教育系统突发网络信息安全事件应急预案模版

教育系统突发网络信息安全事件应急预案1．总则1.1编制目的为提高我区教育系统处理突发网络与信息安全事件的能力，形成科学、有效、反应迅速的应急工作机制，确保我区教育城域网络和学校校园网络重要计算机信息系统的实体安全、运行安全和数据安全，有效预防计算机网络信息安全事件的发生，最大限度地减轻突发网络信息安全事件的危害，保障学校以及师生的合法权益，维护正常的教育教学秩序以及**教育的良好形象，促进我区教育系统的和谐稳定发展。1.2编制依据依据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际互联网管理暂行规定》、《深圳市教育城域网网络信息安全应急处置预案》和《**区维护学校教育教学秩序稳定应急预案》以及省市区的有关法律法规和文件，结合我区实际，制定本预案。1.3适用范围本预案适用于我区教育城域网络信息系统、公民办中小学校（幼儿园）校园网络系统内突然造成或可能造成与本预案定义的I－IV级突发网络信息安全事件的紧急应对处理工作。1.4遵循原则（一）明确责任，分级负责。实行学校、街道教育办（综合事务科）、区教育局三级网格化分级管理机制。各单位按照“谁主管、谁负责”的原则，加强网络信息安全管理，落实各项安全管理制度和措施。分级响应，条块结合、以块为主，基层先行、逐级抬升的突发网络信息安全事件处理模式。充分发挥各方面的作用，共同构筑我区教育网络信息安全保障体系。（二）依靠技术，科学防范。采用先进的网络信息安全监控防范技术手段，建立全区教育网络信息安全监控中心，在我区教育城域网络中心以及全区各中小学校园网中心部署分布式的边界安全（防火墙）系统、分布式上网行为审计系统以及防病毒系统，采用集中监控、集中下发安全策略等手段实现全区教育网络信息系统的远程智能化管理。（三）预防为主，制度保障。有效预防突发网络信息安全事件的发生是应急工作的重要任务。应建立完善的网络信息安全7×24小时的日值班制度、监测情况报告以及督促整改制度。做到“早发现、早预警、早整改”，有效防范突发网络信息安全事件的发生。（四）专业培训，人员保障。做好网络信息安全工作的关键是要建设一支政治过硬、责任心强、技术精良的网络管理员队伍。要进一步加强网络管理员的职业道德教育、专业技能培训等高级培训。各单位主管领导、网络管理员对本单位网络信息安全工作必须高度重视、严防死守。（五）专家支持，科学决策。当遇到突发网络信安全事件时，必须保持清醒的头脑，以相关法律法规为依据，确立统一领导、专家支持、科学决策、责任到人、反应及时的处置方式。健全信息报告体系，确保事件发生后，能够迅速组织专家队伍，依靠专家智囊科学诊断事件发生的动机、性质、危害程度，并迅速采取有效措施，将危害控制在最小程度。2．突发网络信息安全事件的分类分级2.1突发网络信息安全事件的定义本预案所指的突发网络信息安全事件，是指我区教育城域网中心、学校校园网等重要网络信息系统突然遭受不可预知外力的破坏、毁损或故障，不良信息（含家校互联平台发布的不良信息）在我区教育网、学校校园网乃至整个互联网的传播，发生对国家、社会、学校、公众造成或者可能造成危害的紧急网络安全事件。2.2突发网络信息安全事件的分类根据突发网络信息安全事件的发生过程、性质和特征，突发网络信息安全事件划分为突发网络安全事件和突发信息安全事件两大类。突发网络安全事件是指自然灾害、事件灾难和人为破坏引起的网络与信息系统的损坏；突发信息安全事件是指利用信息网络进行有目的或有组织的反动宣传、煽动和歪曲事理的不良活动或违法活动。（1）自然灾害是指地震、台风、雷电、火灾、洪水等。（2）事件灾难是指电力中断、网络损坏或者是软件、硬件设备故障等。（3）人为破坏是指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖主义活动等事件。