交通运输厅网络安全事件应急预案

1、 交通运输厅网络安全事件应急预案 1.总则1.1 编制目的建立健全XX省交通运输厅网络安全事件应急工作机制，规范应急工作流程，保障XX省交通运输厅网络和信息系统安全，提高应对网络安全事件处置能力，有效预防、及时控制和最大限度地消减网络安全事件产生的危害和影响，维护XX省交通运输安全和秩序。结合实际，制定本应急预案。1.2 编制依据依据中华人民共和国突发事件应对法中华人民共和国网络安全法国家网络安全事件应急预案XX省突发事件应急预案管理办法交通运输部网络安全事件应急预案信息安全技术 信息安全应急响应计划规范信息安全技术 信息安全事件分类分级指南等法律法规、政策和标准编制。1.3 工作原则以“预防

2、为主、分级处置”为指导方针，坚持“统一领导、高效指挥、快速反应、协同配合”的工作原则，充分发挥各级交通运输主管部门力量和社会力量，共同做好XX省交通运输厅网络安全事件的应急处置工作。（1）统一领导，注重分类分级响应。网络安全事件应急处置工作，在XX省交通运输厅网络安全事件应急处置工作领导小组（简称“应急领导小组”）统一领导下，各相关部门分工负责、密切配合、相互协作，按照事件类型和级别，分类分级进行相应的处置工作。（2）高效指挥，强化归口协调处置。减少应急响应指挥层级，注重归口、就近协调，强化公路、X航、运管、路政、质监等厅属单位的应急工作职责，明晰省厅指挥协调与应急处置范围和程序，规范事件报送

3、和组织处置程序，提升应急处置效能。（3）快速反应，有效控制事件影响。建立快速处置反应机制，确保各环节的街接，做好人力、物力、财力储备；充分发挥运维队伍直接作用和现场处置的临机决断作用，强调第一时间快速反应，做好先期处置，及时有效控制事态，切实防止扩大蔓延；保证一旦出现网络信息安全突发事件，能够迅速启动应急处置程序，最大程度地控制危害和影响。（4）协同配合，预防和应急相结合。根据网络安全事件的性质和影响范围，在发生级事件时，除向XX省交通运输厅报告外，并及时通报国家和省（部）相关网信、公安、工信、通信等主管单位，共同做好网络安全事件的应急处置工作；加强网络安全态势感知和日常监测预警，提升情报研判

4、、风险评估和隐患发现、防范与排查能力，切实做好预警和应急响应准备工作，严控苗头性风险和事件影响范围。1.4 适用范围本预案适用于XX省交通运输厅本级及厅属单位主管和运行维护的、涉及行业管理与服务的国家关键信息基础设施、行业关键业务系统及基础网络运行环境发生网络安全事件的应急处置工作。2.分类分级2.1 信息安全事件分类信息安全事件可以是故意、过失或非人为原因引起的，分为信息内容安全、有害程序、网络攻击、信息破坏、设备设施故障和灾害性等事件。（1）信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益内容的安全事件。包括违反宪法和法律、行政法规的信息安全事件；针对社会事项进行

5、讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件；组织串连、煽动集会游行的信息安全事件等。（2）有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序影响而导致的信息安全事件。包括计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。（3）网络攻击事件是指通过网络或其它技术手段，利用信息系统的配置、协议和程序缺陷，或使用暴力对信息系统实施攻击造成信息系统异常，或对信息系统当前运行造成潜在危害的信息安全事件。包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。（4）信息破坏事件是指通过网络或其它技术手段，造成信息被篡改、假冒、泄漏

6、、窃取等而导致的信息安全事件。包括信息篡改、信息假冒、信息泄露、信息窃取、信息丢失等事件。（5）设备设施故障是指由于信息系统自身故障或外围保障设施故障、以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障等。（6）灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。2.2 网络安全事件分级根据网络安全突发公共事件的可控性、严重程度和影响范围，参照国家、交通运输部和XX省的相关规定，XX省交通运输厅网络安全事件分为

