临政办函〔2014〕115号

各乡镇人民政府、街道办事处，市直相关单位：

《临湘市突发公共事件新闻发布应急预案》、《临湘市突发环境事件应急预案》、《临湘市林业生物灾害应急预案》、《临湘市自然灾害救助应急预案》、《临湘市粮食安全应急预案》、《临湘市气象灾害应急预案》、《临湘市重大动物疫情应急预案》、《临湘市农业有害生物灾害应急预案》、《临湘市群体性上访事件应急预案》、《临湘市地震灾害应急预案》、《临湘市危险化学品安全生产事故应急预案》、《临湘市公共聚集场所安全事故应急预案》、《临湘市群体性事件应急预案》、《临湘市民用爆炸物品生产安全事故应急预案》、《临湘市网络与信息安全事件应急预案》等15件市政府专项应急预案，已经市人民政府第9次常务会议审议通过，现印发给你们，请认真组织实施。

临湘市人民政府办公室

2014年11月13日

临湘市网络与信息安全事件应急预案

目 录

1、总则

1.1 编制目的

1.2 编制依据

1.3 工作原则

1.4 适用范围

2、应急指挥体系及职责

2.1 应急指挥机构

2.2 应急组织机构职责

2.3 现场应急处置工作组

2.4 应急指挥机构图

3、预防和预警

3.1 信息监测

3.2 预防预警行动

3.3 预警支持系统

4、应急响应

4.1 应急响应分级

4.2 应急响应行动

4.3 信息的报送和处理

4.4 指挥与协调

4.5 信息发布

4.6 应急结束

5、后期处置

5.1 善后处置

5.2 社会救助

5.3 后果评估

6、应急保障

6.1 应急队伍保障

6.2 技术储备保障

6.3 经费保障

7、监督管理

7.1 预案的宣传、培训演练

7.2 监督检查

7.3 奖励与惩罚

8、附则

8.1 名词术语解释

8.2 预案管理与更新

8.3 预案解释部门

8.4 预案实施时间

1、总则

1.1 编制目的

为了科学应对网络与信息安全(以下简称信息安全)突发事件，建立健全我市信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响，保护公众利益，维护正常的生产和生活秩序，特制定本应急预案。

1.2 编制依据

依据《中华人民共和国突发事件应对法》、《中华人民共和国电信条例》、《湖南省信息化条例》、《中华人民共和国计算机信息系统安全保护条例》、《湖南省网络与信息安全事件应急预案》等有关法规和规章制度。

1.3 工作原则

临湘市网络与信息安全突发事件应急工作遵照统一领导、分工负责、及时预警、协作配合、快速处理的原则。

1.4 适用范围

本预案适用我市辖区内网络与信息安全事件的应急处置工作。

2、应急指挥体系及职责

2.1 应急指挥机构

市人民政府成立市网络与信息安全突发事件应急指挥部 (以下简称市信息安全事件应急指挥部)，由市政府分管副市长任指挥长，市政府办分管安全的副主任、市公安局政委任副指挥长，市公安局、市保密局、市财政局、市广播电视台、市电信公司、各基础电信运营企业负责人为成员。

市信息安全事件应急指挥部下设办公室，办公室设在市公安局网安办，由市公安局局长兼任办公室主任。

2.2 应急组织机构职责

2.2.1 市网络与信息安全事件应急指挥部

按照国家、省、市政府应急办的要求开展处置工作;研究决定全市信息安全应急工作的有关重大问题;决定网络与信息安全事件应急预案的启动;统一领导和组织指挥重大信息安全突发事件的应急处置工作;督促检查各乡镇和市直相关部门信息安全及专项应急专业技术的信息安全突发事件监测、预警工作情况，并给予指导;组织专家组确定突发事件级别，根据情况提出加强或撤销控制措施的建议和意见;检查督导突发事件应急措施的落实情况;完成市政府交办的其他工作。

2.2.2 市网络和信息安全事件应急指挥部办公室(以下简称信息应急办)

