1  总则    

  1.1  编制目的  

  建立健全高新区网络与信息安全事件应急工作机制，提高应对网络与信息安全事件的处置能力，预防和减少网络与信息安全事件造成的危害和损失，维护信息安全和社会稳定。  

  1.2  编制依据  

  依据《中华人民共和国突发事件应对法》、《山西省信息化条例》等法律法规，《国家网络与信息安全事件应急预案》、《信息安全事件分类分级指南》（GB/Z20986-2007）、《山西省人民政府突发公共事件总体应急预案》、《山西省网络与信息安全事件应急预案》、《长治市人民政府突发公共事件总体应急预案》等相关规定，制定本预案。  

  1.3  适用范围    

  本预案适用于高新区范围内发生的网络与信息安全事件的预防和应急处置工作。国家有关法律法规、规章对信息内容安全事件的预防和处置工作另有规定的，依照其规定执行。  

  1.4  分级分类  

  网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等六类：  

  （1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。  

  （2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。  

  （3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。  

  （4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。  

  （5）设备设施故障事件分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。  

  （6）灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。  

根据网络与信息安全事件的可控性、严重程度和影响范围，将网络与信息安全事件分为四级：特别重大（I级）、重大（II级）、较大（III级）、一般（IV级）。国家有关法律法规有明确规定的，按国家有关规定执行。  

  1.5  工作原则  

  在高新区管委会的统一领导下，坚持统一指挥、密切协同、快速反应、科学处置；坚持预防与应急相结合，以预防为主；坚持谁主管谁负责、谁运行谁负责的原则，充分发挥各方面的力量，共同做好网络与信息安全事件的预防和处置工作。  

  2  组织指挥体系与职责  

  2.1  高新区网络与信息安全事件应急指挥部及职责  

  高新区管委会设立区网络与信息安全事件应急指挥部（以下简称“区网安应急指挥部”），指挥长由高新区分管网络与信息安全工作的常务副主任担任，副指挥长由办公室主任担任，成员由指挥部各成员单位有关负责人担任。其主要职责是：按照国家、省、市网络与信息安全应急机构的要求开展处置工作；研究决定全区网络与信息安全应急工作的有关重大问题，指导、检查、督促各级各有关部门开展网络与信息安全突发事件应急处置工作；决定网络信息安全突发事件应急预案的启动，组织力量对突发事件进行处置；负责向省、市人民政府及有关部门和高新区管委会报告事件基本情况、事态变化情况、应急处置情况等信息，适时向社会公布有关信息。  

  2.2  区网安应急指挥部成员单位及职责  

  区网安应急指挥部成员单位根据网络与信息安全事件的性质和应急处置工作的需要确定,主要单位是高新区管委会办公室、高新区信息中心 。  

高新区管委会办公室：负责行政辖区内自建自管信息系统网络与信息安全事件的预防、监测、报告和应急处置工作，并配合有关部门做好本行政区域内其他网络与信息安全事件的处置工作。  

    高新区信息中心：负责指导监督检查基础电信运营企业做好基础信息网络的安全防范工作，组织协调电信行业开展处置恢复工作；配合有关部门监测发现网络与信息安全事件，包括监测互联网、手机短信、固定电话传播特定有害、敏感信息等事件，并按有关规定具体实施管控措施；协调基础电信运营企业为信息系统的正常运行提供基础网络保障。  

    其他涉及网络和信息安全的单位（部门）按照职责和应急处置需要，做好网络与信息安全事件应急处置的相关工作。    

  2.3区网安应急指挥部办公室  

    区网安应急指挥部下设办公室在信息中心，办公室主任由信息中心主任担任，网络与信息安全突发事件发生后，管委会办公室、宣传部等相关单位抽调人员参与办公室工作。其主要工作职责是：承担区网安应急指挥部日常工作，负责协调联络省、市、区有关部门；掌握全区网络与信息安全事件动态，接收各级各有关部门的预测预警信息，分析研判网络与信息安全事件发展态势，提出具体的应急处置方案和措施，执行区网安应急指挥部决策部署；汇总、上报网络与信息安全事件应对工作情况，监督检查和指导相关地区、部门开展网络与信息安全突发事件应对工作；牵头编制修订区网络与信息安全事件应急预案，并负责组织预案演练实施；完成区网安应急指挥部和上级交办的其他工作。  

