网络安全事件应急响应预案(通用4篇).docx
网络安全事件应急响应预案(通用4篇)网络安全事件应急响应预案1一、总则(一)为预防和减少网络与信息安全突发事件的发生, 控制、减轻和消除突发事件引起的危害及造成的损失,规范 突发事件预防和应对活动,保护学院的网络与信息安全,防 止重要信息泄密,保障网络业务与信息传输安全通畅的运 行,提高应对重大事故的应急能力,把损失降到最低程度, 特制定本预案。(二)本预案依据中华人民共和国网络安全法(2016 年)编制。(三)本预案适用于苏州大学应用技术学院(以下简称 学院)网络与信息系统安全事件的应对与处置工作。本预案 所称网络与信息安全事件是指由于自然灾害、设备软硬件故 障、人为失误、黑客攻击,以及敌对势力破坏等原因,对网 络信息系统造成危害,对学院正常教学、管理工作和声誉造 成不利影响的信息安全事件。(四)学院网络一旦出现安全事件,学院信息系统运行 受到威胁;将给教学、管理造成不可估量的损失。网络与信 息安全事件主要由以下三个方面的影响因素引起:1 .网络安全防护体系风险网络和信息技术发展日新月异,信息技术安全产品发展 也很快,目前学院信息安全保障产品还不够完备。2 ,操作系统固有缺陷目前常用的操作系统都存在一定的安全漏洞,随着各种 需求和应用的不断增加,网络和系统管理变得越来越复杂。3 ,接入终端多样复杂接入网络的终端,由不同厂家在不同年代生产,目前没 有纳入统一的防病毒、系统补丁和更新程序管理,致使接入 终端可能成为病毒或黑客攻击网络的切入点。(五)根据网络与信息安全事件的起因、表现、结果等, 网络与信息安全事件主要分为以下六类:L危害程序事件蓄意制造、传播有害程序,或是因受到有害程序的影响 而导致的网络与信息安全事件。4 .网络攻击事件通过网络或者其它技术手段,利用信息系统的配置缺 陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻 击,并造成信息系统异常,或对信息系统当前运行造成潜在 危害的信息安全事件。5 .信息破坏事件通过网络或者其它技术手段,造成信息系统中的信息被 篡改、假冒、泄露、窃取等而导致的信息安全事件。6 .设备设施故障事件由于信息系统自身故障或外围保障措施故障而导致的 网络与信息安全事件,以及人为地使用非技术手段有意或无 意地造成信息系统破坏而导致的信息安全事件。7 .灾害性事件由于不可抗力对网络和信息系统造成物理破坏而导致 的信息安全事件。8 .其它事件以上没有包括的其它信息安全事件。(六)根据苏应的计算机基础网络与信息系统的实际业 务情况,依据事件性质、严重程度、可控性、影响范围等因 素,学院的网络与信息安全突发事件划分为以下四个级别: I级(特别严重)、H级(严重)、HI级(一般)和IV级(轻微)。Ll级(特别严重)突发事件是指突然发生,将使特别重要的信息系统遭受严重损 失,对学院教学、对外信息造成特别重大影响,学院必须统 一协调、并向主管上级单位报告及调度各方面的资源和力量 进行应急处置的突发事件。符合以下条件之一的为I级事件。(1)面向学院的核心应用系统2个以上(含2个)遭到破坏性攻击而瘫痪。(2)敌对分子或黑客利用信息网络进行有组织、大规 模反动宣传和攻击活动,出现大量危害学院教学、管理机密 等犯罪行为。(3)其它造成特别严重社会影响或巨大经济损失的网 络与信息安全事件。2. II级(严重)突发事件是指突然发生,将使重要的信息系统遭受严重损失,对 学院教学、管理造成重大影响,学院必须统一协调、调度各 方面的资源和力量进行应急处置的突发事件。符合以下条件 之一的为级事件:(1)学院内、外网全部中断1小时以上(含1小时); 各单位、二级学院均与中心网络的链路中断。(2)面向学院的核心服务崩溃。(3)直属学院的服务器、核心路由器、交换机等关键 设备3个以上(含3个)损坏。(4)受到外部潜在的重大网络安全隐患或可能遭受的 网络病毒影响。(5)涉及上级单位通报的网络信息安全事件。3. III级(一般)突发事件由单位(含二级学院)认定的有可能对本单位造成重大 影响,但不会影响本单位以外的学院范围内的网络与信息安 全事件。4. IV级(轻微)突发事件是指突然发生并未使信息系统遭受严重损失,但需要信 息部门引起注意以免事件升级恶化。符合以下条件之一的为 IV级事件。(1)学院内、外网全部中断10分钟以内。