1、网络安全事件应急响应预案范文网络安全事件应急响应预案1一、总则(一)为预防和减少网络与信息安全突发事件的发生,控制、减轻和消除突发事件引起的危害及造成的损失,规范突发事件预防和应对活动,保护学院的网络与信息安全,防止重要信息泄密,保障网络业务与信息传输安全通畅的运行,提高应对重大事故的应急能力,把损失降到最低程度,特制定本预案。(二)本预案依据中华人民共和国网络安全法(2016年)编制。(三)本预案适用于苏州大学应用技术学院(以下简称学院)网络与信息系统安全事件的应对与处置工作。本预案所称网络与信息安全事件是指由于自然灾害、设备软硬件故障、人为失误、黑客攻击,以及敌对势力破坏等原因,对网络信息
2、系统造成危害,对学院正常教学、管理工作和声誉造成不利影响的信息安全事件。(四)学院网络一旦出现安全事件,学院信息系统运行受到威胁;将给教学、管理造成不可估量的损失。网络与信息安全事件主要由以下三个方面的影响因素引起:1.网络安全防护体系风险网络和信息技术发展日新月异,信息技术安全产品发展也很快,目前学院信息安全保障产品还不够完备。2.操作系统固有缺陷目前常用的操作系统都存在一定的安全漏洞,随着各种需求和应用的不断增加,网络和系统管理变得越来越复杂。3.接入终端多样复杂接入网络的终端,由不同厂家在不同年代生产,目前没有纳入统一的防病毒、系统补丁和更新程序管理,致使接入终端可能成为病毒或黑客攻击网
3、络的切入点。(五)根据网络与信息安全事件的起因、表现、结果等,网络与信息安全事件主要分为以下六类:1.危害程序事件蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的网络与信息安全事件。2.网络攻击事件通过网络或者其它技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻击,并造成信息系统异常,或对信息系统当前运行造成潜在危害的信息安全事件。3.信息破坏事件通过网络或者其它技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。4.设备设施故障事件由于信息系统自身故障或外围保障措施故障而导致的网络与信息安全事件,以及人为地使用非技术手段有意
4、或无意地造成信息系统破坏而导致的信息安全事件。5.灾害性事件由于不可抗力对网络和信息系统造成物理破坏而导致的信息安全事件。6.其它事件以上没有包括的其它信息安全事件。(六)根据苏应的计算机基础网络与信息系统的实际业务情况,依据事件性质、严重程度、可控性、影响范围等因素,学院的网络与信息安全突发事件划分为以下四个级别:I级(特别严重)、II级(严重)、III级(一般)和IV级(轻微)。1.I级(特别严重)突发事件是指突然发生,将使特别重要的信息系统遭受严重损失,对学院教学、对外信息造成特别重大影响,学院必须统一协调、并向主管上级单位报告及调度各方面的资源和力量进行应急处置的突发事件。符合以下条件
5、之一的为I级事件。(1)面向学院的核心应用系统2个以上(含2个)遭到破坏性攻击而瘫痪。(2)敌对分子或黑客利用信息网络进行有组织、大规模反动宣传和攻击活动,出现大量危害学院教学、管理机密等犯罪行为。(3)其它造成特别严重社会影响或巨大经济损失的网络与信息安全事件。2.II级(严重)突发事件是指突然发生,将使重要的信息系统遭受严重损失,对学院教学、管理造成重大影响,学院必须统一协调、调度各方面的资源和力量进行应急处置的突发事件。符合以下条件之一的为II级事件:(1)学院内、外网全部中断1小时以上(含1小时);各单位、二级学院均与中心网络的链路中断。(2)面向学院的核心服务崩溃。(3)直属学院的服
6、务器、核心路由器、交换机等关键设备3个以上(含3个)损坏。(4)受到外部潜在的重大网络安全隐患或可能遭受的网络病毒影响。(5)涉及上级单位通报的网络信息安全事件。3.III级(一般)突发事件由单位(含二级学院)认定的有可能对本单位造成重大影响,但不会影响本单位以外的学院范围内的网络与信息安全事件。4.IV级(轻微)突发事件是指突然发生并未使信息系统遭受严重损失,但需要信息部门引起注意以免事件升级恶化。符合以下条件之一的为IV级事件。(1)学院内、外网全部中断10分钟以内。(2)各单位、二级学院均与中心网络的链路中断。(3)面向学院的非核心服务异常停止。(七)对于网络安全事件,必须遵守以下工作原
