网络与信息安全突发事件应急处置预案

1、 PAGE 26 PAGE 27 *市网络与信息安全突发事件应急预案（范例）（根据需要修改）一、概述1.1编制目的为了规范*网络与信息安全应急处理程序和内容，加强和完善网络与信息安全应急管理措施，科学应对网络信息系统突发事件，有效预防、及时控制和最大限度消除网络信息系统突发事件造成的危害和影响，特制订本预案。1.2指导思想坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。1.3编制依据中华人民共和国国家安全法、中华人民共和国网络安全法、中华人民共和国突发事件

2、应对法、中华人民共和国计算机信息系统安全保护条例、国家网络安全事件应急预案、山西省人民政府突发公共事件应急预案体系建设制度、山西省突发事件应急预案管理办法、信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007）等相关规定。1.4适用范围凡因自然灾害、软硬件缺陷或故障、人为破坏等对支撑网络、信息系统、信息数据造成危害，导致审计业务无法正常经办，影响公众权益和社会稳定的突发事件，包括有害程序事件、设备设施故障事件、网络攻击事件、信息数据安全事件、灾害性事件等，均适用本预案。1.5事件分级网络与信息安全突发事件分级的参考要素包括信息密级、公众影响、业务影响和资产损失等四项。突发事件级

3、别分为四级：特别重大(I级)、重大(II级) 、较大(III级)和一般(IV级)。级:教育城域网重要网络与信息系统发生全市性大规模瘫痪，或者重要敏感信息和关键数据全部丢失、被窃取、篡改，事态发展超出审计部门的控制能力，需要跨部门、跨地区协同处置,对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的突发事件。级：教育城域网重要网络与信息系统造成全市性瘫痪，或者重要敏感信息和关键数据大部分丢失、被窃取、篡改，丧失业务处理能力，对国家安全、社会秩序、经济建设和公共利益造成严重损害的突发事件。级：教育城域网部分重要网络与信息系统瘫痪，或者部分敏感信息和关键数据丢失、被窃取、篡改，对国家安全、社会

4、秩序、经济建设和公共利益造成一定损害，但不需要跨部门、跨地区协同处置的突发事件。级：教育城域网重要网络与信息系统受到一定程度的损坏，或者部分敏感信息和关键数据丢失、被窃取、篡改，对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益的突发事件。二、组织机构及职责2.1领导机构*市*网络与信息安全领导小组（以下简称“领导小组”）是网络与信息系统突发事件的决策机构。负责全面领导、指导、协调和指挥*市*网络与信息安全突发事件应急工作。主要职责：统筹协调组织突发事件应对工作，负责市*网络与信息安全应急跨部门、跨地区的指导协调、监督检查、组织实施；负责对突发事件政令的上传

5、下达，审核、批准应急预案和应急处置措施；负责发生突发事件的上报；决定突发事件应急预案的启动和终止等事项。组织指导全局制订、修订网络与信息安全突发事件应急预案。2.2应急管理组应急管理组是网络与信息安全突发事件的事物管理机构，组长由局长担任，副组长由分管网络安全和信息化的负责人担任，组员由信息中心、各业务部门负责人组成。主要职责：负责落实应急预案的编写、评估和各项制度的制定，负责实施各项应急措施；负责全市网络与信息安全的监测预警和风险评估控制、隐患排查整改工作；定期开展和部署应急预案的演练、培训工作。根据掌握、了解的信息及时向领导小组报告，并提出应急处置建议。根据领导小组下达的命令和指示，负责组

6、织指挥、协调有关部门开展处置工作，完成应急保障任务。根据事件的严重程度起草向上级主管部门或行业监管部门的报告。2.3 应急专家组应急专家组是网络与信息安全突发事件的咨询建议机构，专家组由太原理工大学计算机科学与技术学院专家及主流安全厂商相关人员组成。主要职责：在制定网络与信息安全应急预案、制度时提供参考意见；在发生网络与信息安全突发事件时提供咨询与建议；对应急工作中存在的问题和不足提出改进建议；对全市网络与信息安全突发事件发展趋势、处置措施、恢复方案等进行研究、评估，并提出相关建议。2.4应急执行组应急执行组是网络与信息安全突发事件的具体执行机构，组长由信息化综合管理机构的分管领导担任，组员一

