件，由局网络安全与信息化领导小组及相关业务部门组成应急局网络与信息安全应急处置指挥部，指挥部宣布启动Ⅰ级应急响应，并组织、指挥应急处置工作，根据信息系统应急处置预案，组织信息系统运行管理部门及其他有关部门进行技术处理，同时组织业务部门采取业务补救措施，必要时协调上级有关部门或单位参加应急处置。

对于造成社会影响的网络与信息安全事件，统一由局网络安全与信息化领导小组联络新闻媒体，对外通报系统故障情况、抢修情况、预期恢复时间等信息，降低事件所造成的社会影响。

5.3.2Ⅱ级响应

如果事件影响范围仅限于个别地区，由事发部门网络与信息安全协调部门宣布启动Ⅱ级应急响应，并组织、指挥应急处置工作，组织信息系统运行管理部门及其他有关部门进行技术处理，同时组织业务部门采取业务补救措施，必要时协调上级有关单位或部门参加应急处置。

如果事件影响范围超过一个地区，则由局网络安全与信息化领导小组和相关业务部门组成应急局网络与信息安全应急处置指挥部，由指挥部宣布启动Ⅱ级应急响应，并组织、指挥应急处置工作。根据信息系统应急处置预案，组织信息系统运行管理部门及其他有关部门进行技术处理，同时组织业务部门采取业务补救措施，必要时协调上级有关单位或部门参加应急处置。

对于造成社会影响的网络与信息安全事件，由事发单位有关部门根据规定对外通报系统故障情况、抢修情况和预期恢复时间等信息，降低事件造成的社会影响。

如事件没有得到及时解决，影响范围超出Ⅱ级事件的范围，由局网络安全与信息化领导小组确认，升级为Ⅰ级事件，按照Ⅰ级响应进行处置。

5.3.3Ⅲ级响应

事发部门网络与信息安全协调机构宣布启动Ⅲ级应急响应，并具体组织、指挥应急处置工作，根据该信息系统应急处置预案，组织信息系统运行管理部门进行技术处理，同时组织相应业务部门采取业务补救措施，随时关注事件处理进程，必要时协调上级有关单位或部门参加应急处置。

如事件没有得到及时解决，影响范围超出Ⅲ级事件的范围，事发单位或部门应向局网络安全与信息化领导小组建议升级为Ⅱ级事件，由局网络安全与信息化领导小组确认，并按照Ⅱ级响应进行处置。

5.3.4Ⅳ级响应

事发部门网络与信息安全协调机构宣布启动Ⅳ级响应，具体组织、指挥应急处置工作，根据该信息系统应急处置预案，组织信息系统运行管理部门进行技术处理，同时组织相应业务部门采取业务补救措施，随时关注事件处理进程，必要时协调有关单位和部门参加应急处置。

如事件没有得到及时解决，影响范围超出Ⅳ级事件的范围，立即升级为Ⅲ级事件，并按照Ⅲ级响应进行处置。

5.4应急结束

对于Ⅰ级网络与信息安全事件，在应急处置工作结束或相关危险因素消除，局网络安全与信息化领导小组确认后，终止应急响应，转入常态管理。

对于Ⅱ级网络与信息安全事件，在应急处置工作结束或相关危险因素消除后，由应急处置指挥机构决定终止应急响应，转入常态管理，并向局网络安全与信息化领导小组报告。

对于Ⅲ级和Ⅳ级网络与信息安全事件，在应急处置工作结束或相关危险因素消除后，由事发部门网络与信息安全机构宣布应急结束，转入常态管理，并向局网络安全与信息化领导小组报告。

6后期处置

6.1调查与评估

网络与信息安全事件处置结束后，有关部门应对事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。

（1）责任确定。应急处置工作结束后，应对事件进行调查，分析产生原因，确定责任人。如涉及违法犯罪行为，由司法机关追究当事人责任。其它事件由事发部门网络与信息安全协调机构负责调查。

（2）事件备案与归档。应急处置工作结束后，由事件处置指挥机构将事件处置的过程和结果报局网络安全与信息化领导小组备案。

6.2恢复重建

按照“谁主管谁负责，谁运行谁负责”的原则，事发部门和相关职能部门制订重建和恢复计划，迅速采取各种有效措施，恢复网络与信息系统的正常运行。并对在故障发生前半小时内所进行过的业务操作进行检查，认真核对业务数据是否正确或有无丢失，不正确或有丢失的应马上更正或补录，确保数据的正确和完整。

