濮阳市科学技术局

网络安全事件应急预案

  1.总则

  1.1 编制目的

  建立健全全区网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序。

  1.2 编制依据

  《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）和《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）等。

  1.3 事件定义和分类

  本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。

  （1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

  （2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

  （3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

  （4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题，并危害国家安全、社会稳定和公众利益的事件。

  （5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

  （6）灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

  （7）其他事件是指不能归为以上分类的网络安全事件。

  1.4 事件分级

  网络安全事件分为四级：由高到低划分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

  （1）符合下列情形之一的，为特别重大网络安全事件：

  ① 重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

  ③ 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

  （2）符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：

  ① 重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

  ③ 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

  （3）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：

  ① 重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

  ② 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

  ③ 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

  （4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

  1.5 适用范围

  本预案适用于濮阳市科技局系统内网络安全事件的应对工作。信息内容安全事件的应对，另行制定专项预案。

  1.6 工作原则

  坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，平战结合、军地结合，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

  2.组织机构与职责

  局计算机信息网络安全领导小组为局系统网络安全事件应急处置最高领导机构。局办公室在局计算机网络安全领导小组的领导下，统筹协调组织局系统网络安全事件应对工作，建立健全联动处置机制。机关各科室、局属各单位按照职责分工负责本部门网络安全事件应对工作。

  3.监测与预警

  3.1 预警分级

  网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

  3.2 预警监测

  各部门按照“谁主管谁负责、谁运行谁负责”的要求，组织对本部门建设运行的网络和信息系统开展网络安全监测工作。各部门将重要监测信息报局办公室，局办公室组织网络安全信息共享。

  3.3 网络安全事件信息接收方式

  局办公室通过媒体、网络等途径，面向公众公布网络安全事件接收电话、传真、电子邮箱等信息。

  3.4 预警研判与发布

  各部门对监测信息进行研判，认为需要立即采取防范措施的，应当及时通知有关部门和单位。对可能发生较大及以上网络安全事件的信息，1小时内向区网安应急办报告。

  局办公室组织专家组进行研判，对可能达到红色、橙色、黄色和蓝色预警等级的，要及时上报市网安应急办，同时报告市委总值班室、市政府总值班室。确定为红色预警的，由国家网安应急办发布；确定为橙色预警的，由省网安应急办发布；确定为黄色预警的，由市网安应急办发布；确定为蓝色预警的，由局网安应急办发布。

  预警信息包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。

  3.5 预警响应

  3.5.1红色、橙色、黄色预警响应

  局办公室根据国家、省、市网安应急办的决策部署和统一指挥，相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作，组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作，重要情况报市网安应急办。

  3.5.2 蓝色预警响应

  局办公室启动相应应急预案，组织预警响应工作，联系专家和有关机构，组织对事态发展情况进行跟踪研判，研究制定防范措施，协调组织资源调度和部门联动的各项准备工作，做好风险评估、应急准备和风险控制工作，重要情况报市网安应急办。

   3.6 预警解除

  按照“谁发布谁解除”的原则，局办公室根据实际情况，按程序确定解除对本区发布的蓝色预警信息；配合国家、省、市网安应急办做好红色、橙色、黄色预警信息解除的相关工作。

  4.应急处置

  4.1 事件报告

  网络安全事件发生后，事发单位应立即启动应急预案，实施处置并及时报送信息。事件报告要按照首报、续报、终报全过程报送要求，做到有头有尾。对于初判为特别重大、重大、较大、一般网络安全事件的，事发单位应立即将简要情况及联系人通过电话、传真等方式上报区局办公室，事件详细情况应在1小时内上报。局办公室接到事件报告后，及时报市委总值班室、市政府总值班室，并上报市网信办。

  事件报告内容包括：事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。对涉密的信息，参与涉密网络安全事件应急处置人员应按有关规定签署保密协议；知情人员应遵守相关的管理规定，做好保密工作。

  事件报告要符合以下要求：对重要基础网络与信息系统及在敏感期可能演化为重大和特别重大网络安全事件的信息系统的事件，事发单位应立即上报。对涉密的信息，参与涉密网络安全事件应急处置人员应按有关规定签署保密协议；知情人员应遵守相关的管理规定，做好保密工作。

  4.2 先期处置'

  发生网络安全事件后，事发单位应立即采取以下先期处置措施。

  （1）紧急控制事态发展。根据本单位相关应急预案采取紧急措施，及时、最大限度控制事态发展。

  （2）快速判断事件危害。根据基础网络与信息系统的运行、使用、承载业务的情况，初步判断发生事件的原因、影响力、破坏程度、波及的范围等，提出初步应对措施建议。

  （3）及时上报信息。先期处置的同时，及时向单位责任人、局办公室和相关应急主管部门报告。保持通信畅通联系，实时报告事件进展情况。

  （4）保留相关证据。在事件处置过程中，可采取记录、截屏、备份、录像等手段，对事件的发生、发展、处置过程、步骤、结果进行详细记录；涉及网络犯罪行为的，按照相关法律法规要求，向市公安局网警支队报案，协助进行电子数据取证，为事件调查、处理提供证据。

