中央网信办关于印发国家网络安全事件应急预案的通知

国家网络安全事件应急计划

目录

1. 一般规定

1.1 目的

1.2 编制依据

1.3 适用范围

1.4 事件分类

1.5 工作原理

2 组织结构及职责

2.1 领导机构及职责

2.2 办公室和职责

2.3 各部门职责

2.4 各省（自治区、直辖市）职责

3 监测预警

3.1 警示等级

3.2 预警监测

3.3 预警评估与发布

3.4 预警响应

3.5 警告解除

4 紧急响应

4.1 事故报告

4.2 应急响应

4.3 紧急结束

5 调查与评估

6.预防

6.1 日常管理

6.2 演练

6.3 宣传

6.4 培训

6.5 重大事件注意事项

7 保障措施

7.1 组织机构与人员

7.2 技术支持团队

7.3 专家团队

7.4 社会资源

7.5 基础平台

7.6 技术研发与产业推动

7.7 国际合作

7.8 物质支持

7.9 资金

7.10 责任、奖惩

8 附则

8.1 计划管理

8.2 计划说明

8.3 计划实施时间

1. 一般规定

1.1 目的

建立完善国家网络安全事件应急机制，提高应对网络安全事件能力，防范和减少网络安全事件造成的损失和危害，保障公众利益，维护国家安全、公共安全和社会秩序。

1.2 编制依据

相关法规包括《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类定级指南》（GB/Z 20986-2007）等。

1.3 适用范围

本预案所称网络安全事件，是指因人为因素、软件或硬件缺陷或故障、自然灾害等原因，对网络和信息系统或者其中的数据造成危害，并对社会造成不良影响的事件。可分为危害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他事件。

本预案适用于网络安全事件应对工作。信息内容安全事件应对工作另行制定专项预案。

1.4 事件分类

网络安全事件分为特别重大网络安全事件、重大网络安全事件、重大网络安全事件、一般网络安全事件四个等级。

（一）有下列情形之一的，应当认定为特别重大网络安全事件：

①重要网络、信息系统遭受特别严重的系统损失，造成大面积系统瘫痪，丧失业务处理能力。

②国家秘密信息、重要敏感信息、关键数据丢失、被窃取、篡改、伪造，对国家安全和社会稳定造成特别严重的威胁。

③其他对国家安全、社会秩序、经济发展、公共利益构成特别严重威胁或者造成特别严重影响的网络安全事件。

（二）重大网络安全事件，是指符合下列情形之一，但尚未达到特别重大网络安全事件标准的事件：

①重要网络、信息系统遭受严重系统损失，造成系统长期中断或局部瘫痪，业务处理能力受到较大影响。

②国家秘密信息、重要敏感信息、关键数据丢失、被窃取、篡改或者假冒，对国家安全和社会稳定造成严重威胁。

③其他对国家安全、社会秩序、经济发展、公共利益造成严重威胁或严重影响的网络安全事件。

（3）重大网络安全事件，是指符合下列情形之一，但不构成重大网络安全事件：

①重要网络、信息系统遭受重大系统损失，造成系统中断，严重影响系统效率和业务处理能力。

②国家秘密、重要敏感信息、关键数据的丢失、窃取、篡改、假冒，对国家安全和社会稳定造成严重威胁。

③其他对国家安全、社会秩序、经济发展、公共利益构成严重威胁，造成严重影响的网络安全事件。

（4）除上述情形外，对国家安全、社会秩序、经济发展、公共利益构成一定威胁，造成一定影响的网络安全事件，属于一般网络安全事件。

1.5 工作原理

坚持统一领导、分级负责；坚持统一指挥、密切配合、快速反应、科学处置；坚持以预防为主、预防与应急相结合；坚持谁主管谁负责、谁操作谁负责，发挥各方力量，共同做好网络安全事件防范和处置工作。

2 组织结构及职责

2.1 领导机构及职责

在中央网络安全和信息化领导小组（以下简称领导小组）领导下，中央网络安全和信息化领导小组办公室（以下简称网信办）协调组织全国网络安全事件应对工作，建立健全跨部门联动处置机制，工业和信息化部、公安部、国家保密局等有关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥中心（以下简称指挥中心），负责组织指挥和协调处置特别重大网络安全事件。

2.2 办公室和职责

国家网络安全应急办公室（以下简称“应急办”）设在中央网信办，具体工作由中央网信办网络安全协调局承担。应急办负责跨部门、跨地区的网络安全应急协调和指挥中心的行政工作，组织指导国家网络安全应急技术保障组为应急工作提供技术保障。有关部门派出司级负责相关工作的同志作为联络员，与应急办进行联络。

