中央網信辦關於印發《國家網路安全事件應急預案》的通知

中央網信辦關於印發《國家網路安全事件應急預案》的通知

中網辦發文〔2017〕4號

各省、自治區、直轄市、新疆生產建設兵團黨委網路安全和資訊化領導小組， 中央和國家機關各部委、各人民團體：

《國家網路安全事件應急預案》已經中央網路安全和資訊化領導小組同意， 現印發給你們， 請認真組織實施。

中央網路安全和資訊化領導小組辦公室

2017年1月10日

國家網路安全事件應急預案

目 錄

1 總則

1.1 編制目的

1.2 編制依據

1.3 適用範圍

1.4 事件分級

1.5 工作原則

2 組織機構與職責

2.1 領導機構與職責

2.2 辦事機構與職責

2.3 各部門職責

2.4 各省（區、市）職責

3 監測與預警

3.1 預警分級

3.2 預警監測

3.3 預警研判和發佈

3.4 預警回應

3.5 預警解除

4 應急處置

4.1 事件報告

4.2 應急回應

4.3 應急結束

5 調查與評估

6 預防工作

6.1 日常管理

6.2 演練

6.3 宣傳

6.4 培訓

6.5 重要活動期間的預防措施

7 保障措施

7.1 機構和人員

7.2 技術支撐隊伍

7.3 專家隊伍

7.4 社會資源

7.5 基礎平臺

7.6 技術研發和產業促進

7.7 國際合作

7.8 物資保障

7.9 經費保障

7.10 責任與獎懲

8 附則

8.1 預案管理

8.2 預案解釋

8.3 預案實施時間

1 總則

1.1 編制目的

建立健全國家網路安全事件應急工作機制， 提高應對網路安全事件能力， 預防和減少網路安全事件造成的損失和危害， 保護公眾利益， 維護國家安全、公共安全和社會秩序。

1.2 編制依據

《中華人民共和國突發事件應對法》、《中華人民共和國網路安全法》、《國家突發公共事件總體應急預案》、《突發事件應急預案管理辦法》和《資訊安全技術資訊安全事件分類分級指南》（GB/Z 20986-2007）等相關規定。

1.3 適用範圍

本預案所指網路安全事件是指由於人為原因、軟硬體缺陷或故障、自然災害等， 對網路和資訊系統或者其中的資料造成危害， 對社會造成負面影響的事件， 可分為有害程式事件、網路攻擊事件、資訊破壞事件、資訊內容安全事件、設備設施故障、災害性事件和其他事件。

本預案適用于網路安全事件的應對工作。 其中， 有關資訊內容安全事件的應對， 另行制定專項預案。

1.4 事件分級

網路安全事件分為四級：特別重大網路安全事件、重大網路安全事件、較大網路安全事件、一般網路安全事件。

（1）符合下列情形之一的， 為特別重大網路安全事件：

①重要網路和資訊系統遭受特別嚴重的系統損失， 造成系統大面積癱瘓， 喪失業務處理能力。

②國家秘密資訊、重要敏感資訊和關鍵資料丟失或被竊取、篡改、假冒， 對國家安全和社會穩定構成特別嚴重威脅。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成特別嚴重威脅、造成特別嚴重影響的網路安全事件。

（2）符合下列情形之一且未達到特別重大網路安全事件的， 為重大網路安全事件：

①重要網路和資訊系統遭受嚴重的系統損失， 造成系統長時間中斷或局部癱瘓， 業務處理能力受到極大影響。

②國家秘密資訊、重要敏感資訊和關鍵資料丟失或被竊取、篡改、假冒，

③其他對國家安全、社會秩序、經濟建設和公眾利益構成嚴重威脅、造成嚴重影響的網路安全事件。

（3）符合下列情形之一且未達到重大網路安全事件的， 為較大網路安全事件：

①重要網路和資訊系統遭受較大的系統損失， 造成系統中斷， 明顯影響系統效率， 業務處理能力受到影響。

②國家秘密資訊、重要敏感資訊和關鍵資料丟失或被竊取、篡改、假冒， 對國家安全和社會穩定構成較嚴重威脅。

③其他對國家安全、社會秩序、經濟建設和公眾利益構成較嚴重威脅、造成較嚴重影響的網路安全事件。

（4）除上述情形外， 對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網路安全事件，

1.5 工作原則

堅持統一領導、分級負責；堅持統一指揮、密切協同、快速反應、科學處置；堅持預防為主， 預防與應急相結合；堅持誰主管誰負責、誰運行誰負責， 充分發揮各方面力量共同做好網路安全事件的預防和處置工作。

