兰州新区西岔园区综合办公室关于印发《兰州新区西岔园区网络安全事件应急预案（试行）》的通知

西岔镇党委、文曲中心社区党委，园区各部门、所属国有企业、西岔派出所：

　　现将《兰州新区西岔园区网络安全事件应急预案（试行）》印发你们，请抓好贯彻落实。

　　兰州新区西岔园区综合办公室     

　　2021年1月15日       

兰州新区西岔园区网络安全事件应急预案（试行）

　　1 总则

　　1.1 编制目的 

　　建立健全园区网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护园区网络安全和社会稳定。      

　　1.2 编制依据 

　　依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《突发事件应急管理办法》《信息安全技术信息安全事件分类分级指南》（GBZ20986—2007）、《信息安全技术云计算服务安全指南》（GBZ31167—2014）、《国家网络安全事件应急预案》《甘肃省人民政府突发公共事件总体应急预案》《甘肃省网络安全事件应急实施预案》《兰州新区网络安全事件应急实施预案（试行）》等相关规定制定本预案。

　　1.3 适用范围 

　　本预案适用于园区范围内发生的网络安全事件，具体是指由于人为因素、软硬件缺陷、自然灾害等对网络和信息系统中的数据造成危害，对社会造成负面影响的事件。本预案适用于网络安全事件的应对处置工作。

　　1.4 工作原则

　　坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主，预防与应急相结合;坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

　　1.5 网络安全事件分类、分级

　　1.5.1 分类

　　(1)有害程序事件:分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

　　(2)网络攻击事件:分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

　　(3)信息破坏事件:分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

　　(4)信息内容安全事件:是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。

　　(5)设备设施故障:分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

　　(6)灾害性事件:是指由自然灾害等其他突发事件导致的网络安全事件。

　　(7)其他事件：是指不能归为以上分类的网络安全事件。

　　1.5.2 分级

　　网络安全事件分为四级：Ⅰ级(特别重大网络安全事件)、Ⅱ级(重大网络安全事件)、Ⅲ级(较大网络安全事件)、Ⅳ级(一般网络安全事件)。

　　Ⅰ级 特别重大网络安全事件:①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。③其他对国家安全、社会秩序、经济建设和公共利益构成特别严重威胁、造成特别严重影响的网络安全事件。

　　Ⅱ级 重大网络安全事件:①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。③其他对国家安全、社会秩序、经济建设和公共利益构成严重威胁、造成严重影响的网络安全事件。

　　Ш级 较大网络安全事件:①重要网络和信息系统遭受严重的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。③其他对国家安全、社会秩序、经济建设和公共利益构成较严重威胁、造成较严重影响的网络安全事件。

　　Ⅳ级 一般网络安全事件:除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

　　重要敏感信息:指不涉及国家秘密，但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息，这些信息一旦未经授权披露、丢失、滥用、纂改或销毁，可能造成以下后果:①损害国防、国际关系;②损害国家财产、公共利益以及个人财产或人身安全;③影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;④影响行政机关依法调查处理违法、渎职行为，或涉嫌违法、渎职行为;⑤干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责;⑥危害国家关键基础设施、政府信息系统安全;⑦影响市场秩序，造成不公平竞争，破坏市场规律;⑧可推论出国家秘密事项;⑨侵犯个人隐私、企业商业秘密和知识产权;⑩损害国家、企业、个人的其他利益和声誉。

　　2 组织机构与职责

　　2.1 领导机构与职责

　　组织成立兰州新区西岔园区网络安全和信息化领导小组(以下简称“领导小组”)，并成立园区网络安全和信息化应急办公室(以下简称“应急办”)设在园区党群工作部，统筹协调组织全园区网络安全事件应对工作，建立健全跨部门联动处置机制。其主要职能是:依法组织协调有关网络与信息安全事件的应急处理工作;组织制定有关网络与信息安全事件应急处理的政策和措施;制定园区网络与信息安全事件应急预案，组织预案演练;对接新区网信办，加强对专业技术人员的培训，提高应对处置网络与信息安全事件的水平和能力;对各部门网络安全应急工作的开展情况进行监督检查。园区各部门按照职责和权限，紧紧围绕新区和园区的建设、教育、环境保护、交通、医疗卫生、金融等重要行业领域，负责做好本部门、本行业关键信息基础设施网络安全预防、监测、报告和应急处置工作。必要时成立兰州新区西岔园区网络安全事件应急指挥部 ，负责重大网络安全事件处置的组织指挥和协调，总指挥由领导小组分管网络安全的领导同志担任，成员由有关部门负责同志担任，根据工作需要可以视情对成员进行调整。

