PAGEXX銀行數(shù)據(jù)安全事件應急預案總則為建立健全XX銀行（以下簡稱“我行”）數(shù)據(jù)安全事件應急響應機制，提高應對數(shù)據(jù)安全事件的應急處置能力，預防和減少數(shù)據(jù)安全事件造成的損失和危害，全面提升我行的數(shù)據(jù)安全事件應急管理水平，促進我行業(yè)務健康有序發(fā)展，保障我行數(shù)據(jù)資產(chǎn)安全和用戶合法權益，確保數(shù)據(jù)的保密性、完整性、可用性，根據(jù)我行總體應急預案的有關規(guī)定，制定本預案。本預案適用于XX銀行總行、各分支機構。XX銀行總行、各分支機構（以下簡稱“各單位”）應按本預案開展數(shù)據(jù)安全應急工作。我行應急工作總體原則如下：（一）堅持統(tǒng)一領導、分級負責；堅持統(tǒng)一指揮、密切協(xié)同、快速反應、科學處置；堅持預防為主，預防與應急相結合。（二）堅持誰主管誰負責、誰運營誰負責，誰接入誰負責，分工協(xié)作，內(nèi)外聯(lián)動，充分發(fā)揮各方面力量共同做好我行數(shù)據(jù)安全事件的預防和處置工作。本預案中描述的數(shù)據(jù)是指企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息、個人金融信息、網(wǎng)絡數(shù)據(jù)、重要數(shù)據(jù)、支付敏感信息等相關數(shù)據(jù)。數(shù)據(jù)安全事件是指針對個人信息、企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、網(wǎng)絡數(shù)據(jù)等我行數(shù)據(jù)資產(chǎn)的可用性被破壞、數(shù)據(jù)被泄露、數(shù)據(jù)被違規(guī)使用，造成或可能影響國家安全、社會穩(wěn)定、公眾利益受損、客戶合法權益受侵害等危害，需要采取應急處置措施予以應對的突發(fā)事件。本預案適用于以下數(shù)據(jù)泄露安全事件場景：1.審計設備觸發(fā)告警,系統(tǒng)用戶數(shù)據(jù)出現(xiàn)大量導出或泄露記錄；2.信息系統(tǒng)存在SQL注入、命令執(zhí)行等可導致數(shù)據(jù)泄露的漏洞；3.API濫用出現(xiàn)大量數(shù)據(jù)泄露；4.監(jiān)管機構通告信息系統(tǒng)存在數(shù)據(jù)泄露漏洞；5.內(nèi)網(wǎng)機器對外部發(fā)送大量XX銀行客戶數(shù)據(jù)資料；6.管理員分析應用日志發(fā)現(xiàn)出現(xiàn)大量數(shù)據(jù)導出痕跡；7.重要系統(tǒng)或數(shù)據(jù)庫數(shù)據(jù)被篡改事件；8.系統(tǒng)軟硬件故障對數(shù)據(jù)可用性造成的影響。術語定義個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息。支付敏感信息包括但不限于銀行卡磁道數(shù)據(jù)或芯片等效信息、卡片驗證碼、卡片有效期、銀行卡密碼、網(wǎng)絡支付交易密碼等用于支付鑒權的個人金融信息。個人信息主體，是指個人信息所標識或關聯(lián)到的自然人。重要數(shù)據(jù)，是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等。網(wǎng)絡數(shù)據(jù)，是指通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。重要信息系統(tǒng)，是指按照《XX銀行信息系統(tǒng)應急預案》信息系統(tǒng)分級方法，4級以上的信息系統(tǒng)及支付結算類系統(tǒng)、信貸、財務、國結等系統(tǒng)。組織指揮體系及職責分工我行應急組織包括應急團隊和外部組織兩部分，其中應急團隊包括應急領導小組、應急執(zhí)行小組、技術保障小組、支持保障小組，分支行應急小組，負責在發(fā)生突發(fā)事件時,能夠做到及時實施專項應急處置工作。