承担市信息安全事件应急指挥部的日常工作;拟订或者组织拟订市人民政府应对信息安全突发事件的工作规划和应急预案，在应急响应期间，组织有关单位落实信息安全事件应急处置措施;负责全市网络和信息安全突发事件日常监测与预警，督促检查有关专业技术机构的信息安全突发事件监测、预警工作情况，并给予指导。组织制订网络与信息安全常识应急知识的宣传、培训计划、和应急救援队伍的业务培训、演练计划。

2.2.3 市网络与信息安全事件应急处置工作专家组

负责提供技术咨询，提供应对措施和处置方案，参与网络与信息安全突发公共事件的调查和总结评估工作，必要时参与现场应急处置工作。

2.2.4 市网络与信息安全事件应急指挥部成员单位

市公安局：严密监控境内互联网有害信息传播情况，密切注意互联网上发生对社会热点和敏感问题的恶意炒作并在职责范围内依法向上级部门提出建议，监测政府门户网站、新闻网站和国家重大活动、会议期间重点网站网络运行安全。对发生重大计算机病毒疫情和大规模网络攻击事件进行预防和处置。依法查处网上散布谣言、制造恐慌、扰乱社会秩序、恶意攻击党和政府的有害信息。打击攻击、破坏网络安全运行、制造网上恐怖事件的违法犯罪行为;依法对间谍组织以及敌对势力、民族分裂势力、邪教势力等内外勾结利用计算机网络危害国家安全的行为开展各种侦察工作，依法对涉嫌危害国家安全的犯罪进行查处;依法对在计算机网络上窃取国家秘密或制作、传播危害国家安全信息的违法犯罪活动进行查处。

市保密局：依法组织协调有关部门对在计算机网络泄露和窃取国家秘密的行为进行查处，并做好密级鉴定和采取补救措施。按规定上报上级保密行政管理部门。

市电信公司：负责推进网络与信息安全应急支援机构建设，推动相关网络与信息安全关键技术和产品的研发与推广应用;组织建立市网络与信息安全应急响应技术队伍，积极推进异地容灾备份系统建设，督促各通信运营商制订应急方案，会同有关部门做好网络信任体系建设。

市新闻中心、市广播电视台：负责相关信息发布工作。

市财政局：负责提供和保障信息安全突发事件应急处置工作所需经费。

各级基础电信运营企业：负责基础通信网络信息安全应急处理工作，负责全市信息安全突发事件应急处理的通信保障工作。

2.3 现场应急处置工作组

2.3.1 现场应急处理工作组由市公安局、市保密局、市财政局、各基础电信运营企业以及相关成员单位组成。主要负责识别网络与信息系统正常运行的主要威胁;在出现问题时决定所采取行动的先后顺序，做出处置决定;批准例外的特殊情况等。

2.3.2 技术支撑方面包含市信息化专家组成员、市公安局、市保密局、各基础电信运营企业所属分管网络与信息安全的技术人员。主要负责从技术方面处理发生问题的系统;检测入侵事件，并采取技术手段来降低损失;负责信息安全风险评估、等级划分、技术咨询。

2.4 应急指挥机构图

3、预防和预警

3.1 信息监测

市公安局、市保密局、各级基础电信运营企业等所属主管网络与信息安全的技术部门应加强信息安全监测、分析和预警工作，及时向市网络与信息安全应急指挥办公室报告我市发生或可能发生信息安全事件的情况。

3.2 预防预警行动

3.2.1 发生信息安全突发事件的单位应当在事件发生后，立即向市信息化主管部门报告，市信息化主管部门接到报告并经确认后2小时内向市人民政府总值班室报告。

3.2.2 发生信息安全突发事件的单位应当立即对发生的事件进行调查核实、保存相关证据，并在事件被发现时起4小时内将有关材料报至市网络与信息安全事件应急指挥部办公室。

