上海某科技公司信息技术服务与信息安全保障

[上海某科技公司]信息技术服务与信息安全保障第一章总则

第一条为有效预防、及时控制和妥善处理[上海某科技公司]信息技术服务过程中的各类突发事件，提升应急响应能力，健全信息安全保障机制，最大程度地减少突发事件对[员工]安全、公司财产、正常工作秩序及[企业]稳定造成的损害，根据《中华人民共和国突发事件应对法》、《国家突发公共事件总体应急预案》、教育部《教育系统突发公共事件应急预案》等相关法律法规及政策文件，结合[上海某科技公司]实际情况，制定本总则。

第二条本总则的核心目的在于通过系统化的事前预防、事中控制和事后处理机制，确保信息技术服务的连续性和安全性，保障[员工]的人身安全与合法权益不受侵害，维护公司核心数据与信息资产的安全，并有效应对可能引发的信息安全事件。

第三条本总则的核心目标包括：

（一）提升公司在信息技术服务领域的应急响应与处置能力；

（二）完善信息安全保障管理体系，实现风险动态监控与持续改进；

（三）减少突发事件对公司运营、声誉及财务造成的直接或间接损害。

第四条本总则的保障对象为：

（一）[员工]的人身安全与信息安全权益；

（二）公司信息基础设施、业务系统及客户数据的完整性、保密性与可用性；

（三）公司正常的生产经营秩序及市场竞争力；

（四）维护[企业]在行业内的稳定运营与社会信誉。

第五条本总则的制定依据包括但不限于：

（一）《中华人民共和国突发事件应对法》；

（二）《国家突发公共事件总体应急预案》；

（三）《信息安全技术网络安全等级保护基本要求》；

（四）《中华人民共和国网络安全法》；

（五）《上海某科技公司信息安全管理制度》。

第二条工作原则

1.统一指挥与快速反应机制。公司成立信息技术服务与信息安全保障领导小组（以下简称领导小组），作为信息安全事件的统一指挥机构，全面负责公司信息安全事件的应急指挥与处置工作。建立快速反应机制，确保信息安全事件的监测预警、信息报告、指挥协调、处置救援等环节紧密衔接、高效运转，实现快速响应、精准研判、果断处置。

2.分级负责与属地管理。遵循公司内部管理架构，实行分级负责制。领导小组负责重大及以上信息安全事件的统一指挥；各部门、中心根据职责分工，在领导小组的统筹协调下，负责本部门、本中心管辖范围内一般及较大信息安全事件的先期处置与报告，明确各部门、中心主要负责人是本单位信息安全保障工作的第一责任人。

3.预防为主与及时控制。坚持预防与应急相结合的原则，建立常态化风险评估与隐患排查机制，定期对信息系统、网络环境、应用服务进行安全检查与漏洞扫描；强化安全态势研判，运用技术监测与人工分析相结合的方式，提升安全事件的早期发现能力；一旦发现潜在风险或安全事件，立即启动应急响应，采取有效措施及时控制事态发展，将损失降到最低。

4.系统联动与群防群控。构建公司内部跨部门、跨系统的信息共享与协同处置机制，确保在信息安全事件处置过程中，IT运维、网络安全、业务部门、法务合规等各方力量能够实时沟通、密切配合、高效联动；同时，加强员工安全意识培训与应急演练，鼓励全员参与安全监督与事件报告，形成“人人有责、人人参与”的群防群控工作格局。

5.区分性质与依法处置。在信息安全事件处置过程中，必须严格依据国家法律法规、公司规章制度及相关合同约定，依法依规进行处置；准确区分事件性质，对于因系统故障、操作失误、恶意攻击等不同原因引发的事件，采取针对性措施；处置工作应注重保护[员工]的合法权益，兼顾技术可行性与经济合理性，确保处置过程合情、合理、合法，维护公司正常运营秩序与声誉。

第三条适用范围

本总则所称“突发事件”，是指突然发生，造成或者可能造成[员工]身体严重损害、死亡，或是公司财产受到损失，[企业]正常生产经营秩序受到影响，[企业]声誉受到损害的事件。此类事件主要包括以下八个类别：

1.社会安全类突发事件。包括：[企业]内涉及[员工]的各种非法集会、游行、示威、请愿以及集体罢工、罢市、罢课等群体性事件，各种邪教的非法传教活动、政治性破坏活动，[员工]的非正常死亡、失踪等可能会引发影响公司稳定的事件。