外部組織包括監(jiān)管機構、社會專業(yè)機構、安全機構和廠商。應急領導小組由總行行長任組長、總行副行長任副組長，風險管理部、信息科技部、業(yè)務管理部門、支持保障部門及各分行的負責人為應急領導小組成員，其職責是：（一）負責數(shù)據(jù)泄露突發(fā)事件的應急指揮、組織協(xié)調(diào)和過程控制；（二）明確數(shù)據(jù)泄露突發(fā)事件對外信息發(fā)布人，授權其在應急過程中統(tǒng)一對外信息發(fā)布口徑；（三）宣布重大應急響應狀態(tài)的降級或解除；（四）向董事會報告應急處置進展情況和總結報告。應急執(zhí)行小組由總行信息科技部、業(yè)務部門、風險管理部等派員組成，對應急領導小組負責，其職責是：（一）實施數(shù)據(jù)泄露突發(fā)事件的具體應急處置工作；（二）業(yè)務部門負責對數(shù)據(jù)泄露突發(fā)事件影響情況進行風險分析、業(yè)務影響評估，確定業(yè)務恢復目標及恢復策略；（三）信息科技部負責收集分析數(shù)據(jù)泄露安全事件應急處置過程的數(shù)據(jù)信息和日志，并執(zhí)行技術應急響應和恢復；（四）風險管理部負責向監(jiān)管單位報告突發(fā)事件；（五）向應急領導小組報告應急處置進展情況和事態(tài)發(fā)展情況。支持保障小組由辦公室、人力資源部、財務管理部、法律合規(guī)部、安全保衛(wèi)部等派員組成，對應急領導小組負責,其職責是：（一）提供應急所需人力和物力等資源保障；（二）做好對受影響客戶的解釋和安撫工作；（三）做好秩序維護、安全保障、法律咨詢和支援等工作；（四）建立與相關外部機構的應急協(xié)調(diào)機制和應急聯(lián)動機制；（五）其他為降低事件負面影響或損失提供的應急支持保障等。技術保障小組由信息科技部負責人任組長，信息科技部各技術團隊為成員，對應急領導小組負責，其職責是：（一）為數(shù)據(jù)泄露突發(fā)事件的應急處置提供全面的技術支持與保障工作；（二）建立與安全機構和廠商等相關外部機構的應急協(xié)調(diào)機制，并尋求技術支撐和協(xié)助。分支行應急小組由各分支機構成立以分支行行長為組長的應急小組，并在應急領導小組的統(tǒng)一指揮下開展應急處置工作。外部組織由監(jiān)管機構及社會專業(yè)支持組成：（一）監(jiān)管機構包括人民銀行臺州市中心支行、浙江省銀保監(jiān)局、臺州銀行分局、公安、網(wǎng)信等監(jiān)管部門的信息科技監(jiān)管部門；（二）社會專業(yè)支持主要包括電力、消防等部門；（三）相關安全設備廠商及服務機構。建立呼叫樹機制，以便盡快將信息傳達到內(nèi)外部團隊或組織。事件分級針對數(shù)據(jù)泄露安全事件分為四級：特別重大數(shù)據(jù)安全事件、重大數(shù)據(jù)安全事件、較大數(shù)據(jù)安全事件、一般數(shù)據(jù)安全事件。（一）特別重大數(shù)據(jù)安全事件（I級）符合下列情形之一的，為特別重大數(shù)據(jù)安全事件：1、重要信息系統(tǒng)出現(xiàn)數(shù)據(jù)泄露、非法使用等情況造成我行重大經(jīng)濟損失、極大影響我行業(yè)務經(jīng)營，對我行聲譽造成嚴重影響，對用戶產(chǎn)生嚴重負面影響的；2、個人金融信息、支付敏感信息和4級數(shù)據(jù)丟失或被竊取，對社會穩(wěn)定、公眾利益和企業(yè)合法權益構成特別嚴重威脅；3、發(fā)生特別重大的公民個人信息泄露事件，造成五千條以上的用戶信息泄露的；4、對外提供服務的網(wǎng)站類應用系統(tǒng)，其頁面被篡改為反動信息、煽動性信息等造成嚴重政治影響的。（二）重大數(shù)據(jù)安全事件（II級）符合下列情形之一的，為特別重大數(shù)據(jù)安全事件：1、重要信息系統(tǒng)出現(xiàn)數(shù)據(jù)泄露、非法使用等情況造成我行經(jīng)濟損失、影響我行業(yè)務經(jīng)營，對我行聲譽造成影響，用戶產(chǎn)生嚴重負面影響的；2、個人金融信息、支付敏感信息和3級數(shù)據(jù)丟失或被竊取，對社會穩(wěn)定、公眾利益和企業(yè)合法權益構成嚴重威脅；3、發(fā)生重大的公民個人信息泄露事件，造成五百條以上的用戶信息泄露的。