2 組織機構與職責

2.1 領導機構與職責

在中央網路安全和資訊化領導小組（以下簡稱“領導小組”）的領導下， 中央網路安全和資訊化領導小組辦公室（以下簡稱“中央網信辦”）統籌協調組織國家網路安全事件應對工作， 建立健全跨部門聯動處置機制， 工業和資訊化部、公安部、國家保密局等相關部門按照職責分工負責相關網路安全事件應對工作。 必要時成立國家網路安全事件應急指揮部（以下簡稱“指揮部”）， 負責特別重大網路安全事件處置的組織指揮和協調。

2.2 辦事機構與職責

國家網路安全應急辦公室（以下簡稱“應急辦”）設在中央網信辦，具體工作由中央網信辦網路安全協調局承擔。應急辦負責網路安全應急跨部門、跨地區協調工作和指揮部的事務性工作，組織指導國家網路安全應急技術支撐隊伍做好應急處置的技術支撐工作。有關部門派負責相關工作的司局級同志為聯絡員，聯絡應急辦工作。

2.3 各部門職責

中央和國家機關各部門按照職責和許可權，負責本部門、本行業網路和資訊系統網路安全事件的預防、監測、報告和應急處置工作。

2.4 各省（區、市）職責

各省（區、市）網信部門在本地區黨委網路安全和資訊化領導小組統一領導下，統籌協調組織本地區網路和資訊系統網路安全事件的預防、監測、報告和應急處置工作。

3 監測與預警

3.1 預警分級

網路安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應發生或可能發生特別重大、重大、較大和一般網路安全事件。

3.2 預警監測

各單位按照“誰主管誰負責、誰運行誰負責”的要求，組織對本單位建設運行的網路和資訊系統開展網路安全監測工作。重點行業主管或監管部門組織指導做好本行業網路安全監測工作。各省（區、市）網信部門結合本地區實際，統籌組織開展對本地區網路和資訊系統的安全監測工作。各省（區、市）、各部門將重要監測資訊報應急辦，應急辦組織開展跨省（區、市）、跨部門的網路安全資訊共用。

3.3 預警研判和發佈

各省（區、市）、各部門組織對監測資訊進行研判，認為需要立即採取防範措施的，應當及時通知有關部門和單位，對可能發生重大及以上網路安全事件的資訊及時向應急辦報告。各省（區、市）、各部門可根據監測研判情況，發佈本地區、本行業的橙色及以下預警。

應急辦組織研判，確定和發佈紅色預警和涉及多省（區、市）、多部門、多行業的預警。

預警資訊包括事件的類別、預警級別、起始時間、可能影響範圍、警示事項、應採取的措施和時限要求、發佈機關等。

3.4 預警回應

3.4.1 紅色預警回應

（1）應急辦組織預警回應工作，聯繫專家和有關機構，組織對事態發展情況進行跟蹤研判，研究制定防範措施和應急工作方案，協調組織資源調度和部門聯動的各項準備工作。

（2）有關省（區、市）、部門網路安全事件應急指揮機構實行24小時值班，相關人員保持通信聯絡暢通。加強網路安全事件監測和事態發展資訊搜集工作，組織指導應急支撐隊伍、相關運行單位開展應急處置或準備、風險評估和控制工作，重要情況報應急辦。

（3）國家網路安全應急技術支撐隊伍進入待命狀態，針對預警資訊研究制定應對方案，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

