國家網路安全事件應急預案

1.1 編制目的

1.2 編制依據

1.3 適用範圍

1.4 事件分級

1.5 工作原則

2.1 領導機構與職責

2.2 辦事機構與職責

2.3 各部門職責

2.4 各省（區、市）職責

3.1 預警分級

3.2 預警監測

3.3 預警研判和發布

3.4 預警回響

3.5 預警解除

4.1 事件報告

4.2 應急回響

4.3 應急結束

6.1 日常管理

6.2 演練

6.3 宣傳

6.4 培訓

6.5 重要活動期間的預防措施

7.1 機構和人員

7.2 技術支撐隊伍

7.3 專家隊伍

7.4 社會資源

7.5 基礎平台

7.6 技術研發和產業促進

7.7 國際合作

7.8 物資保障

7.9 經費保障

7.10 責任與獎懲

8.1 預案管理

8.2 預案解釋

8.3 預案實施時間

建立健全國家網路安全事件應急工作機制，提高應對網路安全事件能力，預防和減少網路安全事件造成的損失和危害，保護公眾利益，維護國家安全、公共安全和社會秩序。

《中華人民共和國突發事件應對法》、《中華人民共和國網路安全法》、《國家突發公共事件總體應急預案》、《突發事件應急預案管理辦法》和《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007）等相關規定。

本預案所指網路安全事件是指由於人為原因、軟硬體缺陷或故障、自然災害等，對網路和信息系統或者其中的數據造成危害，對社會造成負面影響的事件，可分為有害程式事件、網路攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他事件。

本預案適用於網路安全事件的應對工作。其中，有關信息內容安全事件的應對，另行制定專項預案。

網路安全事件分為四級：特別重大網路安全事件、重大網路安全事件、較大網路安全事件、一般網路安全事件。

（1）符合下列情形之一的，為特別重大網路安全事件：

①重要網路和信息系統遭受特別嚴重的系統損失，造成系統大面積癱瘓，喪失業務處理能力。

②國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成特別嚴重威脅。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網路安全事件。

（2）符合下列情形之一且未達到特別重大網路安全事件的，為重大網路安全事件：

①重要網路和信息系統遭受嚴重的系統損失，造成系統長時間中斷或局部癱瘓，業務處理能力受到極大影響。

②國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成嚴重威脅。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網路安全事件。

（3）符合下列情形之一且未達到重大網路安全事件的，為較大網路安全事件：

①重要網路和信息系統遭受較大的系統損失，造成系統中斷，明顯影響系統效率，業務處理能力受到影響。

②國家秘密信息、重要敏感信息和關鍵數據丟失或被竊取、篡改、假冒，對國家安全和社會穩定構成較嚴重威脅。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網路安全事件。

（4）除上述情形外，對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網路安全事件，為一般網路安全事件。

堅持統一領導、分級負責；堅持統一指揮、密切協同、快速反應、科學處置；堅持預防為主，預防與應急相結合；堅持誰主管誰負責、誰運行誰負責，充分發揮各方面力量共同做好網路安全事件的預防和處置工作。

在中央網路安全和信息化領導小組（以下簡稱“領導小組”）的領導下，中央網路安全和信息化領導小組辦公室（以下簡稱“中央網信辦”）統籌協調組織國家網路安全事件應對工作，建立健全跨部門聯動處置機制，工業和信息化部、公安部、國家保密局等相關部門按照職責分工負責相關網路安全事件應對工作。必要時成立國家網路安全事件應急指揮部（以下簡稱“指揮部”），負責特別重大網路安全事件處置的組織指揮和協調。

國家網路安全應急辦公室（以下簡稱“應急辦”）設在中央網信辦，具體工作由中央網信辦網路安全協調局承擔。應急辦負責網路安全應急跨部門、跨地區協調工作和指揮部的事務性工作，組織指導國家網路安全應急技術支撐隊伍做好應急處置的技術支撐工作。有關部門派負責相關工作的司局級同志為聯絡員，聯絡應急辦工作。

中央和國家機關各部門按照職責和許可權，負責本部門、本行業網路和信息系統網路安全事件的預防、監測、報告和應急處置工作。

各省（區、市）網信部門在本地區黨委網路安全和信息化領導小組統一領導下，統籌協調組織本地區網路和信息系統網路安全事件的預防、監測、報告和應急處置工作。

網路安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應發生或可能發生特別重大、重大、較大和一般網路安全事件。

各單位按照“誰主管誰負責、誰運行誰負責”的要求，組織對本單位建設運行的網路和信息系統開展網路安全監測工作。重點行業主管或監管部門組織指導做好本行業網路安全監測工作。各省（區、市）網信部門結合本地區實際，統籌組織開展對本地區網路和信息系統的安全監測工作。各省（區、市）、各部門將重要監測信息報應急辦，應急辦組織開展跨省（區、市）、跨部門的網路安全信息共享。

各省（區、市）、各部門組織對監測信息進行研判，認為需要立即採取防範措施的，應當及時通知有關部門和單位，對可能發生重大及以上網路安全事件的信息及時向應急辦報告。各省（區、市）、各部門可根據監測研判情況，發布本地區、本行業的橙色及以下預警。

