南京某公安局网络安全事件应急响应机制

[南京某公安局]网络安全事件应急响应机制第一章总则

第一条为有效预防、及时控制和妥善处置网络安全事件，提升应急响应能力，健全网络安全应急机制，最大限度减少网络安全事件造成的损害，保障[师生/居民/员工]安全、财产安全、教学/工作/生产/医疗秩序，维护[学校/社会/企业]稳定，根据《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、《教育部教育系统突发公共事件应急预案》等相关法律法规及政策规定，结合本局实际，制定本机制。

第二条本机制适用于本局管辖区域内发生的，可能或已经造成信息系统瘫痪、数据泄露、网络攻击、病毒传播等影响的网络安全事件。

第三条本机制的核心目的在于通过系统性预防、快速响应和高效处置，确保网络安全事件得到及时控制和妥善解决，防止事件蔓延和扩大。

第四条本机制的核心目标是提升本局网络安全应急能力，完善网络安全应急管理体系，建立健全应急联动机制，减少网络安全事件对[师生/居民/员工]安全、财产安全、教学/工作/生产/医疗秩序及[学校/社会/企业]稳定造成的损害。

第五条本机制保障对象为辖区内[师生/居民/员工]的安全与财产安全，维护正常的教学、工作、生产、医疗秩序，确保[学校/社会/企业]稳定运行。

第六条本机制的制定依据包括但不限于以下法律法规及政策文件：

（一）《中华人民共和国突发事件应对法》；

（二）《国家突发公共事件总体应急预案》；

（三）《教育部教育系统突发公共事件应急预案》；

（四）《中华人民共和国网络安全法》；

（五）相关行业及地方性网络安全管理规定。

第二条工作原则

1.统一指挥与快速反应机制。本局成立网络安全事件应急领导小组（以下简称领导小组），统一领导、指挥和协调辖区内网络安全事件的应急响应工作。建立健全快速反应机制，确保网络安全事件信息能够第一时间接报、研判、处置，实现指挥调度的高效统一，最大限度缩短应急响应时间。

2.分级负责与属地管理。遵循“分级负责、属地管理”的原则。网络安全事件的应急处置工作实行责任分级，由领导小组根据事件级别和影响范围，明确各级部门及人员的职责。事件发生地公安机关承担首要处置责任，确保应急力量和资源在辖区内快速动员和有效部署。

3.预防为主与及时控制。坚持“预防为主、防治结合”的方针，加强网络安全风险排查和监测预警，建立健全网络安全威胁信息共享和研判机制，实现早发现、早报告、早研判、早处置。强化源头治理，及时消除网络安全风险隐患，对已发生的网络安全事件，迅速采取控制措施，防止事件蔓延和扩大。

4.系统联动与群防群控。构建本局内部各部门之间、与相关行业主管部门、关键信息基础设施运营单位及[师生/居民/员工]的协同联动机制，形成信息共享、资源整合、协同作战的群防群控工作格局。定期开展联合演练，提升协同应对网络安全事件的能力。

5.区分性质与依法处置。在处置网络安全事件过程中，应严格区分事件性质，依法依规采取应急处置措施。注重保护[师生/居民/员工]的合法权益和财产安全，维护正常的教学、工作、生产、医疗秩序。应急处置工作必须严格遵守国家法律法规，做到程序规范、处置得当、保障权益，确保[学校/社会/企业]稳定。

第三条适用范围

本机制适用于本局辖区内发生的，突然发生，造成或者可能造成[师生/居民/员工]伤亡、财产损失、社会秩序混乱、公共安全危害、声誉损害以及网络安全事件，并对[学校/社会/企业]的正常教学、工作、生产、医疗秩序和[学校/社会/企业]稳定构成威胁的事件的应急处置工作。本机制所称突发事件，是指具有突发性、紧急性和危害性的事件。主要包括以下几个方面：

1.社会安全类突发事件。包括：辖区内发生的涉及[师生/居民/员工]的各种非法集会、游行、示威、请愿以及集体性事件，各种邪教组织的非法传教活动、煽动性政治性活动，可能引发影响辖区安全稳定的个人极端事件、群体性事件等。

