网络安全事件应急预案

第一章总则

第一条 为完善韶关市审计局网络安全事件应急工作机制，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保证网络安全事件应急处置工作迅速、高效、有序执行，依据中央网信办网络安全事件应急的有关规定、审计署网络安全事件应急预案，制定本预案。

第二条 韶关市审计局网络安全事件处置由韶关市审计局党组统一组织领导，具体工作接受局网络安全和信息化领导小组（以下简称局网信工作领导小组）的领导。

第三条 坚持统一指挥、密切协同、快速反应、科学处置；坚持以预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责等原则。充分发挥各方面的力量，共同做好韶关市审计局网络安全事件的预防与处置工作。

第四条 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对韶关市审计局网络和信息系统或者其中数据造成危害，对社会造成不良影响的事件。

第五条 本预案适用于韶关市审计局网络安全事件的应对工作，各县（市、区）审计机关应根据当地网络安全和信息化领导机构要求制定本单位网络安全事件应急预案。

第二章组织机构与职责

第六条 网信工作领导小组办公室负责韶关市审计局网络安全事件应对工作，包括网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

第七条 网信工作领导小组办公室全面负责处置网络安全事件的组织、指挥、协调工作。

（一）向网信工作领导小组报告网络安全事件应对工作相关情况；

（二）贯彻落实韶关市审计局党组决策部署，落实局网信工作领导小组工作安排，协调和调动各科室应对网络安全事件应急相关工作；

（三）韶关市审计局网络安全风险评估控制、隐患排查和整改；

（四）制定（完善）韶关市审计局网络安全事件应急预案，指导县（市、区）审计机关制定（完善）网络与信息安全事件应急预案；

（五）韶关市审计局网络安全事件应急预案演练；

（六）韶关市审计局网络安全事件应急知识的宣传教育与培训；

（七）韶关市审计局网络安全事件应急支撑队伍的组建与调配使用；

（八）行使现场应急指挥、协调、处置等职责，根据事件性质，迅速联系有关部门、技术专家，组建事件处置工作组，针对网络安全事件发展的事态，制定和调整相应网络安全事件处置、恢复和预防方案；

（九）整合调配现场应急资源；

（十）核实应急终止条件并向网信工作领导小组请示应急终止；

（十一）收集、整理应急处置过程资料，编写现场应急工作总结报告；

（十二）为网络安全事件应急处置方案提供技术支持和建议；

（十三）为应急预案及管理工作提出建议，参与应急工作重大事项的决策和实施；

（十四）为重大活动（会议）期间的网络安全保障工作提供现场应急处置。

局办公室负责应急处置期间的综合保障工作，协调相关部门和单位，确保技术支撑专家第一时间到达现场；负责现场处置所需要的计算机、网络等设备设施的到位和畅通。

第三章事件分类分级

第八条 网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件等。

第九条 韶关市审计局网络安全事件分为四级：由高到低划分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）4个级别，其中特别重大（Ⅰ级）、重大（Ⅱ级）遵循《国家网络安全事件应急预案》分级标准进行分级，较大（Ⅲ级）、一般（Ⅳ级）分级标准由韶关市审计局按照严重程度、可控性和影响范围等因素确定。

第十条 符合下列情形之一的，为特别重大网络安全事件：

（一）重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力；

（二）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁；

（三）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

第十一条 符合下列情形之一的，为重大网络安全事件：

（一）重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响；

（二）国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁；

（三）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

第十二条 符合下列情形之一的，为较大网络安全事件：

（一）机房、网络配线间火灾或面临火灾威胁；

（二）因中心节点断电、水害、设备失灵等，造成审计机关广域网5个工作日以上的中断；

（三）数据丢失或系统故障，影响关键系统正常运行且5个工作日内不能恢复；

（四）韶关市审计局网站内容被恶意篡改；

（五）病毒或木马入侵导致韶关市审计局城域网30%以上的服务器、计算机感染。

第十三条 符合下列情形之一的，为一般网络安全事件：

（一）因中心节点断电、水害、设备失灵等，造成审计局城域网1个工作日以上的网络中断；

（二）数据丢失或系统故障，影响关键系统正常运行且1个工作日内不能恢复；

（三）韶关市审计局官方网站被攻击导致1个工作日以上不能正常发布内容；

（四）病毒或木马入侵导致韶关市审计局10%以上的服务器、计算机感染。

第四章监测与预警

第十四条 韶关市审计局建立网络安全事件信息监测机制，通过以下途径获取预报信息：

（一）主管部门向韶关市审计局告知的预报信息；

（二）国家通过新闻媒体公开发布的网络安全事件预警信息；

（三）审计机关网络与信息安全通报机制渠道接收的网络安全预警信息、事件信息；

（四）经风险评估得出的可能发生的网络安全事件。

第十五条 按照“谁主管谁负责、谁运行谁负责”的要求，局电子数据审计科负责韶关市审计局机关办公楼审计内网和因特网的网络安全监测工作；负责各县（市、区）审计局审计内网的网络安全监测工作。

