一、组织架构及职责

成立流溪温泉管委会网络与信息安全应急处理工作领导小组。

组   长：主要领导

副组长：各分管领导

成   员：各部门负责人

领导小组下设办公室，设在管委会办公室。办公室负责领导、协调全单位网络与信息安全突发公共事件的应急处置工作，并与公安网监部门进行联系。

二、工作原则

统一领导，归口管理。网络与信息安全应急处理工作在办公室牵头下，会同各部门齐抓共管、各负其责，共同提高管委会的网络与信息安全应急处理水平。

明确责任，依法规范。要从区网络与信息安全保障的高度出发，“谁主管、谁负责”的原则，加强网络与信息安全管理，认真落实各项安全管理制度和措施，严格依照国家法律和相关规定进行应急处理工作。

防范为主，加强监控。广泛宣传网络与信息安全基本知识，提高对网络安全的认识水平，切实落实信息安全防范措施，强化对网络系统的监控，减少安全事件可能带来的不良影响。

整合资源，协调处理。加强协调与沟通，整合社会资源，提高网络与信息安全应急处理能力。

三、适用范围

本预案所称的网络与信息安全重大事件是指由于自然灾害、人为攻击或破坏以及病毒暴发等原因所引发，严重影响到我委网络与信息系统的正常运行，造成业务中断、系统瘫痪、数据破坏或信息失窃等，从而对政府形象、社会稳定或公众利益等方面造成严重影响，以及直接或间接造成重大经济损失的事件。

四、网络突发事件的类别、级别

（一）突发事件的类别

根据信息安全事件发生的原因、表现形式等，网络信息安全事件可分为七类：

（1）有害程序事件：主要包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。

（2）网络攻击事件：主要包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等。

（3）信息破坏事件：主要包括信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和信息破坏事件等。

（4）信息内容安全事件：主要包括违反宪法和法律、行政法规的信息安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件； 组织串联、煽动集会游行的信息安全事件；其他信息内容安全事件等。

（5）设备设施故障：主要包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障等。

（6）灾害性事件：主要包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。

（7）其他信息安全事件：是指不能归为以上6个基本分类的信息安全事件。

（二）突发事件的级别

根据信息系统的重要程度、系统损失和社会影响，由高到低，信息安全事件可分为四个级别：I级（特别重大）、II级（重大）、III级（较大）和IV级（一般），对应颜色依次为红色、橙色、黄色和蓝色。

（1）I级（特别重大）信息安全事件

I级（特别重大）信息安全事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：

a)造成网络特别重要信息系统大面积瘫痪，或系统关键数据的保密性、完整性、可用性遭到严重破坏，事件可能扩散到全市乃至更大范围；

b)社会影响波及范围大，威胁国家安全和社会安定，或者严重损害公众利益和政府形象。

（2）II级（重大）信息安全事件

II级（重大）信息安全事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

a)造成网络个别特别重要信息系统长时间中断或局部瘫痪，或系统关键数据的保密性、完整性、可用性遭到严重破坏，事件可能扩散到整个网络；

b)社会影响波及范围大，影响国家安全和社会安定，或者损害公众利益和政府形象。

（3）III级（较大）信息安全事件

III级（较大）信息安全事件是指能够导致较严重影响和破坏的信息安全事件，包括以下情况：

a)造成网络个别重要信息系统中断，明显影响系统效率，或系统关键数据的保密性、完整性、可用性遭到破坏，事件可能扩散到网络其他信息系统；

b)产生一定社会影响，可能影响公众利益和社会形象。

（4）IV级（一般）信息安全事件

IV级（一般）信息安全事件是指不满足以上条件的信息安全事件，包括以下情况：

a)造成网络个别信息系统短暂中断，影响系统效率，或系统关键数据的保密性、完整性、可用性遭到破坏，但事件基本无扩散性；

b)基本没有社会影响，只对个别公民、法人或其他组织的利益造成一定影响。

五、应急运行机制

（一）预防与预警机制

1.信息监测及预警报告

加强网络与信息安全监测、分析和预警工作，建立网络与信息安全重大事故报告制度，发生网络与信息安全突发事件后，立即对发生的事件进行调查核实、保存相关证据，并向应急领导小组办公室报告。应急领导小组办公室应建立和健全信息监测、指挥决策支持及预警发布系统，保证资源共享、运转正常、指挥有力。