7、则1.积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。2.明确责任。按照“谁主管谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。3.依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,确保应急预案切实可行。二、组织与职责(一)学院网络安全与信息化工作领导小组为管理机构本预案组织机构由学院网络安全与信息化工作领导小组(简称领导小组)构成
8、。领导小组办公室设在信息化建设管理中心,负责人任办公室主任。(二)领导小组的工作职责1.负责网络与信息安全事件现场应急指挥工作,确定现场应急处置方案,协调现场应急资源调配工作。2.负责学院网络与信息安全事件应急工作的领导和应对方案的决策。三、预防和预警(一)推进信息系统安全保护等级制度,开展信息安全风险评估工作:1.技术方面采用安装防火墙、入侵监测、计算机杀毒软件等措施,建立身份认证和授权管理机制,对主机、网络设备、安全设备与软件和网络边界进行必要配置,对重要数据定期进行备份。2.管理方面健全信息安全管理制度,落实信息安全等级保护措施,开展信息安全风险评估。(二)发生学院级及以上网络与信息安全
9、事件时,应立即启动应急预案进行应急处理,并向领导小组报告。接到报告后,应急领导小组启动预警程序。(三)发生网络安全事件按以下预警程序进行:1.立即向领导小组办公室主任报告,由办公室主任预判安全事件等级,II级以上(含II级)的向领导小组汇报,并落实领导指令;II级以下的,需要根据实际情况书面方式汇报给主任。2.通知有关成员及相关单位做好应急准备。3.及时收集和掌握事件发展动态及现场应对情况。4.组织相关人员和专家分析、判断网络与信息安全事件的紧急程度和发展态势,提供应急处置指导意见和技术支持。5.根据事态变化,适时通报预警信息。6.网络与信息安全事件解除时,及时宣布、告知预警解除。7.II级以
10、下网络与信息安全事件发展到II级及以上时,按相应等级启动网络与信息安全事件响应程序。(四)预警解除当网络与信息安全事件处置结束,经过评估确认危险已经消除,领导小组可适时下达预警解除指令。四、应急响应信息报送响应程序应急状态解除恢复与重建总结、评估和改进(一)发生网络与信息安全事件时,第一时间向领导小组办公室报告并定级。(二)填写网络安全事项登记表领导小组响应与审核(依据事件级别上报相关部门及领导审核)事件处理及按时上报进度:1.填写网络安全事项登记表填写事件主题、事件描述、事件级别、事件发生时间,签字并提交给领导小组审核确认。2.网络与信息安全领导小组响应与审核需依据事件等级做相应响应与审核:
11、I级事件:领导小组审核确认,并向主管单位及公安机关报告并保留证据。II级事件:领导小组审核确认,协调各相关资源及时处理并需现场处理人每小时汇报进展。III级事件:各部门负责人及领导小组办公室主任审核确认。IV级事件:信息部领导及领导小组办公室主任审核确认。(1)安排有关人员赴现场,协调应急处置工作。(2)根据事态进展,及时对应急救援方案的调整做出决策。(3)现场处理人员需及时上报信息给领导小组并及时落实有关指令。3.现场响应与处理完善网络安全事项登记表,填写事件原因,短期处理办法及长期处理办法;I级、II级事件需每小时向领导小组汇报事件处理进度,III级、IV级事件处理完成后需由部门负责人及领
12、导小组办公室主任确认并审核。(三)应急状态解除网络与信息安全事件应急处理结束,相关危险因素消除后,由领导小组组长下达应急状态解除指令并完善网络安全事项登记表,填写解除时间,相关人员确认并审核。(四)恢复与重建1.应急处置工作结束后,相关单位做好有关突发事件中损失情况的统计、汇总,对处置情况进行总结,不断改进网络与信息安全事件的应急保障工作,并开展恢复与重建工作。2.尽快恢复信息系统、恢复数据、程序。3.经领导小组评估同意后,方可恢复系运行。4.应急响应结束后,对发生信息安全事件的网络或系统进行风险评估,及时发现可能存在的安全隐患和安全风险。(五)总结、评估和改进由信息管理部对应急事件进行总结、
13、评估并提出改进方案,上报网络安全领导小组备案。五、应急保障(一)对涉密信息建立严格的信息保障措施。(二)学院中心机房需配备核心网络、应用系统或重大风险系统的容灾备份。(三)学院需建立应急保障队伍。(四)组织开展应急运作机制、应急处理技术、预警和控制等研究。本预案由信息化建设管理中心组织制订并负责解释,自发布之日起实行。信息报送响应程序应急状态解除恢复与重建总结、评估和改进网络安全事件应急响应预案21.总则1.1编制目的建立健全全区网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。1.2编制依据中华人民共和
