网络与信息安全突发事件应急预案

———网络与信息安全突发事件应急预案第一章总则第一条目的依据为规范xx集团股份有限公司（以下简称公司）网络与信息安全突发事件应急管理和应急响应程序，及时有效地实施应急救援工作，最大程度地预防和减少网络与信息安全突发事件造成的损害和影响，依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《电力企业专项应急预案编制导则》等有关法律法规及中国能建、公司总体应急预案和专项预案，特制订本预案。第二条适用范围本预案适用于公司本部、所属单位、委托管理单位、直管项目公司和直管项目部（以下简称各单位）网络与信息安全突发事件应急管理和应对处置工作；规范与指导各单位网络与信息安全突发事件应急预案的编制和应急处置工作。第三条事件分类根据公司网络与信息安全运行情况，突发事件分为以下三类。（一）灾害类事件：指因地震、雷击、台风、火灾等不可抗力导致信息系统和设备设施损毁，造成业务中断、系统宕机、网络瘫痪等情况。（二）故障类事件：指信息系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。（三）攻击类事件：指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。第四条响应分级公司网络与信息安全突发事件按中断时间、对公司生产经营的影响程度等因素，网络与信息安全突发事件分为四级：特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）和一般（Ⅳ级）。对照突发事件分级，公司应急响应分为二级，具体分级标准见附件1。第二章组织机构与职责第五条网络与信息安全突发事件应急指挥小组及工作机构针对网络与信息安全突发事件，公司应急管理领导小组研究成立网络与信息安全突发事件专项应急救援指挥小组。具体如下：分管信息化副总经理成员：办公室（党委办公室）、人力资源部（党委组织部）、财务与产权部、安全生产监督部（质量环保部）、法律与合规部（内部控制部、监事会办公室）、审计部、党群工作部（党委宣传部）、生产与项目管理事业部、科技信息装备事业部、传媒中心、综合管理中心等部门、事业部、直属机构负责人。公司网络与信息安全突发事件指挥小组成员部门的职责及联系方式详见附件2。指挥小组下设办公室，办公室设在科技信息装备事业部，办公室主任由科技信息装备事业部总经理担任。第六条现场应急指挥部网络与信息安全突发事件发生后，根据突发事件响应级别，公司或各单位在现场组建应急指挥部，具体负责现场应急指挥、协调、处置等职责。现场应急指挥部设总指挥、副总指挥及综合协调组、故障处置组、技术支持组、舆情处置组等相关工作组（见附件3）。第三章应急响应第七条突发网络与信息安全事件应急响应流程公司按照“分级负责、分类应对、快速反应、协调联动”原则，开展网络与信息安全突发事件应急响应。应急响应流程见附件4。第八条信息接报与处置（一）信息接报1.预警信息网络与信息安全突发事件应急指挥小组办公室应通过以下途径，获取预警信息：（1）通过政府新闻媒体公开发布的预警信息。（2）上级部门或地方政府部门向公司告知的预报信息。（3）网络信息安全相关服务商和机构告知的预警信息。（4）各单位上报的预警信息。（5）经风险评估确定的可能发生事故的预警信息。2.突发事件信息网络与信息安全突发事件发生后，事发单位应当按规定及时向当地政府有关部门、行业主管部门和公司报告，公司设立24小时应急值班电话（xx）。发生网络与信息安全突发事件，事发单位负责人应逐级报告，于1小时内报告公司网络与信息安全突发事件应急指挥小组办公室，书面快报于2小时内报网络与信息安全突发事件应急指挥小组办公室；公司按照有关法规要求进行网络与信息安全突发事件信息上报。政府部门及相关应急机构联系方式见附件5。报告内容至少应包括:事件发生时间、地点、涉及范围、损失、已经或可能造成的影响、事件初步原因，报告人的单位、姓名、职务和联系电话。（二）信息处置与研判网络与信息安全突发事件应急指挥小组办公室接到预警信息或事发单位突发事件信息后，及时组织分析评估，研判发生的可能性、程度和影响范围，提出信息处置建议，及时向网络与信息安全突发事件应急指挥小组报告。达到本预案设定的应急启动条件时，网络与信息安全突发事件应急指挥小组作出响应决策。若未达到响应启动的条件，网络与信息安全突发事件应急指挥小组作出预警启动的决策，并做好响应准备，实时跟踪事态发展。根据事态发展，及时调整预警级别或响应启动。第九条预警（一）预警启动根据网络与信息安全突发事件性质、危险程度、涉及范围，预警分为四级，由高到低分别为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级。依次用红色、橙色、黄色、蓝色标示。预警信息通过协同办公系统、“e能建”、公司网站、手机短信、电子显示屏等有效渠道及时发布，并根据情况变化适时调整预警级别。