2.预警信息

应急领导小组在对信息安全事件进行分析后，按照事件的风险等级来编制预警信息。预警信息包括信息安全事件的类别、预警级别、起始时间、可能影响的范围、警示事项、应采取的措施等。

3.预警等级划分

预警级别依据信息安全事件可能造成的危害程度、影响范围和发展态势，由高到低划分为I级（特别严重）、II级（严重）、III级（较重）、IV级（一般）四个级别，并依次用红色、橙色、黄色和蓝色表示。

（1）I级（特别重大）预警：可能发生I级（特别重大）信息安全事件的预警信息。由应急领导小组确认并发布红色预警信息。同时，上报到区应急办。

（2）II级（重大）预警：可能发生II级（重大）信息安全事件的预警信息。由区应急领导小组确认并发布橙色预警信息。

（3）III级（较大）预警：可能发生III级（较大）信息安全事件的预警信息。由应急领导小组确认并发布黄色预警信息。

（4）IV级（一般）预警：可能发生IV级（一般）信息安全事件的预警信息。由应急领导小组确认并发布蓝色预警信息。

4.预警调整和解除

（1）发布预警信息后，应急领导小组办公室协调相关部门为潜在受影响单位提供技术支持。

（2）应急领导小组办公室要持续密切监控事态的发展，并依据事态的变化情况，适时地调整或解除预警信号。当IV级（一般）、III 级（较大）预警信息上调为II级（重大）、I级（特别重大）预警信息，或者II级（重大）、I级（特别重大）预警信息下调或解除时，应急领导小组办公室向区应急办报告预警信息调整情况。

5.预防机制

做好网络的日常管理工作和备份工作，积极推行网络信息安全等级保护制度，对于涉及国计民生的信息系统的建设，充分考虑抗毁性与灾难恢复。

密切关注国家相关部门和区信安办发布的信息安全预警信息，及时根据预警信息采取各种防范措施，有效抑制信息安全事件带来的危害。

6.预警期措施

（1）采取预警信息应对措施，对系统和网络进行更新、升级和维护；

（2）查阅事先制定的事件预防措施和操作规程，结合实际情况，采取预防措施；

（3）本单位或系统无法解决的问题，应向区应急领导小组办公室求助，以获得技术上的支持。

（二）应急响应

1.先期处置

信息安全事件发生后，应急处置办公室立刻采取措施，保护现场，控制事态发展，分析事件类型和级别，启动本单位的应急预案，并向区应急领导小组办公室上报包括事件性质、处置结果及所需支援等信息。

2.事件通告

信息安全事件的信息来源有：

（1）我单位通报的信息安全事件信息；

（2）预测预警系统监测到的信息安全事件信息；

（3）上级职能部门通报的信息安全事件信息。

3.信息报告

网络一旦发生信息安全事件，应迅速组织先期处置工作，并及时报告给区应急领导小组。

（1）发生I级（特别重大）信息安全事件时，在半小时内以口头和书面形式，向区应急领导小组办公室报告情况。

（2）发生II级（重大）信息安全事件时，在半小时内以口头和书面形式向区应急领导小组办公室报告情况。

（3）发生III级（较大）信息安全事件时，在半小时内向区应急领导小组办公室口头报告有关情况，1小时内书面报告有关情况。

（4）发生IV级（一般）信息安全事件时，在半小时内向区应急领导小组办公室口头报告有关情况，2小时内报告有关情况。

4.应急启动

信息安全事件发生后，按照“快速反应、分级响应”的原则，迅速启动应急响应，应急响应分为四个级别：I级（特别重大）、II级（重大）、III级（较大）和IV级（一般）。

