关于印发《贺兰县商务和投资促进局网络安全事件应急预案》的通知

各室（中心）：

为切实做好网络突发事件的防范和应急处理工作，进一步提高预防和控制网络突发事件的能力和水平，确保我局网络与信息安全。现将《贺兰县商务和投资促进局网络安全事件应急预案》印发给你们，请认真贯彻执行。

贺兰县商务和投资促进局             

                   2022年5月30日                

（此件公开发布）

贺兰县商务和投资促进局网络安全事件应急预案

一、总则

（一）编制目的

建立健全网络安全事件应急工作机制，提高应对突发网络安全事件能力，预防和减少网络安全事件造成的损失和危害，确保基础信息网络和重要信息系统安全运行，保护公众利益，维护国家安全、公共安全和社会秩序。

（二）编制依据

依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《信息安全技术 信息安全事件分类分级指南 (GB/Z 20986-2007)》《国家网络安全事件应急预案》《宁夏回族自治区网络安全事件应急预案（2020年修订版）》《银川市网络安全事件应急预案》《银川市党委（党组）网络安全工作责任制实施细则》《贺兰县网络安全事件应急预案》等相关规定制定。

（三）适用范围

本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。

本预案适用于贺兰县行政区域内发生的非涉密网络安全事件，以及发生在其他地区且有可能影响我县网络与信息系统安全运行的网络安全事件的预防和处置等应对工作。

（四）事件分级

网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

1.符合下列情形之一的为特别重大网络安全事件:

（1）重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

（2）重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

（3）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

2.符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件:

（1）重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

（2）重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

（3）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

3.符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件:

（1）重要网络和信息系统遭受较大系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

（2）重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

（3）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

4.除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

（五）工作原则

坚持统一领导、分级负责；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

二、组织机构与职责

为扎实开展网络安全监测预警、信息收集、分析通报、应急处置等网络安全事件应对工作，特成立贺兰县商务和投资促进局网络安全工作领导小组：

组   长：张   翠  党组书记、局长

副组长：马续超  党组成员、县投资促进服务中心主任

霍文娟  党组成员、副局长

何  鑫  党组成员、副局长

成   员：全体干部职工

领导小组下设办公室，马春梅同志兼任办公室主任，姚冰具体负责网络与信息系统网络安全事件的预防、监测、报告和应急处置工作。三、监测与预警

（一）预警分级

网络安全事件预警等级分为四级，由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

（二）监测预警

按照“谁主管谁负责、谁运行谁负责”的原则，对本单位管理范围内建设运行的网络和信息系统开展网络安全监测预警工作，及时将重要预警信息报县委网信办。

（三）预警信息发布

组织对本单位监测信息进行研判，需要立即采取防范措施的，应当及时通知相关部门和单位，对可能发生较大及以上网络安全事件的信息立即报县委网信办。预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。黄色预警、橙色预警和红色预警报请县、市委网信办研判，橙色预警和红色预警同时报请自治区党委网信办研判。

（四）预警响应

1.红色预警响应

本单位做好网络安全事件应急工作，相关人员保持通信联络畅通，加强网络安全事件监测和事态发展信息搜集工作，配合相关部门做好应急处置准备、风险评估和控制工作，准确及时将相关情况报县委网信委。

2.橙色预警响应

本单位做好网络安全事件应急工作，相关人员保持通信联络畅通，加强网络安全事件监测和事态发展信息搜集工作，配合相关部门做好应急处置准备、风险评估和控制工作，准确及时将相关情况报县委网信办。

3.黄色、蓝色预警响应

本单位做好网络安全事件应急预案启动准备工作，会同相关部门做好风险评估、应急准备和风险控制。同时，配合网络安全机构开展预警响应工作。

4.预警解除

根据实际情况，本单位确定是否解除预警，及时发布预警解除信息。

四、应急处置

（一）事件报告

网络安全事件发生后，本单位应立即向县委网信办和公安机关报送信息并启动应急预案，组织先期处置，控制事态，消除隐患，同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大和较大网络安全事件的，应立即报县委网信办和上级行业主管部门。

（二）应急响应

网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件。

1. I级响应

县委网信办发布涉及本单位特别重大网络安全事件时，应立即启动I级应急响应，并按程序做好应急处置工作。同时，进入应急处置状态，实施24小时在岗值班，在县网络安全应急指挥部的统一领导、指挥、协调下，负责事件的应急处置工作或支援保障工作。积极跟踪事态发展，检查影响范围，及时将事态发展变化情况、处置进展情况报县网络安全应急指挥部。

2.II 级响应

发生重大网络安全事件，按程序报请县委网信办同意后决定启动II级应急响应。同时进入应急状态，实施24小时值班，按照相关应急预案做好应急处置工作，并及时将事态发展变化情况报县委网信办。处置中需要其他部门(单位)配合和支持的，与县委网信办沟通协调，取得有效配合、支持。需要银川市网络安全应急技术支撑队伍配合和支持的，向县委网信办申请，再由县委网信办报请银川市委网信办给予协调支持。

