PAGE1-網(wǎng)絡信息安全規(guī)范、應急突發(fā)事件預案及處理流程（試行）一、總則1、編制目的為規(guī)范和加強網(wǎng)絡重大信息安全事件的信息報告管理工作，及時掌握和評估重大信息安全事件有關(guān)情況，協(xié)調(diào)組織力量進行事件的應急響應處理，降低信息安全事件的損失和影響，根據(jù)中共中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作意見》的通知（中辦發(fā)[2025]27號）和有關(guān)法律、法規(guī)的規(guī)定，結(jié)合公司實際，制定本規(guī)范。2、工作原則統(tǒng)一領(lǐng)導，歸口管理。網(wǎng)絡信息安全應急處理工作應在公司網(wǎng)絡信息安全領(lǐng)導小組的領(lǐng)導下，會同相關(guān)部門，齊抓共管、各負其責，共同提高公司網(wǎng)絡系統(tǒng)的信息安全應急處理水平。明確責任，依法規(guī)范。應從公司信息安全保障的高度出發(fā)，明確應急處理管理部門和各業(yè)務部門的安全責任，嚴格依照國家法律和相關(guān)規(guī)定進行應急處理工作。防范為主，加強監(jiān)控。應廣泛宣傳網(wǎng)絡信息安全基本知識，提高對信息安全的認識水平，切實落實信息安全防范措施，強化對公司網(wǎng)絡信息系統(tǒng)的監(jiān)控，減少安全事件可能帶來的不良影響。整合資源，協(xié)調(diào)處理。網(wǎng)絡信息安全應急處理工作應充分加強與專業(yè)信息安全機構(gòu)的溝通和聯(lián)系，以提高公司網(wǎng)絡系統(tǒng)應急處理能力。3、適用范圍本規(guī)范所稱的信息安全重大事件是指由于人為攻擊或破壞以及病毒爆發(fā)等原因所引發(fā)，嚴重影響到網(wǎng)絡與信息系統(tǒng)的正常運行，造成業(yè)務中斷、系統(tǒng)破壞、數(shù)據(jù)破壞或信息失竊等，從而在政府形象、社會穩(wěn)定或公眾利益等方面造成嚴重影響以及造成一定程度直接和間接重大經(jīng)濟損失的事件。公司各部門的網(wǎng)絡與信息系統(tǒng)安全事件報告、應急處理，均適用于本規(guī)范。二、應急處理組織機構(gòu)在公司網(wǎng)絡信息安全領(lǐng)導小組的領(lǐng)導下，網(wǎng)絡信息安全應急處理的組織機構(gòu)組成如下：公司技術(shù)部副總、公司技術(shù)部。公司技術(shù)部作為網(wǎng)絡信息安全應急處理部門，負責全公司各系統(tǒng)的網(wǎng)絡信息安全事件應急處理協(xié)調(diào)工作。各部門在公司網(wǎng)絡信息安全領(lǐng)導小組的領(lǐng)導下，負責本部門網(wǎng)絡信息安全事件應急處理管理工作，并與公司技術(shù)部副總、公司技術(shù)部保持聯(lián)系，隨時反映網(wǎng)絡信息安全工作情況。三、預防措施1、組織機構(gòu)各部門應建立網(wǎng)絡信息安全管理組織機構(gòu)，明確崗位職責，確定崗位人員名單、聯(lián)系方式，網(wǎng)絡信息安全管理組織機構(gòu)人員名單須上報公司技術(shù)部備案。各部門應建立網(wǎng)絡信息安全“一把手”負責制，應指定一名部門負責人作為網(wǎng)絡信息安全負責人，管理安全事故應急處理，行使決策職責，并可直接與技術(shù)部技術(shù)人員聯(lián)系，負責信息安全應急處理流程的實際執(zhí)行，提交重大信息安全事件報告和應急處理工作的結(jié)果報告。2、制度規(guī)范各部門應根據(jù)實際情況和需要制定基本的安全管理制度，對重要設備、軟件和業(yè)務數(shù)據(jù)的安全性進行規(guī)范、可靠的管理，提高本部門信息系統(tǒng)的安全防護能力。包括配合技術(shù)部制定機房管理制度、設備管理制度、病毒防治管理制度、數(shù)據(jù)備份與恢復制度、網(wǎng)站管理制度、安全審計制度和應急響應制度等。各部門要針對內(nèi)部信息系統(tǒng)制定安全運行管理流程，建立安全事件應急預案，以提高本部門信息安全應急響應能力。