國家網絡安全事件應急預案

1 總則
1.1 編製目的
建立健全國家網絡安全事件應急工作機製 ，提高應對網絡安全事件能力 ，預防和減少網絡安全事件造成的損失和危害 ，保護公眾利益 ，維護國家安全 、公共安全和社會秩序 。
1.2 編製依據
《中華人民共和國突發事件應對法》 、《中華人民共和國網絡安全法》 、《國家突發公共事件總體應急預案》 、《突發事件應急預案管理辦法》和《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007）等相關規定 。
1.3 適用範圍
本預案所指網絡安全事件是指由於人為原因 、軟硬件缺陷或故障 、自然災害等 ，對網絡和信息係統或者其中的數據造成危害 ，對社會造成負麵影響的事件 ，可分為有害程序事件 、網絡攻擊事件 、信息破壞事件 、信息內容安全事件 、設備設施故障 、災害性事件和其他事件 。
本預案適用於網絡安全事件的應對工作 。其中 ，有關信息內容安全事件的應對 ，另行製定專項預案 。
1.4 事件分級
網絡安全事件分為四級 ：特別重大網絡安全事件 、重大網絡安全事件 、較大網絡安全事件 、一般網絡安全事件 。
（1）符合下列情形之一的 ，為特別重大網絡安全事件 ：
①重要網絡和信息係統遭受特別嚴重的係統損失 ，造成係統大麵積癱瘓 ，喪失業務處理能力 。
②國家秘密信息 、重要敏感信息和關鍵數據丟失或被竊取 、篡改 、假冒 ，對國家安全和社會穩定構成特別嚴重威脅 。
③其他對國家安全 、社會秩序 、經濟建設和公眾利益構成特別嚴重威脅 、造成特別嚴重影響的網絡安全事件 。
（2）符合下列情形之一且未達到特別重大網絡安全事件的 ，為重大網絡安全事件 ：
①重要網絡和信息係統遭受嚴重的係統損失 ，造成係統長時間中斷或局部癱瘓 ，業務處理能力受到極大影響 。
②國家秘密信息 、重要敏感信息和關鍵數據丟失或被竊取 、篡改 、假冒 ，對國家安全和社會穩定構成嚴重威脅。
③其他對國家安全 、社會秩序 、經濟建設和公眾利益構成嚴重威脅 、造成嚴重影響的網絡安全事件 。
（3）符合下列情形之一且未達到重大網絡安全事件的 ，為較大網絡安全事件 ：
①重要網絡和信息係統遭受較大的係統損失 ，造成係統中斷 ，明顯影響係統效率 ，業務處理能力受到影響 。
②國家秘密信息 、重要敏感信息和關鍵數據丟失或被竊取 、篡改 、假冒 ，對國家安全和社會穩定構成較嚴重威脅 。
③其他對國家安全 、社會秩序 、經濟建設和公眾利益構成較嚴重威脅 、造成較嚴重影響的網絡安全事件 。
（4）除上述情形外 ，對國家安全 、社會秩序 、經濟建設和公眾利益構成一定威脅 、造成一定影響的網絡安全事件 ，為一般網絡安全事件 。
1.5 工作原則
堅持統一領導 、分級負責 ；堅持統一指揮 、密切協同 、快速反應 、科學處置 ；堅持預防為主 ，預防與應急相結合 ；堅持誰主管誰負責 、誰運行誰負責 ，充分發揮各方麵力量共同做好網絡安全事件的預防和處置工作 。
2 組織機構與職責
2.1 領導機構與職責
在中央網絡安全和信息化領導小組（以下簡稱“領導小組”）的領導下 ，中央網絡安全和信息化領導小組辦公室（以下簡稱“中央網信辦”）統籌協調組織國家網絡安全事件應對工作 ，建立健全跨部門聯動處置機製 ，工業和信息化部 、公安部 、國家保密局等相關部門按照職責分工負責相關網絡安全事件應對工作 。必要時成立國家網絡安全事件應急指揮部（以下簡稱“指揮部”） ，負責特別重大網絡安全事件處置的組織指揮和協調 。
2.2 辦事機構與職責