2.3 各部门职责

中央国家机关各部门按照职责权限负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

2.4 各省（自治区、直辖市）职责

各省(区、市)网信部门在地方党委网络安全和信息化领导小组统一领导下，协调组织做好本地区网络和信息系统网络安全事件防范、监测、报告和应急处置工作。

3 监测预警

3.1 警示等级

网络安全事件预警级别分为红色、橙色、黄色、蓝色四级，由高到低，分别对应发生或者可能发生特别重大、严重、重大和一般网络安全事件。

3.2 预警监测

各单位要按照“谁主管、谁负责、谁运营”的要求，组织对本单位建设、运营的网络与信息系统开展网络安全监测。重点行业的主管或监管部门要组织指导本行业的网络安全监测工作。各省（区、市）网信部门要结合本地区实际，统筹组织开展本地区网络与信息系统安全监测工作。各省（区、市）和部门要将重要监测信息报应急办公室，应急办公室要组织跨省（区、市）和部门的网络安全信息共享。

3.3 预警评估与发布

各省（区、市）各部门要组织对监测信息进行分析研判，认为需要立即采取防范措施的，应及时通报相关部门和单位，并及时向应急办公室报告可能发生重大以上网络安全事件的信息。各省（区、市）各部门可根据监测研判情况，对本地区、本行业发布橙色及以下预警。

应急办公室组织研究分析，确定并发布涉及多省（区、市）、多部门、多行业的红色预警和警报。

预警信息包括事件类型、预警级别、启动时间、可能影响范围、预警事项、拟采取的措施及时限要求、发布机关等。

3.4 预警响应

3.4.1 红色警报响应

（1）应急办公室组织预警响应工作，联系专家和相关机构，组织跟踪分析事态发展，研究制定防范措施和应急工作预案，协调组织部门间协调资源调度和各项准备工作。

（二）有关省（区、市）和部门的网络安全事件应急指挥机构应当24小时值守，相关人员保持通讯畅通。加强网络安全事件监测和事态发展信息收集，组织指导应急支援队伍和相关运行单位开展应急处置或者准备、风险评估与管控，重要情况向应急办公室报告。

（三）国家网络安全应急技术支撑队进入待命状态，根据预警信息研究制定应对预案，检查应急车辆、设备、软件工具等，确保其处于良好状态。

3.4.2 橙色预警响应

（一）有关省（区、市）和部门的网络安全事件应急指挥机构应当启动相应应急预案，组织开展预警响应工作，开展风险评估、应急准备和风险管控工作。

（二）有关省（区、市）和部门要及时向应急办公室报告情况发展。应急办公室要密切监测情况发展，发现重大情况及时通报相关省（区、市）和部门。

（三）国家网络安全应急技术支撑组保持通讯畅通，检查应急车辆、设备、软件工具等，确保其处于良好状态。

3.4.3 黄色和蓝色警告响应

有关地区、部门网络安全事件应急指挥机构制定相应应急预案，指导组织开展预警响应。

3.5 警告解除

预警发布部门或者地区根据实际情况确定是否解除预警，并及时发布解除预警信息。

4 紧急响应

4.1 事件报告

网络安全事件发生后，事件发生单位应当立即启动应急预案，实施处置并及时上报信息。各有关地区、部门要立即组织先期处置，控制事态，消除隐患，组织研判，注意保存证据，做好信息上报工作。对初步判断为特别重大、重大网络安全事件的，应当立即向应急办公室报告。

4.2 应急响应

网络安全事件应急响应分为四级，分别对应特别重大、重大、重大和一般网络安全事件。其中，一级为最高响应级别。

4.2.1 一级响应

发生特别重大网络安全事件，迅速启动一级响应，成立指挥中心，履行应急处置的统一领导、指挥、协调职责，应急办公室24小时值班。

有关省（区、市）、部门应急指挥机构进入应急状态，在指挥中心统一领导、指挥、协调下，负责本省（区、市）、部门应急处置或支援保障工作，24小时值班，派员参加应急办工作。

有关省（区、市）和部门要跟踪事态发展，核查影响范围，及时向应急办公室报告事态发展变化和处置进展情况。指挥部对应对工作作出决策部署，有关省（区、市）和部门负责组织实施。