相关单位和部门必须总结和分析故障发生原因，排除隐患，提出改进措施，避免再次发生同样故障，事件相关原因总结由事发部门网络与信息安全协调机构审批后报送有关部门和局网络安全与信息化领导小组。

6.3报告与发布

各股室要加强对信息系统运行的日常监控，发现异常情况、发生突发事件或可能发生突发事件的信息，必须立即按规定程序报告。

各股室业务信息系统对采取信息系统应急措施后出现的各种问题，要及时向局网络安全与信息化领导小组报告，由应急局负责研究解决，并统一进行解释和发出指令。

7保障措施

7.1应急队伍保障

建立符合要求的网络与信息安全保障技术支撑队伍，对网络接入单位的网络与信息安全保障工作人员提供技术支持和培训服务。

7.2经费保障

应确保网络与信息安全事件应急管理工作所需的经费，包括日常运作、应急处置、安全演练等方面的经费，其预算应纳入部门财政预算。同时，应将信息系统设备老化及更新换代和日常维护所需要的经费，纳入本单位本部门系统运行维护年度预算中，降低系统设备超期使用所造成的安全风险。

7.3物资保障

根据工作需要，配备必要的网络和信息系统的备机、备品、备件以及其他所需的物资，特别是一些关键设备和易损设备。加强对应急资源及装备的管理、维护和保养，以备随时调用。

7.4资料保障

　局网络安全与信息化领导小组须备有必要的网络拓扑图、网络设备、服务器、数据库、应用系统等资料，备有各信息系统应急响应预案、调度预案、异常情况处理流程图、物资储备清单和相关单位、部门及主管领导联系方式等。重要信息系统均建立备份系统，保证重要数据在受到破坏后可紧急恢复。

7.5技术保障

应加大网络与信息安全事件预警、预防和应急处置的技术研究，跟踪、掌握网络和信息安全领域的技术方向和应用发展动态，加强网络和信息安全管理人员的业务培训，提高应急处置的技术水平。针对网络硬件设备芯片加密算法，强化“国产密码”的应用保护技术。

7.6联络制度

应明确网络与信息安全事件应急处理的一般和紧急两级联系人，其中一般联系人主要是进行日常的信息沟通，紧急联系人主要是在发生Ⅲ级及以上网络与信息安全事件情况下的直接沟通，联系信息应包括电话、传真和电子邮件等。联系人及联系方式发生变化时要及时向有关部门报告。建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息。局网络安全与信息化领导小组应在重要部位醒目位置公布报警电话，局网络安全与信息化领导小组全体人员保证全天24小时通讯畅通。

8监督管理

8.1宣传、培训和演练

各股室应采用多种形式，宣传相关法律法规和信息安全基础知识，提高网络与信息安全应急防范意识。

加强对工作人员、管理人员、领导干部的应急管理、应急处置及组织指挥等培训，并对应急管理和处置人员进行相应的技能培训。

局网络安全与信息化领导小组组织相关业务部门定期开展演练，模拟处置影响较大的网络与信息安全事件，检验预案的可执行性。各级各部门应定期组织演练，模拟处置区域与信息安全应急事件。

8.2奖励与惩罚

网络与信息安全应急处置事件实行行政领导负责制和责任追究制。

对在应急处置工作中做出突出贡献的集体和个人，给予表彰和奖励。对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或在应急处置工作中有其他失职、渎职行为的，依法对有关责任人给予行政处分；构成犯罪的，依法追究刑事责任。

9附则

9.1预案管理与更新

本预案由局网络安全与信息化领导小组负责管理，并结合信息网络快速发展和经济社会发展状况，以及相关法律法规对本预案每年评审一次，提出修订意见，根据实际情况，适时修订更新本预案。

9.2细则制定

应急管理局网络安全与信息化领导小组有关成员单位（部门）应根据本预案制定本区域内应急预案实施细则，其他应急管理业务信息系统管辖部门分别制定和修订与其相关各环节的专项信息系统应急预案，并上报局网络安全与信息化领导小组备案。

9.3制订、审核和解释

本预案由应急管理局网络安全与信息化领导小组办公室负责解释。

9.4预案生效

本预案由应急管理局批准自发布之日起生效。