14、国突发事件应对法中华人民共和国网络安全法国家突发公共事件总体应急预案突发事件应急预案管理办法国家网络安全事件应急预案广东省突发事件总体应急预案深圳市突发事件总体应急预案深圳市突发事件应急预案管理办法(修订版)深圳市重大突发事件紧急信息报送和处置工作制度深圳市网络安全事件应急预案信息安全技术信息安全事件分类分级指南(GB/Z 20986-2007)和信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)等。1.3事件定义和分类本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为:有害程序事件
15、、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。(4)信息内容安全事件包括:通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题,并危害国家安全、社会稳定和公众利益的事件
16、。(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。(7)其他事件是指不能归为以上分类的网络安全事件。1.4事件分级网络安全事件分为四级:由高到低划分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。(1)符合下列情形之一的,为特别重大网络安全事件:重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。其他对国家安全、社会秩序、经济建设和公众
17、利益构成特别严重威胁、造成特别严重影响的网络安全事件。(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。国家秘密信息、重要敏感信息和关键数
18、据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。1.5适用范围本预案适用于光明区内网络安全事件的应对工作。信息内容安全事件的应对,另行制定专项预案。1.6工作原则坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,平战结合、军地结合,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。1
19、.7名称术语网络:指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。电子政务外网:是指党政机关非涉密工作业务专网,与互联网逻辑隔离。电子政务内网:是指满足我区各级政务部门内部办公、管理、协调、监督、决策等需要,支持政务部门之间安全互联、资源共享、业务协同的涉密政务网络。各街道:是指光明区辖各街道。各部门:是指光明区各级党政机关。2.组织机构与职责2.1领导机构与职责区委网
20、络安全和信息化委员会(以下简你“区委网信委”)为全区网络安全事件应急处置最高领导机构。区委网络安全和信息化委员会办公室(以下简称“区委网信办”)在区委网信委的领导下,统筹协调组织全区网络安全事件应对工作,建立健全跨部门联动处置机制。区工业和信息化局、光明公安分局、区政务服务数据管理局、社会发展研究中心等相关部门按照职责分工负责相关网络安全事件应对工作。结合光明实际,设立全区网络安全事件应急指挥部(以下简称,“区指挥部”),组织领导、指挥协调全区网络安全突发事件的防范和应对工作,负责网络安全事件的组织领导和指挥协调。区指挥部由总指挥、执行总指挥兼现场指挥官、副总指挥和各成员组成。总指挥由区委常委
21、、宣传部长担任,负责区指挥部的领导工作,对光明区网络安全事件应急处置工作实施统一指挥。执行总指挥兼现场指挥官由区委网信办主任担任,履行现场决策、指挥、调度职责,协助总指挥、副总指挥在网络安全事件现场指挥区网安应急办、专家组、各应急专业技术队伍和各街道、各部门、各单位应急处置工作组处置网络安全事件。副总指挥由区委办公室分管副主任、区应急局局长、区工业和信息化局局长、光明公安分局分管副局长、区政务服务数据管理局局长、社会发展研究中心主任担任,负责协助总指挥做好区指挥部各项工作,协调各街道、各部门、各单位实施应急工作。执行总指挥兼现场指挥官根据工作需要指定现场副指挥官,协助总指挥或现场指挥官开展各项
