网络安全事件应急响应预案（4篇）

网络安全事件应急响应预案（通用4篇）

网络安全事件应急响应预案1

一、总则

（一）为预防和减少网络与信息安全突发事件的发生，

控制、减轻和消除突发事件引起的危害及造成的损失，规范

突发事件预防和应对活动，保护学院的网络与信息安全，防

止重要信息泄密，保障网络业务与信息传输安全通畅的运

行，提高应对重大事故的应急能力，把损失降到最低程度，

特制定本预案。

（二）本预案依据《中华人民共和国网络安全法》（2016

年）编制。

（三）本预案适用于苏州大学应用技术学院（以下简称

学院）网络与信息系统安全事件的应对与处置工作。本预案

所称网络与信息安全事件是指由于自然灾害、设备软硬件故

障、人为失误、黑客攻击，以及敌对势力破坏等原因，对网

络信息系统造成危害，对学院正常教学、管理工作和声誉造

成不利影响的信息安全事件。

（四）学院网络一旦出现安全事件，学院信息系统运行

受到威胁；将给教学、管理造成不可估量的损失。网络与信

息安全事件主要由以下三个方面的影响因素引起：

1.网络安全防护伍系风险

网络和信息技术发展日新月异，信息技术安全产品发展

也很快，目前学院信息安全保障产品还不够完备。

2,操作系统固有缺陷

目前常用的操作系统都存在一定的安全漏洞，随着各种

需求和应用的不断增加，网络和系统管理变得越来越复杂。

3.接入终端多样复杂

接入网络的终端，由不同厂家在不同年代生产，目前没

有纳入统一的防病毒、系统补丁和更新程序管理，致使接入

终端可能成为病毒或黑客攻击网络的切入点。

（五）根据网络与信息安全事件的起因、表现、结果等,

网络与信息安全事件主要分为以下六类：

L危害程序事件

蓄意制造、传播有害程序，或是因受到有害程序的影响

而导致的网络与信息安全事件。

2.网络攻击事件

通过网络或者其它技术手段，利用信息系统的配置缺

陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻

击，并造成信息系统异常，或对信息系统当前运行造成潜在

危害的信息安全事件。

3.信息破坏事件

通过网络或者其它技术手段，造成信息系统中的信息被

篡改、假冒、泄露、窃取等而导致的信息安全事件。

4.设备设施故障事件

由于信息系统自身故障或外围保障措施故障而导致的

网络与信息安全事件，以及人为地使用非技术手段有意或无

意地造成信息系统破坏而导致的信息安全事件。

5.灾害性事件

由于不可抗力对网络和信息系统造成物理破坏而导致

的信息安全事件。

6.其它事件

以上没有包括的其它信息安全事件。

（六）根据苏应的计算机基础网络与信息系统的实际业

务情况，依据事件性质、严重程度、可控性、影响范围等因

素，学院的网络与信息安全突发事件划分为以下四个级别：

I级（特别严重）、II级（严重）、m级（一般）和iv级（轻微）。

1.1级（特别严重）突发事件

是指突然发生，将使特别重要的信息系统遭受严重损

失，对学院教学、对外信息造成特别重大影响，学院必须统

一协调、并向主管上级单位报告及调度各方面的资源和力量

进行应急处置的突发事件。符合以下条件之一的为I级事件。

（1）面向学院的核心应用系统2个以上（含2个）遭

到破坏性攻击而瘫痪。

（2）敌对分子或黑客利用信息网络进行有组织、大规

模反动宣传和攻击活动，出现大量危害学院教学、管理机密

等犯罪行为。

（3）其它造成特别严重社会影响或巨大经济损失的网

络与信息安全事件。

2.II级（严重）突发事件

是指突然发生，将使重要的信息系统遭受严重损失，对

学院教学、管理造成重大影响，学院必须统一协调、调度各

方面的资源和力量进行应急处置的突发事件。符合以下条件

之一的为II级事件：

（1）学院内、外网全部中断1小时以上（含1小时）；

各单位、二级学院均与中心网络的链路中断。

（2）面向学院的核心服务崩溃。

（3）直属学院的服务器、核心路由器、交换机等关键

设备3个以上（含3个）损坏。

（4）受到外部潜在的重大网络安全隐患或可能遭受的

网络病毒影响。

（5）涉及上级单位通报的网络信息安全事件。

3.III级（一般）突发事件

由单位（含二级学院）认定的有可能对本单位造成重大

影响，但不会影响本单位以外的学院范围内的网络与信息安

全事件。

4.IV级（轻微）突发事件

是指突然发生并未使信息系统遭受严重损失，但需要信

息部门引起注意以免事件升级恶化。符合以下条件之一的为

IV级事件。

（1）学院内、外网全部中断10分钟以内。

（2）各单位、二级学院均与中心网络的链路中断。

（3）面向学院的非核心服务异常停止。

（七）对于网络安全事件，必须遵守以下工作原则

1.积极防御，综合防范。立足安全防护，加强预警，抓

好预防、监控、应急处理、应急保障和打击犯罪等环节，在

法律、管理、技术、人才等方面，采取多种措施，充分发挥

各方面的作用，共同构筑网络与信息安全保障体系。

2.明确责任。按照“谁主管谁负责”的原则，建立和完

善安全责任制，协调管理机制和联动工作机制。

3.依靠科学，平战结合。加强技术储备，规范应急处置

措施与操作流程，实现网络与信息安全突发公共事件应急处

置工作的科学化、程序化与规范化。树立常备不懈的观念，

确保应急预案切实可行。

二、组织与职责

（一）学院网络安全与信息化工作领导小组为管理机构

本预案组织机构由学院网络安全与信息化工作领导小

组（简称领导小组）构成。

领导小组办公室设在信息化建设管理中心，负责人任办

公室主任。

（-）领导小组的工作职责

L负责网络与信息安全事件现场应急指挥工作，确定现

场应急处置方案，协调现场应急资源调配工作。

2.负责学院网络与信息安全事件应急工作的领导和应

对方案的决策。

三、预防和预警

（一）推进信息系统安全保护等级制度，开展信息安全

风险评估工作：

1.技术方面

采用安装防火墙、入侵监测、计算机杀毒软件等措施，

建立身份认证和授权管理机制，对主机、网络设备、安全设

备与软件和网络边界进行必要配置，对重要数据定期进行备

份。

2.管理方面

健全信息安全管理制度，落实信息安全等级保护措施，

开展信息安全风险评估。

