[上海某科技公司]信息技術(shù)安全事件應(yīng)急響應(yīng)與風(fēng)險評估規(guī)范第一章總則

第一條為有效預(yù)防、及時控制和妥善處理[上海某科技公司]信息技術(shù)安全事件，提升應(yīng)急響應(yīng)能力，健全應(yīng)急機制，最大程度地減少事件造成的損害，保障[員工]生命和財產(chǎn)安全，維護(hù)正常的工作秩序和[企業(yè)]穩(wěn)定，根據(jù)《中華人民共和國突發(fā)事件應(yīng)對法》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》、《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、教育部《教育系統(tǒng)突發(fā)公共事件應(yīng)急預(yù)案》等法律法規(guī)及相關(guān)規(guī)定，結(jié)合[上海某科技公司]實際，制定本規(guī)范。

第二條工作原則

1.統(tǒng)一指揮與快速反應(yīng)機制。公司成立信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組），作為信息技術(shù)安全事件的統(tǒng)一指揮機構(gòu)，全面負(fù)責(zé)信息技術(shù)安全事件的應(yīng)急響應(yīng)與處置工作。建立健全快速反應(yīng)機制，確保安全事件的監(jiān)測、報告、研判、決策、處置等環(huán)節(jié)緊密銜接，實現(xiàn)快速響應(yīng)、精準(zhǔn)研判、高效處置。

2.分級負(fù)責(zé)與屬地管理。信息技術(shù)安全事件的應(yīng)急響應(yīng)與處置遵循分級負(fù)責(zé)、屬地管理原則。根據(jù)事件的性質(zhì)、影響范圍和嚴(yán)重程度，由相應(yīng)的應(yīng)急工作組或部門啟動相應(yīng)級別的應(yīng)急預(yù)案。各部門、各業(yè)務(wù)單元負(fù)責(zé)人是本單位信息技術(shù)安全事件應(yīng)急處置的第一責(zé)任人，應(yīng)在職責(zé)范圍內(nèi)迅速組織、協(xié)調(diào)和落實應(yīng)急處置工作。

3.預(yù)防為主與及時控制。堅持預(yù)防為主、防治結(jié)合的方針，建立健全信息技術(shù)安全風(fēng)險排查、評估和預(yù)警機制，定期開展安全檢查和風(fēng)險評估，及時發(fā)現(xiàn)和消除安全隱患。強化安全意識，加強日常安全管理，實現(xiàn)早發(fā)現(xiàn)、早報告、早研判、早處置，將安全事件控制在初期階段，防止事件蔓延和擴大。

4.系統(tǒng)聯(lián)動與群防群控。建立健全公司內(nèi)部各部門、各業(yè)務(wù)單元之間以及與外部相關(guān)機構(gòu)（如公安機關(guān)、行業(yè)主管部門等）的信息共享、協(xié)調(diào)聯(lián)動機制。形成全員參與、協(xié)同配合的群防群控工作格局，充分發(fā)揮專業(yè)隊伍和技術(shù)支撐作用，提升整體應(yīng)急處置能力。

5.區(qū)分性質(zhì)與依法處置。在應(yīng)急處置過程中，應(yīng)根據(jù)信息技術(shù)安全事件的具體性質(zhì)、影響范圍和涉及對象，采取差異化的處置措施。堅持依法處置原則，嚴(yán)格遵守國家相關(guān)法律法規(guī)和公司內(nèi)部規(guī)章制度，切實保障[員工]的合法權(quán)益，做到處置措施精準(zhǔn)、程序規(guī)范、手段得當(dāng)，維護(hù)公司正常工作秩序和[企業(yè)]穩(wěn)定。

第三條適用范圍

本規(guī)范適用于[上海某科技公司]信息技術(shù)安全事件的應(yīng)急響應(yīng)與風(fēng)險評估工作。本規(guī)范所稱信息技術(shù)安全事件，是指突然發(fā)生，造成或者可能造成[員工]人身傷害、公司財產(chǎn)損失、業(yè)務(wù)中斷、工作秩序紊亂、聲譽受損以及可能引發(fā)法律責(zé)任的，涉及公司信息技術(shù)系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)等安全的事件。主要包括以下幾個方面：

1.社會安全類突發(fā)事件。包括：公司內(nèi)部涉及[員工]的非法集會、游行、示威、請愿以及集體罷工、罷課等群體性事件，各種邪教的非法傳教活動、政治性活動，[員工]的非正常死亡、失蹤等可能會引發(fā)影響公司穩(wěn)定的事件。

