各县（市、区）市场监督管理局，市局各单位：

为进一步加强我局网络与信息安全管理，确保我局基础网络、电子政务系统与其他重要业务信息系统的安全、高效运行，确保在发生突发性网络与信息安全事件时，能够迅速、高效、有序的进行应急处理，避免或最大限度的减轻事故的损失，特制定《丽水市市场监督管理局网络与信息安全突发事件应急预案》，现印发给你们，请遵照执行。

丽水市市场监督管理局

2016年6月22日

（此件公开发布）

网络与信息安全突发事件应急预案

一、范围

本预案适用于丽水市市场监督管理局发生网络与信息安全突发事件(以下简称突发事件)的预防和应急处置工作。

单位所属各部门和各县（市、区）单位应依据本应急预案框架和要求，按照分级管理的原则，制订符合本单位工作实际并符合当地政府部门要求的应急预案和现场处置方案。

二、编制依据

依照国家《信息安全技术-信息安全事件分类分级指南》（GB/Z 20986—2007），结合丽水市市场监督管理局实际情况，制定本预案。

三、总则

（一）事件定义。

1.网络与信息安全突发事件指包括管理信息系统、营销系统、配网自动化系统、信息网络系统相关支撑的软硬件及物理环境的突发事件。根据网络与信息安全突发事件对服务的社会用户和生产、经营和管理的影响范围、程度、可能产生的后果和损失等因素，将突发事件分为重大（Ⅰ）、较大（Ⅱ）和一般（Ⅲ级）三个等级。

2.根据信息系统的重要性和影响程度，丽水市市场监督管理局确定启用突发事件处理的信息系统有：市场监管业务系统（含原工商业务系统、原食药监业务系统）、政务系统、公众服务系统（含各类外网网站、企业年报系统等）。

（二）事件分类。

根据网络与信息安全突发事件的性质、机理和发生过程，主要分为以下三类：

1、自然灾害。指地震、台风、雷电、火灾、洪水等引起的网络与信息系统损坏。

2、事故灾难。指电力中断、网络损坏或是软件、硬件设备故障等引起的网络与信息系统损坏。

3、人为破坏。指人为破坏网络线路、通信设施，黑客攻击、病毒攻击、恐怖袭击等引起的网络与信息系统损坏，或是利用信息网络进行有组织的大规模的反动宣传、煽动和渗透等破坏活动。