（1）I级（特别重大）、II级（重大）信息安全事件应急响应。发生I级（特别重大）、II级（重大）信息安全事件时，迅速启动信息安全应急预案。同时，报请区应急领导小组办公室。

（2）III级（较大）、IV级（一般）信息安全事件应急响应。发生III级（较大）、IV级（一般）信息安全事件时，迅速启动信息安全应急预案，开展应急处置。

3.应急处置

（1）I级（特别重大）信息安全事件应急响应

1）成立现场指挥小组，直接指挥和控制现场的应急处置工作，协调区应急领导小组办公室共同组成信息安全应急处置小组。

2）应急处置小组立即查明事态，调度必要的应急资源，采取一切有效措施，尽快抑制事件影响。

在有效控制了信息安全事件影响后开始恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复受损系统、在原系统或新设施中恢复运行业务能力等应急措施。

若系统恢复过程复杂，则要求恢复进程应能反映出业务影响性分析中确定的系统恢复的优先顺序，以反映出系统允许的中断时间，避免严重影响相关系统和业务。

3）应急处置小组每1小时向区信安指挥部上报事件处理情况及事态发展动态。

（2）II级（重大）信息安全事件应急响应

1）在区应急领导小组办公室负责统一指挥下，成立应急处置小组，并协调区提供必要的应急资源。

2）应急处置小组应立即查明事态，调度必要的应急资源，采取一切有效措施，尽快抑制事件影响。

在有效控制了信息安全事件影响后开始恢复操作，恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。

若系统恢复过程复杂，则要求恢复进程应能反映出业务影响性分析中确定的系统恢复的优先顺序，以反映出系统允许的中断时间，避免严重影响相关系统和业务。

3）应急处置小组每1小时要向区应急领导小组办公室上报事件处理情况及事态发展动态。一旦发现信息安全事件进一步升级，立即报告区应急领导小组办公室，组织协调更多人力与资源进行扩大化处理。