7、三级：级（特别重大）、级（重大）、级（一般）。国家有关法律法规有明确规定的，按国家有关规定执行。（1）符合下列情形之一的，为特别重大网络安全事件（级）： 重要敏感时期，厅政府网站主页发生信息内容安全事件、信息破坏事件等，造成国家秘密或重要内部敏感信息、反动信息、煽动性信息、谣言、涉及黄赌毒和暴力信息等大面积传播，对国家安全、社会稳定、政府形象和人民生命财产造成特别严重损害的。 国家关键信息基础设施、厅关键业务系统的重要敏感数据发生大规模丢失或被窃取、篡改、假冒和勒索，对国家安全、社会稳定和XX省交通运输行业运行造成特别严重损害的。 在服务保障国家重大灾害及紧急突发事件应急处置期间，因遭受网络攻

8、击、设备故障、灾害等，导致关键信息基础设施、关键业务系统服务中断8小时以上，并对国家和省（部）开展应急处置工作的应急保障造成特别严重影响的，或日常连续中断48小时以上，对政府形象造成特别严重损害的。 其它对国家安全、社会秩序、经济建设和公共利益构成严重威胁、造成特别严重损害的网络安全事件。（2）符合下列情形之一，且未达到特别重大网络安全事件的，为重大网络安全事件（级）： 厅政府网站主页或重要敏感时期厅网站群的子站主页发生信息内容安全事件，造成国家秘密或重要内部敏感信息、反动信息、煽动性信息、谣言等大面积传播，对国家安全、社会稳定、政府形象和人民生命财产造成严重损害的。 国家关键信息基础设施、厅

9、关键业务系统的重要敏感数据发生大规模丢失或被窃取、篡改、假冒和勒索，对国家安全、社会稳定、XX省交通运输行业运行造成严重损害的。 厅50%（或数量达到100X）及以上的终X设备、国家关键信息基础设施、厅关键业务系统及其设施设备等发生大规模有害程序事件，对正常办公、业务办理和公众服务产生大面积中断，造成严重影响的。 在服务保障国家或省（部）重大灾害及紧急突发事件应急处置期间，因遭受网络攻击、设备故障、人为破坏和自然灾害等，导致国家关键信息基础设施、厅关键业务系统服务中断4小时以上，并对国家和省（部）开展应急处置工作的应急保障造成严重影响，或日常连续中断24小时以上，对厅政府形象造成严重损害的。

10、其它对国家安全、社会秩序、厅政府形象、厅关键业务运行和公众出行等造成严重损害的网络安全事件。（3）除上述情形外，对国家安全、社会秩序、厅政府形象、厅关键业务运行和公众利益等构成一定威胁，并造成一定影响的网络安全事件，为一般网络安全事件（级）。2.3 网络安全事件预警分级按照网络安全事件发生的紧急程度、发展势态和可能造成的危害程度，将网络安全事件预警分为红色、橙色和黄色预警。（1）红色预警：其它单位已发生特别重大网络安全事件、或发生网络和信息系统故障且预计修复时间超过8小时并可能造成的较大影响、或可能发生特别重大网络安全事件时。（2）橙色预警：其它单位已发生重大网络安全事件、或发生网络和信息系统

11、故障且预计修复时间为48小时、或可能发生重大网络安全事件时。（3）黄色预警：其它单位已发生一般网络安全事件、或发生网络和信息系统故障且预计修复时间为14小时、或可能导致发生一般网络安全事件时。（4）在敏感时期出现以上情况，相应提高预警等级。3.组织机构与职责应急领导小组接受XX省交通运输厅科技创新与信息化领导小组和安委会的指导，其组织机构如图2-1所示。图2-1 网络安全事件应急处置组织机构图3.1 应急领导小组组长：厅分管网络安全的领导担任。副组长：厅科教处处长、信息中心主任担任。成员：厅办公室、科教处、宣传处、厅属单位等分管领导担任。应急领导小组主要职责：（1）组织建立网络安全应急指挥体系