　　2.2 镇（中心社区）工作职责 

　　负责本镇（中心社区）辖区内自建自管信息系统网络与信息安全事件的预防、监测、报告和应急处置工作，并配合有关部门做好本行政区域内其他网络与信息安全事件的处置工作。

　　3 运行机制

　　3.1 监测与预警

　　网络安全事件预警等级分为四级:由高到低依次用红色橙色、黄色和蓝色表示，分别对应可能发生特别重大、重大、较大和一般网络安全事件。

　　3.1.1 监测

　　按照属地化管理原则和“谁主管谁负责、谁运行谁负责”的要求，统筹自有技术力量，按照7×24小时的安全监控、事件分析、安全预警和事件处理，为园区网络信息系统提供全天候的安全保障。

　　3.1.2 信息研判和报告

　　重要的网络与信息安全事件监测预警信息必须在4小时内上报园区领导小组。应急办及时牵头会同相关部门进行分析、研判，立即上报新区网络安全和信息化领导小组。新区应急办将组织开展网络安全信息共享。

　　3.1.3 发布

　　红色预警由省网络安全应急办发布，橙色预警由新区应急办发布，黄、蓝色预警信息经新区应急办研判确认后由园区发布。

　　预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。

　　3.2 预警响应

　　3.2.1 红色预警响应

　　园区领导小组及应急办按照新区网信办应急指挥机构统一指挥开展响应工作，组织指导相关单位开展应急处置、风险评估和控制工作。实行24小时值班，保持通信联络畅通。加强与新区网信办的沟通协调。指导有关部门加强网络安全事件监测和事态发展信息搜集工作。

　　3.2.2 橙色预警响应

　　(1)应急办根据领导小组要求，启动应急预案，组织预警响应工作。

　　(2)应急办加强对事态发展情况的跟踪研判，及时将事态发展情况报新区应急办。

　　(3)应急办组织涉事部门研究制定防范措施和应急工作方案做好部门联动和资源调度等各项工作，动员相关部门做好应急处置准备。

　　(4)涉事部门实行24小时值班，保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作，开展应急处置、风险评估和控制工作。园区应急办要及时将事态发展情况报新区应急办。

　　(5)应急办及时按有关规定向社会发布可能受到事件危害的警告，宣传避免、减轻危害的常识和技能。

　　3.2.3 黄色、蓝色预警响应

　　涉事部门启动应急预案，组织开展预警响应工作，做好风险评估、应急处置和风险控制工作。及时将事态发展情况报园区应急办。

　　3.2.4 预警解除

　　(1)红色预警由省网络安全应急办发布预警解除信息;

　　(2)橙色、黄色预警由新区应急办组织应急专家组进行研判后适时发布预警解除信息;

　　(3)蓝色预警由涉事部门根据实际情况，适时会同园区应急办发布预警解除信息，同时将处置情况报新区应急办备案。

　　3.3 应急处置

　　网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。应急响应工作必要时可依法征用单位和个人的设备和资源，并按规定给予补偿。

　　3.3.1 事件报告和发布

　　网络安全事件发生后，事发单位立即启动应急预案，实施处置并及时报送信息。涉事部门立即组织先期处置控制事态，消除隐患，同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大的网络安全事件应于第一时间向园区领导小组报告，并于2小时内向新区应急办报告。较大和一般网络安全事件应于4小时内向园区领导小组报告。园区应急办组织涉事部门对事件信息进行研判，属特别重大、重大网络安全事件的，及时报领导小组和新区应急办，较大和一般网络安全事件及时报领导小组。园区领导小组按照新区应急办及省委网信办的要求，会同新区党办宣传科做好Ⅱ级响应舆论引导和新闻发布工作。未经批准，涉事部门不得擅自发布相关信息。Ⅲ、Ⅳ级响应信息，由园区应急办会同新区网信办，指导涉事部门进行信息发布。

　　3.3.2 Ⅰ级响应

　　按省应急指挥机构统一指挥开展Ⅰ级应急响应。

　　(1)经领导小组批准成立园区应急指挥部，并进入应急状态，24小时值班，并派人员参加国家网络安全应急办工作。按照省应急指挥机构的统一领导、指挥、协调，做好应急处置工作。

