上海某公安局网络安全事件应急响应与处置规范

[上海某公安局]网络安全事件应急响应与处置规范第一章总则

第一条为有效预防、及时控制和妥善处置[上海某公安局]辖区内网络安全事件，提升公安机关网络安全应急响应和处置能力，健全网络安全应急工作机制，最大程度地减少网络安全事件造成的危害和影响，保障[居民/员工]安全、财产安全、社会秩序和公共安全，维护[社会/企业]稳定，根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《国家网络安全事件应急预案》、教育部《教育系统突发公共事件应急预案》等法律法规及政策文件，结合[辖区内/企业内]实际，制定本规范。

第二条工作原则

1.统一指挥与快速反应机制。公安机关成立网络安全应急指挥中心（以下简称指挥中心），作为辖区内网络安全事件应急响应的统一指挥机构，全面负责网络安全事件的应对处置工作。建立快速反应机制，确保网络安全事件的监测预警、报告、研判、指挥、处置等环节紧密衔接，实现快速响应、精准研判、高效处置。

2.分级负责与属地管理。遵循分级负责、属地管理原则，明确各级公安机关及相关部门在网络安全事件应急响应中的职责分工。发生网络安全事件后，由指挥中心根据事件级别和性质，协调指导相关单位启动相应的应急预案，确保责任到人、措施到位。

3.预防为主与及时控制。坚持预防为主、防治结合的方针，加强网络安全风险排查和隐患治理，强化网络安全态势监测和预警分析，提高事件早期发现能力。建立早发现、早报告、早研判、早处置的工作机制，将网络安全事件控制在初期阶段，防止事态蔓延和扩大，最大限度减少损失。

4.系统联动与群防群控。建立健全公安机关内部各部门之间、公安机关与相关部门以及社会各界之间的协同联动机制，形成信息共享、资源整合、协同作战的工作格局。发动和依靠[居民/员工]，加强网络安全宣传教育，提高公众的网络安全意识和防护能力，构建全民参与的群防群控体系。

5.区分性质与依法处置。坚持法治思维和法治方式，根据网络安全事件的性质、危害程度和影响范围，采取相应的应急处置措施。在处置过程中，要严格保护[居民/员工]的合法权益和财产安全，确保处置措施符合法律法规要求，做到程序规范、处置得当、后果可控，维护[社会/企业]正常秩序和公共利益。

第三条适用范围

本规范适用于[上海某公安局]辖区内网络安全事件的应急响应与处置工作。本规范所称网络安全事件，是指突然发生，造成或者可能造成[居民/员工]生命安全、身体健康受到威胁，财产受到损失，[社会/企业]正常秩序受到破坏，公共利益受到损害的网络安全事件等，主要包括以下几个方面：

1.社会安全类网络安全事件。包括：利用网络散布谣言、煽动颠覆国家政权、破坏国家统一、宣扬恐怖主义、极端主义、分裂主义等信息，可能引发社会动荡或不稳定；网络攻击破坏关键信息基础设施，影响社会正常运行。

2.重大治安刑事类网络安全事件。包括：网络诈骗、网络赌博、网络暴力、侵犯公民个人信息等违法犯罪活动，造成重大社会影响或严重后果；针对[居民/员工]或重要信息系统的网络攻击，企图窃取敏感信息或破坏数据。

3.事故灾害类网络安全事件。包括：因网络安全设备故障、软件缺陷、人为操作失误等引发的网络服务中断，影响公共安全或社会正常运行；因网络攻击导致的金融系统、能源系统等关键信息基础设施瘫痪事件。

4.公共卫生类网络安全事件。包括：利用网络传播传染病疫情相关信息，造成社会恐慌；网络攻击破坏医疗卫生机构的信息系统，影响疾病防控和医疗救治工作。

5.自然灾害类网络安全事件。包括：因地震、洪水、台风等自然灾害导致网络设施损坏，引发的网络服务中断事件。

6.网络与信息安全类网络安全事件。包括：针对政府机关、企事业单位、关键信息基础设施的网络攻击，如拒绝服务攻击（DDoS）、恶意软件攻击、勒索软件攻击等，造成系统瘫痪、数据泄露或被篡改；网络安全漏洞被利用，引发的网络诈骗或信息窃取事件。