4.2.2 二级响应

网络安全事件二级响应由有关省（区、市）和部门根据事件性质、情况确定。

（1）事件发生地省（自治区、直辖市）或者部门应急指挥机构进入应急状态，按照有关应急预案开展应急响应工作。

（2）事件发生地省（区、市）或部门应当及时向应急办公室报告事态发展变化情况。应急办公室应当及时将有关重大事项通报有关地区、部门。

（三）处置过程需要其他有关省（区、市）、部门和国家网络安全应急技术支撑队配合支持的，由会商应急办公室予以配合。相关省（区、市）、部门和国家网络安全应急技术支撑队应当按照各自职责积极配合、提供支持。

（四）各有关省（区、市）和部门要按照应急办公室通知要求，结合各自实际，有针对性地加强防范措施，防止造成更大影响和损失。

4.2.3 三级和四级响应

事件发生地、部门应当按照相关预案开展应急处置。

4.3 紧急结束

4.3.1 一级响应结束

应急办公室提出建议，报指挥中心批准，并及时通报相关省（区、市）和部门。

4.3.2 二级响应结束

事件发生地省（自治区、直辖市）或部门决定，报国务院应急办公室，国务院应急办公室通知相关省（自治区、直辖市）和部门。

5 调查与评估

应急办公室组织有关部门和省（区、市）对特别重大网络安全事件进行调查处理、总结评估，并按程序上报。重大及以下网络安全事件由事件发生地或部门负责调查处理、总结评估。重大网络安全事件总结调查报告报应急办公室。总结调查报告应对事件发生的原因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。

事件调查处理和总结评估工作原则上应于应急响应结束后30日内完成。

6.预防

6.1 日常管理

各地区、各部门要按照职责做好网络安全事件日常防范工作，制定完善相关应急预案，开展网络安全大检查、隐患排查、风险评估和容灾备份等工作，完善网络安全信息报告机制，及时采取有效措施，减少和避免网络安全事件的发生和危害，提高应对网络安全事件的能力。

6.2 演练

中央网信委员会协调有关部门定期组织演练，检验完善预案，提升实战能力。

各省（区、市）和部门每年至少组织一次应急预案演练，并将演练结果报国家互联网信息办公室。

6.3 宣传

各地区、各部门要充分利用各种媒体和其他有效宣传形式，加强防范和处置网络安全突发事件相关法律法规和政策的宣传，开展网络安全基础知识和技能宣传活动。

6.4 培训

各地区、各部门要将网络安全事件应急知识纳入领导干部和相关人员培训内容，加强网络安全特别是网络安全应急预案培训黑料吃瓜网免费进入，提高防范意识和技能。

6.5 重大事件注意事项

国家重大活动、会议期间，各省（区、市）各部门要加强网络安全事件防范和应急处置，确保网络安全。应急办公室将统筹协调网络安全防护工作，要求有关省（区、市）各部门根据需要启动红色预警响应。有关省（区、市）各部门要加强网络安全监测和研判，对可能造成重大影响的风险隐患及时预警。重点部门、关键岗位要保持24小时值守，及时发现、处置网络安全事件和隐患。

7 保障措施

7.1 组织机构与人员

各地区、各部门、各单位要落实网络安全应急责任制，落实责任到部门、岗位、个人，建立健全应急机制。

7.2 技术支持团队

加强网络安全应急技术支撑队伍建设，做好网络安全事件监测预警、防范防护、应急处置和应急技术支撑工作。支持网络安全企业提升应急处置能力，提供应急技术支撑。中央网信委制定考核认证标准，组织开展国家网络安全应急技术支撑队伍考核认证。各省（区、市）、各部门要配备必要的网络安全专业技术人员，加强与国家网络安全相关技术单位的沟通协调，建立必要的网络安全信息共享机制。

7.3 专家团队

建立国家网络安全应急专家组，为网络安全事件防范和处置提供技术咨询和决策建议。各地区、各部门要加强本地区专家队伍建设，充分发挥专家在应急工作中的作用。

7.4 社会资源

从教育科研机构、企事业单位、协会等选拔网络安全人才，汇聚技术和数据资源，建立网络安全事件应急服务体系，提高应对特别重大、重大网络安全事件能力。

7.5 基础平台

各地区、各部门要加强网络安全应急基础平台和管理平台建设，做到早发现、早预警、早响应，提高应急处置能力。

7.6 技术研发与产业推动

有关部门要加强网络安全防范技术研究，不断提升技术装备水平，为应急工作提供技术支撑。加强政策引导，重点支持网络安全监测预警、防范保护、处置救援、应急服务等，提高网络安全应急产业整体水平和核心竞争力，增强防范和处置网络安全事件的产业支撑能力。