　　(2)园区应急办加强事态发展情况和处置进展情况的跟踪监测，及时报新区应急办。

　　(3)指挥部组织、督促涉事部门采取针对性措施尽快控制事态，防止危害蔓延。

　　3.3.3 Ⅱ级响应

　　经领导小组批准后，启动Ⅱ级应急响应，成立园区应急指挥部。由指挥部进行应急处置。

　　(1)启动指挥体系

　　指挥部进入应急状态，履行应急处置工作的统一领导、指挥、协调职责。指挥部成员保持24小时联络畅通。

　　涉事部门执行24小时值班，进入应急状态，在指挥部的统一领导、指挥、协调下，负责本部门应急处置工作或支援保障工作。

　　(2)掌握事件动态

　　园区应急办加强对事件发展变化情况的监测。涉事部门及时将事态发展变化情况和处置进展情况报园区领导小组。相关部门立即全面了解本部门主管范围内的网络和信息系统是否受到事件的波及或影响，并由园区应急办负责汇总上述情况，重大事项及时报指挥部和新区应急办，并通报相关部门。

　　(3)决策部署 

　　指挥部组织应急办以及涉事部门及时研究对策意见，对应急处置工作进行安排部署。

　　(4)处置实施

　　涉事部门要严格落实指挥部要求，尽快控制事态;组织、督促相关运行单位有针对性地加强防范，防止事态蔓延。根据事件发生原因，采取备份数据、排查隐患等措施，恢复受破坏网络和信息系统正常运行。相关部门根据园区指挥部的通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。园区应急办组织、协调相关部门或专业机构提供力量支援。

　　处置过程中需要新区网络安全应急技术支撑队伍配合和支持的，由园区应急办向新区应急办进行协调。

　　3.3.4 Ⅲ、Ⅳ级响应

　　网络安全事件的Ⅲ、Ⅳ级响应，由涉事部门根据事件的性质和情况开展响应，按照相关应急预案做好应急处置工作。及时将事态发展变化情况报园区领导小组。应急办将有关重大事项及时向新区应急办汇报。处置中需要其他有关园区、部门或网络安全应急技术支撑队伍配合和支持的报新区应急办予以协调。

　　3.3.5 应急结束

　　Ⅰ级响应结束由省应急指挥部批准和通报。

　　Ⅱ级响应结束，新区应急办提出建议，报指挥部批准后及时通报相关园区，并报省网络安全应急办。

　　Ⅲ、Ⅳ级响应结束，由园区领导小组决定，事件处置完毕报新区应急办备案，由园区应急办通报相关部门。

　　3.4 调查取证、处理和评估

　　事发单位在应急恢复过程中应保留相关证据，对于人为破坏活动，协调新区公安局组织开展调查取证和依法处置工作。事后应对事件的起因、性质、影响、责任等进行分析评估提出处理意见和改进措施，形成书面总结调查报告。事件的调查和总结评估工作，原则上在应急响应结束后30天内完成。特别重大网络安全事件按照省网络安全应急办的要求进行调查处理和总结评估，并按程序上报。重大网络安全事件由新区网信办组织调查和总结评估，并报领导小组和省网络安全应急办。较大及以下网络安全事件由涉事部门自行组织调查处理和总结评估，并报园区应急办。

　　4 预防工作

　　4.1 日常工作

　　各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，避免和减少网络安全事件的发生及危害，提高应对网络安全事件的能力。

　　4.2 演练

　　由园区综合办、党群工作部牵头每年组织各部门结合实际进行网络安全事件应急演练，并将演练情况形成材料收集存档。

　　4.3 宣传

　　园区应急办制定应对网络安全事件的宣传教育方案，协调新区应急办组织有关部门、专家、应急队伍编制公众预防、应对网络安全事件宣传资料，组织开展好网络安全宣周等重大宣传教育活动。各部门应充分利用各种传播媒介及其他有效的宣传形式，加强突发网络安全事件预防及处置的有关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。

　　4.4 培训

　　各级党组织要将网络安全应急知识与技能纳入学习计划，不断提高园区应对网络安全事件的能力和水平。园区应急办将每年组织应急指挥部相关领导干部、工作人员和相关企业、单位人员等参加新区网信办组织的网络安全事件应急专项培训，提高防范意识及技能。各部门要将网络安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识及技能。