各部門應根據(jù)本規(guī)范細化安全應急事件處理流程，包括事件的發(fā)現(xiàn)、判斷、評估、上報和處理等階段，并落實本部門和應急處理管理機構(gòu)的對口部門和人員，確保應急處理流程得到有效執(zhí)行，信息安全事件得到有效控制和處理。應急響應相關(guān)制度如果發(fā)生變化，各部門應及時將最新的制度在公司技術(shù)部備案。3、安全措施各部門應定期進行風險評估，了解網(wǎng)絡信息系統(tǒng)目前可能存在的安全隱患和所面臨的安全威脅，并針對本部門的實際情況，從物理、網(wǎng)絡、系統(tǒng)、應用和數(shù)據(jù)等多個層面實施信息安全保障工作。各部門應定期對網(wǎng)絡信息系統(tǒng)的運行狀態(tài)、系統(tǒng)日志和安全日志等進行檢查，對重要信息系統(tǒng)如網(wǎng)站、核心數(shù)據(jù)庫等應每日進行運行檢查，確保及時發(fā)現(xiàn)信息安全事件，減少安全事件所造成的損失。各部門應定期或不定期組織預案演練，進一步明確應急響應各崗位責任，檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調(diào)、指揮等是否符合快速、高效的要求，對預案中存在的問題和不足及時補充、完善。4、宣傳培訓各部門應大力宣傳信息安全的基本原理、安全事件的預防措施和應急處理的基本知識，提高本部門人員的信息安全意識水平。各部門應定期或不定期地舉辦信息安全基礎培訓，使不同崗位的人員都能熟悉并掌握信息系統(tǒng)應急處理的知識和技能。同時應積極參加由公司網(wǎng)絡安全部門舉辦的各類信息安全培訓，通過不同層次、類型的培訓或研討，提高全公司網(wǎng)絡信息安全水平，減少信息安全事件數(shù)量。四、應急處理流程1、信息安全事件分類根據(jù)信息安全事件可能造成的影響范圍及程度，將應急處理流程分為對外服務信息系統(tǒng)應急處理流程和內(nèi)部應用信息系統(tǒng)應急處理流程兩大類型。其中對外服務信息系統(tǒng)指公司網(wǎng)站拍賣平臺和互聯(lián)網(wǎng)對外提供服務的信息系統(tǒng)。內(nèi)部應用信息系統(tǒng)指僅對各部門內(nèi)部人員提供服務的信息系統(tǒng)。同時，根據(jù)發(fā)生安全事件的信息系統(tǒng)所提供的服務范圍，在對外服務信息系統(tǒng)應急處理流程和內(nèi)部應用信息系統(tǒng)應急處理流程中進一步細分了網(wǎng)站、業(yè)務系統(tǒng)和辦公系統(tǒng)三種業(yè)務類別的應急處理流程。網(wǎng)站指公司各部門和單位使用HTML等工具制作的用于發(fā)布拍品信息、提供數(shù)據(jù)服務的相關(guān)網(wǎng)頁的集合。業(yè)務系統(tǒng)指公司各部門和單位提交數(shù)據(jù)，提供服務、辦理相關(guān)業(yè)務的信息系統(tǒng)，如網(wǎng)上業(yè)務辦理系統(tǒng)等。辦公系統(tǒng)指公司各部門和單位處理日常辦公事務的信息系統(tǒng)，如OA系統(tǒng)等。發(fā)生信息安全事件時，公司各部門和單位應按上述處理流程分類方法對安全事件進行分類，并遵循以下各類別信息安全事件處理流程執(zhí)行。2、對外服務信息系統(tǒng)應急處理流程=1\*GB4㈠病毒爆發(fā)處理流程公司各部門和單位對外服務信息系統(tǒng)一旦發(fā)現(xiàn)感染病毒，應執(zhí)行以下應急處理流程：=1\*GB3①立即切斷感染病毒計算機與網(wǎng)絡的聯(lián)接；=2\*GB3②對該計算機的重要數(shù)據(jù)進行數(shù)據(jù)備份；=3\*GB3③啟用防病毒軟件對該計算機進行殺毒處理，同時通過防病毒軟件對其他計算機進行病毒掃描和清除工作；=4\*GB3④如果滿足下列情況之一的，應立即向本部門信息安全負責人通報情況，并向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門報告以求協(xié)助解決：=1\*GB2⑴現(xiàn)行防病毒軟件無法清除該病毒的；=2\*GB2⑵網(wǎng)站在2小時內(nèi)無法處理完畢的；=3\*GB2⑶業(yè)務系統(tǒng)或辦公系統(tǒng)在4小時內(nèi)無法處理完畢的。