典型示例：辖区[师生/居民/员工]因矛盾纠纷引发的群体性械斗；不法分子在辖区内煽动不明真相的[师生/居民/员工]进行非法集会。

典型示例：邪教组织在辖区内张贴传单、进行非法聚会活动，威胁社会稳定。

2.重大治安刑事类突发事件。发生在辖区内的，造成或者可能造成人员伤亡、财产损失的重大治安案件和刑事案件，以及针对[师生/居民/员工]的各类恐怖袭击事件。

典型示例：辖区内发生的致多人伤亡的重大暴力袭击事件；针对[师生/居民/员工]的持刀行凶、爆炸等恐怖袭击事件。

典型示例：辖区内发生的盗窃、抢劫等重大经济犯罪案件，造成重大财产损失。

3.事故灾害类突发事件。发生在辖区内的，造成或者可能造成人员伤亡、财产损失和严重社会影响的各类事故和灾害。

典型示例：辖区内的重大交通事故，导致人员伤亡或重大财产损失；工矿企业发生的爆炸、火灾、中毒等生产安全事故。

典型示例：辖区内的重大基础设施事故，如桥梁坍塌、管道破裂等，造成严重交通拥堵或环境污染。

4.公共卫生类突发事件。突然发生并造成或者可能造成辖区[师生/居民/员工]健康严重损害的传染病疫情、群体性不明原因疾病等公共卫生事件。

典型示例：辖区内发生的重大传染病疫情，如新冠肺炎聚集性疫情；发生群体性食物中毒事件。

典型示例：辖区内的水源污染事件，可能引发介水传染病的爆发。

5.自然灾害类突发事件。包括：气象灾害、地震灾害、地质灾害以及由各类自然灾害诱发的各种次生灾害等。

典型示例：辖区发生的强台风、暴雨、暴雪等极端天气事件，造成人员伤亡和财产损失；地震引发的次生灾害。

典型示例：辖区发生的山体滑坡、泥石流等地质灾害，威胁人民群众生命财产安全。

6.网络与信息安全类突发事件。发生在辖区内的，造成或者可能造成信息系统瘫痪、数据泄露、网络攻击、病毒传播等，威胁国家安全、公共安全、经济安全、社会稳定以及[师生/居民/员工]合法权益的网络安全事件。

典型示例：辖区内关键信息基础设施遭受网络攻击，导致系统瘫痪，影响社会正常运行；大规模网络病毒传播，造成大量计算机系统感染。

典型示例：辖区政府网站被篡改，发布虚假信息，损害政府形象；重要数据泄露事件，威胁[师生/居民/员工]个人信息安全。

7.考试安全类突发事件。在辖区内组织的各类考试中，在命题管理、试卷印制、运送、保管、考试实施、阅卷等环节出现的泄密事件，以及在考试过程中发生的扰乱考试秩序、破坏考试环境等事件。

典型示例：辖区内组织的考试试卷在运送过程中发生泄密事件；考试期间发生考生作弊事件，严重破坏考试公平公正。

典型示例：考试场地发生火灾等安全事故，影响考试正常进行；考试系统突然崩溃，导致考试无法正常进行。

8.其他影响安全稳定的公共事件。发生在我局辖区内，但未列入前七类，且可能造成或者已经造成严重社会影响、危害公共安全、影响社会稳定的其他突发公共事件。

典型示例：辖区发生的重大群体性械斗事件；辖区发生的重大舆情事件，引发社会广泛关注，可能影响社会稳定。

第二章应急组织体系及职责

第四条突发事件应急组织体系

本局成立网络安全事件处置工作领导小组（以下简称领导小组），统一领导、指挥和协调辖区内网络安全事件的应急响应工作。领导小组下设办公室，并设立以下八个专项应急处置工作组：