　　4.5 重要敏感时期的预防措施

　　在国家和甘肃省、兰州新区、园区重要活动、会议等重要敏感时期，园区应急办应针对性地加强网络安全监测和分析研判，及时预警可能造成重大影响的风险和隐患。统筹协调网络安全保障工作，及时将红色预警响应建议报新区应急办。根据园区实际启动橙色预警响应，及时发现和处置网络安全事件隐患。各部门要加强网络安全事件的防范和应急响应，做好黄色以下预警响应工作，确保网络安全。

　　5 保障措施

　　5.1 机构和人员

　　园区应急办要落实网络安全应急工作责任制，把责任落实到具体部门、具体岗位，配备专(兼)职工作人员，明确职责分工，不断完善园区网络安全应急工作机制。

　　各部门要将本级应急处置机构、应急人员编配和应急预案等情况报园区应急办备案，并指定1名政治可靠、技术过硬的人员担任联络员，负责与园区应急办协调联络。

　　5.2 技术保障组

　　加强园区网络安全技术支撑队伍建设，整合各部门的技术力量，组建网络安全技术保障组，做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。提升应急处置能力，提供应急技术支援。

　　5.3 网络空间安全建设

　　发挥好网评员作用，加强网络安全应急和管理工作，做到早发现、早预警、早响应，全面提升园区网络安全态势感知和应急处置能力。

　　5.4 社会资源

　　发挥社会资源优势，选拔网络安全人才，汇集技术与数据资源，建立网络安全事件应急服务体系，提高应对特别重大网络安全事件的能力。

　　5.5 信息搜集与共享

　　各部门加强网络安全有关信息搜集能力建设，完善信息共享机制，为网络安全应急工作提供信息支撑。

　　5.6 技术、物资保障

　　各部门应不断改进技术装备，提高保障网络安全技术手段，增强防范和处置网络安全事件的能力。

　　5.7 经费保障

　　充分利用现有政策和资金渠道，大力支持网络安全技术支撑队伍建设、网络安全机房建设和信息搜集、预案演练、物资保障等工作的开展。                                        

　　5.8 责任与奖惩

　　网络安全事件应急处置工作实行责任追究制。

　　5.8.1 对网络安全事件应急管理工作中作出突出贡献的先进集体和个人，参照《公务员奖励规定(试行)》等规定给予表彰和奖励。

　　5.8.2 对有下列情形之一的，将会同纪检、组织部门对有关责任人依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中国共产党问责条例》《行政机关公务员处分条例》《甘肃省实施<中国共产党问责条例>办法(试行)》《甘肃省党委(党组)网络意识形态工作责任制实施细则》等有关规定予以严肃处理;构成犯罪的，依法追究刑事责任。

　　(1)贯彻落实网络意识形态工作责任制不力，对网络安全工作不重视、不作为，给国家安全和社会稳定造成恶劣影响的;

　　(2)不按照规定制定应急预案和组织开展演练；

　　(3)未按规定采取预防措施，导致发生网络安全事件，或者未采取必要的防范措施，导致发生次生、衍生事件的；

　　(4)未按规定及时发布网络安全事件预警、采取预警响应措施，导致损害发生的;

　　(5)未按规定及时采取措施处置网络安全事件或者处置不当，造成后果的;

　　(6)不服从上级应急指挥机构对网络安全事件应急处置工作统一领导、指挥和协调，影响事件处置，造成后果的;

　　（7）迟报、谎报、瞒报、漏报有关网络安全事件信息，或者通报、报送、公布虚假信息，造成后果的；

　　(8)未及时组织开展调查取证、恢复重建等工作的;

　　(9)截留、挪用、私分或者变相私分应急资金、物资的;

　　(10)不及时归还征用的单位和个人财产，或者对被征用财产的单位和个人不按规定给予补偿的;

　　(11)在应急管理工作中有其他失职、渎职行为的。

　　6 附则

　　6.1 预案管理

　　本预案原则上每年评估一次，根据实际情况适时修订。修订工作由园区党群工作部负责。

　　西岔镇党委、文曲中心社区党委，园区各部门、所属企业要根据本预案做好贯彻落实工作。

　　6.2 预案解释

　　本预案由园区党群工作部负责解释。

　　6.3 预案实施时间

　　本预案自印发之日开始实施。