局办公室负责韶关市审计局网站（部门频道栏目）的监测工作。

各县（市、区）审计局负责本单位各网络的网络安全监测工作，并接受局电子数据审计科的技术指导。

第十六条 局电子数据审计科负责统筹组织各科室开展网络和信息系统的网络安全监测工作，局办公室协助，网络安全监测工作包括：应用系统、系统软件、网络及网络设备、安全设备、主机、存储、外设、终端、电力、空调等基础环境的可用性和连续性的监测。

第十七条 韶关市审计局网络安全事件预警等级遵循《国家网络安全事件应急预案》的分级标准，由高到低依次为：红色预警、橙色预警、黄色预警和蓝色预警，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

第十八条 网信工作领导小组办公室负责组织对韶关市审计局监测信息进行研判，对需要立即采取防范措施的，立即向局网信工作领导小组报告，同时组织实施对应的预防工作，并结合事件具体情况在韶关市审计局发布黄色及以下预警。

对可能发生重大及以上网络安全事件的信息，在报局网信工作领导小组同意后，及时向市委网信办、省审计厅报告。

第十九条 网信工作领导小组办公室负责组织韶关市审计局的网络安全事件应急响应工作。

对国家网络安全应急办公室发布的红色预警，网信工作领导小组办公室及时转发并实行24小时值班，保持通信联络畅通，并组织开展应急处置或准备、风险评估和控制工作。

对国家网络安全应急办公室发布的橙色预警，网信工作领导小组办公室及时转发并组织开展韶关市审计局的应急响应工作，结合韶关市审计局实际情况及时开展风险评估、应急准备和风险控制工作。

对黄色、蓝色预警，网信工作领导小组办公室根据需要转发并组织支撑队伍和有关机构对事态的发展进行跟踪研判，制定防范措施和应急工作方案，协调各部门开展应急处置。

上述工作的有关情况应及时报告局网信工作领导小组，发现重要情况经韶关市审计局党组同意后，及时向市委网信办、省审计厅报告。

第二十条 网信工作领导小组办公室根据实际情况，报请局网信工作领导小组审核后，确定是否解除黄色、蓝色预警。

第五章应急处置

第二十一条 韶关市审计局网络安全事件应急处置工作在网信工作领导小组办公室统一调度下开展工作。

发生较大网络安全事件时，现场负责人必须在半小时内向网信工作领导小组办公室报告；网信工作领导小组办公室必须在1小时内向局网信工作领导小组和分管局领导报告，并视情况确定是否请求省、市相关部门的支持、指导或介入。

发生一般网络安全事件时，现场负责人必须在1小时内向网信工作领导小组办公室报告；网信工作领导小组办公室主任必须在4小时内向局网信工作领导小组和分管局领导报告，并视情况确定是否请求省、市相关部门的支持、指导或介入。

发生上述情况，相关人员进入应急状态，组织开展勘察、研判，处置、恢复、信息通报和管理应急状态，必要时组织技术支撑单位专家参与。

第二十二条 较大网络安全事件、一般网络安全事件处置完毕后，网信工作领导小组办公室应当组织编制网络安全事件处置报告，提交局网信工作领导小组，并视情况向市委网信办、省审计厅报告。

网络安全事件处置报告应结合分析系统日志、运行记录、值班记录等资料，评估事件造成的后果、产生的影响，统计处置所发生的费用和造成损失，分析事件产生的原因，提出应当采取规避措施的意见。

第二十三条 有害程序事件的紧急处置措施。

（一）危害系统运行的病毒暴发。

1．网信工作领导小组办公室得到多个病毒事件报告或者得到重要应用服务器感染病毒报告后，应当指导计算机或者服务器的使用者将染毒计算机和服务器从网络上隔离，启用反病毒软件杀毒；

