2024年网络安全事件应急预案.docx

2024年网络安全事件应急预案一、总则（一）编制目的建立健全区网络安全事件应急工作机制，提高应对网络 安全事件能力，预防和减少网络安全事件造成的损失和危害, 保护公众利益，维护国家安全、公共安全和社会秩序。（二）编制依据中华人民共和国突发事件应对法中华人民共和国 网络安全法国家突发公共事件总体应急预案突发事 件应急预案管理办法信息安全技术信息安全事件分类分 级指南（GB/Z 20986-2007）国家网络安全事件应急预 案和市网络安全事件应急预案等相关规定。（三）适用范围本预案所指网络安全事件是指由于人为原因、软硬件缺 陷或故障、自然灾害等，对网络和信息系统或者其中的数据 造成危害，对社会造成负面影响的事件，可分为有害程序事 件、网络攻击事件、信息破坏事件、信息内容安全事件、设 备设施故障、灾害性事件和其他事件。本预案适用于网络安全事件的应对工作。（四）事件分级网络安全事件分为四级：特别重大网络安全事件、重大 网络安全事件、较大网络安全事件、一般网络安全事件。.符合下列情形之一的，为特别重大网络安全事件：(I)重要网络和信息系统遭受特别严重的系统损失， 造成系统大面积瘫痪，丧失业务处理能力。(2)国家秘密信息、重要敏感信息和关键数据丢失或 被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重 威胁。(3)其他对国家安全、社会秩序、经济建设和公众利 益构成特别严重威胁、造成特别严重影响的网络安全事件。2 .符合下列情形之一且未达到特别重大网络安全事件 的，为重大网络安全事件：(1)重要网络和信息系统遭受严重的系统损失，造成 系统长时间中断或局部瘫痪，业务处理能力受到极大影响。(2)国家秘密信息、重要敏感信息和关键数据丢失或 被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。(3)其他对国家安全、社会秩序、经济建设和公众利 益构成严重威胁、造成严重影响的网络安全事件。3 .符合下列情形之一且未达到重大网络安全事件的，为 较大网络安全事件：(1)重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。（2）国家秘密信息、重要敏感信息和关键数据丢失或 被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威 胁。（3）其他对国家安全、社会秩序、经济建设和公众利 益构成较严重威胁、造成较严重影响的网络安全事件。4 .除上述情形外，对国家安全、社会秩序、经济建设和 公众利益构成一定威胁、造成一定影响的网络安全事件，为 一般网络安全事件。（五）工作原则坚持统一领导、分级负责；坚持统一指挥、密切协同、 快速反应、科学处置.；坚持预防为主，预防与应急相结合; 坚持谁主管谁负责、谁运行谁负费，充分发挥各方面力量共 同做好网络安全事件的预防和处置工作。二、组织机构与职责（一）领导机构与职责在中共市区委网络安全和信息化委员会（以下简称“区 委网信委”）的领导下，由中共市区委网络安全和信息化委 员会办公室（以下简称“区委网信办”）统筹协调组织全城 区网络安全事件应对工作，建立健全跨部门联动处置机制， 城区经信局、发改局（大数据发展局）、公安分局等相关部 门按照职责分工负责网络安全事件应对工作。必要时成立城 区网络安全事件应急指挥部（以下简称“区网络应急指挥 部”），负责网络安全事件处置的组织指挥和协调。（二）办事机构与职责成立区网络安全应急办公室（以下简称“区网络应急 办”），设在区委网信办，具体工作由区委网信办承担。