12、，负责统一指挥网络安全事件的应急处置工作，并对网络安全事件进行重大决策部署。（2）向省（部）应急办提出发布和解除级应急响应建议。（3）决定发布和解除级、级应急响应。（4）负责应急救援队伍的建设管理以及应急物资的储备保障等工作。（5）组织网络安全事件的调查和善后工作。（6）对接应对网络安全事件的国家、省（部）应急办，承办国家、省（部）应急办交办的其它事项。3.2 网信应急办应急领导小组下设XX省交通运输厅网络安全事件应急处置工作办公室（简称“网信应急办”），设在厅科教处。网信应急办根据应急领导小组的决定，负责规划、组织、协调、指导、检查厅网络安全事件的预防和应急处置工作。网信应急办主要职责：（1

13、）组织落实应急领导小组的决定，协调和调动厅本级及厅属单位应对网络安全事件相关工作。（2）协调网络和信息系统主管单位（部门）对网络安全事件的研判，向应急领导小组提出发布和解除红色预警响应和级、级、级应急响应建议以及相应等级调整的建议。（3）决定发布和解除黄色、橙色预警响应，负责具体指挥处置工作；执行红色预警、级事件的处置工作；组织制定级、级事件应急响应先期处置措施，并协助应急处置。（4）负责应急专家组、现场指挥部的组建等工作。（5）组织拟订（修订）应急预案、应对网络安全事件的分析总结工作；制定工作规划和年度工作计划；指导厅属单位、各设区市、省直管县（市）交通运输主管单位制定（修订）本单位网络安全

14、事件应急预案。（6）负责网络安全知识与技术的培训组织工作；组织开展应急演练和网络安全事件调查评估。3.3 应急工作组应急领导小组下设XX省交通运输厅网络安全事件应急处置工作组（以下简称“应急工作组”），按照“谁主管谁负责，谁运行谁负责”和“属地管理，分级负责”原则，应急工作组分二级设立。一级应急工作组常设在厅信息中心，二级应急工作组常设在厅属各单位。一级应急工作组主要职责：（1）发生网络安全事件时，负责厅本级24小时应急值守备勤、提出发布和解除预警响应或应急响应建议及变更响应等级建议；按照应急领导小组或网信应急办的指令，开展处置工作。（2）负责厅本级网络安全事件风险评估、风险控制、隐患排查整改

15、、分析总结等工作。（3）厅本级发生预警或级事件时，在网信应急办组织下制定并执行处置工作方案，将处置结果第一时间报网信应急办。（4）参与厅本级级、级的网络安全事件研判和应急处置工作方案制定，配合网信应急办组织相关单位（部门）按照应急领导小组要求开展级、级突发事件的应急处置。（5）负责厅本级网络安全事件处置所需的设备、器材及相关软件的日常管理和维护工作；负责厅本级网络安全事件应急指挥技术系统的建设和管理工作；承办厅本级应急预案演练和网络信息安全知识与技术的培训工作。（6）负责指导二级应急工作组应对网络安全事件的工作；承办网信应急办交办的其它事项。二级应急工作组主要职责：（1）发生突发事件时，负责本

16、单位24小时应急值守备勤、提出发布和解除预警响应或应急响应建议及变更响应等级建议；按照应急领导小组及网信应急办的指令，开展处置工作。（2）负责本单位网络安全事件风险评估、风险控制、隐患排查整改、分析总结等工作。（3）本单位发生预警或级突发事件时，在网信应急办组织下制定并执行处置工作方案，将处置结果第一时间报网信应急办和一级应急工作组。（4）参与本单位级、级网络安全事件的研判和应急工作方案制定，配合网信应急办按照应急领导小组要求开展级、级突发事件的应急处置。（5）负责本单位网络安全事件处置所需的设备、器材及相关软件的日常管理和维护工作；负责本单位网络安全事件应急指挥技术系统的建设和管理工作；承办