7、般由信息化综合管理机构各部门工作人员，以及基础设施维护商，信息系统服务商的相关人员组成。主要责任是：负责信息监控及网络运行安全监测，负责对重大敏感时期、重要活动、重要会议期间重点网站发生信息安全事件的监测与处置，负责网络病毒和大规模网络攻击事件的处置。在出现突发事件后初始响应与损害评估，对信息系统和网络安全事件的处理提供技术支持和指导，遵循正确的流程，采取正确快速的行动做出响应，确保发生安全事件时能够第一时间妥善处理。三、监测与预警3.1 预警分级*市*网络与信息安全事件预警等级分为四级:从高到低依次用用红色、橙色、黄色和蓝色表示，分别对应级（特别严重）、级（严重）、级（较重）、级（一般）。3

8、.2 预警监测按照“谁主管谁负责，谁运行谁负责”的要求，做好本单位建设运行的网络和信息系统的风险评估和隐患排查工作。建立健全网络和信息系统监控体系，组织开展本单位网络和信息系统的安全监测工作。各级各部门要将日常工作中的重要监测信息及时报应急管理组，应急管理组将组织开展全市跨区域的网络安全信息共享。3.3预警处理与发布（1）对于可能发生或已经发生的网络与信息安全突发事件，立即采取措施控制事态，并在1小时内进行风险评估，判定事件等级，同时向应急管理组报告情况，必要时启动相应的预案。（2） 应急管理组接到预警信息后及时组织应急专家组对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全预警级别

9、，并立即向领导小组报告。（3）领导小组对发生和可能发生级或级的网络与信息安全突发事件，应迅速召开应急会议，研究确定网络与信息安全突发事件的等级，决定对外发布预警信息并向相关部门进行情况汇报。预警信息应包括事件的类别、可能波及的范围、可能危害程度、可能延续时间、提醒事宜和应采取的措施等。四、应急处置4.1事件报告（1）事件报告内容：事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。（2）对暂时无法判明破坏等级的事件，事发单位应立即将简要情况及联系人通过电话、传真等方式上报应急管理组，事件详细情

10、况应在1小时内上报。应急管理组接到事件报告后，立即上报领导小组，事件详细状况的上报时间不得迟于发生突发事件2小时。级和级网络与信息安全事件发生时，由领导小组在发生突发事件2小时内将事件有关情况报上级主管部门和行业监管部门。（3）对关键基础网络与信息系统、等级保护三级（含）以上网络与信息系统、涉密基础网络与信息系统及在敏感期可能演化为级和级网络与信息安全事件的信息，事发单位应立即上报，不得拖延。（4）对涉密的信息，参与涉密突发事件应急处置人员须遵守相关保密管理规定，做好保密工作。4.2应急响应发生网络与信息安全突发事件后，事发单位必须立即实施先期处置，并按照制定的相关应急预案，控制事件进一步发展

11、。（1）控制事态发展，防止破坏蔓延。事发单位根据本单位相关应急预案，采取紧急措施，及时控制事态发展，最大限度防止事件蔓延。（2）快速判断事件危害。事发单位尽快进行分析，根据基础网络与信息系统的运行、使用、承载业务的情况，初步判断发生事件的原因、影响力、破坏程度、波及的范围等，提出初步应对措施建议。（3）及时上报信息。事发单位在第一时间开展先期处置的同时，及时将事件的性质、危害程度、损失情况、处置等有关情况上报应急管理组，不得瞒报、缓报、谎报（4）事件发生、发展、处置的记录和证据留存。事发单位在处理过程中，保留相关证据，可采取记录、截屏、备份、录像等手段，对事件的发生、发展、处置过程、步骤、结果