区 网络应急办负责全城区网络安全应急跨部门、跨镇（街道） 协调工作和指挥部的事务性工作；组织指导区网络安全应急 技术支撑队伍做好应急处置的技术支撑工作；及时报备市委 网信办（市网络应急办）指导应急工作，争取市级网络应急 技术支持:；督促、指导涉事镇（街道）、单位做好应急情况 下网上热点敏感问题的处置和舆论引导工作；负责对接国家 计算机网络应急技术处理协调中心（CERT）、自治区网络应 急办和市网络应急办等，共享网络安全隐患信息；根据事态 发展适时向公众发布网络安全事件信息。有关部门的分管领 导作为联络员，联络网络应急办工作。（三）各部门职责城区经信局负责指导监督重点行业的重要信息系统与 基础信息网络的安全保障工作；协调建立无线和有线相结合、 基础电信网络与机动通信系统相配套的应急通信系统，确保 应急处置时通信畅通。公安分局负责指导全城区重点企业事 业单位和重要场所计算机网络的安全管理；负责信息网络违 法犯耶案件的查处工作。城区发改局（大数据发展局）负责 全城区电子政务非涉密网络信息安全管理，指导政府部门、 重,点:行业的重要信息资源安全保障工作；统筹区网络安全应 急技术支撑队伍建设管理工作；配合市大数据发展局在政务 云运行的其他网络系统安全的监测及管理。城区其他部门按 照职责和权限，负责本部门、本行业网络和信息系统网络安 全事件的预防、监测、报告和应急处置工作。（四）各镇（街道）职责各镇（街道）在区委网信委统一领导下，统筹协调组织 本镇（街道）网络和信息系统网络安全事件的预防、监测、 报告和应急处置工作。三、监测与预警（一）预警分级网络安全事件预警等级分为四级，由高到低依次用红色、 橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、 重大、较大和一般网络安全事件。（-）预警监测各单位按照“谁主管谁负责、谁运行谁负责”的要求， 组织对本单位建设运行的网络和信息系统开展网络安全监 测工作。重点行业主管或监管部门组织指导做好本行业网络 安全监测工作。区委网信办结合本地区实际，统筹组织开展 对本城区网络和信息系统的安全监测工作。各镇（街道）、 各单位将重要监测信息报区网络应急办，由区网络应急办组 织开展跨部门、跨镇（街道）的网络安全信息共享。（）预警研判和发布各镇（街道）、各单位组织对监测信息进行研判，认为 需要立即采取防范措施的，应当及时通知有关部门和单位, 对可能发生一般及以上网络安全事件的信息及时向区网络 应急办报告。区网络应急办可根据监测研判情况，发布本城 区的蓝色预警。区网络应急办对可能发生较大及以上网络安全事件的 信息及时向市网络应急办报告。市网络应急办组织研判，确 定和发布黄色预警和涉及区的预警。橙色预警和涉及区内其他城市、部门的预警由自治区网 络应急办确定和发布。红色预警和涉及区外的预警由国家网 络应急办确定和发布。预警信息包括事件的类别、预警级别、起始时间、可能 影响范围、警示事项、应采取的措施和时限要求、发布机关 等。（四）预警响应1 .红色预警响应（1）根据市网络安全应急办的指示和要求，区网络应 急办组织预警响应工作，联系专家和有关机构，组织对事态 发展情况进行跟踪研判，研究制定防范措施和应急工作方案, 协调组织资源调度和部门联动的各项准备工作。(2)区网络应急办实行24小时值班，相关人员保持通 信联络畅通。加强网络安全事件监测和事态发展信息搜集工 作，组织指导应急支撑队伍、相关运行单位开展应急处置或 准备、风险评估和控制工作，重要情况报市网络应急办。(3)区网络安全应急技术支撑队伍进入待命状态，在 自治区和市网络安全应急技术支撑队伍的指导卜.做好相关 准备工作，检查应急车辆、设备、软件工具等，确保处于良 好状态。2 .橙色预警响应(1)根据市网络安全应急办的指示和要求，区网络应 急办启动相应应急预案，组织开展预警响应工作，做好风险 评估、应急准备和风险控制工作。(2)区网络应急办及时将事态发展情况报市网络应急 办。(3)区网络安全应急技术支撑队伍进入待命状态，在 自治区和市网络安全应急技术支撑队伍的指导卜.做好相关 准备工作，检查应急车辆、设备、软件工具等，确保处于良 好状态。