大余縣應急管理局網絡安全事件應急預案

1總則

1.1編制目的

為建立健全應急局系統網絡與信息安全事件應急保障和恢復工作機制，提高應對突發網絡與信息安全事件的組織指揮和應急處置能力，保證應急指揮調度工作迅速、高效、有序進行，保障大余縣應急管理信息系統安全運行，保障信息的合法性、完整性、準確性，保障網絡、計算機、相關配套設備設施及系統運行環境的安全，為大余縣應急管理提供現代化服務保障，制定本預案。

1.2編制依據

根據《中華人民共和國計算機信息系統安全保護條例》、《互聯網信息服務管理辦法》、《計算機病毒防治管理辦法》等相關法規、規定、文件精神，制定本預案。

1.3適用范圍

本預案適用于大余縣應急管理局系統局域網及專網非涉密信息系統突發網絡安全事件的應急處理和恢復工作。

1.4工作原則

（1）預防為主。建立、健全計算機網絡與信息安全科學管理制度，有效預防網絡與信息安全事故的發生。

（2）分級負責。按照“誰主管誰負責，誰運營誰負責”的原則，建立和完善安全責任制。各級各部門應積極支持和協助應急處置工作。

（3）果斷處置。一旦發生網絡與信息安全事故，應果斷決策，迅速處置，及時啟動應急處置預案，盡最大力量減少損失，盡快恢復網絡與系統運行。

（4）以人為本。把保障人員以及公共利益的安全作為首要任務。

（5）常備不懈。加強技術儲備，規范應急處置措施與操作流程，定期進行預案演練，確保應急預案切實有效，實現應急管理網絡與信息安全突發公共事件應急處置的科學化、程序化與規范化。

2組織體系和工作職責

在局網絡安全與信息化領導小組領導下，成立：應急組織組、應急指揮組、應急實施組。

（1）應急組織部。由局網信辦牽頭，負責應急管理體系、管理辦法和預案的評審和確定；負責應急預案啟動和終止命令的下達和授權；負責應急實施過程中的決策和授權；負責對故障處置或演練后預案變更的最終評審和確認。

（2）應急指揮部。由局辦公室牽頭，根據應急領導組的授權，負責現場指揮，協調各應急小組工作；負責應急處置情況、故障升級等相關信息的確認；負責向應急領導組匯報應急處置的進展情況；負責在應急過程中，策略的調整和應急指揮；負責組織并協調應急現場的各種資源（含第三方）。

（3）應急實施組。由局網信辦牽頭負責故障的分析，為現場應急指揮組提供應急預案實施的參考建議；負責按照現場應急指揮組的指令，嚴格執行相應的應急處置方案；負責將現場故障處理情況向應急指揮組及時匯報和更新；在實施應急措施過程中，協調其他專業組為應急提供技術支持；故障解決后總結、歸納應急工作的經驗和教訓，完善相關應急預案；負責制定、修改、優化應急預案中應急場景的具體處置方案；負責組織應急預案的檢查和評審工作。

3分類分級

3.1事件分類

網絡與信息安全事件根據其產生原因、表現形式，可劃分為以下六類：

（1）有害程序事件。指計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件。

（2）人為攻擊事件。指通過網絡或其他技術手段，對信息系統實施攻擊，如拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。

（3）信息破壞事件。指利用網絡進行信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

（4）信息內容安全事件。指通過網絡傳播法律法規禁止信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益的事件。

（5）設備設施故障事件。指軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。

（6）災害性事件。指由自然災害等其他突發事件導致的網絡與信息安全事件。

3.2事件分級

網絡與信息安全事件根據其影響程度、嚴重程度、影響范圍和可控性，將應急管理網絡與信息安全事件分為四級：由高到低劃分為特別重大（Ⅰ級）、重大（Ⅱ級）、較大（Ⅲ級）、一般（Ⅳ級）四個級別。

