宁波职业技术学院网络安全事件应急预案

第一章总则

一、依据

(一)《信息安全等级保护制度》，公安部公通字[2007]43号。（https://wenku.baidu.com/view/11ebd38a4793daef5ef7ba0d4a7302768e996feb.html）

(二)《浙江省教育信息化建设工程实施办法》，百度文库【2018.10.7】。（https://wenku.baidu.com/view/c077f58448649b6648d7c1c708a1284ac9500517.html）

(三)《宁波职业技术学院信息化建设管理办法》。

(四)《中华人民共和国网络安全法》、《国家网络安全事件应急预案》（中网办发文〔2017〕4号）、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全技术网络安全事件分类分级指南》（GBZ 20986-2007）、《信息安全技术 信息安全应急响应计划规范》（GBT 24363-2009）等相关规定。

二、目的

为建立健全宁波职业技术学院信息系统网络安全事件应急工作机制，提高网络安全事件应急处置能力，预防和减少网络安全事件造成的损失和危害，保障各信息系统安全稳定运行，根据国家相关法律法规和监管部门有关规定，结合本单位信息系统实际情况，制定本应急预案。

三、适用范围

本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对信息系统或者其中的数据造成危害，对本单位、社会造成负面影响的事件；网络安全事件可分为信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

本预案适用于宁波职业技术学院信息资源中心及各职能部门和二级分院网络安全事件的应对工作，在发生网络安全事件时，各部门及二级分院应参照本预案进行应急处置。

四、工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持“谁主管谁负责、谁运行谁负责”的原则，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

第二章网络安全事件分级和分类

一、事件分级

网络安全事件分为四级：特别重大数据安全事件（Ⅰ级）、重大数据安全事件（Ⅱ级）、较大数据安全事件（Ⅲ级）、一般数据安全事件（Ⅳ级），Ⅰ级为最高级。

（一）特别重大数据安全事件（Ⅰ级）

特别重大事件是指能够导致特别严重影响或破坏的网络安全事件，包括以下情况：

1. 对外提供服务的网站类应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的；

2. 造成5万条及以上数据泄露；

3. 造成等级保护定级为三级及以上信息系统总量的50%及以上范围处于中断服务状态；

4. 造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态；

5. 其他造成特别重大损失或特别重大的不良影响的安全事件。

（二）重大网络安全事件（Ⅱ级）

重大事件是指能够导致大范围影响或破坏的数据安全事件，包括以下情况：

1. 造成5万条以下5千条及以上数据泄露；

2. 造成等级保护定级为三级及以上信息系统总量的20%及以上50%及以下范围处于中断服务状态；

3. 造成等级保护定级为二级信息系统总量的50%-80%以内范围处于中断服务状态；

4. 对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重的经济和社会影响；

5. 其他造成重大损失或重大的不良影响的安全事件；

6. 当Ⅱ级网络安全事件12小时内未完成处置，则升级为Ⅰ级网络安全事件。

（三）较大网络安全事件（Ⅲ级）

较大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：

1. 造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态；

2. 造成等级保护定级为二级信息系统总量的50%以上及80%以下范围处于中断服务状态；

3. 对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成一般的经济和社会影响；

4. 造成5千条以下50条及以上数据泄露；

5. 其他造成严重损失或严重的不良影响的安全事件；

6. 当Ⅲ网络安全事件24小时内未完成处置，则升级为Ⅱ级网络安全事件。

（四）一般网络安全事件（Ⅳ级）

一般事件是指能够导致轻微影响或破坏的网络安全事件，包括以下情况：

1. 造成等级保护定级为二级信息系统总量的50%以下范围处于中断服务状态；

2. 造成50条及以下数据泄露；

3. 其他造成一般损失或一般的不良影响的安全事件；

4. 当Ⅳ级网络安全事件48小时内未被完成处置，则升级为Ⅲ级网络安全事件。

二、事件分类

综合考虑网络安全事件的起因、表现、结果等，网络安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等5个基本分类，每个基本分类分别包括若干个子类。