3 .黄色预警响应(1)根据市网络安全应急办的指示和要求，区网络应 急办启动相应应急预案，组织开展预警响应工作，做好风险 评估、应急准备和风险控制工作。(2)区网络应急办及时将事态发展情况报市网络应急 办。(3)区网络安全应急技术支撑队伍进入待命状态，在 自治区和市网络安全应急技术支撑队伍的指导下做好相关 准备工作，检查应急车辆、设备、软件工具等，确保处于良 好状态。4 .蓝色预警响应(1)区网络应急办启动相应应急预案，指导组织开展 预警响应工作，做好风险评估、应急准备和风险控制工作。(2)区网络应急办密切关注事态发展，将有可能发展 至较大及以上事项及时上报市网络应急办。(3)区网络安全应急技术支撑队伍进入待命状态，检 查应急车辆、设备、软件工具等，确保处于良好状态。(五)预警解除预警发布部门或地区根据实际情况，确定是否解除预警, 及时发布预警解除信息。四、应急处置(一)事件报告网络安全事件发生后，事发单位应立即启动应急预案， 实施处置并及时报送信息。区网络应急办立即组织先期处置, 控制事态，消除隐患，同时组织研判，注意保存证据，做好 信息通报工作。对于初判为特别重大、重大、较大网络安全 事件的，立即报告市网络应急办。机构或个人向公众发布涉 及区网络和信息系统被攻击破坏、非法侵入等网络安全事件 信息前，应向公安分局报告。公安分局应及时将相关情况报 区委网信办和市公安局。（二）应急响应网络安全事件应急响应分为四级，分别对应特别重大、 重大、较大和一般网络安全事件。I级为最高响应级别。.I级响应I级突发事件由国家网络应急指挥部启动1级响应，并 指挥开展应急处置工作。区网络应急指挥部实行24小时值 班，相关人员保持通信联络畅通。.H级响应II级突发事件由自治区网络应急指挥部启动H级响应， 并指挥开展应急处置工作。区网络应急指挥部实行24小时 值班，相关人员保持通信联络畅通。3. HI级响应HI级突发事件由市网络应急指挥部启动用级响应，统一指挥、协调、组织应急处置工作。（I）按照本单位相关应急预案进行先期处置，同时立 即向市网络应急办、区总值班室和区网络应急指挥部报告。（2）市网络应急指挥部确定In级突发事件后，成立现 场指挥部，现场指挥部指挥人员进驻现场。应急处置工作由 现场指挥部统一指挥。（3）区网络应急办进入应急状态并24小时待岗，通知 区网络应急办保持24小时通信联络。（4）根据事态发展情况，现场指挥部和区网络应急办 及时向市网络应急指挥部报告。区网络应急办根据市网络应 急办对事发相关镇（街道）、单位基础网络和信息系统核查 情况，并通报相关镇（街道）、单位。（5）未参与救援的专业技术队伍根据现场指挥部的需 求，随时准备进驻现场开展应急支援。4.1V级响应N级突发事件（事发区）由区网络应急办按相关预案进 行应急响应，并负责指挥开展应急处置工作。（1）事发镇（街道）、单位按照本单位相关应急预案 进行先期处置，同时立即向区网络应急办报告。区网络应急 办及时组织专家组、专业技术队伍赶赴事发现场，并根据事 态发展情况及时向区总值班室，区网络应急指挥部报告。（2）区网络应急办确定IV级突发事件后，成立现场指 挥部，现场指挥部指挥人员进驻现场。应急处置工作由现场 指挥部统一指挥。（3）区网络应急办进入应急状态并24小时待岗，通知 相关镇（街道）、单位保持24小时通信联络。（4）未参与救援的专业技术队伍根据现场指挥部的需 求，随时准备进驻现场开展应急支援.（三）应急结束1. I级响应结束根据国家、自治区和市网络应急指挥部的通知，及时通 报有关镇（街道）和单位。2. II级响应结束根据自治区和市网络应急指挥部的通知，及时通报有关 镇（街道）和单位。3. HI级响应结束根据市网络应急办的通知，及时通报有关镇（街道）和 单位。3.1 V级响应结束由区网络应急办提出建议，报区应急指挥部批准后，报 市网络应急办，区网络应急办通报相关镇（街道）、单位。