7.考试安全类网络安全事件。包括：针对重要考试系统或数据的网络攻击，如篡改试题、泄露答案等，破坏考试公平公正。

8.其他影响安全稳定的公共类网络安全事件。包括：利用网络进行赌博、传播淫秽色情信息、侵犯知识产权等违法行为，造成不良社会影响；网络安全事件引发的社会舆情危机。

第二章应急组织体系及职责

第四条突发事件应急组织体系

[上海某公安局]成立网络安全事件处置工作领导小组，领导小组下设办公室，设立社会安全类网络安全事件应急处置工作组、重大治安刑事类网络安全事件应急处置工作组、事故灾害类网络安全事件应急处置工作组、公共卫生类网络安全事件应急处置工作组、自然灾害类网络安全事件应急处置工作组、网络与信息安全类网络安全事件应急处置工作组、考试安全类网络安全事件应急处置工作组、信息工作组等八个工作组。

第五条网络安全事件处置工作领导小组及主要职责

组长：[上海某公安局]局长

副组长：[上海某公安局]副局长

成员：[上海某公安局]相关业务处室、下属分局、相关技术支撑单位等主要负责人。

领导小组职责：负责统一决策、组织、指挥辖区内网络安全事件的应急响应行动，协调指挥各方力量，下达应急处置工作任务。重大问题在第一时间内向上级公安机关请示、报告。

第六条领导小组办公室及主要职责

网络安全事件处置工作领导小组下设办公室，领导小组办公室设在[上海某公安局]办公室（或网络安全保卫部门），负责日常工作。

领导小组办公室的主要职责：负责收集、分析网络安全事件相关信息，提出处置意见和建议报领导小组；组织协调各部门开展应急处置工作；及时总结辖区内网络安全事件处置的经验和做法；督导、检查各部门落实网络安全事件应急处理工作的情况。

第七条处置工作组及主要职责

针对各类网络安全事件，领导小组下设相应的专项应急处置工作组：

1.社会安全类网络安全事件应急处置工作组。组长由[上海某公安局]分管网络安全工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、相关技术支撑单位、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门。

主要职责：负责研判涉及社会安全类的网络安全事件的性质、影响，协调相关部门开展处置工作；指导开展网络舆情监测和引导；维护社会稳定。

2.重大治安刑事类网络安全事件应急处置工作组。组长由[上海某公安局]分管治安或刑事侦查工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、刑事侦查部门、技术侦查部门、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门或刑事侦查部门。

主要职责：负责侦办网络攻击、网络诈骗、侵犯公民个人信息等重大治安刑事案件；采取技术手段进行溯源追踪；固定证据，维护公民和法人合法权益。

3.事故灾害类网络安全事件应急处置工作组。组长由[上海某公安局]分管技术防范或应急处突工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、技术防范部门、情报信息部门、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门。

主要职责：负责处置因网络安全设备故障、软件缺陷等引发的网络服务中断事件；协调相关部门进行应急抢修，恢复网络正常运行；评估事件影响，减少损失。

4.公共卫生类网络安全事件应急处置工作组。组长由[上海某公安局]分管治安或信息通信工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、治安管理部门、信息通信部门、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门。

主要职责：负责处置利用网络传播传染病疫情相关信息，造成社会恐慌的事件；配合卫生健康部门开展疫情防控相关的网络舆情监测和处置；维护公共卫生秩序。

5.自然灾害类网络安全事件应急处置工作组。组长由[上海某公安局]分管应急处突工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、指挥中心、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]办公室。

主要职责：负责处置因地震、洪水、台风等自然灾害导致网络设施损坏，引发的网络服务中断事件；协调相关部门进行应急抢修，保障应急通信畅通。

6.网络与信息安全类网络安全事件应急处置工作组。组长由[上海某公安局]分管网络安全保卫工作的局领导担任，副组长由网络安全保卫部门负责人担任。工作组成员由[上海某公安局]网络安全保卫部门、相关技术支撑单位、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门。

主要职责：负责处置针对政府机关、企事业单位、关键信息基础设施的网络攻击，如拒绝服务攻击（DDoS）、恶意软件攻击、勒索软件攻击等；开展网络攻击溯源和证据固定；指导相关单位加强网络安全防护。

7.考试安全类网络安全事件应急处置工作组。组长由[上海某公安局]分管治安或教育警务工作的局领导担任，副组长由相关业务处室负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、治安管理部门、教育警察部门、[辖区内]相关部门等主要负责人组成。工作组办公室设在[上海某公安局]网络安全保卫部门。

主要职责：负责处置针对重要考试系统或数据的网络攻击，如篡改试题、泄露答案等事件；维护考试公平公正，保障考试安全顺利进行。

8.信息工作组。组长由[上海某公安局]分管办公室或信息通信工作的局领导担任，副组长由办公室或信息通信部门负责人担任。工作组成员由[上海某公安局]办公室、网络安全保卫部门、信息通信部门、情报信息部门等主要负责人组成。工作组办公室设在[上海某公安局]办公室。