  2.4  应急管理专家组  

  高新区管委会聘请有关专家组成区网络与信息安全事件应急管理专家组（以下简称“专家组”），专家组由区网安应急办负责组建和管理。其主要职责是：参与网络与信息安全事件应急处置工作，为高新区管委会和区网安应急指挥部决策提供技术支持。  

  3  监测与预警  

  3.1  信息监测    

高新区管委会办公室、区信息中心、区公安局、以及各重要信息系统主管部门是信息监测与报告的责任主体，共同承担我区网络与信息安全监测预警工作。各有关部门要加强对电子政务外网、基础信息网络、重要工业控制系统、涉及民生的公益性网络的安全监测和预警机制建设，建立健全网络与信息安全事件监测、报告和通报制度，充分利用相关部门已有的监测平台，开展网络与信息安全日常监测、信息通报和交流会商等相关工作。  

  3.2  预警级别的确定与发布  

  根据危害程度、紧急程度和发展态势，网络与信息安全事件预警等级共分为四级：特别严重（Ⅰ级）、严重（Ⅱ级）、较重（Ⅲ级）、一般（Ⅳ级），依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般的网络与信息安全事件。蓝色预警信息由管委会批准后发布；较重及以上预警信息的发布，按照《山西省网络与信息安全事件应急预案》的要求执行，由管委会报请省、市政府或有关部门批准后发布。  

  3.3  预警响应措施  

  预警信息发布后，各级各有关部门应采取以下措施：  

  （1）启动应急工作机制，加强部门联防联控；  

  （2）有关单位（部门）、专业机构做好事件相关信息监测、预测，评估事件发展趋势；  

  （3）公布热线电话、电子邮箱等公众沟通渠道，安排专业人员值守；    

  （4）及时发布避免、减轻事件危害的科学常识和有关部门处置事件的相关信息；    

  （5）监测管理社会舆情，引导社会舆论，疏导社会情绪。  

  当省、市发布黄色、橙色、红色预警时，还应采取以下措施：  

  （1）责令网络与信息安全应急队伍进入紧急状态，动员后备队伍做好应急准备；    

  （2）发布网络与信息安全应急物资准备动员指令，检查调试有关物资、设备；  

  （3）采取隔离或停用相关网络等强制管制措施，控制事态扩大。  

  3.4  预警解除  

  较大及以上网络与信息安全事件预警信息的解除，由区网安应急指挥部报省、市相关部门批准后发布，一般网络与信息安全事件预警信息的解除，由区网安应急办根据实际情况提出建议，报管委会审批后发布，并报市政府。  

  4  应急处置  

  4.1  信息报告  

  任何单位和个人都有义务向网络与信息安全主管部门报告网络与信息安全事件及其隐患。网络与信息安全事件发生后，各部门和单位在做好先期处置的同时应立即组织研判，注意保存证据，做好信息报送工作。Ⅰ级、Ⅱ级、Ⅲ级网络与信息安全事件， 30分钟内将信息上报管委会应急办、高新区信息中心。Ⅳ级网络与信息安全事件，1小时内将信息上报管委会应急办、信息中心。  

  发生一般网络与信息安全事件后，管委会应急办、信息中心应在事件发生后2小时内，及时向市政府及有关部门报送信息；发生较大及以上网络与信息安全事件后，管委会应急办、信息中心应在事件发生后1小时内，及时向省、市政府及有关部门报送信息。  

  4.2  应急响应  

  4.2.1  先期处置  

  （1）当发生网络与信息安全突发公共事件时，事发地政府应做好先期应急处置工作，立即采取措施控制事态，同时向管委会应急办、信息中心报告，并及时向相关区级主管部门通报。  