（一）数据破坏事件

数据破坏事件是指通过网络或其他技术手段，造成政务系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、数据窃取事件、数据丢失事件和其它数据破坏事件。

（二）信息内容安全事件

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的网络安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的网络安全事件；组织串连、煽动集会游行的网络安全事件；其他信息内容安全事件。

（三）设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。

（四）灾害性事件

灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。

（五）其他事件

其他事件类别是指不能归为以上基本分类的网络安全事件。

第三章应急处置机构与职责

一、应急处置机构

根据网络安全事件应急工作要求，成立宁波职业技术学院网络安全事件应急领导小组（以下简称“应急领导小组”），负责网络安全事件应急处置组织、协调和领导工作。应急领导小组下设网络安全事件应急工作小组（以下简称“应急工作小组”），具体负责网络安全事件应急处置工作，应急领导小组与应急工作小组名单见（TAB-26-1）。

二、职责

（一）应急领导小组

应急领导小组的主要职责包括：

1. 负责网络安全事件的应急指挥、组织协调和过程控制；

2. 负责研究、决定网络安全事件应急处置决策和应对措施；

3. 负责向单位领导、监管部门和公安机关汇报应急处置进展情况和总结报告；

4. 负责统筹协调，确定相关职能部门应急处理工作职责及具体分工。

（二）应急工作小组

应急工作小组的主要职责包括：

1. 定期向应急领导小组汇报网络安全事件状况；

2. 在应急领导小组组织、协调、指导下，开展网络安全事件应急处置工作；

3. 负责对网络安全事件产生的影响和损失进行分析与评估，及时通报评估结果；

4. 协助应急领导小组对《网络安全事件应急预案》的制定、修订、落实；

5. 组织、指导、监督学校各部门制定相应的网络安全事件应急预案细则，并定期组织演练；

6. 应急领导小组交办的其他工作。

（三）各部门的信息安全管理员

各部门的信息安全管理员的主要职责包括：

1. 监测各自负责的信息系统和数据安全状况；

2. 及时上报发现的数据安全事件；

3. 提供应急所需人力、物力等资源保障；

4. 做好秩序维护、安全保障、支援等工作。

第四章应急响应

一、事件判定

师生员工发现网络安全事件时，即刻向应急工作小组报告，说明数据安全事件具体情况。应急工作小组应根据“2.1事件分级”标准研究判定数据安全事件等级。

二、预案启动

（一）判定为Ⅰ级和Ⅱ级事件的

应急工作小组组长应即刻向应急领导小组汇报。由应急领导小组组长指示下达应急预案启动指令，同时即刻组织协调应急工作小组开展应急处置工作。其中，涉及政治类影响事件的，应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门。

（二）判定为Ⅲ级和Ⅳ级事件的

由应急工作小组组长或副组长下达应急预案启动指令，迅速组织协调相关人员开展应急处置工作，并即刻上报应急领导小组。

三、应急指挥

（一）Ⅰ级和Ⅱ级事件

应由应急领导小组组长或副组长担任总指挥（其中，如发生涉及政治类影响的数据安全事件，原则由上级安全部门担任总指挥）。应急领导小组负责组织、协调应急工作小组做好具体应急处置工作。必要时，由应急领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通，联系协调第三方安全专家作为应急处置技术顾问。

（二）Ⅲ级事件

由应急工作小组组长担任总指挥。应急工作小组负责组织、协调，并做好具体应急处置工作。

（三）Ⅳ级事件

由应急工作小组组长或副组长担任总指挥。应急工作小组负责组织、协调，并做好具体应急处置工作。

四、应急处置

应急工作小组在应急处置工作中应通过口头、电话、或书面方式定时向应急领导小组汇报应急处置工作进展情况。Ⅰ级和Ⅱ级事件应由应急处置工作小组组长每2小时向应急领导小组汇报一次；Ⅲ级事件应由应急工作小组副组长每1小时向应急领导小组汇报一次；Ⅳ级事件应由应急工作小组牵头技术人员每0.5小时向对应急领导小组汇报一次。