影響程度主要考慮網絡與信息安全事件所影響的信息系統的重要程度。本預案中信息系統的重要程度是依據信息系統的安全保護定級等級來確定，安全保護等級定級為四級以上（含四級）的為特別重要信息系統，三級的為重要信息系統，二級的為一般信息系統。安全保護等級定級為一級的信息系統，不需要啟動應急預案，由相關業務部門和運行維護部門根據維護流程處置。

嚴重程度主要考慮事件對信息系統的破壞程度，以及利用信息網絡發布、傳播的信息內容對國家安全、社會穩定和公共利益的危害程度。對信息系統的破壞程度分為特別嚴重破壞、嚴重破壞和一般破壞。特別嚴重破壞指造成信息系統癱瘓或信息受到特別嚴重破壞；嚴重破壞指造成信息系統主要功能受損或信息受到嚴重破壞；一般破壞指造成信息系統性能下降或信息受到一般破壞。

1、Ⅰ級（特別重大）：發生以下任一種網絡與信息安全事件，且不能在短時間內恢復。

（1）特別重要信息系統受到特別嚴重破壞；

（2）啟動省災害或事故應急預案Ⅰ級或Ⅱ級響應時期，應急管理相關特別重要信息系統受到嚴重破壞或重要信息系統受到特別嚴重破壞；

（3）應急管理局同時發生特別重要信息系統受到嚴重破壞或重要信息系統受到特別嚴重破壞；

（4）其他對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害的網絡與信息安全事件。

2、Ⅱ級（重大）：發生以下任一種網絡與信息安全事件，且不能在短時間內恢復。

（1）特別重要信息系統受到嚴重破壞；

（2）重要信息系統受到特別嚴重破壞；

（3）啟動省災害、事故應急預案Ⅰ級、Ⅱ級或Ⅲ級響應時期，應急管理相關特別重要信息系統受到一般破壞、重要信息系統受到嚴重破壞或一般信息系統受到特別嚴重破壞；

（4）應急管理局中同時發生特別重要信息系統受到一般破壞、重要信息系統受到嚴重破壞或一般信息系統受到特別嚴重破壞；

（5）其他對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害的網絡與信息安全事件。

3、Ⅲ級（較大）：發生以下任一種網絡與信息安全事件，且不能在短時間內恢復。

（1）較大突發公共事件引發的，有可能造成應急管理局某個下屬部門所屬網絡通信故障的情況。

（2）通信網絡故障可能升級為造成應急局某個下屬部門所屬網絡通信故障的情況。

（3）其他對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全的網絡與信息安全事件。

4、Ⅳ級（一般）：發生以下任一種網絡與信息安全事件，且不能在短時間內恢復。

（1）一般突發公共事件引發的，有可能造成應急管理局局域網內某個交換點所屬局部網絡通信故障（不影響正常一般通信）的情況。

（2）其他對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益的網絡與信息安全事件。

其他網絡與信息安全事件根據“誰主管誰負責”的原則，由信息系統的主管部門負責處理。

4預警機制

4.1預警系統

各級各部門要做好災前預防技術體系的建設，加強預警信息的監測收集工作。網絡與信息安全協調機構應加強與市應急局、縣委縣政府、縣委網信辦以及地方有關部門的信息溝通。

4.2預警信息

預警信息來源于預警系統監測到的和上級機構或其他職能部門通報的網絡與信息安全事件信息。各股室要針對各種可能發生的信息系統突發事件，完善預測預警機制，開展風險分析，并根據確定的風險等級編制預警信息做到早發現、早報告、早處置。

4.3預警發布

一般預警信息由事發區域網絡與信息安全協調機構發布并及時上報局網絡安全與信息化領導小組，由局網絡安全與信息化領導小組統一發布、調整和解除。

預警信息的發布、調整和解除，應以電話、電子郵件、傳真等方式通知到所有相關部門以及相關人員，接到通知的部門和人員需要對預警信息進行確認。

5應急處置

5.1響應分級

應急響應級別分為四級：Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級，分別對應Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級網絡與信息安全事件。