7.7 国际合作

有关部门应当建立国际合作渠道，签署合作协议，必要时通过国际合作共同应对网络安全突发事件。

7.8 物质支持

加强网络安全应急装备和工具储备，及时调整升级软硬件工具，不断提升应急技术保障能力。

7.9 资金

财政部门对网络安全事件应急处置工作给予必要的经费支持。有关部门利用现有政策和经费渠道，对网络安全应急技术支撑队伍、专家队伍建设、基础平台建设、技术研发、应急预案演练、物资保障等给予支持。各地区、各部门对网络安全应急处置工作给予必要的经费支持。

7.10 责任、奖惩

网络安全事件应急处置实行责任追究制。

中央网信委和有关地区、部门对在网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。

对未按照规定制定预案、组织演练，迟报、谎报、瞒报、不报网络安全事件重要信息，或者在应急管理工作中存在其他失职、失职行为的责任人，中央网信委和有关地区、部门将按照有关规定予以处罚；构成犯罪的，依法追究刑事责任。

8 附则

8.1 计划管理

此计划原则上每年评估一次，并根据实际情况适时修订，由中央网络安全和信息化委员会负责修订。

各省（区、市）、各部门、各单位要依据本预案，制定或修订本区域、部门、行业、单位的网络安全事件应急预案。

8.2 计划说明

本方案由中央网络安全和信息化委员会负责解释。

8.3 计划实施时间

本方案自发布之日起实施。

附录：

1.网络安全事件的分类

2. 术语

3. 网络与信息系统损失等级划分说明

附件1 网络安全事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他网络安全事件。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合程序攻击事件、网页嵌入恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息毁坏事件分为信息篡改事件、信息伪造事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息毁坏事件。

（四）信息内容安全事件，是指通过网络传播法律法规禁止的信息，组织不法分子串通、煽动集会游行、炒作敏感问题，危害国家安全、社会稳定和公共利益的事件。

（5）设备设施故障分为硬件和软件故障、周围支持设施故障、人为破坏事故和其他设备设施故障。

（6）灾难事件，是指因自然灾害或者其他突发事件引发的网络安全事件。

（7）其他事件，是指无法归入上述类别的网络安全事件。

附录 2 术语

一、重要网络和信息系统

与国家安全、社会秩序、经济发展、公共利益密切相关的网络与信息系统。

（参考：信息安全技术信息安全事件分类定级指南（GB/Z 20986-2007））

2.重要敏感信息

不涉及国家秘密，但与国家安全、经济发展、社会稳定、企业和社会公众利益密切相关的信息，如果遭到未经授权的泄露、丢失、滥用、篡改或者毁损，可能产生以下后果：

a) 对国防或国际关系造成损害；

b) 损害国家财产、公共利益、个人财产或者人身安全；

c)影响国家防范和打击经济、军事间谍、政治渗透、有组织犯罪等；

d)影响行政机关依法查处违法、失职行为或者涉嫌违法、失职行为的；

e)干扰政府部门公正、合法地实施监督、管理、检查、审计等行政活动，妨碍政府部门依法履行职责；

f)危害国家关键基础设施和政府信息系统安全；

g)影响市场秩序，造成不公平竞争，破坏市场规则；

h)可能导致泄露国家秘密的事项；

i) 侵犯个人隐私、企业商业秘密和知识产权；

j)损害国家、企业或者个人的其他利益和声誉。

（参考：信息安全技术云计算服务安全指南（GB/T31167-2014））

附件3：网络与信息系统损失等级划分说明

网络与信息系统损失是指因网络安全事件导致系统的硬件、软件、功能和数据遭到破坏，造成系统业务中断，从而给事件发生地组织造成的损失。损失的大小主要以恢复系统正常运行、消除安全事件负面影响所需的费用来考虑。分为特别严重系统损失、严重系统损失、较大系统损失和较小系统损失，具体如下：

a）特别严重的系统损失：导致大规模的系统瘫痪，导致业务处理能力的损失，或严重损害了关键系统数据的机密性，完整性和可用性。

b）严重的系统损失：该系统长时间中断或部分瘫痪，这极大地影响了其业务处理能力，或者，密钥系统数据的机密性，完整性和可用性损害了系统的正常操作，并消除了安全事件的负面影响，但有能力造成的组织。

c）严重的系统损失：引起系统中断，显着影响系统效率，影响重要信息系统或一般信息系统的业务处理能力，或者损害重要系统数据的机密性，完整性和可用性，并恢复系统的正常运行的成本并消除安全事件的负面影响，但对于组织的情况很高。

d）较小的系统损失：导致短暂的系统中断，影响系统效率，影响系统的业务处理能力，或影响重要系统数据的机密性，完整性和可用性。