主要职责：负责收集、整理、分析网络安全事件相关信息，及时、准确、全面地向上级公安机关和相关部门报送信息；组织开展网络舆情监测和引导；为领导小组决策提供信息支持。

第三章预防和预警机制

第八条预防预警信息管理规范

为确保网络安全事件预防预警信息的及时、准确、全面传递，为应急处置决策提供有力支撑，特制定本规范。

1.信息报送核心原则

网络安全事件预防预警信息的报送应遵循以下核心原则：

(1)及时性。信息报送要及时快捷，确保第一时间掌握事件动态。

(2)首报意识。任何单位或个人一旦发现网络安全事件或风险隐患，必须第一时间向[辖区内]公安机关网络安全保卫部门报告。

(3)真实性。信息内容必须客观真实，不得虚报、瞒报、漏报或歪曲事实。

(4)完整性。信息报送应包含事件的所有必要要素，确保信息的完整性和准确性。

(5)续报要求。事件发展过程中，应及时续报事件进展、处置情况和新的重要信息。

2.[辖区内]信息报送流程

网络安全事件的预防预警信息按以下流程报送：

(1)事发单位或个人>[辖区内]公安机关网络安全保卫部门；

(2)[辖区内]公安机关网络安全保卫部门>[上海某公安局]网络安全事件处置工作领导小组办公室；

(3)[上海某公安局]网络安全事件处置工作领导小组办公室>[上海某公安局]网络安全事件处置工作领导小组；

(4)根据事件性质和级别，由[上海某公安局]网络安全事件处置工作领导小组决定是否向上级公安机关或相关部门报告。

3.紧急书面信息报送流程

对于重大或特别重大网络安全事件，[上海某公安局]网络安全事件处置工作领导小组办公室应立即启动紧急书面信息报送流程：

(1)事发单位或个人第一时间以电话方式向[辖区内]公安机关网络安全保卫部门报告事件基本情况；

(2)[辖区内]公安机关网络安全保卫部门接报后，立即核实信息，并书面形式向[上海某公安局]网络安全事件处置工作领导小组办公室报告，同时根据事件级别和性质，决定是否需立即向上级公安机关或相关部门报告；

(3)[上海某公安局]网络安全事件处置工作领导小组办公室根据事件情况，撰写书面报告，经[上海某公安局]网络安全事件处置工作领导小组组长审批后，立即报送上级公安机关或相关部门。

4.应急信息核心要素清单

报送的网络安全事件预防预警信息应包含以下核心要素：

(1)时间：事件发生的确切时间（年、月、日、时、分）。

(2)地点：事件发生的具体地理位置。

(3)规模：事件影响的范围和涉及的主机数量、用户数量等。

(4)伤亡：事件造成的直接或间接损失，包括系统瘫痪、数据泄露、经济损失等。

(5)起因：事件发生的初步原因分析，包括黑客攻击、病毒感染、系统漏洞、人为操作失误等。

(6)评估：对事件可能造成的危害程度、发展趋势的初步评估。

(7)措施：已经采取或拟采取的应急处置措施。

(8)进展：事件的发展变化情况，包括事态控制情况、处置效果等。

(9)其他：与事件相关的其他重要信息，如相关证据、联系方式等。

5.重大突发事件紧急报告要求

下列网络安全事件信息须在事件发生后40分钟内通过电话向省委办公厅口头报告，或书面报送信息，书面报告需在事发后2小时以内报送：

(1)重大自然灾害导致的关键信息基础设施瘫痪事件；

(2)重大事故灾难导致的关键信息基础设施受损事件；

(3)重大公共卫生事件相关的网络传播事件；

(4)涉及国防、港澳台、外交领域的网络安全事件；

(5)可能引发重大突发事件的敏感性、预警性、行动性网络安全动向；

(6)其他涉国家安全和社会稳定的重要紧急网络安全事件。

第九条预防预警行动

在[上海某公安局]网络安全事件处置工作领导小组的统一部署下，各专项应急处置工作组及相关部门应常态化开展以下预防预警行动：

1.加强应急机制日常管理。各工作组及相关部门要在领导小组的指导下，持续加强应急机制的日常建设和管理，完善工作制度，明确职责分工，确保应急指挥体系高效运转。

2.持续完善各类应急预案。定期组织对辖区内网络安全事件应急预案的评估和修订，根据网络安全形势变化、技术发展以及相关部门职责调整等情况，及时更新预案内容，确保预案的针对性、实用性和可操作性。