预警信息的内容包括突发事件名称、预警级别、预警区域或场所、预警期起始时间、影响估计及应对措施、发布单位和时间等。（二）响应准备发布网络与信息安全突发事件预警信息后，应采取以下部分或全部措施：1.开展应急值班，及时收集、报告广域网、信息系统、数据备份系统等运行有关信息，做好突发事件发生、发展情况的监测和事态跟踪工作；加强与政府相关部门的沟通，及时报告事件信息。2.与本事件相关的应急技术支持力量（广域网服务商、电信运营商、网络设备服务商、信息系统开发商等）、内外部有关专家进入待命状态，动员IT运维人员做好参加应急救援和处置工作的准备。3.有关职能部门根据职责分工，协调组织做好应急队伍、应急物资、交通运输车辆、异常情况处置和事件信息披露的准备工作。4.调集应急救援所需网络设备、服务器等，准备应急设施，确保其处于良好状态，随时可投入使用。5.加强对重要系统、重要设备、重要数据备份情况、重要设施的巡视检查。6.转移重要息系统数据、设备、物资等。7.做好新闻宣传和舆论引导工作，及时向员工宣传相关防护和处置知识。8.做好其他启动应急响应准备工作。（三）预警解除根据事态发展变化，适时调整预警级别、更新预警信息内容，及时报告、通报和发布有关情况。有事实证明不可能发生突发事件或者危险已经解除的，按照“谁启动，谁结束”的原则，由启动预警的应急管理机构解除预警。第十条响应启动（一）一级响应符合一级响应条件时，经公司应急管理领导小组作出响应启动决策后，由公司网络与信息安全突发事件应急指挥小组启动一级响应。公司网络与信息安全突发事件响应程序如下：1.组织召开公司应急管理领导小组会议，落实相关决策和部署。2.网络与信息安全突发事件应急救援指挥办公室立即进入24小时应急值守状态，及时收集汇总事件信息，并按有关规定向上级主管部门汇报有关情况。3.组织成立现场应急指挥部，迅速组织与突发事件相关的广域网服务商或电信运营商或网络设备服务商或信息系统开发商开展现场应急救援工作。4.各成员部门按应急职责分工，落实应急指令，提供各项资源保障。5.加强与政府有关部门联系沟通，必要时向政府部门提出援助请求。6.协调解决应急处置中发生的其他问题。现场应急指挥部响应程序如下：1.根据中国能建、公司网络与信息安全突发事件应急指挥小组指令，进行现场应急指挥，针对事态发展制定和调整现场应急处置工作方案。2.整合调配现场应急资源，组织与突发事件相关的广域网服务商或电信运营商或网络设备服务商或信息系统开发商开展应急救援、善后处置、调查、恢复网络或系统等应急处置工作。3.按信息报送要求，及时向政府有关部门、中国能建、公司等汇报应急处置情况。4.分析舆情态势，制定新闻发布和宣传方案，做好媒体记者的组织和服务工作。5.收集、整理应急处置过程有关资料，做好现场应急处置全过程记录。6.核实应急状态解除条件，并向当地政府、公司网络与信息安全突发事件应急指挥小组请示应急状态解除。事发单位响应程序如下：1.启动本单位网络与信息安全突发事件应急处置工作。2.确定专人负责进行事件情况监测、信息收集和分析工作，按规定向上级单位报告事件最新进展。3.整合调配现场应急资源，组织与突发事件相关的广域网服务商或电信运营商或网络设备服务商或信息系统开发商开展应急救援、善后处置、调查、恢复网络或系统等应急处置工作。4.落实各项应急指令或协调解决应急处置中发生的其他问题。（二）二级响应符合二级响应条件时，由各单位应急管理领导小组研究后，启动二级响应。事发单位响应程序如下：1.启动本单位网络与信息安全突发事件应急处置工作。2.确定专人负责进行事件情况监测、信息收集和分析工作，按规定向上级单位报告事件最新进展。3.统筹组织协调人员、设备、物资、资金等资源保障工作。4.落实各项应急指令或协调解决应急处置中发生的其他问题。第十一条处置措施（一）灾害类事件1.自然灾害（1）当发生地质、气象等自然灾害时，出现硬件设备和机房损毁，运维人员需确认灾害不会造成人身伤害后，检查机房设备设施，统计受损设备。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员组织相关厂商对灾害损毁情况进行评估，制定恢复方案，并向领导汇报。（3）指挥小组积极做好灾后恢复工作，确保在最短时间内恢复网络和信息系统访问。2.火灾（1）当发生机房火灾时，相关人员收到火警消息或发现火情后，第一时间应拨打“119”报警，同时立即通知值班领导、安保部门负责人等。（2）现场人员应积极自救，在确保自身安全的情况下，应先关闭电源总闸，使用二氧化碳灭火器进行灭火。在灭火器无法灭火时，确保机房无人情况下，按规定使用七氟丙烷进行灭火。（3）火情结束后，指挥小组及时组织评估事故损失情况，研讨恢复信息系统正常运行的最佳解决方案，同时向相关部门和领导汇报。（二）故障类事件1.业务系统故障（1）当业务系统出现访问异常时，相关人员应立即告知业务系统负责人进行处置。