（二）发生学院级及以上网络与信息安全事件时，应立

即启动应急预案进行应急处理，并向领导小组报告。接到报

告后，应急领导小组启动预警程序。

（三）发生网络安全事件按以下预警程序进行：

1.立即向领导小组办公室主任报告，由办公室主任预判

安全事件等级，II级以上（含n级）的向领导小组汇报，

并落实领导指令；II级以下的，需要根据实际情况书面方式

汇报给主任。

2.通知有关成员及相关单位做好应急准备。

3.及时收集和掌握事件发展动态及现场应对情况。

4.组织相关人员和专家分析、判断网络与信息安全事件

的紧急程度和发展态势，提供应急处置指导意见和技术支

持。

5.根据事态变化，适时通报预警信息。

6.网络与信息安全事件解除时，及时宣布、告知预警解

除。

7.H级以下网络与信息安全事件发展到H级及以上时,

按相应等级启动网络与信息安全事件响应程序。

（四）预警解除

当网络与信息安全事件处置结束，经过评估确认危险已

经消除，领导小组可适时下达预警解除指令。

四、应急响应

信息报送一一响应程序一一应急状态解除一一，恢复与

重建一一总结、评估和改进

（一）发生网络与信息安全事件时，第一时间向领导小

组办公室报告并定级。

（二）填写《网络安全事项登记表》G领导小组响应与

审核（依据事件级别上报相关部门及领导审核）a事件处理

及按时上报进度：

1,填写《网络安全事项登记表》

填写事件主题、事件描述、事件级别、事件发生时间，

签字并提交给领导小组审核确认。

2.网络与信息安全领导小组响应与审核

需依据事件等级做相应响应与审核：

I级事件：领导小组审核确认，并向主管单位及公安机

关报告并保留证据。

II级事件：领导小组审核确认，协调各相关资源及时处

理并需现场处理人每小时汇报进展。

in级事件：各部门负责人及领导小组办公室主任审核

确认。

IV级事件：信息部领导及领导小组办公室主任审核确

认。

（1）安排有关人员赴现场，协调应急处置工作。

（2）根据事态进展，及时对应急救援方案的调整做出

决策。

（3）现场处理人员需及时上报信息给领导小组并及时

落实有关指令。

3.现场响应与处理

完善《网络安全事项登记表》，填写事件原因，短期处

理办法及长期处理办法；I级、II级事件需每小时向领导小

组汇报事件处理进度，I口级、IV级事件处理完成后需由部

门负责人及领导小组办公室主任确认并审核。

（三）应急状态解除

网络与信息安全事件应急处理结束，相关危险因素消除

后，由领导小组组长下达应急状态解除指令并完善《网络安

全事项登记表》，填写解除时间，相关人员确认并审核。

（四）恢复与重建

1.应急处置工作结束后，相关单位做好有关突发事件中

损失情况的统计、汇总，对处置情况进行总结，不断改进网

络与信息安全事件的应急保障工作，并开展恢复与重建工

作。

2.尽快恢复信息系统、恢复数据、程序。

3.经领导小组评估同意后，方可恢复系运行。

4.应急响应结束后，对发生信息安全事件的网络或系统

进行风险评估，及时发现可能存在的安全隐患和安全风险。

（五）总结、评估和改进

由信息管理部对应急事件进行总结、评估并提出改进方

案，上报网络安全领导小组备案。

五、应急保障

（一）对涉密信息建立严格的信息保障措施。

（二）学院中心机房需配备核心网络、应用系统或重大

风险系统的容灾备份。

（三）学院需建立应急保障队伍。

（四）组织开展应急运作机制、应急处理技术、预警和

控制等研究。

本预案由信息化建设管理中心组织制订并负责解释，自

发布之日起实行。

信息报送a响应程序a应急状态解除G恢复与重建a

总结、评估和改进

网络安全事件应急响应预案2

L总则

1.1编制目的

建立健全全区网络安全事件应急工作机制，提高应对网

络安全事件能力，预防和减少网络安全事件造成的损失和危

害，保护公众利益，维护国家安全、公共安全和社会秩序。

1.2编制依据

《中华人民共和国突发事件应对法》《中华人民共和国

网络安全法》《国家突发公共事件总体应急预案》《突发事

件应急预案管理办法》《国家网络安全事件应急预案》《广

东省突发事件总体应急预案》《深圳市突发事件总体应急预

案》《深圳市突发事件应急预案管理办法（修订版）》《深

圳市重大突发事件紧急信息报送和处置工作制度》《深圳市

网络安全事件应急预案》《信息安全技术信息安全事件分类

分级指南》(GB/Z20986-2007)和《信息安全技术网络安

全等级保护基本要求》(GB/T22239-2019)等。

L3事件定义和分类

本预案所指网络安全事件是指由于人为原因、软硬件缺

陷或故障、自然灾害等，对网络和信息系统或者其中的数据

造成危害，对社会造成负面影响的事件，可分为：有害程序

事件、网络攻击事件、信息破坏事件、信息内容安全事件、

设备设施故障、灾害性事件和其他事件等。

(1)有害程序事件分为计算机病毒事件、蠕虫事件、

特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页

内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件分为拒绝服务攻击事件、后门攻击

事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、

干扰事件和其他网络攻击事件。

(3)信息破坏事件分为信息篡改事件、信息假冒事件、

信息泄露事件、信息窃取事件、信息丢失事件和其他信息破

坏事件。

(4)信息内容安全事件包括：通过网络传播法律法规

禁止信息，组织非法串联、煽动集会游行或炒作敏感问题,

并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设

施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致

的网络安全事件。

（7）其他事件是指不能归为以上分类的网络安全事件。

L4事件分级

网络安全事件分为四级：由高到低划分%特别重大网络

安全事件、重大网络安全事件、较大网络安全事件、一般网

络安全事件。

（1）符合下列情形之一的，为特别重大网络安全事件:

①重要网络和信息系统遭受特别严重的系统损失，造成

系统大面积瘫痪，丧失业务处理能力。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃

取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构

成特别严重威胁、造成特别严重影响的网络安全事件。

（2）符合下列情形之一且未达到特别重大网络安全事

件的，为重大网络安全事件：

①重要网络和信息系统遭受严重的系统损失，造成系统

长时间中断或局部瘫痪，业务处理能力受到极大影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃

取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构

成严重威胁、造成严重影响的网络安全事件。

(3)符合下列情形之一且未达到重大网络安全事件的,

为较大网络安全事件：

①重要网络和信息系统遭受较大的系统损失，造成系统

中断，明显影响系统效率，业务处理能力受到影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃

取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构

成较严重威胁、造成较严重影响的网络安全事件。

(4)除上述情形外，对国家安全、社会秩序、经济建

设和公众利益构成一定威胁、造成一定影响的网络安全事

件，为一般网络安全事件。

L5适用范围

本预案适用于光明区内网络安全事件的应对工作。信息

内容安全事件的应对，另行制定专项预案。

1.6工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、

快速反应、科学处置；坚持预防为主，预防与应急相结合；

坚持谁主管谁负责、谁运行谁负责，平战结合、军地结合，

充分发挥各方面力量共同做好网络安全事件的预防和处置

工作。

1.7名称术语

网络：指由计算机或者其他信息终端及相关设备组成的

按照一定的规则和程序对信息进行收集、存储、传输、交换、

处理的系统。

网络安全:是指通过采取必要措施，防范对网络的攻击、

侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳

定可靠运行的状态，以及保障网络数据的完整性、保密性、

可用性的能力。

电子政务外网：是指党政机关非涉密工作业务专网，与

互联网逻辑隔离。

电子政务内网：是指满足我区各级政务部门内部办公、

管理、协调、监督、决策等需要，支持政务部门之间安全互

联、资源共享、业务协同的涉密政务网络。

各街道：是指光明区辖各街道。

各部门：是指光明区各级党政机关。

2.组织机构与职责

2.1领导机构与职责

区委网络安全和信息化委员会（以下简你“区委网信

委”）为全区网络安全事件应急处置最高领导机构。区委网

络安全和信息化委员会办公室（以下简称“区委网信办”）

在区委网信委的领导下，统筹协调组织全区网络安全事件应

对工作，建立健全跨部门联动处置机制。区工业和信息化局、

光明公安分局、区政务服务数据管理局、社会发展研究中心

等相关部门按照职责分工负责相关网络安全事件应对工作。

结合光明实际，设立全区网络安全事件应急指挥部（以

下简称，“区指挥部”），组织领导、指挥协调全区网络安

全突发事件的防范和应对工作，负责网络安全事件的组织领

导和指挥协调。区指挥部由总指挥、执行总指挥兼现场指挥

官、副总指挥和各成员组成。

总指挥由区委常委、宣传部长担任，负责区指挥部的领

导工作，对光明区网络安全事件应急处置工作实施统一指

挥。

执行总指挥兼现场指挥官由区委网信办主任担任，履行

现场决策、指挥、调度职责，协助总指挥、副总指挥在网络

安全事件现场指挥区网安应急办、专家组、各应急专业技术

队伍和各街道、各部门、各单位应急处置工作组处置网络安

全事件。

副总指挥由区委办公室分管副主任、区应急局局长、区

工业和信息化局局长、光明公安分局分管副局长、区政务服

务数据管理局局长、社会发展研究中心主任担任，负责协助

总指挥做好区指挥部各项工作，协调各街道、各部门、各单

位实施应急工作。

执行总指挥兼现场指挥官根据工作需要指定现场副指

挥官，协助总指挥或现场指挥官开展各项应急处置工作，或

受现场指挥官委托，临时负责现场指挥工作。

2.2成员单位职责

区指挥部成员由区委办公室、区委宣传部、区委网信力、、

区工业和信息化局、光明公安分局、区文化广电旅游体育局、

区应急管理局、区政务服务数据管理局、社会发展研究中心

等有关部门负责同志担任，可视情对成员进行调整。区指挥

部成员单位职责如下：

(1)区委办公室：负责涉及国家秘密的网络安全事件

的检查和指导工作；协助上级机关及区相关职能部门查处党

政机关、企事业单位网络的泄密事件；负责网络安全事件中

涉及密码技术、密码产品事件的监管工作。

(2)区委宣传部：负责网络安全事件新闻发布工作。

指导各街道、各部门和相关单位做好网络安全事件新闻发布

工作。

(3)区委网信办：统筹协调组织全区网络安全应急处

置工作，负责区网安应急办的日常工作，建立健全与市委网

信办、省委网信办、中央网信办的网络安全事件应急处置工

作机制。网络安全事件发生后，根据网络安全事件分级及响

应需求，统筹协调有关单位配置网络安全应急资源。

(4)区工业和信息化局：指导协调工业领域的工控系

统网络安全事件应急处置工作。协调基础电信运营企业为信

息系统的正常运行提供基础网络保障。

(5)光明公安分局：依职责建立健全网络安全预警通

报机制，协调、监督和指导开展网络安全事件的预防、监测、

报告和应急处置工作，依法打击网络安全事件中的违法犯罪

行为。

(6)区文化广电旅游体育局：负责广播电视网络安全

事件的预防、监测、报告和应急处置工作；负责监督、检查、

指导广播电视传输网络运营企业开展网络安全事件的预防

和应急处置工作；配合有关部门处置网络安全事件。

(7)区应急管理局：及时掌握突发事件事态进展情况,

收集、汇总、上报突发事件信息，协调各有关单位参与应急

处置工作；协助区委网信办开展网络安全事件的处置工作，

传达并督促有关部门(单位)落实区委、区政府、区应急委有

关决定事项。

(8)区政务服务数据管理局：负责全区电子政务外网

网络安全事件的预防、监测、报告和应急处置工作。统筹协

调区政府门户网站，统筹指导政务服务、电子政务、政务数

据管理、政务信息安全、数字政府、智慧城市等网络安全应

急处置工作。

(9)社会发展研究中心：负责光明区网络安全事件中

涉及国家安全事项的应急处置工作，包括：对网络、通信设

备的检查、检验和窃密、泄密事件的查证、查处和防范工作;