3.加强应急队伍建设。注重培养和建设一支政治素质高、业务能力强、反应迅速的网络安全应急队伍，定期开展人员培训和技能提升，不断提高队伍的整体应急响应能力。

4.定期组织应急培训和模拟演练。定期组织开展网络安全事件应急知识培训，提高相关人员的安全意识和应急处置技能。定期组织不同规模和场景的网络安全事件应急模拟演练，检验预案的有效性，锻炼队伍的实战能力，提升协同作战水平。

5.做好关键应急物资的储备、管理和维护。根据应急处置需要，储备必要的应急物资，包括但不限于网络安全设备、技术工具、备品备件、通信设备、防护用品等，并建立完善的物资管理制度，确保物资的妥善保管、及时维护和补充更新，确保应急需要时能够充足、及时供应。

第四章应急响应

第十条按事件等级响应

1.事件等级划分

网络安全事件根据其性质、危害程度、影响范围等因素，划分为以下四个等级：

(1)I级事件（红色预警）：特别重大网络安全事件。指对[辖区内]公共安全、社会秩序造成特别重大危害，或可能造成特别重大危害，涉及重要信息基础设施瘫痪、大量公民个人信息泄露、关键行业服务中断、政治安全受到严重威胁等，造成或可能造成特大型人员伤亡或重大经济损失的事件。判定标准包括但不限于：造成或可能造成[辖区内]电网、通信、金融、交通等关键信息基础设施大面积瘫痪，严重影响社会运行；导致超过100万用户信息泄露或被篡改，造成严重社会影响；利用网络攻击手段，严重威胁国家安全、公共安全或造成重大政治影响等。

(2)II级事件（橙色预警）：重大网络安全事件。指对[辖区内]公共安全、社会秩序造成重大危害，或可能造成重大危害，涉及较大范围信息系统被攻击、重要数据被窃取、重大网络诈骗等，造成或可能造成大型人员伤亡或重大经济损失的事件。判定标准包括但不限于：造成或可能造成[辖区内]多个关键信息基础设施部分瘫痪或服务严重受阻，影响社会正常运行；导致10万至100万用户信息泄露或被篡改，造成较大社会影响；针对[辖区内]重要单位或关键信息系统的网络攻击，造成重大经济损失或严重社会影响等。

(3)III级事件（黄色预警）：较大网络安全事件。指对[辖区内]一定范围的公共安全、社会秩序造成较大危害，或可能造成较大危害，涉及部分信息系统被攻击、数据被窃取、网络诈骗等，造成或可能造成较大人员伤亡或经济损失的事件。判定标准包括但不限于：造成或可能造成[辖区内]部分关键信息基础设施功能受损或服务不稳定，影响部分社会正常运行；导致1万至10万用户信息泄露或被篡改，造成较社会影响；针对[辖区内]一般单位或信息系统的网络攻击，造成一定经济损失或社会影响等。

(4)IV级事件（蓝色预警）：一般网络安全事件。指对[辖区内]较小范围的公共安全、社会秩序造成轻度危害，或可能造成轻度危害，涉及个别信息系统被攻击、数据被窃取、网络诈骗等，造成或可能造成少量人员伤亡或轻微经济损失的事件。判定标准包括但不限于：造成或可能造成[辖区内]个别信息系统功能短暂中断或数据轻微泄露，影响较小范围社会正常运行；导致1千至1万用户信息泄露或被篡改，造成一定社会影响；针对[辖区内]一般单位或信息系统的网络攻击，造成轻微经济损失或社会影响等。

2.各级事件应急响应程序

网络安全事件发生后，相关单位应立即启动应急响应程序，按照“统一指挥、分级负责、快速响应、协同作战”的原则，迅速开展应急处置工作。

(1)成立现场指挥部。根据事件等级和性质，由[上海某公安局]网络安全事件处置工作领导小组决定成立现场指挥部，统一指挥、协调应急处置工作。

(2)现场处置。现场指挥部应迅速组织力量赶赴现场，开展应急处置工作，包括但不限于：切断受感染网络与外部网络的连接、隔离受攻击系统、清除恶意程序、恢复重要数据和系统、进行事件溯源和证据固定等。

(3)信息报告。按照事件等级和规定时限，及时、准确、全面地向上级公安机关和相关主管部门报告事件信息。

当确认网络安全事件发生或可能发生时，[辖区内]公安机关网络安全保卫部门及相关单位要立即响应，并按照以下标准流程执行：

(1)I级事件（红色预警）应急响应：网络安全事件发生后，[辖区内]公安机关网络安全保卫部门应在20分钟内将事件基本信息报告至[上海某公安局]网络安全事件处置工作领导小组办公室，并立即启动I级应急预案。领导小组办公室应在1小时内将事件信息报告至上级公安机关和相关主管部门。现场指挥部应立即成立，全面开展应急处置工作。