3.III级、IV级响应

发生较大和一般网络安全事件，按程序报请贺兰县网信委同意后决定启动III级、IV级应急响应。密切关注事态发展变化情况，按程序启动应急预案，做好应急处置工作。

（三）技术措施

现场处置手段主要为：

（1）断网封锁。对扩散性较强的网络安全事件，立即切断事发网络或信息系统与整体网络的连接，保障整个系统的可用性，防止网络安全事件扩散。

（2）处置降损。采取有效措施，缓解网络安全事件造成的影响，保障系统的正常运行，尽量降低网络安全事件带来的损失。

（3）追踪溯源。对黑客入侵、拒绝服务（DOS）攻击等人为破坏活动，配合公安机关等执法部门进行现场取证，并采取一定的技术手段，追踪对方信息。

（4）整改恢复。根据事件处置效果，采取整改措施，消除事件影响；及时对事发和相关系统进行全面彻底检查，排除系统隐患，以免再次发生同类型事件，并恢复事发系统运行。

（四）应急结束

I级响应结束后，在全局范围内传达学习国家、自治区、银川市相关通报精神。II级响应结束后传达学习银川市、贺兰县相关通报精神。III级、IV级响应结束后传达学习贺兰县相关通报精神。

五、调查与评估

特别重大网络安全事件、重大网络安全事件、较大和一般网络安全事件发生后，要第一时间上报县委网信办，并配合县委网信办按照要求开展调查处理和总结评估，并传达学习相关通报精神。

六、预防工作

（一）日常管理

按照县委网信办、县公安局、电信运营企业等涉网监管部门管理要求，做好全局网络安全事件日常预防工作，认真开展网络安全检查、隐患排查、风险评估和容灾备份。同时，安排专人负责全局网络安全工作，及时接收网络安全风险提示和预警信息，并采取有效措施减少和避免网络安全事件的发生及危害，确保网络与信息系统安全可靠运行。

（二）演练

积极参与县委网信办、县公安局、电信运营企业等涉网监管部门定期开展的应急预案的演练活动。

（三）宣传和培训

充分利用微信公众号、政府网站等传播媒介进行有效的宣传，加强对网络安全事件预防和处置的相关法律、法规和政策的宣传，开展网络安全基本知识和技能的宣传活动。积极组织干部职工参加网络安全事件的应急知识培训，提高防范意识及技能。

（四）重要活动期间的预防保障措施

在国家、自治区、银川市、贺兰县重要活动、会议期间，进一步加强网络安全事件的防范和应急响应，确保网络安全。同时加强网络安全的监测和分析研判，及时预警可能造成重大影响的风险和隐患，向网信办实施每日情况报告制度，及时消除隐患和处置网络安全事件。

七、保障措施

（一）机构和人员

成立网络安全领导小组，落实网络安全工作职责，把责任落实分管领导及具体责任人，并建立健全应急工作机制。

（二）基础平台

依托属地网络安全服务技术支撑企业的技术、平台、数据资源，加强网络安全应急基础平台和管理平台建设，做到早发现、早预警、早响应，提高应急处置能力。

（三）物资保障

加强对网络安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。

（四）经费保障

利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、基础平台建设、预案演练、物资保障等工作开展，为网络安全应急工作提供必要的经费保障。

六、附则

（一）预案管理

本预案根据《贺兰县网络安全事件应急预案》进行制定。

（二）预案解释

本预案由贺兰县商务和投资促进局负责解释。

（三）预案实施时间

本预案自印发之日起实施。

附件: 1.网络安全事件分类和分级      2.网络和信息系统损失程度划分说明

3.名词术语

附件1

网络安全事件分类和分级

一、事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他网络安全事件等。

1.有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

2.网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

3.信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

4.设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

5.灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

6.其他事件是指不能归为以上分类的网络安全事件。

二、事件分级

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

1.符合下列情形之一的，为特别重大网络安全事件:

(1)重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

（2）国家重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

（3）其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

2.符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件:

(1)重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

(2)国家重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

(3)其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

3.符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件:

(1)重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

(2)国家重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

(3)其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

4.除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

附件2

网络和信息系统损失程度划分说明

网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失，说明如下:

1.特别严重的系统损失:造成系统大面积瘫痪，使其丧失业务处理能力，或系统关键数据的保密性、完整性、可用性遭到严重破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，对于事发组织是不可承受的；

2.严重的系统损失:造成系统长时间中断或局部瘫痪，使其业务处理能力受到极大影响，或系统关键数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，但对于事发组织是可承受的；

3.较大的系统损失:造成系统中断，明显影响系统效率，使重要信息系统或一般信息系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到破坏，恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，但对于事发组织是完全可以承受的；

4.较小的系统损失:造成系统短暂中断，影响系统效率，使系统业务处理能力受到影响，或系统重要数据的保密性、完整性、可用性遭到影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

附件3

名词术语

一、重要网络和信息系统

所承载的业务是与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。

参考依据:《信息安全技术 信息安全事件分类分级指南(GB/Z20986--2007)》

二、重要敏感信息

不涉及国家秘密，但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息，这些信息一旦未经授权披露、丢失、滥用、篡改或销毁，可能造成以下后果:

1.损害国防、国际关系；

2.损害国家财产、公共利益以及个人财产或人身安全；

3.影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等；

4.影响行政机关依法调查处理违法、渎职行为，或涉嫌违法、渎职行为；

5.干扰政府部门(单位)依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门(单位)履行职责；

6.危害国家关键基础设施、政府信息系统安全；

7.影响市场秩序，造成不公平竞争，破坏市场规律；

8.可推论出国家秘密事项；

9.侵犯个人隐私、企业商业秘密和知识产权；

10.损害国家、企业、个人的其他利益和声誉。

参考依据：《信息安全技术 云计算服务安全指南(GB/T 31167-2014)》