12、进行详细记录，为事件调查、处理提供证据。（5）保持通信畅通。事发单位将突发事件上报应急管理组时，要明确联系人，并保持通信畅通，以便应急管理组及时与事发单位联系，实时掌握事件的发展情况。当先期处置措施不能有效控制事件蔓延，并有进一步扩大的趋势时，启动本预案，在此基础上开展分级响应。4.3分级响应根据网络与信息安全突发事件的分类分级状况，网络与信息安全突发事件响应等级对应分为级、级、级和级。发生网络与信息安全突发事件后，按下列规定进行分级响应。级响应级突发事件由应急管理组指挥事发单位组织开展应急处置工作。（1）事发单位按照本单位相关的应急预案进行先期处置。事发单位将突发事件信息、处置进展情况及时上

13、报应急管理组。（2）事发单位负责人及时赶赴现场，组织协调、指挥本单位专业技术队伍进行处置工作，必要时请示应急管理组安排专家组、专业技术队伍支援处置。（3）根据事发单位需要，应急管理组组织专家组、专业技术队伍及时赶赴现场，指导事发单位开展应急处置工作，并及时将处置情况向领导小组报告。级响应级突发事件由应急管理组统一指挥、协调、组织应急处置工作。（1）事发单位按照本单位相关应急预案进行先期处置，同时立即向应急管理组报告，应急管理组及时组织专家组、专业技术队伍赶赴事发现场，并根据事态发展情况及时向领导小组报告。（2）应急管理组确定级突发事件后，上报领导小组启动应急预案，同时应急管理组成立现场指挥组，

14、现场指挥部指挥人员进驻现场。应急处置工作由现场指挥部统一指挥。（3）根据事态发展情况，现场指挥部和事发单位及时向领导小组汇总相关事件处置情况，领导小组根据需要组织对基础网络和信息系统进行风险排查，并通报各有关单位。、级响应、级突发事件由领导小组上报省人民政府，请示启动山西省网络与信息安全事件、级应急响应，由省人民政府应急部门指挥开展应急处置工作。（1）事发单位按照本单位相关应急预案进行先期处置的同时，立即向应急管理组报告，应急管理组及时组织专家组、专业技术队伍赶赴事发现场，并根据事态发展情况及时向领导小组报告事件情况。（2）领导小组根据事态发展确定为、级突发事件后，立即报告省政府应急部门，由省

15、政府应急部门根据山西省网络与信息安全事件应急预案的要求，指挥应急处置工作。（3）应急管理组赶赴现场，负责应急处置的各方协调工作，指导协调成立现场指挥部。（4）应急管理组及应急执行组全体人员进入应急状态，根据省政府应急部门的指挥，开展应急处置各项工作。现场指挥部成员保持24小时通信畅通，事发单位实施24小时值班，各相关单位保持24小时通信畅通。（5）根据应急处置情况，现场指挥部和事发单位及时向领导小组和省政府应急部门汇报相关事件处置进展情况。（6）未参与救援的专业技术队伍保持24小时待命，根据现场指挥部的需求，随时准备进驻现场开展应急支援。4.4应急结束网络与信息安全突发事件经应急处置后，得到有

16、效控制，事态下降到一定程度或基本得到解决。五、后期处理5.1情况汇报和经验总结网络与信息安全突发事件应急任务结束后，事发单位应做好事件中基础网络与信息系统、网络设施损失情况的统计、汇总及任务完成情况的总结汇报。由事发单位牵头，与应急管理组组成事件调查组，对事件发生原因进行全面调查，查清事件发生的原因，总结经验教训，并由应急管理组负责起草相关报告，在3个工作日内报领导小组。级、级突发事件由领导小组分别向上级主管部门和行业监管部门报告。5.2恢复重建工作按照“谁主管、谁负责，谁运行、谁负责”的原则，由事发单位组织制定恢复、整改或重建方案，报上级主管部门审核实施，尽快恢复受损基础网络和信息系统。六、

