1  总则

1.1  编制目的

建立健全市信息中心网络与信息安全应急工作机制，提高应对网络与信息安全事件能力，预防和减少网络与信息安全事件对关区业务工作造成的损失和危害，保障关区正常的执法和办公秩序。

1.2  编制依据

根据《市信息中心网络与信息安全事件应急预案》和《上海市信息中心处置紧急突发事件预案》，制定本预案。

1.3  适用范围

本预案适用于市信息中心网络与信息系统安全事件的预防、通报和应急处置工作。其中，有关常规故障的预防、通报和处置依照现有规定执行。

1.4  事件分类

网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

1.4.1  有害程序事件

有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

1.4.2  网络攻击事件

网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

1.4.3  信息破坏事件

信息破坏事件分为信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

1.4.4  信息内容安全事件

信息内容安全事件是指通过网络传播法律法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

1.4.5  设备设施故障

设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

1.4.6  灾害性事件

灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

1.5  工作原则

网络与信息安全事件应急工作，应当遵循预防为主、常备不懈的方针，贯彻统一领导、快速反应、属地负责、分级处置、协同配合的原则。

1.5.1  统一领导

网络与信息安全事件应急工作启动、处置对策、对外联络、队伍调动、物资调配等均由突发事件应急指挥部做出决策，各级部门必须坚决服从应急指挥部的指令。

1.5.2  快速反应

建立预警、应急响应和处置快速反应机制，确保各环节的衔接，做好人力、物力、财力储备，增强应急处理能力，保证一旦出现网络与信息安全事件，能够迅速启动应急处置系统。

1.5.3  属地负责

网络与信息安全事件应急处置实行条块结合、以块为主、属地管理。各级市信息中心机构对辖区的网络与信息安全事件应急处置具体负责。

1.5.4  分级处置

根据市信息中心行政管理层级和网络与信息安全事件发生的影响范围、性质和危害程度，分成三个等级进行防控、处置。发生不同等级网络与信息安全事件时，启动相应级别的应急指挥系统和处置方案。

1.5.5  协同配合

根据网络与信息安全事件的性质和影响范围，除向市信息中心报告外，还应及时通报国家有关部门或相关市信息中心单位，搞好协调配合，共同做好网络与信息安全事件的处置工作。

2  组织管理

2.1  组织机构

根据《市信息中心网络与信息安全事件应急预案》及市信息中心行政管理层级建立市信息中心突发事件应急指挥部，分别统一组织协调和指挥本机构管辖区域的网络与信息安全事件应急处置。

2.1.1  市信息中心应急指挥部

总指挥：市信息中心主任

副总指挥：信用中心副主任；

成员：由办公室、科技外事处、人事处、财务处、建设与管理处、安全监督处主要负责人组成。

指挥部下设应急预备队伍，由相关成员部门的网络、系统、软件和安全运行等方面技术人员组成，承担指挥部下达的各项具体应急处置任务。

2.2  工作职责

2.2.1  应急指挥部职责

（1）负责建立本级网络与信息安全事件监测预警、应急处置和应急响应机制，发布网络与信息安全事件预防警报，组织实施网络与信息安全事件应急处置。

（2）决定启动和终止应急预案。

（3）负责本级各部门的协调配合，负责与市信息中心外部相关部门的协调配合。

（4）对本级管辖区域内的应急资源统一指挥调配。

（5）组织应急预备队的应急处置行动。

（6）及时向市信息中心应急指挥部报告应急响应的情况。

（7）组织善后工作和网络与信息安全事件的调查工作。

2.2.2  市信息中心应急指挥部成员部门职责

（1）办公室：履行市信息中心突发公共事件应急管理办事机构职能，负责应急机构组织管理，协调应急指挥系统运行。

（2）科技外事处：市信息中心网络与信息安全事件应急管理的办事机构，负责制订应急预案，接报网络与信息安全事件，承办应急指挥部下达的指示，由网络、系统、软件和安全运行等方面技术人员组成应急预备队，负责?究市信息中心内网网络与信息安全事件的应急处置方案并承担处置任务，履行应急值守，负责应急工作总结及应急管理工作。