依法对破坏基础信息网络和利用网络传播有害信息、危害公

众利益和国家安全等各种违法犯罪活动进行查处等。

2.3办事机构与职责

全区网络安全应急指挥部办公室(以下简称“区网安应

急办”)设在区委网信办。区网安应急办负责网络安全应急

跨部门、跨街道协调工作和指挥部的事务性工作，组织指导

区级网络安全应急技术支撑队伍做好应急处置的技术支撑

工作。区委办公室、区委宣传部、区工业和信息化局、光明

公安分局、区文化广电旅游体育局、区应急管理局、区政务

服务数据管理局、社会发展研究中心等部门负责相关工作的

科级同志为联络员，联系区网安应急办工作。

2.4各部门职责

区委和区政府各部门按照职责和权限，负责本部门、本

行业网络和信息系统网络安全事件的预防、监测、报告和应

急处置工作。

2.5各街道职责

各街道在区委网络安全和信息化委员会统一领导下，统

筹协调组织本街道网络安全事件的预防、监测、报告和应急

处置工作。

3.监测与预警

3.1预警分级

网络安全事件预警等级分为四级：由高到低依次用红

色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别

重大、重大、较大和一般网络安全事件。

3.2预警监测

各单位按照“谁主管谁负责、谁运行谁负责”的要求，

组织对本单位建设运行的网络和信息系统开展网络安全监

测工作。重点行业主管或监管部门组织指导做好本行业网络

安全监测工作。各街道结合实际，组织本街道网络安全监测

工作。各街道、各部门、各单位将重要监测信息报区网安应

急办，区网安应急办组织开展跨街道、跨部二的网络安全信

息共享。

区工业和信息化局、光明公安分局、区政务服务数据管

理局等单位根据职责，监督、指导网络与信息系统的运营使

用单位开展风险评估，对重要基础网络与信息系统及其等级

保护落实工作进行定期检查，及时掌握分管领域内重要基础

网络与信息系统的风险现状，加强风险管理。

3.3网络安全事件信息接收方式

区网安应急办通过媒体、网络等途径，面向公众公布网

络安全事件接收电话、传真、电子邮箱等信息。

3.4预警研判与发布

各街道、各部门、各单位组织对监测信息进行研判，认

为需要立即采取防范措施的，应当及时通知有关部门和单

位。对可能发生较大及以上网络安全事件的信息，1小时内

向区网安应急办报告。

区网安应急办组织专家组进行研判，对可能达到红色、

橙色、黄色和蓝色预警等级的，要及时上报市网安应急办，

同时报告区委值班室、区政府总值班室。确定为红色预警的,

由国家网安应急办发布；确定为橙色预警的，由省网安应急

办发布；确定为黄色预警的，由市网安应急办发布；确定为

蓝色预警的，由区网安应急办发布。

预警信息包括事件类别、预警级别、起始时间、可能影

响范围、警示事项、应采取的措施和时限要求、发布机关等。

3.5预警响应

3.5.1红色、橙色、黄色预警响应

区网安应急办根据国家、省、市网安应急办的决策部署

和统一指挥，实行24小时值班，相关人员保持通信联络畅

通。加强网络安全事件监测和事态发展信息搜集工作，组织

指导应急支撑队伍、相关运行单位开展应急处置或准备、风

险评估和控制工作，重要情况报市网安应急办。

3.5.2蓝色预警响应

(1)区网安应急办、有关部门网络安全事件应急指挥

机构启动相应应急预案，组织预警响应工作，联系专家和有

关机构，组织对事态发展情况进行跟踪研判，研究制定防范

措施，协调组织资源调度和部门联动的各项准备工作，做好

风险评估、应急准备和风险控制工作，重要情况报市网安应

急办。

(2)有关街道、部门网络安全事件应急指挥机构实行

24小时值班，相关人员保持通信联络畅通。加强网络安全事

件监测和事态发展信息搜集工作，组织指导应急支撑队伍、

相关运行单位开展应急处置或准备、风险评估和控制工作，

重要情况及时报区网安应急办，区网安应急办密切关注事态

发展，有关重大事项及时通报相关街道和部门。

(3)区级网络安全应急技术支撑队伍进入待命状态，

针对预警信息研究制定应对方案，检查应急车辆、设备、软

件工具等，确保处于良好状态。

3.6预警解除

按照“谁发布谁解除”的原则，区网安应急办根据实际

情况，按程序确定解除对本区发布的.蓝色预警信息；配合

国家、省、市网安应急办做好红色、橙色、黄色预警信息解

除的相关工作。

4.应急处置

4.1事件报告

网络安全事件发生后，事发单位应立即启动应急预案，

实施处置并及时报送信息。事件报告要按照首报、续报、终

报全过程报送要求，做到有头有尾。对于初判为特别重大、

重大、较大、一般网络安全事件的，事发单位应立即将简要

情况及联系人通过电话、传真等方式上报区网安应急办，事

件详细情况应在1小时内上报。区网安应急办接到事件报告

后，及时报区委值班室、区政府总值班室，并上报市网安应

急办。

事件报告内容包括：事件发生时间和地点、发生事件的

基础网络与信息系统名称、事件原因、信息来源、事件类型

及性质、危害和损失程度、影响单位及业务、事件发展趋势、

采取的处置措施等。对涉密的信息，参与涉密网络安全事件

应急处置人员应按有关规定签署保密协议；知情人员应遵守

相关的管理规定，做好保密工作。

事件报告要符合以下要求：对重要基础网络与信息系统

及在敏感期可能演化为重大和特别重大网络安全事件的信

息系统的事件，事发单位应立即上报。对涉密的信息，参与

涉密网络安全事件应急处置人员应按有关规定签署保密协

议；知情人员应遵守相关的管理规定，做好保密工作。

4.2先期处置'