2．当认为查杀病毒可能对服务器数据造成损害时，网信工作领导小组办公室应对服务器数据进行备份；

3．启用反病毒软件杀毒无效时，立即升级最新版本后查杀，仍无效时，通知反病毒软件公司、技术专家，提供病毒样本，寻求支持解决；

4．确认反病毒软件有效时，网信工作领导小组办公室经分管局领导批准发布通知，组织全网计算机统一清查杀毒；

5．网信工作领导小组办公室分析查明病毒暴发原因。必要时可请技术支撑单位参与分析研究。原因查明后，将有关情况报告局网信工作领导小组，并视需要向省、市相关机构报告。

（二）重要系统被植入木马或间谍程序。

1．抓取能够证明被植入木马或间谍程序的界面，注意保存好相关系统日志；

2．分析研判，慎重确定重要系统确实被植入木马或间谍程序；

3．网信工作领导小组办公室负责分析研究系统运行或者存储的信息性质、一旦被泄露后的危害，评估风险；

4．分析追查木马或间谍程序，必要时可请信息安全机构和技术支撑单位参与分析研究。查明后，将有关情况报告局网信工作领导小组，并视需要向省、市相关机构报告或向公安部门报警。

第二十四条 网络攻击事件的紧急处置措施。

（一）网信工作领导小组办公室发现网络攻击后，抓取能够证明被网络攻击的界面，注意保存好相关系统日志；

（二）将被攻击计算机和服务器从网络上隔离开来。采取查杀病毒或者升级漏洞补丁方式，避免再次遭受攻击；

（三）分析研究攻击性质，评估风险。必要时可请信息安全机构和技术支撑单位参与分析研究。查明后，将有关情况报告局网信工作领导小组，并视需要向省、市相关机构报告或向公安部门报警。