22、应急处置工作,或受现场指挥官委托,临时负责现场指挥工作。2.2成员单位职责区指挥部成员由区委办公室、区委宣传部、区委网信办、区工业和信息化局、光明公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等有关部门负责同志担任,可视情对成员进行调整。区指挥部成员单位职责如下:(1)区委办公室:负责涉及国家秘密的网络安全事件的检查和指导工作;协助上级机关及区相关职能部门查处党政机关、企事业单位网络的泄密事件;负责网络安全事件中涉及密码技术、密码产品事件的监管工作。(2)区委宣传部:负责网络安全事件新闻发布工作。指导各街道、各部门和相关单位做好网络安全事件新闻发布工作。(
23、3)区委网信办:统筹协调组织全区网络安全应急处置工作,负责区网安应急办的日常工作,建立健全与市委网信办、省委网信办、中央网信办的网络安全事件应急处置工作机制。网络安全事件发生后,根据网络安全事件分级及响应需求,统筹协调有关单位配置网络安全应急资源。(4)区工业和信息化局:指导协调工业领域的工控系统网络安全事件应急处置工作。协调基础电信运营企业为信息系统的正常运行提供基础网络保障。(5)光明公安分局:依职责建立健全网络安全预警通报机制,协调、监督和指导开展网络安全事件的预防、监测、报告和应急处置工作,依法打击网络安全事件中的违法犯罪行为。(6)区文化广电旅游体育局:负责广播电视网络安全事件的预防
24、、监测、报告和应急处置工作;负责监督、检查、指导广播电视传输网络运营企业开展网络安全事件的预防和应急处置工作;配合有关部门处置网络安全事件。(7)区应急管理局:及时掌握突发事件事态进展情况,收集、汇总、上报突发事件信息,协调各有关单位参与应急处置工作;协助区委网信办开展网络安全事件的处置工作,传达并督促有关部门(单位)落实区委、区政府、区应急委有关决定事项。(8)区政务服务数据管理局:负责全区电子政务外网网络安全事件的预防、监测、报告和应急处置工作。统筹协调区政府门户网站,统筹指导政务服务、电子政务、政务数据管理、政务信息安全、数字政府、智慧城市等网络安全应急处置工作。(9)社会发展研究中心:
25、负责光明区网络安全事件中涉及国家安全事项的应急处置工作,包括:对网络、通信设备的检查、检验和窃密、泄密事件的查证、查处和防范工作;依法对破坏基础信息网络和利用网络传播有害信息、危害公众利益和国家安全等各种违法犯罪活动进行查处等。2.3办事机构与职责全区网络安全应急指挥部办公室(以下简称“区网安应急办”) 设在区委网信办。区网安应急办负责网络安全应急跨部门、跨街道协调工作和指挥部的事务性工作,组织指导区级网络安全应急技术支撑队伍做好应急处置的技术支撑工作。区委办公室、区委宣传部、区工业和信息化局、光明公安分局、区文化广电旅游体育局、区应急管理局、区政务服务数据管理局、社会发展研究中心等部门负责相
26、关工作的科级同志为联络员,联系区网安应急办工作。2.4各部门职责区委和区政府各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。2.5各街道职责各街道在区委网络安全和信息化委员会统一领导下,统筹协调组织本街道网络安全事件的预防、监测、报告和应急处置工作。3.监测与预警3.1预警分级网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。3.2预警监测各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监
27、管部门组织指导做好本行业网络安全监测工作。各街道结合实际,组织本街道网络安全监测工作。各街道、各部门、各单位将重要监测信息报区网安应急办,区网安应急办组织开展跨街道、跨部门的网络安全信息共享。区工业和信息化局、光明公安分局、区政务服务数据管理局等单位根据职责,监督、指导网络与信息系统的运营使用单位开展风险评估,对重要基础网络与信息系统及其等级保护落实工作进行定期检查,及时掌握分管领域内重要基础网络与信息系统的风险现状,加强风险管理。3.3网络安全事件信息接收方式区网安应急办通过媒体、网络等途径,面向公众公布网络安全事件接收电话、传真、电子邮箱等信息。3.4预警研判与发布各街道、各部门、各单位组