2.3突发网络信息安全事件的分级按照上级的分类，根据对突发网络信息安全事件的性质、可控性、危害程度和影响范围，将突发网络信息安全事件分为特别重大（I级）、重大（II级）、较大（III级）和一般（IV级）四级。（1）特别重大突发网络信息安全事件（I级）有下列情形之一的，为特别重大突发网络信息安全事件（I级）：①造成区级以上重要部门网络与信息系统发生大规模瘫痪。②利用网络制作、复制、查阅和传播宣扬反动、封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪信息，对国家安全、社会秩序、公共利益或教育形象造成严重损害，各类事态的发展超出区一级相关主管部门的控制能力，需要国家、省、市、区各部门协调处置的的突发事件。③国家网络信息安全行政监察部门认定的其它特别重大突发网络信息安全事件。（2）重大突发网络信息安全事件（II级）有下列情形之一的，为重大突发网络信息安全事件（II级）：①造成区级以上重要部门网络与信息系统受阻或瘫痪。②利用网络制作、复制、查阅和传播宣扬反动、封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪信息，对国家安全、社会秩序、公共利益或教育形象造成一定程度损害。③有目的攻击各类网络核心应用系统，致使系统数据丢失与系统崩溃，造成重大经济损失或重要信息受阻。④在互联网上大面积传播病毒、木马或上传下载非法软件而造成重大损害行为的。⑤需要上级政府或网络信息安全行政监察部门协助，乃至需跨地区协同处置的突发网络信息安全事件。⑥省级以上网络信息安全行政监察部门认定的其它重大突发网络信息安全事件。（3）较大突发网络信息安全事件（III级）有下列情形之一的，为较大突发网络信息安全事件（III级）：①造成我区人民政府信息网或市教育城域网络的重要网络与信息系统受阻或瘫痪。②有目的在市、区两级教育城域网或校园网内散布病毒、木马或上传下载非法软件，但未造成重要数据丢失或重要系统崩溃。③在互联网上发布不良信息、诬蔑、诋毁或失实举报与投诉，对社会秩序、公众利益或教育形象造成一定的损害。④有目的攻击区内网络应用系统数据，造成数据丢失或系统崩溃。⑤在区教育城域网或校园网的网站上发布不良信息，给个人或单位的权益造成较大影响或损害，但未在互联网上大面积传播。⑥只需由我区人民政府、市教育网络中心、区信息中心协同处置的突发网络信息安全事件。⑦市（地）级以上网络信息安全行政监察部门认定的其它较大突发网络信息安全事件。（4）一般突发网络信息安全事件（IV级）有下列情形之一的，为一般突发网络信息安全事件（IV级）：①造成我区教育城域网络或学校校园网络设备损坏或被盗。②造成我区教育重要站点或学校站点重要数据丢失或系统崩溃。③在互联网上发布不良信息、诬蔑、诋毁或失实举报与投诉，对社会秩序、公众利益或教育形象造成轻微程度的影响。④在我区教育城域网站点或学校站点上发布不良信息、诬蔑、诋毁或失实举报与投诉，对师生、家长或其他人员和单位的权益造成轻微程度的影响。⑤可由我区教育主管部门或学校处置的突发事件。⑥县（区）级以上网络信息安全行政监察部门认定的其它一般突发网络信息安全事件。3．组织机构和职责3.1应急指挥机构与职责为确保全区教育网络信息安全，成立**区教育系统教育网络信息安全工作领导小组。当发生突发网络信息安全事件时，**区教育系统教育网络信息安全工作领导小组转为**区教育系统突发网络信息安全事件应急处置工作领导小组（以下简称领导小组），是区教育系统处置网络信息安全事件的应急指挥机构。领导小组在区人民政府和**区突发网络信息安全事件应急处置工作领导小组领导下开展工作。组长由区教育局局长担任，常务副组长由区教育局分管安全副局长担任，副组长由其他副局长、区教科培训中心主任担任。成员由区教育局及教科培中心科室长、街道教育办（社会事务科）（以下简称街道教育部门）主要负责人及相关人员组成。