根据突发事件的故障情况可以分为以下几类：

1、通道与网络故障；

2、主机设备、操作系统、中间件和数据库软件故障；

3、应用停止服务故障；

4、应用系统数据丢失；

5、机房电源、空调等环境故障；

6、大面积病毒爆发、蠕虫、木马程序、有害移动代码等；

7、非法入侵，或有组织的攻击；

8、自然灾害或人为外力破坏；

9、信息发布和服务网站遭受攻击和破坏；

10、其他原因。

（三）事件分级。

Ⅰ级网络与信息安全突发事件

1、对所服务社会用户的生产、生活造成特别严重影响，影响社会用户数量超过本单位服务总用户数量的90%。

2、对本单位的生产、经营、管理和信息发布造成特别严重的影响，影响内部用户数超过90%。

3、出现大面积的有害信息传播，影响范围大，性质恶劣，影响本单位内部用户数超过90%。

4、涉及国家或单位利益的机密信息通过信息系统泄漏，造成特别重大影响。

Ⅱ级网络与信息安全突发事件

1、对所服务社会用户的生产、生活造成严重影响，影响用户数量超过本单位服务总用户数量的50%，低于90％。

2、对本单位的生产、经营、管理和信息发布造成影响，影响内部用户数超过50%，低于90%。

3、出现大面积的有害信息传播，影响范围大，影响各单位内用户数超过50%，低于90%。

4、涉及国家或企业利益的秘密信息通过信息系统泄漏，造成重大影响。

Ⅲ级网络与信息安全突发事件

1、对所服务社会用户的生产、生活造成影响，影响用户数量超过本单位服务总用户数量的20%，低于50%。 

2、对本单位的生产、经营、管理和信息发布造成影响，影响内部用户数超过30%，低于50%。

3、出现大面积的有害信息传播，影响范围大，影响各单位内用户数超过30%，低于50%。

（四）应急处置基本原则。

1、预防为主，常备不懈，超前预想。坚持“安全第一、预防为主、综合治理”的方针。做好应对各种网络与信息安全突发事件的预案准备、应急资源准备、保障措施准备和超前网络与信息安全突发事件预想，充分利用现有资源，制定科学的应急预案，定期组织开展应急培训和应急演练，提高对各种网络与信息安全突发事件的应急响应和处置能力。

2、统一指挥，分级管理，分工协作。通过成立各级应急领导小组、应急指挥部，建立有系统、分层次的应急组织。组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。应急预案制定、修订和应急处置应明确牵头部门或单位，以及各有关部门和单位的职责和权限。应急处理过程中，牵头部门和单位要主动协调各有关方面，参与单位听从指挥、步调一致。

3、保证重点，有效组织，及时响应。对重要系统要加大监控和应急工作力度，有效组织和发挥各应急队伍和应急资源的作用，确保信息及时准确传递，有效控制损失。做到保证重点、预防和处理相结合，反应迅速。

4、技术支撑，健全机制，不断完善。在充分利用现有信息资源、系统和设备的基础上，采用先进适用的预测、预防、预警和应急处置技术，改进和完善应急处理装备、设施和手段，提高应对网络与信息安全突发事件的技术支撑能力。切实提高应急处理人员的业务素质、安全防护意识和科学指挥能力，建立健全应对网络与信息安全突发事件的有效机制。

四、组织体系

（一）组织机构。

成立丽水市市场监督管理局网络信息安全应急指挥部(以下简称应急指挥部)，负责对本单位网络和信息安全突发事件应急指挥工作的组织领导。应急指挥部下设应急指挥办公室，设在丽水市市场监督管理局信息办，负责日常工作。应急指挥部总指挥由单位分管领导担任，应急指挥部副总指挥由信息办负责人担任，指挥部成员由各单位、各部门负责人组成。应急指挥办公室主任由分管领导担任，副主任由信息办负责人担任，工作人员由信息办人员组成。

（二）工作职责。

应急指挥部主要职责

1、贯彻落实相关网络安全法规、规定；

2、研究信息系统重大应急决策和部署；

3、宣布进入和解除应急状态，决定实施和终止信息系统应急预案；

4、统一领导I级和II级突发事件的应急处置工作；

应急指挥办公室主要职责

1、监督执行应急领导小组下达的应急指令和各项任务；

2、掌握应急处理情况，及时向应急指挥部报告应急处置过程中的重大问题；

3、监督落实应急预案的执行，在应急过程中协调有关部门和单位；

4、对网络与信息安全突发事件的有关信息进行汇总和整理； 

5、组织制定信息系统应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况；

五、预防与预警

1、发生III级突发事件进入信息系统预警状态，发生II级网络与信息安全突发事件进入信息系统II级应急状态，发生I级网络与信息安全突发事件进入I级应急状态。

2、根据实际情况，确定突发事件的预警状态和应急状态。重大（Ⅰ级）、较大（Ⅱ级）突发事件根据情况向各单位下发做好网络与信息安全工作的通知；信息办做好24小时值班制，做好信息上报工作

3、根据不同的网络和信息安全突发事件制定不同的网络应急处置规程（详见附件1）。

六、信息报告程序

（一）信息上报。

1、发生网络与信息安全突发事件时，由各级信息管理部门逐级报告。

2、报告分为紧急报告和详细汇报。紧急报告是指事件发生后，各级信息管理部门向上级信息管理部门以口头和书面形式汇报事件的简要情况；详细汇报是指由相应单位网络和信息安应急处理机构在事件处理暂告一段落后，以书面形式提交的详细报告。

