网络安全突发事件应急预案.docx

网络安全突发事件应急预案Ll编制目的建立健全网络安全突发事件应急组织体系和工作机制，提高网络安全突发事件综合应对能力，确保及时有效地控制、减轻和消除网络安全突发事件造成的社会危害和损失，保证持续稳定运行和数据安全。1. 2编制依据中华人民共和国突发事件应对法中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国电信条例等法律法规和国家突发公共事件总体应急预案国家网络安全事件应急预案网络安全突发事件应急预案等相关规定。1.3适用范围本预案适用于行政区域内面向社会提供服务的基础电信企业、域名注册管理和服务机构（以下简称域名机构）、互联网企业（含工业互联网平台企业）发生网络安全突发事件的应对工作。本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害或影响，需要网络安全管理部门组织采取应急处置措施予以应对的网络中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播等事件。工业和信息化部及网络安全管理部门对国家和本省重大活动期间网络安全突发事件应对工作另有规定的，从其规定。网络安全突发事件应急工作坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；落实基础电信企业、域名机构、互联网企业的主体责任；充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。1.组织体系2.1领导机构与职责在工业和信息化部网络安全应急办公室（以下简称部应急办）统一指挥下，在委网络安全和信息化领导小组办公室（以下简称省委网信办）统筹协调下，网络安全管理部门网络安全领导小组（以下简称领导小组）统一领导本省网络安全突发事件应急管理工作，负责较大网络安全突发事件的指挥和协调。2. 2办事机构与职责在部应急办和领导小组的领导下，网络安全管理部门网络安全领导小组办公室（以下简称网安办）负责本省网络安全突发事件应急管理事务性工作；及时向部应急办和领导小组报告突发事件情况，提出较大网络安全突发事件应对措施建议；负责一般网络安全突发事件的统一指挥和协调。网安办具体工作由网络安全管理部门网络安全管理处承担，有关单位应明确负责人和联络员参与相关工作。2. 3其他相关单位职责基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作，为其他单位的网络安全突发事件应对提供技术支持。网络信息安全技术管控中心、中国信息通信研究院、中国软件评测中心等网络安全专业机构受网络安全管理部门委托，协助监测、报告网络安全突发事件和预警信息，为应急工作提供决策支持和技术支撑。鼓励网络安全企业和专家学者支撑参与网络安全突发事件应对工作。1.事件分级根据社会影响范围和危害程度，网络安全突发事件分为四级：特别重大事件、重大事件、较大事件、一般事件。3.1特别重大事件符合下列情形之一的，为特别重大网络安全事件：(1)全国范围大量互联网用户无法正常上网；(2).CN国家顶级域名系统解析效率大幅下降；(3)1亿以上互联网用户信息泄露；(4)网络病毒在全国范围大面积爆发；(5)其他造成或可能造成特别重大危害或影响的网络安全事件o3.2重大事件符合下列情形之一的，为重大网络安全事件：(1)多个省大量互联网用户无法正常上网；(2)在全国范围有影响力的网站或平台访问出现严重异常；(3)大型域名解析系统访问出现严重异常；(4)1千万以上互联网用户信息泄露；(5)网络病毒在多个省范围内大面积爆发；(5)其他造成或可能造成重大危害或影响的网络安全事件。3.1较大事件符合下列情形之一的，为较大网络安全事件：(1)1个省内大量互联网用户无法正常上网；(2)在省内有影响力的网站或平台访问出现严重异常；(3)1百万以上互联网用户信息泄露；(4)网络病毒在1个省范围内大面积爆发；(5)其他造成或可能造成较大危害或影响的网络安全事件。3. 2一般事件符合下列情形之一的，为一般网络安全事件：(1) 1个地市大量互联网用户无法正常上网；(2) 10万以上互联网用户信息泄露；(3)其他造成或可能造成一般危害或影响的网络安全事件。1 .监测预警4. 1事件监测基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测，一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向网安办报告，不得迟报、谎报、瞒报、漏报。网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的网络安全突发事件信息，并及时向网安办报告。报告突发事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。4.1 预警监测基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，对发生突发事件的可能性及其可能造成的影响进行分析评估；认为可能发生突发事件的，应当立即向网安办报告。4. 2预警分级按照紧急程度、发展态势和可能造成的危害程度，网络安全突发事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。4. 3预警发布网安办及时汇总分析突发事件隐患和预警信息，必要时组织相关单位、专业技术人员、专家学者进行会商研判。红色、橙色预警由部应急办统一发布。黄色、蓝色预警由网安办报请领导小组同意后统一发布，并报部应急办，同时通报委网信办等相关部门。对达不到预警级别但又需要发布警示信息的，网安办可以发布风险提示信息。发布预警信息时，应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等，并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。