XX部門網(wǎng)絡數(shù)據(jù)安全管理應急預案為保障XX部門信息化業(yè)務工程穩(wěn)步推進，提高應急管理應對能力，健全XXX部門網(wǎng)絡和數(shù)據(jù)安全事件應對處置措施，完善XXX部門網(wǎng)絡數(shù)據(jù)安全應急工作機制，預防和減少網(wǎng)絡數(shù)據(jù)安全事件造成的損失和危害，根據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國突發(fā)事件應對法》、《國家網(wǎng)絡安全事件應急預案》等相關規(guī)定，特制定本預案。一、組織機構(gòu)與職責（一）領導機構(gòu)與職責。信息化工作領導小組統(tǒng)籌領導XX部門行業(yè)網(wǎng)絡數(shù)據(jù)安全事件的預防、應對和處置工作，負責建立與完善行業(yè)內(nèi)網(wǎng)絡信息安全應急預案體系，建立健全跨地區(qū)、跨部門、跨行業(yè)等不同層級聯(lián)動處置機制。（二）辦事機構(gòu)與職責。XX部門信息化應急處置工作領導小組設在委數(shù)據(jù)應用開發(fā)組，為網(wǎng)絡數(shù)據(jù)安全應急指揮機構(gòu)，具體負責網(wǎng)絡數(shù)據(jù)安全事件的統(tǒng)籌協(xié)調(diào)工作；組建網(wǎng)絡數(shù)據(jù)安全專家?guī)旌图夹g支持隊伍。各部門、分公司按照職責和權(quán)限，負責本地區(qū)、本單位網(wǎng)絡數(shù)據(jù)安全事件的預防、監(jiān)測、報告和應急處置等工作。（三）下設工作組職責。當發(fā)生網(wǎng)絡數(shù)據(jù)安全事件時，由領導小組立即成立現(xiàn)場應急指揮辦公室，指定具體負責人，同時根據(jù)工作需要可設綜合協(xié)調(diào)組、專家咨詢組、技術保障組、數(shù)據(jù)恢復組、后勤保障組等。二、工作目標及原則按照“全面排查風險、實時發(fā)現(xiàn)預警、強力有效處置、確保萬無一失”的目標，建立健全網(wǎng)絡安全事件應急處置工作機制，提高應對網(wǎng)絡數(shù)據(jù)安全事件能力，預防和減少網(wǎng)絡數(shù)據(jù)安全事件造成的損失和危害，確保各業(yè)務信息系統(tǒng)和數(shù)據(jù)安全穩(wěn)定運行。壓實落實網(wǎng)絡數(shù)據(jù)安全責任。按照職責權(quán)限和屬地管理的相結(jié)合的原則，各部門各分公司統(tǒng)籌做好本地區(qū)、本機構(gòu)內(nèi)網(wǎng)絡數(shù)據(jù)安全工作和事件的應對處置工作。三、網(wǎng)絡數(shù)據(jù)安全預警監(jiān)測工作流程各部門各分公司組織對本地區(qū)、本機構(gòu)建設運行的網(wǎng)絡和信息系統(tǒng)開展網(wǎng)絡安全預警監(jiān)測工作。（一）發(fā)布預警信息。應急處置領導小組根據(jù)網(wǎng)絡運行情況和第三方網(wǎng)絡安全預警監(jiān)測機構(gòu)提供的實時情況，及時向相關部門和機構(gòu)發(fā)布網(wǎng)絡安全預警監(jiān)測信息。預警信息以郵件、電話、短信等多種方式發(fā)布。內(nèi)容主要包括數(shù)據(jù)庫注入、跨站腳本攻擊、網(wǎng)頁篡改、域名劫持、敏感信息泄露、后臺弱口令、黑鏈等系統(tǒng)高危漏洞，以及系統(tǒng)風險描述、修復建議等。（二）排查安全隱患。各部門各分公司在收到預警信息以后迅速開展網(wǎng)絡安全隱患排查、整改等工作。