网络与信息安全事件应急预案

网络与信息安全事件应急预案(暂行)

1总则

1.1编制目的

为建立健全应急厅系统网络与信息安全事件应急保障和

恢复工作机制，提高应对突发网络与信息安全事件的组织指

挥和应急处置能力，保证应急指挥调度工作迅速、高效、有

序进行，保障XX应急管理信息系统安全运行，保障信息的

合法性、完整性、准确性，保障网络、计算机、相关配套设

备设施及系统运行环境的安全，为XX应急管理提供现代化

服务保障，制定本预案。

1.2编制依据

根据《中华人民共和国计算机信息系统安全保护办法》、

《互联网信息服务管理办法》、《计算机病毒防治管理办法》

等相关法规、规定、文件精神，制定本预案。

1.3适用范围

本预案适用于XX省应急管理厅系统局域网及专网非涉

密信息系统突发网络安全事件的应急处理和恢复工作。

1.4工作原则

(1)预防为主。建立、健全计算机网络与信息安全科学

管理制度，有效预防网络与信息安全事故的发生。

1

(2)分级负责。按照“谁主管谁负责，谁运营谁负责”

的原则，建立和完善安全责任制。各级各部门应积极支持和

协助应急处置工作。

(3)果断处置°一旦发生网络与信息安全事故，应果断

决策，迅速处置，及时启动应急处置预案，尽最大力量减少

损失，尽快恢复网络与系统运行。

(4)以人为本。把保障人员以及公共利益的安全作为首

要任务。

(5)常备不懈°加强技术储备，规范应急处置措施与操

作流程，定期进行预案演练，确保应急预案切实有效，实现

应急管理网络与信息安全突发公共事件应急处置的科学化、

程序化与规范化。

2组织体系和工作职责

在厅网络安全与信息化领导小组领导下，成立：应急组

织组、应急指挥组、应急实施组。

(1)应急组织组。由厅网信办牵头，负责应急管理体系、

管理办法和预案的评审和确定；负责应急预案启动和终止命

令的下达和授权；负责应急实施过程中的决策和授权；负责

对故障处置或演练后预案变更的最终评审和确认。

(2)应急指挥组。由厅办公室牵头，根据应急领导组的

授权，负责现场指挥，协调各应急小组工作；负责应急处置

情况、故障升级等相关信息的确认；负责向应急领导组汇报

2

应急处置的进展情况；负责在应急过程中，策略的调整和应

急指挥；负责组织并协调应急现场的各种资源（含第三方）。

（3）应急实施组。由厅科技和信息化处牵头负责故障的

分析，为现场应急指挥组提供应急预案实施的参考建议；负

责按照现场应急指挥组的指令，严格执行相应的应急处置方

案；负责将现场故障处理情况向应急指挥组及时汇报和更新;

在实施应急措施过程中，协调其他专业组为应急提供技术支

持；故障解决后总结、归纳应急工作的经验和教训，完善相

关应急预案；负责制定、修改、优化应急预案中应急场景的

具体处置方案；负责组织应急预案的检查和评审工作。

3分类分级

3.1事件分类

网络与信息安全事件根据其产生原因、表现形式，可划

分为以下六类：

（1）有害程序事件。指计算机病毒事件、蠕虫事件、特

洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内

嵌恶意代码事件和其他有害程序事件。

（2）人为攻击事件。指通过网络或其他技术手段，对信

息系统实施攻击，如拒绝服务攻击事件、后门攻击事件、漏

洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件

和其他网络攻击事件。

3

（3）信息破坏事件。指利用网络进行信息篡改事件、信

息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件

和其他信息破坏事件。

（4）信息内容安全事件。指通过网络传播法律法规禁止

信息，组织非法串联、煽动集会游行或炒作敏感问题并危害

国家安全、社会稳定和公众利益的事件。

（5）设备设施故障事件。指软硬件自身故障、外围保障

设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件。指由自然灾害等其他突发事件导致的

网络与信息安全事件。

3.2事件分级

网络与信息安全事件根据其影响程度、严重程度、影响

范围和可控性，将应急管理网络与信息安全事件分为四级:

由高到低划分为特别重大（I级）、重大（II级）、较大（III

级）、一般（IV级）四个级别。

影响程度主要考虑网络与信息安全事件所影响的信息系

统的重要程度。本预案中信息系统的重要程度是依据信息系

统的安全保护定级等级来确定，安全保护等级定级为四级以

上（含四级）的为特别重要信息系统，三级的为重要信息系

统，二级的为一般信息系统。安全保护等级定级为一级的信

息系统，不需要启动应急预案，由相关业务部门和运行维护

部门根据维护流程处置。

4

严重程度主要考虑事件对信息系统的破坏程度，以及利

用信息网络发布、传播的信息内容对国家安全、社会稳定和

公共利益的危害程度。对信息系统的破坏程度分为特别严重

破坏、严重破坏和一般破坏。特别严重破坏指造成信息系统

瘫痪或信息受到特别严重破坏；严重破坏指造成信息系统主

要功能受损或信息受到严重破坏；一般破坏指造成信息系统

性能下降或信息受到一般破坏。

1、I级（特别重大）：发生以下任一种网络与信息安全

事件，且不能在短时间内恢复。

（1）特别重要信息系统受到特别严重破坏；

（2）启动省灾害或事故应急预案I级或n级响应时期,

应急管理相关特别重要信息系统受到严重破坏或重要信息

系统受到特别严重破坏；

（3）应急厅及厅直系统同时发生特别重要信息系统受到

严重破坏或重要信息系统受到特别严重破坏；

（4）其他对社会秩序和公共利益造成特别严重损害，或

者对国家安全造成严重损害的网络与信息安全事件。

2、n级（重大）：发生以下任一种网络与信息安全事件，

且不能在短时间内恢复。

（1）特别重要信息系统受到严重破坏；

（2）重要信息系统受到特别严重破坏；

5

(3)启动省灾害、事故应急预案I级、n级或ni级响应

时期，应急管理相关特别重要信息系统受到一般破坏、重要

信息系统受到严重破坏或一般信息系统受到特别严重破坏;