  （2）各网络与信息系统主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展动态。一般突发事件，由各主管部门自行负责应急处置工作，有关情况报区应急办、信息中心、区公安分局。区应急办、区信息中心、区公安分局在接到发生或可能发生较大及以上网络与信息安全突发公共事件时，要为区网安应急指挥部处置工作提出建议方案，并做好启动本预案的各项准备工作。各主管部门要根据网络与信息安全突发公共事件的发展态势，视情决定赶赴现场指导、组织派遣应急支援力量，支持事发地做好应急处置工作。  

    4.2.2  响应程序  

  （1）准确分析研判网络与信息安全事件性质、发展趋势，发生网络与信息安全事件时，立即进入应急工作状态；建立紧急情况报告和值班制度，全天24小时监测网络与信息安全事件动态，并按信息报送的相关规定及时报告省、市人民政府及有关部门，必要时发出紧急支援请求。  

  （2）及时采取应急措施，组织协调有关部门按照职责分工，做好网络与信息安全事件应急处置工作。  

  （3）及时向社会公布有关信息，引导网络舆情，维护社会公共秩序，确保社会稳定。    

  （4）迅速执行省、市人民政府及有关部门下达的各项指令。  

  4.2.3  应急处置  

  （1）启动指挥体系  

  ①区网安应急指挥部进入应急状态，履行应急处置工作的统一领导、指挥、协调职责。根据区网安应急指挥部的统一部署，担任总指挥的领导和参与指挥的有关部门领导迅速赶赴相应的指挥平台，进入指挥岗位，启动指挥系统。区网安应急指挥部成员保持24小时联络畅通，区网安应急指挥部办公室安排人员24小时值班。  

  ②相关部门和单位进入应急状态，在区网安应急指挥部的统一领导、指挥、协调下，负责本地区、本部门、本单位应急处置工作或支援保障工作，24小时值班，并派出人员参加区网安应急指挥部办公室工作。  

  ③需要成立现场指挥部的，应立即在现场设立指挥部，现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。现场指挥部在区网安应急指挥部的领导下全权负责现场的应急救援工作。区主管部门负责发生突发公共事件的网络与信息系统的现场应急处置工作。  

  （2）掌握事件动态    

  ①建立联系网络：要迅速建立与现场指挥的通信联系。要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，调集和配置应急处置所需的人、财、物等资源，统一指挥全区网络与信息安全应急处置工作。  

  ②跟踪事态发展。有关部门及时将事态发展变化情况和处置进展情况，报区网安应急办。  

  ③检查影响范围。信息系统主管部门立即全面了解本部门主管范围内的信息系统是否受到事件的波及或影响，并将有关情况及时报区网安应急办。  

  ④及时通报情况。区网安应急办负责汇总上述有关情况，重大事项及时报区网安应急指挥部和管委会，并通报区网安应急指挥部各成员单位。  

  （3）决策部署  

  区网安应急指挥部组织成员单位以及专家组和应急技术支撑队伍等，及时研究对策意见，对应对工作进行决策部署。    

  （4）处置实施    

  发生信息安全突发事件的部门要按预案要求及区网安应急指挥部做出的决定，开展应急处置工作。  

  ①尽最大可能收集事件相关信息，正确定位威胁和安全事件的来源，缩短响应时间。  

  ②检查威胁造成的结果：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，再次侵入的可能性，损失的程度，确定暴露出的主要危险等。  

  ③抑制事件影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊防卫状态安全警戒，反击攻击者的系统等。  

  ④在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确响应的补救措施并彻底清除。与此同时，对攻击源进行定位并采取措施将其中断。  

  ⑤恢复数据、程序、服务、系统。清理系统，把所有被攻击的系统和网络设备彻底还原到正常的任务状态。恢复中涉及机密数据，需要严格遵照机密系统的恢复要求。  

  ⑥调查取证。事发单位在应急恢复过程中应尽量保留相关证据，对于人为破坏活动，公安局负责组织开展侦查和调查工作，并及时向区网安应急指挥部办公室通报有关情况。  

  ⑦信息发布。宣传部门和事件主管部门根据区网安应急指挥部意见，组织做好对外信息发布工作，对受影响的公众进行解释、疏导。未经批准，其他部门和单位不得发布相关信息。  

  （5）分类处置措施  

  ①有害程序事件。对病毒及破坏性程序蔓延的，由区网安应急办协调公安、通信管理等部门组织专门力量进行处置，相关网络运营商和信息系统建设管理单位配合，分析病毒，保护现场，必要时切断相关网络连接。各有关部门依据案件管辖分工，对有害程序事件依法开展调查处理，追究有关人员法律责任，并责成责任单位采取技术手段，清除有害程序，恢复受影响主机的正常运行。  

