国家网络安全事件应急预案 目 录 1 总则 2 3 1.1 编制目的 1.2 编制依据 1.3 适用范围 1.4 事件分级 1.5 工作原则 组织机构与职责 2.1 领导机构与职责 2.2 办事机构与职责 2.3 各部门职责 2.4 各省（区、市）职责 监测与预警 3.1 预警分级 3.2 预警监测 3.3 预警研判和发布 3.4 预警响应 3.5 预警解除 4 应急处置 4.1 事件报告 4.2 应急响应 4.3 应急结束 5 调查与评估 6 预防工作 7 6.1 日常管理 6.2 演练 6.3 宣传 6.4 培训 6.5 重要活动期间的预防措施 保障措施 7.1 机构和人员 7.2 技术支撑队伍 7.3 专家队伍 7.4 社会资源 7.5 基础平台 7.6 技术研发和产业促进 7.7 国际合作 7.8 物资保障 7.9 经费保障 7.10 8 1 责任与奖惩 附则 8.1 预案管理 8.2 预案解释 8.3 预案实施时间 总则 1.1 编制目的 建立健全国家网络安全事件应急工作机制，提高应对网络 安全事件能力，预防和减少网络安全事件造成的损失和危害， 保护公众利益，维护国家安全、公共安全和社会秩序。 1.2 编制依据 《中华人民共和国突发事件应对法》、《中华人民共和国 网络安全法》、《国家突发公共事件总体应急预案》、《突发 事件应急预案管理办法》和《信息安全技术信息安全事件分类 分级指南》（GB/Z 20986-2007）等相关规定。 1.3 适用范围 本预案所指网络安全事件是指由于人为原因、软硬件缺陷 或故障、自然灾害等，对网络和信息系统或者其中的数据造成 危害，对社会造成负面影响的事件，可分为有害程序事件、网 络攻击事件、信息破坏事件、信息内容安全事件、设备设施故 障、灾害性事件和其他事件。 本预案适用于网络安全事件的应对工作。其中，有关信息 内容安全事件的应对，另行制定专项预案。 1.4 事件分级 网络安全事件分为四级：特别重大网络安全事件、重大网 络安全事件、较大网络安全事件、一般网络安全事件。 （1）符合下列情形之一的，为特别重大网络安全事件： ①重要网络和信息系统遭受特别严重的系统损失，造成系 统大面积瘫痪，丧失业务处理能力。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃 取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成 特别严重威胁、造成特别严重影响的网络安全事件。 （2）符合下列情形之一且未达到特别重大网络安全事件的， 为重大网络安全事件： ①重要网络和信息系统遭受严重的系统损失，造成系统长 时间中断或局部瘫痪，业务处理能力受到极大影响。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、 篡改、假冒，对国家安全和社会稳定构成严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成 严重威胁、造成严重影响的网络安全事件。 （3）符合下列情形之一且未达到重大网络安全事件的，为较 大网络安全事件： ①重要网络和信息系统遭受较大的系统损失，造成系统中 断，明显影响系统效率，业务处理能力受到影响。 ②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、 篡改、假冒，对国家安全和社会稳定构成较严重威胁。 ③其他对国家安全、社会秩序、经济建设和公众利益构成较 严重威胁、造成较严重影响的网络安全事件。 （4）除上述情形外，对国家安全、社会秩序、经济建设和公 众利益构成一定威胁、造成一定影响的网络安全事件，为一般 网络安全事件。 1.5 工作原则 坚持统一领导、分级负责；坚持统一指挥、密切协同、快 速反应、科学处置；坚持预防为主，预防与应急相结合；坚持 谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好 网络安全事件的预防和处置工作。 组织机构与职责 2 2.1 领导机构与职责 在中央网络安全和信息化领导小组（以下简称“领导小 组”）的领导下，中央网络安全和信息化领导小组办公室（以 下简称“中央网信办”）统筹协调组织国家网络安全事件应对 工作，建立健全跨部门联动处置机制，工业和信息化部、公安 部、国家保密局等相关部门按照职责分工负责相关网络安全事 件应对工作。必要时成立国家网络安全事件应急指挥部（以下 简称“指挥部”），负责特别重大网络安全事件处置的组织指 挥和协调。 2.2 办事机构与职责 国家网络安全应急办公室（以下简称“应急办”）设在中 央网信办，具体工作由中央网信办网络安全协调局承担。应急 办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务 性工作，组织指导国家网络安全应急技术支撑队伍做好应急处 置的技术支撑工作。有关部门派负责相关工作的司局级同志为 联络员，联络应急办工作。 2.3 各部门职责 中央和国家机关各部门按照职责和权限，负责本部门、本 行业网络和信息系统网络安全事件的预防、监测、报告和应急 处置工作。 2.4 各省（区、市）职责 各省（区、市）网信部门在本地区党委网络安全和信息化 领导小组统一领导下，统筹协调组织本地区网络和信息系统网 络安全事件的预防、监测、报告和应急处置工作。 