國家網絡安全應急辦公室（以下簡稱“應急辦”）設在中央網信辦 ，具體工作由中央網信辦網絡安全協調局承擔 。應急辦負責網絡安全應急跨部門 、跨地區協調工作和指揮部的事務性工作 ，組織指導國家網絡安全應急技術支撐隊伍做好應急處置的技術支撐工作 。有關部門派負責相關工作的司局級同誌為聯絡員 ，聯絡應急辦工作 。
2.3 各部門職責
中央和國家機關各部門按照職責和權限 ，負責本部門 、本行業網絡和信息係統網絡安全事件的預防 、監測 、報告和應急處置工作 。
2.4 各省（區 、市）職責
各省（區 、市）網信部門在本地區黨委網絡安全和信息化領導小組統一領導下 ，統籌協調組織本地區網絡和信息係統網絡安全事件的預防 、監測 、報告和應急處置工作 。
3 監測與預警
3.1 預警分級
網絡安全事件預警等級分為四級 ：由高到低依次用紅色 、橙色 、黃色和藍色表示 ，分別對應發生或可能發生特別重大 、重大 、較大和一般網絡安全事件 。
3.2 預警監測
各單位按照“誰主管誰負責 、誰運行誰負責”的要求 ，組織對本單位建設運行的網絡和信息係統開展網絡安全監測工作 。重點行業主管或監管部門組織指導做好本行業網絡安全監測工作 。各省（區、市）網信部門結合本地區實際 ，統籌組織開展對本地區網絡和信息係統的安全監測工作 。各省（區 、市） 、各部門將重要監測信息報應急辦 ，應急辦組織開展跨省（區 、市） 、跨部門的網絡安全信息共享 。
3.3 預警研判和發布
各省（區 、市） 、各部門組織對監測信息進行研判 ，認為需要立即采取防範措施的 ，應當及時通知有關部門和單位 ，對可能發生重大及以上網絡安全事件的信息及時向應急辦報告 。各省（區、市） 、各部門可根據監測研判情況 ，發布本地區 、本行業的橙色及以下預警 。
應急辦組織研判 ，確定和發布紅色預警和涉及多省（區 、市） 、多部門 、多行業的預警。
預警信息包括事件的類別 、預警級別 、起始時間 、可能影響範圍 、警示事項 、應采取的措施和時限要求 、發布機關等 。
3.4 預警響應
3.4.1 紅色預警響應
（1）應急辦組織預警響應工作 ，聯係專家和有關機構 ，組織對事態發展情況進行跟蹤研判 ，研究製定防範措施和應急工作方案 ，協調組織資源調度和部門聯動的各項準備工作 。
（2）有關省（區 、市） 、部門網絡安全事件應急指揮機構實行24小時值班 ，相關人員保持通信聯絡暢通 。加強網絡安全事件監測和事態發展信息搜集工作 ，組織指導應急支撐隊伍 、相關運行單位開展應急處置或準備 、風險評估和控製工作 ，重要情況報應急辦 。
（3）國家網絡安全應急技術支撐隊伍進入待命狀態 ，針對預警信息研究製定應對方案 ，檢查應急車輛 、設備 、軟件工具等 ，確保處於良好狀態 。
3.4.2 橙色預警響應
（1）有關省（區 、市） 、部門網絡安全事件應急指揮機構啟動相應應急預案 ，組織開展預警響應工作 ，做好風險評估 、應急準備和風險控製工作 。
（2）有關省（區 、市） 、部門及時將事態發展情況報應急辦 。應急辦密切關注事態發展 ，有關重大事項及時通報相關省（區 、市）和部門 。
（3）國家網絡安全應急技術支撐隊伍保持聯絡暢通 ，檢查應急車輛 、設備 、軟件工具等 ，確保處於良好狀態。
3.4.3 黃色 、藍色預警響應
有關地區 、部門網絡安全事件應急指揮機構啟動相應應急預案 ，指導組織開展預警響應。
3.5 預警解除
預警發布部門或地區根據實際情況 ，確定是否解除預警 ，及時發布預警解除信息 。
4 應急處置
4.1 事件報告
網絡安全事件發生後 ，事發單位應立即啟動應急預案 ，實施處置並及時報送信息 。各有關地區 、部門立即組織先期處置 ，控製事態 ，消除隱患 ，同時組織研判 ，注意保存證據 ，做好信息通報工作 。對於初判為特別重大 、重大網絡安全事件的 ，立即報告應急辦 。
