網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案

版本：版本：V0.1第頁，共13頁信息安全管理咨詢網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案文件編號文件層級版本V0?1審核批準(zhǔn)XX科學(xué)技術(shù)委員會保留所有權(quán)利。未經(jīng)版權(quán)所有者的書面許可，禁止通過直接復(fù)印機、縮微膠片、靜電復(fù)印術(shù)或任何其他方式以任何形式分發(fā)本文任何部分

修訂及審核記錄文檔信息當(dāng)前版本V0.1文檔編號生命周期制訂人注：文件生命周期包括“起草-〉制訂-〉修訂-〉審核-〉批準(zhǔn)-〉發(fā)布-〉歸檔”修訂記錄版次修訂校核提交日期修訂內(nèi)容摘要初始草案審核記錄版次審核人審核日期審核意見關(guān)聯(lián)章節(jié)目錄TOC\o"1-5"\h\z第一章總則4第二章事件分類分級4第三章組織機構(gòu)與職責(zé)6第四章監(jiān)控預(yù)警8第五章應(yīng)急響應(yīng)9第六章應(yīng)急處置11第七章監(jiān)督管理12第八章附則13第一章總則第一條編制目的為建立健全X區(qū)網(wǎng)絡(luò)與信息安全事件專項應(yīng)急工作機制，提高應(yīng)對突發(fā)網(wǎng)絡(luò)與信息安全事件能力，保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全運行，維護國家安全和社會穩(wěn)定，促進經(jīng)濟社會全面、協(xié)調(diào)、可持續(xù)發(fā)展，結(jié)合X區(qū)網(wǎng)絡(luò)與信息安全管理工作實際情況，特編制本預(yù)案。第二條編制依據(jù)依據(jù)《中華人民共和國突發(fā)事件應(yīng)對法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》、《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》、《國家通信保障應(yīng)急預(yù)案》、《信息安全事件分類分級指南》（GB/Z20986—2007）、《X網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案》（滬府辦〔2009〕70號）等法律、法規(guī)和相關(guān)規(guī)定。第三條基本原則1、預(yù)防為主。根據(jù)X區(qū)網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案的要求和規(guī)范，建立健全并執(zhí)行各種信息安全管理制度，有效預(yù)防網(wǎng)絡(luò)與信息安全事故的發(fā)生。2、分級負責(zé)。按照“誰主管誰負責(zé)，誰運營誰負責(zé)”的原則，建立和完善安全責(zé)任制。各部門應(yīng)積極支持和協(xié)助應(yīng)急處置工作。3、果斷處置。一旦發(fā)生網(wǎng)絡(luò)與信息安全事故，應(yīng)迅速反應(yīng)，及時啟動應(yīng)急處置預(yù)案，盡最大力量減少損失，盡快恢復(fù)網(wǎng)絡(luò)與系統(tǒng)運行。第四條適用范圍本預(yù)案適用于X區(qū)范圍內(nèi)發(fā)生的預(yù)防處置III級（較大）、W級（一般）網(wǎng)絡(luò)與信息安全事件。第二章事件分類分級第五條事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。（2）網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。（5）設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。（6）災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件第六條事件分類網(wǎng)絡(luò)與信息安全事件分為四級：1級（特別重大網(wǎng)絡(luò)與信息安全事件）、11級（重大網(wǎng)絡(luò)與信息安全事件）、III級（較大網(wǎng)絡(luò)與信息安全事件）、W級（一般網(wǎng)絡(luò)與信息安全事件）。