2.重大治安和刑事類突發(fā)事件。發(fā)生在公司內(nèi)、造成一定范圍內(nèi)人員傷亡的重大治安和刑事案件，針對[員工]的各類恐怖襲擊事件。

3.事故災(zāi)害類突發(fā)事件。發(fā)生在公司內(nèi)的建筑物倒塌、火災(zāi)等重大安全事故，安全生產(chǎn)事故，重大環(huán)境污染和生態(tài)破壞事故等。

4.公共衛(wèi)生類突發(fā)事件。突然發(fā)生并造成或者可能造成公司[員工]健康嚴(yán)重?fù)p害的食品衛(wèi)生安全、疫病傳染等事件。包括：在公司內(nèi)發(fā)生的突發(fā)公共衛(wèi)生事件；公司外發(fā)生的、可能對公司[員工]健康造成危害的突發(fā)公共衛(wèi)生事件。

5.自然災(zāi)害類突發(fā)事件。包括：氣象、洪水、地震等災(zāi)害及由各類自然災(zāi)害誘發(fā)的各種次生災(zāi)害等。

6.網(wǎng)絡(luò)與信息安全類突發(fā)事件。包括：公司信息系統(tǒng)被黑客攻擊、病毒入侵、數(shù)據(jù)泄露、網(wǎng)絡(luò)癱瘓，竊取公司商業(yè)機密、客戶信息等事件。

7.考試安全類突發(fā)事件。（本類別適用于教育機構(gòu)，與科技公司關(guān)聯(lián)度較低，若科技公司涉及考試類活動可保留，否則建議刪除或修改為其他類別）

8.其他影響安全穩(wěn)定的公共事件。包括：影響公司安全穩(wěn)定的事件，但不屬于以上七類的事件，如：重要數(shù)據(jù)丟失、關(guān)鍵系統(tǒng)無法訪問、供應(yīng)鏈中斷等事件。

第二章應(yīng)急組織體系及職責(zé)

第四條突發(fā)事件應(yīng)急組織體系

[上海某科技公司]成立信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組（以下簡稱領(lǐng)導(dǎo)小組），作為信息技術(shù)安全事件的統(tǒng)一指揮機構(gòu)。領(lǐng)導(dǎo)小組下設(shè)辦公室及八個專項應(yīng)急處置工作組，分別負(fù)責(zé)不同類型信息技術(shù)安全事件的應(yīng)急響應(yīng)工作。

第五條信息技術(shù)安全事件處置工作領(lǐng)導(dǎo)小組及主要職責(zé)

組長：公司總經(jīng)理

副組長：分管信息技術(shù)安全的副總經(jīng)理、首席信息安全官（CISO）

成員：總工程師、各相關(guān)部門負(fù)責(zé)人（如：信息技術(shù)部、網(wǎng)絡(luò)安全部、人力資源部、法務(wù)部、公關(guān)部、各業(yè)務(wù)部門負(fù)責(zé)人等）

領(lǐng)導(dǎo)小組職責(zé)：

（一）負(fù)責(zé)信息技術(shù)安全事件的統(tǒng)一決策、指揮和協(xié)調(diào)；

（二）研究決定信息技術(shù)安全事件應(yīng)急響應(yīng)的重大事項；

（三）批準(zhǔn)啟動和終止應(yīng)急響應(yīng)；

（四）向上級主管部門和相關(guān)機構(gòu)報告重大信息技術(shù)安全事件；

（五）組織開展信息技術(shù)安全事件的調(diào)查和評估。

第六條領(lǐng)導(dǎo)小組辦公室及主要職責(zé)

領(lǐng)導(dǎo)小組辦公室設(shè)在信息技術(shù)部，由信息技術(shù)部負(fù)責(zé)人兼任辦公室主任。

領(lǐng)導(dǎo)小組辦公室主要職責(zé)：

（一）承擔(dān)領(lǐng)導(dǎo)小組的日常工作，協(xié)調(diào)各工作組的工作；

（二）負(fù)責(zé)信息技術(shù)安全事件的接報、核實、研判和初步處置；

（三）收集、分析和匯總信息技術(shù)安全事件的相關(guān)信息，及時向領(lǐng)導(dǎo)小組報告；

（四）根據(jù)領(lǐng)導(dǎo)小組的決策，協(xié)調(diào)相關(guān)部門開展應(yīng)急處置工作；

（五）負(fù)責(zé)信息技術(shù)安全事件的總結(jié)評估和資料歸檔；

（六）組織開展信息技術(shù)安全事件的宣傳教育和技術(shù)培訓(xùn)。

第七條專項應(yīng)急處置工作組及主要職責(zé)