4.2 應急響應
網絡安全事件應急響應分為四級 ，分別對應特別重大、重大 、較大和一般網絡安全事件 。I級為最高響應級別 。
4.2.1 Ⅰ級響應
屬特別重大網絡安全事件的 ，及時啟動I級響應 ，成立指揮部 ，履行應急處置工作的統一領導 、指揮 、協調職責 。應急辦24小時值班 。
有關省（區 、市） 、部門應急指揮機構進入應急狀態 ，在指揮部的統一領導 、指揮 、協調下 ，負責本省（區 、市） 、本部門應急處置工作或支援保障工作 ，24小時值班 ，並派員參加應急辦工作 。
有關省（區 、市） 、部門跟蹤事態發展 ，檢查影響範圍 ，及時將事態發展變化情況 、處置進展情況報應急辦 。指揮部對應對工作進行決策部署 ，有關省（區 、市）和部門負責組織實施 。
4.2.2 Ⅱ級響應
網絡安全事件的Ⅱ級響應 ，由有關省（區 、市）和部門根據事件的性質和情況確定 。
（1）事件發生省（區 、市）或部門的應急指揮機構進入應急狀態 ，按照相關應急預案做好應急處置工作 。
（2）事件發生省（區 、市）或部門及時將事態發展變化情況報應急辦。應急辦將有關重大事項及時通報相關地區和部門 。
（3）處置中需要其他有關省（區 、市） 、部門和國家網絡安全應急技術支撐隊伍配合和支持的 ，商應急辦予以協調 。相關省（區 、市） 、部門和國家網絡安全應急技術支撐隊伍應根據各自職責 ，積極配合 、提供支持 。
（4）有關省（區 、市）和部門根據應急辦的通報 ，結合各自實際有針對性地加強防範 ，防止造成更大範圍影響和損失 。
4.2.3 Ⅲ級 、Ⅳ級響應
事件發生地區和部門按相關預案進行應急響應 。
4.3 應急結束
4.3.1 Ⅰ級響應結束
應急辦提出建議 ，報指揮部批準後 ，及時通報有關省（區 、市）和部門 。
4.3.2 Ⅱ級響應結束
由事件發生省（區 、市）或部門決定 ，報應急辦 ，應急辦通報相關省（區 、市）和部門 。
5 調查與評估
特別重大網絡安全事件由應急辦組織有關部門和省（區 、市）進行調查處理和總結評估 ，並按程序上報 。重大及以下網絡安全事件由事件發生地區或部門自行組織調查處理和總結評估 ，其中重大網絡安全事件相關總結調查報告報應急辦 。總結調查報告應對事件的起因 、性質 、影響 、責任等進行分析評估 ，提出處理意見和改進措施 。
事件的調查處理和總結評估工作原則上在應急響應結束後30天內完成。
6 預防工作
6.1 日常管理
各地區 、各部門按職責做好網絡安全事件日常預防工作 ，製定完善相關應急預案 ，做好網絡安全檢查 、隱患排查 、風險評估和容災備份 ，健全網絡安全信息通報機製 ，及時采取有效措施 ，減少和避免網絡安全事件的發生及危害 ，提高應對網絡安全事件的能力 。
6.2 演練
中央網信辦協調有關部門定期組織演練 ，檢驗和完善預案 ，提高實戰能力 。
各省（區 、市） 、各部門每年至少組織一次預案演練 ，並將演練情況報中央網信辦 。
6.3 宣傳
各地區 、各部門應充分利用各種傳播媒介及其他有效的宣傳形式 ，加強突發網絡安全事件預防和處置的有關法律 、法規和政策的宣傳 ，開展網絡安全基本知識和技能的宣傳活動 。
6.4 培訓
各地區、各部門要將網絡安全事件的應急知識列為領導幹部和有關人員的培訓內容 ，加強網絡安全特別是網絡安全應急預案的培訓 ，提高防範意識及技能 。
6.5 重要活動期間的預防措施
在國家重要活動 、會議期間 ，各省（區 、市） 、各部門要加強網絡安全事件的防範和應急響應 ，確保網絡安全 。應急辦統籌協調網絡安全保障工作 ，根據需要要求有關省（區 、市） 、部門啟動紅色預警響應 。有關省（區 、市） 、部門加強網絡安全監測和分析研判 ，及時預警可能造成重大影響的風險和隱患 ，重點部門 、重點崗位保持24小時值班 ，及時發現和處置網絡安全事件隱患 。