=5\*GB3⑤在公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門的協(xié)助下，清除該病毒；=6\*GB3⑥恢復系統(tǒng)和相關(guān)數(shù)據(jù)，檢查數(shù)據(jù)的完整性；=7\*GB3⑦病毒爆發(fā)事件處理完畢，將計算機重新接入網(wǎng)絡；=8\*GB3⑧總結(jié)事件處理情況，并提出防范病毒再度爆發(fā)的解決方案；=9\*GB3⑨實施必要的安全加固。=2\*GB4㈡網(wǎng)頁非法篡改處理流程公司各部門和單位對外服務網(wǎng)站一旦發(fā)現(xiàn)網(wǎng)頁被非法篡改，應執(zhí)行以下應急處理流程：=1\*GB3①發(fā)現(xiàn)網(wǎng)站網(wǎng)頁出現(xiàn)非法信息時，值班人員應立即向本部門信息安全負責人通報情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門報告。情況緊急的，應先采取斷網(wǎng)等處理措施，再按程序報告；=2\*GB3②本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲嬘涗洠?3\*GB3③在本市公安局公共信息網(wǎng)絡安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，清理網(wǎng)站非法信息，強化安全防范措施，然后將網(wǎng)站重新投入使用。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡安全監(jiān)察部門立案偵查；=4\*GB3④總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；=5\*GB3⑤實施必要的安全加固。=3\*GB4㈢非法入侵處理流程各部門對外服務信息系統(tǒng)一旦發(fā)現(xiàn)被遠程控制等非法入侵行為，應執(zhí)行以下應急處理流程：=1\*GB3①發(fā)現(xiàn)系統(tǒng)服務器被遠程控制、植入后門程序，或發(fā)現(xiàn)有黑客正在進行攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門報告；=2\*GB3②如服務器已被入侵，將被攻擊的服務器等設備從網(wǎng)絡中隔離出來，保護現(xiàn)場；=3\*GB3③本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲嬘涗洠?4\*GB3④由本市公安局公共信息網(wǎng)絡安全監(jiān)察部門對受攻擊的網(wǎng)站、業(yè)務系統(tǒng)和辦公系統(tǒng)進行現(xiàn)場分析，追查攻擊源，修改防火墻等設備的安全配置阻斷黑客繼續(xù)入侵。公司技術(shù)部和相關(guān)部門做好配合工作；=5\*GB3⑤分析后臺數(shù)據(jù)庫操作日志，判斷是否發(fā)生數(shù)據(jù)失竊。檢查、校驗數(shù)據(jù)的完整性和有效性；=6\*GB3⑥在本市公安局公共信息網(wǎng)絡安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，恢復與重建被攻擊或破壞的系統(tǒng)。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡安全監(jiān)察部門立案偵查；重新將恢復后的對外服務系統(tǒng)接入網(wǎng)絡；=7\*GB3⑦總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；=8\*GB3⑧實施必要的安全加固。