針對不同類型的信息技術(shù)安全事件，領(lǐng)導(dǎo)小組下設(shè)以下八個專項應(yīng)急處置工作組：

1.網(wǎng)絡(luò)與信息安全應(yīng)急處置工作組

組長：CISO

副組長：信息技術(shù)部副部長、網(wǎng)絡(luò)安全部負(fù)責(zé)人

成員單位：信息技術(shù)部、網(wǎng)絡(luò)安全部、法務(wù)部、公關(guān)部等相關(guān)部門

辦公室地點：信息技術(shù)部

核心職責(zé)：

（一）負(fù)責(zé)網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置，包括但不限于網(wǎng)絡(luò)攻擊、病毒入侵、數(shù)據(jù)泄露、系統(tǒng)癱瘓等；

（二）進(jìn)行網(wǎng)絡(luò)與信息安全事件的研判和評估，確定事件等級；

（三）制定和實施網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置工作；

（五）負(fù)責(zé)網(wǎng)絡(luò)與信息安全事件的調(diào)查和取證。

2.社會安全應(yīng)急處置工作組

組長：分管人力資源部的副總經(jīng)理

副組長：人力資源部負(fù)責(zé)人、法務(wù)部負(fù)責(zé)人

成員單位：人力資源部、法務(wù)部、公關(guān)部、各業(yè)務(wù)部門等相關(guān)部門

辦公室地點：人力資源部

核心職責(zé)：

（一）負(fù)責(zé)涉及員工的社會安全事件的應(yīng)急處置，包括但不限于勞資糾紛、員工沖突等；

（二）進(jìn)行社會安全事件的研判和評估，確定事件等級；

（三）制定和實施社會安全事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展社會安全事件的應(yīng)急處置工作；

（五）負(fù)責(zé)社會安全事件的調(diào)查和處置。

3.重大治安刑事應(yīng)急處置工作組

組長：分管信息技術(shù)安全的副總經(jīng)理

副組長：信息技術(shù)部負(fù)責(zé)人、法務(wù)部負(fù)責(zé)人

成員單位：信息技術(shù)部、法務(wù)部、公關(guān)部、各業(yè)務(wù)部門等相關(guān)部門

辦公室地點：信息技術(shù)部

核心職責(zé)：

（一）負(fù)責(zé)涉及公司信息系統(tǒng)的重大治安刑事案件應(yīng)急處置，包括但不限于黑客攻擊、數(shù)據(jù)盜竊等；

（二）進(jìn)行重大治安刑事事件的研判和評估，確定事件等級；

（三）制定和實施重大治安刑事事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展重大治安刑事事件的應(yīng)急處置工作；

（五）負(fù)責(zé)重大治安刑事事件的調(diào)查和取證。

4.事故災(zāi)害應(yīng)急處置工作組

組長：分管生產(chǎn)安全的副總經(jīng)理

副組長：生產(chǎn)安全部負(fù)責(zé)人、信息技術(shù)部負(fù)責(zé)人

成員單位：生產(chǎn)安全部、信息技術(shù)部、后勤保障部、各業(yè)務(wù)部門等相關(guān)部門

辦公室地點：生產(chǎn)安全部

核心職責(zé)：

（一）負(fù)責(zé)涉及公司信息系統(tǒng)的accident災(zāi)害事件的應(yīng)急處置，包括但不限于自然災(zāi)害、設(shè)備故障等；

（二）進(jìn)行事故災(zāi)害事件的研判和評估，確定事件等級；

（三）制定和實施事故災(zāi)害事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展事故災(zāi)害事件的應(yīng)急處置工作；

（五）負(fù)責(zé)事故災(zāi)害事件的調(diào)查和評估。

5.公共衛(wèi)生應(yīng)急處置工作組

組長：分管人力資源部的副總經(jīng)理

副組長：人力資源部負(fù)責(zé)人、衛(wèi)生保健部負(fù)責(zé)人

成員單位：人力資源部、衛(wèi)生保健部、信息技術(shù)部、后勤保障部等相關(guān)部門

辦公室地點：人力資源部

核心職責(zé)：

（一）負(fù)責(zé)涉及員工的公共衛(wèi)生事件的應(yīng)急處置，包括但不限于傳染病疫情等；

（二）進(jìn)行公共衛(wèi)生事件的研判和評估，確定事件等級；

（三）制定和實施公共衛(wèi)生事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展公共衛(wèi)生事件的應(yīng)急處置工作；