  ②网络攻击事件。区网安应急办协调公安、通信管理等部门组织专门力量，相关网络运营商、发生事件的信息系统建设管理责任单位积极配合，通过入侵检测和安全审计等方法确定攻击方法，采取措施保护现场，阻止攻击行为进一步造成危害。组织人员对现场进行全面勘查取证，查明网络攻击来源。各有关部门依据案件管辖分工，对网络攻击事件依法开展调查处理，追究有关人员法律责任。  

    ③信息破坏事件。区网安应急办协调公安、通信管理部门组织专门的力量对被泄露、窃取和丢失的秘密信息进行鉴定，确定信息的密级，确定泄密事件的性质。案件查办人员对现场进行全面勘查取证，分析判断，查明泄密的渠道，确定窃密对象。各有关部门依据案件管辖分工，对泄密事件开展侦查，追究有关人员法律责任，责成发生事件的信息系统建设管理责任单位采取有效措施，阻断泄密渠道。  

  ④信息内容安全事件。区网安应急办协调有关部门及网络运营商和信息系统建设管理责任单位等部门进行查处。  

  ⑤设备设施故障。区网安应急办协调有关部门及网络运营商组织专门力量，信息系统建设管理责任单位配合，及时修复设备故障，不能修复的设备，信息系统建设管理责任单位要立即进行更换，保障网络的畅通和重要信息系统的正常运行。各有关部门依据案件管辖分工，组织人员对设备设施故障现场进行全面勘查取证，查明设备设施故障的原因。在查明事件原因后，涉及违法犯罪的，由公安等部门依据案件管辖分工，依法开展调查处理工作，追究有关人员法律责任。  

  ⑥灾害性事件。区网安应急办协调有关部门组织专门力量，相关网络运营商和发生事件的信息系统建设管理单位配合，对主干通信网络和重要网络信息系统的受损情况进行调查，并组织专家对灾害性事件进行评估，充分评估涉及单位、人员范围和社会影响。评估后，相关网络运营商和发生事件的信息系统建设管理单位应尽快恢复信息系统的正常运行。  

  4.3  扩大应急或请求增援  

  经应急处置后，事态难以控制或有扩大蔓延趋势时，应实施扩大应急行动或请求增援。要迅速召开区网安应急指挥部会议或由网安应急指挥部负责人根据事态情况，研究采取有利于控制事态的非常措施，并向管委会请求增援。  

  4.4  应急响应终止  

  4.3.1  应急响应终止条件。符合下列条件之一的，即满足应急响应终止条件：信息系统恢复正常运行，数据丢失或被窃取、篡改、假冒等情况已被制止；网络传播的不良信息被删除，网络舆情得到有效控制；对国家安全、社会秩序、经济建设和公众利益构成威胁的危险因素已被消除。  

  4.3.2  应急响应终止程序。网络与信息安全事件应急响应终止按以下程序实施：特别重大（Ⅰ级）网络与信息安全事件影响消除后，由省政府决定解除或结束应急处置工作；重大（Ⅱ级）网络与信息安全事件影响消除后，由省网安应急指挥部指挥长决定解除或结束应急处置工作；较大（Ⅲ级）网络与信息安全事件影响消除后，由市政府决定解除或结束应急处置工作；一般（Ⅳ级）网络与信息安全事件影响消除后，由管委会决定解除或结束应急处置工作，并向市政府报告。  

  5  后期处置  

  5.1  善后处理  

  （1）在应急处置工作结束后，事发地和有关单位（部门）要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报区网安应急办。    

