一、总则
（一）编制目的。
建立健全单位网络与信息安全应急工作机制，提高应对网络与信息安全事件的能力，形成科学、有效、反应迅速的应急工作机制，最大限度地预防和减少网络与信息安全事件造成的损失和危害，保障信息系统及办公网络长期安全稳定运行。
（二）编制依据。
依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《信息安全技术信息安全事件分类分级指南（GB/Z20986-2007）》等法律法规和各项规定，制定本预案。
（三）工作原则。
坚持“谁主管谁负责、谁运行谁负责”的原则，统一指挥，分级负责，充分发挥各方面力量，共同做好本单位网络与信息安全事件的预防与处置工作。
（四）适用范围。
预案适用于局机关各股室、二级单位使用和管理的计算机专网、公共应用系统等发生的突发事件。
（五）事件分级。
网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
1.符合下列情形之一的为特别重大网络安全事件：
（1）重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。
（2）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。
（3）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
2.符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件：
（1）重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。
（2）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。
（3）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
3.符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件：
（1）重要网络和信息系统遭受较大系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。
（2）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。
（3）其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成严重影响的网络安全事件。
4.除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。
二、组织机构及职责
局办公室为我单位网络与信息安全应急处置的组织协调机构。职责如下：
（1）负责和处理网络运行日常维护工作，检查指导局机关各股室、二级单位网络与信息安全突发事件的预防和应对工作。
（2）负责网络与信息安全突发事件的预防、监测、报告和应急处置工作。
（3）督促落实网络安全工作主体责任制，指导全局应对网络与信息安全监管工作，局机关各股室、二级单位在发生网络安全事件时，依法履行应急处置相关责任和义务。
三、监测与预警
（一）监测与报告。
1.按照“早发现、早报告、早处置”的原则，加强对各股室、二级单位有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向办公室负责人报告，初次报告最迟不得超过30分钟，重大网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2.建立网络与信息安全报告制度。发现下列情况时应及时向办公室负责人报告：利用网络从事违法犯罪活动的情况；网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；网络恐怖活动的嫌疑情况和预警信息；其他影响网络与信息安全的信息。
（二）预警。
获得预警信息后，局办公室应立即召开会议，组织局机关各股室负责人对预警信息进行研判，部署应急网络与信息安全的应对措施，对可能发生的网络与信息安全突发事件，及时向区委网信办上报。
预警信息包括网络与信息安全事件的类别、起始时间、可能影响范围、警示事项、预防措施、发布范围等。
四、应急响应
（一）先期处置。
发生网络与信息安全突发事件后，及时实施处置，控制事态进一步发展，并根据本预案相关流程报送信息。
1.控制事态发展，防止破坏蔓延。根据本单位制定的应急预案，采取紧急措施，及时控制事态发展，最大限度防止事件蔓延。
2.快速判断事件性质及危害程度。单位尽快分析事发原因，根据网络与信息系统的运行、使用、承载业务的情况，初步判断发生事件的原因、影响力、破坏程度、波及的范围等，提出初步应对措施建议。
3.及时上报信息。在开展先期处置的同时要按照本预案要求，及时向区委网信办和公安机关报告事件信息。
4.做好事件发生、发展、处置的记录和证据留存。在先期处理过程中应保留相关证据，可采取记录、截屏、备份、录像等多种手段，对事件的发生、发展、处置过程、步骤、结果进行详细记录，尽可能保存原始证据，为事件处置、调查、处理提供客观证据。
5.保持通信畅通。上报突发事件信息后，与区委网信办和公安机关保持通信畅通，实时报告事件的最新进展情况。
（二）处置流程。
1.突发事件发生后，在先期处置基础上，按照基本响应程序，启动网络与信息安全事件应急预案，及时掌握事件的发展情况，向区委网信办报告有关情况。
2.处置降损。快速判断事件性质和危害程度，尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议，缓解网络安全事件造成的影响，保障系统的正常运行，尽量降低网络安全事件带来的损失。
3.追踪溯源。对黑客入侵、拒绝服务（DoS）攻击等人为破坏活动，由公安机关等执法部门进行现场取证，并采取一定的技术手段，追踪对方信息。
4.整改恢复。根据事件处置效果，采取整改措施，消除事件影响。邀请专业技术人员对事发和相关系统进行全面彻底检查，排除系统隐患，避免再次发生同类型事件，并恢复事发系统运行。
（三）信息报告。
1.办公室及时收集、分析、汇总本单位网络与信息系统安全运行情况，安全风险及事件信息及时报区委网信办。
2.对于较大以上或暂时无法判明等级的事件，应立即将事件简要情况及联系人通过电话、传真等上报区委网信办，事件详情情况应在1小时内上报。
3.事件信息一般包括以下要素：事件发生时间、发生事故的网络与信息系统名称及运营使用管理单位、地点、原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
4.对于区委网信办要求核查的情况，办公室要认真调查、核对、及时报告。对于涉密的重要信息，负责收集数据的股室（单位）应遵守相关管理规定，做好信息保密工作。
（四）应急结束。
网络与信息安全事件处置工作已基本完成，各种影响基本消除后，由办公室按程序决定终止应急响应并通报。
（五）信息发布。
办公室根据应急处置情况，形成工作简报报区委网信办。
五、后期处置
（一）情况汇报。
网络与信息安全突发事件应急任务结束后，做好事件中基础网络与信息系统、网络涉及损失情况的统计、汇总及任务完成情况的总结汇报。
（二）善后工作。
应急处置工作结束后，局机关各股室、二级单位要积极稳妥、深入细致地做好善后处置工作，及时处理问题机器。
（三）恢复重建。
恢复重建工作由“谁主管谁负责，谁运行谁负责”的原则，由局机关各股室组织制定恢复、整改方案报局办公室。
六、宣传教育
局机关各股室、二级单位充分利用各种新闻媒介、微信群等，广泛宣传网络信息安全有关法律法规，开展网络与信息安全教育，普及网络与信息安全突发事件应急处置的基本知识，提高干部职工网络与信息安全防范意识和应急处置能力。