（五）負(fù)責(zé)公共衛(wèi)生事件的調(diào)查和處置。

6.自然災(zāi)害應(yīng)急處置工作組

組長：分管后勤保障部的副總經(jīng)理

副組長：后勤保障部負(fù)責(zé)人、信息技術(shù)部負(fù)責(zé)人

成員單位：后勤保障部、信息技術(shù)部、各業(yè)務(wù)部門等相關(guān)部門

辦公室地點：后勤保障部

核心職責(zé)：

（一）負(fù)責(zé)涉及公司信息系統(tǒng)的自然災(zāi)害事件的應(yīng)急處置，包括但不限于地震、洪水等；

（二）進(jìn)行自然災(zāi)害事件的研判和評估，確定事件等級；

（三）制定和實施自然災(zāi)害事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展自然災(zāi)害事件的應(yīng)急處置工作；

（五）負(fù)責(zé)自然災(zāi)害事件的調(diào)查和評估。

7.考試安全應(yīng)急處置工作組

（本類別適用于涉及考試測評的科技公司，與一般科技公司關(guān)聯(lián)度較低，若適用可保留，否則建議刪除或修改為其他類別）

組長：分管產(chǎn)品研發(fā)的副總經(jīng)理

副組長：產(chǎn)品研發(fā)部負(fù)責(zé)人、信息技術(shù)部負(fù)責(zé)人

成員單位：產(chǎn)品研發(fā)部、信息技術(shù)部、人力資源部、法務(wù)部等相關(guān)部門

辦公室地點：產(chǎn)品研發(fā)部

核心職責(zé)：

（一）負(fù)責(zé)涉及公司產(chǎn)品研發(fā)考試的應(yīng)急處置，包括但不限于考試題目泄露、考試環(huán)境故障等；

（二）進(jìn)行考試安全事件的研判和評估，確定事件等級；

（三）制定和實施考試安全事件的應(yīng)急處置方案；

（四）協(xié)調(diào)相關(guān)部門開展考試安全事件的應(yīng)急處置工作；

（五）負(fù)責(zé)考試安全事件的調(diào)查和評估。

8.信息工作組

組長：分管信息技術(shù)安全的副總經(jīng)理

副組長：信息技術(shù)部負(fù)責(zé)人

成員單位：信息技術(shù)部、公關(guān)部、人力資源部、法務(wù)部等相關(guān)部門

辦公室地點：信息技術(shù)部

核心職責(zé)：

（一）負(fù)責(zé)信息技術(shù)安全事件的信息收集、分析和報告；

（二）負(fù)責(zé)信息技術(shù)安全事件的宣傳和輿情引導(dǎo)；

（三）負(fù)責(zé)與外部媒體和相關(guān)部門的溝通協(xié)調(diào)；

（四）負(fù)責(zé)信息技術(shù)安全事件的資料歸檔和總結(jié)評估。

第三章預(yù)防和預(yù)警機制

第八條預(yù)防預(yù)警信息管理規(guī)范

為有效預(yù)防和處置信息技術(shù)安全事件，建立健全信息報送機制，確保信息傳遞及時、準(zhǔn)確、全面，特制定本規(guī)范。

1.信息報送核心原則

信息技術(shù)安全事件的預(yù)防預(yù)警信息報送應(yīng)遵循以下核心原則：

（一）及時性：信息報送必須迅速及時，確保第一時間掌握事件動態(tài)。

（二）首報意識：首次發(fā)現(xiàn)信息技術(shù)安全事件或接到相關(guān)報告的部門，必須立即進(jìn)行初步核實和信息報送，不得遲延。

（三）真實性：報送的信息必須客觀真實，不得歪曲、隱瞞或捏造事實。

（四）完整性：報送的信息應(yīng)包含應(yīng)急信息核心要素，確保信息的全面性。

（五）續(xù)報要求：事件發(fā)生、發(fā)展或處置過程中，相關(guān)情況發(fā)生變化的，應(yīng)及時續(xù)報更新信息。

2.信息報送流程

[企業(yè)內(nèi)]信息技術(shù)安全事件的預(yù)防預(yù)警信息報送遵循以下流程：

（一）部門報告：發(fā)現(xiàn)信息技術(shù)安全事件或接到相關(guān)報告的部門，應(yīng)立即進(jìn)行初步核實，并在第一時間將初步信息報送至信息技術(shù)部。