17、本单位应急预案演练和网络信息安全知识与技术的培训工作。（6）负责指导本单位下辖部门应对网络安全事件的工作；承办网信应急办交办的其它事项。3.4 应急新闻组应急领导小组下设XX省交通运输厅网络安全事件应急处置工作新闻发布和宣传组（简称“应急新闻组”），设在厅宣传处。应急新闻组主要职责：（1）发生网络安全事件时，组织开展所涉及敏感信息和舆情监测、研判和引导。（2）负责网络安全事件的新闻发布和应急工作的宣传报道。（3）对接国家和省网信办、新闻媒体等机构。3.5 应急外联组应急领导小组下设XX省交通运输厅网络安全事件应急处置工作外部联络组（简称“应急外联组”），设在厅办公室。应急外联组主要职责：（1）

18、负责向省（部）应急办报送级、级安全事件。（2）组织开展涉及国家秘密和重要内部敏感信息网络安全事件的应急处置时与保密主管部门的联络。（3）负责相关单位共同处置次生、衍生事件的协调工作。3.6 现场指挥部（非常设机构）在发生网络安全事件时，应急领导小组授权网信应急办根据事件严重程度、应急处置工作需要，适时组建现场指挥部，负责具体的指挥协调工作。现场指挥部指挥长由应急领导小组组长指定，现场指挥部根据需要可设立指挥协调组、专家咨询组、技术处置组、事件调查组、综合保障组等。（1）指挥协调组：根据网络安全事件发生单位（部门）和影响范围，分别由网信应急办牵头，事件主责单位（部门）及有关单位参加。负责现场指挥

19、、信息报送、处置协同和机制保障等。（2）专家顾问组：负责协助制定应对工作方案，为应急处置提供专业指导和决策咨询，对处置结果进行预测和评估。（3）技术处置组：制定级事件应急工作方案，进行应急处置；提出级、级应急措施建议并参与应急处置；负责现场应急设备（设施）保障和开展突发事件现场的调查、取证和评估等。（4）事件调查组：进行原因分析、风险评估和责任调查等工作。（5）综合保障组：负责为现场指挥部提供场地、办公设备和后勤服务保障。3.7 应急专家组建立网络安全事件应急处置咨询机制和社会力量参与机制，应急领导小组下设XX省交通运输厅网络安全事件应急处置工作专家组（简称“应急专家组”）。应急专家组的主要职

20、责：（1）在网络安全事件预防与应急处置时，提供咨询与建议，必要时参与处置工作；（2）在制定网络安全事件有关规定、预案、制度和信息化建设项目的过程中提出建议；（3）及时反映网络安全事件应急处置工作中存在的问题与不足，并提出改进建议；（4）对省交通运输厅网络安全事件的发生和发展趋势、处置措施、恢复方案等进行研究、评估，并提出相关建议；（5）参与网络安全事件应急培训及相关教材编审等工作。4.监测预警响应4.1监测与分析（监测机制）4.1.1 监测与检测根据定期巡查和日常检查制度，开展网络安全的监测和检测工作。实施巡查、检查信息备案的常态化。4.1.2 分析研判在接收到报送单位提交的报告时，须及时组织

21、人员进行分析和研判：（1）能作出明确判定的，提出解决的方法和措施并告之报送单位；（2）在1小时内不能作出明确判定的，应立即将事件的简要情况、研判简报及联系人等通过电话、邮件等上报主管部门、网信应急办。网信应急办接到报告后，应立即组织专业人员进行核查、研判、评估；（3）无法作出研判的，上报网信应急办，必要时网信应急办应将有关信息及时报省（部）应急办和向有关单位通报。4.1.3 风险评估定期进行网络和信息系统安全检查，了解掌握网络和信息系统的风险状况，根据需要建立风险源管理系统，加强风险评估，强化风险管控，提高网络和信息系统抗风险能力。4.2 预警响应（预警机制）4.2.1 预警报告内容预警报告包

