網(wǎng)絡(luò)信息安全事件應(yīng)急指揮方案1總則1.1編制目的為規(guī)范網(wǎng)絡(luò)信息安全事件（以下簡稱“安全事件”）的應(yīng)急處置流程，建立“統(tǒng)一指揮、協(xié)同聯(lián)動、快速響應(yīng)、科學(xué)處置”的應(yīng)急體系，最大程度減少安全事件對業(yè)務(wù)運(yùn)行、數(shù)據(jù)安全及公眾利益的影響，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全和網(wǎng)絡(luò)空間主權(quán)，依據(jù)國家相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)，制定本方案。1.2編制依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國突發(fā)事件應(yīng)對法》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》（國辦函〔2017〕10號）《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全事件報告管理辦法》（工信部網(wǎng)安〔2020〕176號）1.3適用范圍本方案適用于本單位及所屬機(jī)構(gòu)發(fā)生的網(wǎng)絡(luò)信息安全事件的應(yīng)急指揮與處置，包括但不限于：關(guān)鍵信息基礎(chǔ)設(shè)施（如核心業(yè)務(wù)系統(tǒng)、數(shù)據(jù)中心、通信網(wǎng)絡(luò)）遭受攻擊、破壞或癱瘓；敏感數(shù)據(jù)（如用戶個人信息、商業(yè)秘密、國家秘密）泄露、篡改或竊??；大規(guī)模網(wǎng)絡(luò)攻擊（如DDoS、ransomware、APT）導(dǎo)致業(yè)務(wù)中斷；網(wǎng)絡(luò)釣魚、詐騙等涉眾型安全事件；其他可能造成重大影響的網(wǎng)絡(luò)安全事件。1.4工作原則1.統(tǒng)一指揮：建立分級分層的應(yīng)急指揮體系，明確決策權(quán)限，確保指令暢通。2.快速響應(yīng)：優(yōu)化監(jiān)測、報告、處置流程，縮短從事件發(fā)現(xiàn)到響應(yīng)的時間。3.協(xié)同聯(lián)動：加強(qiáng)內(nèi)部部門（技術(shù)、業(yè)務(wù)、法務(wù)、輿情）及外部單位（公安、網(wǎng)信、電信、供應(yīng)商）的協(xié)作，形成處置合力。4.最小影響：在處置過程中優(yōu)先保障核心業(yè)務(wù)運(yùn)行，減少對用戶及業(yè)務(wù)的干擾。5.溯源追責(zé)：注重證據(jù)收集與保存，支持事件溯源及責(zé)任追究。6.總結(jié)改進(jìn)：定期復(fù)盤事件處置過程，完善預(yù)案及安全防控體系。2組織架構(gòu)及職責(zé)2.1應(yīng)急指揮中心（EC）設(shè)立目的：作為安全事件應(yīng)急處置的最高決策機(jī)構(gòu)，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)、指揮調(diào)度及重大決策。組成人員：主任：單位主要負(fù)責(zé)人（如CEO、總經(jīng)理）；副主任：分管網(wǎng)絡(luò)安全的負(fù)責(zé)人（如CTO、CISO）；成員：各部門負(fù)責(zé)人（技術(shù)、業(yè)務(wù)、法務(wù)、行政、公關(guān)）及外部專家（可選）。