（3）III级（较大）信息安全事件应急响应

1）由区应急领导小组办公室为事发单位提供技术支持，为信息安全应急处置提供支援。

2）应急处置小组应立即查明事态，调度必要的应急资源，采取一切有效措施，尽快抑制事件影响。

在有效控制了信息安全事件影响后开始恢复操作，恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。

若系统恢复过程复杂，则要求恢复进程应能反映出业务影响性分析中确定的系统恢复的优先顺序，以反映出系统允许的中断时间，避免严重影响相关系统和业务。

（4）IV级（一般）信息安全事件应急响应

1）组织相关人员组成应急处置小组，处置事件，同时自行协调各种应急资源。必要时，请求应急领导小组办公室协助处理信息安全事件。

2）应急处置小组应立即查明事态，调度必要的应急资源，采取一切有效措施，尽快抑制事件影响。

在有效控制了信息安全事件影响后开始恢复操作，恢复阶段的行动集中于建立临时业务处理能力、修复原系统损害、在原系统或新设施中恢复运行业务能力等应急措施。

若恢复复杂系统时，恢复进程应反映出业务影响性分析中确定的系统优先顺序。恢复的顺序应反映出系统允许的中断时间，以避免对相关系统及业务的重大影响。

3）应急处置小组要持续监视事态的发展，一旦发现信息安全事件进一步升级，要在2小时内报告到区应急领导小组办公室。并自行组织更多人力与资源，扩大化处理。

4）事件处置后，通过日常的月度信息上报途径上报到区应急领导小组办公室。

4.应急结束

I级（特别重大）信息安全事件已经得到有效控制或事件级别已降低到IV级，根据区应急领导小组通知宣布应急结束。

II级（重大）信息安全事件已经得到有效控制或事件级别已降低到IV级的，根据区应急领导小组办公室通知宣布应急工作结束。

III级（较大）信息安全事件已经得到有效控制或事件级别已降低到IV级的，根据区应急领导小组办公室通知宣布应急工作结束。

IV级（一般）信息安全事件已经得到有效控制的，管委会应急领导小组宣布应急工作结束。

5.后期处置

（1）信息系统恢复与重建

在应急处置工作结束后，要迅速采取措施，组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

通过统计各种相关数据，评估信息安全事件造成的损失和影响，调查信息安全事件发生的原因。

按照“谁主管谁负责，谁运营谁负责”的原则，开展系统恢复与重建工作，制定可行的系统恢复重建计划，迅速有效地实施信息系统重建工作。

（2）应急响应总结

应急结束后，分析和总结事件发生原因、评估系统的损害程度和事件导致的损失；分析应急处置记录，评审应急响应措施实施的效果和效率，提出改进建议，生成事件评估报告，提交给区应急领导小组办公室。

（3）信息发布

III级（较大）、IV级（一般）信息安全事件处置信息的发布，由区信安办负责。

I级（特别重大）、II级（重大）信息安全事件处置信息的发布按照广东省突发事件总体应急预案的要求发布。

（三）应急保障

1.管理人力保障

完善相关人员管理制度，将各项管理工作落实到人，制定一套完善的、可操作性强的工作手册。

2.技术人力保障

加强信息安全应急技术人员的培养，组建信息安全应急技术队伍和保障队伍，平时应加强对工作人员的培训和宣传工作。

必要时选择经国家有关部门资质认可的、严格遵从安全管理规范、安全服务能力强的若干企业作为管委会网络信息安全应急服务机构，提供技术支持与服务。

3.物质条件保障

（1）财力保障

应急领导小组办公室负责落实区网络应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算，纳入管委会财政预算。

（2）通信保障

建立和健全应急通信体系，完善应急通信网，建立有线和无线相结合、基础通信网络与机动通信系统相配套的应急通信系统，确保通信的迅速、准确和不间断。

（3）设备保障

事先预留出一定的应急设备，建立信息网络硬件、软件、应急救援设备等备用物资库，在网络信息安全事件发生时，能确保备用物资满足应急的全部要求。

4.技术支撑保障

（1）事件监控与预警的技术保障

事件监控与预警的技术保障依托于区科工商信局、区公安分局、国家计算机网络应急技术处理协调处理中心广东分中心（CNCERT@GD）、公共信息基础设施运营商及社会信息安全服务机构等的信息安全监测资源。

（2）应急技术储备

建立和健全完善的网络应急体系，制定应急预案和管理规范，建立和健全各自的信息安全应急体系。

（四）监督管理

1.宣传教育

充分利用各种传播媒介及有效的手段，加强有关法律法规和政策的宣传。在单位网站和内部办公系统中设立信息安全应急响应工作专栏，及时将最新的应急策略和信息传达给单位工作人员。同时，开展信息安全事件应急响应教育规划，制定相应的教材，普遍开展信息安全教育，进一步增强相关人员应急意识和应急处置能力。

2.培训

坚持把信息安全突发事件的预防、应急指挥、综合协调等列为干部职工的培训内容，增强应急处置工作中的组织能力。原则上每年组织至少一次有关应急保障和应急响应的培训活动。

3.演练

根据网络与信息安全应急预案，定期组织应急演练。原则上，每年至少组织一次演练，并适时参与突发公共事件的应急演练，使相关人员了解信息安全应急响应预案的目标和流程，熟悉应急响应操作规程，达到培养相关工作人员实战能力的目的。

4.责任与奖惩

网络信息安全事件应急处置工作实行行政领导负责制和责任追究制。

对在网络信息安全突发事件应急处置中作出突出贡献的先进集体和个人要给予表彰和奖励。

对拒报、迟报、谎报、瞒报和漏报信息安全突发事件重要情况或者在应急管理工作中有其他失职、渎职行为的有关责任人，要依法依规给予行政处分；构成犯罪的，依法追究刑事责任。