22、括网络安全事件的类别、预警级别、起始时间、可能影响范围、预防措施、发布范围和发布单位等。4.2.2 预警信息获取建立网络安全事件预警信息报送机制。通过以下途径获取预警信息：（1）政府通过新闻媒体公开发布的安全事件预警信息；（2）政府主管部门告知的安全风险信息；（3）安全公司发布的预警信息；（4）日常监测和漏洞扫描获取的安全风险信息；（5）通过审计获取和单位（部门）上报的安全风险信息；（6）通过定期巡检发现的安全风险信息；（7）经风险评估得出可能发生的网络安全事件信息。4.2.3 预警响应预警信息发布后，各单位（部门）应依据发布的预警级别立即响应。启动相应的应急预案，组织部署所属技术力量、应急救

23、援队伍，进入预警状态，履行承担的职责。4.2.3.1 黄色预警响应（1）网信应急办、各单位（部门）实行7*8小时值班，保持通信联络畅通，网信应急办要密切关注事态发展，收集、汇总监测信息，重要信息及时向应急领导小组、省（部）应急办报告。（2）各单位（部门）依照各自分工，加强网络安全事件监测和事态发展信息搜集工作，重要信息及时报告网信应急办。（3）各单位（部门）组织开展网络安全风险评估、整改方案制定和处置措施落实等工作。（4）应急工作组进入预警状态，确保60%应急技术人员处于待命状态，检查应急车辆、设备、软件工具等，确保处于可用状态；针对预警内容研究制定并执行处置方案；联系应急专家组做好应急支援准

24、备。4.2.3.2 橙色预警响应（1）网信应急办、各单位（部门）实行7*24小时值班；加强监测和情报搜集工作，各单位（部门）每天两次向网信应急办报送相关信息，重要信息随时报告。（2）网信应急办应全面掌握情况，联系应急专家组和应急工作组及时对预警信息和事态发展进行研判，组织处置方案的制定和部署工作。（3）各单位（部门）组织开展网络安全风险评估、整改方案制定和处置措施落实等工作，对短期内难以解决的安全问题要制定风险管理控制措施，最大限度的降低风险。（4）应急工作组进入预警状态，确保100%应急技术人员处于待命状态，检查应急车辆、设备、软件工具等，确保处于可用状态；针对预警内容研究制定并执行处置方案

25、。指导各单位（部门）开展风险评估与控制工作，做好安全加固和预防、数据备份工作；并根据业务工作实际，制定并实施网络和信息系统限制使用方案。4.2.3.3 红色预警响应在橙色预警响应的基础上，应急领导小组进入预警状态，组织处置方案的制定和部署工作。加强与国家相关部门、国家网络信息安全应急技术支援队伍的沟通、联系、协调；加强综合研判和情报共享，高度关注事态发展，适时调整处置方案。各单位（部门）网络安全应急队伍和支撑力量积极开展风险控制工作，全面作好应急准备，对于业务连续性不强、存在安全隐患的非重要网络信息基础设施和一般业务系统，采取关停、断网等措施，集中技术力量、设备和工具确保重要网络信息基础设施与

26、关键业务系统的安全运行。4.2.4 预警结束4.2.4.1 发布和解除根据预警级别，由相关部门发布和解除预警：（1）黄色、橙色预警：由网信应急办发布和解除，并报省（部）应急办备案。（2）红色预警：由应急领导小组发布和解除，并报省（部）应急办备案。4.2.4.2 发布范围网络安全事件预警信息发布范围分为面向网络和信息系统的运维管理单位和面向社会公众两类。网信应急办XX各单位（部门）研究确定预警信息发布的范围。4.2.4.3 预警级别的变更各单位（部门）要密切关注网络安全事件的进展情况，根据事态变化情况和应急专家组提出的建议，适时提出调整预警级别的建议报网信应急办。4.2.4.4 分析总结（1）红