主要職責(zé)：審批應(yīng)急預(yù)案的啟動與終止；決策重大處置措施（如切斷核心網(wǎng)絡(luò)、發(fā)布公眾公告）；協(xié)調(diào)外部單位（如公安、網(wǎng)信辦）的聯(lián)動；監(jiān)督應(yīng)急處置過程，評估處置效果。2.2專項工作組應(yīng)急指揮中心下設(shè)5個專項工作組，負(fù)責(zé)具體處置工作：2.2.1綜合協(xié)調(diào)組牽頭部門：辦公室/行政部職責(zé)：統(tǒng)籌應(yīng)急處置進(jìn)度，協(xié)調(diào)各工作組任務(wù)銜接；負(fù)責(zé)事件信息的內(nèi)部通報與外部上報（如向網(wǎng)信辦、工信部報告）；記錄處置過程（如會議紀(jì)要、指令傳達(dá)、時間線）；整理事件報告，提交應(yīng)急指揮中心。2.2.2技術(shù)處置組牽頭部門：網(wǎng)絡(luò)安全部/信息技術(shù)部職責(zé)：負(fù)責(zé)事件的技術(shù)分析與溯源（如通過日志、流量、惡意樣本定位攻擊源）；制定并實施技術(shù)處置方案（如隔離受影響系統(tǒng)、清除惡意代碼、修復(fù)漏洞、恢復(fù)數(shù)據(jù)）；保障應(yīng)急處置中的技術(shù)支撐（如調(diào)用安全設(shè)備、應(yīng)急工具、備份系統(tǒng)）；向應(yīng)急指揮中心提交技術(shù)分析報告。2.2.3輿情應(yīng)對組牽頭部門：公關(guān)部/品牌部職責(zé)：監(jiān)測輿情動態(tài)（如社交媒體、新聞媒體、用戶反饋）；制定輿情應(yīng)對策略（如官方聲明、用戶溝通、媒體回應(yīng)）；發(fā)布權(quán)威信息，引導(dǎo)輿論方向，避免謠言擴(kuò)散；向應(yīng)急指揮中心匯報輿情進(jìn)展及應(yīng)對效果。2.2.4后勤保障組牽頭部門：行政部/采購部職責(zé)：保障應(yīng)急處置中的物資供應(yīng)（如備用服務(wù)器、網(wǎng)絡(luò)設(shè)備、防護(hù)軟件）；協(xié)調(diào)人員支持（如抽調(diào)技術(shù)人員、安排值班）；負(fù)責(zé)應(yīng)急場地（如臨時指揮中心）及通信保障；處理其他后勤事務(wù)（如餐飲、交通）。2.2.5法律合規(guī)組牽頭部門：法務(wù)部/合規(guī)部職責(zé)：審查處置措施的合法性（如數(shù)據(jù)刪除、系統(tǒng)關(guān)停是否符合法律法規(guī)）；配合監(jiān)管部門（如公安、網(wǎng)信辦）的調(diào)查取證；評估事件可能引發(fā)的法律風(fēng)險（如用戶起訴、行政處罰）；提供法律建議，指導(dǎo)證據(jù)收集與保存。3事件分級與響應(yīng)級別3.1事件分級根據(jù)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》，結(jié)合本單位業(yè)務(wù)特點(diǎn)，將安全事件分為四級：級別定義示例Ⅰ級（特別重大）導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施癱瘓，影響國家重大活動或公共利益，造成特別巨大經(jīng)濟(jì)損失或特別惡劣社會影響核心業(yè)務(wù)系統(tǒng)癱瘓超過24小時，影響100萬以上用戶；敏感數(shù)據(jù)泄露超過10萬條且涉及國家秘密Ⅱ級（重大）導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