2.重大治安和刑事类突发事件。发生在公司内、造成一定范围内人员伤亡的重大治安和刑事案件，针对[员工]的各类恐怖袭击事件，以及盗窃、诈骗等严重影响公司安全的刑事犯罪事件。

3.事故灾害类突发事件。发生在公司内的建筑物倒塌、火灾、爆炸等重大安全事故，安全生产事故，数据中心或机房重大设备故障，重大环境污染和生态破坏事故等。

4.公共卫生类突发事件。突然发生并造成或者可能造成公司[员工]健康严重损害的传染病疫情、职业中毒事件等。包括：在公司内发生的突发公共卫生事件；公司外发生的、可能对公司[员工]健康造成危害的突发公共卫生事件。

5.自然灾害类突发事件。包括：气象灾害（如台风、暴雨、雷击等）、洪水、地震、地质灾害等及由各类自然灾害诱发的各种次生灾害等。

6.网络与信息安全类突发事件。包括：公司信息系统遭受网络攻击（如DDoS攻击、勒索软件攻击等），导致系统瘫痪或数据泄露；重要数据被窃取或破坏，可能造成严重后果的事件；各种破坏公司网络与信息安全的事件。

7.考试安全类突发事件。在由公司组织的涉及信息安全认证、技术考核等过程中，在命题管理、试卷印刷、运送、保管等环节出现的泄密事件，以及在考试实施、评分等过程中发生的违规事件。

8.其他影响安全稳定的公共事件。包括但不限于：影响公司正常运营的电力供应中断、通讯中断等事件；公司内发生的重大劳动安全卫生事件；以及其他未能归入前述类别的，但确属影响公司安全稳定的突发公共事件。

第二章应急组织体系及职责

第四条突发事件应急组织体系

公司成立信息技术服务与信息安全保障领导小组（以下简称领导小组），作为公司信息安全事件的统一指挥机构。领导小组下设办公室，并设立以下八个专项应急处置工作组：

1.社会安全类突发事件应急处置工作组；

2.重大治安刑事类突发事件应急处置工作组；

3.事故灾害类突发事件应急处置工作组；

4.公共卫生类突发事件应急处置工作组；

5.自然灾害类突发事件应急处置工作组；

6.网络与信息安全类突发事件应急处置工作组；

7.考试安全类突发事件应急处置工作组；

8.信息工作组。

第五条突发事件处置工作领导小组及主要职责

组长：公司总经理

副组长：分管信息技术与信息安全的公司副总经理

成员：各部门、中心主要负责人，包括但不限于信息技术部、网络安全部、运维部、人力资源部、行政部、法务合规部、各业务部门负责人等。

领导小组职责：负责公司信息安全事件的统一决策指挥；审定应急处置工作方案；批准应急响应的启动与终止；协调解决应急处置过程中的重大问题；对应急工作进行总结评估。

第六条领导小组办公室及主要职责

领导小组办公室设在公司信息技术部，负责日常工作。

领导小组办公室的主要职责：负责信息收集、分析研判与上报；协助领导小组起草应急处置相关文件；协调各工作组开展应急处置工作；组织应急预案的编制、修订与演练；对应急处置工作进行督导检查；总结应急处置工作经验教训。

第七条处置工作组及主要职责

1.社会安全类突发事件应急处置工作组。

组长：由公司分管人力资源部或行政部的领导担任。

副组长：由人力资源部或行政部主要负责人担任。

成员单位：信息技术部、网络安全部、运维部、人力资源部、行政部、法务合规部等相关部门。

办公室地点：设在人力资源部或行政部。

主要职责：负责协调处理因员工群体性事件、劳动争议、重大舆情等引发的社会安全类突发事件；维护现场秩序，防止事态扩大；保障员工生命财产安全；配合公安机关开展调查取证工作。

2.重大治安刑事类突发事件应急处置工作组。

组长：由公司分管信息技术与信息安全的领导担任。

副组长：由信息技术部或网络安全部主要负责人担任。

成员单位：信息技术部、网络安全部、运维部、行政部、法务合规部等相关部门。

办公室地点：设在信息技术部或网络安全部。

主要职责：负责协调处理发生在公司内的盗窃、诈骗、抢劫、网络攻击等治安刑事案件；配合公安机关开展现场勘查、调查取证、人员搜查等工作；评估事件对公司信息资产的影响，采取应急措施保护相关数据安全。