发生网络安全事件后，事发单位应立即采取以下先期处

置措施。

(1)紧急控制事态发展。根据本单位相关应急预案采

取紧急措施，及时、最大限度控制事态发展。

（2）快速判断事件危害。根据基础网络与信息系统的

运行、使用、承载业务的情况，初步判断发生事件的原因、

影响力、破坏程度、波及的范围等，提出初步应对措施建议。

（3）及时上报信息。先期处置的同时，及时向单位责

任人、区网安应急办和相关应急主管部门报告。保持通信畅

通联系，实时报告事件进展情况。

（4）保留相关证据。在事件处置过程中，可采取记录、

截屏、备份、录像等手段，对事件的发生、发展、处置过程、

步骤、结果进行详细记录；涉及网络犯罪行为的，按照相关

法律法规要求，向市公安局网警支队报案，协助进行电子数

据取证，为事件调查、处理提供证据。

如先期处置措施不能有效控制事件，应进行分级响应。

4.3应急响应

网络安全事件应急响应分为四级，分别左应特别重大、

重大、较大和一般网络安全事件。I级为最高响应级别。

4.3.11级、II级、in级响应

启动I级响应。区网安应急办组织对事件信息进行研判,

认为属特别重大网络安全事件的，及时向市网安应急办报

告。市网安应急办对事件信息进行研判，提出启动I级响应

的建议。省网安应急办对事件信息进行研判，按流程上报国

家网安应急办。经国家网安应急办确认启动I级响应后，区

网安应急办迅速向区委网信委报告，启动区指挥部工作。

启动II级响应。区网安应急办组织对事件信息进行研

判，认为属重大网络安全事件的，及时向市网安应急办报告。

市网安应急办对事件信息进行研判，及时向省网安应急办报

告，提出启动H级响应的建议。经省网安应急办确认后，

迅速向区委网信委报告，启动区指挥部工作。

启动HI级响应。区网安应急办组织对事件信息进行研

判，认为属较大网络安全事件的，及时向市网安应急办报告。

市网安应急办确认启动HI级响应后，迅速向区委网信委报

告，启动区指挥部工作。

(1)启动指挥体系

区指挥部进入应急状态，在国家、省、市指挥部统一领

导、指挥、协调下，负责统筹指挥全区应急处置工作或资源

保障工作。指挥部成员保持24小时联络通畅，区网安应急

办24小时值班，并派员参加国家、省、市网安应急办工作。

(2)掌握事件动态

①跟踪事态发展。区网安应急办及时将事态发展变化情

况和处置进展报市网安应急办。

②检查影响范围。区网安应急办立即全面了解全区范围

内的网络和信息系统是否受到事件的波及或影响，有关情况

及时报市网安应急办。

③及时通报情况。区网安应急办负责汇总上述有关情

况，重大事项及时报市网安应急办，并通报有街道和部门。

(3)决策部署

区网安应急办根据市网安应急办的统一部署和我区实

际做好统筹应对工作。

(4)处置实施

①控制事态防止蔓延。区网安应急办组织实施，尽快控

制事态；组织、督促相关运行单位有针对性的加强防范，防

止事态蔓延。

②消除隐患恢复系统。区网安应急办根据事件发生原

因，有针对性地采取措施，备份数据、保护设备、排查隐患,

恢复受破坏网络和信息系统正常运行。必要时可以依法征用

单位和个人的设备和资源，并按规定给予补偿。

③调查举证。事发单位在应急恢复过程中应保留相关证

据。对于人为破坏活动，区委办公室、光明公安分局、社会

发展研究中心按职责分工负责组织开展调查取证工作。

④信息发布。在中央宣传部(国务院政府新闻办公室)、

省委宣传部的指导下，市委宣传部指导协调、区委宣传部协

助开展网络安全突发事件的应急新闻发布和舆论引导工作。

未经批准，其他部门和单位不得擅自发布相关信息。

⑤区域协调。有关部门根据统一要求，建立健全市际间

网络安全事件应急处置联动机制，按照各自渠道，开展与有

关市之间的协调。

⑥协调配合引发的其他突发事件的应急处置。对于引发

或可能引发其他特别重大安全事件的，区网安应急办应及时

按程序上报。在相关街道、部门应急处置中，区网安应急办

做好协调配合工作。

4.3.2IV级响应

区网安应急办组织对事件进行研判，认先属一般网络安

全事件的，及时向区委网信委提出启动IV级响应的建议，

经区委网信委批准后，及时发布预警信息。

（1）区指挥部进入应急状态，履行应急处置工作的统

一领导、指挥、协调职责，按照相关应急预案做好应急处置

工作。区网安应急办24小时值班，指挥部成员单位保持24

小时联络畅通。有关街道、部门应急指挥机构进入应急状态,

24小时值班，负责做好本街道、本部门应急处置工作或支援

保障工作，派员参加区网安应急办工作。

（2）事件发生地辖区或部门及时将事态发展变化情况

和处置进展情况，以及本区、本部门主管范围内的网络和信

息系统是否受到事件的波及或影响情况报区网安应急办。区

网安应急办负责汇总上述有关情况，重大事项及时报市网安

应急办，并通报有关街道和部门。

（3）区网安应急办会同公安、通管等有关部门，组织

有关街道、单位、专家组和应急技术支撑队伍等及时研究对

策意见，对应对工作进行决策部署。

(4)有关街道和部门根据区网安应急办的部署组织、

督促相关运行单位组织实施，尽快控制事态，防止事态蔓延。

处置中需要区或其他有关街道、部门网络安全应急支撑队伍

配合和支持的，商区网安应急办予以协调，相关网络安全应

急支撑队伍根据各自职责，积极配合、提供支持。

(5)有关街道和部门根据事件发生原因，有针对性地

采取措施，备份数据、保护设备、排查隐患，恢复受破坏网

络和信息系统正常运行。事发单位在应急恢复过程中应保留

相关证据。对于人为破坏活动，公安、安全、保密等部门按

职责分工负责组织开展调查取证工作。必要时可依法征用单

位和个人的设备和资源，并按规定给予补偿。

(6)区委宣传部组织网络安全突发事件的应急新闻工

作，指导协调有关街道和部门开展应急新闻发布和舆论引导

工作。未经批准，其他部门和单位不得擅自发布相关信息。

(7)对于引发或者可能引发其他重大安全事件的，区

网安应急办应及时按程序上报，统筹协调做好处置工作。有

关街道和部门根据区网安应急办的通报，结合实际有针对性

地加强防范，防止造成更大范围影响和损失。

4.4响应升级

4.4.1响应级别变更

应急响应过程中，区网安应急办、各相关部门应密切关