达到一般及以上网络与信息安全突发事件标准时，业务系统负责人应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应组织运维人员及软件厂商进行故障处理，恢复业务系统服务。（3）恢复正常后，应急处置人员组织人员对系统进行故障分析，确定问题原因，进行修复。2.机房设备故障（1）机房设备出现故障，网络和业务系统运行受到影响，运维人员应及时进行处置，并告知业务系统负责人。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员组织人员查找、确定故障设备、故障原因、影响范围，启用备用设备，恢复网络和业务系统运行。（3）恢复正常后，应急处置人员联系相关厂商，进行故障设备报修。3.云主机故障（1）云主机出现故障，业务系统运行受到影响，运维人员应及时进行处置，并告知业务系统负责人。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员顺序重启业务系统、操作系统、硬件服务器，联系软硬件厂商进行系统和数据恢复。（3）恢复正常后，应急处置人员组织人员查明云主机故障原因，及时修复系统、更新补丁。4.视频会议故障（1）视频会议系统出现故障，会议受到影响，运维人员应及时进行处置，当本地声音不能传到对方时，应检查话筒、音频输入连接线、调音台设备是否出现故障；当本地图像不能传到对方时，检查本地视频源选择是否正确，摄像头是否工作，视频输入线是否接好；短时间不能解决问题时，应及时切换至企业微信视频会议系统。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员按顺序重启视频会议系统、检查网络环境，联系软硬件厂商进行系统恢复。（3）恢复正常后，应急处置人员联系相关厂商，进行故障设备报修。5.数据库故障（1）数据库出现故障，业务系统运行受到影响，运维人员应及时检查服务器、网络运行状况。如运行环境正常，运维人员应立即向指挥小组报告，并告知业务系统负责人。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应第一时间联系软硬件厂商进行故障处理。（3）恢复正常后，应急处置人员组织人员查明数据库故障原因，及时修复系统、更新补丁。6.网络故障（1）网络访问出现异常，运维人员应及时进行处置，当出现线路故障时，应重新安装线路；当防火墙、交换机等网络设备配置文件损坏，应恢复配置备份；当防火墙、交换机等网络设备硬件故障，应立即调换备机；当确认为外部故障时，应及时联系网络运营商。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员协调设备供应商及时提供备用设备，或与网络运营商保持沟通，尽快恢复网络。（3）恢复正常后，应急处置人员联系相关厂商，进行故障设备报修。7.供电故障（1）当大楼供电发生异常，运维人员应及时联系大楼物业进行处置，获取停电时长。达到一般及以上网络与信息安全突发事件标准时，运维人员应向指挥小组报告。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应检查UPS电池可供电时间，确保设备正常运行，同时用电风扇对机房进行通风。预计停电1小时以内，由UPS供电；1小时以上2小时以内，关掉非关键设备；2小时以上或当UPS电量低于40%时，按照正常流程关闭服务器、交换机、防火墙等设备，直至供电恢复。（3）供电恢复正常后，应急处置人员按照恢复流程启动服务器、网络设备、信息系统，联系运维人员对UPS进行检测。（三）攻击类事件1.网站、网页出现非法言论（1）发现公司网站、网页出现非法言论时，业务系统负责人应立即向指挥小组报告，必要时可采取删除、下线、断网等措施，最大程度降低不良影响。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应妥善保存有关记录及日志。（3）业务系统负责人应继续监视网站、网页信息内容48小时，并做好记录。2.网络攻击（1）当网络安全设备监控到网络攻击行为，或信息系统因攻击出现异常，相关人员应立即向指挥小组报告，并告知业务系统负责人。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应将被攻击的服务器等设备进行网络隔离，追查攻击源，修改防火墙等设备的安全策略，阻断网络攻击。（3）恢复正常后，应急处置人员应分析系统日志，判断是否发生数据失窃，检查、校验数据的完整性和有效性。3.病毒感染（1）当网络安全设备监控到病毒传播，或信息系统因感染病毒出现异常，相关人员应立即向指挥小组报告，并告知业务系统负责人。（2）指挥小组接到通知后立即进行应急处置，应急处置人员应将被感染设备和网络进行隔离，追查病毒源，修改防火墙等设备的安全策略，阻断网络传播。