27、色预警处置结束后，预警范围内的各单位（部门）在网信应急办的统一部署下，及时开展应对预警的分析总结，3天内将分析总结报应急领导小组。（2）橙色、黄色预警处置结束后，预警范围内的各单位（部门）及时开展应对预警的分析总结，1周内将分析总结报网信应急办。4.3 应急响应（响应机制）4.3.1 应急报告内容应急报告包括以下要素：建议级别、事件发生时间、网络和信息系统名称及主管单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位（部门）及业务、事件发展趋势、采取的先期处置措施等。4.3.2 报告程序（1）各单位（部门）应建立包括社会公众参与的相关机制，根据各自职责分工，及时收集、分析、汇总

28、本单位（部门）相关网络和信息系统安全运行情况的信息，将安全风险及安全事件信息及时报网信应急办。（2）对于级及以上或暂时无法判明等级的网络安全事件，事发单位（部门）应立即将简要情况及联系人通过电话、等上报主管部门和网信应急办，详细情况应在1小时内上报。网信应急办接到报告后，应立即上报省（部）应急办（涉密的须报保密主管单位），其中详细状况的上报时间不得迟于2小时。（3）对于关键业务系统、涉密系统及敏感时期可能演化为级及以上事件，事发单位（部门）应立即上报，不受时间限制。（4）对于网信应急办要求核查的情况，各单位（部门）要认真调查、核对、及时报告。（5）对于涉密的重要信息，负责收集数据的各单位（部门

29、）应遵守相关的管理规定，做好保密工作。4.3.3 先期处置网络安全事件发生后，事发单位（部门）必须在第一时间内启动相关应急预案，在网信应急办指导下开展先期处置工作。（1）控制事态发展，防控蔓延。采取各种技术措施及时控制事态发展，最大限度地防止事件蔓延。（2）快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络和信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议。（3）及时报告信息。在先期处置的同时要按照应急预案要求，及时向网信应急办报告。（4）做好事件发生、发展、处置的记录和证据留存。在先期处置过程中应尽量保留相关证据，采取手工记录、截屏、文件备份和影

30、像设备记录等各种手段，对事件发生、发展、处置的过程、步骤、结果进行详细记录，尽可能保存原始证据，为事件处置、调查、处理提供客观证据。网信应急办应在接报网络安全事件信息后及时掌握事件的发展情况，评估产生的影响和可能波及的范围，研判网络安全事件的发展态势。指导应急工作组进行先期处置工作，并向应急领导小组报告现场动态信息。4.3.4 基本响应网络安全事件发生后，网信应急办在先期处置基础上，按以下程序开展处置工作：（1）掌握事件的发展情况，向应急领导小组报告有关情况。（2）整合XX。组织事发单位（部门）负责人、应急专家组成员和应急工作组技术人员，部署应急力量赶赴现场。（3）研判事件。在应急领导小组授权

31、下适时成立现场指挥部，组织网络安全事件级别、影响范围、发展态势的评估和研判，根据研判结果提出发布应急响应或更改级别的建议；（4）控制事态。及时向应急领导小组和相关单位（部门）通报情况，督促相关单位（部门）加强先期处置，避免事件蔓延。4.3.5 分级响应。1 级响应可能发生或已发生一般网络安全事件、可能发生重大网络安全事件时，应急领导小组发布进入级应急响应，组织指挥协调应急处置工作。（1）启动指挥体系事发单位（部门）进入应急状态，适时成立现场指挥部，负责应急处置的指挥、协调和组织工作。现场总指挥一般由事发单位（部门）主管或分管负责人担任，必要时，由网信应急办或应急领导小组负责人担任。（2）掌握事

32、件动态 跟踪事态发展。及时将事态发展变化情况和处置进展情况报网信应急办。 研判影响范围。及时了解和分析事发单位（部门）由于事件造成的波及或影响范围，并将有关情况及时报网信应急办。 网信应急办及时组织对事态进行研判，根据研判结果向应急领导小组提出对省交通运输行业进行核查的建议。（3）处置实施 及时采取技术措施阻止事件蔓延，控制事态发展。负责制定处置方案并进行处置。 做好消除隐患工作。尽快分析事件发生原因，并根据原因有针对性地采取措施，恢复遭受破坏的网络和信息系统正常运行。 及时开展调查取证。负责开展事件调查和责任评估工作，编制调查评估报告上报网信应急办。 信息发布。根据事件应急处置实际情况，形成