符合下列情形之一的，為特別重大網(wǎng)絡(luò)與信息安全事件（I級）:（1）信息系統(tǒng)中斷運行2小時以上，影響人數(shù)100萬人以上。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成特別嚴重威脅，或?qū)е?0億元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡(luò)傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構(gòu)成特別嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成特別嚴重威脅、造成特別嚴重影響的網(wǎng)絡(luò)與信息安全事件。符合下列情形之一且未達到特別重大網(wǎng)絡(luò)與信息安全事件（I級）的，為重大網(wǎng)絡(luò)與信息安全事件（II級）：（1）信息系統(tǒng)中斷運行30分鐘以上、影響人數(shù)10萬人以上。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴重威脅，或?qū)е?億元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡(luò)傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構(gòu)成嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴重威脅、造成嚴重影響的網(wǎng)絡(luò)與信息安全事件。符合下列情形之一且未達到重大網(wǎng)絡(luò)與信息安全事件（II級）的，為較大網(wǎng)絡(luò)與信息安全事件（III級）：（1）信息系統(tǒng)中斷運行造成較嚴重影響的。（2）信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成較嚴重威脅，或?qū)е?000萬元人民幣以上的經(jīng)濟損失。（3）通過網(wǎng)絡(luò)傳播反動信息、煽動性信息、涉密信息、謠言等，對國家安全和社會穩(wěn)定構(gòu)成較嚴重危害的事件。（4）其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成較嚴重威脅、造成較嚴重影響的網(wǎng)絡(luò)與信息安全事件。除上述情形外，對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)與信息安全事件，為一般網(wǎng)絡(luò)與信息安全事件（W級）。第三章組織機構(gòu)與職責(zé)第七條領(lǐng)導(dǎo)機構(gòu)《X區(qū)突發(fā)公共事件總體應(yīng)急預(yù)案》明確，本區(qū)突發(fā)公共事件應(yīng)急管理工作由區(qū)委、區(qū)政府統(tǒng)一領(lǐng)導(dǎo)；區(qū)政府是本區(qū)突發(fā)公共事件應(yīng)急管理工作的行政領(lǐng)導(dǎo)機構(gòu)；區(qū)應(yīng)急委決定和部署本區(qū)突發(fā)公共事件應(yīng)急管理工作，其日常事務(wù)由區(qū)應(yīng)急辦負責(zé)。第八條應(yīng)急聯(lián)動機構(gòu)X區(qū)應(yīng)急聯(lián)動中心設(shè)在區(qū)公安局，作為本區(qū)突發(fā)公共事件應(yīng)急聯(lián)動先期處置的職能機構(gòu)和指揮平臺,履行應(yīng)急聯(lián)動處置較大和一般突發(fā)公共事件、組織聯(lián)動單位對特大或重大突發(fā)公共事件進行先期處置等職責(zé)。各聯(lián)動單位在各自職責(zé)范圍內(nèi)負責(zé)突發(fā)公共事件應(yīng)急聯(lián)動先期處置工作。第九條工作機構(gòu)■區(qū)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組區(qū)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組（以下簡稱區(qū)網(wǎng)安協(xié)調(diào)小組）作為本區(qū)區(qū)級議事協(xié)調(diào)機構(gòu)之一，主要負責(zé)綜合協(xié)調(diào)本區(qū)網(wǎng)絡(luò)與信息安全保障工作。