其主要职责：研究制订我区教育网络信息安全应急处置工作的规划、计划和政策，协调推进我区教育网络信息安全应急机制和工作体系建设；当发生突发网络信息安全事件后，对事件做出初步判断；按规定及时报送有关信息；组织应急处置、调查和处理；建立健全应急工作制度和部门联动机制；按规定发布预警信息；会同区有关部门做好应急工作的部署、协调、指导、宣传和监督工作；配合上级部门做好事故的调查和处理。区教科培中心信息技术部（以下简称“信息部”）负责系统内突发网络信息安全事件应急的日常管理工作。领导小组下设综合协调组、专业救援组、信息报送组、调查评估组等若干工作组。各组的构成及其职责是：（1）综合协调组：由区教育局分管安全工作的副局长任组长，成员由局办公室、安全办、基教科、民管办、信息部等部门组成。负责综合信息，传达上级指示精神；协调各专业应急机构、专家和专业救援队伍以及相关单位开展工作；做好相关部门的通报工作。（2）专业救援组:由区教育局分管安全工作的副局长任组长，成员由局安全办、群团办、信息部、事发街道教育部门、学校等部门以及网络信息安全专家组成（根据情况临时聘请）。负责配合上级网络信息安全行政管理机构、人员对事件进行分析、研究并提出解决办法，及时关注事态发展，不断采取有效措施降低事件的危害范围、危害程度等。（3）信息报送组：由区教育局分管信息报送工作的副局长任组长，成员由局办公室、安全办、信息部、事发街道教育部门、学校等部门组成。负责及时向领导和上级部门汇报事件动态，按规定向区应急指挥中心、市教育局、市公安局网络监察分局报送信息；及时记录事件发生、发展及处置情况；组织起草公告、通报、简报等文字材料。（4）调查评估组：由区教育局分管纪检监察工作的副局长任组长，成员由纪检监察室、人力资源科、安全办、基教科、民管办、信息部、事发街道教育部门等部门组成。负责根据事件的性质，及时跟进调查事件动机、危害程度、处置单位及有关负责人履行职责的情况，并提出奖惩、评估损失和援助范围等方面的意见。3.2应急处理专业技术咨询机构或行政管理机构互联网管理机构、市、区政府网络信息中心、市、区教育城域网络信息中心以及高等院校是突发网络信息安全事件应急处理的专业技术咨询机构。国家、省、市、区公安网络安全监察部门以及教育行政部门是突发网络信息安全事件应急处理的行政管理机构。4．日常监测与预警4.1信息部日常监测与预警（一）信息部负责全区教育系统网络信息安全的日常管理、维护、监测与预警。应整合现有的应急服务报警接警资源（固定电话、移动电话、短信、E-mail等），保证信息报告和联系渠道畅通。按照“早发现、早报告、早处置”的原则，建立日值班制度，加强对各类突发网络信息安全事件和可能引发突发事件的有关信息的收集、分析判断和持续监测，并将综合值班情况形成书面材料（日报告、周报告及月报告）。（二）建立网络信息安全日常监测情况报告制度。日报告报送信息部负责人，周报告及月报告报送区教育局办公室（于次周或次月的第一天报送），由局办公室报送有关领导及相关科室负责人审阅。4.2各办学单位日常监测与预警各办学单位负责本单位校园网络信息以及在互联网托管的本校网站安全的日常管理、维护与监控。参考信息部执行日值班制度以及日常监测报告制度。日报告报送信息科组负责人，周报告及月报告报送主管校领导，并将月报告报送到信息部查阅与备案（于次月的第一天报送）。5．应急响应5.1报告范围与标准见突发网络信息安全事件的分类分级。5.2报告方式、时限、程序与应急处置（1）学校应急响应。发生突发网络信息安全事件后，事故现场有关人员应当立即向本单位负责人报告，学校领导、注册安全主任、信息技术科组长、网络管理员及相关责任人必须20分钟内赶到事件现场，立即采取措施控制事态，并在20分钟内进行相应的风险评估。学校突发网络信息安全事件报告人应当在30分钟内将相关信息以电话、传真、E-mail等方式向属地教育行政部门、区教科培中心信息部报告，40分钟内上传书面报告（见附件1、2、3）。（2）街道应急响应。街道教育行政部门接报后，主要负责人、注册安全主任及相关负责人应在接报后30分钟内赶赴现场，召集技术专家准确判断事件发生的动机、性质、危害程度，果断采取有效措施进行处置，积极抢救，严防次生、衍生事故发生。