工业和信息化部关于印发《公共互联网网络安全突发 事件应急预案》的通知 工信部网安[2017]281 号 各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联 合网络通信集团有限公司，国家计算机网络应急技术处理协调中心、中国信息通信研究 院、中国软件评测中心、国家工业信息安全发展研究中心，域名注册管理和服务机构、互 联网企业、网络安全企业： 为进一步健全公共互联网网络安全突发事件应急机制，提升应对能力，根据《中华人 民共和国网络安全法》《国家网络安全事件应急预案》等，制定《公共互联网网络安全突 发事件应急预案》。现印发给你们，请结合实际，切实抓好贯彻落实。 工业和信息化部 2017 年 11 月 14 日 公共互联网网络安全突发事件应急预案 1.总则 1.1 编制目的 1.2 编制依据 1.3 适用范围 1.4 工作原则 2.组织体系 2.1 领导机构与职责 2.2 办事机构与职责 2.3 其他相关单位职责 3.事件分级 3.1 特别重大事件 3.2 重大事件 3.3 较大事件 3.4 一般事件 4.监测预警 4.1 事件监测 4.2 预警监测 4.3 预警分级 4.4 预警发布 4.5 预警响应 4.6 预警解除 5.应急处置 5.1 响应分级 5.2 先行处置 5.3 启动响应 5.4 事态跟踪 5.5 决策部署 5.6 结束响应 6.事后总结 6.1 调查评估 6.2 奖惩问责 7.预防与应急准备 7.1 预防保护 7.2 应急演练 7.3 宣传培训 7.4 手段建设 7.5 工具配备 8.保障措施 8.1 落实责任 8.2 经费保障 8.3 队伍建设 8.4 社会力量 8.5 国际合作 9.附则 9.1 预案管理 9.2 预案解释 9.3 预案实施时间 1.总则 1.1 编制目的 建立健全公共互联网网络安全突发事件应急组织体系和工作机制，提高公共互联网网 络安全突发事件综合应对能力，确保及时有效地控制、减轻和消除公共互联网网络安全突 发事件造成的社会危害和损失，保证公共互联网持续稳定运行和数据安全，维护国家网络 空间安全，保障经济运行和社会秩序。 1.2 编制依据 《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和 国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急 预案》等相关规定。 1.3 适用范围 本预案适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构（以下简 称域名机构）、互联网企业（含工业互联网平台企业）发生网络安全突发事件的应对工 作。 本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序 等导致的，造成或可能造成严重社会危害或影响，需要电信主管部门组织采取应急处置措 施予以应对的网络中断（拥塞）、系统瘫痪（异常）、数据泄露（丢失）、病毒传播等事 件。 本预案所称电信主管部门包括工业和信息化部及各省（自治区、直辖市）通信管理 局。 工业和信息化部对国家重大活动期间网络安全突发事件应对工作另有规定的，从其规 定。 1.4 工作原则 公共互联网网络安全突发事件应急工作坚持统一领导、分级负责；坚持统一指挥、密 切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；落实基础电信企业、 域名机构、互联网服务提供者的主体责任；充分发挥网络安全专业机构、网络安全企业和 专家学者等各方面力量的作用。 2.组织体系 2.1 领导机构与职责 在中央网信办统筹协调下，工业和信息化部网络安全和信息化领导小组（以下简称部 领导小组）统一领导公共互联网网络安全突发事件应急管理工作，负责特别重大公共互联 网网络安全突发事件的统一指挥和协调。 2.2 办事机构与职责 在中央网信办下设的国家网络安全应急办公室统筹协调下，在部领导小组统一领导 下，工业和信息化部网络安全应急办公室（以下简称部应急办）负责公共互联网网络安全 应急管理事务性工作；及时向部领导小组报告突发事件情况，提出特别重大网络安全突发 事件应对措施建议；负责重大网络安全突发事件的统一指挥和协调；根据需要协调较大、 一般网络安全突发事件应对工作。 部应急办具体工作由工业和信息化部网络安全管理局承担，有关单位明确负责人和联 络员参与部应急办工作。 2.3 其他相关单位职责 各省（自治区、直辖市）通信管理局负责组织、指挥、协调本行政区域相关单位开展 公共互联网网络安全突发事件的预防、监测、报告和应急处置工作。 基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报 告和应急处置工作，为其他单位的网络安全突发事件应对提供技术支持。 国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、 国家工业信息安全发展研究中心（以下统称网络安全专业机构）负责监测、报告公共互联 网网络安全突发事件和预警信息，为应急工作提供决策支持和技术支撑。 鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对工作。 3.事件分级 根据社会影响范围和危害程度，公共互联网网络安全突发事件分为四级：特别重大事 件、重大事件、较大事件、一般事件。 