33、各阶段工作简报上报应急新闻组；向社会发布的，需要应急新闻组审核批准。未经批准，其它单位（部门）不得发布任何相关信息。4.3.5.2 级响应已发生重大网络安全事件、或可能发生特别重大网络安全事件，应急领导小组发布进入级应急响应，组织指挥协调应急处置工作。（1）启动指挥体系 应急领导小组进入应急状态，负责人实施24小时值班，成员保持7*24小时联络畅通。 应急领导小组统一指挥、协调，成立现场指挥部，负责应急处置的指挥、协调和组织工作。（2）掌握事件动态 跟踪事态发展。及时将事态发展变化情况和处置进展情况及时上报网信应急办、省（部）应急办。 检查影响范围。及时了解和分析事发单位（部门）由于事件造成的

34、波及或影响范围，并将有关情况及时网信应急办、省（部）应急办。 网信应急办及时组织对事态进行研判，根据研判结果向应急领导小组提出对省交通运输行业进行核查的建议。（3）处置实施 及时采取技术措施阻止事件蔓延，控制事态发展。负责制定处置方案并进行处置。 做好消除隐患工作。尽快分析事件发生原因，并根据原因有针对性地采取措施，恢复遭受破坏的网络和信息系统正常运行。 及时开展调查取证。负责开展事件调查和责任评估工作，编制调查评估报告上报网信应急办、省（部）应急办。 信息发布。根据事件应急处置实际情况，形成各阶段工作简报上报应急新闻组；向社会发布的，需要应急新闻组审核批准。未经批准，其它单位（部门）不得发布

35、任何相关信息。4.3.5.4 级响应级响应根据国家、部、省有关规定或经应急领导小组批准后启动，由应急领导小组统一指挥、协调。（1）启动指挥体系 应急领导小组进入应急状态，负责人实施24小时值班，成员保持7*24小时联络畅通。 应急领导小组统一指挥、协调，成立现场指挥部，负责应急处置的指挥、协调和组织工作。（2）掌握事件动态 跟踪事态发展。及时将事态发展变化情况和处置进展情况及时上报网信应急办、省（部）应急办、国家应急办。 检查影响范围。及时了解和分析事发单位（部门）由于事件造成的波及或影响范围，并将有关情况及时网信应急办、省（部）应急办、国家应急办。 网信应急办及时组织对事态进行研判，根据研判

36、结果向应急领导小组提出对省交通运输行业进行核查的建议。（3）处置实施 及时采取技术措施阻止事件蔓延，控制事态发展。负责制定处置方案并进行处置。 做好消除隐患工作。尽快分析事件发生原因，并根据原因有针对性地采取措施，恢复遭受破坏的网络和信息系统正常运行。 及时开展调查取证。负责开展事件调查和责任评估工作，编制调查评估报告上报网信应急办、省（部）应急办、国家应急办。 信息发布。根据事件应急处置实际情况，形成各阶段工作简报上报应急新闻组；向社会发布的，需要应急新闻组审核批准。未经批准，其它单位（部门）不得发布任何相关信息。4.3.5.5 响应级别的变更在应急响应过程中，网信应急办、事发单位（部门）要

37、密切关注事态发展和应急响应工作进展情况，根据事态变化、处置效果和专家建议，适时提出调整应急响应级别的建议，超出本级应急处置范围的，及时向省应急办报告。4.3.5.6 响应升级（1）根据事态发展，超出应急领导小组处置能力的，需要更多的部门和单位参与处置时，应及时报告省（部）应急办，在获得授权的前提下以省（部）应急办名义，组织、协调省（部）其它专项应急指挥部门和有关部门及单位参与处置工作。（2）当网络安全事件造成的危害程度已十分严重，超出省交通运输厅控制能力，需要国家有关部门、军队、其它省（区、市）提供援助和支持时，依据XX省安全事件应急预案有关规定，应急领导小组及时向省应急办报告事件情况。4.3