3.事故灾害类突发事件应急处置工作组。

组长：由公司分管行政部或运维部的领导担任。

副组长：由行政部或运维部主要负责人担任。

成员单位：信息技术部、网络安全部、运维部、行政部、安全环保部等相关部门。

办公室地点：设在行政部或运维部。

主要职责：负责协调处理因火灾、电力中断、设备故障、自然灾害等引发的事故灾害类突发事件；组织应急抢险救援，疏散人员；评估事件对公司信息系统和设施的影响，启动应急恢复措施。

4.公共卫生类突发事件应急处置工作组。

组长：由公司分管人力资源部的领导担任。

副组长：由人力资源部主要负责人担任。

成员单位：信息技术部、网络安全部、人力资源部、行政部、卫生防疫部门（如有）等相关部门。

办公室地点：设在人力资源部。

主要职责：负责协调处理因传染病疫情、职业中毒等引发的公共卫生事件；落实防疫措施，保障员工健康；配合卫生防疫部门开展流行病学调查；维护公司正常生产经营秩序。

5.自然灾害类突发事件应急处置工作组。

组长：由公司主管行政工作的领导担任。

副组长：由分管行政部或运维部的领导担任。

成员单位：信息技术部、网络安全部、运维部、行政部、安全环保部等相关部门。

办公室地点：设在行政部。

主要职责：负责协调处理因台风、暴雨、地震等自然灾害引发的突发事件；组织应急避险和抢险救援；评估事件对公司信息系统和设施的影响，启动应急恢复措施，保障公司基本运营。

6.网络与信息安全类突发事件应急处置工作组。

组长：由公司分管信息技术与信息安全的领导担任。

副组长：由信息技术部或网络安全部主要负责人担任。

成员单位：信息技术部、网络安全部、运维部、法务合规部等相关部门。

办公室地点：设在信息技术部或网络安全部。

主要职责：负责协调处理因网络攻击、病毒入侵、数据泄露等引发的网络与信息安全事件；采取技术手段进行应急处置，隔离受感染系统，恢复信息系统运行；评估事件影响，采取补救措施，防止事态蔓延。

7.考试安全类突发事件应急处置工作组。

组长：由公司分管信息技术部的领导担任。

副组长：由信息技术部主要负责人担任。

成员单位：信息技术部、网络安全部、运维部、人力资源部等相关部门。

办公室地点：设在信息技术部。

主要职责：负责协调处理公司组织的信息技术认证、技能考试等过程中发生的试卷泄露、系统故障、作弊等突发事件；采取应急措施保障考试顺利进行；调查事件原因，提出处理意见。