5.2先期處置

5.2.1信息報送

發生網絡與信息安全事件，事發部門進行初步判斷，對于Ⅳ級網絡與信息安全事件，事發部門必須在2小時內向局網絡安全與信息化領導小組口頭報告；接到Ⅲ級網絡與信息安全事件報告后1小時內，應向局網絡安全與信息化領導小組書面報告；Ⅱ級或Ⅰ級網絡與信息安全事件應立即向局網絡安全與信息化領導小組報告，經局網絡安全與信息化領導小組同意后，報省網絡安全和信息化領導小組辦公室。

局網絡安全與信息化領導小組接到Ⅱ級及Ⅰ級的網絡與信息安全事件報告后，根據事件分析判定事件級別。

5.2.2即時處置

網絡與信息安全事件發生后，事發部門必須在第一時間實施即時處置，控制事態發展。在開展即時處置的同時，及時匯總信息并迅速報告局網絡安全與信息化領導小組。

5.2.3事件研判

緊急情況或故障發生時，各維護監控相關部門和人員發現問題后，應先詳細記錄該事件的信息，了解事件可能造成的損失、影響以及現場控制情況。在匯總相關信息的基礎上，及時判斷事件性質，分析事件已經造成的損失和預計損失、事件的嚴重程度和擴散性等情況，判定事件級別。

5.3應急響應

對于判定為Ⅱ級及Ⅰ級的網絡與信息安全事件，局信息化領導小組確定應急響應級別，并與相關業務部門成立應急局網絡與信息安全應急處置指揮部，啟動相應應急響應預案。對于判定為Ⅳ級和Ⅲ級的網絡與信息安全事件，事發單位（部門）網絡安全與信息化領導小組確定應急響應級別，啟動相應應急響應預案，并向局網絡安全與信息化領導小組報告有關情況。

對于判定為Ⅱ級網絡與信息安全事件，如果事件影響范圍僅限于個別區域（局直單位或市州）則由各級各部門確定應急響應級別，啟動相應應急響應預案，并向局網絡安全與信息化領導小組報告有關情況；如果事件影響范圍超過一個區域應由局網絡安全與信息化領導小組確定應急響應級別，并根據需要成立應急局網絡與信息安全應急處置指揮部，啟動相應應急響應預案。

當確定網絡與信息安全事件等級、啟動相應應急響應預案后，在技術上采取應急恢復措施的同時，各級各部門應針對受影響或故障信息系統所承擔的業務應用采取相應的業務補救措施，盡可能減少損失。

5.3.1Ⅰ級響應

對于Ⅰ級事件，由局網絡安全與信息化領導小組及相關業務部門組成應急局網絡與信息安全應急處置指揮部，指揮部宣布啟動Ⅰ級應急響應，并組織、指揮應急處置工作，根據信息系統應急處置預案，組織信息系統運行管理部門及其他有關部門進行技術處理，同時組織業務部門采取業務補救措施，必要時協調上級有關部門或單位參加應急處置。

對于造成社會影響的網絡與信息安全事件，統一由局網絡安全與信息化領導小組聯絡新聞媒體，對外通報系統故障情況、搶修情況、預期恢復時間等信息，降低事件所造成的社會影響。

5.3.2Ⅱ級響應

如果事件影響范圍僅限于個別地區，由事發部門網絡與信息安全協調部門宣布啟動Ⅱ級應急響應，并組織、指揮應急處置工作，組織信息系統運行管理部門及其他有關部門進行技術處理，同時組織業務部門采取業務補救措施，必要時協調上級有關單位或部門參加應急處置。

如果事件影響范圍超過一個地區，則由局網絡安全與信息化領導小組和相關業務部門組成應急局網絡與信息安全應急處置指揮部，由指揮部宣布啟動Ⅱ級應急響應，并組織、指揮應急處置工作。根據信息系統應急處置預案，組織信息系統運行管理部門及其他有關部門進行技術處理，同時組織業務部門采取業務補救措施，必要時協調上級有關單位或部門參加應急處置。