街道教育部门突发网络信息安全事件报告人应当在接报后10分钟内将相关信息以电话、传真、E-mail等方式向街道网络信息中心、区教育局报告，50分钟内上传书面报告（参考附件1、3）。（3）区教育局应急响应。区教育局接报后，领导小组组长、常务副组长等领导成员、安全办、信息部及相关工作组组长应在接报后60分钟内赶赴现场，并迅速启动应急预案和若干工作组开展应急、协调、抢救及善后处置工作。如不能做技术处理的，应及时聘请有关专家对事件进行技术分析、研判，根据问题的性质、危害程度，提出可能达到的安全警报级别，并决定是否扩大应急。属特别重大（I级）、重大（II级）、较大（III级）和一般（IV级）事件的，应立即报告区应急指挥中心、市教育局和市公安局网络监察分局（网络监察处），上报时间不得超过2小时。（4）信息部应急响应。信息部在突发网络安全事件发生接警后，自始至终应跟进事态的发展，及时向领导小组、区网络信息中心、市教育网络信息中心报告最新的进展情况，及时组建专家队伍进行分析、判断，并及时提供解决办法与措施供领导小组决策，在领导小组的直接指挥下，执行各项应急任务。属轻微突发网络安全事件的或可由学校直接处置的，要求信息部提供必要的技术支持和指导，并做好事后工作检查。5.3报告内容（1）事件信息信息报告主要内容包括：事件名称、事件类别、事件级别、接报时间、报告人、发现事件时间、地点、网址、主要内容、可能的原因、影响范围、危害程度、已经采取的措施、事件的发展趋势、下一步工作计划等。（具体内容见附件2、3）（2）事件发生、发展、控制过程信息事件发生、发展、控制过程信息分为初次报告、进程报告、结案报告。①初次报告报告内容包括事件名称、初步判定的事件级别和性质、发生地点、发生时间、网址、主要内容、可能的原因、影响范围、危害程度、已采取的措施、报告单位、报告人员及通讯方式等。②进程报告报告事件的发展与变化、处置进程、事件的诊断和原因或可能因素、势态评估、控制措施等内容。同时，对初次报告的《**区学校突发网络信息安全事件报告表》进行补充和修正。重大及特别重大突发网络信息安全事件要按半天报告，于每天上午11时、下午5时前进行进程报告。③结案报告突发网络信息安全事件应急反应的终止需符合以下条件：突发网络信息安全事件找到肇事人并得到全面控制，或事件已经被全面控制并无后遗症，或其隐患或相关危险因素消除。由所属事件级别的处置工作领导小组决定是否结案。在确认事件终止后1周内，达到本预案分级标准的突发网络信息安全事件由相应级别网络信息安全行政部门组织评估，评估内容主要包括事件概况、现场调查处理概况、技术处理情况、所采取措施的效果评价、应急处理过程中存在的问题和取得的经验及改进建议。6．后期处置6.1善后工作学校突发网络信息安全事件应急处置完成后，工作重点应转入善后行动，争取在最短时间内恢复学校正常的教育教学秩序。（1）学校要认真做好受破坏网络软硬件系统的修复工作，或者清除事件造成的后遗症。（2）各有关单位和部门要对突发事件反映出的网络信息安全隐患问题和整改意见及时进行整改。信息部做好督促、检查和指导工作。6.2责任追究按照事故原因未查明不放过、责任人未处理不放过、整改措施未落实不放过、有关人员未受到教育不放过“四不放过”的原则进行。区教育局对学校发生的突发网络信息安全事件进行调查，并根据调查结果，对导致事件发生的有关责任人和责任单位依法追究责任。对在学校突发网络信息安全事件的预防、报告、控制和处理过程中，有玩忽职守、失职、渎职等行为的，依据有关法律法规追究有关责任人的责任。7．应急保障7.1人员保障学校应坚持预防为主，平战结合。要求每所学校至少配备1名取得专业资格的网管员持证上岗，并按照一专多能的要求建立我区教育系统网络信息安全应急技术保障队伍，由领导小组办公室择优选择组成应急技术队伍，必要时进行技术支援。