(2)各单位、二级学院均与中心网络的链路中断。(3)面向学院的非核心服务异常停止。(七)对于网络安全事件,必须遵守以下工作原则L积极防御,综合防范。立足安全防护,加强预警,抓 好预防、监控、应急处理、应急保障和打击犯罪等环节,在 法律、管理、技术、人才等方面,采取多种措施,充分发挥 各方面的作用,共同构筑网络与信息安全保障体系。2 .明确责任。按照“谁主管谁负责”的原则,建立和完 善安全责任制,协调管理机制和联动工作机制。3 .依靠科学,平战结合。加强技术储备,规范应急处置 措施与操作流程,实现网络与信息安全突发公共事件应急处 置工作的科学化、程序化与规范化。树立常备不懈的观念, 确保应急预案切实可行。二、组织与职责(一)学院网络安全与信息化工作领导小组为管理机构 本预案组织机构由学院网络安全与信息化工作领导小组(简称领导小组)构成。领导小组办公室设在信息化建设管理中心,负责人任办 公室主任。(二)领导小组的工作职责L负责网络与信息安全事件现场应急指挥工作,确定现 场应急处置方案,协调现场应急资源调配工作。2.负责学院网络与信息安全事件应急工作的领导和应 对方案的决策。三、预防和预警(一)推进信息系统安全保护等级制度,开展信息安全 风险评估工作:1 .技术方面采用安装防火墙、入侵监测、计算机杀毒软件等措施, 建立身份认证和授权管理机制,对主机、网络设备、安全设 备与软件和网络边界进行必要配置,对重要数据定期进行备 份。2 .管理方面健全信息安全管理制度,落实信息安全等级保护措施, 开展信息安全风险评估。(二)发生学院级及以上网络与信息安全事件时,应立 即启动应急预案进行应急处理,并向领导小组报告。接到报 告后,应急领导小组启动预警程序。(S)发生网络安全事件按以下预警程序进行:L立即向领导小组办公室主任报告,由办公室主任预判 安全事件等级,H级以上(含II级)的向领导小组汇报, 并落实领导指令;II级以下的,需要根据实际情况书面方式 汇报给主任。2 .通知有关成员及相关单位做好应急准备。3 .及时收集和掌握事件发展动态及现场应对情况。4 .组织相关人员和专家分析、判断网络与信息安全事件 的紧急程度和发展态势,提供应急处置指导意见和技术支 持。5 根据事态变化,适时通报预警信息。6 .网络与信息安全事件解除时,及时宣布、告知预警解 除。7 . II级以下网络与信息安全事件发展到II级及以上时, 按相应等级启动网络与信息安全事件响应程序。(四)预警解除当网络与信息安全事件处置结束,经过评估确认危险已 经消除,领导小组可适时下达预警解除指令。四、应急响应信息报送一一响应程序一一应急状态解除一一,恢复与 重建一一总结、评估和改进(一)发生网络与信息安全事件时,第一时间向领导小 组办公室报告并定级。(二)填写网络安全事项登记表G领导小组响应与 审核(依据事件级别上报相关部门及领导审核)G事件处理 及按时上报进度:L填写网络安全事项登记表填写事件主题、事件描述、事件级别、事件发生时间, 签字并提交给领导小组审核确认。2 .网络与信息安全领导小组响应与审核需依据事件等级做相应响应与审核:I级事件:领导小组审核确认,并向主管单位及公安机 关报告并保留证据。H级事件:领导小组审核确认,协调各相关资源及时处 理并需现场处理人每小时汇报进展。In级事件:各部门负责人及领导小组办公室主任审核 确认。IV级事件:信息部领导及领导小组办公室主任审核确 认。(I)安排有关人员赴现场,协调应急处置工作。(2)根据事态进展,及时对应急救援方案的调整做出 决策。(3)现场处理人员需及时上报信息给领导小组并及时 落实有关指令。3 .现场响应与处理完善网络安全事项登记表,填写事件原因,短期处 理办法及长期处理办法;I级、II级事件需每小时向领导小 组汇报事件处理进度,In级、IV级事件处理完成后需由部 门负责人及领导小组办公室主任确认并审核。(三)应急状态解除网络与信息安全事件应急处理结束,相关危险因素消除 后,由领导小组组长下达应急状态解除指令并完善网络安 全事项登记表,填写解除时间,相关人员确认并审核。(四)恢复与重建L应急处置工作结束后,相关单位做好有关突发事件中 损失情况的统计、汇总,对处置情况进行总结,不断改进网 络与信息安全事件的应急保障工作,并开展恢复与重建工 作。2.尽快恢复信息系统、恢复数据、程序。