3.4.2 橙色預警回應

（1）有關省（區、市）、部門網路安全事件應急指揮機構啟動相應應急預案，組織開展預警回應工作，做好風險評估、應急準備和風險控制工作。

（2）有關省（區、市）、部門及時將事態發展情況報應急辦。應急辦密切關注事態發展，有關重大事項及時通報相關省（區、市）和部門。

（3）國家網路安全應急技術支撐隊伍保持聯絡暢通，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

3.4.3 黃色、藍色預警回應

有關地區、部門網路安全事件應急指揮機構啟動相應應急預案，指導組織開展預警回應。

3.5 預警解除

預警發佈部門或地區根據實際情況，確定是否解除預警，及時發佈預警解除資訊。

4 應急處置

4.1 事件報告

網路安全事件發生後，事發單位應立即啟動應急預案，實施處置並及時報送資訊。各有關地區、部門立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好資訊通報工作。對於初判為特別重大、重大網路安全事件的，立即報告應急辦。

4.2 應急響應

網路安全事件應急響應分為四級，分別對應特別重大、重大、較大和一般網路安全事件。I級為最高回應級別。

4.2.1 Ⅰ級響應

屬特別重大網路安全事件的，及時啟動I級回應，成立指揮部，履行應急處置工作的統一領導、指揮、協調職責。應急辦24小時值班。

有關省（區、市）、部門應急指揮機構進入應急狀態，在指揮部的統一領導、指揮、協調下，負責本省（區、市）、本部門應急處置工作或支援保障工作，24小時值班，並派員參加應急辦工作。

有關省（區、市）、部門跟蹤事態發展，檢查影響範圍，及時將事態發展變化情況、處置進展情況報應急辦。指揮部對應對工作進行決策部署，有關省（區、市）和部門負責組織實施。

4.2.2 Ⅱ級回應

網路安全事件的Ⅱ級回應，由有關省（區、市）和部門根據事件的性質和情況確定。

（1）事件發生省（區、市）或部門的應急指揮機構進入應急狀態，按照相關應急預案做好應急處置工作。

（2）事件發生省（區、市）或部門及時將事態發展變化情況報應急辦。應急辦將有關重大事項及時通報相關地區和部門。

（3）處置中需要其他有關省（區、市）、部門和國家網路安全應急技術支撐隊伍配合和支持的，商應急辦予以協調。相關省（區、市）、部門和國家網路安全應急技術支撐隊伍應根據各自職責，積極配合、提供支援。

（4）有關省（區、市）和部門根據應急辦的通報，結合各自實際有針對性地加強防範，防止造成更大範圍影響和損失。

4.2.3 Ⅲ級、Ⅳ級回應

事件發生地區和部門按相關預案進行應急回應。

4.3 應急結束

4.3.1 Ⅰ級回應結束

應急辦提出建議，報指揮部批准後，及時通報有關省（區、市）和部門。

4.3.2 Ⅱ級回應結束

由事件發生省（區、市）或部門決定，報應急辦，應急辦通報相關省（區、市）和部門。

5 調查與評估

特別重大網路安全事件由應急辦組織有關部門和省（區、市）進行調查處理和總結評估，並按程式上報。重大及以下網路安全事件由事件發生地區或部門自行組織調查處理和總結評估，其中重大網路安全事件相關總結調查報告報應急辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。

事件的調查處理和總結評估工作原則上在應急回應結束後30天內完成。

6 預防工作

6.1 日常管理

各地區、各部門按職責做好網路安全事件日常預防工作，制定完善相關應急預案，做好網路安全檢查、隱患排查、風險評估和容災備份，健全網路安全資訊通報機制，及時採取有效措施，減少和避免網路安全事件的發生及危害，提高應對網路安全事件的能力。

6.2 演練

中央網信辦協調有關部門定期組織演練，核對總和完善預案，提高實戰能力。

各省（區、市）、各部門每年至少組織一次預案演練，並將演練情況報中央網信辦。

6.3 宣傳

各地區、各部門應充分利用各種傳播媒介及其他有效的宣傳形式，加強突發網路安全事件預防和處置的有關法律、法規和政策的宣傳，開展網路安全基本知識和技能的宣傳活動。

6.4 培訓

各地區、各部門要將網路安全事件的應急知識列為領導幹部和有關人員的培訓內容，加強網路安全特別是網路安全應急預案的培訓，提高防範意識及技能。

6.5 重要活動期間的預防措施

在國家重要活動、會議期間，各省（區、市）、各部門要加強網路安全事件的防範和應急回應，確保網路安全。應急辦統籌協調網路安全保障工作，根據需要要求有關省（區、市）、部門啟動紅色預警回應。有關省（區、市）、部門加強網路安全監測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24小時值班，及時發現和處置網路安全事件隱患。