五、调杳与评估特别重大网络安全事件由国家网络应急办组织有关部 门和省（区、市）进行调查处理和总结评估。重大网络安全 事件由自治区网络应急办组织有关市和部门进行调杳处理 和总结评估。较大网络安全事件由市网络应急办组织调查处 理和总结评估，相关总结调杳报告报自治区网络应急办。一 般网络安全事件由区网络应急办组织调查处理和总结评估， 相关总结调查报告报市网络应急办。总结调杳报告应对事件 的起因、性质、影响、责任等进行分析评估，提出处理意见 和改进措施。事件的调查处理和总结评估工作原则上在应急响应结 束后30个自然日内完成。六、预防工作（-）日常管理各镇（街道）、各单位按职责做好网络安全事件Fl常预 防工作，制定完善相关应急预案，做好网络安全检杳、隐患 排查、风险评估和容灾备份，健全网络安全信息通报机制， 及时采取有效措施，减少和避免网络安全事件的发生及危害, 提高应对网络安全事件的能力。（二）演练区委网信办协调有关镇（街道）、单位定期组织演练， 检验和完善预案，提高实战能力。城区每年至少组织一次预案演练，并将演练情况报市委 网信办。（）宣传各镇（街道）、各单位，特别是城区融媒体中心，应充 分利用各种传播媒介及其他有效的宣传形式，加强突发网络 安全事件预防和处置的有关法律、法规和政策的宣传，开展 网络安全基本知识和技能的宣传活动。（四）培训要将网络安全事件的应急知识列为领导干部和有关人 员的培训内容，加强网络安全特别是网络安全应急预案的培 训，提高防范意识及技能。（五）重要活动期间的预防措施在国家、自治区、市和区重要活动、会议期间，各镇（街 道）、各单位要加强网络安全事件的防范和应急响应，确保 网络安全。区网络应急办统筹协调网络安全保障工作，根据 需要提出预警响应建议；加强网络安全监测和分析研判，及 时预警可能造成重大影响的风险和隐患，重点部门、重点岗 位保持24小时值班，及时发现和处置网络安全事件隐患。七、保障措施（-）机构和人员各镇（街道）、各单位要落实网络安全应急工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急 工作机制。（二）技术支撑队伍加强网络安全应急技术支撑队伍建设，做好网络安全事 件的监测预警、预防防护、应急处置、应急技术支援工作。 支持网络安全企业提升应急处置能力，提供应急技术支援。 区应配备必要的自身或第三方网络安全专业技术队伍，并加 强与网络安全相关技术单位的沟通、协调，建立必要的网络 安全信息共享机制。（三）专家队伍依托市网络安全应急专家组，为网络安全事件的预防和 处置提供技术咨询和决策建议。加强区的专家队伍建设，充 分发挥专家在应急处置工作中的作用。（四）社会资源从教育科研机构、企事业单位、协会中选拔网络安全人 才，汇集技术与数据资源，建立网络安全事件应急服务体系, 提高应对网络安全事件的能力。（五）基础平台加强网络安全应急基础平台和管理平台建设，做到早发 现、早预警、早响应，提高应急处置能力。（六）物资保障加强对网络安全应急装备、工具的储备，及时调整、升 级软件硬件工具，不断增强应急技术支撑能力。（七）经费保障财政部门为网络安全事件应急处置提供必要的资金保 障。有关单位利用现有政策和资金渠道，支持网络安全应急 技术支撑队伍建设、专家队伍建设、基础平台建设、技术研 发、预案演练、物资保障等工作开展。各级各单位为网络安 全应急工作提供必要的经费保障。（A）责任与奖惩网络安全事件应急处置工作实行责任追究制。对网络安全事件应急管理工作中作出突出贡献的先进 集体和个人给予表彰。对不按照规定制定预案和组织开展演练，迟报、谎报、 瞒报和漏报网络安全事件重要情况或者应急管理工作中有 其他失职、渎职行为的，依照相关规定对有关责任人给予处 分；构成犯罪的，依法追究刑事责任。八、附则（一）预案管理本预案原则上每年评估一次，根据实际情况适时修订。 修订工作由区委网信办负贵。（二）预案解释本预案由区委网信办负贵解释。