（一）社会安全类突发事件应急处置工作组；

（二）重大治安刑事类突发事件应急处置工作组；

（三）事故灾害类突发事件应急处置工作组；

（四）公共卫生类突发事件应急处置工作组；

（五）自然灾害类突发事件应急处置工作组；

（六）网络与信息安全类突发事件应急处置工作组；

（七）考试安全类突发事件应急处置工作组；

（八）信息工作组。

第五条突发事件处置工作领导小组及主要职责

组长：本局主要负责同志

副组长：本局分管网络安全工作的负责同志

成员：本局办公室、指挥中心、网络安全保卫支队、政治处、情报信息部门、各相关业务警种等部门主要负责人。

领导小组职责：负责辖区内网络安全事件应急响应工作的统一决策、指挥调度和综合协调；研究确定事件的性质、级别；批准启动和终止应急响应；下达应急处置工作任务；统一发布相关信息；组织开展应急处置工作的督导检查；向上级公安机关报告重要情况。

第六条领导小组办公室及主要职责

领导小组办公室设在[本局办公室]，负责网络安全事件应急响应工作的日常管理。

领导小组办公室的主要职责：负责网络安全事件信息的收集、分析和研判；提出应急处置工作方案和建议；协调各工作组开展应急处置工作；及时汇总、整理应急处置工作信息，向领导小组报告；负责与上级公安机关和相关部门的沟通联络；组织开展应急处置工作的总结评估和宣传教育；督导检查各部门网络安全应急措施的落实情况。

第七条处置工作组及主要职责

针对各类网络安全事件，领导小组下设相应的专项应急处置工作组：

1.社会安全类突发事件应急处置工作组。组长由网络安全保卫支队支队长担任，副组长由本局办公室分管负责同志担任。工作组成员由网络安全保卫支队、办公室、政治处、情报信息部门、网安部门等部门相关人员组成。工作组办公室设在网络安全保卫支队。

主要职责：负责分析研判可能引发社会安全风险的网络安全事件，如恶意信息传播、网络攻击引发的社会恐慌等；协调相关部门开展网络舆情引导和信息发布工作；维护网络安全事件发生地社会治安秩序；配合相关部门开展事件调查处置工作。

2.重大治安刑事类突发事件应急处置工作组。组长由网络安全保卫支队支队长担任，副组长由本局分管网络安全工作的负责同志担任。工作组成员由网络安全保卫支队、指挥中心、网安部门、刑侦部门等部门相关人员组成。工作组办公室设在网络安全保卫支队。

主要职责：负责侦办网络攻击、网络诈骗等违法犯罪活动；开展网络巡查和监控，及时发现和处置网络违法犯罪线索；配合相关部门开展网络攻击溯源和证据固定工作；维护网络空间安全秩序。

3.事故灾害类突发事件应急处置工作组。组长由网络安全保卫支队支队长担任，副组长由本局办公室分管负责同志担任。工作组成员由网络安全保卫支队、办公室、通信保障部门、技术部门等部门相关人员组成。工作组办公室设在网络安全保卫支队。

主要职责：负责处置因网络设备故障、自然灾害等原因引发的网络安全事件，如系统瘫痪、数据丢失等；开展网络应急预案的制定和演练；加强网络设备的日常维护和检查，及时发现和消除安全隐患；保障网络安全事件的应急处置通信畅通。

4.公共卫生类突发事件应急处置工作组。组长由本局分管网络安全工作的负责同志担任，副组长由情报信息部门负责人担任。工作组成员由情报信息部门、网络安全保卫支队、网安部门、相关业务警种等部门相关人员组成。工作组办公室设在情报信息部门。

主要职责：负责监测分析可能由网络传播的公共卫生安全风险信息；配合卫生健康部门开展网络公共卫生事件的应急处置工作；开展网络公共卫生知识的宣传教育，提高公众的防范意识；及时处置网络谣言和虚假信息。

5.自然灾害类突发事件应急处置工作组。组长由本局分管网络安全工作的负责同志担任，副组长由办公室分管负责同志担任。工作组成员由办公室、网络安全保卫支队、通信保障部门、技术部门等部门相关人员组成。工作组办公室设在办公室。