3.2.3 市网络信息安全事件应急指挥部办公室接到信息安全突发事件报告后，应当经初步核实后，研究分析可能造成损害的程度，提出初步行动对策。并及时将情况报告市网络与信息安全事件应急指挥部和市人民政府。

3.3 预警支持系统

市网络与信息安全事件应急指挥部办公室要建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。各电信营运企业应建设必要的安全保障技术平台，逐步实现对本单位网络运行状态数据的汇总分析。

4、应急响应

4.1 应急响应分级

网络与信息安全事件根据危害和紧急程度分为Ⅳ级(一般)、Ⅲ级(较大)、Ⅱ级(重大)、Ⅰ级(特别重大)四级，分别用蓝、黄、橙、红四种颜色表示。

Ⅳ级(一般)：发生一般性信息安全事件;出现新的漏洞，尚未发现利用方法或者被利用迹象;出现新的蠕虫(或病毒)或者其他恶意代码，尚未证明可能造成严重危害;可能造成较大损害的其他信息安全事件。

Ⅲ级(较大)：出现针对两个月内发布的可能被利用侵入并控制主机(及网络设备)的主流操作系统和应用程序漏洞的攻击方法;在24小时内出现对超过100台以上的承担市际汇聚的骨干网路由器或交换机的非法登陆尝试;导致市某个互联单位二个以上乡镇部门网络瘫痪的事件;导致市某个互联单位网络出入口总流量在24小时内异常增加50%的安全事件。

Ⅱ级(重大)：出现一种新的利用主流操作系统和应用程序漏洞的网络蠕虫;蠕虫(或病毒)导致二级以上安全事件爆发并留下后门，其后一年内出现了针对该后门的攻击程序;导致涉及我市的市某个互联单位网络瘫痪的安全事件;导致涉及我市的市两个及以上不同互联单位的骨干网络总流量在24小时内异常增加50%的安全事件;承担市际汇聚的骨干网络设备超过5%失去控制。

Ⅰ级(特别重大)：导致一个及以上互联单位的网络瘫痪的安全事件;导致两个及以上不同互联单位的市骨干网络瘫痪的安全事件，并且有其他互联单位相同的网络性能下降的报警;通过监测发现有两个及以上的互联单位的网络出现总流量或者某个协议数据流量严重异常;某个互联单位的承担市际汇聚的骨干网网络设备超过10%失去控制。

4.2 应急响应行动

4.2.1 IV级信息安全事件应急响应

(Ⅳ级)一般级别的信息安全事件由各基础通信运营企业根据情况自行处置。

4.2.2 Ⅲ级信息安全事件应急响应

(1)发生较大(Ⅲ级)信息安全事件后，市网络与信息安全事件应急指挥部办公室向市直有关单位通报信息安全事件情况，各级基础通信运营企业向各经营性互联单位通报情况,按要求立即启动相应的应急处置程序;

(2)市公安局、市保密局、各通信所属主管网络与信息安全的技术人员根据指令，针对具体安全事件类别采取相应措施：立即对事件的特点、机理、危害、解决方案进行研究;并持续跟踪和收集相关信息，观测数据变化动态，每24小时向市网络与信息安全事件应急指挥部办公室上报事件动态;及时将有关情况通报所有互联单位。

(3)各单位根据具体的安全事件类别采取以下的相应措施：针对新出现的攻击方法，密切关注涉及协议/端口的流量变化，及时采取防范和消除手段;积极组织对本网的安全加固，密切关注相同原因造成的流量变化，及时上报发现的网络异常情况;针对网络性能下降和瘫痪事件，立即组织恢复网络的正常运行，组织技术人员对事件原因进行深入调查，对网络采取相应的技术处理措施。各单位应当及时向市网络与信息安全事件应急指挥部办公室报告信息安全事件的发展情况，市网络与信息安全事件应急指挥部办公室及时上报市人民政府。