4. 4预警响应4.4. 1黄色、蓝色预警响应发布黄色、蓝色预警后，网安办应当针对即将发生的网络安全突发事件的特点和可能造成的危害，采取下列措施：(1)要求有关单位、机构和人员及时收集、报告有关信息，加强网络安全风险的监测；(2)组织有关单位、机构和人员加强事态跟踪分析评估，密切关注事态发展，重要情况报部应急办和领导小组；(3)及时宣传避免、减轻危害的措施，公布咨询电话，并对相关信息的报道工作进行正确引导。4.1.1红色、橙色预警响应发布红色、橙色预警后，网安办除采取黄色、蓝色预警响应措施外，还应当在部应急办和领导小组的领导下，针对即将发生的网络安全突发事件的特点和可能造成的危害，配合采取下列措施：(1)要求各相关单位实行24小时值班，相关人员保持通信联络畅通；(2)按照部应急办制定的防范措施和应急工作方案，协调调度各方资源，做好各项准备工作，重要情况报部应急办和领导小组；(3)组织有关单位加强对重要网络、系统的网络安全防护；(4)要求相关网络安全专业机构、网络安全企业进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。4. 2预警解除红色、橙色预警由部应急办统一解除。黄色、蓝色预警发布后，网安办应当根据事态发展，报请领导小组同意后，适时调整预警级别并按照权限重新发布；经网安办组织研判确定不可能发生突发事件或风险已经解除的，报请领导小组同意后,应当及时宣布解除预警，解除已经采取的有关措施，并报部应急办，同时通报委网信办等相关部门。1.应急处置5. 1响应分级网络安全突发事件应急响应分为四级：I级、口级、In级、IV级，分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。5. 2先行处置网络安全突发事件发生后，事发单位在按照本预案规定立即向网安办报告的同时，应当立即启动本单位应急预案，组织本单位应急队伍和工作人员采取应急处置措施，尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响，同时注意保存网络攻击、网络入侵或网络病毒的证据。5. 3启动响应I级响应根据国家有关决定或经部领导小组批准后启动，II级响应由部应急办决定启动。In级响应由领导小组决定启动，并负责指挥、协调。IV级响应由网安办决定启动，并负责指挥、协调。启动I级、II级响应后，网安办在部应急办和领导小组指挥、协调下开展相关工作。启动HI级、IV级响应后，经领导小组批准，网安办立即将突发事件情况向部应急办报告；网安办和相关单位进入应急状态，实行24小时值班，相关人员保持联络畅通；网安办视情况组织相关单位集中办公，设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调等工作组。5. 1事态跟踪启动I级、II级响应后，网安办立即全面了解受影响情况，经领导小组批准后，及时报部应急办。启动HI级、IV级响应后，网安办组织相关单位加强事态跟踪研判。事发单位和网络安全专业机构、网络安全企业应当持续加强监测，及时将事态发展情况、处置进展情况、相关舆情报网安办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况，并及时报网安办。5. 2决策部署启动I级、口级响应后，网安办在部应急办和领导小组的统一指挥、协调下，组织开展相关处置工作。启动HI级、IV级响应后，领导小组或网安办紧急召开会议，听取各相关方面情况汇报，研究紧急应对措施，对应急处置工作进行决策部署。针对突发事件的类型、特点和原因，要求相关单位采取以下措施:带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等；对大规模用户信息泄露事件，要求事发单位及时告知受影响的用户，并告知用户减轻危害的措施；防止发生次生、衍生事件的必要措施；其他可以控制和减轻危害的措施。做好信息报送。经领导小组批准，及时向部应急办报告突发事件处置进展情况；视情况由网安办向委网信办等相关部门通报突发事件有关情况，必要时向部应急办和委网信办等相关部门请求提供支援。注重信息发布。及时向社会公众通告突发事件情况，宣传避免或减轻危害的措施，公布咨询电话，引导社会舆论。未经领导小组或网安办同意，各相关单位不得擅自向社会发布突发事件相关信息。5. 1结束响应突发事件的影响和危害得到控制或消除后，I级响应根据国家有关决定或经部领导小组批准后结束;II级响应由部应急办决定结束；HI级、IV级响应由领导小组或网安办决定结束，并报部应急办，同时通报委网信办等相关部门。1.事后总结6.1调查评估网络安全突发事件应急响应结束后，事发单位要及时调查突发事件的起因（包括直接原因和间接原因）、经过、责任，评估突发事件造成的影响和损失，总结突发事件防范和应急处置工作的经验教训I,提出处理意见和改进措施，在应急响应结束后10个工作日内形成总结报告，报网安办。网安办汇总并研究后，在应急响应结束后20个工作日内形成报告，经领导小组批准，报部应急办。6.2奖惩问责对在应急事件响应过程中做出突出贡献的单位和个人，网络安全管理部门给予表彰和奖励。对不按照规定制定应急预案和组织开展演练，迟报、谎报、瞒报和漏报突发事件重要情况，或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人，由网络安全管理部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业年度网络与信息安全责任考核。1.预防与应急准备7.1预防保护基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定，建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。网络安全管理部门依法开展网络安全监督检查，指导督促相关单位消除安全隐患。7.2