施嚴(yán)重受損，影響較大范圍業(yè)務(wù)運(yùn)行，造成重大經(jīng)濟(jì)損失或惡劣社會影響核心業(yè)務(wù)系統(tǒng)癱瘓12-24小時，影響____萬用戶；敏感數(shù)據(jù)泄露5-10萬條Ⅲ級（較大）導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施部分受損，影響局部業(yè)務(wù)運(yùn)行，造成較大經(jīng)濟(jì)損失或一定社會影響核心業(yè)務(wù)系統(tǒng)癱瘓6-12小時，影響10-50萬用戶；敏感數(shù)據(jù)泄露1-5萬條Ⅳ級（一般）導(dǎo)致非關(guān)鍵信息基礎(chǔ)設(shè)施受損，影響小范圍業(yè)務(wù)運(yùn)行，造成較小經(jīng)濟(jì)損失或社會影響核心業(yè)務(wù)系統(tǒng)癱瘓不足6小時，影響10萬以下用戶；敏感數(shù)據(jù)泄露不足1萬條3.2響應(yīng)級別對應(yīng)事件分級，啟動四級響應(yīng)，響應(yīng)級別與事件級別一一對應(yīng)：事件級別響應(yīng)級別啟動主體響應(yīng)措施Ⅰ級Ⅰ級響應(yīng)應(yīng)急指揮中心主任全單位動員，協(xié)調(diào)外部單位（公安、網(wǎng)信辦）參與，發(fā)布公眾公告Ⅱ級Ⅱ級響應(yīng)應(yīng)急指揮中心副主任啟動專項工作組，暫停非核心業(yè)務(wù)，向監(jiān)管部門報告Ⅲ級Ⅲ級響應(yīng)技術(shù)處置組組長啟動技術(shù)處置流程，內(nèi)部通報事件情況Ⅳ級Ⅳ級響應(yīng)網(wǎng)絡(luò)安全部負(fù)責(zé)人自行處置，記錄事件并上報4應(yīng)急處置流程4.1事件監(jiān)測與報告4.1.1監(jiān)測機(jī)制技術(shù)監(jiān)測：通過入侵檢測系統(tǒng)（IDS）、intrusionpreventionsystem（IPS）、安全信息與事件管理（SIEM）系統(tǒng)、日志分析工具等，實時監(jiān)測網(wǎng)絡(luò)流量、系統(tǒng)日志、用戶行為，及時發(fā)現(xiàn)異常（如異常登錄、大規(guī)模數(shù)據(jù)導(dǎo)出、系統(tǒng)漏洞利用）。人工監(jiān)測：業(yè)務(wù)部門、客服部門通過用戶反饋（如無法訪問系統(tǒng)、數(shù)據(jù)異常）、日常巡檢發(fā)現(xiàn)安全事件。4.1.2報告流程初始報告：發(fā)現(xiàn)事件后，監(jiān)測人員應(yīng)在30分鐘內(nèi)向網(wǎng)絡(luò)安全部負(fù)責(zé)人報告，內(nèi)容包括：事件時間、地點(diǎn)、初步描述、影響范圍、可能的原因。升級報告：網(wǎng)絡(luò)安全部負(fù)責(zé)人接到報告后，應(yīng)在1小時內(nèi)評估事件級別，向應(yīng)急指揮中心副主任（Ⅱ級及以上事件）或主任（Ⅰ級事件）報告。外部報告：對于Ⅰ級、Ⅱ級事件，應(yīng)在2小時內(nèi)向當(dāng)?shù)鼐W(wǎng)信辦、工信部等監(jiān)管部門報告；對于涉及用戶數(shù)據(jù)泄露的事件，應(yīng)按照《個人信息保護(hù)法》要求，在72小時內(nèi)向用戶告知（除非不告知不會造成更大危害）。4.2響應(yīng)啟動應(yīng)急指揮中心根據(jù)事件級別，啟動相應(yīng)響應(yīng)：Ⅰ級響應(yīng)：主任召開緊急會議，宣布啟動Ⅰ級響應(yīng)，成立臨時指揮中心，協(xié)調(diào)各工作組及外部單位。