28、织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位。对可能发生较大及以上网络安全事件的信息,1小时内向区网安应急办报告。区网安应急办组织专家组进行研判,对可能达到红色、橙色、黄色和蓝色预警等级的,要及时上报市网安应急办,同时报告区委值班室、区政府总值班室。确定为红色预警的,由国家网安应急办发布;确定为橙色预警的,由省网安应急办发布;确定为黄色预警的,由市网安应急办发布;确定为蓝色预警的,由区网安应急办发布。预警信息包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。3.5预警响应3.5.1红色、橙色、黄色预警响应区网安应急办根
29、据国家、省、市网安应急办的决策部署和统一指挥,实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报市网安应急办。3.5.2 蓝色预警响应(1)区网安应急办、有关部门网络安全事件应急指挥机构启动相应应急预案,组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施,协调组织资源调度和部门联动的各项准备工作,做好风险评估、应急准备和风险控制工作,重要情况报市网安应急办。(2)有关街道、部门网络安全事件应急指挥机构实行24小时值班,相关人员保持通信联络
30、畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况及时报区网安应急办,区网安应急办密切关注事态发展,有关重大事项及时通报相关街道和部门。(3)区级网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。3.6预警解除按照“谁发布谁解除”的原则,区网安应急办根据实际情况,按程序确定解除对本区发布的.蓝色预警信息;配合国家、省、市网安应急办做好红色、橙色、黄色预警信息解除的相关工作。4.应急处置4.1事件报告网络安全事件发生后,事发单位应立即启动应急预案,
31、实施处置并及时报送信息。事件报告要按照首报、续报、终报全过程报送要求,做到有头有尾。对于初判为特别重大、重大、较大、一般网络安全事件的,事发单位应立即将简要情况及联系人通过电话、传真等方式上报区网安应急办,事件详细情况应在1小时内上报。区网安应急办接到事件报告后,及时报区委值班室、区政府总值班室,并上报市网安应急办。事件报告内容包括:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。对涉密的信息,参与涉密网络安全事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密
32、工作。事件报告要符合以下要求:对重要基础网络与信息系统及在敏感期可能演化为重大和特别重大网络安全事件的信息系统的事件,事发单位应立即上报。对涉密的信息,参与涉密网络安全事件应急处置人员应按有关规定签署保密协议;知情人员应遵守相关的管理规定,做好保密工作。4.2先期处置发生网络安全事件后,事发单位应立即采取以下先期处置措施。(1)紧急控制事态发展。根据本单位相关应急预案采取紧急措施,及时、最大限度控制事态发展。(2)快速判断事件危害。根据基础网络与信息系统的运行、使用、承载业务的情况,初步判断发生事件的原因、影响力、破坏程度、波及的范围等,提出初步应对措施建议。(3)及时上报信息。先期处置的同时
33、,及时向单位责任人、区网安应急办和相关应急主管部门报告。保持通信畅通联系,实时报告事件进展情况。(4)保留相关证据。在事件处置过程中,可采取记录、截屏、备份、录像等手段,对事件的发生、发展、处置过程、步骤、结果进行详细记录;涉及网络犯罪行为的,按照相关法律法规要求,向市公安局网警支队报案,协助进行电子数据取证,为事件调查、处理提供证据。如先期处置措施不能有效控制事件,应进行分级响应。4.3应急响应网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。4.3.1I级、II级、III级响应启动I级响应。区网安应急办组织对事件信息进行研判,认为属特别重大网
34、络安全事件的,及时向市网安应急办报告。市网安应急办对事件信息进行研判,提出启动I级响应的建议。省网安应急办对事件信息进行研判,按流程上报国家网安应急办。经国家网安应急办确认启动I级响应后,区网安应急办迅速向区委网信委报告,启动区指挥部工作。启动II级响应。区网安应急办组织对事件信息进行研判,认为属重大网络安全事件的,及时向市网安应急办报告。市网安应急办对事件信息进行研判,及时向省网安应急办报告,提出启动II级响应的建议。经省网安应急办确认后,迅速向区委网信委报告,启动区指挥部工作。启动III级响应。区网安应急办组织对事件信息进行研判,认为属较大网络安全事件的,及时向市网安应急办报告。市网安应急