區(qū)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組區(qū)網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室（以下簡稱區(qū)網(wǎng)安辦）設(shè)在區(qū)信息委，主任由區(qū)信息委主任擔(dān)任。區(qū)網(wǎng)安辦作為區(qū)網(wǎng)安協(xié)調(diào)小組的辦事機構(gòu)，主要履行以下職責(zé)：（1）負責(zé)綜合協(xié)調(diào)本區(qū)網(wǎng)絡(luò)與信息安全工作，對網(wǎng)絡(luò)與信息安全事件應(yīng)急管理工作進行指導(dǎo)、檢查和監(jiān)督；（2）具體承擔(dān)本區(qū)網(wǎng)絡(luò)與信息安全的值守應(yīng)急、信息匯總等職能，辦理和督促落實本區(qū)網(wǎng)安協(xié)調(diào)小組的決定事項；（3）組織編制、修訂本區(qū)網(wǎng)絡(luò)與信息安全相關(guān)應(yīng)急預(yù)案；（4）協(xié)調(diào)推進本區(qū)網(wǎng)絡(luò)與信息安全應(yīng)急體系建設(shè)以及應(yīng)急演練、保障和宣傳培訓(xùn)等工作。區(qū)網(wǎng)絡(luò)與信息安全事件應(yīng)急處置指揮部一旦發(fā)生重大、特別重大網(wǎng)絡(luò)與信息安全事件，必要時，網(wǎng)安協(xié)調(diào)小組轉(zhuǎn)為區(qū)網(wǎng)絡(luò)與信息安全事件應(yīng)急處置指揮部(以下簡稱區(qū)應(yīng)急處置指揮部)，統(tǒng)一組織指揮本區(qū)網(wǎng)絡(luò)與信息安全事件應(yīng)急處置行動。區(qū)計算機病毒防范服務(wù)中心(區(qū)信息安全應(yīng)急防范中心)，負責(zé)本區(qū)各類網(wǎng)絡(luò)與信息安全應(yīng)急資源的管理與調(diào)度，提供網(wǎng)絡(luò)與信息安全事件應(yīng)急處置技術(shù)支持和服務(wù)；建設(shè)和完善本區(qū)網(wǎng)絡(luò)與信息安全事件監(jiān)測預(yù)警網(wǎng)絡(luò)，發(fā)布本區(qū)相應(yīng)級別的網(wǎng)絡(luò)與信息安全事件預(yù)警信息。其他有關(guān)單位。按照“誰主管誰負責(zé)，誰運營誰負責(zé)”原則，組織實施和指導(dǎo)本系統(tǒng)、行業(yè)的網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置。專家機構(gòu)組建網(wǎng)絡(luò)與信息安全事件專家咨詢組，并與其他相關(guān)專家機構(gòu)建立聯(lián)絡(luò)機制，為應(yīng)急處置工作提供決策建議和技術(shù)指導(dǎo)，必要時參與網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置。專家顧問組的職責(zé)：在網(wǎng)絡(luò)與信息安全突發(fā)事件預(yù)防與應(yīng)急處置時，提供咨詢與建議，必要時參與值班；在制定網(wǎng)絡(luò)與信息安全應(yīng)急有關(guān)規(guī)定、預(yù)案、制度和項目建設(shè)的過程中提供參考意見；及時反映網(wǎng)絡(luò)與信息安全應(yīng)急工作中存在的問題與不足，并提出改進建議對本區(qū)網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生和發(fā)展趨勢、處置措施、恢復(fù)方案等進行研究、評估，并提出相關(guān)建議；參與網(wǎng)絡(luò)與信息安全突發(fā)事件應(yīng)急培訓(xùn)及相關(guān)教材編審等工作。第四章監(jiān)控預(yù)警第十條建立網(wǎng)絡(luò)與信息安全事件信息接收機制區(qū)信息安全應(yīng)急防范中心按照區(qū)網(wǎng)安辦的要求，分析各工作機構(gòu)上報的信息和監(jiān)測預(yù)警系統(tǒng)監(jiān)測到的信息，評估風(fēng)險等級，報區(qū)網(wǎng)安辦，并根據(jù)確定的風(fēng)險等級編制預(yù)警信息。