Ⅱ級響應(yīng)：副主任召開會議，啟動專項工作組，明確分工。Ⅲ級、Ⅳ級響應(yīng)：由技術(shù)處置組或網(wǎng)絡(luò)安全部自行啟動處置流程。4.3處置實施處置實施遵循“隔離-分析-修復(fù)-恢復(fù)”的流程，具體步驟如下：4.3.1隔離受影響系統(tǒng)技術(shù)處置組立即切斷受影響系統(tǒng)與核心網(wǎng)絡(luò)的連接（如關(guān)閉端口、斷開網(wǎng)線），防止攻擊擴(kuò)散。對于云服務(wù)或分布式系統(tǒng)，采取分區(qū)隔離（如隔離異常虛擬機(jī)、關(guān)閉異常API接口）。4.3.2收集與保存證據(jù)技術(shù)處置組收集事件相關(guān)證據(jù)（如系統(tǒng)日志、網(wǎng)絡(luò)流量、惡意文件、用戶操作記錄），保存至不可篡改的介質(zhì)（如只讀光盤、加密硬盤）。法律合規(guī)組指導(dǎo)證據(jù)收集，確保符合司法取證要求（如鏈?zhǔn)阶C據(jù)、時間戳）。4.3.3分析與溯源技術(shù)處置組通過逆向分析、威脅情報比對、日志關(guān)聯(lián)等手段，確定攻擊類型（如DDoS、ransomware、SQL注入）、攻擊源（如IP地址、域名、黑客組織）、漏洞利用方式（如未修補(bǔ)的CVE漏洞、弱密碼）。形成《技術(shù)分析報告》，提交應(yīng)急指揮中心。4.3.4制定并實施處置方案應(yīng)急指揮中心根據(jù)《技術(shù)分析報告》，決策處置方案：對于ransomware攻擊：斷開網(wǎng)絡(luò)，恢復(fù)備份數(shù)據(jù)（若備份未被加密），或聯(lián)系專業(yè)機(jī)構(gòu)解密（若無法恢復(fù)）。對于數(shù)據(jù)泄露：刪除泄露數(shù)據(jù)（若在外部渠道），通知受影響用戶，修改用戶密碼，修復(fù)漏洞。對于DDoS攻擊：啟用抗DDoS設(shè)備，清洗流量，切換備用線路。技術(shù)處置組實施處置方案，全程記錄操作步驟（如命令行、截圖）。4.3.5驗證與恢復(fù)處置完成后，技術(shù)處置組驗證系統(tǒng)是否恢復(fù)正常（如測試業(yè)務(wù)功能、檢查日志是否有異常）。逐步恢復(fù)受影響系統(tǒng)的網(wǎng)絡(luò)連接，優(yōu)先恢復(fù)核心業(yè)務(wù)（如支付系統(tǒng)、用戶登錄系統(tǒng)）。4.4響應(yīng)終止當(dāng)滿足以下條件時，應(yīng)急指揮中心宣布終止響應(yīng)：1.事件根源已消除（如漏洞已修復(fù)、攻擊源已阻斷）；2.受影響系統(tǒng)已恢復(fù)正常運(yùn)行，且連續(xù)24小時無異常；3.輿情已得到有效控制，未出現(xiàn)新的負(fù)面輿論；4.監(jiān)管部門要求的整改措施已落實。4.5后期處置4.5.1事件評估綜合協(xié)調(diào)組牽頭，組織各工作組對事件處置過程進(jìn)行評估，形成《事件評估報告》，內(nèi)容包括：事件原因（技術(shù)漏洞、管理漏洞、人員失誤）；處置效果（是否及時、是否有效）；損失統(tǒng)計（經(jīng)濟(jì)損失、用戶流失、品牌影響）；改進(jìn)建議（技術(shù)、管理、流程）。4.5.2總結(jié)改進(jìn)應(yīng)急指揮中心根據(jù)《事件評估報告》，修訂應(yīng)急預(yù)案（如優(yōu)化處置流程、補(bǔ)充物資儲備）；技術(shù)部門針對事件原因，完善安全防控體系（如修補(bǔ)漏洞、加強(qiáng)訪問控制、增加監(jiān)測手段）；人力資源部門組織培訓(xùn)（如網(wǎng)絡(luò)安全意識培訓(xùn)、應(yīng)急處置演練），提高員工應(yīng)對能力。