3.1 特别重大事件 符合下列情形之一的，为特别重大网络安全事件： （1）全国范围大量互联网用户无法正常上网； （2）.CN 国家顶级域名系统解析效率大幅下降； （3）1 亿以上互联网用户信息泄露； （4）网络病毒在全国范围大面积爆发； （5）其他造成或可能造成特别重大危害或影响的网络安全事件。 3.2 重大事件 符合下列情形之一的，为重大网络安全事件： （1）多个省大量互联网用户无法正常上网； （2）在全国范围有影响力的网站或平台访问出现严重异常； （3）大型域名解析系统访问出现严重异常； （4）1 千万以上互联网用户信息泄露； （5）网络病毒在多个省范围内大面积爆发； （6）其他造成或可能造成重大危害或影响的网络安全事件。 3.3 较大事件 符合下列情形之一的，为较大网络安全事件： （1）1 个省内大量互联网用户无法正常上网； （2）在省内有影响力的网站或平台访问出现严重异常； （3）1 百万以上互联网用户信息泄露； （4）网络病毒在 1 个省范围内大面积爆发； （5）其他造成或可能造成较大危害或影响的网络安全事件。 3.4 一般事件 符合下列情形之一的，为一般网络安全事件： （1）1 个地市大量互联网用户无法正常上网； （2）10 万以上互联网用户信息泄露； （3）其他造成或可能造成一般危害或影响的网络安全事件。 4.监测预警 4.1 事件监测 基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切 监测，一旦发生本预案规定的网络安全突发事件，应当立即通过电话等方式向部应急办和 相关省（自治区、直辖市）通信管理局报告，不得迟报、谎报、瞒报、漏报。 网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的公共互联 网网络安全突发事件信息，并及时向部应急办和相关省（自治区、直辖市）通信管理局报 告。 报告突发事件信息时，应当说明事件发生时间、初步判定的影响范围和危害、已采取 的应急处置措施和有关建议。 4.2 预警监测 基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过 多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，对发生 突发事件的可能性及其可能造成的影响进行分析评估；认为可能发生特别重大或重大突发 事件的，应当立即向部应急办报告；认为可能发生较大或一般突发事件的，应当立即向相 关省（自治区、直辖市）通信管理局报告。 4.3 预警分级 建立公共互联网网络突发事件预警制度，按照紧急程度、发展态势和可能造成的危害 程度，公共互联网网络突发事件预警等级分为四级：由高到低依次用红色、橙色、黄色和 蓝色标示，分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。 4.4 预警发布 部应急办和各省（自治区、直辖市）通信管理局应当及时汇总分析突发事件隐患和预 警信息，必要时组织相关单位、专业技术人员、专家学者进行会商研判。 认为需要发布红色预警的，由部应急办报国家网络安全应急办公室统一发布（或转发 国家网络安全应急办公室发布的红色预警），并报部领导小组；认为需要发布橙色预警 的，由部应急办统一发布，并报国家网络安全应急办公室和部领导小组；认为需要发布黄 色、蓝色预警的，相关省（自治区、直辖市）通信管理局可在本行政区域内发布，并报部 应急办，同时通报地方相关部门。对达不到预警级别但又需要发布警示信息的，部应急办 和各省（自治区、直辖市）通信管理局可以发布风险提示信息。 发布预警信息时，应当包括预警级别、起始时间、可能的影响范围和造成的危害、应 采取的防范措施、时限要求和发布机关等，并公布咨询电话。面向社会发布预警信息可通 过网站、短信、微信等多种形式。 4.5 预警响应 4.5.1 黄色、蓝色预警响应 发布黄色、蓝色预警后，相关省（自治区、直辖市）通信管理局应当针对即将发生的 网络安全突发事件的特点和可能造成的危害，采取下列措施： （1）要求有关单位、机构和人员及时收集、报告有关信息，加强网络安全风险的监 测； （2）组织有关单位、机构和人员加强事态跟踪分析评估，密切关注事态发展，重要 情况报部应急办； （3）及时宣传避免、减轻危害的措施，公布咨询电话，并对相关信息的报道工作进 行正确引导。 4.5.2 红色、橙色预警响应 发布红色、橙色预警后，部应急办除采取黄色、蓝色预警响应措施外，还应当针对即 将发生的网络安全突发事件的特点和可能造成的危害，采取下列措施： （1）要求各相关单位实行 24 小时值班，相关人员保持通信联络畅通； （2）组织研究制定防范措施和应急工作方案，协调调度各方资源，做好各项准备工 作，重要情况报部领导小组； （3）组织有关单位加强对重要网络、系统的网络安全防护； （4）要求相关网络安全专业机构、网络安全企业进入待命状态，针对预警信息研究 制定应对方案，检查应急设备、软件工具等，确保处于良好状态。 4.6 预警解除 部应急办和省（自治区、直辖市）通信管理局发布预警后，应当根据事态发展，适时 调整预警级别并按照权限重新发布；经研判不可能发生突发事件或风险已经解除的，应当 及时宣布解除预警，并解除已经采取的有关措施。相关省（自治区、直辖市）通信管理局 解除黄色、蓝色预警后，应及时向部应急办报告。 5.应急处置 5.1 响应分级 公共互联网网络安全突发事件应急响应分为四级：I 级、II 级、III 级、IV 级，分别 对应已经发生的特别重大、重