注事件事态发展和响应工作进展情况，根据事态变化、响应

效果及专家组建议，适时调整响应级别。超出自身应急处置

能力的，应及时报告上一级部门，建议变更响应级别，开展

相关处置工作。

4.4.2响应级别升级

（1）事件发展蔓延，事态发展得不到控制，超出了区

网安应急办处置能力，需要其它部门、单位参与处置时，区

网安应急办应及时报告区委网信委，由区委网信委组织、协

调区其它专项应急指挥部和各部门参与处置工作。

（2）事件造成的危害程度特别严重，超出了本区处置

能力，需援助和支持时，依照《深圳市网络安全事件应急预

案》，区指挥部通过区委网信委及时向市网安应急办及应急

相关部门报告事件情况。应急处置工作在国家、省、市网安

应急办及应急相关部门或指定部门的领导下开展。

4.5应急结束

I级响应结束，由国家网安应急办及时通报省（区、市）

和部门。

n级响应结束，由省网安应急办按程序上报国家网安应

急办，由国家网安应急办通报省网安应急办，省网安应急办

及时通报相关地区和部门。

in级响应结束，由市网安应急办提出建议，报市委网

信委批准后，上报省网安应急办，省网安应急办通报市网安

应急办。

IV级响应结束，由区网安应急办提出建议，报区委网信

委批准后，上报市网安应急办，市网安应急办通报区网安应

急办。

4.6善后与恢复

应急处置工作结束后，事发单位和其他有关应急管理工

作机构要积极稳妥、深入细致地做好善后处置工作，及时处

理征用的物资和设备。对参与处置的工作人员以及紧急调

集、征用的物资，要按照规定给予补助或补偿。事发单位迅

速组织人员制订基础网络、信息系统的重建和恢复计划，尽

快恢复受损基础网络和信息系统，降低对正常工作业务的影

响。

5.调查评估和事件总结

5.1调查评估

特别重大网络安全事件，由国家网安应急办组织有关部

门和省（区、市）进行调查和总结评估，并按程序上报。重

大网络安全事件，由省网安应急办组织有关部门和地区进行

调查处理和总结评估，将总结调查报告报国家网安应急办。

较大网络安全事件，由市网安应急办组织有关部门和区进行

调查处理和总结评估，将总结调查报告报省网安应急办。一

般网络安全事件，由区网安应急办组织调查处理和总结评

估。总结调查报告应对事件的起因、性质、影响、责任等进

行分析评估，提出处理意见和改进措施。

事件调查处理和总结评估工作原则上应在应急响应结

束后30天内完成。

5.2事件总结

网络安全事件应急任务结束后，事发单位应牵头组织专

家，与区网安应急办组成事件调查组，对事件发生原因及处

置过程进行全面调查，查清事件发生的原因及事件中基础网

络与信息系统、网络设施损失情况，总结经验教训，不断改

进网络安全事件应急管理工作。事发单位应在30个工作日

内将相关报告报送给区网安应急办。

6.预防工作

6.1日常管理

各街道、各部门、各单位按职责做好网络安全事件日常

预防工作，制定完善相关应急预案。做好网络安全检查、隐

患排查、风险评估和容灾备份，健全网络安全信息通报机制,

及时采取有效措施，减少和避免网络安全事件的发生及危

害，提高应对网络安全事件的能力。

6.2演练

区委网信办牵头，协调区政务服务数据管理局等有关部

门，每年至少组织一次全区网络安全应急演练，模拟处置一

般网络安全事件。通过演练，检验应急体系和工作机制运行

情况、应急物资配备情况，及时发现问题，完善应急预案，

提高应急处置能力。演练情况报区委网信委和市委网信办。

应急演练主要开展以下工作：

(1)区委网信办确定应急响应演练的目标和范围。主

要开展重要信息系统的应急演练。

(2)按照全区网络安全应急演练工作要求，各街道、

各部门、各单位成立应急演练小组，制订应急演练方案。

(3)区委网信办统筹调配应急演练所需的各项资源，

组织有关部门和单位进行应急演练。评估演练情况，总结经

验，通报应急演练结果。针对演练中暴露的问题，分析应急

预案的科学性和合理性并加以修订完善。

各街道、各部门、各单位每年至少组织或参与一次网络

安全应急演练或学习培训，相关情况报区委网信办。

6.3宣传

各街道、各部门、各单位要充分利用各种传播媒介及其

他有效的宣传形式，加强突发网络安全事件预防和处置的有

关法律、法规和政策的宣传，开展网络安全基本知识和技能

的宣传活动。

6.4培训

各街道、各部门、各单位要将网络安全事件的应急知识

列为领导干部和有关人员的培训内容，加强网络安全特别是

网络安全应急预案的培训，提高防范意识和技能。

区政务服务数据管理局组织全区党政机关开展网络安

全应急管理、应急处置等培训，提高各街道各单位信息化管

理人员、应急处置人员防范意识及技能。

6.5重要敏感时期的预防措施

在国家、省、市、区重要活动和会议等重要敏感时期，

各街道、各部门、各单位要加强网络安全事件的防范和应急

响应，确保网络安全。区网安应急办统筹协调网络安全保障

工作，根据需要启动预警响应。各街道、部匚加强网络安全

监测和分析研判，及时预警可能造成重大影响的风险和隐

患，重点部门、重点岗位保持24小时值班，及时发现和处

置网络安全事件隐患。

7.保障措施

7.1机构和人员

各街道、各部门、各单位要落实网络安全应急工作责任

制，把责任落实到具体部门、具体岗位和个人，并建立健全

应急工作机制。

7.2技术支撑队伍

光明区网络安全应急处置专业技术队伍由常设专业技

术队伍和非常设专业技术队伍共同组成。

光明区网络安全事件应急处置常设专业技术队伍由区

委网信办、光明公安分局、区工业和信息化局、区政务服务

数据局的网络安全工作专班，深圳市信息安全测评中心（市

网络与信息安全应急处置协调中心）、深圳市大数据资源管

理中心，广东移动通信集团深圳光明分公司、广东电信集团

深圳光明分公司、广东联合网络通信集团有限公司深圳光明

分公司组成。

区网安应急办根据相关单位的网络安全事件应急处置

工作能力和相关国家资质条件等，授权相关单位成立专业技

术队伍，作为光明区非常设专业技术队伍。区网安应急办根

据非常设专业技术队伍应急工作的开展情况，每年进行一次

评估，适时调整。各街道、各部门、各单位应配备必要网络

安全专业技术人才，根据实际情况加强与网络安全相关技术

单位沟通、合作，建立必要的网络安全信息共享机制。.