對于造成社會影響的網絡與信息安全事件，由事發單位有關部門根據規定對外通報系統故障情況、搶修情況和預期恢復時間等信息，降低事件造成的社會影響。

如事件沒有得到及時解決，影響范圍超出Ⅱ級事件的范圍，由局網絡安全與信息化領導小組確認，升級為Ⅰ級事件，按照Ⅰ級響應進行處置。

5.3.3Ⅲ級響應

事發部門網絡與信息安全協調機構宣布啟動Ⅲ級應急響應，并具體組織、指揮應急處置工作，根據該信息系統應急處置預案，組織信息系統運行管理部門進行技術處理，同時組織相應業務部門采取業務補救措施，隨時關注事件處理進程，必要時協調上級有關單位或部門參加應急處置。

如事件沒有得到及時解決，影響范圍超出Ⅲ級事件的范圍，事發單位或部門應向局網絡安全與信息化領導小組建議升級為Ⅱ級事件，由局網絡安全與信息化領導小組確認，并按照Ⅱ級響應進行處置。

5.3.4Ⅳ級響應

事發部門網絡與信息安全協調機構宣布啟動Ⅳ級響應，具體組織、指揮應急處置工作，根據該信息系統應急處置預案，組織信息系統運行管理部門進行技術處理，同時組織相應業務部門采取業務補救措施，隨時關注事件處理進程，必要時協調有關單位和部門參加應急處置。

如事件沒有得到及時解決，影響范圍超出Ⅳ級事件的范圍，立即升級為Ⅲ級事件，并按照Ⅲ級響應進行處置。

5.4應急結束

對于Ⅰ級網絡與信息安全事件，在應急處置工作結束或相關危險因素消除，局網絡安全與信息化領導小組確認后，終止應急響應，轉入常態管理。

對于Ⅱ級網絡與信息安全事件，在應急處置工作結束或相關危險因素消除后，由應急處置指揮機構決定終止應急響應，轉入常態管理，并向局網絡安全與信息化領導小組報告。

對于Ⅲ級和Ⅳ級網絡與信息安全事件，在應急處置工作結束或相關危險因素消除后，由事發部門網絡與信息安全機構宣布應急結束，轉入常態管理，并向局網絡安全與信息化領導小組報告。

6后期處置

6.1調查與評估

網絡與信息安全事件處置結束后，有關部門應對事件的起因、性質、影響、責任、經驗教訓和恢復重建等問題進行調查和評估。

（1）責任確定。應急處置工作結束后，應對事件進行調查，分析產生原因，確定責任人。如涉及違法犯罪行為，由司法機關追究當事人責任。其它事件由事發部門網絡與信息安全協調機構負責調查。

（2）事件備案與歸檔。應急處置工作結束后，由事件處置指揮機構將事件處置的過程和結果報局網絡安全與信息化領導小組備案。

6.2恢復重建

按照“誰主管誰負責，誰運行誰負責”的原則，事發部門和相關職能部門制訂重建和恢復計劃，迅速采取各種有效措施，恢復網絡與信息系統的正常運行。并對在故障發生前半小時內所進行過的業務操作進行檢查，認真核對業務數據是否正確或有無丟失，不正確或有丟失的應馬上更正或補錄，確保數據的正確和完整。

相關單位和部門必須總結和分析故障發生原因，排除隱患，提出改進措施，避免再次發生同樣故障，事件相關原因總結由事發部門網絡與信息安全協調機構審批后報送有關部門和局網絡安全與信息化領導小組。