(4)应急厅及厅直部门中同时发生特别重要信息系统受

到一般破坏、重要信息系统受到严重破坏或一般信息系统受

到特别严重破坏；

(5)其他对社会秩序和公共利益造成严重损害，或者对

国家安全造成损害的网络与信息安全事件。

3、ni级(较大)：发生以下任一种网络与信息安全事件，

且不能在短时间内恢复。

(1)较大突发公共事件引发的，有可能造成应急厅某个

下属部门所属网络通信故障的情况。

(2)通信网络故障可能升级为造成应急厅某个下属部门

所属网络通信故障的情况。

(3)其他对公民、法人和其他组织的合法权益产生严重

损害，或者对社会秩序和公共利益造成损害，但不损害国家

安全的网络与信息安全事件。

4、IV级(一般)：发生以下任一种网络与信息安全事件，

且不能在短时间内恢复。

(1)一般突发公共事件引发的，有可能造成应急厅局域

网内某个交换点所属局部网络通信故障(不影响正常一般通

信)的情况。

6

(2)其他对公民、法人和其他组织的合法权益造成损害,

但不损害国家安全、社会秩序和公共利益的网络与信息安全

事件。

其他网络与信息安全事件根据“谁主管谁负责”的原则，

由信息系统的主管部门负责处理。

4预警机制

4.1预警系统

各级各部门要做好灾前预防技术体系的建设，加强预警

信息的监测收集工作。各级网络与信息安全协调机构应加强

与应急部、省委省政府、省委网信办以及地方有关部门的信

息沟通。

4.2预警信息

预警信息来源于预警系统监测到的和上级机构或其他职

能部门通报的网络与信息安全事件信息。各级各部门要针对

,各种可能发生的信息系统突发事件，完善预测预警机制，开

展风险分析，并根据确定的风险等级编制预警信息做到早发

现、早报告、早处置。

4.3预警发布

一般预警信息由事发区域网络与信息安全协调机构发布

并及时上报厅网络安全与信息化领导小组，由厅网络安全与

信息化领导小组统一发布、调整和解除。

7

预警信息的发布、调整和解除，应以电话、电子邮件、

传真电话等方式通知到所有相关部门以及相关人员，接到通

知的部门和人员需要对预警信息进行确认。

5应急处置

5.1响应分级

应急响应级别分为四级：【级、n级、in级和w级，分

别对应I级、n级、ni级和w级网络与信息安全事件。

5.2先期处置

5.2.1信息报送

发生网络与信息安全事件，事发部门进行初步判断，对

于W级网络与信息安全事件，事发部门必须在2小时内向厅

网络安全与信息化领导小组口头报告；接到ni级网络与信息

安全事件报告后1小时内，应向厅网络安全与信息化领导小

组书面报告；n级或I级网络与信息安全事件应立即向厅网

络安全与信息化领导小组报告，经厅网络安全与信息化领导

小组同意后，报省网络安全和信息化领导小组办公室。

厅网络安全与信息化领导小组接到n级及I级的网络与

信息安全事件报告后，根据事件分析判定事件级别。

5.2.2即时处置

网络与信息安全事件发生后，事发部门必须在第一时间

实施即时处置，控制事态发展。在开展即时处置的同时，及

时汇总信息并迅速报告厅网络安全与信息化领导小组。

8

5.2.3事件研判

紧急情况或故障发生时，各维护监控相关部门和人员发

现问题后，应先详细记录该事件的信息，了解事件可能造成

的损失、影响以及现场控制情况。在汇总相关信息的基础上，

及时判断事件性质，分析事件已经造成的损失和预计损失、

事件的严重程度和扩散性等情况，判定事件级别。

5.3应急响应

对于判定为n级及I级的网络与信息安全事件，厅信息

化领导小组确定应急响应级别，并与相关业务部门成立应急

厅网络与信息安全应急处置指挥部，启动相应应急响应预案。

对于判定为W级和III级的网络与信息安全事件，事发单位

（部门）网络安全与信息化领导小组确定应急响应级别，启

动相应应急响应预案，并向厅网络安全与信息化领导小组报

告有关情况。

对于判定为n级网络与信息安全事件，如果事件影响范

围仅限于个别区域（厅直单位或市州）则由各级各部门确定

应急响应级别，启动相应应急响应预案，并向厅网络安全与

信息化领导小组报告有关情况；如果事件影响范围超过一个

区域应由厅网络安全与信息化领导小组确定应急响应级别，

并根据需要成立应急厅网络与信息安全应急处置指挥部，启

动相应应急响应预案。

9

当确定网络与信息安全事件等级、启动相应应急响应预

案后，在技术上采取应急恢复措施的同时，各级各部门应针

对受影响或故障信息系统所承担的业务应用采取相应的业

务补救措施，尽可能减少损失Q

5.3.1I级响应

对于I级事件，由厅网络安全与信息化领导小组及相关

业务部门组成应急厅网络与信息安全应急处置指挥部，指挥

部宣布启动I级应急响应，并组织、指挥应急处置工作，根

据信息系统应急处置预案，组织信息系统运行管理部门及其

他有关部门进行技术处理，同时组织业务部门采取业务补救

措施，必要时协调二级有关部门或单位参加应急处置。

对于造成社会影响的网络与信息安全事件，统一由厅网

络安全与信息化领导小组联络新闻媒体，对外通报系统故障

情况、抢修情况、预期恢复时间等信息，降低事件所造成的

社会影响。

5.3.2II级响应

如果事件影响范围仅限于个别地区，由事发部门网络与

信息安全协调部门宣布启动n级应急响应，并组织、指挥应

急处置工作，组织信息系统运行管理部门及其他有关部门进

行技术处理，同时组织业务部门采取业务补救措施，必要时

协调上级有关单位或部门参加应急处置。

10

如果事件影响范围超过一个地区，则由厅网络安全与信