3、各单位信息管理部门对各类突发事件的影响进行初步判断，是 I级事件的且预计在30分钟内不能处理和恢复的，须在30分钟内向上一级信息管理部门进行紧急报告，II级事件的应在60分钟内进行报告，III级事件的应在3小时内汇报。

4、发生下列情况引起管理网络与信息安全突发事件时，各单位应向应急指挥办公室报告，由应急指挥办公室统一向应急指挥部报送。

(1)大面积病毒爆发，且快速扩散事件；

(2)对主要网站、应用系统和关键设备等的大规模攻击和非法入侵，攻击数据包

(3)源IP地址不明或为内部IP地址；

(4)单位信息网络上传播不符合国家和单位保密要求的国家和单位涉密信息事件；

(5)其他从一个单位发生且能够影响单位其他单位和单位整体的网络与信息安全突发事件。

(6)有害信息通过电子邮件等方式在单位内部网络上大面积传播；

5、事件报告的内容和格式要求。各单位要规范口头报告的内容和格式，要求内容简洁、清楚、准确。口头报告的内容主要包括事件发生的时间、概况、可能造成的影响等情况。书面报告应采用应急指挥办公室统一上报格式。

6、网络和信息安全事件应急处置按照各专业协同处理的原则进行，需要内部多个部门和专业协同处置或外部应急资源支持的应急事件，由应急指挥办公室负责统一协调。

7、信息系统运行维护部门以保障重要应用系统和信息网络及基础应用的安全稳定运行为目标。当发生病毒、非法入侵、网络攻击、有害信息传播、不符合规定的涉密信息传播等事件时，迅速调整网络安全设备的安全策略或隔离事件区域，查找源头，采取有效措施，控制事件的发展。当信息系统出现软硬件设备故障、网络链路故障、机房环境设备故障等事件时，应立即启用备份系统和备用设备，调整系统运行和安全策略，恢复系统正常运行。

8、发生III级网络与信息安全突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案，根据事件原因采取相应措施控制影响范围，同时向应急指挥办公室报告，应急指挥办公室通知相关单位、部门和工作组启动应急准备工作。

9、网络与信息安全突发事件由III级发展为II级或发生II级突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案，开展应急处理。应急指挥办公室接到应急报告后，根据事件产生的原因协调相关资源，支持事件相关单位及时、有效地进行处理，控制事件发展，同时上报应急指挥部，应急指挥部协调其他应急资源支持应急处理。

10、网络与信息安全突发事件由II级发展为I级或发生I级突发事件后，事件相关单位应立即启动相关应急预案和专项应急预案。应急指挥办公室接到应急报告后，根据事件产生的原因协调相关资源，组织有关各方对事件进行及时、有效的处理，控制事态发展，同时报应急指挥部。应急指挥部决策部署应急处置工作，同时上报应急领导小组，应急领导小组组织单位其他应急资源进行应急处理。

11、当出现自然灾害、恐怖袭击、战争、人为非法破坏等重大突发事件，发生大规模的计算机病毒爆发、网络攻击、内部人员重大作案等重大网络与信息安全事件，由于重大技术故障导致信息网络与重要信息系统无法正常运行事件，无法迅速恢复正常生产、经营和管理工作时，由应急领导小组请求上级网络与信息安全管理机构、公安部门和市政府信息中心的应急支持。

（二）新闻发布。

发生网络与信息安全突发事件后，应及时按照新闻发布流程执行。

七、应急处置

（一）发生网络与信息安全突发事件后，事件发生单位立即启动应急预案，本着尽量减少损失的原则，将应急事件尽快隔离，在不影响正常生产、经营、管理秩序的情况下，保护现场。

（二）应急指挥部接到网络与信息安全突发事件的应急报告后，根据事件情况，启动网络与信息安全突发事件应急预案。

（三）应急指挥部接到I级和II级网络与信息安全突发事件报告后，根据事件的性质和影响向应急领导小组报告，对需要上级归口管理部门和地方政府有关部门应急支持的事件，由应急领导小组开展应急协调。