7 保障措施

7.1 機構和人員

各地區、各部門、各單位要落實網路安全應急工作責任制，把責任落實到具體部門、具體崗位和個人，並建立健全應急工作機制。

7.2 技術支撐隊伍

加強網路安全應急技術支撐隊伍建設，做好網路安全事件的監測預警、預防防護、應急處置、應急技術支援工作。支援網路安全企業提升應急處置能力，提供應急技術支援。中央網信辦制定評估認定標準，組織評估和認定國家網路安全應急技術支撐隊伍。各省（區、市）、各部門應配備必要的網路安全專業技術人才，並加強與國家網路安全相關技術單位的溝通、協調，建立必要的網路安全資訊共用機制。

7.3 專家隊伍

建立國家網路安全應急專家組，為網路安全事件的預防和處置提供技術諮詢和決策建議。各地區、各部門加強各自的專家隊伍建設，充分發揮專家在應急處置工作中的作用。

7.4 社會資源

從教育科研機構、企事業單位、協會中選拔網路安全人才，彙集技術與資料資源，建立網路安全事件應急服務體系，提高應對特別重大、重大網路安全事件的能力。

7.5 基礎平臺

各地區、各部門加強網路安全應急基礎平臺和管理平臺建設，做到早發現、早預警、早回應，提高應急處置能力。

7.6 技術研發和產業促進

有關部門加強網路安全防範技術研究，不斷改進技術裝備，為應急回應工作提供技術支撐。加強政策引導，重點支援網路安全監測預警、預防防護、處置救援、應急服務等方向，提升網路安全應急產業整體水準與核心競爭力，增強防範和處置網路安全事件的產業支撐能力。

7.7 國際合作

有關部門建立國際合作管道，簽訂合作協定，必要時通過國際合作共同應對突發網路安全事件。

7.8 物資保障

加強對網路安全應急裝備、工具的儲備，及時調整、升級軟體硬體工具，不斷增強應急技術支撐能力。

7.9 經費保障

財政部門為網路安全事件應急處置提供必要的資金保障。有關部門利用現有政策和資金管道，支援網路安全應急技術支撐隊伍建設、專家隊伍建設、基礎平臺建設、技術研發、預案演練、物資保障等工作開展。各地區、各部門為網路安全應急工作提供必要的經費保障。

7.10 責任與獎懲

網路安全事件應急處置工作實行責任追究制。

中央網信辦及有關地區和部門對網路安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰和獎勵。

中央網信辦及有關地區和部門對不按照規定制定預案和組織開展演練，遲報、謊報、瞞報和漏報網路安全事件重要情況或者應急管理工作中有其他失職、瀆職行為的，依照相關規定對有關責任人給予處分；構成犯罪的，依法追究刑事責任。

8 附則

8.1 預案管理

本預案原則上每年評估一次，根據實際情況適時修訂。修訂工作由中央網信辦負責。

各省（區、市）、各部門、各單位要根據本預案制定或修訂本地區、本部門、本行業、本單位網路安全事件應急預案。

8.2 預案解釋

本預案由中央網信辦負責解釋。

8.3 預案實施時間

本預案自印發之日起實施。

附件：

1. 網路安全事件分類

2. 名詞術語

3. 網路和資訊系統損失程度劃分說明

附件1

網路安全事件分類

網路安全事件分為有害程式事件、網路攻擊事件、資訊破壞事件、資訊內容安全事件、設備設施故障、災害性事件和其他網路安全事件等。

（1）有害程式事件分為電腦病毒事件、蠕蟲事件、特洛伊木馬事件、僵屍網路事件、混合程式攻擊事件、網頁內嵌惡意程式碼事件和其他有害程式事件。

（2）網路攻擊事件分為拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網路掃描竊聽事件、網路釣魚事件、干擾事件和其他網路攻擊事件。