8.信息工作组。

组长：由公司分管办公室工作的领导担任。

副组长：由办公室主要负责人担任。

成员单位：办公室、信息技术部、网络安全部、运维部、人力资源部、行政部等相关部门。

办公室地点：设在办公室。

主要职责：负责应急处置过程中的信息收集、汇总、分析、上报和发布工作；撰写应急处置情况报告；协调新闻媒体关系，维护公司形象；及时向领导小组提供决策支持信息。

第三章预防和预警机制

第八条预防预警信息管理规范

为确保突发事件信息的及时、准确、全面传递，提高公司应急响应效率，特制定本规范。

1.信息报送的核心原则

公司内各部门在发现或接到突发事件相关信息后，必须遵循以下核心原则进行报送：

（一）及时性：信息报送必须第一时间进行，不得延误；

（二）首报意识：首次报送应包含事件发生的基本信息和初步判断，确保信息渠道畅通；

（三）真实性：报送信息必须客观、真实，不得歪曲、隐瞒或捏造事实；

（四）完整性：报送信息应包含应急信息核心要素清单所列内容，确保信息全面；

（五）续报要求：事件发展或处置情况发生变化时，必须进行续报，直至事件处置完毕。

2.信息报送流程

突发事件信息在公司内部的报送流程遵循“部门→领导小组办公室→领导小组→上级主管部门”的逐级上报机制：

（一）部门：事件发现部门作为首报单位，负责第一时间向领导小组办公室报告事件信息；

（二）领导小组办公室：负责接收、核实、分析事件信息，立即向领导小组报告，并根据领导小组指示进行后续信息传递和上报；

（三）领导小组：根据事件性质和严重程度，决定信息上报的级别和范围，并协调各部门开展应急处置工作；

（四）上级主管部门：根据领导小组的汇报，上级主管部门及时掌握事件动态，并作出相应指示和部署。

3.紧急书面信息报送流程

对于重大突发事件，必须按照以下流程进行紧急书面信息报送：

（一）事件发现部门在接到事件报告后，应立即以书面形式向领导小组办公室报告事件信息；

（二）领导小组办公室在接到书面报告后，应立即审核信息内容，并在2小时内以加密邮件或专人递送的方式报送至领导小组；

（三）领导小组在接到书面报告后，应立即召开紧急会议，研究事件处置方案，并按照规定时限上报至上级主管部门。

4.应急信息核心要素清单

报送的事件信息必须包含以下核心要素：

（一）时间：事件发生的确切时间；

（二）地点：事件发生的具体位置；

（三）规模：事件影响的范围和程度；

（四）伤亡：事件造成的的人员伤亡情况；

（五）起因：事件发生的原因和背景；

（六）评估：对事件性质和影响的初步评估；

（七）措施：已经采取的应急处置措施；

（八）进展：事件的发展情况和处置进展；

（九）其他：与事件相关的其他重要信息。

5.重大突发事件紧急报送清单

下列六类重大突发事件信息须在事件发生后40分钟内通过电话向省委办公厅口头报告，并在2小时内以书面形式报送：

（一）重大自然灾害；

（二）重大事故灾难；

（三）重大公共卫生事件；

（四）涉国防、港澳台、外交领域重要紧急动态；

（五）可能引发重大突发事件的敏感性、预警性、行动性动向；

（六）其他涉国家安全和社会稳定的重要紧急情况。

第九条预防预警行动

在信息技术服务与信息安全保障领导小组的统一部署下，各专项应急处置工作组及相关部门必须常态化开展以下预防预警行动：

1.加强应急机制日常管理。各工作组及部门依据职责分工，在领导小组的指导下，建立健全并持续完善信息安全事件的日常监控、风险评估、隐患排查、信息通报等工作机制，确保应急管理体系有效运行。

2.持续完善各类应急预案。定期组织对现有的信息安全事件应急预案进行评估和修订，确保预案的针对性、实用性和可操作性。根据公司业务发展、技术架构变化及外部环境变化，及时补充或调整预案内容，并形成预案的动态管理机制。

3.加强应急队伍建设。组建或完善由信息技术、网络安全、运维、法务、人力资源等部门专业人员构成的应急队伍。定期开展应急队伍的技能培训、知识更新和队伍演练，提升队员的专业素养和协同作战能力，确保关键时刻能够拉得出、用得上、打得赢。

4.定期组织应急培训和模拟演练。制定年度应急培训计划，面向公司全体员工或重点岗位人员开展信息安全意识教育和应急处置技能培训。定期组织不同规模、不同场景的应急模拟演练，检验预案的有效性，锻炼队伍的实战能力，并根据演练结果优化应急处置流程。

5.做好关键应急物资的储备、管理和维护。根据应急预案和实际需求，储备必要的应急物资，包括但不限于：备用电源、应急通讯设备、网络设备备件、数据备份介质、防护用品、应急照明等。建立应急物资台账，明确物资种类、数量、存放地点、保管责任和领用流程，并定期检查、维护和更新物资，确保应急物资处于良好状态，需要时能够充足、及时供应。

第四章应急响应

第十条按事件等级响应

1.事件等级划分

根据突发事件可能造成的人员伤亡、财产损失、影响范围、秩序破坏程度等因素，将信息安全事件划分为以下四个等级：

（一）I级事件（红色预警）：特别重大事件。指对[企业]造成或可能造成特别重大损失，或严重威胁[企业]核心信息系统安全，并可能引发重大社会影响的事件。判定标准包括：造成或可能造成10人以上死亡或危及生命，或100人以上中毒或重伤，或直接经济损失1000万元以上；关键信息基础设施遭到严重破坏，导致公司核心业务长时间中断；发生重大网络安全事件，造成大量敏感数据泄露或系统瘫痪，影响范围覆盖全国或多个省份。