（四）应急结束

在同时满足下列条件下，应急指挥部可决定宣布解除应急状态：

1、各种网络与信息安全突发事件已得到有效控制，情况趋缓。

2、网络与信息安全突发事件处理已经结束，设备、系统已经恢复运行。

3、上级应急部门发布的解除应急响应状态的指令。

4、事件相关单位向应急指挥办公室报告应急处理已经结束，恢复正常生产工作秩序。

八、应急保障

（一）通信保障：应急期间，指挥、通信联络和信息交换的渠道主要有系统程控电话、外线电话、手机、传真、电子邮件等方式。有关应急联系的手机应保持24小时开机状态。

（二）物资保障：应急物资装备主要有车辆、备品备件、常用工具和常用工具软件。各单位要落实应急会议室。

（三）技术保障：

基础管理

1、各信息系统应具备详细的基础资料：图纸文档、运行检修记录、设备清单、资源分配方案、措施落实情况、职责分工等。

2、及时对日常出现的问题进行分析统计，对重大、频繁发生的故障做好事故报告，落实整改措施。

3、息管理部门安排做好计算机设备的检查工作，如电源、防雷、接地、操作系统、应用软件、防病毒、设备台账等。

4、认真做好桌面机管理工作，建立完善的计算机管理网络，对计算机设备的运行状况及时跟踪、维护。

5、信息管理部门应配置相应的网络协议分析、测试工具。

6、信息管理专业技术人员应熟悉信息网络、主机系统、应用系统的运行状况，从已发生的各种系统故障中总结经验，对制度贯彻不力者和不能吸取教训者要及时指出并严格考核。加大违章的考核力度，杜绝违章作业。

7、各单位、部门专（兼）职人员负责本单位、部门计算机的安全稳定运行，熟悉相关应用系统的运行状况，对出现的系统故障提出纠正措施，及时整改，避免更大的危害。

运行管理

1、正常运行中要加强对系统资源、应用平台运行情况的监视，要做好软、硬件等可能出现的异常情况的预控，发现异常情况要及时汇报。

2、信息办负责本单位信息网络、终端设备及所辖各专业应用系统的系统平台的运行管理。

3、各直属单位负责本单位计算机设备的运行工作，出现异常和故障及时向信息办反映，在故障的排除过程中起监督作用。

4、值班人员应加强对信息网络各系统巡视，记录完整，对异常情况正确判断，及时联系专业技术人员进行故障排除。

5、调度所负责通信传输网的运行管理，对可能出现的光缆故障和设备故障做好预控。

（四）资金保障：各单位应保障应急培训、演练、添置应急装备物资等所需经费。

（五）人员保障：

1、加强网络与信息安全突发事件应急技术支持队伍的建设，提高人员的业务素质、技术水平和应急处置能力。

2、整合各单位的技术专家资源、相关科研单位的技术专家资源，利用国家相关科研单位的技术专家资源和厂商的技术专家资源，逐步建立应对各种网络与信息安全突发事件的应急专家组，充分发挥应急专家组的作用。

3、应急行动所需的物资器材应予以充分保障，以确保应急预案落到实处。应坚持对应急行动的设备器材进行定期维护保养，保证完好率达到95%以上，所需的物资应坚持定期补充和更换，始终保持其有效性。

九、后期处置

（一）后期观察。

1、I级网络与信息安全突发事件应急处理结束后应密切关注、监测系统2周，确认无异常现象。

2、II级网络与信息安全突发事件应急处理结束后应密切关注、监测系统1周，确认无异常现象。

3、III级网络与信息安全突发事件应急处理结束后应密切关注、监测系统2天，确认无异常现象。

（二）调查与评估。

1、网络与信息安全突发事件应急处理结束后，影响到公众利益和国家安全的事件，按照国家相关部门的要求配合进行事件调查。

2、网络与信息安全突发事件应急处理结束后，对按照相关规定要求需要成立调查组的事件，由负责人组织成立调查组，对事件产生的原因、影响进行调查和评估，对责任进行认定，提出整改建议。