第二十五条 信息破坏事件的紧急处置措施。

（一）韶关市审计局网站（部门频道栏目）内容被恶意篡改。

1．发现局网站内容被恶意篡改，局办公室应当及时报告市政务服务数据管理局；

2．各科室发现韶关市审计局网站（部门频道栏目）内容被恶意篡改，应当立即向局办公室报告，经研究确认后局办公室应当及时联系市政务服务数据管理局；

3．抓取保存被恶意篡改内容的全部网页页面，编制抓取过程记录，注意保存好系统日志；

4．请市政务服务数据管理局或者网站运行维护公司删除恶意信息，并重新加载正确信息，经检查发布无误后，联通因特网，恢复网站访问；

5．分析追查非法信息来源，必要时可请信息安全机构参与分析研究。查明后，将有关情况报告局网信工作领导小组，并视需要向省、市相关机构报告或向公安部门报警。

（二）因误删除造成数据丢失。

1．因误删除造成数据丢失时，操作人员或者首先发现数据被误删除的人员应立即停止操作，并向对数据负有责任的科室领导报告，科室领导要及时向局电子数据审计科报告；

2．查看备份系统中是否有备份数据，其他介质中是否有可使用的备份数据。如有备份数据，对数据负有责任的科室恢复数据，恢复完成后调试系统至运行正常；

3．局电子数据审计科组织相关单位研究评估数据丢失的影响程度；

4．数据无法从备份系统中或其他介质中自行恢复且人工恢复工作量可以接受的，组织人工恢复；无法人工恢复的，寻求具备资质的专业数据恢复公司恢复。

（三）因硬盘故障造成数据丢失。

1．因硬盘故障造成数据丢失时，操作人员或者首先发现数据丢失的人员应立即停止操作，并向对数据负有责任的科室领导报告，科室领导要及时向局电子数据审计科报告；

2．拔出故障硬盘，检查数据是否完整、RAID机制是否起作用。如数据完整，更换硬盘，监视系统至运行正常；

3．查看备份系统中是否有备份数据，其他介质中是否有可使用的备份数据。如有备份数据，对数据负有责任的科恢复数据，恢复完成后调试系统至运行正常；

4．局电子数据审计科组织相关单位研究评估数据丢失的影响程度；

5．数据无法从备份系统中或其他介质中恢复且人工恢复工作量可以接受的，组织人工恢复；无法人工恢复的，寻求具备资质的专业数据恢复公司恢复。

（四）磁盘阵列柜故障造成数据丢失。

1．因磁盘阵列柜故障造成数据丢失时，操作人员或者首先发现数据丢失的人员应立即停止操作，并向对数据负有责任的科室领导报告，科室领导要及时向局电子数据审计科报告；

2．检查与磁盘阵列柜有关的配置，属于配置破坏造成的数据丢失，应备份原配置文件，保存好系统日志，重新配置，调试至系统正常；

3．属于磁盘阵列柜硬件故障的，联系相关厂商维修；

4．查看备份系统中是否有备份数据，其他介质中是否有可使用的冗余数据。如有备份数据，对数据负有责任的科室恢复数据，恢复完成后调试系统至运行正常；

5．局电子数据审计科组织相关单位研究评估数据丢失的影响程度；

6．数据无法从备份系统中或其他介质中恢复且人工恢复工作量可以接受的，组织人工恢复。

第二十六条 审计内网有恶意信息的紧急处置措施。

（一）接到有关审计内网存在恶意信息要求采取措施的情况通报后，或者有关人员发现审计内网有恶意信息，应报告局电子数据审计科，采取措施立即撤下恶意信息；

（二）抓取保存恶意信息的全部网页页面，编制抓取过程记录，注意保存好系统日志；

（三）分析追查非法信息来源，必要时可请信息安全机构参与分析研究。查明后，将有关情况报告局网信工作领导小组，并视需要向省、市相关机构或向公安部门报警。

第二十七条 设备设施故障的紧急处置措施。

（一）系统软件故障。

1．审计管理系统等应用软件所使用的操作系统、数据库管理系统、中间件等系统软件发生故障影响系统运行时，局电子数据审计科查明故障原因，判断故障模块；

2．如属于配置的原因，应备份原配置文件，保存好系统日志，重新配置，调试至系统正常；

3．不能判断故障原因时，联系应用软件开发集成商、系统软件开发商，提出解决方案。

（二）应用软件故障。

1．审计管理系统等应用软件系统发生影响运行的故障时，局电子数据审计科查明故障原因，判断故障模块；

2．检查系统数据保存、备份情况是否正常，必要时采取补救措施；

3．先行停用部分功能，维持系统其他功能正常运行；

4．联系应用软件开发集成商，提出解决方案。

（三）机房空调非正常停机。

1．发现单台空调非正常停机的人员应立即通知局办公室，重启空调，尽快降低房间温度，必要时可先开窗、开门降温。属于空调故障时应及时维修，属于人为切断关闭时应要求恢复开启并予以交涉；

2．发现多台空调同时非正常停机应考虑停电因素，局办公室要查明原因，判断停电时间，并密切监视房间温度，采取开窗降温等措施。无效时，在尽量保持广域网畅通的情况下，关闭部分网络设备、部分服务器；

3．空调正常运行后，开启关闭的设备和服务器，局办公室监视房间温度达到正常要求。

（四）公共通信设备故障或线路中断。

1．路由器等公共通信设备发生故障，或者中国联通、中国电信等的公共通信线路中断，造成局域网、城域网、广域网中断运行时，局办公室应立即着手确认故障产生节点；

2．属于路由器等公共通信设备发生故障，应立即与相关单位联系维修；

3．属于中国联通、中国电信等的公共通讯线路中断，应立即与相关通信网络提供商联系，要求查明原因，恢复联通。

（五）网络设备故障。

1．防火墙、交换机等网络设备发生故障造成局域网、城域网、广域网中断运行时，局电子数据审计科局、局办公室应立即着手确认故障节点，尽快排除故障；

2．确认属于设备硬件故障后，应立即与相关单位联系维修；

3．确认属于设备配置文件破坏后，应备份原配置文件，保存好系统日志，重新配置，调试联通。

（六）服务器故障。

1．服务器发生故障造成局域网、城域网、广域网应用中断时，局电子数据审计科、局办公室应立即着手确认故障节点，尽快排除故障；

2．确认属于服务器硬件故障后，应注意保存磁盘数据，避免反复重启，并立即与相关单位联系维修；

3．使用替代服务器，调试后投入使用。

第二十八条 灾害性事件的紧急处置措施。

（一）发生火灾时的紧急处置措施。

1．首先发现机房起火、或身置起火现场的人员应使用灭火器等扑救初期火灾，呼喊提醒同事协助；

2．初期火灾不能扑灭时，全部员工迅速撤出火灾现场。能够判定义务消防员和专业消防队员即将到达的，撤出火灾现场时不关闭房门；能够判定义务消防员和专业消防队员不能及时到达，而火灾可能蔓延至其他部位时，撤出火灾现场时关闭房门；