35、办确认启动III级响应后,迅速向区委网信委报告,启动区指挥部工作。(1)启动指挥体系区指挥部进入应急状态,在国家、省、市指挥部统一领导、指挥、协调下,负责统筹指挥全区应急处置工作或资源保障工作。指挥部成员保持24小时联络通畅,区网安应急办24小时值班,并派员参加国家、省、市网安应急办工作。(2)掌握事件动态跟踪事态发展。区网安应急办及时将事态发展变化情况和处置进展报市网安应急办。检查影响范围。区网安应急办立即全面了解全区范围内的网络和信息系统是否受到事件的波及或影响,有关情况及时报市网安应急办。及时通报情况。区网安应急办负责汇总上述有关情况,重大事项及时报市网安应急办,并通报有街道和部门。(3
36、)决策部署区网安应急办根据市网安应急办的统一部署和我区实际做好统筹应对工作。(4)处置实施控制事态防止蔓延。区网安应急办组织实施,尽快控制事态; 组织、督促相关运行单位有针对性的加强防范,防止事态蔓延。消除隐患恢复系统。区网安应急办根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏网络和信息系统正常运行。必要时可以依法征用单位和个人的设备和资源,并按规定给予补偿。调查举证。事发单位在应急恢复过程中应保留相关证据。对于人为破坏活动,区委办公室、光明公安分局、社会发展研究中心按职责分工负责组织开展调查取证工作。信息发布。在中央宣传部(国务院政府新闻办公室)、省委宣传部的
37、指导下,市委宣传部指导协调、区委宣传部协助开展网络安全突发事件的应急新闻发布和舆论引导工作。未经批准,其他部门和单位不得擅自发布相关信息。区域协调。有关部门根据统一要求,建立健全市际间网络安全事件应急处置联动机制,按照各自渠道,开展与有关市之间的协调。协调配合引发的其他突发事件的应急处置。对于引发或可能引发其他特别重大安全事件的,区网安应急办应及时按程序上报。在相关街道、部门应急处置中,区网安应急办做好协调配合工作。4.3.2 IV级响应区网安应急办组织对事件进行研判,认为属一般网络安全事件的,及时向区委网信委提出启动IV级响应的建议,经区委网信委批准后,及时发布预警信息。(1)区指挥部进入应
38、急状态,履行应急处置工作的统一领导、指挥、协调职责,按照相关应急预案做好应急处置工作。区网安应急办24小时值班,指挥部成员单位保持24小时联络畅通。有关街道、部门应急指挥机构进入应急状态,24小时值班,负责做好本街道、本部门应急处置工作或支援保障工作,派员参加区网安应急办工作。(2)事件发生地辖区或部门及时将事态发展变化情况和处置进展情况,以及本区、本部门主管范围内的网络和信息系统是否受到事件的波及或影响情况报区网安应急办。区网安应急办负责汇总上述有关情况,重大事项及时报市网安应急办,并通报有关街道和部门。(3)区网安应急办会同公安、通管等有关部门,组织有关街道、单位、专家组和应急技术支撑队伍
39、等及时研究对策意见,对应对工作进行决策部署。(4)有关街道和部门根据区网安应急办的部署组织、督促相关运行单位组织实施,尽快控制事态,防止事态蔓延。处置中需要区或其他有关街道、部门网络安全应急支撑队伍配合和支持的,商区网安应急办予以协调,相关网络安全应急支撑队伍根据各自职责,积极配合、提供支持。(5)有关街道和部门根据事件发生原因,有针对性地采取措施,备份数据、保护设备、排查隐患,恢复受破坏网络和信息系统正常运行。事发单位在应急恢复过程中应保留相关证据。对于人为破坏活动,公安、安全、保密等部门按职责分工负责组织开展调查取证工作。必要时可依法征用单位和个人的设备和资源,并按规定给予补偿。(6)区委
40、宣传部组织网络安全突发事件的应急新闻工作,指导协调有关街道和部门开展应急新闻发布和舆论引导工作。未经批准,其他部门和单位不得擅自发布相关信息。(7)对于引发或者可能引发其他重大安全事件的,区网安应急办应及时按程序上报,统筹协调做好处置工作。有关街道和部门根据区网安应急办的通报,结合实际有针对性地加强防范,防止造成更大范围影响和损失。4.4响应升级4.4.1响应级别变更应急响应过程中,区网安应急办、各相关部门应密切关注事件事态发展和响应工作进展情况,根据事态变化、响应效果及专家组建议,适时调整响应级别。超出自身应急处置能力的,应及时报告上一级部门,建议变更响应级别,开展相关处置工作。4.4.2响