（3）資訊破壞事件分為資訊篡改事件、資訊假冒事件、資訊洩露事件、資訊竊取事件、資訊丟失事件和其他資訊破壞事件。

（4）資訊內容安全事件是指通過網路傳播法律法規禁止資訊，組織非法串聯、煽動集會遊行或炒作敏感問題並危害國家安全、社會穩定和公眾利益的事件。

（5）設備設施故障分為軟硬體自身故障、週邊保障設施故障、人為破壞事故和其他設備設施故障。

（6）災害性事件是指由自然災害等其他突發事件導致的網路安全事件。

（7）其他事件是指不能歸為以上分類的網路安全事件。

附件2

名詞術語

一、重要網路與資訊系統

所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網路和資訊系統。

（參考依據：《資訊安全技術資訊安全事件分類分級指南》（GB/Z 20986-2007））

二、重要敏感資訊

不涉及國家秘密，但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的資訊，這些資訊一旦未經授權披露、丟失、濫用、篡改或銷毀，可能造成以下後果：

a) 損害國防、國際關係；

b) 損害國家財產、公共利益以及個人財產或人身安全；

c) 影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等；

d) 影響行政機關依法調查處理違法、瀆職行為，或涉嫌違法、瀆職行為；

e) 干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；

f) 危害國家關鍵基礎設施、政府資訊系統安全；

g) 影響市場秩序，造成不公平競爭，破壞市場規律；

h) 可推論出國家秘密事項；

i) 侵犯個人隱私、企業商業秘密和智慧財產權；

j) 損害國家、企業、個人的其他利益和聲譽。

（參考依據：《資訊安全技術雲計算服務安全指南》（GB/T31167-2014））

附件3

網路和資訊系統損失程度劃分說明

網路和資訊系統損失是指由於網路安全事件對系統的軟硬體、功能及資料的破壞，導致系統業務中斷，從而給事發組織所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失，說明如下：

a) 特別嚴重的系統損失：造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵資料的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對於事發組織是不可承受的；

b) 嚴重的系統損失：造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵資料的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對於事發組織是可承受的；

c) 較大的系統損失：造成系統中斷，明顯影響系統效率，使重要資訊系統或一般資訊系統業務處理能力受到影響，或系統重要資料的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對於事發組織是完全可以承受的；

d) 較小的系統損失：造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要資料的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。

2.2 辦事機構與職責

國家網路安全應急辦公室（以下簡稱“應急辦”）設在中央網信辦，具體工作由中央網信辦網路安全協調局承擔。應急辦負責網路安全應急跨部門、跨地區協調工作和指揮部的事務性工作，組織指導國家網路安全應急技術支撐隊伍做好應急處置的技術支撐工作。有關部門派負責相關工作的司局級同志為聯絡員，聯絡應急辦工作。

2.3 各部門職責

中央和國家機關各部門按照職責和許可權，負責本部門、本行業網路和資訊系統網路安全事件的預防、監測、報告和應急處置工作。

2.4 各省（區、市）職責

各省（區、市）網信部門在本地區黨委網路安全和資訊化領導小組統一領導下，統籌協調組織本地區網路和資訊系統網路安全事件的預防、監測、報告和應急處置工作。

3 監測與預警

3.1 預警分級

網路安全事件預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色表示，分別對應發生或可能發生特別重大、重大、較大和一般網路安全事件。

3.2 預警監測

各單位按照“誰主管誰負責、誰運行誰負責”的要求，組織對本單位建設運行的網路和資訊系統開展網路安全監測工作。重點行業主管或監管部門組織指導做好本行業網路安全監測工作。各省（區、市）網信部門結合本地區實際，統籌組織開展對本地區網路和資訊系統的安全監測工作。各省（區、市）、各部門將重要監測資訊報應急辦，應急辦組織開展跨省（區、市）、跨部門的網路安全資訊共用。

3.3 預警研判和發佈

各省（區、市）、各部門組織對監測資訊進行研判，認為需要立即採取防範措施的，應當及時通知有關部門和單位，對可能發生重大及以上網路安全事件的資訊及時向應急辦報告。各省（區、市）、各部門可根據監測研判情況，發佈本地區、本行業的橙色及以下預警。