7 保障措施
7.1 機構和人員
各地區 、各部門 、各單位要落實網絡安全應急工作責任製 ，把責任落實到具體部門 、具體崗位和個人 ，並建立健全應急工作機製 。
7.2 技術支撐隊伍
加強網絡安全應急技術支撐隊伍建設 ，做好網絡安全事件的監測預警 、預防防護 、應急處置 、應急技術支援工作 。支持網絡安全企業提升應急處置能力 ，提供應急技術支援 。中央網信辦製定評估認定標準 ，組織評估和認定國家網絡安全應急技術支撐隊伍 。各省（區 、市）、各部門應配備必要的網絡安全專業技術人才 ，並加強與國家網絡安全相關技術單位的溝通 、協調 ，建立必要的網絡安全信息共享機製 。
7.3 專家隊伍
建立國家網絡安全應急專家組 ，為網絡安全事件的預防和處置提供技術谘詢和決策建議。各地區 、各部門加強各自的專家隊伍建設 ，充分發揮專家在應急處置工作中的作用 。
7.4 社會資源
從教育科研機構 、企事業單位 、協會中選拔網絡安全人才 ，匯集技術與數據資源 ，建立網絡安全事件應急服務體係 ，提高應對特別重大 、重大網絡安全事件的能力 。
7.5 基礎平台
各地區 、各部門加強網絡安全應急基礎平台和管理平台建設 ，做到早發現 、早預警 、早響應 ，提高應急處置能力 。
7.6 技術研發和產業促進
有關部門加強網絡安全防範技術研究 ，不斷改進技術裝備 ，為應急響應工作提供技術支撐 。加強政策引導 ，重點支持網絡安全監測預警 、預防防護 、處置救援 、應急服務等方向 ，提升網絡安全應急產業整體水平與核心競爭力 ，增強防範和處置網絡安全事件的產業支撐能力 。
7.7 國際合作
有關部門建立國際合作渠道 ，簽訂合作協定 ，必要時通過國際合作共同應對突發網絡安全事件 。
7.8 物資保障
加強對網絡安全應急裝備 、工具的儲備 ，及時調整 、升級軟件硬件工具 ，不斷增強應急技術支撐能力 。
7.9 經費保障
財政部門為網絡安全事件應急處置提供必要的資金保障 。有關部門利用現有政策和資金渠道 ，支持網絡安全應急技術支撐隊伍建設 、專家隊伍建設 、基礎平台建設 、技術研發 、預案演練 、物資保障等工作開展 。各地區 、各部門為網絡安全應急工作提供必要的經費保障 。
7.10 責任與獎懲
網絡安全事件應急處置工作實行責任追究製 。
中央網信辦及有關地區和部門對網絡安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰和獎勵 。
中央網信辦及有關地區和部門對不按照規定製定預案和組織開展演練 ，遲報、謊報 、瞞報和漏報網絡安全事件重要情況或者應急管理工作中有其他失職 、瀆職行為的 ，依照相關規定對有關責任人給予處分 ；構成犯罪的 ，依法追究刑事責任 。
8 附則
8.1 預案管理
本預案原則上每年評估一次，根據實際情況適時修訂 。修訂工作由中央網信辦負責 。
各省（區 、市） 、各部門 、各單位要根據本預案製定或修訂本地區 、本部門 、本行業 、本單位網絡安全事件應急預案 。
8.2 預案解釋
本預案由中央網信辦負責解釋 。
8.3 預案實施時間
本預案自印發之日起實施 。
附件 ：
1. 網絡安全事件分類
2. 名詞術語
3. 網絡和信息係統損失程度劃分說明
附件1
網絡安全事件分類
網絡安全事件分為有害程序事件 、網絡攻擊事件 、信息破壞事件 、信息內容安全事件 、設備設施故障 、災害性事件和其他網絡安全事件等 。