通過技術修補操作系統(tǒng)、應用系統(tǒng)漏洞；關閉系統(tǒng)不必要的端口、服務；增加便捷防護和安全策略；修改默認口令、弱口令等多種技術手段，進行系統(tǒng)安全加固。（三）請求技術支援。各部門各分公司收到網(wǎng)絡安全預警信息后，根據(jù)自身能力也可向第三方網(wǎng)絡安全應急技術支撐單位發(fā)出技術支持請求。（四）上報整改情況。各部門、各分公司在收到領導小組發(fā)布的網(wǎng)絡安全預警監(jiān)測信息后1日內(nèi)，將安全應急處置工作情況上報。四、網(wǎng)絡數(shù)據(jù)安全事件應急處置工作流程（一）網(wǎng)絡安全事件預判。各部門、各分公司在遇到突發(fā)網(wǎng)絡安全事件時，要即刻啟動應急預案，對事件進行等級預判，較大網(wǎng)絡安全事件及以上，必須在立即向領導小組報告有關情況。（二）采取應急技術措施。網(wǎng)絡安全事件突發(fā)時，可立即向指定的第三方網(wǎng)絡安全應急技術支撐單位發(fā)出技術支持請求。對于產(chǎn)生較為嚴重負面影響的網(wǎng)站，采取斷網(wǎng)等方式，及時停止對外服務；對于遭受破壞的信息系統(tǒng)，要做好現(xiàn)場保護、數(shù)據(jù)備份等工作。（三）統(tǒng)籌開展應急處置。各部門、各分公司在出現(xiàn)應急情況時，立即通報其他部門、分公司，切斷傳播途徑，按照領導小組部署逐步恢復系統(tǒng)應用。（四）預警發(fā)布。對大面積的攻擊破壞、病毒爆發(fā)等情形，XX公司領導小組，會同有關部門開展網(wǎng)絡安全事件預警等級發(fā)布、新聞報道等相關工作。五、典型網(wǎng)絡數(shù)據(jù)安全事件分類及應對措施（一）大規(guī)模病毒爆發(fā)。當網(wǎng)絡遭遇大規(guī)模病毒攻擊時（如勒索病毒），要第一時間切斷局域網(wǎng)，拔出網(wǎng)線，防止病毒進一步擴散；請專業(yè)技術人員對局域網(wǎng)內(nèi)每一臺計算機進行病毒查殺，修補漏洞，待徹底清理干凈，確保計算機安全時在接入網(wǎng)絡；要盡量避免開放打印機共享、遠程桌面等高風險端口。（二）網(wǎng)頁被篡改。所屬網(wǎng)站遭篡改時，要第一時間終止互聯(lián)網(wǎng)服務，拔出網(wǎng)線，防止攻擊者再次惡意破壞系統(tǒng)日志、數(shù)據(jù)等，不要關閉服務器，為公安部門取證、追蹤提供依據(jù)；在完成取證、保存系統(tǒng)日志等工作以后，即刻開展與網(wǎng)站建設相關軟硬件系統(tǒng)的修復工作，包括修補操作系統(tǒng)漏洞、網(wǎng)站開發(fā)中間件漏洞、網(wǎng)站自身漏洞，加強系統(tǒng)口令、關閉共享端口、加固安全策略等內(nèi)容；問題網(wǎng)站責任單位應當邀請第三方信息技術支撐隊伍對問題網(wǎng)站進行風險評估，確保沒有高危漏洞并具備上線條件時再投入運行。（三）信息系統(tǒng)癱瘓。信息系統(tǒng)遭攻擊時，要切斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接，防止系統(tǒng)遭受進一步的破壞，同步做好信息系統(tǒng)數(shù)據(jù)備份工作；邀請信息系統(tǒng)運維服務機構(gòu)或第三方應急技術支撐隊伍，開展系統(tǒng)漏洞排查、整改工作。重點排查信息系統(tǒng)是否存在弱口令、安全策略不生效、軟件系統(tǒng)漏洞、病毒庫不升級、訪問控制不全面、邊界防護失效等問題；系統(tǒng)在上線運行前，應當進行風險評估。（四）網(wǎng)絡中斷。