（二）II级事件（橙色预警）：重大事件。指对[企业]造成或可能造成重大损失，或较严重威胁[企业]信息系统安全，并可能引发较大社会影响的事件。判定标准包括：造成或可能造成3人以上10人以下死亡或危及生命，或30人以上100人以下中毒或重伤，或直接经济损失100万元以上1000万元以下；重要信息基础设施遭到严重破坏，导致公司部分核心业务中断；发生较大网络安全事件，造成重要数据泄露或系统部分瘫痪，影响范围覆盖[企业]多个区域或重要客户。

（三）III级事件（黄色预警）：较大事件。指对[企业]造成或可能造成较大损失，或一般威胁[企业]信息系统安全，并可能引发一定社会影响的事件。判定标准包括：造成或可能造成1人以上3人以下死亡或危及生命，或10人以上30人以下中毒或重伤，或直接经济损失10万元以上100万元以下；信息系统出现较严重故障，导致公司部分业务受到影响；发生一般网络安全事件，造成少量数据泄露或系统不稳定，影响范围局限于[企业]内部。

（四）IV级事件（蓝色预警）：一般事件。指对[企业]造成或可能造成较小损失，或轻微威胁[企业]信息系统安全，影响范围有限，社会影响较小的事件。判定标准包括：造成或可能造成1人以下死亡或危及生命，或中毒或重伤人数在10人以下，或直接经济损失10万元以下；信息系统出现一般故障，对业务影响较小；发生一般网络安全事件，造成少量信息泄露或系统短暂不稳定，影响范围局限于[企业]个别部门或系统。

2.各级事件应急响应程序

突发事件发生后，[企业]各部门应立即启动应急响应程序，遵循“统一指挥、快速反应、分级负责、协同作战”的原则，开展应急处置工作。

（一）I级事件（红色预警）应急响应

1.响应流程：事件发生或发现后，责任部门立即采取措施控制事态，并在20分钟内将事件初步信息报告至信息技术服务与信息安全保障领导小组办公室；领导小组办公室接报后立即核实信息，在20分钟内向领导小组组长报告，并同步启动I级事件应急处置预案；领导小组组长接报后立即宣布启动I级应急响应，成立现场指挥部，并组织各专项应急处置工作组开展处置工作；信息技术服务与信息安全保障领导小组办公室在1小时内将事件详细信息及处置进展报告至上级主管部门。

2.核心动作：成立由公司主要领导牵头的现场指挥部，统一指挥、协调应急处置工作；迅速组织技术、运维、法务等部门力量赶赴现场，开展事件调查、危害评估、技术处置、秩序维护等工作；根据现场指挥部指令，及时收集、核实并上报事件信息，必要时通过官方渠道发布权威信息，回应社会关切。

（二）II级事件（橙色预警）应急响应

1.响应流程：事件发生或发现后，责任部门立即采取措施控制事态，并在20分钟内将事件初步信息报告至信息技术服务与信息安全保障领导小组办公室；领导小组办公室接报后立即核实信息，在20分钟内向领导小组组长报告，并同步启动II级事件应急处置预案；领导小组组长接报后立即宣布启动II级应急响应，成立现场指挥部，并组织各专项应急处置工作组开展处置工作；信息技术服务与信息安全保障领导小组办公室在1小时内将事件详细信息及处置进展报告至上级主管部门。

2.核心动作：成立由公司分管领导牵头的现场指挥部，统一指挥、协调应急处置工作；迅速组织技术、运维、法务等部门力量赶赴现场，开展事件调查、危害评估、技术处置、秩序维护等工作；根据现场指挥部指令，及时收集、核实并上报事件信息，必要时通过官方渠道发布权威信息，回应社会关切。

（三）III级事件（黄色预警）应急响应

1.响应流程：事件发生或发现后，责任部门立即采取措施控制事态，并在20分钟内将事件初步信息报告至信息技术服务与信息安全保障领导小组办公室；领导小组办公室接报后立即核实信息，在20分钟内向领导小组组长报告，并同步启动III级事件应急处置预案；领导小组组长接报后立即宣布启动III级应急响应，成立现场指挥部，并组织各专项应急处置工作组开展处置工作；信息技术服务与信息安全保障领导小组办公室在1小时内将事件详细信息及处置进展报告至上级主管部门。