7.2经费保障保证学校突发网络信息安全事件所需的经费、通讯、交通等基本设施设备；每年安排一定的经费，保障完善和优化我区教育城域网络信息中心、学校校园网络信息中心的基础设施和条件。8．宣传、培训和演练8.1宣传教育各有关办学单位要充分利用学校各种传播媒介及有效的形式，如信息技术课、校园网络、校园广播、校会、教职工大会、家长会、班会、宣传栏、校报、知识手册、知识竞赛等途径进行网络信息安全宣传教育，尤其是要加大师生上网行为规范教育，不断提高师生和家长的防范意识以及应急处置能力，养成文明、安全、健康的上网行为规范。8.2培训定期和不定期组织应急管理人员培训，将网络信息安全突发事件的应急管理、工作流程等列为培训内容，提高应急处置工作中的组织、应急报告、处置和救援能力。8.3演练建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制中存在的问题，不断完善应急预案，提高应急处置的实战能力。9．附则9.1学校预案各街道教育行政部门和学校要参照本预案，制定本单位的《****突发网络信息安全事件应急预案》，并予以公布。同时，报区教育系统突发网络信息安全事件应急处置工作领导小组备案。9.2解释机构本预案由区教育局负责解释。9.3实施时间本预案自发布之日起实施。

附件1：学校突发网络信息安全事件报告流程图区教育局区教育局29993731学校直属中小学(幼儿园)各街道学校(幼儿园)街道教育办市教育局区教科培信息部27755321区网络信息中心29996315区网络信息中心29996315市教育网络信息中心26558628、26732106市公安局网络监察分局(市公安局网络监察处)84452800区教科培信息部27755321市教育网络信息中心26558628、26732106区应急指挥中心

附件2：**区学校网站与互联网信息安全事件监控记录表搜索关键字定义**、学校、教师、学生、打架、投诉、暴力、信访、游行1．敏感信息监控记录（标题内容/URL地址/信息反馈等）标题内容：发布时间：

网址：主要内容：2．敏感BBS站点信息监控记录奥一网()百度贴吧（）3．信息安全风险评估及建议监测时间年月日时分监测人签名

附件3：**区学校突发网络信息安全事件报告表填报单位（盖章）：填报时间：年月日时报告人： 联系电话发现时间年月日时分事件分类网络安全；信息安全事件分级特别重大（I级）；重大（II级）；较大（III级）；一般（IV级）事件经过（接报时间、报告人、发现事件时间、事件性质、影响范围、危害程度）：学校处理措施（现场技术处理、寻找当事人、寻求上级部门支援、停止服务、删除上传资料、组织协调等）：教育部门意见：领导指示：

**区教育系统突发网络信息安全事件应急预案（简本）有有批准发布预警信息有无隐患取消预警一般(Ⅳ级)（见图表）较大(Ⅲ级)（见图表）重大(Ⅱ级)（见图表）特别重大(Ⅰ级)（见图表）是否扩大应急应急结束,报告情况学校、幼儿园区教育局(区教育系统突发网络信息安全事件应急工作领导小组)街道教育办(社会事务科)无提供技术指导和协助,提供专家资源配合街道和学校处置否是是否应急响应监控和预警后期处置区科技局(区信息中心)加强网络安全监控,做好应急准备指导学校、街道开展工作，协助区科技局做好相关工作收集和分析信息,提出网络信息安全事件防控措施加强网络信息安全值班和监控，做好信息报送工作学校领导、注册安全主任、网管员及相关责任人20分钟内到达现场，并启动学校应急预案组织处置街道教育部门主要负责人、注册安全主任及相关责任人30分钟内到达现场，及时报送信息，并配合学校处置达到“一般”事件级别,启动本应急预案,向区信息中心、区应急指挥中心、市教育局报告领导小组组长、常务副组长等领导成员、安全办、信息部负责人及相关工作组组长应在60分钟内赶赴现场，并迅速启动若干工作组开展工作根据实际情况适时提出应急结束的建议按《宝安区各级各类学校、幼儿园突发公共事件总体应急预案》的有关规定和要求展开善后处理、调查和总结等善后工作是否扩大应急全面掌握事件情况，及时向区信息中心、区应急指挥中心、市教育局、市公安局网络安全监察分局报告并由区应急指挥中心提出向省、市、区请求支援建议附注：**区教育系统突发网络信息安全事件应急处置工作领导小组是我区教育系统处置学校突发网络信息安全事件的应急指挥机构。