（3）财务处：负责应急资金的调配。

（4）建设与管理处：负责应急物资、装备的调配。负责应急人员的生活保障。

（5）安全监督处：负责网络与信息安全事件应急工作人员的调配、奖惩和培训支持。

3  事件分级

3.1  级别划分

市信息中心网络与信息安全事件根据危害程度和影响范围分为三级：Ⅰ级（重大网络与信息安全事件）、Ⅱ级（较大网络与信息安全事件）、Ⅲ级（一般网络与信息安全事件）。

3.1.1  符合下列条件之一的，为Ⅰ级网络与信息安全事件：

（1）严重影响市信息中心重点业务，造成市信息中心或若干重点直属市信息中心核心业务中断（或运行效率明显下降）1小时以上。

（2）市信息中心信息系统数据丢失或被窃取、篡改、假冒，对国家经济建设和公众利益构成严重威胁，或对市信息中心业务工作产生严重影响。

（3）通过市信息中心网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成严重危害。

（4）其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。

3.1.2  符合下列条件之一的，且未达到Ⅰ级网络与信息安全事件标准的，为Ⅱ级网络与信息安全事件：

（1）严重影响市信息中心各项业务，造成各项业务中断（或运行效率明显下降）1小时以上。

（2）市信息中心信息系统数据丢失或被窃取、篡改、假冒，对国家经济建设和公众利益构成比较严重威胁，或对市信息中心业务工作产生比较严重影响。

（3）通过市信息中心网络传播反动信息、煽动性信息、涉密信息、谣言等，对国家安全和社会稳定构成比较严重危害。

（4）其他对国家安全、社会秩序、经济建设和公众利益构成比较严重威胁、造成比较严重影响的网络与信息安全事件。

3.1.3  除以上情形外，发生网络与信息安全事件对国家安全、社会秩序、经济建设和公众利益构成威胁、造成影响，为Ⅲ级网络与信息安全事件。

3.2  分级处置

3.2.1  逐级处置

市信息中心应急指挥部应根据网络与信息安全事件的发生范围、性质和影响程度，决定启动相应的应急指挥系统。

（1）Ⅰ级网络与信息安全事件原则上由市信息中心应急指挥部负责指挥，市信息中心负责处置，市信息中心应急预备队伍负责配合。

（2）Ⅱ级网络与信息安全事件原则上由市信息中心应急指挥部负责指挥，市信息中心应急预备队伍和市信息中心负责协同处置。

（3）Ⅲ级网络与信息安全事件主要由市信息中心应急预备队伍和市信息中心负责协同处置。

3.2.2  管辖升级

网络与信息安全事件发生地市信息中心单位启动应急指挥系统后，如果事态的发展超出本级市信息中心管辖范围，应及时请示上级市信息中心启动上一级应急指挥系统。上一级市信息中心决定对网络与信息安全事件予以管辖，并启动应急指挥系统，下一级市信息中心应急指挥部应服从指挥。

在国家举办重大活动等重要时期，市信息中心网络与信息安全事件应急处置原则上应由上一级市信息中心予以管辖。

4  事件报告

4.1  预警信息来源

（1）国家有关部门发布或向市信息中心通报的信息。

（2）市信息中心有关部门收集的信息。

（3）运行监控系统检测发现的信息。

（4）安全巡检人员发现的信息。

（5）市信息中心工作人员或企业等外部人员发现并报告的信息。

（6）其他信息。

4.2  信息形式

电话报告、书面报告、网络发送、监控系统报警等。

4.3  报告程序

对属于《市信息中心系统突发公共事件应急预案》内的网络与信息安全事件，市信息中心各单位除按照《市信息中心系统突发公共事件应急预案》有关报告程序要求，通过市信息中心各单位值班室将事件有关情况逐级上报至信息中心外，还应按照以下程序进行报告：