()预案实施时间本预案自印发之日起实施。附件：1.网络安全事件分类2 .名词术语3 .网络和信息系统损失程度划分说明附件1网络安全事件分类网络安全事件分为有害程序事件、网络攻击事件、信息 破坏事件、信息内容安全事件、设备设施故障、灾害性事件 和其他网络安全事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、 特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页 内嵌恶意代码事件和其他有害程序事件。(2)网络攻击事件分为拒绝服务攻击事件、后门攻击 事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、 干扰事件和其他网络攻击事件。(3)信息破坏事件分为信息篡改事件、信息假冒事件、 信息泄露事件、信息窃取事件、信息丢失事件和其他信息破 坏事件。(4)信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危 害国家安全、社会稳定和公众利益的事件。（5）设备设施故障分为软硬件自身故障、外围保障设 施故障、人为破坏事故和其他设备设施故障。（6）灾害性事件是指由自然灾害等其他突发事件导致 的网络安全事件。（7）其他事件是指不能归为以上分类的网络安全事件。附件2名词术语一、重要网络与信息系统所承载的业务与国家安全、社会秩序、经济建设、公众 利益密切相关的网络和信息系统。（参考依据：信息安全技术信息安全事件分类分级指 南（GB/Z 20986-2007）二、重要敏感信息不涉及国家秘密，但与国家安全、经济发展、社会稳定 以及企业和公众利益密切相关的信息，这些信息一旦未经授 权披露、丢失、滥用、篡改或销毁，可能造成以卜.后果：a）损害国防、国际关系；b）损害国家财产、公共利益以及个人财产或人身安全;C）影响国家预防和打击经济与军事间谍、政治渗透、有 组织犯罪等；d）影响行政机关依法调查处理违法、渎职行为，或涉嫌违法、渎职行为;。）干扰政府部门依法公正地开展监督、管理、检查、审 计等行政活动，妨碍政府部门履行职责；f）危害国家关键基础设施、政府信息系统安全；g）影响市场秩序，造成不公平竞争，破坏市场规律；h）可推论出国家秘密事项；i）侵犯个人隐私、企业商业秘密和知识产权；j）损害国家、企业、个人的其他利益和声誉。（参考依据：信息安全技术云计算服务安全指南 （GB/T31167-2014）附件3网络和信息系统损失程度划分说明网络和信息系统损失是指由于网络安全事件对系统的 软硬件、功能及数据的破坏，导致系统业务中断，从而给事 发组织所造成的损失，其大小主要考虑恢复系统正常运行和 消除安全事件负面影响所需付出的代价，划分为特别严重的 系统损失、严重的系统损失、较大的系统损失和较小的系统 损失，说明如下：a）特别严重的系统损失：造成系统大面枳瘫痪，使其丧 失业务处理能力，或系统关键数据的保密性、完整性、可用 性遭到严重破坏，恢复系统正常运行和消除安全事件负面影 响所需付出的代价I分巨大，对于事发组织是不可承受的；b）严重的系统损失：造成系统长时间中断或局部瘫痪， 使其业务处理能力受到极大影响，或系统关键数据的保密性、 完整性、可用性遭到破坏，恢复系统正常运行和消除安全事 件负面影响所需付出的代价巨大，但对于事发组织是可承受 的；C）较大的系统损失：造成系统中断，明显影响系统效率， 使重要信息系统或一般信息系统业务处理能力受到影响，或 系统重要数据的保密性、完整性、可用性遭到破坏，恢复系 统正常运行和消除安全事件负面影响所需付出的代价较大， 但对于事发组织是完全可以承受的；d）较小的系统损失：造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、 完整性、可用性遭到影响，恢复系统正常运行和消除安全事 件负面影响所需付出的代价较小。