3经领导小组评估同意后,方可恢复系运行。4.应急响应结束后,对发生信息安全事件的网络或系统 进行风险评估,及时发现可能存在的安全隐患和安全风险。(五)总结、评估和改进由信息管理部对应急事件进行总结、评估并提出改进方 案,上报网络安全领导小组备案。五、应急保障(一)对涉密信息建立严格的信息保障措施。(二)学院中心机房需配备核心网络、应用系统或重大 风险系统的容灾备份。(S)学院需建立应急保障队伍。(四)组织开展应急运作机制、应急处理技术、预警和 控制等研究。本预案由信息化建设管理中心组织制订并负责解释,自 发布之日起实行。信息报送d响应程序应急状态解除G恢复与重建G 总结、评估和改进网络安全事件应急响应预案21.总则LI编制目的建立健全全区网络安全事件应急工作机制,提高应对网 络安全事件能力,预防和减少网络安全事件造成的损失和危 害,保护公众利益,维护国家安全、公共安全和社会秩序。L2编制依据中华人民共和国突发事件应对法中华人民共和国 网络安全法国家突发公共事件总体应急预案突发事 件应急预案管理办法国家网络安全事件应急预案广 东省突发事件总体应急预案深圳市突发事件总体应急预 案深圳市突发事件应急预案管理办法(修订版)深 圳市重大突发事件紧急信息报送和处置工作制度深圳市 网络安全事件应急预案信息安全技术信息安全事件分类 分级指南(GB/Z 20986-2007)和信息安全技术网络安 全等级保护基本要求(GB/T 22239-2019)等。L3事件定义和分类本预案所指网络安全事件是指由于人为原因、软硬件缺 陷或故障、自然灾害等,对网络和信息系统或者其中的数据 造成危害,对社会造成负面影响的事件,可分为:有害程序 事件、网络攻击事件、信息破坏事件、信息内容安全事件、 设备设施故障、灾害性事件和其他事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、 特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页 内嵌恶意代码事件和其他有害程序事件。(2)网络攻击事件分为拒绝服务攻击事件、后门攻击 事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、 干扰事件和其他网络攻击事件。(3)信息破坏事件分为信息篡改事件、信息假冒事件、 信息泄露事件、信息窃取事件、信息丢失事件和其他信息破 坏事件。(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题, 并危害国家安全、社会稳定和公众利益的事件。(5)设备设施故障分为软硬件自身故障、外围保障设 施故障、人为破坏事故和其他设备设施故障。(6)灾害性事件是指由自然灾害等其他突发事件导致 的网络安全事件。(7)其他事件是指不能归为以上分类的网络安全事件。L4事件分级网络安全事件分为四级:由高到低划分为特别重大网络 安全事件、重大网络安全事件、较大网络安全事件、一般网 络安全事件。(1)符合下列情形之一的,为特别重大网络安全事件:重要网络和信息系统遭受特别严重的系统损失,造成 系统大面积瘫痪,丧失业务处理能力。国家秘密信息、重要敏感信息和关键数据丢失或被窃 取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构 成特别严重威胁、造成特别严重影响的网络安全事件。(2)符合下列情形之一且未达到特别重大网络安全事 件的,为重大网络安全事件:重要网络和信息系统遭受严重的系统损失,造成系统 长时间中断或局部瘫痪,业务处理能力受到极大影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃 取、篡改、假冒,对国家安全和社会稳定构成严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构 成严重威胁、造成严重影响的网络安全事件。(3)符合下列情形之一且未达到重大网络安全事件的, 为较大网络安全事件:重要网络和信息系统遭受较大的系统损失,造成系统 中断,明显影响系统效率,业务处理能力受到影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃 取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构 成较严重威胁、造成较严重影响的网络安全事件。