领导小组组长由局长担任、常务副组长由分管安全副局长担任，成员由局、教科培中心科室长、各街道教育办主任（社会事务科科长）及相关人员组成。办公室办公地点设在区教科培中心信息技术部。信息技术部值班电话：27755321；局安全办电话：27750413，区教育局值班电话：27789805，区信息中心值班电话：29996315，市公安局网络安全监察处值班电话：84452800**区教育系统突发网络信息安全事件应急预案（图表式）机构区分阶段和情况区分事发学校、幼儿园街道教育办（社会事务科）区教育局（区教育系统突发网络信息安全事件应急工作领导小组）监控和预警信息监控和报告监测通过强化值班制度、配备专职或兼职监测人员、完善监测网络和实施安全隐患举报等途径，收集在**区教育系统内外可能造成重大影响的突发性网络信息安全事件信息。报告一般等级突发网络信息安全事件在事发30分钟内电话报告及网上填报事件主要情况；较大等级突发网络信息安全事件在事发20分钟内电话报告及网上填报事件主要情况；重大和特别重大突发网络信息安全事件在事发10分钟内电话报告及网上填报事件主要情况。预警一旦发现突发网络信息安全事件征兆或发生突发网络信息安全事件，应迅速报告、及时分析、科学预测，及时向全区教育系统发布预警信息。预警信息发布后，区教育局相关科室、有关街道教育办（社会事务科）应根据预警级别及时按照本预案做出部署，迅速通知有关单位采取行动，防止事态进一步扩大。应急响应分级响应一般事故迅速报告上级部门,并启动学校(幼儿园)相应应急预案进行处置。事发地街道教育办（社会事务科）按照有关规定启动街道应急预案并协调街道各方面力量先期进行处置,同时将情况报街道办和区教育局。掌握情况，提供指导和协助。较大事故报区信息中心、区应急指挥中心、市教育局，按区领导指示启动区相应应急预案的建议，组织各方面力量进行处置。重大、特别重大事故组织各方面力量先期进行处置，同时迅速将情况报告区应急指挥中心、市教育局、深圳市公安局网络监察分局。扩大应急危害程度超出自身控制能力或次生衍生出其它突发公共事件及时向区应急指挥中心报告。处置工作完毕分析判断，决定应急工作结束或提出应急工作结束的建议。后期处置善后处理协同区有关职能部门及时指导事件发生单位恢复正常网络运行环境，清除网络信息安全隐患，做好善后处置工作。调查和总结对事发原因、处置经过、损失、责任单位奖惩、援助需求等作出综合调查评估，并及时将调查评估报告上一级部门。

附件1：突发网络信息安全事件分级等级事件可控性、严重程度和影响范围一般（Ⅳ级）①造成我区教育城域网络或学校校园网络设备损坏或被盗。②造成我区教育重要站点或学校站点重要数据丢失或系统崩溃。③在互联网上发布不良信息、诬蔑、诋毁或失实举报与投诉，对社会秩序、公众利益或教育形象造成轻微程度的影响。④在我区教育城域网站点或学校站点上发布不良信息、诬蔑、诋毁或失实举报与投诉，对师生、家长或其他人员和单位的权益造成轻微程度的影响。⑤可由我区教育主管部门或学校处置的突发事件。⑥县（区）级以上网络信息安全行政监察部门认定的其它一般突发网络信息安全事件。较大（Ⅲ级）①造成我区人民政府信息网或市教育城域网络的重要网络与信息系统受阻或瘫痪。②有目的在市、区两级教育城域网或校园网内散布病毒、木马或上传下载非法软件，但未造成重要数据丢失或重要系统崩溃。③在互联网上发布不良信息、诬蔑、诋毁或失实举报与投诉，对社会秩序、公众利益或教育形象造成一定的损害。④有目的攻击区内网络应用系统数据，造成数据丢失或系统崩溃。⑤在区教育城域网或校园网的网站上发布不良信息，给个人或单位的权益造成较大影响或损害，但未在互联网上大面积传播。⑥只需由我区人民政府、市教育网络中心、区信息中心协同处置的突发网络信息安全事