2.核心动作：成立由信息技术服务与信息安全保障领导小组组长或副组长牵头的现场指挥部，统一指挥、协调应急处置工作；迅速组织技术、运维等部门力量赶赴现场，开展事件调查、危害评估、技术处置等工作；根据现场指挥部指令，及时收集、核实并上报事件信息，必要时通过内部渠道发布权威信息。

（四）IV级事件（蓝色预警）应急响应

1.响应流程：事件发生或发现后，责任部门立即采取措施控制事态，并在20分钟内将事件初步信息报告至信息技术服务与信息安全保障领导小组办公室；领导小组办公室接报后立即核实信息，在20分钟内向领导小组组长报告，并同步启动IV级事件应急处置预案；领导小组组长接报后立即宣布启动IV级应急响应，成立现场指挥部，并组织相关力量开展处置工作；信息技术服务与信息安全保障领导小组办公室在1小时内将事件详细信息及处置进展报告至上级主管部门。

2.核心动作：成立由信息技术服务与信息安全保障领导小组办公室牵头成立的现场指挥部，负责协调应急处置工作；迅速组织技术、运维等部门力量赶赴现场，开展事件调查、危害评估、技术处置等工作；根据现场指挥部指令，及时收集、核实并上报事件信息，必要时通过内部渠道发布权威信息。

第五章应急保障

第十一条通讯与信息保障

[企业]信息技术服务与信息安全保障领导小组办公室负责统筹协调通讯与信息保障工作，确保突发事件信息收集、传递、报送、处理各环节机制健全高效运行。核心保障措施包括：

（一）建立多元化信息收集渠道，涵盖技术监控、人工巡查、舆情监测及内外部报告系统，确保信息来源的全面性与时效性；

（二）构建安全可靠的应急通讯网络，包括专用通讯线路、应急指挥平台及多渠道信息发布机制，确保信息传递的畅通无阻与信息安全；

（三）保障通讯设备、网络设施及信息系统的稳定运行与应急备份，定期开展设备巡检与维护，确保应急状态下通讯畅通及信息系统的可用性；

（四）制定信息报送规范，明确信息报送的流程、时限及格式要求，确保信息传递的准确性与规范性；

（五）建立信息安全事件应急处置联动机制，确保跨部门、跨系统协同处置突发事件。

第十二条物资与资金保障

[企业]将应急处置所需经费纳入年度财务预算，确保应急准备与处置工作的资金需求得到充分保障。核心保障措施包括：

（一）应急经费保障：设立应急预备金，专项用于突发事件应急处置，确保应急响应的及时有效；

（二）物资储备：建立关键应急物资储备制度，明确应急物资的种类、数量、存放地点、保管责任及补充机制；

（三）物资管理：指定专人负责应急物资的日常管理，定期检查维护，确保物资处于可用状态；

（四）特殊物资管理：对特殊应急物资实行专人专管、定点存放、登记造册，确保特殊物资的专属性与安全性；

（五）采购与补充：根据应急物资消耗情况，及时补充储备，确保应急物资的充足性。

第十三条人员与技术保障

[企业]建立健全应急队伍体系，配备专业人才，提供技术支持。核心保障措施包括：

（一）人员保障：组建由信息技术、网络安全、运维、法务、公关等部门人员构成的应急队伍，明确各成员的职责分工，确保应急响应的专业性与高效性；

（二）技术保障：建立应急技术支撑体系，配备必要的技术设备、工具与平台，并定期组织技术培训，提升应急队伍的技术能力；

（三）专业指导：积极寻求外部专业技术机构的指导与合作，引进先进技术手段，提升应急处置能力；

（四）队伍管理：建立应急队伍的日常管理与考核机制，定期组织应急演练，提升队伍的实战能力与协同水平。

第十四条培训与演练保障

[企业]信息技术服务与信息安全保障领导小组办公室负责统筹协调应急培训与演练工作，提升应急队伍的响应能力与协同水平。核心保障措施包括：

（一）培训保障：制定年度应急培训计划，定期组织全员或重点岗位人员的应急处置知识与技能培训，提升员工的安全意识与自救互救能力；

（二）演练保障：定期组织开展桌面推演、实战演练等多种形式的应急演练