(4)除上述情形外,对国家安全、社会秩序、经济建 设和公众利益构成一定威胁、造成一定影响的网络安全事 件,为一般网络安全事件。L5适用范围本预案适用于光明区内网络安全事件的应对工作。信息 内容安全事件的应对,另行制定专项预案。L6工作原则坚持统一领导、分级负责;坚持统一指挥、密切协同、 快速反应、科学处置;坚持预防为主,预防与应急相结合; 坚持谁主管谁负责、谁运行谁负责,平战结合、军地结合, 充分发挥各方面力量共同做好网络安全事件的预防和处置 工作。1. 7名称术语网络:指由计算机或者其他信息终端及相关设备组成的 按照一定的规则和程序对信息进行收集、存储、传输、交换、 处理的系统。网络安全:是指通过采取必要措施,防范对网络的攻击、 侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳 定可靠运行的状态,以及保障网络数据的完整性、保密性、 可用性的能力。电子政务外网:是指党政机关非涉密工作业务专网,与 互联网逻辑隔离。电子政务内网:是指满足我区各级政务部门内部办公、 管理、协调、监督、决策等需要,支持政务部门之间安全互 联、资源共享、业务协同的涉密政务网络。各街道:是指光明区辖各街道。各部门:是指光明区各级党政机关。2 .组织机构与职责2. 1领导机构与职责区委网络安全和信息化委员会(以下简你“区委网信 委”)为全区网络安全事件应急处置最高领导机构。区委网 络安全和信息化委员会办公室(以下简称“区委网信办”) 在区委网信委的领导下,统筹协调组织全区网络安全事件应 对工作,建立健全跨部门联动处置机制。区工业和信息化局、 光明公安分局、区政务服务数据管理局、社会发展研究中心 等相关部门按照职责分工负责相关网络安全事件应对工作。结合光明实际,设立全区网络安全事件应急指挥部(以 下简称,“区指挥部”),组织领导、指挥协调全区网络安 全突发事件的防范和应对工作,负责网络安全事件的组织领 导和指挥协调。区指挥部由总指挥、执行总指挥兼现场指挥 官、副总指挥和各成员组成。总指挥由区委常委、宣传部长担任,负责区指挥部的领 导工作,对光明区网络安全事件应急处置工作实施统一指 挥。执行总指挥兼现场指挥官由区委网信办主任担任,履行 现场决策、指挥、调度职责,协助总指挥、副总指挥在网络 安全事件现场指挥区网安应急办、专家组、各应急专业技术 队伍和各街道、各部门、各单位应急处置工作组处置网络安 全事件。副总指挥由区委办公室分管副主任、区应急局局长、区 工业和信息化局局长、光明公安分局分管副局长、区政务服 务数据管理局局长、社会发展研究中心主任担任,负责协助 总指挥做好区指挥部各项工作,协调各街道、各部门、各单 位实施应急工作。执行总指挥兼现场指挥官根据工作需要指定现场副指 挥官,协助总指挥或现场指挥官开展各项应急处置工作,或 受现场指挥官委托,临时负责现场指挥工作。2. 2成员单位职责区指挥部成员由区委办公室、区委宣传部、区委网信办、 区工业和信息化局、光明公安分局、区文化广电旅游体育局、 区应急管理局、区政务服务数据管理局、社会发展研究中心 等有关部门负责同志担任,可视情对成员进行调整。区指挥 部成员单位职责如下:(1)区委办公室:负责涉及国家秘密的网络安全事件 的检查和指导工作;协助上级机关及区相关职能部门查处党 政机关、企事业单位网络的泄密事件;负责网络安全事件中 涉及密码技术、密码产品事件的监管工作。(2)区委宣传部:负责网络安全事件新闻发布工作。 指导各街道、各部门和相关单位做好网络安全事件新闻发布 工作。(3)区委网信办:统筹协调组织全区网络安全应急处 置工作,负责区网安应急办的日常工作,建立健全与市委网 信办、省委网信办、中央网信办的网络安全事件应急处置工 作机制。网络安全事件发生后,根据网络安全事件分级及响 应需求,统筹协调有关单位配置网络安全应急资源。(4)区工业和信息化局:指导协调工业领域的工控系 统网络安全事件应急处置工作。协调基础电信运营企业为信 息系统的正常运行提供基础网络保障。(5)光明公安分局:依职责建立健全网络安全预警通 报机制,协调、监督和指导开展网络安全事件的预防、监测、 报告和应急处置工作,依法打击网络安全事件中的违法犯罪 行为。