=4\*GB4㈣拒絕服務攻擊處理流程各部門對外服務信息系統(tǒng)一旦發(fā)現(xiàn)遭受DDoS等拒絕服務攻擊，無法正常訪問時應執(zhí)行以下應急處理流程：=1\*GB3①發(fā)現(xiàn)對外服務系統(tǒng)訪問流量異常、無法正常訪問，可能遭受拒絕服務攻擊時，應立即向本部門信息安全負責人通報情況，并立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門報告；=2\*GB3②本部門信息安全負責人應在接到通知后立即趕到現(xiàn)場，做好必要記錄，妥善保存有關(guān)記錄及日志或?qū)徲嬘涗洠?3\*GB3③在本市公安局公共信息網(wǎng)絡安全監(jiān)察部門提取相關(guān)數(shù)據(jù)樣本后，對現(xiàn)場進行分析，追查攻擊源，修改路由器、防火墻等設備的安全配置，緩解、消除拒絕服務攻擊的影響。恢復對外系統(tǒng)正常運行。如情節(jié)構(gòu)成違法犯罪的，由本市公安局公共信息網(wǎng)絡安全監(jiān)察部門立案偵查；=4\*GB3④總結(jié)事件處理情況，向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門備案，并提出防范再度發(fā)生的解決方案；=5\*GB3⑤實施必要的安全加固。3、內(nèi)部應用信息系統(tǒng)應急處理流程=1\*GB4㈠內(nèi)部網(wǎng)絡病毒爆發(fā)應急處理流程各部門內(nèi)部網(wǎng)絡一旦發(fā)現(xiàn)感染病毒，應執(zhí)行以下應急處理流程：=1\*GB3①立即切斷感染病毒計算機與網(wǎng)絡的聯(lián)接；=2\*GB3②對該計算機的重要數(shù)據(jù)進行數(shù)據(jù)備份；=3\*GB3③將防病毒軟件病毒庫升級至最新，啟用防病毒軟件對該計算機進行殺毒處理；=4\*GB3④如果現(xiàn)行防病毒軟件無法清除該病毒，應立即向本部門信息安全負責人通報情況，并可向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門或?qū)I(yè)信息安全服務機構(gòu)求助解決；=5\*GB3⑤如果公司內(nèi)超過20臺（含20臺）計算機同時被感染病毒，并在4小時內(nèi)無法處理完畢，則應立即向公司技術(shù)部和本市公安局公共信息網(wǎng)絡安全監(jiān)察部門報告；=6\*GB3⑥在有關(guān)部門的協(xié)助下，清除該病毒；=7\*GB3⑦恢復各計算機軟件系統(tǒng)和數(shù)據(jù)；=8\*GB3⑧病毒爆發(fā)事件處理完畢，將計算機重新接入網(wǎng)絡；=9\*GB3⑨更新全網(wǎng)防病毒軟件病毒庫，密切監(jiān)視網(wǎng)絡流量和病毒發(fā)作跡象，避免二次感染；=10\*GB3⑩總結(jié)事件處理情況，并提出防范病毒再度爆發(fā)的解決方案，實施必要的安全加固。=2\*GB4㈡內(nèi)部應用信息系統(tǒng)安全事件應急處理=1\*GB3①網(wǎng)頁非法篡改處理流程各部門內(nèi)部應用信息系統(tǒng)一旦發(fā)現(xiàn)網(wǎng)頁被非法篡改，應參照四—2—=2\*GB4㈡的網(wǎng)頁非法篡改處理流程執(zhí)行應急處理。=2\*GB3②非法入侵處理流程各部門內(nèi)部應用信息系統(tǒng)一旦發(fā)現(xiàn)被遠程控制等非法入侵行為，應參照四—2—=3\*GB4㈢的非法入侵處理流程執(zhí)行應急處理。五、監(jiān)督檢查各部門應根據(jù)本規(guī)范制定本部門的信息安全事件應急處理規(guī)范，對發(fā)生的信息安全事件嚴格按照本規(guī)范要求及時如實地報告并處理，確保公司信息系統(tǒng)的正常運行和服務。公司技術(shù)部負責對各部門執(zhí)行本規(guī)范的情況進行監(jiān)督、檢查。對違反本規(guī)范進行操作而導致嚴重不良后果的部門和負責人，將會同有關(guān)部門追究其相應的責任。六、附則本規(guī)范由公司技術(shù)部負責解釋。各部門可參照本規(guī)范，結(jié)合本部門實際情況，制定具體的實施辦法。本規(guī)范自發(fā)布之日起施行。行政部技術(shù)部2004年6月18日