41、应级别升级(1)事件发展蔓延,事态发展得不到控制,超出了区网安应急办处置能力,需要其它部门、单位参与处置时,区网安应急办应及时报告区委网信委,由区委网信委组织、协调区其它专项应急指挥部和各部门参与处置工作。(2)事件造成的危害程度特别严重,超出了本区处置能力,需援助和支持时,依照深圳市网络安全事件应急预案,区指挥部通过区委网信委及时向市网安应急办及应急相关部门报告事件情况。应急处置工作在国家、省、市网安应急办及应急相关部门或指定部门的领导下开展。4.5应急结束I级响应结束,由国家网安应急办及时通报省(区、市)和部门。II级响应结束,由省网安应急办按程序上报国家网安应急办,由国家网安应急办通报省
42、网安应急办,省网安应急办及时通报相关地区和部门。III级响应结束,由市网安应急办提出建议,报市委网信委批准后,上报省网安应急办,省网安应急办通报市网安应急办。IV级响应结束,由区网安应急办提出建议,报区委网信委批准后,上报市网安应急办,市网安应急办通报区网安应急办。4.6善后与恢复应急处置工作结束后,事发单位和其他有关应急管理工作机构要积极稳妥、深入细致地做好善后处置工作,及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资,要按照规定给予补助或补偿。事发单位迅速组织人员制订基础网络、信息系统的重建和恢复计划,尽快恢复受损基础网络和信息系统,降低对正常工作业务的影响。5.调查
43、评估和事件总结5.1调查评估特别重大网络安全事件,由国家网安应急办组织有关部门和省(区、市)进行调查和总结评估,并按程序上报。重大网络安全事件,由省网安应急办组织有关部门和地区进行调查处理和总结评估,将总结调查报告报国家网安应急办。较大网络安全事件,由市网安应急办组织有关部门和区进行调查处理和总结评估,将总结调查报告报省网安应急办。一般网络安全事件,由区网安应急办组织调查处理和总结评估。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。事件调查处理和总结评估工作原则上应在应急响应结束后30天内完成。5.2事件总结网络安全事件应急任务结束后,事发单位应牵头组织专
44、家,与区网安应急办组成事件调查组,对事件发生原因及处置过程进行全面调查,查清事件发生的原因及事件中基础网络与信息系统、网络设施损失情况,总结经验教训,不断改进网络安全事件应急管理工作。事发单位应在30个工作日内将相关报告报送给区网安应急办。6.预防工作6.1日常管理各街道、各部门、各单位按职责做好网络安全事件日常预防工作,制定完善相关应急预案。做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。6.2演练区委网信办牵头,协调区政务服务数据管理局等有关部门,每年至少组织一次全区网络安全应急演练
45、,模拟处置一般网络安全事件。通过演练,检验应急体系和工作机制运行情况、应急物资配备情况,及时发现问题,完善应急预案,提高应急处置能力。演练情况报区委网信委和市委网信办。应急演练主要开展以下工作:(1)区委网信办确定应急响应演练的目标和范围。主要开展重要信息系统的应急演练。(2)按照全区网络安全应急演练工作要求,各街道、各部门、各单位成立应急演练小组,制订应急演练方案。(3)区委网信办统筹调配应急演练所需的各项资源,组织有关部门和单位进行应急演练。评估演练情况,总结经验,通报应急演练结果。针对演练中暴露的问题,分析应急预案的科学性和合理性并加以修订完善。各街道、各部门、各单位每年至少组织或参与一
46、次网络安全应急演练或学习培训,相关情况报区委网信办。6.3宣传各街道、各部门、各单位要充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。6.4培训各街道、各部门、各单位要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识和技能。区政务服务数据管理局组织全区党政机关开展网络安全应急管理、应急处置等培训,提高各街道各单位信息化管理人员、应急处置人员防范意识及技能。6.5重要敏感时期的预防措施在国家、省、市、区重要活动和会议等重要敏感时期,各街道、各部门、各单位要加强网络安全事件的防范和应急响应,确保网络安全。区网安应急办统筹协调网络