专业技术队伍主要职责：发生突发事件时，按照区网安

应急办的指令，开展应急救援；根据事发单位应急支援要求,

提供应急救援服务；负责应急物资的储备、相关软件的日常

管理和维护等工作。

7.3专家队伍

成立区网络安全应急专家组，建立网络安全事件应急处

置咨询机制。专家组成员从中共深圳市光明区委网络安全和

信息化委员会专家咨询委员会中选取。

专家组主要职责：对预防发生网络安全事件和相关应急

处置工作提供咨询与研判建议；对与预案相关的规章制度的

制定和项目建设提供参考意见；对应急工作中存在的问题和

不足提出改进建议；参与相关应急培训和教材编审工作。

各街道、各部门、各单位应充分利用各自的专家队伍力

量，配合建立网络安全事件应急处置咨询机制，为网络安全

事件的预防和处置提供技术咨询和决策建议。

7.4社会资源

从教育科研机构、企事业单位、协会中选拔网络安全人

才，汇集技术与数据资源，建立网络安全事件应急服务体系，

提高应对特别重大、重大、较大网络安全事件的能力。

7.5技术支撑体系

(1)建设态势感知和应急指挥平台。区网安应急办整

合全区网络安全监测预警资源，统筹建设区级网络安全态势

感知和应急管理平台以及相应的运营机制。建立覆盖全区的

网络安全事件应急响应闭环体系，实现监测预警信息的接

收、研判、推送和应急联动响应，实现网络安全事件处理过

程的信息快速获取传递、会商研判、科学决策、统一指挥、

联动响应、统计分析，做到早发现、早预警、早响应、早处

置，提高光明区网络安全事件应急处置能力。区政务服务数

据管理局、光明公安分局等单位以及各行业主管部门分别负

责主管监管领域内网络安全监测预警系统建设与管理工作，

对各街道各有关单位进行监督、检查、指导。各街道、各部

门、各单位按照区级技术规范要求配合完善建设监测预警系

统，充分利用区级网络安全态势感知和应急管理平台，按照

“谁主管谁负责、谁运行谁负责”的要求开展网络安全监测

工作。

（2）充分利用市级容灾备份中心作用。利用统一建设

的市级容灾备份中心作用，为全区党政机关和各街道重要政

务信息系统提供不同等级的容灾备份服务，提升光明区重要

政务信息系统数据安全和抵抗灾难打击的能力。

（3）开展基础网络与信息系统普查。根据应急工作需

要，定期开展全区党政机关、重要领域、重点行业基础网络

与信息系统普查工作，根据等级保护和关键信息基础设施保

护要求，确定重点保障对象和关键信息基础设施，建立全区

基础网络与信息系统资源目录、关键信息基础设施目录和数

据库。各基础网络与信息系统、关键信息基础设施的运营、

使用单位应根据本预案，结合网络安全等级保护和关键信息

基础设施保护要求，制定、完善本单位应急处置预案。

（4）开展网络安全技术研究。光明区信息化、科技、

等级保护、保密、密码管理等有关部门应组织开展网络安全

防护相关关键技术的研究工作，研究、制定相关基础网络与

信息系统的应急处置事件库、应急处置方案库；加强政策引

导，支持网络安全监测预警、预防防护、处置救援、应急服

务等方向，提升网络安全应急产业整体水平与核心竞争力，

增强防范和处置网络安全事件的产业支撑能力，为全区网络

安全应急管理提供技术保障。

7.6情报力量

光明公安分局、社会发展研究中心、区政务服务数据管

理局、区工业和信息化局等部门加强网络安全有关情报搜集

能力建设，完善情报共享机制，为网络安全应急工作提供情

报支撑。

7.7技术研发和产业促进

有关部门加强网络安全防范技术研究，不断改进技术装

备，为应急响应工作提供技术支撑。加强政策引导，重点支

持网络安全监测预警、预防防护、处置救援、应急服务等方

向，提升网络安全应急产业整体水平与核心竞争力，增强防

范和处置网络安全事件的产业支撑能力。

7.8合作机制建设

区网安应急办加强光明区网络安全应急合作机制建设，

建立与市应急相关单位以及专业机构的合作渠道，实现信息

共享和应急联动。

7.9物资保障

各街道、各部门、各单位在建设信息系统时应适当配备

网络安全应急装备、工具，及时调整、升级软件硬件工具，

不断增强应急技术支撑能力，必要时由区指挥部统一调用。

专业技术队伍须储备相应的应急基础设备、软件。

7.10经费保障

财政部门为网络安全应急工作提供必要的经费保障。各

街道、各部门、各单位利用现有政策和资金渠道，支持网络

安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、

情报力量建设、技术研发、预案演练、物资保障等工作开展。

按照现行区街体制事权、财权划分原则，处置电子政务

网络安全事件所需要的经费实行区街财政分级负担。各单位

网络安全事件应急管理工作经费应纳入年度部门预算。各应

急保障资金使用单位要按照国家相关规定，严格规范应急保

障资金的使用，并接受有关部门的监督。

7.11其他保障措施

(1)通信与信息保障。区工业和信息化局负责建立健

全应急通信保障工作伍系，完善备份系统和紧急保障措施。

及时根据通信网络破坏状况，采取启用应急通信保障系统等

应急保障措施，确保通信畅通。

(2)交通运输保障。各街道、各部门、各单位应配备

网络安全事件应急交通工具，满足应急期间人员、物资、信

息传输的需要，必要时由区网安应急办统一调配。

(3)技术资料保障。各街道、各部门、各单位应将应

急技术资料纳入应急工作范围。应急技术资料包括网络拓扑

结构、重要系统或设备的型号及配置(操作系统及版本号、

应用软件及版本号等)、主要设备厂商信息、设备使用人员

的详细信息等，建立技术档案并及时更新，以保证与实际系

统的一致性。应根据需要对信息系统进行风险评估，开展等

级保护和关键信息基础设施保护工作，随时掌握信息系统安