(6)区文化广电旅游体育局:负责广播电视网络安全 事件的预防、监测、报告和应急处置工作;负责监督、检查、 指导广播电视传输网络运营企业开展网络安全事件的预防 和应急处置工作;配合有关部门处置网络安全事件。(7)区应急管理局:及时掌握突发事件事态进展情况, 收集、汇总、上报突发事件信息,协调各有关单位参与应急 处置工作;协助区委网信办开展网络安全事件的处置工作, 传达并督促有关部门(单位)落实区委、区政府、区应急委有 关决定事项。(8)区政务服务数据管理局:负责全区电子政务外网 网络安全事件的预防、监测、报告和应急处置工作。统筹协 调区政府门户网站,统筹指导政务服务、电子政务、政务数 据管理、政务信息安全、数字政府、智慧城市等网络安全应 急处置工作。(9)社会发展研究中心:负责光明区网络安全事件中 涉及国家安全事项的应急处置工作,包括:对网络、通信设 备的检查、检验和窃密、泄密事件的查证、查处和防范工作; 依法对破坏基础信息网络和利用网络传播有害信息、危害公 众利益和国家安全等各种违法犯罪活动进行查处等。2. 3办事机构与职责全区网络安全应急指挥部办公室(以下简称“区网安应 急办”)设在区委网信办。区网安应急办负责网络安全应急 跨部门、跨街道协调工作和指挥部的事务性工作,组织指导 区级网络安全应急技术支撑队伍做好应急处置的技术支撑 工作。区委办公室、区委宣传部、区工业和信息化局、光明 公安分局、区文化广电旅游体育局、区应急管理局、区政务 服务数据管理局、社会发展研究中心等部门负责相关工作的 科级同志为联络员,联系区网安应急办工作。3. 4各部门职责区委和区政府各部门按照职责和权限,负责本部门、本 行业网络和信息系统网络安全事件的预防、监测、报告和应 急处置工作。4. 5各街道职责各街道在区委网络安全和信息化委员会统一领导下,统 筹协调组织本街道网络安全事件的预防、监测、报告和应急 处置工作。3.监测与预警3.1 预警分级网络安全事件预警等级分为四级:由高到低依次用红 色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别 重大、重大、较大和一般网络安全事件。3.2 预警监测各单位按照“谁主管谁负责、谁运行谁负责”的要求, 组织对本单位建设运行的网络和信息系统开展网络安全监 测工作。重点行业主管或监管部门组织指导做好本行业网络 安全监测工作。各街道结合实际,组织本街道网络安全监测 工作。各街道、各部门、各单位将重要监测信息报区网安应 急办,区网安应急办组织开展跨街道、跨部门的网络安全信 息共享。区工业和信息化局、光明公安分局、区政务服务数据管 理局等单位根据职责,监督、指导网络与信息系统的运营使 用单位开展风险评估,对重要基础网络与信息系统及其等级 保护落实工作进行定期检查,及时掌握分管领域内重要基础 网络与信息系统的风险现状,加强风险管理。3. 3网络安全事件信息接收方式区网安应急办通过媒体、网络等途径,面向公众公布网 络安全事件接收电话、传真、电子邮箱等信息。5. 4预警研判与发布各街道、各部门、各单位组织对监测信息进行研判,认 为需要立即采取防范措施的,应当及时通知有关部门和单 位。对可能发生较大及以上网络安全事件的信息,1小时内 向区网安应急办报告。区网安应急办组织专家组进行研判,对可能达到红色、 橙色、黄色和蓝色预警等级的,要及时上报市网安应急办, 同时报告区委值班室、区政府总值班室。确定为红色预警的, 由国家网安应急办发布;确定为橙色预警的,由省网安应急 办发布;确定为黄色预警的,由市网安应急办发布;确定为 蓝色预警的,由区网安应急办发布。预警信息包括事件类别、预警级别、起始时间、可能影 响范围、警示事项、应采取的措施和时限要求、发布机关等。5.5 预警响应1 .5.1红色、橙色、黄色预警响应区网安应急办根据国家、省、市网安应急办的决策部署 和统一指挥,实行24小时值班,相关人员保持通信联络畅 通。加强网络安全事件监测和事态发展信息搜集工作,组织 指导应急支撑队伍、相关运行单位开展应急处置或准备、风 险评估和控制工作,重要情况报市网安应急办。3 . 5.2蓝色预警响应(1)区网安应急办、有关部门网络安全事件应急指挥 机构启动相应应急预案,组织预警响应工作,联系专家和有 关机构,组织对事态发展情况进行跟踪研判,研究制定防范 措施,协调组织资源调度和部门联动的各项准备工作,做好 风险评估、应急准备和风险控制工作,重要情况报市网安应 急办。