3．火灾扑灭后，协助专业消防部门保护现场，配合调查起火原因，清理现场，尽可能保全设备资产和信息资源；

4．办公楼其他部位发生火警时，各科室人员在时间许可的情况下应关闭窗户和房门后撤离，以减少火灾殃及责任区域的可能性；

5．办公楼以外发生火警时，各科室人员在时间许可的情况下应关闭窗户，以减少火灾殃及责任区域的可能性；撤离时应打开房门，方便责任区域发生次生火灾时的扑救。

（二）发生断电时的紧急处置措施。

1．未接到通知而发生两路电源同时中断的情况，首先发现断电、或身置现场的人员应立即通知局办公室；

2．局办公室通知人员监视服务器正常自动关机；因故不能自动关机的实行手动关机；

3．局办公室查明有关情况，判定停电时间，请求尽快恢复供电；

4．恢复供电后，局办公室派人启动运行机房内空调，启动服务器，检查其他设备启动情况，监视至系统重新正常运行。

（三）发生水害时的紧急处置措施。

1．当办公楼内发生自来水、污水泄漏、空调漏水或因窗户开启大量雨水进入机房时，首先发现水害、或身置现场的人员应立即通知局办公室；

2．局办公室判断水害严重程度，确定所采取的措施。必要时应当先切断电源再行处置；

3．需要系统停止运行再行处置的，相关科室执行相应的操作；

4．属于自来水、污水泄漏造成的水害，局办公室应尽快阻断关闭水源；

5．清扫去除积水，加强通风，晾晒物品；

6．确认水害消除，达到设备和线路所需要的干燥程度时，恢复供电或恢复系统运行。

第二十九条 其他事件的紧急处置措施。

（一）人身触电。

1．发现人身触电，应立即切断电源或者采取安全方式使触电人脱离电源；

2．触电人身体遭遇伤害的，通知医院进行救治；

3．局办公室组织查明触电原因，属于设备漏电的要采取措施。

（二）由各类紧急情况次生、衍生的紧急情况。

1．局办公室召集会议，研究次生、衍生紧急情况的原因，找出主要矛盾，部署处置顺序。必要时可以局部或者全部停止系统运行；

2．相关科室根据商定的处置顺序，分头解决问题；

3．联合调试至系统恢复正常。

第三十条 日常工作中遇到与本预案相似情形但不能判定是否属于紧急情况的，先行按照一般网络安全事件处置。

第六章调查与评估

第三十一条 网络安全事件处置完毕，网信工作领导小组办公室应组织对应急响应工作进行分析和回顾，形成总结报告，总结经验并部署采取适当的后续措施。

第三十二条 对应急响应工作进行分析和回顾包括：

（一）应急响应工作的充分性和针对性；

（二）应急事件发生的原因、数量及频率；

（三）应急事件处置的经验和教训；

（四）应急事件的趋势信息；

（五）网络信息系统中潜在的类似隐患。

第三十三条 网络安全事件处置完毕，网信工作领导小组办公室应组织对应急响应工作有效性和实效性进行评估，提出改进目标、改进的具体工作内容。

第七章预防工作

第三十四条 局办公室负责韶关市审计局网络安全事件日常预防工作，定期检测排查网络安全隐患，开展风险评估和容灾备份工作，不断完善网络安全信息通报机制，提高网络安全应对能力，减少和避免网络安全事件的发生与危害。

第三十五条 局电子数据审计科负责韶关市审计局网络安全应急预案的演练工作，根据演练结果评估应急预案并进一步完善；积极组织开展网络安全事件应急知识培训，提高网络安全防范意识及技能。

第三十六条 局法规审理科负责韶关市审计局的网络安全事件预防和处置有关法律、法规和政策的宣传。

第三十七条 在国家重要活动、会议等敏感时期，网信工作领导小组办公室加强网络安全的检测和分析研判，及时预警可能造成的重大影响的风险和隐患。按照有关部门预警要求，及时组织相关部门实行24小时值班制度，及时发现和处置网络安全事件隐患。

第八章保障措施

第三十八条 局积极组织有关人员参加相关部门组织的网络安全应急技术培训。

第三十九条 实行网络安全事件处置责任追究制。对人为原因引发网络安全事件的，迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的，依据相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

第九章附则

第四十条 本预案由局网信工作领导小组负责解释。

第四十一条 本预案由局网信工作领导小组组织制定和实施，网信工作领导小组办公室具体承担每年对预案进行评估，根据实际情况进行修订等工作。

第四十二条 本预案自公布之日起执行，《韶关市审计局关于印发<韶关市审计局网络与信息安全突发公共事件应急响应预案>的通知》（韶审办〔2018〕185号）同时废止。

网络安全事件应急预案

​幼儿园网络安全事件应急预案

网络安全事件应急预案（共3篇）

国家网络安全事件应急预案（共10篇）

网络安全应急预案