（二）信息技術(shù)部核實與研判：信息技術(shù)部接報后，應(yīng)立即進(jìn)行核實、研判，并決定是否啟動應(yīng)急響應(yīng)，同時將情況上報至公司辦公室。

（三）公司辦公室匯總與上報：公司辦公室接報后，應(yīng)立即將信息匯總，并報請突發(fā)事件處置領(lǐng)導(dǎo)小組組長審閱。根據(jù)領(lǐng)導(dǎo)指示，決定上報至上級主管部門或相關(guān)部門。

（四）上級報告：根據(jù)事件性質(zhì)和級別，按照規(guī)定程序?qū)⑿畔⒅鸺壣蠄笾辽霞壷鞴懿块T。

3.緊急書面信息報送流程

對于重大或特別重大信息技術(shù)安全事件，應(yīng)按照以下流程進(jìn)行緊急書面信息報送：

（一）信息技術(shù)部立即將初步信息以書面形式報送至公司辦公室。

（二）公司辦公室在核實信息后，立即起草書面報告，并報請突發(fā)事件處置領(lǐng)導(dǎo)小組組長審批。

（三）審批通過后，公司辦公室應(yīng)在2小時內(nèi)將書面報告報送至上級主管部門。

4.應(yīng)急信息核心要素清單

報送的信息應(yīng)包含以下核心要素：

（一）時間：事件發(fā)生的確切時間。

（二）地點：事件發(fā)生的具體地點。

（三）規(guī)模：事件影響的范圍和涉及的用戶數(shù)量。

（四）傷亡：事件是否造成人員傷亡，如有，請說明傷亡情況。

（五）起因：事件發(fā)生的初步原因分析。

（六）評估：對事件性質(zhì)、影響和可能發(fā)展趨勢的初步評估。

（七）措施：已采取的應(yīng)急處置措施。

（八）進(jìn)展：事件的發(fā)展情況和處置進(jìn)展。

（九）其他：需要說明的其他事項。

5.重大突發(fā)事件緊急報告要求

下列信息技術(shù)安全事件信息須在事件發(fā)生后40分鐘內(nèi)通過電話向省委辦公廳口頭報告，或書面報告在事發(fā)后2小時以內(nèi)報送：

（一）重大自然災(zāi)害導(dǎo)致公司信息系統(tǒng)癱瘓或數(shù)據(jù)丟失；

（二）重大事故災(zāi)難導(dǎo)致公司信息系統(tǒng)受損或數(shù)據(jù)泄露；

（三）重大公共衛(wèi)生事件影響公司員工健康和工作秩序；

（四）涉國防、港澳臺、外交領(lǐng)域重要緊急動態(tài)涉及公司信息系統(tǒng)安全；

（五）可能引發(fā)重大突發(fā)事件的敏感性、預(yù)警性、行動性動向涉及公司信息系統(tǒng)安全；

（六）其他涉國家安全和社會穩(wěn)定的重要緊急情況涉及公司信息系統(tǒng)安全。

第九條預(yù)防預(yù)警行動

在信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組的統(tǒng)一部署下，各專項應(yīng)急處置工作組及相關(guān)部門必須常態(tài)化開展以下預(yù)防預(yù)警行動：

1.加強應(yīng)急機制日常管理。各部門應(yīng)在領(lǐng)導(dǎo)小組的指導(dǎo)下，建立健全并持續(xù)完善信息技術(shù)安全事件的日常管理制度，明確職責(zé)分工，落實管理措施，確保應(yīng)急機制處于良好運行狀態(tài)。

2.持續(xù)完善各類應(yīng)急預(yù)案。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)組織各專項應(yīng)急處置工作組，根據(jù)法律法規(guī)變化、公司業(yè)務(wù)發(fā)展、技術(shù)更新及過往事件處置經(jīng)驗，定期對各類信息技術(shù)安全事件應(yīng)急預(yù)案進(jìn)行評估和修訂，確保預(yù)案的針對性、實用性和可操作性。

3.加強應(yīng)急隊伍建設(shè)。信息技術(shù)部、網(wǎng)絡(luò)安全部及各相關(guān)部門應(yīng)組建或完善信息技術(shù)安全應(yīng)急隊伍，明確隊伍人員構(gòu)成和職責(zé)，加強專業(yè)技能培訓(xùn)，提升隊伍的實戰(zhàn)能力和應(yīng)急處置水平。