應急辦組織研判，確定和發布紅色預警和涉及多省（區、市）、多部門、多行業的預警。

預警信息包括事件的類別、預警級別、起始時間、可能影響範圍、警示事項、應採取的措施和時限要求、發布機關等。

（1）應急辦組織預警回響工作，聯繫專家和有關機構，組織對事態發展情況進行跟蹤研判，研究制定防範措施和應急工作方案，協調組織資源調度和部門聯動的各項準備工作。

（2）有關省（區、市）、部門網路安全事件應急指揮機構實行24小時值班，相關人員保持通信聯絡暢通。加強網路安全事件監測和事態發展信息蒐集工作，組織指導應急支撐隊伍、相關運行單位開展應急處置或準備、風險評估和控制工作，重要情況報應急辦。

（3）國家網路安全應急技術支撐隊伍進入待命狀態，針對預警信息研究制定應對方案，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

（1）有關省（區、市）、部門網路安全事件應急指揮機構啟動相應應急預案，組織開展預警回響工作，做好風險評估、應急準備和風險控制工作。

（2）有關省（區、市）、部門及時將事態發展情況報應急辦。應急辦密切關注事態發展，有關重大事項及時通報相關省（區、市）和部門。

（3）國家網路安全應急技術支撐隊伍保持聯絡暢通，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

有關地區、部門網路安全事件應急指揮機構啟動相應應急預案，指導組織開展預警回響。

預警發布部門或地區根據實際情況，確定是否解除預警，及時發布預警解除信息。

網路安全事件發生後，事發單位應立即啟動應急預案，實施處置並及時報送信息。各有關地區、部門立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好信息通報工作。對於初判為特別重大、重大網路安全事件的，立即報告應急辦。

網路安全事件應急回響分為四級，分別對應特別重大、重大、較大和一般網路安全事件。I級為最高回響級別。

屬特別重大網路安全事件的，及時啟動I級回響，成立指揮部，履行應急處置工作的統一領導、指揮、協調職責。應急辦24小時值班。

有關省（區、市）、部門應急指揮機構進入應急狀態，在指揮部的統一領導、指揮、協調下，負責本省（區、市）、本部門應急處置工作或支援保障工作，24小時值班，並派員參加應急辦工作。

有關省（區、市）、部門跟蹤事態發展，檢查影響範圍，及時將事態發展變化情況、處置進展情況報應急辦。指揮部對應對工作進行決策部署，有關省（區、市）和部門負責組織實施。

網路安全事件的Ⅱ級回響，由有關省（區、市）和部門根據事件的性質和情況確定。

（1）事件發生省（區、市）或部門的應急指揮機構進入應急狀態，按照相關應急預案做好應急處置工作。

（2）事件發生省（區、市）或部門及時將事態發展變化情況報應急辦。應急辦將有關重大事項及時通報相關地區和部門。

（3）處置中需要其他有關省（區、市）、部門和國家網路安全應急技術支撐隊伍配合和支持的，商應急辦予以協調。相關省（區、市）、部門和國家網路安全應急技術支撐隊伍應根據各自職責，積極配合、提供支持。

（4）有關省（區、市）和部門根據應急辦的通報，結合各自實際有針對性地加強防範，防止造成更大範圍影響和損失。

事件發生地區和部門按相關預案進行應急回響。

應急辦提出建議，報指揮部批准後，及時通報有關省（區、市）和部門。

由事件發生省（區、市）或部門決定，報應急辦，應急辦通報相關省（區、市）和部門。

特別重大網路安全事件由應急辦組織有關部門和省（區、市）進行調查處理和總結評估，並按程式上報。重大及以下網路安全事件由事件發生地區或部門自行組織調查處理和總結評估，其中重大網路安全事件相關總結調查報告報應急辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。

事件的調查處理和總結評估工作原則上在應急回響結束後30天內完成。

各地區、各部門按職責做好網路安全事件日常預防工作，制定完善相關應急預案，做好網路安全檢查、隱患排查、風險評估和容災備份，健全網路安全信息通報機制，及時採取有效措施，減少和避免網路安全事件的發生及危害，提高應對網路安全事件的能力。

中央網信辦協調有關部門定期組織演練，檢驗和完善預案，提高實戰能力。

各省（區、市）、各部門每年至少組織一次預案演練，並將演練情況報中央網信辦。

各地區、各部門應充分利用各種傳播媒介及其他有效的宣傳形式，加強突發網路安全事件預防和處置的有關法律、法規和政策的宣傳，開展網路安全基本知識和技能的宣傳活動。

各地區、各部門要將網路安全事件的應急知識列為領導幹部和有關人員的培訓內容，加強網路安全特別是網路安全應急預案的培訓，提高防範意識及技能。

在國家重要活動、會議期間，各省（區、市）、各部門要加強網路安全事件的防範和應急回響，確保網路安全。應急辦統籌協調網路安全保障工作，根據需要要求有關省（區、市）、部門啟動紅色預警回響。有關省（區、市）、部門加強網路安全監測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24小時值班，及時發現和處置網路安全事件隱患。