17、应急保障6.1人员保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、懂技术的信息安全核心人才和管理队伍，提高信息安全防御意识。加强与信息安全服务厂商联系，增强社会应急支援能力。6.2设备保障为了在硬件设备发生故障时能够尽量降低业务系统的受影响程度，需为相应的核心业务硬件系统提供必要的备份设备、线缆等硬件资源，可以在应急情况下调配使用。6.3财务保障市*要利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作的开展。6.4通讯保障建立健全并落实信息系统突发事件信息收集、传递、处理、报送各个环节的工作制度，完善各部门已有的信息传

18、输渠道，随时保持信息报送通畅，通讯设备完好。6.5技术保障建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力；从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制；组织有关专家和安全厂商力量，开展应急运作机制、应急处理技术、预警和控制等研究，推广和普及切合实际的应急技术。七、预案文档的管理与维护预案管理由应急管理组负责。主要职责包括预案的审核和批准、保存和分发、维护和变更，教育和培训。7.1预案的保存和分发要求有专人负责，具有多种形式的介质拷贝，保存在不同的地点；应急响应和灾难恢复工作的所有人员应保留最新版本的预案；在每次修订后所有拷贝应

19、统一更新并重新分发，旧版本应予销毁。7.2预案的维护和变更要求信息系统的变更、人员变更都应在预案中及时反映；预案在测试、演练和灾难发生后实际执行时，其过程均应有详细的记录，并应对测试、演练和执行的效果进行评估，同时对预案进行相应的修订；预案应定期评审和修订，至少每年一次。7.3预案的教育和培训为提高相关人员应对灾难的意识，了解信息系统灾难恢复的目标和流程，熟悉灾难恢复的操作规程，应定期组织预案的教育和培训。八、预防工作8.1日常管理各单位按照职责做好网络与信息安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份。健全网络安全信息通报机制，及时采取有效措施，

20、减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。8.2应急演练为提高信息安全突发事件应急响应水平，定期或不定期组织预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。8.3宣传大力宣传网络与信息系统的基本原理、安全事件的预防措施和应急处理的基本知识，提高本单位人员的安全意识水平。8.4人员培训确保信息安全应急预案有效运行，定期或不定期地举办不同层次、不同类型的培训班或研讨会，以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。8.5重要敏感时期的预防措施在

21、国家重要活动，会议等重要敏感时期，各部门要加强网络安全事件的防范和应急响应，确保网络与信息系统安全。各部门要加强网络安全监测和分析研判，及时预警可能造成重大影响的风险和隐患，重点部门、重点岗位保持24小时值班，及时发现和处置网络安全事件的隐患。九、监督检查与奖惩9.1监督检查应急管理组负责对应急保障工作进行不定期的督促检查。主要督促检查内容如下：网络与信息系统各项应急保障行动方案的制定、执行情况。应急管理机构的应急指挥、调度、值班等职责落实情况。应急管理部门和应急执行部门之间的协作配合情况。网络与信息系统应急保障队伍建设情况及新业务、新技术培训情况。应急预案的演练情况。应急保障所需备品、备件的

22、储备情况。突发事件处理后的原因分析、责任划分、之后的改进防范措施等情况。9.2表彰奖励对下列情况可以经应急管理组评估审核，报领导小组批准后予以表彰奖励。在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场工作人员。 9.3责任追究在发生重大信息安全事件后，有关单位、工作人员有瞒报、缓报、漏报和其它失职、渎职行为的，领导小组将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。对未及时落实领导小组指令，影响应急行动效果的，按国

23、务院关于特大安全事故行政责任追究的规定、山西省重大安全事故行政责任追究规定追究相关人员的责任。十、附则10.1预案管理各部门要根据本预案制定或修订本部门网络安全事件应急预案。10.2预案解释本预案由局网络与信息安全领导小组负责解释。10.3预案实施时间本预案自印发之日起实施。附件：1.网络安全事件分类2.技术支撑队伍通讯联络表3.应急处置手册附件1网络安全事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。（1）有害程序事件包括：计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代

24、码和其它有害程序等事件。（2）网络攻击事件包括：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。（3）信息破坏事件包括：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。（4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作、讨论敏感问题，并危害国家安全、社会稳定和公众利益的事件。（5）设备设施故障事件包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。（6）灾害性事件包括：水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。（7