息化领导小组和相关业务部门组成应急厅网络与信息安全

应急处置指挥部，由指挥部宣布启动n级应急响应，并组织、

指挥应急处置工作。根据信息系统应急处置预案，组织信息

系统运行管理部门及其他有关部门进行技术处理，同时组织

业务部门采取业务补救措施，必要时协调上级有关单位或部

门参加应急处置。

对于造成社会影响的网络与信息安全事件，由事发单位

有关部门根据规定对外通报系统故障情况、抢修情况和预期

恢复时间等信息，降低事件造成的社会影响。

如事件没有得到及时解决，影响范围超出n级事件的范

围，由厅网络安全与信息化领导小组确认，升级为I级事件,

按照I级响应进行处置。

5.3.3III级响应

事发部门网络与信息安全协调机构宣布启动ni级应急响

应，并具体组织、指挥应急处置工作，根据该信息系统应急

处置预案，组织信息系统运行管理部门进行技术处理，同时

组织相应业务部门采取业务补救措施，随时关注事件处理进

程，必要时协调上级有关单位或部门参加应急处置。

如事件没有得到及时解决，影响范围超出HI级事件的范

围，事发单位或部门应向厅网络安全与信息化领导小组建议

11

升级为II级事件，日厅网络安全与信息化领导小组确认，并

按照n级响应进行处置。

5.3.4IV级响应

事发部门网络与信息安全协调机构宣布启动W级响应，

具体组织、指挥应急处置工作，根据该信息系统应急处置预

案，组织信息系统运行管理部门进行技术处理，同时组织相

应业务部门采取业务补救措施，随时关注事件处理进程，必

要时协调有关单位和部门参加应急处置。

如事件没有得到及时解决，影响范围超出W级事件的范

围，立即升级为川级事件，并按照m级响应进行处置。

5.4应急结束

对于I级网络与信息安全事件，在应急处置工作结束或

相关危险因素消除，厅网络安全与信息化领导小组确认后，

终止应急响应，转入常态管理。

对于II级网络与信息安全事件，在应急处置工作结束或

相关危险因素消除后，由应急处置指挥机构决定终止应急响

应，转入常态管理，并向厅网络安全与信息化领导小组报告。

对于ni级和w级网络与信息安全事件，在应急处置工作结

束或相关危险因素消除后，由事发部门网络与信息安全机构

宣布应急结束，转入常态管理，并向厅网络安全与信息化领

导小组报告。

6后期处置

12

6.1调查与评估

网络与信息安全事件处置结束后，有关部门应对事件的

起因、性质、影响、责任、经验教训和恢复重建等问题进行

调查和评估。

(1)责任确定。应急处置工作结束后，应对事件进行调

查，分析产生原因，确定责任人。如涉及违法犯罪行为，由

司法机关追究当事人责任。其它事件由事发部门网络与信息

安全协调机构负责调查。

(2)事件备案与归档。应急处置工作结束后，由事件处

置指挥机构将事件处置的过程和结果报厅网络安全与信息

化领导小组备案。

6.2恢复重建

按照“谁主管谁负责，谁运行谁负责”的原则，事发部

门和相关职能部门制订重建和恢复计划，迅速采取各种有效

措施，恢复网络与信息系统的正常运行。并对在故障发生前

半小时内所进行过的业务操作进行检查，认真核对业务数据

是否正确或有无丢失，不正确或有丢失的应马上更正或补录,

确保数据的正确和完整。

相关单位和部门必须总结和分析故障发生原因，排除隐

患，提出改进措施，避免再次发生同样故障，事件相关原因

总结由事发部门网络与信息安全协调机构审批后报送有关

部门和厅网络安全与信息化领导小组。

13

6.3报告与发布

各级各部门要加强对信息系统运行的日常监控，发现异

常情况、发生突发事件或可能发生突发事件的信息，必须立

即按规定程序报告。

各级各部门业务信息系统对采取信息系统应急措施后出

现的各种问题，要及时向厅网络安全与信息化领导小组报告,

由应急厅负责研究解决，并统一进行解释和发出指令。

7保障措施

7.1应急队伍保障

建立符合要求的网络与信息安全保障技术支撑队伍，对

网络接入单位的网络与信息安全保障工作人员提供技术支

持和培训服务。

7.2经费保障

应确保网络与信息安全事件应急管理工作所需的经费，

包括日常运作、应急处置、安全演练等方面的经费，其预算

应纳入部门财政预算。同时，应将信息系统设备老化及更新

换代和日常维护所需要的经费，纳入本单位本部门系统运行

维护年度预算中，降低系统设备超期使用所造成的安全风险。

7.3物资保障

根据工作需要，配备必要的网络和信息系统的备机、备

品、备件以及其他所需的物资，特别是一些关键设备和易损

14

设备。加强对应急资源及装备的管理、维护和保养，以备随

时调用。

7.4资料保障

厅网络安全与信息化领导小组须备有必要的网络拓扑

图、网络设备、服务器、数据库、应用系统等资料，备有各

信息系统应急响应预案、调度预案、异常情况处理流程图、

物资储备清单和相关单位、部门及主管领导等。重要信息系

统均建立备份系统，保证重要数据在受到破坏后可紧急恢复。

7.5技术保障

应加大网络与信息安全事件预警、预防和应急处置的

技术研究，跟踪、掌握网络和信息安全领域的技术方向和应

用发展动态，加强网络和信息安全管理人员的业务培训，提

高应急处置的技术水平。针对网络硬件设备芯片加密算法，

强化“国产密码”的应用保护技术。

7.6联络制度

应明确网络与信息安全事件应急处理的一般和紧急两级

联系人，其中一般联系人主要是进行日常的信息沟通，紧急

联系人主要是在发生ni级及以上网络与信息安全事件情况

下的直接沟通，联系信息应包括电话、传真电话和电子邮件

等。联系人及发生变化时要