主要职责：负责监测自然灾害可能对网络安全造成的威胁，如地震、洪水等；协调相关部门开展网络安全设施的防灾加固工作；制定自然灾害发生时的网络安全应急预案；保障自然灾害发生后的网络安全应急通信畅通。

6.网络与信息安全类突发事件应急处置工作组。组长由网络安全保卫支队支队长担任，副组长由党委宣传部部长担任。工作组成员由网络安全保卫支队、党委宣传部、网安部门、各相关业务警种等部门相关人员组成。工作组办公室设在网络安全保卫支队。

主要职责：负责处置各类网络攻击事件，如病毒攻击、网页篡改、拒绝服务攻击等；开展网络安全监测和预警，及时发现和处置网络安全威胁；加强网络安全技术防护能力建设，提升网络安全事件的应急处置能力；开展网络安全事件的溯源分析和证据固定工作。

7.考试安全类突发事件应急处置工作组。组长由网络安全保卫支队支队长担任，副组长由教育部门分管负责同志担任。工作组成员由网络安全保卫支队、教育部门、网安部门等部门相关人员组成。工作组办公室设在网络安全保卫支队。

主要职责：负责保障各类考试的网络环境安全，如高考、中考等；开展网络攻击的监测和防范，确保考试系统的稳定运行；配合教育部门开展考试安全事件的应急处置工作；维护考试秩序，确保考试的公平公正。

8.信息工作组。组长由本局分管网络安全工作的负责同志担任，副组长由办公室分管负责同志担任。工作组成员由办公室、指挥中心、情报信息部门、网安部门等部门相关人员组成。工作组办公室设在办公室。

主要职责：负责网络安全事件信息的收集、分析和研判；及时向领导小组和上级公安机关报告重要情况；协调相关部门开展网络舆情引导和信息发布工作；负责网络安全事件的新闻宣传和舆情应对工作；组织开展网络安全事件的总结评估和信息归档工作。

第三章预防和预警机制

第八条预防预警信息管理规范

为确保网络安全事件预防预警信息的及时、准确、高效传递，特制定本规范。

1.信息报送核心原则

网络安全事件预防预警信息的报送应遵循以下核心原则：

（一）及时性。信息报送应第一时间进行，确保预警信息能够提前传递，应急处置信息能够快速下达。

（二）首报意识。首次发现或接到网络安全事件信息时，相关责任部门必须立即进行初步核实，并第一时间向领导小组办公室报告。

（三）真实性。报送的信息必须客观真实，不得歪曲、隐瞒或夸大事件情况，确保信息来源可靠、数据准确。

（四）完整性。报送的信息应包含应急信息核心要素清单所列内容，确保信息全面、完整，满足应急处置工作的需要。

（五）续报要求。对于持续时间较长或情况复杂的网络安全事件，相关责任部门应按照规定时限进行续报，直至事件处置完毕。

2.信息报送流程

网络安全事件的预防预警信息报送流程如下：

（一）[校内/辖区内/企业内]部门报告。网络安全事件的发现部门或责任单位（以下简称“信息源部门”）应立即对事件进行初步核实，并在第一时间将事件信息报告至本局办公室。

（二）办公室核实与汇总。本局办公室接到信息报告后，应立即进行核实、分析和研判，判断事件性质、级别和影响范围，并根据事件的紧急程度和重要性，决定是否上报领导小组以及上报的顺序和方式。

（三）领导小组决策与下达指令。对于达到一定级别或具有重要影响的网络安全事件，本局办公室应立即向领导小组报告。领导小组组长或副组长根据事件情况，研究做出决策，并下达应急处置指令。

（四）逐级上报。根据领导小组的决策和事件情况，本局办公室应及时将事件信息逐级上报至上级公安机关和相关主管部门。

3.紧急书面信息报送流程

对于重大或特别重大的网络安全事件，本局办公室应在接到信息源部门的报告后，立即按照以下流程进行紧急书面信息报送：

（一）电话报告。本局办公室值班人员应在接到信息源部门的报告后40分钟内，通过电话向[省委办公厅]报告事件的基本情况，包括事件类型、发生时间、地点、初步判断的影响范围等。

