河东区诚信体系建设领导小组办公室关于数据安全应急响应管理规定

第一章 总则

第一条  为做好网络与信息安全突发事件的应急处置工作，提高网络安全突发事件应急处置能力，切实有效地保障河东区电子政务网络与业务系统持续、有效的运行，确保信息化健康发展，特制订本管理规定。

第二章 职责及权限

第二条 电子政务网络安全管理小组

(一) 对紧急事件的响应、组建应急小组；

(二) 整体领导、指挥IT安全事件处理工作；

(三) 必要时可以调动资金、物资和调配相关工作人员。

(四) 决定其他重大事项；

(五) 批准对外发布相关信息；

第三条 电子政务网络安全和信息化实施小组

(一) 突发事件的受理、分析以及临时处理工作；

(二) 负责组织、成立应急响应小组，并明确各个人员职责；

(三) 负责协助对信息安全事件进行处理；

(四) 负责信息安全事后的总结与分析；

第四条 应急响应处理小组

(一) 负责对突发事件的处理以及突发事件处理方案的编制工作；

(二) 组建网络与信息安全事件应急响应专家小组

(三) 与网络安全领导小组、信息化建设管理中心建立联络机制；

(四) 为应急处置工作提供决策建议和技术指导；

(五) 制定IT重大安全事件应急行动方案。

第三章 应急响应流程

第五条 应急响应流程如下：

第六条 根据网络和信息安全突发事件的不同状况和引起的不同后果，把可能出现的状况划分为五个等级。

（一） 异常：低于三分之一（不含）的网络和信息系统出现不正常的征兆，给正常使用带来不便的。例如网络时断时续、计算机突然死机或重启、网站打开极其缓慢等情况。

（二） 风险：高于三分之一（含）低于二分之一（不含）的网络和信息系统出现不正常的运行状况，给正常使用带来较大不便，需要咨询专业人员或由专业人员进行处置的。例如计算机频繁死机、上网文件无法上传、邮件发送数次失败、无法正常进行联网打印等情况。

（三） 事故：高于二分之一（含）的网络和信息系统不能正常运行，无法正常使用，预计恢复原状或有效处置需要一定人力、物力、财力的。例如数据库系统镜像失败、网站页面内容被篡改、政府网站出现非法言论未及时删除、专线中断等情况。

（四） 重大事故：所有网络和信息系统不能运行，无法使用并造成重大损失的，预计恢复原状或有效处置需要相当人力、物力、财力的。例如数据库系统被大量进行信息修改、网站被完全篡改并被剥夺控制权、电子政务所有计算机因感染病毒无法使用等情况。

（五） 灾难事故：由于攻击行为或其他自然灾难导致所有网络和信息系统完全不能运行，造成严重损失或恶劣后果的，预计恢复原状或有效处置需要大量人力、物力、财力的。例如数据库系统完全瘫痪且无法修复、网站主机被低级格式化、局域网路由器或交换机被写入恶意代码而完全丧失原有功能等情况。

第七条 分级响应，异常、风险应急响应。网络安全员立即向网络安全和信息化实施副组长报告事件的详细情况，如果超过30分钟仍无法排除故障，则立即报告网络安全和信息化实施组长。

第八条 网络安全和信息化实施收到网络安全员的报告后，立即报告网络安全管理小组，启动应急预案，对事件进行处置。

第九条 对于事故、重大事故、灾难事故等较大信息安全事件，网络安全管理小组应立即启动调度相关资源，协助事发部门开展应急处置。

第十条 应急资源调配和应急人员协调。网络安全管理小组系协调专家组（包括信息安全专家、网络专家、信息系统专家等），应急处置指挥部和现场指挥部负责协调各类应急响应技术、操作人员。

第十一条  其它必要资源。网络安全和信息化实施小组根据专家组所确定的安全事件处置解决方案所必需的资源，如网络与通讯资源、计算机设备、网络设备、网络安全设备与软件等进行统一协调。

第十二条  制定恢复计划。应急响应处理小组制订具体处置方案，交由网络安全实施小组进行检验。

第十三条  实施恢复计划。网络安全和信息化实施小组和应急响应处理小组对检验结果进行评估，经批准后，则按处置方案的要求，协调、落实所需的资源。

第十四条  保障恢复流程执行。应急响应处理小组根据网络安全和信息化实施小组下达的指令，进行具体应急处置操作和处理。

第十五条  对于事故、重大事故，在应急响应处理工作结束，或者相关危险因素和安全隐患消除后。网络安全和信息化实施小组小组根据应急响应处理小组的建议，决定终止实施应急响应措施，转入常态管理。