6.3報告與發布

各股室要加強對信息系統運行的日常監控，發現異常情況、發生突發事件或可能發生突發事件的信息，必須立即按規定程序報告。

各股室業務信息系統對采取信息系統應急措施后出現的各種問題，要及時向局網絡安全與信息化領導小組報告，由應急局負責研究解決，并統一進行解釋和發出指令。

7保障措施

7.1應急隊伍保障

建立符合要求的網絡與信息安全保障技術支撐隊伍，對網絡接入單位的網絡與信息安全保障工作人員提供技術支持和培訓服務。

7.2經費保障

應確保網絡與信息安全事件應急管理工作所需的經費，包括日常運作、應急處置、安全演練等方面的經費，其預算應納入部門財政預算。同時，應將信息系統設備老化及更新換代和日常維護所需要的經費，納入本單位本部門系統運行維護年度預算中，降低系統設備超期使用所造成的安全風險。

7.3物資保障

根據工作需要，配備必要的網絡和信息系統的備機、備品、備件以及其他所需的物資，特別是一些關鍵設備和易損設備。加強對應急資源及裝備的管理、維護和保養，以備隨時調用。

7.4資料保障

　局網絡安全與信息化領導小組須備有必要的網絡拓撲圖、網絡設備、服務器、數據庫、應用系統等資料，備有各信息系統應急響應預案、調度預案、異常情況處理流程圖、物資儲備清單和相關單位、部門及主管領導聯系方式等。重要信息系統均建立備份系統，保證重要數據在受到破壞后可緊急恢復。

7.5技術保障

應加大網絡與信息安全事件預警、預防和應急處置的技術研究，跟蹤、掌握網絡和信息安全領域的技術方向和應用發展動態，加強網絡和信息安全管理人員的業務培訓，提高應急處置的技術水平。針對網絡硬件設備芯片加密算法，強化“國產密碼”的應用保護技術。

7.6聯絡制度

應明確網絡與信息安全事件應急處理的一般和緊急兩級聯系人，其中一般聯系人主要是進行日常的信息溝通，緊急聯系人主要是在發生Ⅲ級及以上網絡與信息安全事件情況下的直接溝通，聯系信息應包括電話、傳真和電子郵件等。聯系人及聯系方式發生變化時要及時向有關部門報告。建立突發信息網絡事件應急處置工作小組內部及其他相關部門的應急聯絡信息。局網絡安全與信息化領導小組應在重要部位醒目位置公布報警電話，局網絡安全與信息化領導小組全體人員保證全天24小時通訊暢通。

8監督管理

8.1宣傳、培訓和演練

各股室應采用多種形式，宣傳相關法律法規和信息安全基礎知識，提高網絡與信息安全應急防范意識。

加強對工作人員、管理人員、領導干部的應急管理、應急處置及組織指揮等培訓，并對應急管理和處置人員進行相應的技能培訓。

局網絡安全與信息化領導小組組織相關業務部門定期開展演練，模擬處置影響較大的網絡與信息安全事件，檢驗預案的可執行性。各級各部門應定期組織演練，模擬處置區域與信息安全應急事件。

8.2獎勵與懲罰

網絡與信息安全應急處置事件實行行政領導負責制和責任追究制。

對在應急處置工作中做出突出貢獻的集體和個人，給予表彰和獎勵。對于遲報、謊報、瞞報、漏報網絡與信息安全事件重要情況或在應急處置工作中有其他失職、瀆職行為的，依法對有關責任人給予行政處分；構成犯罪的，依法追究刑事責任。

9附則

9.1預案管理與更新

本預案由局網絡安全與信息化領導小組負責管理，并結合信息網絡快速發展和經濟社會發展狀況，以及相關法律法規對本預案每年評審一次，提出修訂意見，根據實際情況，適時修訂更新本預案。

9.2細則制定

應急管理局網絡安全與信息化領導小組有關成員單位（部門）應根據本預案制定本區域內應急預案實施細則，其他應急管理業務信息系統管轄部門分別制定和修訂與其相關各環節的專項信息系統應急預案，并上報局網絡安全與信息化領導小組備案。

9.3制訂、審核和解釋

本預案由應急管理局網絡安全與信息化領導小組辦公室負責解釋。

9.4預案生效

本預案由應急管理局批準自發布之日起生效。