工业和信息化领域数据安全事件应急预案（试行） 1.总则 1.1 编制目的 建立健全工业和信息化领域数据安全事件应急组织体系和 工作机制，提高数据安全事件综合应对能力，确保及时有效地 控制、减轻和消除数据安全事件造成的危害和损失，保护个人、 组织的合法权益，维护国家安全和公共利益。 1.2 编制依据 《中华人民共和国突发事件应对法》《中华人民共和国数 据安全法》《中华人民共和国网络安全法》《中华人民共和国 个人信息保护法》《网络数据安全管理条例》等法律法规和《工 业和信息化领域数据安全管理办法（试行）》等相关政策制度。 1.3 适用范围 在中华人民共和国境内发生的工业和信息化领域数据安全 事件应急处置活动，应当遵守相关法律、行政法规和本预案的 要求。 工业和信息化部对重大活动期间数据安全事件应急处置工 作另有规定的，从其规定。 1.4 事件定义 - 1 - 本预案所称数据安全事件，是指数据遭篡改、破坏、泄露 或者非法获取、非法利用，对国家安全、公共利益或者个人、 组织合法权益造成危害的事件。 1.5 事件分级 根据数据安全事件对国家安全、企业网络设施和信息系统、 生产运营、经济运行等造成的影响范围和危害程度，将数据安 全事件分为特别重大、重大、较大和一般四个级别（见附件 1）。 1.6 工作原则 数据安全事件应急工作应当坚持统一领导、分级负责。坚 持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、 谁管业务数据、谁管数据安全”，落实数据处理者的数据安全主 体责任。坚持充分发挥各方面力量，共同做好数据安全事件应 急处置工作。 2.组织体系 2.1 领导机构与职责 在国家数据安全工作协调机制统筹协调下，工业和信息化 部网络安全和信息化领导小组（以下简称部网信领导小组）统 一领导数据安全事件应急管理工作，负责特别重大数据安全事 件的统一指挥和协调。 2.2 办事机构与职责 在部网信领导小组统一领导下，工业和信息化领域数据安 - 2 - 全工作机制（以下简称数据安全机制）负责统筹开展工业和信 息化领域数据安全应急处置工作；及时向部网信领导小组报告 数据安全事件情况，提出特别重大数据安全事件应对措施建议； 负责重大数据安全事件的统一指挥和协调处置；根据需要协调 较大、一般数据安全事件应急处置工作。 数据安全机制具体工作由工业和信息化部网络安全管理局 牵头承担。 2.3 地方和数据处理者职责 各省、自治区、直辖市及计划单列市、新疆生产建设兵团 工业和信息化主管部门，各省、自治区、直辖市通信管理局和 无线电管理机构（以下统称地方行业监管部门）负责组织开展 本地区本领域数据安全事件应急处置工作，结合实际根据本预 案分别制定本地区本领域数据安全事件应急预案。 工业和信息化领域数据处理者负责本单位数据安全事件预 防、监测、应急处置、报告等工作，应当根据应对数据安全事 件的需要，制定本单位数据安全事件应急预案。 中央企业应当督促指导所属企业在数据安全事件应急处置 工作中履行属地管理要求，并负责全面梳理汇总企业集团本部、 所属企业的数据安全事件应急处置相关情况，按要求及时报送 工业和信息化部。 2.4 应急支撑机构与职责 - 3 - 工业和信息化部及地方行业监管部门（以下统称行业监管 部门）根据需要遴选部级与属地两级专业数据安全应急支撑机 构，负责开展数据安全事件预防保护、监测预警、应急处置、 攻击溯源等工作。 2.5 协同联动 行业监管部门按照有关法律、行政法规，与有关部门加强 协同联动，依法配合有关部门开展数据安全事件应急处置工作。 3.监测与预警 3.1 预警监测和报告 地方行业监管部门、工业和信息化领域数据处理者、数据 安全应急支撑机构应当按照《工业和信息化领域数据安全管理 办法（试行）》、工业和信息化领域数据安全风险信息报送与 共享等要求，加强数据安全风险监测、研判和上报，分析相关 风险发生数据安全事件的可能性及其可能造成的影响。 地方行业监管部门认为可能发生重大及以上数据安全事件 的，应当立即上报数据安全机制。 工业和信息化领域数据处理者、数据安全应急支撑机构认 为可能发生较大及以上数据安全事件的，应当立即向地方行业 监管部门报告（模板见附件 2）。 3.2 预警分级 工业和信息化部统筹建立数据安全风险预警机制，根据紧 - 4 - 急程度、发展态势、数据规模、关联影响和现实危害等，将数 据安全风险预警等级分为四级：由高到低依次用红色、橙色、 黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和 一般数据安全事件。 行业监管部门及时汇总分析数据安全风险和预警信息，必 要时组织数据安全应急支撑机构、专家、相关企业进行会商谈 判，明确预警等级。 3.3 预警发布 认为需要发布红色、橙色预警的，由数据安全机制报部网 信领导小组同意后统一发布，红色预警同步报国家数据安全工 作协调机制办公室；认为需要发布黄色和蓝色预警的，由相关 地方行业监管部门在本地区本领域内发布。 发布预警信息时，应当包括预警等级、起始时间、可能的 影响范围和造成的危害、警示事项、应采取的防范措施、处置 时限要求、发布范围和发布机关等。 