4.5.3追責(zé)問責(zé)法律合規(guī)組根據(jù)事件調(diào)查結(jié)果，追究相關(guān)人員責(zé)任（如技術(shù)人員未及時修補(bǔ)漏洞、管理人員未落實安全制度）；對于外部攻擊，配合公安部門立案偵查，追究黑客或攻擊組織的法律責(zé)任。5保障措施5.1技術(shù)保障安全設(shè)備：配備入侵檢測系統(tǒng)、防火墻、抗DDoS設(shè)備、數(shù)據(jù)加密工具等，定期更新特征庫。應(yīng)急工具：儲備惡意代碼分析工具（如IDAPro、Wireshark）、數(shù)據(jù)恢復(fù)工具（如Recuva、FinalData）、漏洞掃描工具（如Nessus、AWVS）。備份系統(tǒng)：建立多副本、異地備份機(jī)制（如3-2-1備份原則：3份數(shù)據(jù)、2種介質(zhì)、1份異地），定期測試備份恢復(fù)能力。5.2人員保障應(yīng)急隊伍：組建由網(wǎng)絡(luò)安全專家、系統(tǒng)管理員、數(shù)據(jù)庫管理員組成的應(yīng)急隊伍，明確分工與聯(lián)系方式。培訓(xùn)演練：每年至少組織2次應(yīng)急演練（如模擬DDoS攻擊、數(shù)據(jù)泄露），提高隊伍的實戰(zhàn)能力；每季度組織1次網(wǎng)絡(luò)安全意識培訓(xùn)（如識別釣魚郵件、設(shè)置強(qiáng)密碼）。外部專家：與專業(yè)網(wǎng)絡(luò)安全公司（如奇安信、啟明星辰）建立合作，邀請專家參與重大事件處置。5.3物資保障物資清單：制定應(yīng)急物資清單（如備用服務(wù)器、網(wǎng)絡(luò)交換機(jī)、U盤、筆記本電腦），明確存放地點(diǎn)（如機(jī)房、行政倉庫）及責(zé)任人。物資管理：定期檢查物資庫存（每季度1次），及時補(bǔ)充或更新過期物資（如電池、硬盤）。5.4通信保障內(nèi)部通信：建立應(yīng)急指揮微信群、釘釘群，確保指令及時傳達(dá)；配備衛(wèi)星電話（可選），應(yīng)對網(wǎng)絡(luò)中斷情況。外部通信：留存公安、網(wǎng)信辦、電信運(yùn)營商、供應(yīng)商的聯(lián)系方式，確保緊急情況下能快速聯(lián)系。5.5經(jīng)費(fèi)保障設(shè)立網(wǎng)絡(luò)安全應(yīng)急專項經(jīng)費(fèi)，用于應(yīng)急物資采購、演練培訓(xùn)、外部專家咨詢等，確保經(jīng)費(fèi)充足。6附則6.1預(yù)案修訂本方案每2年修訂1次，或根據(jù)以下情況及時修訂：國家法律法規(guī)或行業(yè)標(biāo)準(zhǔn)發(fā)生變化；本單位業(yè)務(wù)范圍或組織架構(gòu)發(fā)生重大調(diào)整；發(fā)生重大安全事件，暴露預(yù)案存在缺陷。6.2預(yù)案演練應(yīng)急指揮中心每年組織1次全流程演練（如模擬Ⅰ級事件處置），每半年組織1次專項演練（如技術(shù)處置、輿情應(yīng)對）。演練后，及時總結(jié)經(jīng)驗教訓(xùn)，修訂預(yù)案。6.3責(zé)任追究對在應(yīng)急處置過程中玩忽職守、延誤時機(jī)的人員，按照本單位規(guī)章制度追究責(zé)任；構(gòu)成犯罪的，依法追究刑事責(zé)任。6.4生效日期本方案自發(fā)布之日起生效。附件清單：1.應(yīng)