依据《中华人民共和国网络安全法》规定，如遇数据安全事件中涉及犯罪情形的，除做好相应的应急处理外，还应保护好案发现场，同时向公安机关报案。

数据安全事件应急处置完毕后，信息系统恢复重建工作由应急工作小组负责组织制定恢复、整改或重建方案。

网络安全事件应急处理过程中根据不同事件类型采取以下应急处理措施：

（一）数据破坏事件

1. 及时从备份数据中恢复受破坏的最新信息数据；

2. 检查恢复后的系统状态是否正常运行；

3. 分析信息数据受破坏的原因，人为恶意破坏的应进行追溯，系统故障导致的应分析系统软件故障点，及时联系软件开发商进行修复。

（二）信息内容安全事件

1. 暂时切断网站对外服务；

2. 网站维护人员即刻登录后台，上传换回原始页面；

3. 网站、网页由安全监控平台随时密切监视信息内容；

4. 保存有关日志审计记录；

5. 备份不良信息出现的目录。

（三）设备设施故障事件

1. 分析、确认故障设备，准确定位设备位置；

2. 切换备用设备；

3. 联系设备供应商分析设备故障原因，及时进行修理，涉外修理的应清理数据；

4. 无法修理的应采购新的设备，保证设备冗余状态。

（四）灾害性事件

1. 评估灾害性事件对机房、信息系统的影响程度；

2. 受灾机房网络及信息系统受破坏不能提供服务的，应及时启动容灾机房业务系统；

3. 回收受灾机房的数据处理、存储设施，无法使用的进行彻底数据清理；

4. 重建受灾机房。

五、结束响应

数据安全事件经应急处置后，事件得以完全解决，信息系统完全恢复正常运行，信息数据恢复完好；或事态影响下降到可接受范围内，信息系统主要功能恢复正常运行，按“谁启动、谁结束”的原则，由数据安全事件应急总指挥（响应启动者）下达应急结束指令。

六、事件调查和报告

应急工作小组应对事件进行研究分析和调查处理，查明数据安全事件的性质、原因、经过、危害和影响，提出调查处理建议和今后同类事件的安全防范措施，以防止同类事件再次发生，同时，由应急领导小组提出对具体责任人的处罚决定，如涉及违法行为的，应依据法律、法规，应移交相关部门处理。事件调查完成后，应形成数据安全事件调查结果报告，参照《数据安全事件应急响应结果调查报告》（TAB-26-2）。事件的调查处理和总结评估工作原则上在应急响应结束后5天内完成。数据安全事件调查和报告程序如下：

（一）Ⅰ级和Ⅱ级数据安全事件

由应急领导小组组织协调，进行事件调查，将调查结果向应急领导小组组长报告。同时，应急领导小组组长应根据应急领导小组办公会议决议，视情况上报市网信部门、公安部门和数据资源管理部门，报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（二）Ⅲ级和Ⅳ级数据安全事件

由应急工作小组组长组织协调，进行事件调查，将调查结果上报应急领导小组。

第五章预防工作

一、日常管理

应急领导小组负责应急预案日常管理的统筹协调，组织各应急工作小组做好网络安全事件日常预防工作，落实网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免数据安全事件的发生及危害，提高应对数据安全事件的能力。

二、宣传和培训

应急领导小组负责应急预案宣传和培训的统筹协调，组织应急工作小组针对应急响应相关管理人员和技术人员和教职员工及学生做好宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式，如下发宣传手册、利用网络、宣传彩页、期刊、视频会议等手段开展应急预案的宣传。