（1）有害程序事件分為計算機病毒事件 、蠕蟲事件 、特洛伊木馬事件 、僵屍網絡事件 、混合程序攻擊事件 、網頁內嵌惡意代碼事件和其他有害程序事件 。
（2）網絡攻擊事件分為拒絕服務攻擊事件 、後門攻擊事件 、漏洞攻擊事件、網絡掃描竊聽事件 、網絡釣魚事件 、幹擾事件和其他網絡攻擊事件 。
（3）信息破壞事件分為信息篡改事件 、信息假冒事件 、信息泄露事件 、信息竊取事件 、信息丟失事件和其他信息破壞事件 。
（4）信息內容安全事件是指通過網絡傳播法律法規禁止信息 ，組織非法串聯 、煽動集會遊行或炒作敏感問題並危害國家安全 、社會穩定和公眾利益的事件 。
（5）設備設施故障分為軟硬件自身故障 、外圍保障設施故障 、人為破壞事故和其他設備設施故障 。
（6）災害性事件是指由自然災害等其他突發事件導致的網絡安全事件 。
（7）其他事件是指不能歸為以上分類的網絡安全事件 。
附件2
名詞術語
一 、重要網絡與信息係統
所承載的業務與國家安全 、社會秩序 、經濟建設、公眾利益密切相關的網絡和信息係統 。
（參考依據 ：《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007））
二 、重要敏感信息
不涉及國家秘密 ，但與國家安全 、經濟發展 、社會穩定以及企業和公眾利益密切相關的信息 ，這些信息一旦未經授權披露 、丟失 、濫用 、篡改或銷毀 ，可能造成以下後果 ：
a) 損害國防 、國際關係 ；
b) 損害國家財產 、公共利益以及個人財產或人身安全 ；
c) 影響國家預防和打擊經濟與軍事間諜 、政治滲透、有組織犯罪等 ；
d) 影響行政機關依法調查處理違法 、瀆職行為 ，或涉嫌違法 、瀆職行為 ；
e) 幹擾政府部門依法公正地開展監督 、管理 、檢查 、審計等行政活動 ，妨礙政府部門履行職責 ；
f) 危害國家關鍵基礎設施 、政府信息係統安全 ；
g) 影響市場秩序 ，造成不公平競爭 ，破壞市場規律 ；
h) 可推論出國家秘密事項 ；
i) 侵犯個人隱私 、企業商業秘密和知識產權 ；
j) 損害國家 、企業 、個人的其他利益和聲譽 。
（參考依據 ：《信息安全技術雲計算服務安全指南》（GB/T31167-2014））
附件3
網絡和信息係統損失程度劃分說明
網絡和信息係統損失是指由於網絡安全事件對係統的軟硬件 、功能及數據的破壞 ，導致係統業務中斷 ，從而給事發組織所造成的損失 ，其大小主要考慮恢複係統正常運行和消除安全事件負麵影響所需付出的代價 ，劃分為特別嚴重的係統損失 、嚴重的係統損失 、較大的係統損失和較小的係統損失 ，說明如下 ：
a) 特別嚴重的係統損失 ：造成係統大麵積癱瘓 ，使其喪失業務處理能力 ，或係統關鍵數據的保密性 、完整性 、可用性遭到嚴重破壞 ，恢複係統正常運行和消除安全事件負麵影響所需付出的代價十分巨大 ，對於事發組織是不可承受的 ；
b) 嚴重的係統損失 ：造成係統長時間中斷或局部癱瘓 ，使其業務處理能力受到極大影響 ，或係統關鍵數據的保密性 、完整性 、可用性遭到破壞 ，恢複係統正常運行和消除安全事件負麵影響所需付出的代價巨大 ，但對於事發組織是可承受的 ；
c) 較大的係統損失 ：造成係統中斷 ，明顯影響係統效率，使重要信息係統或一般信息係統業務處理能力受到影響 ，或係統重要數據的保密性 、完整性 、可用性遭到破壞 ，恢複係統正常運行和消除安全事件負麵影響所需付出的代價較大，但對於事發組織是完全可以承受的 ；
d) 較小的係統損失 ：造成係統短暫中斷 ，影響係統效率 ，使係統業務處理能力受到影響 ，或係統重要數據的保密性 、完整性 、可用性遭到影響 ，恢複係統正常運行和消除安全事件負麵影響所需付出的代價較小 。