(2)有关街道、部门网络安全事件应急指挥机构实行 24小时值班,相关人员保持通信联络畅通。加强网络安全事 件监测和事态发展信息搜集工作,组织指导应急支撑队伍、 相关运行单位开展应急处置或准备、风险评估和控制工作, 重要情况及时报区网安应急办,区网安应急办密切关注事态 发展,有关重大事项及时通报相关街道和部门。(3)区级网络安全应急技术支撑队伍进入待命状态, 针对预警信息研究制定应对方案,检查应急车辆、设备、软 件工具等,确保处于良好状态。5.6 预警解除按照“谁发布谁解除”的原则,区网安应急办根据实际 情况,按程序确定解除对本区发布的.蓝色预警信息;配合 国家、省、市网安应急办做好红色、橙色、黄色预警信息解 除的相关工作。4.应急处置4.1 事件报告网络安全事件发生后,事发单位应立即启动应急预案, 实施处置并及时报送信息。事件报告要按照首报、续报、终 报全过程报送要求,做到有头有尾。对于初判为特别重大、 重大、较大、一般网络安全事件的,事发单位应立即将简要 情况及联系人通过电话、传真等方式上报区网安应急办,事 件详细情况应在1小时内上报。区网安应急办接到事件报告 后,及时报区委值班室、区政府总值班室,并上报市网安应 急办。事件报告内容包括:事件发生时间和地点、发生事件的 基础网络与信息系统名称、事件原因、信息来源、事件类型 及性质、危害和损失程度、影响单位及业务、事件发展趋势、 采取的处置措施等。对涉密的信息,参与涉密网络安全事件 应急处置人员应按有关规定签署保密协议;知情人员应遵守 相关的管理规定,做好保密工作。事件报告要符合以下要求:对重要基础网络与信息系统 及在敏感期可能演化为重大和特别重大网络安全事件的信 息系统的事件,事发单位应立即上报。对涉密的信息,参与 涉密网络安全事件应急处置人员应按有关规定签署保密协 议;知情人员应遵守相关的管理规定,做好保密工作。6. 2先期处置'发生网络安全事件后,事发单位应立即采取以下先期处 置措施。(1)紧急控制事态发展。根据本单位相关应急预案采取紧急措施,及时、最大限度控制事态发展。(2)快速判断事件危害。根据基础网络与信息系统的 运行、使用、承载业务的情况,初步判断发生事件的原因、 影响力、破坏程度、波及的范围等,提出初步应对措施建议。(3)及时上报信息。先期处置的同时,及时向单位责 任人、区网安应急办和相关应急主管部门报告。保持通信畅 通联系,实时报告事件进展情况。(4)保留相关证据。在事件处置过程中,可采取记录、 截屏、备份、录像等手段,对事件的发生、发展、处置过程、 步骤、结果进行详细记录;涉及网络犯罪行为的,按照相关 法律法规要求,向市公安局网警支队报案,协助进行电子数 据取证,为事件调查、处理提供证据。如先期处置措施不能有效控制事件,应进行分级响应。4.3应急响应网络安全事件应急响应分为四级,分别对应特别重大、 重大、较大和一般网络安全事件。I级为最高响应级别。4. 3. II级、II级、In级响应启动I级响应。区网安应急办组织对事件信息进行研判, 认为属特别重大网络安全事件的,及时向市网安应急办报 告。市网安应急办对事件信息进行研判,提出启动I级响应 的建议。省网安应急办对事件信息进行研判,按流程上报国 家网安应急办。经国家网安应急办确认启动I级响应后,区 网安应急办迅速向区委网信委报告,启动区指挥部工作。启动II级响应。区网安应急办组织对事件信息进行研 判,认为属重大网络安全事件的,及时向市网安应急办报告。 市网安应急办对事件信息进行研判,及时向省网安应急办报 告,提出启动级响应的建议。经省网安应急办确认后, 迅速向区委网信委报告,启动区指挥部工作。启动HI级响应。区网安应急办组织对事件信息进行研 判,认为属较大网络安全事件的,及时向市网安应急办报告。 市网安应急办确认启动HI级响应后,迅速向区委网信委报 告,启动区指挥部工作。(1)启动指挥体系区指挥部进入应急状态,在国家、省、市指挥部统一领 导、指挥、协调下,负责统筹指挥全区应急处置工作或资源 保障工作。指挥部成员保持24小时联络通畅,区网安应急 办24小时值班,并派员参加国家、省、市网安应急办工作。(2)掌握事件动态跟踪事态发展。区网安应急办及时将事态发展变化情 况和处置进展报市网安应急办。