4.定期組織應(yīng)急培訓(xùn)和模擬演練。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)制定年度應(yīng)急培訓(xùn)計劃，組織面向全體[員工]和重點崗位人員的應(yīng)急知識培訓(xùn)。定期組織開展不同規(guī)模、不同場景的應(yīng)急模擬演練，檢驗預(yù)案的有效性，提高應(yīng)急隊伍的協(xié)同作戰(zhàn)能力和[員工]的自救互救能力。

5.做好關(guān)鍵應(yīng)急物資的儲備、管理和維護(hù)。信息技術(shù)部應(yīng)根據(jù)應(yīng)急預(yù)案和實際需要，儲備必要的應(yīng)急物資，如：備用網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備、通信設(shè)備、應(yīng)急電源、防護(hù)用品、消毒用品等。建立應(yīng)急物資管理臺賬，明確物資種類、數(shù)量、存放地點、保管責(zé)任人和維護(hù)要求，定期檢查和維護(hù)應(yīng)急物資，確保在應(yīng)急處置時能夠充足、及時供應(yīng)。

第四章應(yīng)急響應(yīng)

第十條按事件等級響應(yīng)

1.事件等級劃分

根據(jù)信息技術(shù)安全事件的影響范圍、危害程度、發(fā)展趨勢等因素，將事件劃分為以下四個等級：

（一）I級事件（紅色預(yù)警）：特別重大事件。指對[企業(yè)]造成或可能造成特別重大影響，涉及大量用戶數(shù)據(jù)泄露、核心系統(tǒng)癱瘓、業(yè)務(wù)完全中斷，或造成重大經(jīng)濟(jì)損失、嚴(yán)重聲譽損害，或可能引發(fā)嚴(yán)重影響[企業(yè)]穩(wěn)定或社會公共安全的特別重大信息技術(shù)安全事件。判定標(biāo)準(zhǔn)包括但不限于：造成或可能造成1000名以上[員工]業(yè)務(wù)中斷、核心數(shù)據(jù)庫或關(guān)鍵系統(tǒng)被破壞導(dǎo)致業(yè)務(wù)完全癱瘓、涉及超過100萬條敏感或核心數(shù)據(jù)泄露、事件處置復(fù)雜度高，需要跨部門、跨領(lǐng)域進(jìn)行協(xié)調(diào)。

（二）II級事件（橙色預(yù)警）：重大事件。指對[企業(yè)]造成或可能造成重大影響，涉及較多用戶數(shù)據(jù)泄露、重要系統(tǒng)癱瘓或嚴(yán)重功能受限，或造成較大經(jīng)濟(jì)損失、顯著聲譽損害的信息技術(shù)安全事件。判定標(biāo)準(zhǔn)包括但不限于：造成或可能造成1001000名[員工]業(yè)務(wù)中斷、重要業(yè)務(wù)系統(tǒng)功能嚴(yán)重受限但核心系統(tǒng)未完全癱瘓、涉及超過10萬100萬條敏感數(shù)據(jù)泄露、事件處置需要較大范圍協(xié)調(diào)。

（三）III級事件（黃色預(yù)警）：較大事件。指對[企業(yè)]造成或可能造成較大影響，涉及部分用戶數(shù)據(jù)泄露、一般系統(tǒng)癱瘓或功能受限，或造成一定經(jīng)濟(jì)損失、一般聲譽損害的信息技術(shù)安全事件。判定標(biāo)準(zhǔn)包括但不限于：造成或可能造成10100名[員工]業(yè)務(wù)中斷、一般業(yè)務(wù)系統(tǒng)功能受限但未影響核心系統(tǒng)、涉及超過100010萬條敏感數(shù)據(jù)泄露、事件處置主要在部門內(nèi)部進(jìn)行。

（四）IV級事件（藍(lán)色預(yù)警）：一般事件。指對[企業(yè)]造成或可能造成一般影響，涉及少量用戶數(shù)據(jù)泄露、非關(guān)鍵系統(tǒng)癱瘓或功能受限，或造成輕微經(jīng)濟(jì)損失、輕微聲譽損害的信息技術(shù)安全事件。判定標(biāo)準(zhǔn)包括但不限于：造成或可能造成10名以下[員工]業(yè)務(wù)中斷、非關(guān)鍵系統(tǒng)功能受限或短暫中斷、涉及少量敏感數(shù)據(jù)泄露（低于1000條）、事件處置相對簡單，由相關(guān)部門自行處理。