38、.6 应急结束在网络安全事件处置已基本完成，次生、衍生灾害和事件危害基本消除，风险得到控制，应急处置工作即告结束。（1）级应急响应结束由省（部）应急办决定。（2）、级应急响应结束由应急领导小组决定，并报告省（部）应急办备案。4.3.7 恢复重建。1 善后恢复恢复重建工作按照“谁主管谁负责，谁运行谁负责”的原则，由事发单位（部门）负责组织制定恢复、整改或重建方案，报主管单位（部门）审核实施。2 事件总结（1）级应急处置工作结束后，网信应急办在省（部）应急办统一部署下，开展应对工作分析总结，按照省（部）要求上报。（2）级应急处置工作结束后，网信应急办在应急领导小组统一部署下，开展应对工作的分析总结

39、，按照要求上报应急领导小组。（3）级应急处置工作结束后，事发单位（部门）在网信应急办的组织下，开展应对工作的分析总结，在10天内报送网信应急办。（4）网信应急办根据分析总结报告，构建网络安全事件案例。5.应急演练和技术培训5.1 应急演练应急演练包括规划、计划、准备、实施、评估总结等5个阶段。通过应急演练，发现和解决应急工作中存在的问题，落实岗位责任，熟悉应急工作的指挥机制和决策、协调、处置的程序，评价应急准备工作，培训和检验应急队伍的快速反应能力，提高各单位（部门）之间协调配合和现场处置能力，检验应急预案的可行性。应急演练是对应急能力的综合检验，是一项综合性工作。各单位（部门）必须高度重视，

40、加强领导，周密部署，精心组织，确保应急演练工作有序进行。（1）各单位（部门）结合实际情况，制定应急演练计划，上报网信应急办；（2）各单位（部门）接到批复后，组织应急演练队伍；（3）应急演练队伍按照应急演练计划中的应急预案进行模拟演练，明确自身职责，提高协同作战能力；（4）应急演练结束后，演练单位（部门）及时总结，并将应急演练的演练记录和总结上报网信应急办；（5）网信应急办对各单位（部门）进行的应急演练实际效果进行全面、正确的评价，对应急预案进行修编完善，确保预案的科学性、实用性和可操作性；（6）应急演练应定期（每年不低于一次）开展，使应急人员进入“实战”状态，熟悉各类网络安全事件处置方法和行动

41、程序；（7）各单位（部门）应配备足够的应急演练XX和经费，保障应急演练工作的顺利开展。5.2 技术培训网信应急办组织各单位（部门），开展网络信息安全法规、标准、风险评估、分析处置、容灾备份等方面的知识和专业技术培训。各单位（部门）须将网络安全事件的应急知识列为领导干部和全员的培训内容，加强网络信息安全知识和专业技术培训特别是网络安全应急预案的培训，提高防范意识及技能，圆满完成网络安全事件处置任务，最大限度地减少损失或对社会造成的不良影响。（1）各单位（部门）在充分调研的基础上，根据实际情况，制定培训计划，上报网信应急办备案。（2）各单位（部门）按照培训计划开展不同形式的、不同层面的网络信息安全知识和技术培训工作，其中综合性的技术培训一般每年不少于一次；（3）各单位（部门）须对技术培训的实际效果进行评估，确保培训计划的科学性和实用性，上报网信应急办；（4）各单位（部门）应配备足够的经费和其它XX，保障网络信息安全知识和技术培训工作顺利开展。6.监督与奖惩网络安全事件应急处置工作实行责任追究制。对不按照要求组织开展应急演练、技术培训，迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其它失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。6.1 监督网信应急办负责全过程的监督检查，督促各单位（部门）落实本应急预案。