检查影响范围。区网安应急办立即全面了解全区范围 内的网络和信息系统是否受到事件的波及或影响,有关情况 及时报市网安应急办。及时通报情况。区网安应急办负责汇总上述有关情 况,重大事项及时报市网安应急办,并通报有街道和部门。(3)决策部署区网安应急办根据市网安应急办的统一部署和我区实 际做好统筹应对工作。(4)处置实施控制事态防止蔓延。区网安应急办组织实施,尽快控 制事态;组织、督促相关运行单位有针对性的加强防范,防 止事态蔓延。消除隐患恢复系统。区网安应急办根据事件发生原 因,有针对性地采取措施,备份数据、保护设备、排查隐患, 恢复受破坏网络和信息系统正常运行。必要时可以依法征用 单位和个人的设备和资源,并按规定给予补偿。调查举证。事发单位在应急恢复过程中应保留相关证 据。对于人为破坏活动,区委办公室、光明公安分局、社会 发展研究中心按职责分工负责组织开展调查取证工作。信息发布。在中央宣传部(国务院政府新闻办公室)、 省委宣传部的指导下,市委宣传部指导协调、区委宣传部协 助开展网络安全突发事件的应急新闻发布和舆论引导工作。 未经批准,其他部门和单位不得擅自发布相关信息。区域协调。有关部门根据统一要求,建立健全市际间 网络安全事件应急处置联动机制,按照各自渠道,开展与有 关市之间的协调。协调配合引发的其他突发事件的应急处置。对于引发 或可能引发其他特别重大安全事件的,区网安应急办应及时 按程序上报。在相关街道、部门应急处置中,区网安应急办 做好协调配合工作。4. 3.2 IV级响应区网安应急办组织对事件进行研判,认为属一般网络安 全事件的,及时向区委网信委提出启动IV级响应的建议, 经区委网信委批准后,及时发布预警信息。(1)区指挥部进入应急状态,履行应急处置工作的统 一领导、指挥、协调职责,按照相关应急预案做好应急处置 工作。区网安应急办24小时值班,指挥部成员单位保持24 小时联络畅通。有关街道、部门应急指挥机构进入应急状态, 24小时值班,负责做好本街道、本部门应急处置工作或支援 保障工作,派员参加区网安应急办工作。(2)事件发生地辖区或部门及时将事态发展变化情况 和处置进展情况,以及本区、本部门主管范围内的网络和信 息系统是否受到事件的波及或影响情况报区网安应急办。区 网安应急办负责汇总上述有关情况,重大事项及时报市网安 应急办,并通报有关街道和部门。(3)区网安应急办会同公安、通管等有关部门,组织 有关街道、单位、专家组和应急技术支撑队伍等及时研究对 策意见,对应对工作进行决策部署。(4)有关街道和部门根据区网安应急办的部署组织、 督促相关运行单位组织实施,尽快控制事态,防止事态蔓延。 处置中需要区或其他有关街道、部门网络安全应急支撑队伍 配合和支持的,商区网安应急办予以协调,相关网络安全应 急支撑队伍根据各自职责,积极配合、提供支持。(5)有关街道和部门根据事件发生原因,有针对性地 采取措施,备份数据、保护设备、排查隐患,恢复受破坏网 络和信息系统正常运行。事发单位在应急恢复过程中应保留 相关证据。对于人为破坏活动,公安、安全、保密等部门按 职责分工负责组织开展调查取证工作。必要时可依法征用单 位和个人的设备和资源,并按规定给予补偿。(6)区委宣传部组织网络安全突发事件的应急新闻工 作,指导协调有关街道和部门开展应急新闻发布和舆论引导 工作。未经批准,其他部门和单位不得擅自发布相关信息。(7)对于引发或者可能引发其他重大安全事件的,区 网安应急办应及时按程序上报,统筹协调做好处置工作。有 关街道和部门根据区网安应急办的通报,结合实际有针对性 地加强防范,防止造成更大范围影响和损失。4.4 响应升级4. 4. 1响应级别变更应急响应过程中,区网安应急办、各相关部门应密切关 注事件事态发展和响应工作进展情况,根据事态变化、响应 效果及专家组建议,适时调整响应级别。超出自身应急处置 能力的,应及时报告上一级部门,建议变更响应级别,开展 相关处置工作。5. 4. 2响应级别升级(1)事件发展蔓延,事态发展得不到控制,超出了区 网安应急办处置能力,需要其它部门、单位参与处置时,区 网安应急办应及时报告区委网信委,由区委网信委组织、协 调区其它专项应急指挥部和各部门参与处置工作。(2)事件造成的危害程度特别严重,超出了本区处置 能力,需援助和支持时,依照深圳市网络安全事件应急预 案,区指挥部通过区委网信委及时向市网安应急办及应急 相关部门报告事件情况。