（二）书面报告。本局办公室应在接到信息源部门的报告后2小时内，完成书面信息报告的撰写，并通过[加密邮件/机要]等方式报送至[省委办公厅]。书面报告应包含应急信息核心要素清单所列内容，并附上相关证据材料。

4.应急信息核心要素清单

网络安全事件的应急信息报告应包含以下核心要素：

（一）时间：事件发生的确切时间，包括年、月、日、时、分。

（二）地点：事件发生的具体位置，包括详细地址和网络环境描述。

（三）规模：事件影响的范围和程度，包括受影响的系统数量、用户数量、数据量等。

（四）伤亡：事件造成的人员伤亡情况，包括受伤人数、死亡人数等。

（五）起因：事件发生的初步原因分析，包括可能的技术漏洞、攻击手段、人为因素等。

（六）评估：对事件性质、级别和影响范围的初步评估。

（七）措施：已经采取的应急处置措施，包括技术手段、人员部署等。

（八）进展：事件的发展变化情况，包括事态控制情况、处置进展等。

（九）其他：需要补充说明的信息，包括事件相关证据、联系人及联系方式等。

5.需要紧急电话/书面报告的六类重大突发事件清单

下列网络安全事件信息须在事件发生后40分钟内通过电话向[省委办公厅]口头报告，并在2小时内书面报送信息：

（一）重大自然灾害：发生在[辖区内]的，可能对网络安全造成重大影响的自然灾害，如地震、洪水、台风等。

（二）重大事故灾难：发生在[辖区内]的，可能对网络安全造成重大影响的事故灾难，如重大安全生产事故、重大基础设施事故等。

（三）重大公共卫生事件：发生在[辖区内]的，可能对网络安全造成重大影响的公共卫生事件，如重大传染病疫情、群体性食物中毒事件等。

（四）涉国防/港澳台/外交紧急动态：可能对国家安全和网络安全构成威胁的涉国防、港澳台、外交领域的紧急动态。

（五）重大预警动向：可能引发重大网络安全事件的敏感性、预警性、行动性动向，如重大网络攻击威胁、重大网络安全漏洞等。

（六）其他涉国安稳定重要情况：其他可能对国家安全和社会稳定造成重大影响的网络安全事件。

本规范自发布之日起施行。

附件：网络安全事件应急信息报告模板

事件发生的基本情况（时间、地点、规模、涉及人员、破坏程度以及人员伤亡情况）

事件发生的起因、性质判断和影响程度评估

已经采取的措施

事态发展、处置过程和结果

其他需要报送的事项

联系人及联系方式

报告单位及报告人

报告时间

证据材料（如网络攻击截图、系统日志等）

[根据实际情况补充]

[根据实际情况补充]

第九条预防预警行动

在网络安全事件处置工作领导小组的统一部署下，各专项应急处置工作组及相关责任部门必须常态化开展以下预防预警行动：

1.加强应急机制日常管理。领导小组办公室负责统筹协调各工作组及部门，加强应急机制的日常运行管理，包括信息维护、预案更新、物资管理、队伍建设等，确保应急响应体系处于激活状态。

2.持续完善各类应急预案。各工作组应根据网络安全形势变化、技术发展以及本局实际情况，定期对各类网络安全事件应急预案进行评估和修订，确保预案的针对性、实用性和可操作性。预案应涵盖事件分级、响应流程、处置措施、协同机制等内容，并明确各环节责任部门及人员。

3.加强应急队伍建设。网络安全保卫支队及相关部门应加强应急队伍的专业化建设，通过选拔、培训、考核等方式，打造一支政治素质高、业务能力精、应急处置能力强的专业队伍。定期对队员进行技能训练和素质培养，提升队伍的整体实战能力。

4.定期组织应急培训和模拟演练。领导小组办公室应统筹规划，定期组织各工作组及相关部门开展网络安全事件应急培训，提升相关人员的风险意识、应急知识和处置技能。同时，应定期组织不同规模、不同场景的网络安全事件模拟演练，检验预案的有效性，磨合协同机制，提升实战能力。