各地區、各部門、各單位要落實網路安全應急工作責任制，把責任落實到具體部門、具體崗位和個人，並建立健全應急工作機制。

加強網路安全應急技術支撐隊伍建設，做好網路安全事件的監測預警、預防防護、應急處置、應急技術支援工作。支持網路安全企業提升應急處置能力，提供應急技術支援。中央網信辦制定評估認定標準，組織評估和認定國家網路安全應急技術支撐隊伍。各省（區、市）、各部門應配備必要的網路安全專業技術人才，並加強與國家網路安全相關技術單位的溝通、協調，建立必要的網路安全信息共享機制。

建立國家網路安全應急專家組，為網路安全事件的預防和處置提供技術諮詢和決策建議。各地區、各部門加強各自的專家隊伍建設，充分發揮專家在應急處置工作中的作用。

從教育科研機構、企事業單位、協會中選拔網路安全人才，匯集技術與數據資源，建立網路安全事件應急服務體系，提高應對特別重大、重大網路安全事件的能力。

各地區、各部門加強網路安全應急基礎平台和管理平台建設，做到早發現、早預警、早回響，提高應急處置能力。

有關部門加強網路安全防範技術研究，不斷改進技術裝備，為應急回響工作提供技術支撐。加強政策引導，重點支持網路安全監測預警、預防防護、處置救援、應急服務等方向，提升網路安全應急產業整體水平與核心競爭力，增強防範和處置網路安全事件的產業支撐能力。

有關部門建立國際合作渠道，簽訂合作協定，必要時通過國際合作共同應對突發網路安全事件。

加強對網路安全應急裝備、工具的儲備，及時調整、升級軟體硬體工具，不斷增強應急技術支撐能力。

財政部門為網路安全事件應急處置提供必要的資金保障。有關部門利用現有政策和資金渠道，支持網路安全應急技術支撐隊伍建設、專家隊伍建設、基礎平台建設、技術研發、預案演練、物資保障等工作開展。各地區、各部門為網路安全應急工作提供必要的經費保障。

網路安全事件應急處置工作實行責任追究制。

中央網信辦及有關地區和部門對網路安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰和獎勵。

中央網信辦及有關地區和部門對不按照規定製定預案和組織開展演練，遲報、謊報、瞞報和漏報網路安全事件重要情況或者應急管理工作中有其他失職、瀆職行為的，依照相關規定對有關責任人給予處分；構成犯罪的，依法追究刑事責任。

本預案原則上每年評估一次，根據實際情況適時修訂。修訂工作由中央網信辦負責。

各省（區、市）、各部門、各單位要根據本預案制定或修訂本地區、本部門、本行業、本單位網路安全事件應急預案。

本預案由中央網信辦負責解釋。

本預案自印發之日起實施。

1. 網路安全事件分類

2. 名詞術語

3. 網路和信息系統損失程度劃分說明

網路安全事件分為有害程式事件、網路攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障、災害性事件和其他網路安全事件等。

（1）有害程式事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、殭屍網路事件、混合程式攻擊事件、網頁內嵌惡意代碼事件和其他有害程式事件。

（2）網路攻擊事件分為拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網路掃描竊聽事件、網路釣魚事件、干擾事件和其他網路攻擊事件。

（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。

（4）信息內容安全事件是指通過網路傳播法律法規禁止信息，組織非法串聯、煽動集會遊行或炒作敏感問題並危害國家安全、社會穩定和公眾利益的事件。

（5）設備設施故障分為軟硬體自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。

（6）災害性事件是指由自然災害等其他突發事件導致的網路安全事件。

（7）其他事件是指不能歸為以上分類的網路安全事件。

一、重要網路與信息系統

所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網路和信息系統。

（參考依據：《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007））

二、重要敏感信息

不涉及國家秘密，但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的信息，這些信息一旦未經授權披露、丟失、濫用、篡改或銷毀，可能造成以下後果：

a) 損害國防、國際關係；

b) 損害國家財產、公共利益以及個人財產或人身安全；

c) 影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等；

d) 影響行政機關依法調查處理違法、瀆職行為，或涉嫌違法、瀆職行為；

e) 干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；

f) 危害國家關鍵基礎設施、政府信息系統安全；

g) 影響市場秩序，造成不公平競爭，破壞市場規律；

h) 可推論出國家秘密事項；

i) 侵犯個人隱私、企業商業秘密和智慧財產權；

j) 損害國家、企業、個人的其他利益和聲譽。

（參考依據：《信息安全技術雲計算服務安全指南》（GB/T31167-2014））

網路和信息系統損失是指由於網路安全事件對系統的軟硬體、功能及數據的破壞，導致系統業務中斷，從而給事發組織所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失，說明如下：

a) 特別嚴重的系統損失：造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵數據的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對於事發組織是不可承受的；

b) 嚴重的系統損失：造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對於事發組織是可承受的；

c) 較大的系統損失：造成系統中斷，明顯影響系統效率，使重要信息系統或一般信息系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對於事發組織是完全可以承受的；

d) 較小的系統損失：造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要數據的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。