2.各級事件應(yīng)急響應(yīng)程序

信息技術(shù)安全事件發(fā)生后，相關(guān)部門應(yīng)立即進(jìn)行初步研判，并根據(jù)事件等級啟動相應(yīng)級別的應(yīng)急響應(yīng)程序。各級事件的應(yīng)急響應(yīng)程序如下：

（1）特別重大事件（I級）應(yīng)急響應(yīng)

特別重大事件（I級）發(fā)生后，須在20分鐘內(nèi)將初步信息報告至信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室，并立即啟動I級應(yīng)急響應(yīng)預(yù)案。領(lǐng)導(dǎo)小組辦公室在接報后立即向信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長報告，由組長決定成立現(xiàn)場指揮部，并迅速組織開展應(yīng)急處置工作。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)在1小時內(nèi)將事件基本情況、已采取措施等信息報告至上級主管部門，并根據(jù)上級指示開展相關(guān)工作。

核心響應(yīng)動作包括：立即成立現(xiàn)場指揮部，組織開展現(xiàn)場處置，啟動信息報告程序，并根據(jù)需要協(xié)調(diào)外部資源（如公安機關(guān)、互聯(lián)網(wǎng)應(yīng)急中心等）參與處置。

（2）重大事件（II級）應(yīng)急響應(yīng)

重大事件（II級）發(fā)生后，須在20分鐘內(nèi)將初步信息報告至信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室，并立即啟動II級應(yīng)急響應(yīng)預(yù)案。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室在接報后立即向信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長報告，由組長決定成立現(xiàn)場指揮部，并迅速組織開展應(yīng)急處置工作。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)在1小時內(nèi)將事件基本情況、已采取措施等信息報告至上級主管部門，并根據(jù)上級指示開展相關(guān)工作。

核心響應(yīng)動作包括：立即成立現(xiàn)場指揮部，組織開展現(xiàn)場處置，啟動信息報告程序，并根據(jù)需要協(xié)調(diào)外部資源參與處置。

（3）較大事件（III級）應(yīng)急響應(yīng)

較大事件（III級）發(fā)生后，須在20分鐘內(nèi)將初步信息報告至信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室，并立即啟動III級應(yīng)急響應(yīng)預(yù)案。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室在接報后立即向信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長報告，由組長決定成立現(xiàn)場指揮部（或指定牽頭部門負(fù)責(zé)），并組織開展應(yīng)急處置工作。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)在1小時內(nèi)將事件基本情況、已采取措施等信息報告至上級主管部門，并根據(jù)上級指示開展相關(guān)工作。

核心響應(yīng)動作包括：迅速啟動現(xiàn)場處置，組織信息報告，根據(jù)需要協(xié)調(diào)相關(guān)部門協(xié)同處置。

（4）一般事件（IV級）應(yīng)急響應(yīng)

一般事件（IV級）發(fā)生后，須在20分鐘內(nèi)將初步信息報告至信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室，并立即啟動IV級應(yīng)急響應(yīng)預(yù)案。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室在接報后根據(jù)事件情況及時向信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長報告，由組長指定相關(guān)部門負(fù)責(zé)處置，并組織開展應(yīng)急處置工作。信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室應(yīng)在1小時內(nèi)將事件基本情況、已采取措施等信息報告至上級主管部門。

核心響應(yīng)動作包括：迅速啟動現(xiàn)場處置，組織信息報告，確保事件得到有效控制。

3.現(xiàn)場指揮部核心任務(wù)

信息技術(shù)安全事件現(xiàn)場指揮部是應(yīng)急處置的核心領(lǐng)導(dǎo)機構(gòu)，其核心任務(wù)包括：

（一）控制事態(tài)：迅速采取有效措施，控制事件蔓延，防止事態(tài)擴大，維護(hù)[企業(yè)]正常工作秩序。

（二）掌握進(jìn)展：密切關(guān)注事件發(fā)展動態(tài)，及時收集、分析現(xiàn)場信息，全面掌握事件情況。

（三）及時報告：按照規(guī)定時限和內(nèi)容要求，及時、準(zhǔn)確向上級主管部門和領(lǐng)導(dǎo)小組報告事件處置進(jìn)展情況。

（四）適時發(fā)布信息引導(dǎo)輿論：根據(jù)領(lǐng)導(dǎo)小組授權(quán)，及時、準(zhǔn)確、客觀地發(fā)布事件信息，回應(yīng)社會關(guān)切，澄清事實，引導(dǎo)輿論，維護(hù)[企業(yè)]形象。