  如先期处置措施不能有效控制事件，应进行分级响应。

  4.3善后与恢复

  应急处置工作结束后，事发单位和其他有关应急管理工作机构要积极稳妥、深入细致地做好善后处置工作，及时处理征用的物资和设备。对参与处置的工作人员以及紧急调集、征用的物资，要按照规定给予补助或补偿。事发单位迅速组织人员制订基础网络、信息系统的重建和恢复计划，尽快恢复受损基础网络和信息系统，降低对正常工作业务的影响。

  5.调查评估和事件总结

  5.1 调查评估

  一般网络安全事件，由局办公室组织调查处理和总结评估。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

  事件调查处理和总结评估工作原则上应在应急响应结束后30天内完成。

  5.2事件总结

  网络安全事件应急任务结束后，事发单位应牵头组织专家，与局办公室组成事件调查组，对事件发生原因及处置过程进行全面调查，查清事件发生的原因及事件中基础网络与信息系统、网络设施损失情况，总结经验教训，不断改进网络安全事件应急管理工作。事发单位应在30个工作日内将相关报告报送给局办公室。

  6.预防工作

  6.1日常管理

  各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案。做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。

  6.2 演练

  局办公室牵头，每年至少组织一次全区网络安全应急演练，模拟处置一般网络安全事件。通过演练，检验应急体系和工作机制运行情况、应急物资配备情况，及时发现问题，完善应急预案，提高应急处置能力。

  6.3 宣传

  各部门要充分利用各种传播媒介及其他有效的宣传形式，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。

  6.4培训

  各部门要将网络安全事件的应急知识列为有关人员的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识和技能。

  6.5 重要敏感时期的预防措施

  在国家、省、市、重要活动和会议等重要敏感时期，各各部门要加强网络安全事件的防范和应急响应，确保网络安全。局办公室统筹协调网络安全保障工作，根据需要启动预警响应。各部门加强网络安全监测和分析研判，及时预警可能造成重大影响的风险和隐患，重点部门保持24小时读网值班，及时发现和处置网络安全事件隐患。

  7.保障措施

  7.1 机构和人员

  各部门要落实网络安全应急工作责任制，把责任落实到具体部门、具体岗位和个人，并建立健全应急工作机制。

  7.2技术支撑队伍

  局系统网络安全事件应急处置常设专业技术队伍由局办公室、市电子计算机技术开发中心、市科学技术服务中心及网络、设备服务提供方组成。

  专业技术队伍主要职责：发生突发事件时，按照局办公室的指令，开展应急救援；根据事发单位应急支援要求，提供应急救援服务；负责应急物资的储备、相关软件的日常管理和维护等工作。

   7.3技术支撑体系

  （1）开展基础网络与信息系统普查。根据应急工作需要，定期开展局系统基础网络与信息系统普查工作，根据保护要求，确定重点保障对象和关键信息基础设施，建立数据库。

  （2）开展网络安全技术研究。组织开展网络安全防护相关关键技术的研究工作，提升网络安全应急产业整体水平与核心竞争力，增强防范和处置网络安全事件的产业支撑能力，为全市网络安全应急管理提供技术保障。

  7.4 技术研发和产业促进

  引导支持网络安全防范技术研究，不断改进技术装备，为应急响应工作提供技术支撑。加强政策引导，重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向，提升网络安全应急产业整体水平与核心竞争力，增强防范和处置网络安全事件的产业支撑能力。

  7.5合作机制建设

  加强局系统网络安全应急合作机制建设，建立与相关单位以及专业机构的合作渠道，实现信息共享和应急联动。

  7.6 物资保障

  各部门在建设信息系统时应适当配备网络安全应急装备、工具，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。

  专业技术队伍须储备相应的应急基础设备、软件。

  7.7经费保障

  财务部门为网络安全应急工作提供必要的经费保障。局属各单位利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。

  7.8责任与奖惩

  网络安全事件应急处置工作实行责任追究制。

  按照国家、省、市相关规定，对网络安全事件应急管理工作中表现突出的单位和个人给予表扬。对不按规定制定预案和组织或参与演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；涉嫌犯罪的，依法移送司法机关处理。

  8.附则

  8.1预案管理

  本预案指导局系统网络安全事件应急处置工作，根据实际情况适时修订，修订工作由局办公室负责。

  8.2 预案发布及解释

  本预案由局办公室发布、解释。

  8.3 预案实施时间

本预案自印发之日起实施。

2021.1.19

 附件1

  市科技局系统网络安全事件信息报告表

 报告时间:

附件2

  市科技局网络安全技术支撑队伍名单