預(yù)警信息包括網(wǎng)絡(luò)與信息安全事件的類別、預(yù)警級別、起始時間、可能影響的范圍、警示事項、應(yīng)采取的措施和發(fā)布單位等。第十一條預(yù)警事件分級根據(jù)信息預(yù)測分析結(jié)果，對可能發(fā)生的網(wǎng)絡(luò)與信息安全事件進行預(yù)警。按照網(wǎng)絡(luò)與信息安全可能造成的危害、緊急程度和發(fā)展勢態(tài)，預(yù)警級別分為四級：I級（特別嚴重）、II級（嚴重）、III級（較重）和W級（一般），依次用紅色、橙色、黃色和藍色表示。（1）1級預(yù)警（紅色）。指發(fā)現(xiàn)新的網(wǎng)絡(luò)與信息安全威脅，可能影響本區(qū)所有網(wǎng)絡(luò)和重要信息系統(tǒng)，并有擴散到全市的可能性。（2）11級預(yù)警（橙色）。指發(fā)現(xiàn)新的網(wǎng)絡(luò)與信息安全威脅，可能影響本區(qū)基礎(chǔ)運營網(wǎng)絡(luò)或2家以上重要信息系統(tǒng)的全部業(yè)務(wù)，并有繼續(xù)擴散的可能性。（3）111級預(yù)警（黃色）。指發(fā)現(xiàn)新的網(wǎng)絡(luò)與信息安全威脅，可能影響本區(qū)1至2家基礎(chǔ)運營網(wǎng)絡(luò)或1至2家重要信息系統(tǒng)的全部業(yè)務(wù)，無擴散性。（4）W級預(yù)警（藍色）。指發(fā)現(xiàn)新的網(wǎng)絡(luò)與信息安全威脅，可能影響本區(qū)1家基礎(chǔ)運營的部分網(wǎng)絡(luò)或1至2家重要信息系統(tǒng)的部分業(yè)務(wù)，無擴散性。第十二條預(yù)警事件發(fā)布區(qū)網(wǎng)安辦根據(jù)網(wǎng)絡(luò)與信息安全事件的管理權(quán)限、危害性和緊急程度，統(tǒng)一發(fā)布、調(diào)整和解除預(yù)警信息，對嚴重、特別嚴重或可能衍生其他安全事件的預(yù)警信息，應(yīng)按照區(qū)政府的決定由授權(quán)部門發(fā)布。面向信息安全重點單位的預(yù)警信息的發(fā)布、調(diào)整和解除，以電話、電子郵件、傳真等方式通知到所有相關(guān)單位以及相關(guān)的應(yīng)急響應(yīng)組織人員，所有被通知的單位和人員需要對接收到的預(yù)警信息進行確認；面向社會公眾的預(yù)警信息的發(fā)布、調(diào)整和解除可通過新聞媒體、通信、信息網(wǎng)絡(luò)或組織人員等方式進行。第五章應(yīng)急響應(yīng)第十三條響應(yīng)等級根據(jù)網(wǎng)絡(luò)與信息安全事件的可控性、嚴重程度和影響范圍，應(yīng)急響應(yīng)級別分為四級：1級、II級、III級和W級，分別對應(yīng)特別重大、重大、較大和一般網(wǎng)絡(luò)與信息安全事件。第十四條分級響應(yīng)1、11級應(yīng)急響應(yīng)。發(fā)生重大或特別重大信息安全事件，區(qū)網(wǎng)安辦、區(qū)應(yīng)急聯(lián)動中心立即報請或由區(qū)政府確定應(yīng)急響應(yīng)等級和范圍，啟動相應(yīng)應(yīng)急預(yù)案，必要時成立區(qū)應(yīng)急處置指揮部，統(tǒng)一指揮、協(xié)調(diào)有關(guān)單位和部門實施應(yīng)急處置。III、W級響應(yīng)。發(fā)生一般、較大信息安全事件，區(qū)網(wǎng)安辦會同區(qū)應(yīng)急聯(lián)動中心，組織協(xié)調(diào)區(qū)信息技術(shù)中心等專業(yè)機構(gòu)及負責(zé)處置網(wǎng)絡(luò)與信息安全事件職責(zé)的部門和單位以及事發(fā)地鎮(zhèn)政府、開發(fā)區(qū)管委會，調(diào)度所需應(yīng)急資源，協(xié)助事發(fā)單位開展應(yīng)急處置。第十五條響應(yīng)程序（1）應(yīng)急資源調(diào)配人員協(xié)調(diào)。區(qū)網(wǎng)安辦根據(jù)具體的網(wǎng)絡(luò)與信息安全事件，負責(zé)組織協(xié)調(diào)信息安全專家、網(wǎng)絡(luò)專家、信息系統(tǒng)專家等各類應(yīng)急響應(yīng)技術(shù)人員。相關(guān)權(quán)限。