3.4 预警响应 发布黄色和蓝色预警后，地方行业监管部门应当针对即将 发生的数据安全事件特点和可能造成的危害，采取下列措施： （1）要求涉及预警信息的数据处理者及时收集、报告有关 信息，加强数据安全风险监测； （2）组织数据安全应急支撑机构加强预警信息分析评估与 - 5 - 事态跟踪，密切关注事态发展，提出下步工作措施； （3）组织专家加强风险研判及原因、影响等分析，提出应 急处置方法和整改措施建议。 发布红色和橙色预警后，数据安全机制除采取黄色和蓝色 预警响应措施外，还应当针对即将发生的数据安全事件特点和 可能造成的危害，采取下列措施： （1）要求地方行业监管部门、涉及预警信息的数据处理者 等相关单位加强值班值守，相关人员保持通信联络畅通； （2）组织研究制定防范措施和应急工作方案，组织专家会 商研提意见，协调各方资源，做好各项准备工作； （3）要求相关数据安全应急支撑机构进入待命状态，针对 预警信息研究制定应对方案，检查应急设备、软件工具等使用 情况，确保处于良好状态。 3.5 预警调整和解除 数据安全机制、地方行业监管部门发布预警后，应当根据 事态发展，适时调整预警级别并按照权限重新发布。经研判不 可能发生事件或风险已经解除的，应当及时宣布解除预警，并 解除已经采取的有关预警响应措施。 4.事件响应 4.1 响应分级 数据安全事件应急响应分为四级：I 级、II 级、III 级、IV - 6 - 级，分别对应发生特别重大、重大、较大、一般数据安全事件 的应急响应。 4.2 事件监测和报告 工业和信息化领域数据处理者一旦发现数据安全事件，应 当立即先行判断，对自判为较大及以上事件的，应当立即向地 方行业监管部门报告，不得迟报、谎报、瞒报、漏报。 数据安全应急支撑机构应当通过多种途径监测、收集数据 安全事件信息，及时向行业监管部门报告。 地方行业监管部门初步研判为特别重大、重大数据安全事 件的，应当在发现事件后按照“电话 10 分钟、书面 30 分钟”的 要求向数据安全机制报告。 数据安全机制按照有关规定将涉及重大及以上的数据安全 事件报送国家数据安全工作协调机制办公室。 报告事件研判信息时，应当说明事件发生时间、初步判定 的影响范围和危害、已采取的应急处置措施和有关建议。 4.3 先行处置 数据安全事件发生后，工业和信息化领域数据处理者应当 立即启动应急响应工作，组织本单位应急队伍和工作人员采取 应急处置措施，开展数据恢复或追溯工作，尽可能减少对用户 和社会的影响，同时保存相关痕迹和证据。 4.4 应急响应 - 7 - 行业监管部门视情组织数据安全应急支撑机构、专家等进 行研判，确定事件级别和响应等级，启动应急响应。 4.4.1 I 级响应 根据国家数据安全工作协调机制有关决定或经部网信领导 小组批准后启动，由数据安全机制统一指挥、协调。 数据安全机制在发现事件后按照“电话 20 分钟、书面 40 分 钟”的要求将事件情况向部网信领导小组报告；进入应急状态， 加强值班值守，相关人员保持联络畅通，相关单位派员参加数 据安全机制工作；视情设立应急恢复、事件溯源、影响评估、 信息发布、跨部门协调、国际协调等工作组；召开紧急会议， 听取各相关方面情况汇报，研究紧急应对措施，对应急处置工 作进行决策部署，指导相关地方行业监管部门、数据处理者开 展应对工作；视事件严重程度和涉事数据处理者整改处置情况， 评估是否开展现场检查。 地方行业监管部门立即启动本地区本领域数据安全事件应 急预案，进入应急状态，加强值班值守，相关人员保持联络畅 通，派员参加数据安全机制工作；加强事件跟踪监测、研判分 析和排查处置，全面了解本地区本领域相关数据处理者受事件 影响情况。 涉事数据处理者立即进入应急状态，数据安全第一责任人 （本单位法定代表人或主要负责人）牵头组建事件应对工作专 - 8 - 班，组织研究应对措施，统筹开展应急处置工作。数据安全直 接责任人（本单位数据安全工作分管领导）对应急处置工作进 行具体部署，组织专班加强值班值守，相关人员保持联络畅通； 持续加强监测分析，跟踪事态发展，评估影响范围和事件原因， 采取有效整改处置措施，并及时汇报工作进展和处置情况。 相关部级与属地数据安全应急支撑机构进入应急状态，加 强值班值守，相关人员保持联络畅通；持续加强监测分析，跟 踪事态发展变化、处置进展情况，评估影响范围。 组织专家加强安全事件研判分析，配合开展会商研讨，提 出应急处置决策建议。 4.4.2 II 级响应 由数据安全机制决定启动，并负责统一指挥、协调。 数据安全机制在发现事件后按照“电话 20 分钟、书面 40 分 钟”的要求将事件情况向部网信领导小组报告；进入应急状态， 相关人员保持联络畅通，相关单位派员参加数据安全机制工作； 召开紧急会议，听取各相关方面情况汇报，研究紧急应对措施， 对应急处置工作进行决策部署；视事件严重程度和涉事数据处 理者整改处置情况，评估是否开展现场检查。 地方行业监管部门立即启动本地区本领域数据安全事件应 急预案，进入应急状态，相关人员保持联络畅通，派员参加数 据安全机制工作；加强事件跟踪监测、研判分析和排查处置， - 9 - 全面了解本地区本领域相关企业受事件影响情况。 涉事数据处理者立即进入应急状态，数据安全直接责任人 牵头研究应对措施，统筹部署开展应急处置工作，相关人员保 持联络畅通；持续加强监测分析，跟踪事态发展，评估影响范 围和事件原因，采取有效整改处置措施，并及时汇报工作进展 和处置情况。 相关部级与属地数据安全应急支撑机构进入应急状态，相 关人员保持联络畅通；持续加