4.2.3 Ⅱ级信息安全事件的应急响应

(1)市网络与信息安全事件应急指挥部办公室向各乡镇和市直单位通报信息安全事件情况，各基础通信运营企业向各经营性互联单位通报情况,同时启动相应的Ⅱ级事件应急处理程序。

(2)市公安局、市保密局、各基础电信运营企业所属主管网络与信息安全的技术人员根据指令，针对具体安全事件类别采取如下的相应措施：组织研究该事件的特点、机理和危害，在8小时内提出建议方案;组织相关技术人员对安全事件进行监测，跟踪和收集相关信息，每12小时向市网络与信息安全事件应急指挥部办公室上报一次事件发展情况;及时将有关情况通报所有互联单位。

(3)各单位根据具体的信息安全事件类别采取以下的相应措施：针对漏洞和蠕虫事件，密切关注该漏洞攻击和网络蠕虫传播所涉及的协议/端口的流量变化，每12小时上报事件动态，及时采取防范和消除手段;

针对网络存在大量后门主机事件，立即采取有效恢复措施;

针对网络性能下降和瘫痪事件，立即组织技术力量恢复相关网络的正常运行，并在12小时内将事件分析报告上报市网络与信息安全事件应急指挥部办公室，对事件原因进行深入调查，在1小时内对相关网络采取相应的技术处理措施;

针对来自境外的网络瘫痪事件，积极组织对本网的安全加固，并密切关注相同原因造成的本网的流量变化，每12小时向市网络与信息安全事件应急指挥部办公室上报运行情况;

针对骨干网设备失控事件，立即组织人员恢复设备正常运行，并在8小时内将事件原因上报市信息应急办;在24小时内对相邻的其它骨干网设备进行登陆访问检查和加固，在72小时内对全网范围内的骨干网设备进行登陆访问抽样检查和加固，并将处理结果上报市网络与信息安全事件应急指挥部办公室。

各单位应当及时向市网络与信息安全事件应急指挥部办公室报告Ⅱ级信息安全事件的发展情况，市信息应急办应及时分析、判断事件是否会发展成为更高等级的安全事件并及时上报市人民政府和市网络与信息安全事件应急指挥部办公室。

4.2.4 Ⅰ级安全事件的应急响应

(1)在向市人民政府报告的同时，应立即向市通信保障应急领导小组报告事件发生和影响，根据初步判断提出应对事件处理方案的建议。市网络与信息安全事件应急指挥部办公室向市直有关单位和乡镇通报安全事件情况，各基础通信运营企业向各经营性互联单位通报情况,要求立即启动相应的Ⅰ级事件应急处理程序。

(2)市公安局、市保密局、各基础电信运营企业所属主管网络与信息安全的技术人员根据指令，针对具体安全事件类别采取如下的相应措施：

紧急组织技术力量，在最短的时间内研究事件的特点、机理、危害、解决方案;每小时向市信息应急办报告工作进展;市信息应急办组织技术力量对事件进行监测，并根据事件的发展变化情况，及时向市人民政府和市网络与信息安全事件应急指挥部办公室报告事件动态;及时将有关情况通报所有互联单位。

(3)各单位根据具体的安全事件类别采取以下的相应措施：

针对网络瘫痪事件，立即组织力量全力抢修瘫痪的网络，每小时向市网络与信息安全事件应急指挥部办公室汇报抢修工作进展;立即组织力量分析网络瘫痪的原因和有效遏制手段;积极组织对本网的安全加固，并密切关注相同原因造成的本网的流量变化，每12小时向上报运行情况;立即组织对本网采取相应的措施;

针对大量骨干网设备失控事件：紧急恢复失去控制的骨干网设备，并在4小时内将事件原因上报市网络与信息安全事件应急指挥部办公室;在12小时内对相邻的其它骨干网设备进行登陆访问检查和加固，在24小时内对全网范围内的骨干网设备进行登陆访问抽样检查和加固，并将处理结果上报市人民政府和市信息应急办。