應急辦組織研判，確定和發佈紅色預警和涉及多省（區、市）、多部門、多行業的預警。

預警資訊包括事件的類別、預警級別、起始時間、可能影響範圍、警示事項、應採取的措施和時限要求、發佈機關等。

3.4 預警回應

3.4.1 紅色預警回應

（1）應急辦組織預警回應工作，聯繫專家和有關機構，組織對事態發展情況進行跟蹤研判，研究制定防範措施和應急工作方案，協調組織資源調度和部門聯動的各項準備工作。

（2）有關省（區、市）、部門網路安全事件應急指揮機構實行24小時值班，相關人員保持通信聯絡暢通。加強網路安全事件監測和事態發展資訊搜集工作，組織指導應急支撐隊伍、相關運行單位開展應急處置或準備、風險評估和控制工作，重要情況報應急辦。

（3）國家網路安全應急技術支撐隊伍進入待命狀態，針對預警資訊研究制定應對方案，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

3.4.2 橙色預警回應

（1）有關省（區、市）、部門網路安全事件應急指揮機構啟動相應應急預案，組織開展預警回應工作，做好風險評估、應急準備和風險控制工作。

（2）有關省（區、市）、部門及時將事態發展情況報應急辦。應急辦密切關注事態發展，有關重大事項及時通報相關省（區、市）和部門。

（3）國家網路安全應急技術支撐隊伍保持聯絡暢通，檢查應急車輛、設備、軟體工具等，確保處於良好狀態。

3.4.3 黃色、藍色預警回應

有關地區、部門網路安全事件應急指揮機構啟動相應應急預案，指導組織開展預警回應。

3.5 預警解除

預警發佈部門或地區根據實際情況，確定是否解除預警，及時發佈預警解除資訊。

4 應急處置

4.1 事件報告

網路安全事件發生後，事發單位應立即啟動應急預案，實施處置並及時報送資訊。各有關地區、部門立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好資訊通報工作。對於初判為特別重大、重大網路安全事件的，立即報告應急辦。

4.2 應急響應

網路安全事件應急響應分為四級，分別對應特別重大、重大、較大和一般網路安全事件。I級為最高回應級別。

4.2.1 Ⅰ級響應

屬特別重大網路安全事件的，及時啟動I級回應，成立指揮部，履行應急處置工作的統一領導、指揮、協調職責。應急辦24小時值班。

有關省（區、市）、部門應急指揮機構進入應急狀態，在指揮部的統一領導、指揮、協調下，負責本省（區、市）、本部門應急處置工作或支援保障工作，24小時值班，並派員參加應急辦工作。

有關省（區、市）、部門跟蹤事態發展，檢查影響範圍，及時將事態發展變化情況、處置進展情況報應急辦。指揮部對應對工作進行決策部署，有關省（區、市）和部門負責組織實施。

4.2.2 Ⅱ級回應

網路安全事件的Ⅱ級回應，由有關省（區、市）和部門根據事件的性質和情況確定。

（1）事件發生省（區、市）或部門的應急指揮機構進入應急狀態，按照相關應急預案做好應急處置工作。

（2）事件發生省（區、市）或部門及時將事態發展變化情況報應急辦。應急辦將有關重大事項及時通報相關地區和部門。

（3）處置中需要其他有關省（區、市）、部門和國家網路安全應急技術支撐隊伍配合和支持的，商應急辦予以協調。相關省（區、市）、部門和國家網路安全應急技術支撐隊伍應根據各自職責，積極配合、提供支援。

（4）有關省（區、市）和部門根據應急辦的通報，結合各自實際有針對性地加強防範，防止造成更大範圍影響和損失。

4.2.3 Ⅲ級、Ⅳ級回應

事件發生地區和部門按相關預案進行應急回應。

4.3 應急結束

4.3.1 Ⅰ級回應結束

應急辦提出建議，報指揮部批准後，及時通報有關省（區、市）和部門。

4.3.2 Ⅱ級回應結束

由事件發生省（區、市）或部門決定，報應急辦，應急辦通報相關省（區、市）和部門。

5 調查與評估

特別重大網路安全事件由應急辦組織有關部門和省（區、市）進行調查處理和總結評估，並按程式上報。重大及以下網路安全事件由事件發生地區或部門自行組織調查處理和總結評估，其中重大網路安全事件相關總結調查報告報應急辦。總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。

事件的調查處理和總結評估工作原則上在應急回應結束後30天內完成。

6 預防工作

6.1 日常管理

各地區、各部門按職責做好網路安全事件日常預防工作，制定完善相關應急預案，做好網路安全檢查、隱患排查、風險評估和容災備份，健全網路安全資訊通報機制，及時採取有效措施，減少和避免網路安全事件的發生及危害，提高應對網路安全事件的能力。