第五章應(yīng)急保障

第十一條通訊與信息保障

建立健全信息技術(shù)安全事件信息收集、監(jiān)測、研判、傳遞、報送、處理等全流程運行機制，確保信息渠道暢通、信息傳遞及時、信息處理高效。完善包括有線、無線、衛(wèi)星等多種形式的通信網(wǎng)絡(luò)架構(gòu)，確保核心通信線路冗余備份，保障應(yīng)急通信暢通。定期檢查和維護(hù)通信設(shè)備和網(wǎng)絡(luò)設(shè)施，確保其處于良好運行狀態(tài)，并制定應(yīng)急預(yù)案，確保在通信中斷時能夠迅速啟動替代通信方案。建立信息安全事件信息共享機制，確保相關(guān)信息在授權(quán)范圍內(nèi)及時傳遞給相關(guān)部門和人員。

第十二條物資與資金保障

[企業(yè)]將信息技術(shù)安全事件應(yīng)急處置經(jīng)費納入年度預(yù)算，并根據(jù)事件處置需要提供必要的資金支持，確保應(yīng)急處置工作順利開展。信息技術(shù)部負(fù)責(zé)建立并維護(hù)關(guān)鍵應(yīng)急物資儲備庫，包括但不限于：應(yīng)急發(fā)電設(shè)備、照明設(shè)備、備用通信設(shè)備、網(wǎng)絡(luò)安全工具、數(shù)據(jù)備份介質(zhì)、個人防護(hù)用品、應(yīng)急通訊設(shè)備等。制定應(yīng)急物資管理細(xì)則，明確物資的種類、數(shù)量、存放地點、保管責(zé)任、維護(hù)保養(yǎng)和領(lǐng)用程序，確保物資的充足、完好和及時供應(yīng)。對特殊應(yīng)急物資，如關(guān)鍵設(shè)備備件、專業(yè)檢測儀器等，指定專人負(fù)責(zé)保管，建立臺賬，定期檢查，確保其隨時可用。

第十三條人員與技術(shù)保障

信息技術(shù)部牽頭組建常備信息技術(shù)安全應(yīng)急隊伍，由信息技術(shù)專業(yè)人員、網(wǎng)絡(luò)安全專家、系統(tǒng)管理員等組成，明確各成員的職責(zé)和分工。同時，建立應(yīng)急人員庫，根據(jù)事件類型和規(guī)模，動態(tài)調(diào)配應(yīng)急處置力量。信息技術(shù)部負(fù)責(zé)建立與外部專業(yè)技術(shù)機構(gòu)、行業(yè)組織等的合作機制，定期邀請相關(guān)領(lǐng)域的專家進(jìn)行技術(shù)指導(dǎo)，并組織內(nèi)部技術(shù)交流，提升應(yīng)急處置隊伍的專業(yè)技術(shù)水平。

第十四條培訓(xùn)與演練保障

[企業(yè)]信息技術(shù)安全事件應(yīng)急領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)制定年度應(yīng)急培訓(xùn)和演練計劃，定期組織面向全體[員工]的應(yīng)急知識培訓(xùn)，重點加強對信息技術(shù)安全事件識別、報告、處置等環(huán)節(jié)的培訓(xùn)，提升[員工]的安全意識和自救互救能力。定期組織開展不同規(guī)模、不同場景的應(yīng)急模擬演練，包括桌面推演、實戰(zhàn)演練等，檢驗應(yīng)急預(yù)案的可行性，檢驗應(yīng)急隊伍的協(xié)同作戰(zhàn)能力，并針對演練過程中發(fā)現(xiàn)的問題及時修訂完善應(yīng)急預(yù)案。鼓勵信息技術(shù)部、網(wǎng)絡(luò)安全部等部門與外部機構(gòu)開展應(yīng)急演練交流，學(xué)習(xí)先進(jìn)經(jīng)驗，提升應(yīng)急處置能力。

第十五條加強保障建設(shè)

[企業(yè)]應(yīng)從制度建設(shè)、組織架構(gòu)、物資儲備、軟硬件設(shè)施等方面全方位加強保障體系建設(shè)，確保信息技術(shù)安全事件應(yīng)急響應(yīng)與風(fēng)險評估工作的順利開展。

（一）制度建設(shè)：建立健全信息技術(shù)安全事件應(yīng)急處置與風(fēng)險評估相關(guān)管理制度體系，包括但不限于《信息技術(shù)安全事件應(yīng)急預(yù)案》、《信息技術(shù)安全事件風(fēng)