各单位应当及时向市网络与信息安全事件应急指挥部办公室报告所掌握的Ⅰ级信息安全事件的发展情况，市网络与信息安全事件应急指挥部办公室及时向市通信保障应急领导小组上报事件的发展情况。

4.3 信息的报送和处理

市网络与信息安全事件应急指挥部办公室应及时整理发生事件的各种相关信息，于事件发生并处理完毕后15个工作日内将完整的情况记录归档。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将完整的情况报市网络与信息安全事件应急指挥部办公室备案。

4.4 指挥与协调

各级网络系统与信息安全事件防治机构按属地为主的原则,在当地政府统一领导下,各级信息化主管部门积极协调有关部门单位，积极预防网络与信息安全事件的发生并有效开展监测和应急处置工作。

4.5 信息发布

网络与信息安全事件信息发布遵循实事求是、及时准确的原则，由市网络与信息安全事件应急指挥部办公室会同市新闻中心、市广播电视台，按照《临湘市突发公共事件新闻发布应急预案》的有关规定，做好信息发布工作。

4.6 应急结束

当信息安全事件的危害得以控制，次生事件因素已经消除，由启动应急预案的网络与信息安全事件应急指挥部宣布应急处置结束，并通报相关部门单位。

5、后期处置

5.1 善后处置

应急响应终止后，事发地人民政府负责组织信息安全事件的善后处置工作，消除事件影响，妥善安置受灾人员，尽快恢复正常秩序，确保社会稳定。

5.2 社会救助

网络与信息安全事件发生后，民政部门负责管理社会各界捐赠活动;保险机构依法做好有关理赔工作。

5.3 后果评估

市信息应急办会同发生地人民政府，及时组织专家组和有关人员对信息安全事件造成的损失进行评估，分析发生的原因和应吸取的经验教训，提出整改措施。

6、应急保障

6.1 应急队伍保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，大力发展信息安全服务业，增强社会应急支援能力。

6.2 技术储备保障

市网络与信息安全事件应急指挥部组织有关专家和科研力量，开展信息安全事件应急运作机制、应急处理技术、预警和控制等研究，推广和普及新的应急技术。

6.3 经费保障

市财政部门按照《临湘市突发公共事件总体应急预案》的规定，确保网络与信息安全事件处置所需经费。

7、监督管理

7.1 预案的宣传、培训演练

市、乡镇人民政府、街道办事处及网络与信息主管部门应加强对网络与信息安全事件预防、避险、避灾、自救、互救等知识的宣传教育，市网络与信息安全事件应急指挥部办公室及成员单位应加强预案的宣传、贯彻、培训和演练工作，不断提高应急应变能力，至少每年组织一次信息安全事件应急救援演练，提高救援人员应急处置能力。

7.2 监督检查

市应急办、市公安局会同相关部门单位对本预案的实施情况进行监督检查，确保各项应急措施到位。

7.3 奖励与惩罚

对在网络与信息安全事件应急救援中积极履行职责、表现突出、成绩显著的单位和个人给予表彰奖励;对在工作中不履行职责、渎职、失职造成严重损失的，给予责任人行政处分，违反刑法的，移送司法机关依法追究法律责任。

8、附则

8.1 名词术语解释

网络与信息安全重大突发事件：本预案是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，我市各级政府机关网络与信息系统、关系到国计民生的基础性网络及重要信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。

8.2 预案管理与更新

市网络与信息安全事件应急指挥部根据情况变化，适时对本预案进行修订和完善。

8.3 预案解释部门

本预案经市人民政府批准后实施，由市人民政府办公室印发，市公安局、市应急办负责解释。

8.4 预案实施时间

本预案自发布之日起施行。

附件1

临湘市网络与信息安全事件应急预案启动审批表

附件2

临湘市网络与信息安全事件应急预案处置结束审批表

附件3

临湘市网络与信息安全事件应急预案情况通报审批表

抄送：市委办、市人大办、市政协办。

临湘市人民政府办公室 2014年11月13日印发