6.2 演練

中央網信辦協調有關部門定期組織演練，核對總和完善預案，提高實戰能力。

各省（區、市）、各部門每年至少組織一次預案演練，並將演練情況報中央網信辦。

6.3 宣傳

各地區、各部門應充分利用各種傳播媒介及其他有效的宣傳形式，加強突發網路安全事件預防和處置的有關法律、法規和政策的宣傳，開展網路安全基本知識和技能的宣傳活動。

6.4 培訓

各地區、各部門要將網路安全事件的應急知識列為領導幹部和有關人員的培訓內容，加強網路安全特別是網路安全應急預案的培訓，提高防範意識及技能。

6.5 重要活動期間的預防措施

在國家重要活動、會議期間，各省（區、市）、各部門要加強網路安全事件的防範和應急回應，確保網路安全。應急辦統籌協調網路安全保障工作，根據需要要求有關省（區、市）、部門啟動紅色預警回應。有關省（區、市）、部門加強網路安全監測和分析研判，及時預警可能造成重大影響的風險和隱患，重點部門、重點崗位保持24小時值班，及時發現和處置網路安全事件隱患。

7 保障措施

7.1 機構和人員

各地區、各部門、各單位要落實網路安全應急工作責任制，把責任落實到具體部門、具體崗位和個人，並建立健全應急工作機制。

7.2 技術支撐隊伍

加強網路安全應急技術支撐隊伍建設，做好網路安全事件的監測預警、預防防護、應急處置、應急技術支援工作。支援網路安全企業提升應急處置能力，提供應急技術支援。中央網信辦制定評估認定標準，組織評估和認定國家網路安全應急技術支撐隊伍。各省（區、市）、各部門應配備必要的網路安全專業技術人才，並加強與國家網路安全相關技術單位的溝通、協調，建立必要的網路安全資訊共用機制。

7.3 專家隊伍

建立國家網路安全應急專家組，為網路安全事件的預防和處置提供技術諮詢和決策建議。各地區、各部門加強各自的專家隊伍建設，充分發揮專家在應急處置工作中的作用。

7.4 社會資源

從教育科研機構、企事業單位、協會中選拔網路安全人才，彙集技術與資料資源，建立網路安全事件應急服務體系，提高應對特別重大、重大網路安全事件的能力。

7.5 基礎平臺

各地區、各部門加強網路安全應急基礎平臺和管理平臺建設，做到早發現、早預警、早回應，提高應急處置能力。

7.6 技術研發和產業促進

有關部門加強網路安全防範技術研究，不斷改進技術裝備，為應急回應工作提供技術支撐。加強政策引導，重點支援網路安全監測預警、預防防護、處置救援、應急服務等方向，提升網路安全應急產業整體水準與核心競爭力，增強防範和處置網路安全事件的產業支撐能力。

7.7 國際合作

有關部門建立國際合作管道，簽訂合作協定，必要時通過國際合作共同應對突發網路安全事件。

7.8 物資保障

加強對網路安全應急裝備、工具的儲備，及時調整、升級軟體硬體工具，不斷增強應急技術支撐能力。

7.9 經費保障

財政部門為網路安全事件應急處置提供必要的資金保障。有關部門利用現有政策和資金管道，支援網路安全應急技術支撐隊伍建設、專家隊伍建設、基礎平臺建設、技術研發、預案演練、物資保障等工作開展。各地區、各部門為網路安全應急工作提供必要的經費保障。

7.10 責任與獎懲

網路安全事件應急處置工作實行責任追究制。

中央網信辦及有關地區和部門對網路安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰和獎勵。

中央網信辦及有關地區和部門對不按照規定制定預案和組織開展演練，遲報、謊報、瞞報和漏報網路安全事件重要情況或者應急管理工作中有其他失職、瀆職行為的，依照相關規定對有關責任人給予處分；構成犯罪的，依法追究刑事責任。