25、）其他信息安全事件：不能归为以上类别分类且造成影响或后果较为严重的信息安全事件附件2技术支撑队伍通讯联络表1.机房和教育城域网专网线路联系人： 联系电话：2.服务器、网络设备、安全设备、视频会议系统、机房精密空调、UPS、配电及环境监测联系人： 联系电话： 3.核心数据库维护联系人： 联系电话： 4.门户网站、办公OA系统联系人： 联系电话： 5.办公OA系统联系人： 联系电话： 6.核心业务系统联系人： 联系电话： 7.一般业务系统联系人： 联系电话： 附件3应急处理手册（一）业务系统故障应急响应预案1.当有关工作人员发现网站故障，应告知应急执行组人员10分钟内赶到现场，并立即向应急管理组报

26、告故障。2.应急执行组人员分析问题产生的原因（软件故障、硬件故障、数据库故障、网络故障）并将结果报告应急管理组。3.在应急管理组授权下，启动（软件故障、硬件故障、数据库故障、网络故障）相关应急预案。4.处理完毕后，应急执行组向应急管理组汇报有关情况。5.应急管理组如认为情况严重，应立即向领导小组汇报。（二）业务系统故障应急处理预案1.当有关工作人员发现业务系统故障，应告知相关应急执行组人员10分钟内赶到现场，并立即向应急管理组报告故障。2.通知经办机构，告知业务系统发生故障。3.应急执行组人员分析问题产生的原因（软件故障、硬件故障、数据库故障、网络故障）并将结果报告应急管理组。4.在应急管理组

27、授权下，启动（硬件故障、数据库故障、网络故障）相关应急预案，并告知经办机构故障处理时限。5.处理完毕后，应急执行组向应急管理组汇报有关情况，同时通知经办机构故障处理完毕，业务系统恢复正常服务。6.应急管理组如认为情况严重，应立即向局网络与信息安全领导小组汇报。（三）硬件故障应急处理预案1、相关应急执行组人员在10分钟到位，评估硬件故障程度。2.如能自行处理，则立刻处理。否则通知第三方团队30分钟内赶到现场。3.如果能在短时间内维修或立即有备件替换，则立即组织维修或更换受损部件。4.如果设备一时不能修复，应向应急管理组汇报，使用备用硬件提供相应服务。5.如果没有备用硬件，应向应急管理组汇报，并告

28、之相关部门，暂缓使用业务系统。待故障处理后，向应急管理组汇报，并通知相关单位，恢复服务。（四）数据库故障应急处理预案1.相关应急执行组人员在10分钟到位，通知第三方团队30分钟内赶到现场。2.会同第三方团队评估数据库故障程度。3.如数据库数据没有破坏，则恢复服务。4.如数据库数据遭到破坏，报告应急领导组，由应急领导组决策。通过数据库备份进行数据恢复，对数据备份无法提供的数据，则由相关单位对缺少时间段数据进行数据库补录，补录完毕后，由相关单位、系统开发商共同对数据完整性、准确性进行比对，然后恢复服务。5.恢复服务后，应向应急管理组汇报。（五）网络故障应急处理预案1.相关应急执行组人员在10分钟到

29、位，评估网络故障节点。2.如能自行处理，则立刻处理。否则通知第三方团队30分钟内赶到现场。3.如属内部线路故障，应调试或更换局域网线路。4.如属广域网线路故障，联系电信运营商调试线路。5.如属路由器、交换机、防火墙等网络设备配置故障，应迅速按照要求配置。6.如属路由器、交换机、防火墙等网络设备硬件故障，则请示应急管理组，更换备用网络设备，并调试通畅。7.如网络瘫痪时间较长，影响面广，应向应急管理组汇报。（六）电力故障应急处理预案1.机房值班人员应立即查明原因，并向应急管理组汇报情况。2.如是办公楼局部停电，则联系办公室后勤，对办公楼线路进行检修，询问供电恢复时间，向应急管理组汇报，同时打开机房门窗，保持通风，确保设备温度正常，待恢复供电后