第十六条  对于灾难事故，应急结束的判断标准为信息系统和业务恢复正常。网络安全和信息化实施小组根据事件的处理结果，决定终止实施应急响应措施，转入常态管理。

第十七条  如存在其他信息安全问题，则开始新的安全事件响应流程循环。

第四章 信息安全事件报告处理

第十八条  安全事件信息来源主要有以下几类：

(一) 监控系统，日志审计监测到的网络与信息安全事件信息；

(二) 由一般信息安全事件处理流程认定的或升级后的部分较大的信息安全事件；

(三) 监管单位监测发现的网络安全问题。

第十九条  应急信息处理可按以下程序进行：

（一） 收集和反馈。接到网络与信息安全事件报警后，要先详细记录该事件的细节信息，了解事件造成的损失、影响以及现场控制情况，并尽可能全面了解与事件有关的信息。

（二） 分析状态。在汇总相关信息的基础上，及时判断事件性质，并根据判定结果，开展下一步的工作。

（三） 属于网络与信息安全事件的，应对该次事件做进一步的事件验证，确认属于网络与信息安全事件的，应进入事件分析处理流程。

（四） 属于误报的，安全管理员应对该事件进行记录和处理。

（五） 事件分析。事件确认后，根据掌握的信息，分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况。

（六） 先期处置。网络与信息安全事件发生后，监控部门必须在第一时间实施即时处置，控制事态发展并及时向信息化建设管理中心负责人报告。

（七） 准备启动应急响应流程。网络与信息安全事件发生后，在进行先期应急响应处理的同时，应及时汇总信息并迅速报告安全管理员。

（八） 安全管理员根据事件的汇总信息，按照网络与信息安全事件等级判断标准拟定事件等级立即报呈云网络安全和信息化实施小组。

（九） 网络安全和信息化实施小组根据呈报内容紧要程度启动相应的应急预案，并建立应急响应处理小组。

第五章 后期处理

第二十条  网络安全和信息化实施小组要积极稳妥、深入细致地搞好善后处置。

第二十一条   安全管理员对网络与信息安全事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查和评估。

第二十二条   责任确定。应急响应工作结束后，应当分析产生该次事件的原因，对事件进行调查，确定责任人。如果涉及违法犯罪行为，由司法机关及时追究当事人的刑事责任。

第二十三条   事件备案与归档。应急处置工作结束后，应急响应处理小组必须整理提交相关事件处置的过程和结果报告，安全管理员进行备案。

第二十四条   对于已经发生的安全事件的相关信息，经网络安全管理小组审批后通报给相关上级。

第二十五条   对于造成社会影响的网络与信息安全事件，信息发布应当及时、准确、客观、全面。事件发生后，要及时向社会发布信息，并根据事件处置情况做好后续发布工作。需要向社会发布的信息，经网络安全领导小组核定后，由网络安全管理小组具体进行发布。

第二十六条   安全事件处理结束后，可以根据在应急预案执行过程中暴露的问题和调查评估的结果，对本预案进行相应的修改和维护，或者由网络安全和信息化实施小组根据实际情况的变化，及时修订本预案，报网络安全管理小组审核。

第六章 应急保障

第二十七条   网络安全和信息化实施小组要按照职责分工和相关预案，切实做好应对网络与信息安全事件的人力、物力、财力、通讯、科技等保障工作，保证应急救援工作和恢复重建工作的顺利进行。

第七章 培训与管理

第二十八条   网络安全和信息化实施小组应开设应急管理、应急处置及组织指挥等培训课程，对各部门领导干部、管理人员进行培训，并对应急管理和基层处置人员作进行相应的技能培训。

第二十九条   每年组织一次演练，模拟处置影响较为重大的信息安全事件，组织相关部门和应急响应组织的参与，提高应急人员的应急能力，查找应急处理工作中的不足和漏洞，确保突发事件发生后各项应急工作的正常开展，同时，根据演练和实施情况检查和评估本预案的实施效果，对本预案进行修改和完善。

第三十条  网络与信息安全事件应急处置工作实行行政领导负责制和责任追究制。

第三十一条   对于在应急处置工作中做出突出贡献的先进集体和个人，给予表彰和奖励。对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或者应急处置工作中有其他失职、渎职行为的，依法对有关责任人给予行政处分；构成犯罪的，依法追究刑事责任。

第八章 附则

第三十二条   本文件由河东区诚信建设领导小组办公室负责解释与修订。

河东区诚信体系建设领导小组办公室

2020年8月25日