（一）定期组织应急响应相关管理人员和技术人员的应急预案培训，同时在应急预案的首次制定颁布、修订等关键节点都要组织开展应急预案的不定期培训。尤其对于重要系统的专项应急预案在组织培训的基础上，应通过实际的应急响应演练过程，帮助相关人员不断更新应急响应的知识和技能，提高各类人员的应急工作熟练程度，提高突发事件发生时应急响应的效率，并认真做好培训效果的反馈和培训计划的更新。

（二）组织全校干部教职工进行应急预案普及宣传培训，加强数据安全事件预防和处置的有关法律、法规和政策的宣传，开展数据安全基本知识和技能的宣传活动，提高全体工作人员的应急意识和应急基本常识。

三、应急演练

应急领导小组负责应急演练统筹协调，组织应急工作小组定期开展应急演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练。在更新应急预案后或者遇到可预见的安全事件时，应及时开展应急响应演练，以检验应急预案的正确性，不断加强人员的应急安全意识和应急响应的熟练程度。

四、管理和维护

应急领导小组负责应急员管理和维护统筹协调，组织应急工作小组做好应急预案的维护工作，保证应急预案的有效性。应确保应急预案分发给所有应急相关人员，采用不同形式在多个地点进行保存，以确保预案在紧急情况下可用；预案在每次修订后，确保所有的拷贝统一更新，按照有关规定及时销毁旧版本；应急演练和数据安全事件发生后实际执行时，对实际执行过程进行详细记录，评估效果，对不足之处进行相应的修订；应定期评审和修订应急预案文档，保证应急预案准确性和有效性。

五、重要活动期间的预防措施

应急领导小组统筹协调重要活动期间数据安全保障工作，要求各应急工作小组在重要活动期间进一步加强数据安全监测和分析研判，加强数据安全事件的防范和应急响应，其中，核心网络和重要信息系统的重点岗位应保持24小时值班，及时发现和处置数据安全事件隐患。

第六章保障措施

一、人力保障

应急领导小组明确应急保障工作组织体系和人员，明确领导责任，落实岗位责任制。

加强应急人才队伍建设，确保应急处置人员具备应急工作必要的技术能力，定期组织人员培训以满足应急工作的要求，并通过应急演练，保证应急处置人员的熟练度；建立长效的应急人员保障机制，包括设立专门的应急管理岗位。

建立应急技术专家队伍，为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全应急方面资深人员组成。

二、物质保障

应急领导小组统筹协调应急工作小组具体落实物质保障工作，加强对数据安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。物质保障需求由相关应急工作小组提出，由采购部门负责落实。

三、技术保障

应急领导小组统筹协调应急工作小组落实技术保障工作，加强数据安全防范技术研究，不断改进技术装备，为应急响应工作提供技术支撑。加强政策引导，重点支持数据安全监测预警、预防防护、处置救援、应急服务等方向，提升数据安全应急产业整体水平与核心竞争力，增强防范和处置数据安全事件的产业支撑能力。

加强与第三方应急专业机构和社会资源的联系，包括网信办、经信委、公安机关、信息安全企业、通信运营商、供应商、供电部门等外部技术和业务支持单位等。

第七章奖惩措施

数据安全事件应急处置工作实行责任追究制：

（一）对下列情况可以经领导小组评估审核，报领导小组批准后予以奖励：在应急行动中做出特殊贡献的先进集体或个人；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。

（二）对不按照规定制定预案和组织开展演练，迟报、谎报、漏报和瞒报数据安全事件重要情况或者数据安全事件应急管理工作中有其他失职、渎职行为的，对有关责任人予以通报批评。情节严重的，处以行政处分；涉及犯罪行为的，由公安机关和司法机关依法追究刑事责任。

第八章附则

(一)本应急预案经校长办公会审议通过后公告实施，修正时亦同。

(二)本应急预案解释权归信息资源中心，此前的相关规定如与本预案发生矛盾，按本预案执行。