3 3.1 监测与预警 预警分级 网络安全事件预警等级分为四级：由高到低依次用红色、 橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、 重大、较大和一般网络安全事件。 3.2 预警监测 各单位按照“谁主管谁负责、谁运行谁负责”的要求，组 织对本单位建设运行的网络和信息系统开展网络安全监测工 作。重点行业主管或监管部门组织指导做好本行业网络安全监 测工作。各省（区、市）网信部门结合本地区实际，统筹组织 开展对本地区网络和信息系统的安全监测工作。各省（区、 市）、各部门将重要监测信息报应急办，应急办组织开展跨省 （区、市）、跨部门的网络安全信息共享。 预警研判和发布 3.3 各省（区、市）、各部门组织对监测信息进行研判，认为 需要立即采取防范措施的，应当及时通知有关部门和单位，对 可能发生重大及以上网络安全事件的信息及时向应急办报告。 各省（区、市）、各部门可根据监测研判情况，发布本地区、 本行业的橙色及以下预警。 应急办组织研判，确定和发布红色预警和涉及多省（区、 市）、多部门、多行业的预警。 预警信息包括事件的类别、预警级别、起始时间、可能影 响范围、警示事项、应采取的措施和时限要求、发布机关等。 3.4 预警响应 3.4.1 红色预警响应 （1）应急办组织预警响应工作，联系专家和有关机构，组织 对事态发展情况进行跟踪研判，研究制定防范措施和应急工作 方案，协调组织资源调度和部门联动的各项准备工作。 （2）有关省（区、市）、部门网络安全事件应急指挥机构实 行 24 小时值班，相关人员保持通信联络畅通。加强网络安全事 件监测和事态发展信息搜集工作，组织指导应急支撑队伍、相 关运行单位开展应急处置或准备、风险评估和控制工作，重要 情况报应急办。 （3）国家网络安全应急技术支撑队伍进入待命状态，针对预 警信息研究制定应对方案，检查应急车辆、设备、软件工具 等，确保处于良好状态。 3.4.2 橙色预警响应 （1）有关省（区、市）、部门网络安全事件应急指挥机构启 动相应应急预案，组织开展预警响应工作，做好风险评估、应 急准备和风险控制工作。 （2）有关省（区、市）、部门及时将事态发展情况报应急 办。应急办密切关注事态发展，有关重大事项及时通报相关省 （区、市）和部门。 （3）国家网络安全应急技术支撑队伍保持联络畅通，检查应 急车辆、设备、软件工具等，确保处于良好状态。 3.4.3 黄色、蓝色预警响应 有关地区、部门网络安全事件应急指挥机构启动相应应急 预案，指导组织开展预警响应。 3.5 预警解除 预警发布部门或地区根据实际情况，确定是否解除预警，及 时发布预警解除信息。 4 应急处置 4.1 事件报告 网络安全事件发生后，事发单位应立即启动应急预案，实 施处置并及时报送信息。各有关地区、部门立即组织先期处 置，控制事态，消除隐患，同时组织研判，注意保存证据，做 好信息通报工作。对于初判为特别重大、重大网络安全事件 的，立即报告应急办。 4.2 应急响应 网络安全事件应急响应分为四级，分别对应特别重大、重 大、较大和一般网络安全事件。I 级为最高响应级别。 4.2.1 Ⅰ级响应 属特别重大网络安全事件的，及时启动 I 级响应，成立指 挥部，履行应急处置工作的统一领导、指挥、协调职责。应急 办 24 小时值班。 有关省（区、市）、部门应急指挥机构进入应急状态，在 指挥部的统一领导、指挥、协调下，负责本省（区、市）、本 部门应急处置工作或支援保障工作，24 小时值班，并派员参加 应急办工作。 有关省（区、市）、部门跟踪事态发展，检查影响范围， 及时将事态发展变化情况、处置进展情况报应急办。指挥部对 应对工作进行决策部署，有关省（区、市）和部门负责组织实 施。 4.2.2 Ⅱ级响应 网络安全事件的Ⅱ级响应，由有关省（区、市）和部门根 据事件的性质和情况确定。 （1）事件发生省（区、市）或部门的应急指挥机构进入应 急状态，按照相关应急预案做好应急处置工作。 （2）事件发生省（区、市）或部门及时将事态发展变化情 况报应急办。应急办将有关重大事项及时通报相关地区和部 门。 （3）处置中需要其他有关省（区、市）、部门和国家网络安 全应急技术支撑队伍配合和支持的，商应急办予以协调。相关 省（区、市）、部门和国家网络安全应急技术支撑队伍应根据 各自职责，积极配合、提供支持。 （4）有关省（区、市）和部门根据应急办的通报，结合各自 实际有针对性地加强防范，防止造成更大范围影响和损失。 4.2.3 Ⅲ级、Ⅳ级响应 事件发生地区和部门按相关预案进行应急响应。 4.3 应急结束 4.3.1 Ⅰ级响应结束 应急办提出建议，报指挥部批准后，及时通报有关省 （区、市）和部门。 4.3.2 Ⅱ级响应结束 由事件发生省（区、市）或部门决定，报应急办，应急办 通报相关省（区、市）和部门。 5 调查与评估 特别重大网络安全事件由应急办组织有关部门和省（区、 市）进行调查处理和总结评估，并按程序上报。重大及以下网 络安全事件由事件发生地区或部门自行组织调查处理和总结评 估，其中重大网络安全事件相关总结调查报告报应急办。总结 调查报告应对事件的起因、性质、影响、责任等进行分析评 估，提出处理意见和改进措施。 事件的调查处理和总结评估工作原则上在应急响应结束后 30 天内完成。 6 预防工作 6.1 日常管理