5.做好关键应急物资的储备、管理和维护。办公室会同网络安全保卫支队等部门，根据应急需要，制定应急物资储备计划，明确储备种类、数量、存放地点及保管要求。定期对应急物资进行检查、维护和补充，确保应急通信设备、网络设备、备份数据、防护工具等物资状态良好、充足可用，保障应急处置工作的顺利开展。

第四章应急响应

第十条按事件等级响应

1.事件等级划分

网络安全事件根据其性质、影响范围、危害程度等因素，分为以下四个等级：

（一）I级事件（红色预警）：特别重大网络安全事件。指造成或可能造成全网瘫痪、大量关键信息基础设施瘫痪、重要信息系统遭到毁灭性攻击并导致特大人员伤亡、特大财产损失或严重社会影响，或涉及国家主权、安全和发展利益，需要跨区域、跨部门协同处置的网络安全事件。

1.判定标准：造成或可能造成以下一种或多种情况：

（1）[辖区内]网络核心设备、关键信息系统或重要数据遭到毁灭性破坏，导致[辖区内]正常运转严重受阻，并可能蔓延至更大范围；

（2）引发重大社会恐慌，或造成或可能造成100人以上[师生/居民/员工]死亡，或500人以上重伤；

（3）造成或可能造成重大经济损失，直接经济损失超过[具体金额标准]；

（4）涉及国家秘密，可能导致国家秘密泄露或被窃取，造成或可能造成国家安全危害。

（二）II级事件（橙色预警）：重大网络安全事件。指造成或可能造成[辖区内]部分网络系统瘫痪、重要信息系统遭受严重攻击，导致较大范围服务中断，或造成或可能造成重大人员伤亡、重大财产损失或较重社会影响。

1.判定标准：造成或可能造成以下一种或多种情况：

（1）[辖区内]核心网络设备或重要信息系统遭受严重攻击，导致[辖区内]部分区域或关键业务服务中断，影响[师生/居民/员工]正常学习、工作、生活秩序；

（2）引发较大范围社会关注，或造成或可能造成50人以上[师生/居民/员工]受伤，或直接经济损失超过[具体金额标准]但低于I级事件标准；

（3）造成重要数据泄露，涉及敏感信息，可能导致较大范围社会恐慌或声誉严重受损。

（三）III级事件（黄色预警）：较大网络安全事件。指造成或可能造成[辖区内]部分信息系统遭受攻击或功能异常，导致局部服务中断，或造成或可能造成一定人员伤亡、财产损失或较轻社会影响。

1.判定标准：造成或可能造成以下一种或多种情况：

（1）[辖区内]部分信息系统遭受攻击，导致部分服务功能异常或短暂中断，影响部分[师生/居民/员工]正常使用，但核心业务运行基本正常；

（2）造成或可能造成10人以上[师生/居民/员工]受伤，或直接经济损失超过[具体金额标准]但低于II级事件标准；

（3）造成重要信息系统遭受攻击，虽未造成重大损失，但需启动应急预案进行处置。

（四）IV级事件（蓝色预警）：一般网络安全事件。指造成或可能造成[辖区内]个别信息系统遭受攻击或功能异常，导致局部服务中断，或造成或可能造成轻微人员伤亡、财产损失或有限社会影响。

1.判定标准：造成或可能造成以下一种或多种情况：

（1）[辖区内]个别信息系统遭受攻击，导致部分用户访问受限或功能短暂异常，影响范围有限，且核心业务运行未受实质性影响；

（2）造成或可能造成[师生/居民/员工]轻微伤害，或直接经济损失低于[具体金额标准]；

（3）造成非关键信息系统遭受攻击，经处置后迅速恢复运行，未造成重大损失。

2.各级事件应急响应程序

（一）特别重大事件（I级）应急响应

1.触发响应流程：特别重大网络安全事件（I级）发生后，信息源部门应在第一时间向网络安全事件处置工作领导小组办公室报告。领导小组办公室应在20分钟内向领导小组组长报告，并立即启动I级事件应急预案，成立现场指挥部，组织开展应急处置工作。同时，领导小组办公室应在1小时内将事件基本情况上报至上级公安机关和相关主管部门。