  （2）积极鼓励和利用社会资源进行救济援助，充分发动社会各方面的力量，积极开展自救互助。要加强监督力度，确保政府、社会救助资金和物资的公开、公正和合理使用。  

  5.2  调查评估  

  在应急处置工作结束后，区主管部门应立即协调有关人员和专家组成事件调查组，在事发地及其有关部门的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报区应急办、区网安应急办，并根据有关规定，对有关责任人员作出处理。  

  6  保障措施    

    6.1  技术支撑保障    

  信息中心会同有关部门建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力，从技术上逐步建立监测、预警、处置、报告、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。  

  6.2  队伍保障  

  建立我区网络与信息安全应急专家组，为网络与信息安全事件的预防和处置提供技术咨询，充分发挥专家在科学决策中的作用。各级各有关部门要不断加强信息安全人才培养，进一步强化信息安全宣传教育，努力建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识。  

  6.3  装备保障  

  各重要网络与信息系统的业主单位在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全突发公共事件发生时，由区网安应急办负责统一调用。  

  6.4  数据保障  

  重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。  

  6.5  经费保障  

  有关部门和单位利用现有政策和资金渠道，支持网络与信息安全应急专业队伍建设、基础平台建设、情报力量建设、技术研发、预案演练等工作开展。各相关部门为网络与信息安全应急工作提供必要的经费保障。  

  6.6  治安保障  

  当网络与信息安全突发公共事件造成或可能造成严重社会治安问题时，区公安局根据有关预案，指导和支持现场治安保障工作，统一协调和指挥，做好治安应急保障工作。  

  7  监督管理  

  7.1  宣传和培训    

  各级各有关部门要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律、法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。要完善相应的教育学习材料，普遍开展信息安全教育，及时向社会和公众公布有关信息网络突发公共事件应急预案、报警电话等。  

  各级各有关部门要将网络与信息安全事件的应急知识等列为行政管理干部和有关人员的培训内容，加强网络与信息安全特别是网络与信息安全应急预案的培训，提高防范意识及技能。      

  7.2  预案演练  

  信息中心每年定期组织一至二次网络与信息安全事件应急预案演练，检验预案、磨合机制、锻炼队伍、教育公众，提高应对网络与信息安全事件的处置能力。各级各有关部门要充分结合部门实际，每年至少组织开展一次本行业的预案演练工作，并将预案演练方案、简报、影像资料等报送区应急办。  

  7.3  奖励和责任追究  

  7.3.1  奖励  

  在网络与信息安全事件应急处置工作中，有下列突出表现的单位和个人，由有关部门给予表彰和奖励：  

  （1）出色完成应急处置任务的；  

  （2）对防止或避免网络与信息安全事件有功，消除或减轻了对国家安全、社会秩序、经济建设和公众利益造成的危害的；  

  （3）对网络与信息安全事件应急准备与响应提出重大建议，实施效果显著的；  

  （4）有其他突出贡献的。  

  7.3.2  责任追究  

  在网络与信息安全事件应急工作中，有下列行为之一的，按照情节轻重和危害后果，对直接责任人及单位主要负责人给予相应的行政处分，对有关单位给予通报批评；违反法律法规的，由有关部门依法予以处罚；构成犯罪的，由司法机关依法追究刑事责任。    

  （1）不认真履行法律法规，引发网络与信息安全事件的；  

  （2）不按规定报告、通报网络与信息安全事件真实情况的；    

  （3）拒不执行网络与信息安全事件应急预案，不服从命令和指挥，或者在网络与信息安全事件应急响应时擅离职守的；    

  （4）盗窃、贪污、挪用网络与信息安全事件应急工作资金、物资装备的；    

  （5）阻碍网络与信息安全事件应急工作人员依法执行任务或进行破坏活动的；  

  （6）通过网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会秩序构成危害的；  

  （7）对网络与信息安全事件应急工作造成危害的其他行为。  

  8  附则  

  8.1  预案管理与更新  

  本预案由信息中心牵头制定和管理，报管委会审批发布，根据实施中发现的问题和出现的新情况，及时组织管委会有关部门、有关专家进行评估，修订完善本预案。  

  8.2  预案解释部门  

  本预案由信息中心负责解释。  

  8.3  预案实施时间    

  本预案自印发之日起施行。