对被感染设备进行备份后，启用杀毒软件进行处理。（3）恢复正常后，应急处置人员组织人员加固网络中软硬件设备，消除病毒传播漏洞隐患。第十二条应急支援发生突发事件时，根据事件对社会和企业的影响程度，或在自身处置发生困难时，应报告上级主管部门，请求上级主管部门或政府启动社会应急机制，在地方政府统一领导下，组织开展应急救援与处置工作。根据政府要求，积极参与社会应急救援，为突发事件应急救援工作提供人力、物资和技术装备支持。第十三条响应终止现场应急指挥部或事发单位在现场应急处置工作结束并确认危害因素消除后，向批准预案启动的应急管理组织机构提出结束现场应急处置工作的报告。按照“谁启动，谁终止”的原则，由相关应急管理组织机构决定并发布解除应急状态命令，转入常态管理。响应终止后，按照总体应急预案有关要求转入常态管理，并开展善后处置、调查评估、恢复生产等后期处置工作。第四章应急保障第十四条应急队伍保障整合公司及各单位现有应急力量，建立健全协调联动机制。公司建立应急专家库和应急救援队伍信息库，统筹使用。充分利用社会IT技术力量，确保应急期间的网络、信息系统、云计算平台、机房供电等业务应急救援力量到位。加强应急队伍的业务培训和应急演练，强化员工应急能力建设。第十五条物资保障制定网络与信息安全应急预算，定期检查并采购网络设备、服务器、软件等相关设备物资和备品备件，确保应急设备及物资数量合理、性能稳定。一旦发生网络与信息安全应急事件，进行统一调配。重要信息系统应建立有数据备份、应急接管等措施，以备应急处置。第十六条其他保障通信与信息保障、经费保障等其他保障措施按照综合应急预案相关要求执行。第五章附则第十七条预案解释与实施本预案由公司网络与信息安全突发事件应急指挥小组办公室负责解释，自发文之日起实施，原《xx集团股份有限公司网络与信息安全突发事件应急预案》（xx股科信〔2022〕6号）同时废止。附件：1.网络与信息安全突发事件应急响应分级标准2.网络与信息安全突发事件应急指挥小组成员部门应急职责及联系方式3.现场应急指挥部工作组及职责4.网络与信息安全突发事件应急响应流程图5.政府及有关应急机构联系方式附件1公司网络与信息安全突发事件应急响应分级标准响应级别事件级别分级标准一级响应Ⅰ级（特别重大）1.互联网或信息系统中断48小时以上、对公司生产经营活动造成特别重大影响。2.信息系统数据丢失或被窃取、篡改、假冒，对国家、公司安全和社会稳定构成特别严重威胁，造成100万元以上的经济损失。3.通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家、公司安全和社会稳定构成特别严重危害的事件。4.其他对国家和公司安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全突发事件。Ⅱ级（重大）1.互联网或信息系统中断24小时以上、对公司生产经营活动造成严重影响。2.信息系统数据丢失或被窃取、篡改、假冒，对国家、公司安全和社会稳定构成严重威胁，造成50万以上100万元以下的经济损失。3.通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家、公司安全和社会稳定构成严重危害的事件。4.其他对国家和公司安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全突发事件。二级响应Ⅲ级（较大）1.互联网或信息系统中断8小时以上、对公司生产经营活动造成较为严重影响。2.信息系统数据丢失或被窃取、篡改、假冒，对国家、公司安全和社会稳定构成较为严重威胁，造成20万以上50万元以下的经济损失。3.通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家、公司安全和社会稳定构成较大危害的事件。4.其他对国家和公司安全、社会秩序、经济建设和公众利益构成较大威胁、造成较为严重影响的网络与信息安全突发事件。Ⅳ级（一般）1.互联网或信息系统中断30分钟以上、对公司生产经营活动造成一定影响。2.信息系统数据丢失或被窃取、篡改、假冒，对国家、公司安全和社会稳定构成一定威胁，造成10万以上20万元以下的经济损失。3.通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家、公司安全和社会稳定构成一定危害的事件。4.其他对国家和公司安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全突发事件。附件2公司网络与信息安全突发事件指挥小组成员部门应急职责及联系方式相关职能部门、事业部应急职责联系方式办公室（党委办公室）负责网络与信息安全突发事件应急管理的协调及后勤保障工作。人力资源部（党委组织部）负责人员管理；参与事件调查处理，指导单位做好善后处置及工伤保险理