區(qū)網(wǎng)安辦負責(zé)明確和協(xié)調(diào)處置機構(gòu)或人員在應(yīng)急響應(yīng)過程中所需的權(quán)限。其它必要資源。區(qū)信息安全應(yīng)急防范中心根據(jù)應(yīng)急數(shù)據(jù)庫中的信息獲取處置事件所必需的資源，如網(wǎng)絡(luò)與通訊資源、計算機設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備與軟件、處置案例、解決方案等，為處置小組提供參考。（2）處置方案制訂與檢驗。處置小組制訂具體處置方案，交由區(qū)信息安全應(yīng)急防范中心組織相關(guān)工作機構(gòu)、事發(fā)單位和有關(guān)職能部門進行檢驗，檢驗結(jié)果上報區(qū)應(yīng)急處置指揮部。（3）處置決策與資源調(diào)度。區(qū)應(yīng)急處置指揮部對市信息安全應(yīng)急防范中心上報的檢驗結(jié)果進行評估，經(jīng)批準(zhǔn)后，聯(lián)絡(luò)小組及有關(guān)部門按處置方案的要求，協(xié)調(diào)、落實所需的資源。（4）實施處置。處置小組根據(jù)指揮部下達的指令，按照承擔(dān)職責(zé)和操作權(quán)限建立運行機制，執(zhí)行對網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置。第六章應(yīng)急處置第十六條信息報告與處理信息來源主要有以下三類：（1）預(yù)測預(yù)警系統(tǒng)監(jiān)測到的網(wǎng)絡(luò)與信息安全事件信息；（2）上級機構(gòu)或其他職能部門通報的網(wǎng)絡(luò)與信息安全事件信息；（3）接到來自社會和各信息安全責(zé)任單位的報告信息。網(wǎng)絡(luò)與信息安全事件發(fā)生后，事發(fā)單位、責(zé)任單位和相關(guān)工作機構(gòu)要按照相關(guān)應(yīng)急預(yù)案和報告制度，在立即組織搶險救援的同時，及時匯總信息并迅速報告上級主管部門和區(qū)網(wǎng)安辦。發(fā)生一般網(wǎng)絡(luò)與信息安全事件，事發(fā)單位必須在半小時內(nèi)向區(qū)網(wǎng)安辦值班室（設(shè)在區(qū)信息安全應(yīng)急防范中心）口頭報告，在1小時內(nèi)向區(qū)網(wǎng)安辦值班室（設(shè)在區(qū)信息安全應(yīng)急防范中心）書面報告；較大以上網(wǎng)絡(luò)與信息安全事件或特殊情況，立即報告。第十七條信息處理可按以下程序進行：（1）記錄與了解。接到網(wǎng)絡(luò)與信息安全事件報警后，要先詳細記錄該事件的細節(jié)信息，了解事件造成的損失、影響以及現(xiàn)場控制情況，并盡可能全面了解與事件有關(guān)的信息。（2）事件確認與判斷。在匯總相關(guān)信息的基礎(chǔ)上，及時判斷事件性質(zhì)，并根據(jù)判定結(jié)果，開展下一步的工作。屬于網(wǎng)絡(luò)與信息安全事件的，應(yīng)參考數(shù)據(jù)庫對該次事件做進一步的事件驗證，確認屬于網(wǎng)絡(luò)與信息安全事件的，應(yīng)進入事件分析流程。屬于誤報的，值班人員應(yīng)對該事件進行記錄和處理。對于與網(wǎng)絡(luò)與信息安全無關(guān)的事件，值班人員也應(yīng)做好記錄，并將事件轉(zhuǎn)交給相關(guān)主管機構(gòu)處理。（3）事件分析。事件確認后，根據(jù)掌握的信息，分析事件已經(jīng)造成的損失和預(yù)計損失、事件的嚴重程度和擴散性等情況。（4）準(zhǔn)備啟動應(yīng)急處置規(guī)程。市信息安全應(yīng)急防范中心根據(jù)事件分析的結(jié)果，按照網(wǎng)絡(luò)與信息安全事件等級判斷標(biāo)準(zhǔn)擬定事件等級報市網(wǎng)安辦，由市網(wǎng)安辦確定事件等級，并做好啟動相應(yīng)應(yīng)急預(yù)案處置規(guī)程的準(zhǔn)備。第十八條調(diào)查和評估區(qū)網(wǎng)安辦負責(zé)對網(wǎng)絡(luò)與信息安全事件的起因、性質(zhì)、影響、責(zé)任、經(jīng)驗教訓(xùn)和恢復(fù)重建等問題進行調(diào)查和評估，調(diào)查評估情況要向區(qū)政府報告，并通報相關(guān)單位。（1）責(zé)任確定。應(yīng)急處置工作