2.核心响应动作：

（1）成立现场指挥部。由领导小组组长担任总指挥，副组长担任副总指挥，并根据事件情况设立若干现场工作组，负责具体处置工作。

（2）现场处置。现场指挥部应迅速组织专业技术人员到达现场，开展应急处置工作，包括技术分析、攻击溯源、系统修复、信息隔离等，全力控制事态发展。

（3）信息报告。现场指挥部应建立信息报告制度，及时向领导小组、上级公安机关及相关主管部门报告事件处置进展情况，并根据需要向社会发布权威信息，引导舆论，稳定社会情绪。

（二）重大网络安全事件（II级）应急响应

1.触发响应流程：重大网络安全事件（II级）发生后，信息源部门应在第一时间向网络安全事件处置工作领导小组办公室报告。领导小组办公室应在20分钟内向领导小组组长报告，并立即启动II级事件应急预案，成立现场指挥部，组织开展应急处置工作。同时，领导小组办公室应在1小时内将事件基本情况上报至上级公安机关及相关主管部门。

2.核心响应动作：

（1）成立现场指挥部。由领导小组副组长担任总指挥，并根据事件情况设立若干现场工作组，负责具体处置工作。

（2）现场处置。现场指挥部应迅速组织专业技术人员到达现场，开展应急处置工作，包括技术分析、攻击溯源、系统修复、数据备份等，全力控制事态发展。

（3）信息报告。现场指挥部应建立信息报告制度，及时向领导小组、上级公安机关及相关主管部门报告事件处置进展情况，并根据需要向社会发布权威信息，引导舆论，稳定社会情绪。

（三）较大网络安全事件（III级）应急响应

1.触发响应流程：较大网络安全事件（III级）发生后，信息源部门应在第一时间向网络安全事件处置工作领导小组办公室报告。领导小组办公室应在20分钟内向领导小组组长报告，并立即启动III级事件应急预案，成立现场指挥部，组织开展应急处置工作。同时，领导小组办公室应在1小时内将事件基本情况上报至上级公安机关及相关主管部门。

4.核心响应动作：

（1）成立现场指挥部。由领导小组指定负责人担任总指挥，并根据事件情况设立若干现场工作组，负责具体处置工作。

（2）现场处置。现场指挥部应迅速组织专业技术人员到达现场，开展应急处置工作，包括技术分析、攻击溯源、系统修复、数据恢复等，全力控制事态发展。

（3）信息报告。现场指挥部应建立信息报告制度，及时向领导小组、上级公安机关及相关主管部门报告事件处置进展情况，并根据需要向社会发布权威信息，引导舆论，稳定社会情绪。

（四）一般网络安全事件（IV级）应急响应

1.触发响应流程：一般网络安全事件（IV级）发生后，信息源部门应在第一时间向网络安全事件处置工作领导小组办公室报告。领导小组办公室应在20分钟内向领导小组组长报告，并立即启动IV级事件应急预案，成立现场指挥部，组织开展应急处置工作。同时，领导小组办公室应在1小时内将事件基本情况上报至上级公安机关及相关主管部门。

2.核心响应动作：

（1）成立现场指挥部。由领导小组办公室指定负责人担任总指挥，并根据事件情况设立若干现场工作组，负责具体处置工作。

（2）现场处置。现场指挥部应迅速组织专业技术人员到达现场，开展应急处置工作，包括技术分析、攻击溯源、系统修复、数据恢复等，全力控制事态发展。

（3）信息报告。现场指挥部应建立信息报告制度，及时向领导小组、上级公安机关及相关主管部门报告事件处置进展情况，并根据需要向社会发布权威信息，引导舆论，稳定社会情绪。