应急处置工作在国家、省、市网安 应急办及应急相关部门或指定部门的领导下开展。4.5 应急结束I级响应结束,由国家网安应急办及时通报省(区、市) 和部门。H级响应结束,由省网安应急办按程序上报国家网安应 急办,由国家网安应急办通报省网安应急办,省网安应急办 及时通报相关地区和部门。HI级响应结束,由市网安应急办提出建议,报市委网信委批准后,上报省网安应急办,省网安应急办通报市网安 应急办。IV级响应结束,由区网安应急办提出建议,报区委网信 委批准后,上报市网安应急办,市网安应急办通报区网安应 急办。4. 6善后与恢复应急处置工作结束后,事发单位和其他有关应急管理工 作机构要积极稳妥、深入细致地做好善后处置工作,及时处 理征用的物资和设备。对参与处置的工作人员以及紧急调 集、征用的物资,要按照规定给予补助或补偿。事发单位迅 速组织人员制订基础网络、信息系统的重建和恢复计划,尽 快恢复受损基础网络和信息系统,降低对正常工作业务的影 响。5.调查评估和事件总结5. 1调查评估特别重大网络安全事件,由国家网安应急办组织有关部 门和省(区、市)进行调查和总结评估,并按程序上报。重 大网络安全事件,由省网安应急办组织有关部门和地区进行 调查处理和总结评估,将总结调查报告报国家网安应急办。 较大网络安全事件,由市网安应急办组织有关部门和区进行 调查处理和总结评估,将总结调查报告报省网安应急办。一 般网络安全事件,由区网安应急办组织调查处理和总结评 估。总结调查报告应对事件的起因、性质、影响、责任等进 行分析评估,提出处理意见和改进措施。事件调查处理和总结评估工作原则上应在应急响应结 束后30天内完成。6. 2事件总结网络安全事件应急任务结束后,事发单位应牵头组织专 家,与区网安应急办组成事件调查组,对事件发生原因及处 置过程进行全面调查,查清事件发生的原因及事件中基础网 络与信息系统、网络设施损失情况,总结经验教训,不断改 进网络安全事件应急管理工作。事发单位应在30个工作日 内将相关报告报送给区网安应急办。6 .预防工作6. 1日常管理各街道、各部门、各单位按职责做好网络安全事件日常 预防工作,制定完善相关应急预案。做好网络安全检查、隐 患排查、风险评估和容灾备份,健全网络安全信息通报机制, 及时采取有效措施,减少和避免网络安全事件的发生及危 害,提高应对网络安全事件的能力。7. 2演练区委网信办牵头,协调区政务服务数据管理局等有关部 门,每年至少组织一次全区网络安全应急演练,模拟处置一 般网络安全事件。通过演练,检验应急体系和工作机制运行 情况、应急物资配备情况,及时发现问题,完善应急预案, 提高应急处置能力。演练情况报区委网信委和市委网信办。应急演练主要开展以下工作:(1)区委网信办确定应急响应演练的目标和范围。主要开展重要信息系统的应急演练。(2)按照全区网络安全应急演练工作要求,各街道、 各部门、各单位成立应急演练小组,制订应急演练方案。(3)区委网信办统筹调配应急演练所需的各项资源, 组织有关部门和单位进行应急演练。评估演练情况,总结经 验,通报应急演练结果。针对演练中暴露的问题,分析应急 预案的科学性和合理性并加以修订完善。各街道、各部门、各单位每年至少组织或参与一次网络 安全应急演练或学习培训,相关情况报区委网信办。8. 3宣传各街道、各部门、各单位要充分利用各种传播媒介及其 他有效的宣传形式,加强突发网络安全事件预防和处置的有 关法律、法规和政策的宣传,开展网络安全基本知识和技能 的宣传活动。9. 4培训各街道、各部门、各单位要将网络安全事件的应急知识 列为领导干部和有关人员的培训内容,加强网络安全特别是 网络安全应急预案的培训,提高防范意识和技能。区政务服务数据管理局组织全区党政机关开展网络安 全应急管理、应急处置等培训,提高各街道各单位信息化管 理人员、应急处置人员防范意识及技能。6. 5重要敏感时期的预防措施在国家、省、市、区重要活动和会议等重要敏感时期, 各街道、各部门、各单位要加强网络安全事件的防范和应急 响应,确保网络安全。区网安应急办统筹协调网络安全保障 工作,根据需要启动预警响应。各街道、部门加强网络安全 监测和分析研判,及时预警可能造成重大影响的风险和隐 患,重点部门、重点岗位保持24小时值班,及时发现和处 置网络安全事件隐患。7