3、网络与信息安全突发事件应急处理结束后，按照相关规定由各单位自行组织调查的，各单位对事件产生的原因进行调查，对产生的影响进行评估，对责任进行认定，提出整改措施。调查报告上报应急指挥办公室。

（三）改进措施。

1、网络与信息安全突发事件应急处理结束后，相关单位应组织研究事件发生的原因和特点、分析事件发展过程，总结应急处理过程中的经验和教训，进行应急处置知识积累，进一步补充、完善和修订相关应急预案。

2、网络与信息安全突发事件应急处理结束后，相关单位应结合运行过程中的异常和事件，综合分析信息系统中存在的关键点和薄弱点，提出该类事件的整改措施，制定整改实施方案并予以落实，整改措施和方案报应急指挥办公室备案。

十、监督管理

（一）宣传。

各单位应加强应急工作的宣传和教育，提高各级人员对应急预案重要性的认识，加强各部门和单位之间的协调与配合。

（二）培训。

1、在网络和信息安全突发事件应急预案编制完成和修订后，要组织对应急预案涉及的组织、指挥、操作人员进行培训，使有关人员熟练掌握应急处理的程序和应急处理技能。遇有可预见的应急情况，应在事前组织演练，以提高处理应急事件的能力，检验物资器材的完好情况。

2、涉及预案的各级人员应结合本岗位安全职责和应急预案的要求应熟练掌握本单位应急预案中有关报警、接警、处警和组织、指挥应急响应的程序等内容，专项应急预案操作人员应熟悉各个操作步骤和操作命令。