8 附則

8.1 預案管理

本預案原則上每年評估一次，根據實際情況適時修訂。修訂工作由中央網信辦負責。

各省（區、市）、各部門、各單位要根據本預案制定或修訂本地區、本部門、本行業、本單位網路安全事件應急預案。

8.2 預案解釋

本預案由中央網信辦負責解釋。

8.3 預案實施時間

本預案自印發之日起實施。

附件：

1. 網路安全事件分類

2. 名詞術語

3. 網路和資訊系統損失程度劃分說明

附件1

網路安全事件分類

網路安全事件分為有害程式事件、網路攻擊事件、資訊破壞事件、資訊內容安全事件、設備設施故障、災害性事件和其他網路安全事件等。

（1）有害程式事件分為電腦病毒事件、蠕蟲事件、特洛伊木馬事件、僵屍網路事件、混合程式攻擊事件、網頁內嵌惡意程式碼事件和其他有害程式事件。

（2）網路攻擊事件分為拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網路掃描竊聽事件、網路釣魚事件、干擾事件和其他網路攻擊事件。

（3）資訊破壞事件分為資訊篡改事件、資訊假冒事件、資訊洩露事件、資訊竊取事件、資訊丟失事件和其他資訊破壞事件。

（4）資訊內容安全事件是指通過網路傳播法律法規禁止資訊，組織非法串聯、煽動集會遊行或炒作敏感問題並危害國家安全、社會穩定和公眾利益的事件。

（5）設備設施故障分為軟硬體自身故障、週邊保障設施故障、人為破壞事故和其他設備設施故障。

（6）災害性事件是指由自然災害等其他突發事件導致的網路安全事件。

（7）其他事件是指不能歸為以上分類的網路安全事件。

附件2

名詞術語

一、重要網路與資訊系統

所承載的業務與國家安全、社會秩序、經濟建設、公眾利益密切相關的網路和資訊系統。

（參考依據：《資訊安全技術資訊安全事件分類分級指南》（GB/Z 20986-2007））

二、重要敏感資訊

不涉及國家秘密，但與國家安全、經濟發展、社會穩定以及企業和公眾利益密切相關的資訊，這些資訊一旦未經授權披露、丟失、濫用、篡改或銷毀，可能造成以下後果：

a) 損害國防、國際關係；

b) 損害國家財產、公共利益以及個人財產或人身安全；

c) 影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織犯罪等；

d) 影響行政機關依法調查處理違法、瀆職行為，或涉嫌違法、瀆職行為；

e) 干擾政府部門依法公正地開展監督、管理、檢查、審計等行政活動，妨礙政府部門履行職責；

f) 危害國家關鍵基礎設施、政府資訊系統安全；

g) 影響市場秩序，造成不公平競爭，破壞市場規律；

h) 可推論出國家秘密事項；

i) 侵犯個人隱私、企業商業秘密和智慧財產權；

j) 損害國家、企業、個人的其他利益和聲譽。

（參考依據：《資訊安全技術雲計算服務安全指南》（GB/T31167-2014））

附件3

網路和資訊系統損失程度劃分說明

網路和資訊系統損失是指由於網路安全事件對系統的軟硬體、功能及資料的破壞，導致系統業務中斷，從而給事發組織所造成的損失，其大小主要考慮恢復系統正常運行和消除安全事件負面影響所需付出的代價，劃分為特別嚴重的系統損失、嚴重的系統損失、較大的系統損失和較小的系統損失，說明如下：

a) 特別嚴重的系統損失：造成系統大面積癱瘓，使其喪失業務處理能力，或系統關鍵資料的保密性、完整性、可用性遭到嚴重破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價十分巨大，對於事發組織是不可承受的；

b) 嚴重的系統損失：造成系統長時間中斷或局部癱瘓，使其業務處理能力受到極大影響，或系統關鍵資料的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價巨大，但對於事發組織是可承受的；

c) 較大的系統損失：造成系統中斷，明顯影響系統效率，使重要資訊系統或一般資訊系統業務處理能力受到影響，或系統重要資料的保密性、完整性、可用性遭到破壞，恢復系統正常運行和消除安全事件負面影響所需付出的代價較大，但對於事發組織是完全可以承受的；

d) 較小的系統損失：造成系統短暫中斷，影響系統效率，使系統業務處理能力受到影響，或系統重要資料的保密性、完整性、可用性遭到影響，恢復系統正常運行和消除安全事件負面影響所需付出的代價較小。