3.现场指挥部核心任务

网络安全事件现场指挥部是应急处置的指挥协调机构，其核心任务包括：

（一）控制事态。迅速采取有效措施，控制网络安全事件的发展和蔓延，防止事态升级，维护辖区网络安全秩序。

（二）掌握进展。密切关注事件发展动态，及时收集、分析信息，准确研判事件影响，为科学决策提供依据。

（三）及时报告。按照规定时限和程序，及时向领导小组、上级公安机关及相关主管部门报告事件处置情况，确保信息传递的及时性和准确性。

（四）适时发布信息。根据事件性质和影响，适时向社会发布权威信息，澄清事实，回应关切，正确引导舆论，维护社会稳定。

第五章应急保障

第十一条通讯与信息保障

建立健全网络安全事件信息收集、监测、分析、研判、传递、报告、处置和反馈等全流程工作机制，确保信息渠道畅通、信息传递准确、信息处理高效。完善通讯与信息基础设施，确保应急通讯网络覆盖[辖区内]，配备应急通讯设备，保障突发事件应急处置过程中的信息传递需求。定期对通讯设备进行检查、维护和更新，确保设备完好、运行稳定。建立信息安全管理制度，保障网络安全事件的应急处置信息安全和保密。加强信息安全管理，确保信息传递的及时性、准确性和安全性，为应急处置工作提供可靠的信息支撑。

第十二条物资与资金保障

[南京某公安局]将网络安全事件应急处置经费纳入年度预算，并根据事件等级和应急处置需求，动态调整应急经费预算，确保应急处置工作所需资金及时足额到位。建立健全网络安全事件应急处置物资储备制度，根据事件类型和应急处置需求，制定物资储备目录，明确储备种类、数量、存放地点及保管要求。定期对应急物资进行检查、维护和补充，确保应急通讯设备、网络设备、备份数据、防护工具等物资状态良好、充足可用。建立物资出入库管理制度，明确物资领用、回收、维护等流程，确保物资管理规范、高效。指定专人负责应急物资的保管、维护和供应，确保应急物资在需要时能够及时供应。特殊应急物资应指定专人负责保管，建立台账，确保物资完好、随时可用。制定应急物资调配预案，明确物资调配的流程和职责，确保应急物资能够快速、高效地调配到位。

第十三条人员与技术保障

[南京某公安局]组建常备与预备的网络安全事件应急处置队伍，明确队伍的组成部门、人员构成、职责分工和培训要求。常备队由网络安全保卫支队、相关业务警种等部门组成，负责辖区内一般及较大网络安全事件的应急处置工作。预备队由相关专业技术机构、企事业单位等组成，负责重大及以上网络安全事件的应急处置工作。建立人员管理制度，明确人员选拔、培训、考核、晋升等机制，确保应急处置队伍的专业化水平。加强人员技术培训，提升应急处置队伍的技术能力和应急处置水平。建立人才引进和培养机制，吸引和培养网络安全专业人才。加强网络安全技术平台建设，配备先进的网络安全监测、分析、研判、处置等技术装备，提升网络安全应急处置的技术支撑能力。加强网络安全技术研发，提升网络安全事件的预警、检测、防护和处置能力。加强网络安全技术合作，与相关科研机构、企事业单位开展网络安全技术合作，提升网络安全应急处置的技术支撑能力。

第十四条培训与演练保障

[南京某公安局]定期组织开展网络安全事件应急处置队伍的技能培训，提升相关人员的风险意识、应急知识和应急处置技能。培训内容应包括网络安全法律法规、网络安全事件应急处置流程、网络安全事件应急处置技术等。定期组织网络安全事件应急处置队伍的实战演练，检验应急预案的可行性，提升队伍的协同作战和快速反应能力。演练形式可采取桌面推演、模拟实战等方式，检验网络安全事件的应急处置能力。鼓励和支持各职能部门与相关单位开展网络安全事件应急处置工作的交流与协作，学习借鉴先进经验，提升网络安全应急处置能力。建立网络安全事件应急处置信息共享机制，加强信息沟通与协调，提升网络安全事件的应急处置效率。加强网络安全宣传教育，提升[师生/