當?shù)貐^(qū)、部門出現(xiàn)大面積網(wǎng)絡中斷（排除內(nèi)部局域網(wǎng)網(wǎng)絡故障），無法訪問互聯(lián)網(wǎng)時，通知所屬電信運營商企業(yè)客戶經(jīng)理，要求開展網(wǎng)絡通信保障工作；根據(jù)網(wǎng)絡中斷影響范圍，確認網(wǎng)絡安全事件等級；較大網(wǎng)絡安全事件及以上，應當及時報送XX部門領導小組，同時報當?shù)鼐W(wǎng)信和通信管理部門。（五）信息系統(tǒng)存在高危漏洞。當責任部門、分公司收到領導小組發(fā)布風險通報或從其他可靠途徑渠道了解到所屬的系統(tǒng)存在安全風險時，立即啟動應急預案，聯(lián)系信息系統(tǒng)開發(fā)商、運維機構(gòu)等相關人員，按照通報要點，逐項排查、修補高危漏洞；如無維護人員或技術力量薄弱，可立即邀請第三方應急技術支撐單位，協(xié)助開展漏洞修補工作；信息系統(tǒng)在上線運行前，應當進行風險評估。六、做好日常預防工作各部門、各分公司按職責做好網(wǎng)絡數(shù)據(jù)安全事件日常預防工作，制定完善相關應急預案，做好網(wǎng)絡和信息安全檢查、隱患排查、風險評估和容災備份，健全網(wǎng)絡和信息安全信息通報機制，及時采取有效措施，減少和避免網(wǎng)絡數(shù)據(jù)安全事件的發(fā)生及危害，提高應對網(wǎng)絡數(shù)據(jù)安全事件的能力。（一）演練。XX部門應急處置領導小組要組織各部門、各分公司定期組織演練，檢驗和完善預案，提高實戰(zhàn)能力。各部門、各分公司每年至少組織一次預案演練，并將演練情況報領導小組辦公室。（二）宣傳。相關部門、分公司應充分利用各種傳播媒介及其他有效的宣傳形式，加強突發(fā)網(wǎng)絡數(shù)據(jù)安全事件預防和處置的有關法律、法規(guī)和政策的宣傳，開展網(wǎng)絡數(shù)據(jù)安全基本知識和技能的宣傳活動。（三）培訓。相關責任部門、分公司要將網(wǎng)絡數(shù)據(jù)安全事件的應急知識列為有關員工的培訓內(nèi)容，加強網(wǎng)絡和信息安全制度特別是網(wǎng)絡和信息安全應急預案的培訓，提高防范意識及技能。定期開展行業(yè)信息安全應急意識教育活動。（四）業(yè)務高峰期間的預防措施。在業(yè)務高峰期各部門、各分公司要加強網(wǎng)絡數(shù)據(jù)安全事件的防范和應急響應，確保網(wǎng)絡安全。領導小組辦公室統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全保障工作，根據(jù)需要要求有關部門、分公司加強防范，提高保障等級。加強網(wǎng)絡安全檢測和分析研判，及時預警可能造成重大影響的風險和隱患，重點單位，重點崗位保持24小時值班，及時發(fā)現(xiàn)和處置網(wǎng)絡數(shù)據(jù)安全事件隱患。七、相關保障措施（一）機構(gòu)和人員保障。各責任部門、分公司要建立健全網(wǎng)絡數(shù)據(jù)安全應急工作機構(gòu)，明確責任部門和人員職責，落實應急工作機制，重要業(yè)務信息系統(tǒng)要把責任落實到具體單位、具體崗位和個人。充分發(fā)揮專業(yè)技術隊伍在應急處置工作中的作用，加強專家隊伍建設，逐步建立涵蓋信息學科各領域的專家隊伍，為網(wǎng)絡數(shù)據(jù)安全事件的預防和處置提供技術咨詢和決策建議。加強網(wǎng)絡數(shù)據(jù)安全應急技術專家支撐隊伍建設，做好網(wǎng)絡數(shù)據(jù)安全事件的監(jiān)測預警、預防防護、應急處置、應急技術支援等工作。各部門、各分公司應配備必要的網(wǎng)絡和信息安全專業(yè)