(2)II级事件（橙色预警）应急响应：网络安全事件发生后，[辖区内]公安机关网络安全保卫部门应在20分钟内将事件基本信息报告至[上海某公安局]网络安全事件处置工作领导小组办公室，并立即启动II级应急预案。领导小组办公室应在1小时内将事件信息报告至上级公安机关和相关主管部门。现场指挥部应立即成立，全面开展应急处置工作。

(3)III级事件（黄色预警）应急响应：网络安全事件发生后，[辖区内]公安机关网络安全保卫部门应在20分钟内将事件基本信息报告至[上海某公安局]网络安全事件处置工作领导小组办公室，并立即启动III级应急预案。领导小组办公室应在1小时内将事件信息报告至上级公安机关和相关主管部门。根据领导小组指示，成立现场指挥部，开展应急处置工作。

(4)IV级事件（蓝色预警）应急响应：网络安全事件发生后，[辖区内]公安机关网络安全保卫部门应在20分钟内将事件基本信息报告至[上海某公安局]网络安全事件处置工作领导小组办公室，并立即启动IV级应急预案。领导小组办公室应在1小时内将事件信息报告至上级公安机关和相关主管部门。根据领导小组指示，成立现场指挥部，开展应急处置工作。

3.现场指挥部核心任务

现场指挥部应履行以下核心任务：

(1)控制事态。迅速采取有效措施，控制网络安全事件的发展蔓延，防止事件扩大化，将损失降到最低。

(2)掌握进展。密切关注网络安全事件的发展态势，及时收集、分析相关信息，准确掌握事件进展情况。

(3)及时报告。按照规定时限和内容要求，及时向上级公安机关和相关主管部门报告事件信息。

(4)适时发布信息引导舆论。根据事件性质和处置进展，适时发布权威信息，澄清事实，回应关切，引导舆论，维护社会稳定。

第五章应急保障

第十一条通讯与信息保障

确保网络安全事件的监测预警、信息传递、报告、处置等各环节机制健全有效，信息传输渠道畅通可靠，相关通讯设备和信息系统保持完好畅通，保障网络安全事件信息的及时、准确、安全传递。

1.信息收集机制。建立健全网络安全信息收集机制，明确信息来源渠道，包括网络监测系统、威胁情报共享平台、信息报告渠道等，确保第一时间获取网络安全事件信息。

2.信息传递机制。建立高效的信息传递机制，明确信息传递流程、时限和方式，确保网络安全事件信息在内部和外部渠道准确、快速传递。

3.信息报送机制。建立规范的网络安全事件信息报送机制，明确信息报送的级别、内容、时限和程序，确保网络安全事件信息及时上报至上级公安机关和相关主管部门。

4.信息处理机制。建立科学的信息处理机制，包括信息分析研判、处置决策、信息发布等环节，确保网络安全事件得到有效处置。

5.通讯设备保障。确保网络安全事件应急处置所需通讯设备（包括有线通信、无线通信、卫星通信等）的完好率和畅通性，保障应急处置期间通讯联络的连续性和可靠性。

第十二条物资与资金保障

1.经费保障。将网络安全事件应急处置经费纳入[辖区内]公安机关年度预算，确保应急处置资金来源的稳定性和保障的充足性。

2.物资储备制度。建立关键应急物资储备制度，明确应急物资的种类、数量、保管地点、维护方式和供应程序，确保应急物资的充足、完好和及时供应。

3.物资管理。明确应急物资的保管、维护和调配责任，定期检查和补充应急物资，确保应急物资的可用性。

4.特殊物资管理。对特殊应急物资实行专人专管，建立严格的出入库登记制度，确保特殊应急物资的安全和可追溯。

第十三条人员与技术保障

1.人员保障。组建常备/预备的网络安全应急队伍，明确队伍的组成部门、人员构成和职责分工。定期对应急队伍进行培训和演练，提升队伍的实战能力和应急处置水平。

2.技术保障。建立网络安全应急技术支撑体系，配备先进的网络安全监测预警、检测评估、应急处置等技术装备，并定期进行维护和更新，确保技术手段的先进性和有效性。

3.专业技术指导。加强与网络安全技术专家和科研机构的合作，寻求专业技术指导，提升网络安全应急处置的专业化水平。

第十四条培训与演练保障

1.培训保障。定期组