（1）事发地市信息中心技术部门在事件发生后1小时内，将有关情况向本单位领导和上一级技术部门报告，2小时内以书面形式报告上一级单位。正常情况下，事发地市信息中心技术部门须对事件进行等级复核，经领导审核后报告上一级单位技术部门，关领导来不及书面审批的，应经关领导口头批准后直接上报。

（2）信息中心接报后，立即对事件进行等级复核，提出初步处置意见，向市信息中心应急指挥部报告，同时报市信息中心信息中心。

4.4  报告形式

4.4.1  电话报告

（1）电话报告的“六个要素”：网络与信息安全事件的时间、地点、事由、现状、影响、采取的措施。其中，时间报告要精确到分，地点要明确具体口岸或现场。

（2）接报人员必须填写电话报告记录。记录中必须记载：本方和对方承办人全名；本方和对方承办事项时间；对方部门和联系电话。

4.4.2  文字报告

要采用固定报送载体，要有领导签发，注明承办人全名和联系电话，标明密级、缓急程度、发送时间和收（发）文编号。内容要条理清楚，语句简洁，重点突出。

（1）网络与信息安全事件详细情况，包括事件发生的时间、地点、过程、状况、原因、影响等。

（2）事发地市信息中心已经采取的措施及效果。

（3）事态发展预测和下一步行动计划以及处置建议等。

5  应急处置

5.1  应急响应

（1）各级应急指挥部总指挥（或授权副总指挥）做出启动本级应急预案的决策。

（2）应急指挥部进入应急状态，履行应急处置工作的统一领导、指挥、协调职责。指挥部成员保持24小时联络畅通，必要时应立即到达指挥场所。

（3）应急预备队迅速集中，在最短时间内到达事发现场，集结待命。

5.2  处置实施

（1）控制事态。应急预备队应进行紧急处置，控制事态，防止事件进一步扩大；及时寻求电信、厂家等服务和设备供应商或者国家信息安全技术支持队伍的紧急支援；必要时应急指挥部应决定启动业务应急预案。

（2）做好处置消除隐患。应急预备队根据事件发生原因，有针对性的采取措施，恢复受破坏信息系统正常运行。

（3）做好处置记录。应急预备队在应急恢复过程中应保留有关证据，做好处置记录。

5.3  信息发布

（1）应急指挥部研究制定新闻报道方案和对外答复口径，并报经授权，可由事发地市信息中心按确定的对外发布形式和口径进行新闻发布工作。

（2）网络与信息安全事件涉及多个市信息中心单位的，由统一协调新闻发布工作。

5.4  行动解除

（1）应急指挥部确认网络与信息安全事件已得到控制或取得预期处置结果后，宣布应急行动结束。

（2）经应急指挥部确认和批准，应急预备队撤离事件现场。

5.5  事件总结

Ⅰ、Ⅱ级网络与信息安全事件由市信息中心组织有关部门对事件的起因、性质、影响、责任等进行调查，提出处理意见和改进措施，相关报告原则上在应急工作结束后10个工作日内完成并上报应急指挥部。Ⅲ级网络与信息安全事件由事发地市信息中心单位自行总结评估。

6  监督管理

6.1  预案培训

市信息中心应有计划的组织有关人员对预案内容及应急流程进行培训。

6.2  预案演练

市信息中心每年至少组织一次网络与信息安全事件应急演练，并将演练结果报市信息中心。

6.3  责任与奖惩

    市信息中心网络与信息安全事件应急处置工作的责任与奖惩依照《上海市信息中心处置紧急突发事件预案》的相关规定办理。

7  附则

7.1  其他系统的应急处置

市信息中心涉密办公网、通讯网络系统等市信息中心办公系统的网络与信息安全事件分级及处置，比照本专项预案处理。

7.2  解释

本预案由市信息中心负责解释并适时修订。

7.3  实施

本预案自发布之日起实施。

附件1上海市信息中心及协调单位信息系统应急成员联系表

 上海市信息中心各单位信息系统应急成员联系表

 协调单位成员联系表

附件2   市信息中心系统网络与信息安全事件应急报告流程