3、各单位信息安全教育应包括本单位应急预案的有关内容，使有关人员熟悉本单位应急处理的流程、应急处理设施的使用、应急联系电话、应急报告的内容和格式。

（三）演练。

1、应急预案在制定、修订后，要组织相应的演练，每年应至少组织一次事故演习。

2、要通过演练验证本单位应急预案和各专项应急预案的合理性，及时修订和完善。

3、在做应急演练前要做好相关准备工作，合理安排、精细组织，确保演练工作的安全。

4、要明确演练目的和要求，记录演练过程，对演练结果进行评估和总结。

5、应根据信息系统的关键点和薄弱点，根据系统和设备的重要程度有针对性地开展演练，演练应突出重点和关键。

十一、附则

1、随着国家、地方政府应急救援相关法律法规的制订和修订，或实施过程中发现存在问题或出现的情况，以及管理体制的变化，市局将及时组织修订本应急预案。

2、各县（市、区）局可参照本预案，结合实际制订本单位相关规程，报市局备案。

3、本预案自发布之日起实施。

附件1

网络和信息安全突发事件应急处置规程

一、网站出现非法信息的应急处置规程

1、发现网站出现非法信息时，网站内容管理部门应按规定向局领导报告，同时通报信息办；信息办应立即采取技术手段屏蔽、删除等处理措施，防止信息扩散。

2、信息办应追查非法信息来源，确定相关责任人。

3、信息办在查清事件发生原因的基础上，及时总结经验教训，提出强化安全防范的措施，写出调查报告，报网络和信息安全应急领导小组。

4、领导小组根据调查报告，决定是否追究相关责任人责任。

二、黑客攻击的紧急处置规程

1、发现网页内容被篡改，或通过入侵检测手段等发现有黑客正在进行攻击时,应立即向信息办报告。

2、信息办首先应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向网络和信息安全应急领导小组报告。

3、恢复或重建被破坏的系统。

4、追查黑客攻击来源。

5、情况严重时，召开网络和信息安全应急领导小组会议；经会议批准，可向公安部门报警。

6、总结经验教训，采取有效的防范措施。

三、病毒防治应急处置规程

1、当计算机使用人员发现其计算机被感染上病毒后，若无法清除该病毒，应第一时间将计算机从网络上物理断开。

2、信息办人员报告，确定病毒的性质和危害，对病毒进行进一步查杀。

3、若该病毒已经在局域网内扩散，并严重影响日常办公及网络安全，应立即向领导小组报告。

4、领导小组根据报告，确定具体的处置方式，保证网络畅通和计算机安全。

5、总结经验教训，采取有效的防范措施。

四、软件系统异常应急处置规程

1、对发现系统软件和应用软件响应异常的，应立即向信息办报告。

2、信息办对系统软件和应用软件进行检查，视情采取停用、修复和重新启用等手段。

3、信息办通过检查访问各类日志记录等资料，确认分析异常原因。

4、情况严重的，召开网络和信息安全应急领导小组会议；

5、总结经验教训，采取有效的防范措施。

五、数据库安全应急处置规程

核心数据库数据异常应遵循如下规程：

1、发现核心数据库数据大规模异常或丢失后，立即向信息办报告。

2、信息办接到报告后，应指定数据库管理员进行检查，确属异常的，应立即向领导小组。

3、领导小组决定是否启动应急预案。经领导小组批准启动应急预案后，暂停相关业务服务，并通知相关业务处室。

4、使用备份数据恢复数据后重新启动服务，并立即追查原因。如属设备故障的，应立即联系厂商维修设备。如属人为原因的，应立即追查相关人员，必要时请公安机关介入。

5、总结相关教训，分析具体原因，加固核心数据库系统安全，并报领导小组。

六、广域网外部线路中断应急处置规程

1、广域网线路若中断后，应立即向领导小组报告。

2、信息办应迅速判断故障节点，查明故障原因。

3、如属局内部管辖范围，由系统管理员立即予以恢复。如遇无法恢复情况，立即向有关厂商请求支援。

4、如属通信部门管辖范围，立即与通信维护部门联系，请求及时修复。

5、总结经验教训，采取有效的防范措施。

七、局域网中断应急处置规程

1、局域网中断后，信息办应判断故障节点，查明故障原因，并向领导小组汇报。

2、如属线路故障，应立即抢修线路。

3、如属路由器、交换机等网络设备故障，应立即与设备提供商联系更换设备，并调试畅通。

4、如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调试畅通。如遇无法解决的技术问题，立即报告领导小组，向厂方专家支援。

5、总结经验教训，采取有效的防范措施。

八、设备故障应急处置规程

1、发现服务器等关键设备损坏后，应立即向信息办负责人报告。

2、信息办指定系统管理员查明设备故障原因，并向领导小组汇报情况。

3、如果能够自行恢复，应立即用备件替换受损部件。

4、如果不能自行恢复的，立即与设备提供商联系，请求派维修人员前来维修。

5、如果设备一时不能修复，应向领导小组汇报，视情决定是否启动应急预案。

6、总结经验教训，采取有效的防范措施。

九、机房着火应急处置规程

1、一旦机房发生火灾，应遵照下列原则：首先保证人员安全；其次保证关键设备和数据安全；三是保证一般设备安全。

2、人员疏散程序：机房值班人员立即按响火警警报，并通过119电话向消防部门请求支援，所有不参与灭火的人员按照预先确定的线路，迅速从机房中撤出。

3、灭火程序：规范化的机房启动气体灭火系统，没有气体灭火系统的机房，首先切断所有电源，取出泡沫灭火器进行灭火。

4、灭火后，迅速组织抢修受损的基础设施，减少损失，尽快恢复正常工作。

5、总结经验教训，采取有效的防范措施。

十、电力中断应急处置规程

1、发生电力中断，应立即向领导小组报告。

2、属内部电力线路故障的，办公室应迅速组织力量恢复电力。

3、属供电局供电故障的，应立即与供电局联系，请供电局迅速恢复供电。

4、如供电局告知需长时间停电，应由UPS供电，并做好如下工作：

（1）预计停电一小时以上，视情关闭一些服务器等设备。涉及业务中断的，通知相关业务部门。

（2）预计停电三小时以上，如局部停电，视情关闭一些服务器等设备，涉及业务中断的，通知相关业务部门；如区域内全部停电，则关掉所有关键设备，暂停一切业务。

5、电力恢复后，信息办应重新启动设备，恢复业务运行。

附件2

应急行动有关人员电话号码表