全状况和存在的风险。

(4)治安保障。本预案启动后，当网络安全事件造成

或可能造成严重社会治安问题时，公安机关应立即启动治安

保障方案和有关预案。

7.12责任与奖惩

网络安全事件应急处置工作实行责任追究制。

区委网信办及有关街道和部门按照国家、省、市、区相

关规定，对网络安全事件应急管理工作中表现突出的单位和

个人给予表扬。

区委网信办及有关街道、部门和单位对不按规定制定预

案和组织或参与演练，迟报、谎报、瞒报和漏报网络安全事

件重要情况或者在应急管理工作中有其他失职、渎职行为

的，依照相关规定对有关责任人给予处分；涉嫌犯罪的，依

法移送司法机关处理。

8.附则

8.1预案管理

本预案指导全区网络安全事件应急处置工作，原则上每

年评估一次，根据实际情况适时修订，修订工作由区委网信

办负责。

各街道、各部门、各单位要根据本预案制定完善本街道、

本部门、本行业或重要领域的网络安全事件应急预案和专项

应急预案，各预案要做好与本预案的衔接，并报区委网信办

备案。

其中，区发展改革局负责石油石化行业；区教育局负责

教育行业；区工业和信息化局负责通讯行业，指导协调工业

领域工控系统相关应急预案；区住房建设局负责燃气行业；

区交通运输局负责交通领域内交通运输(公路、航运、轨道

交通)行业；区水务局负责供、排水行业；区文化广电旅游

体育局负责广播电视行业；区卫生健康局负责医疗卫生行

业。

8.2预案发布及解释

本预案由区委网信办发布、解释。

8.3预案修订

有下列情形之一的，应当及时修订应急预案：

(1)有关法律、行政法规、规章、标准、上位预案中

的有关规定发生变化的；

(2)应急指挥机构及其职责发生重大调整的；

(3)面临的风险发生重大变化的；

(4)重要应急资源发生重大变化的；

(5)预案中的其他重要信息发生变化的；

（6）在突发事件实际应对和应急演练中发现问题需要

作出重大调整的；

（7）相关单位名称或职能发生变化的；

（8）应急预案制定单位认为应当修订的其他情况。

网络安全事件应急响应预案3

一、总则

（一）编制目的

提高处置突发事件的能力，促进互联网应急通信、指挥、

调度、处理工作迅速、高效、有序地进行，满足突发情况下

互联网通信保障应急和通信恢复工作的需要，维护企业利

益，为保障生产的顺利进行创造安全稳定可靠的网络环境。

（二）编制依据

《中华人民共和国电信条例》、《国家通信保障应急预

案》、《中华人民共和国计算机信息系统安全保护条例》、

《计算机病毒防治管理办法》、《非经营型互联网信息服务

备案管理办法》、《互联网IP地址资源备案管理办法》和

《中国互联网域名管理办法》等有关法规和规章制度。

二、组织指挥体系及职责

设立信息网络安全事故应急指挥小组，负责信息网络安

全事故的组织指挥和应急处置工作。总指挥由主要领导担

任，副总指挥由分管领导担任，指挥部成员由信息中心运行。

三、预测、预警机制及先期处置

（一）危险源分析及预警级别划分

1.1危险源分析

根据网络与信息安全突发公共事件的发生过程、性质和

机理，网络与信息安全突发公共事件主要分为以下三类：

（1）自然灾害。指地震、台风、雷电、火灾、洪水等

引起的网络与信息系统的损坏。

（2）事故灾难。指电力中断、网络损坏或是软件、硬

件设备故障等引起的网络与信息系统的损坏。

（3）人为破坏。指人为破坏网络线路、通信设施，网

络精英攻击、病毒攻击、恐怖袭击等引起的网络与信息系统

的损坏。

2.2预警级别划分

1、预警级别划分

根据预测分析结果，预警划分为四个等级：I级（特别

严重）、II级（严重）、III级（较重）、IV级（一般）。

I级（特别严重）：因特别重大突发公共事件引发的.，

有可能造成整个学校互联网通信故障或大面积骨干网中断、

通信枢纽设备遭到破坏或意外损坏等情况，及需要通信保障

应急准备的重大情况；通信网络故障可能升级为造成整个学

校互联网通信故障或大面积骨干网中断的情况。计算机房发

现火情或其他重大自然灾害或存在重大自然灾害隐患的。

II级（严重）：因重大突发公共事件引发的，有可能造

成学校网络通信中断，及需要通信保障应急准备的情况。

W级（一般）：因一般突发公共事件引发的，有可能造

成局域网内某个交换点所属局部网通信故障（不影响正常一

般通信）的情况。

（二）预防机制

信息网络安全事故应急指挥小组应加强发各级通信保

障机构及全网通信网络安全防护工作和应急处置工作的监

督检查，保障通信网络的安全畅通。

（三）预警监测

各重要信息系统重要负责人和主管科室要进一步完善

网络与信息安全突发公共事件监测、预测、预警制度。要落

实责任，制定信息通报工作制度。按照“早发现、早报告、

早处置”的原则，加强对各类网络与信息安全突发公共事件

和可能引发网络与信息安全突发公共事件的有关信息的收

集、分析判断和持续监测。

（四）先期处置

当发生网络与信息安全突发公共事件时，发现事故的人

员在按规定向相关系统管理员报告的同时，及时向信息网络

安全事故应急指挥小组相关领导报告。负责人员在接手事故

报告后要向信息网络安全事故应急指挥小组进行应急工作

进程报告和事故分析报告。报告内容主要包括信息来源、影

响范围、事件性质、事件发展趋势和采取的措施等。

四、应急响应

（一）应急处置分级和应急处置程序

突发事件发生时应急通信保障工作和通信恢复工作，按

照快速、机动、灵活的原则，根据响应的预警级别分别进行

处置。

I级：突发事件造成全学校通信故障或大面积骨干网中

断、通信枢纽设备遭到破坏等情况，及接到学校下达的通信

保障任务，由信息网络安全事故应急指挥小组负责组织和协

调。负责人员要迅速准确的定位故障源，如果是核心设备故