（三）較大數(shù)據(jù)安全事件（III級）符合下列情形之一的，為較大數(shù)據(jù)安全事件：1、信息系統(tǒng)出現(xiàn)數(shù)據(jù)泄露、非法使用等情況造成我行經(jīng)濟損失、影響我行業(yè)務經(jīng)營，對我行聲譽造成影響，用戶產(chǎn)生嚴重負面影響的；2、2級數(shù)據(jù)丟失或被竊取，對社會穩(wěn)定、公眾利益和企業(yè)合法權益構成威脅；3、發(fā)生較大的公民個人信息泄露事件，造成五十條以上的用戶信息泄露的。（四）一般數(shù)據(jù)安全事件（IV級）符合下列情形之一的，為特別一般數(shù)據(jù)安全事件：1、1級數(shù)據(jù)丟失或被竊取，對企業(yè)合法權益構成威脅；發(fā)生公民個人信息泄露事件，造成五十條以內(nèi)的用戶信息泄露的。監(jiān)測與預警機制信息監(jiān)測與報告（一）加強重點網(wǎng)站、信息系統(tǒng)、數(shù)據(jù)的安全監(jiān)測，通過應用防火墻、入侵防御系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)、安全態(tài)勢感知系統(tǒng)、威脅情報系統(tǒng)等多種途徑監(jiān)測、收集漏洞、病毒、網(wǎng)絡攻擊最新動向等網(wǎng)絡安全隱患和預警信息，掌握違規(guī)操作賬號和人員及敏感信息泄露數(shù)量規(guī)模，對發(fā)生突發(fā)事件的可能性及其可能造成的影響進行分析評估。（二）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、數(shù)據(jù)安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月，便于開展日志分析，及時發(fā)現(xiàn)潛在的安全隱患。（三）建立數(shù)據(jù)安全事件報告和通報制度，發(fā)生數(shù)據(jù)安全事件的單位或者部門應當在數(shù)據(jù)安全事件發(fā)生后，立即向應急領導小組或應急執(zhí)行小組報告。對可能發(fā)生特別重大或重大突發(fā)事件的，應當立即向應急領導小組報告；對可能發(fā)生較大或一般突發(fā)事件的，應當立即向應急執(zhí)行小組報告。預警（一）應急執(zhí)行小組接到安全事件報告后,應當經(jīng)初步核實后,將有關情況及時向應急領導小組報告，并進一步進行情況綜合,研究分析可能造成損害的程度，提出初步行動對策或啟動安全事件應急預案，對網(wǎng)絡安全事件進行調(diào)查和評估，并采取技術措施和其他必要措施，消除安全隱患，防止危害擴大。（二）應急領導小組視情況召集協(xié)調(diào)會，決策行動方案，發(fā)布預警指示和命令。（三）發(fā)布預警信息時，應當包括事件級別、起始時間、可能的影響范圍和造成的危害、應采取的防范措施、時限要求和發(fā)布單位等，預警信息可通過公司郵件、短信、微信等多種形式。應急響應及處置事件判定當發(fā)現(xiàn)我行數(shù)據(jù)安全事件時，即刻向應急執(zhí)行小組報告，說明數(shù)據(jù)安全事件具體情況。應急執(zhí)行小組應根據(jù)“第三章事件分級”標準研究判定數(shù)據(jù)安全事件等級。預案啟動（1）判定為Ⅰ級和Ⅱ級事件的，應急執(zhí)行小組組長應即刻向應急領導小組匯報。由應急領導小組組長指示下達應急預案啟動指令，同時即刻組織協(xié)調(diào)應急團隊開展應急處置工作。其中，涉及特別重大或重大數(shù)據(jù)泄露事件的，應按相關要求同時上報監(jiān)管部門和公安機關等網(wǎng)絡安全主管部門。（2）判定為Ⅲ級和Ⅳ級事件的，由應急執(zhí)行小組組長或副組長下達應急預案啟動指令，迅速組織協(xié)調(diào)相關人員開展應急處置工作，并即刻上報應急領導小組。應急指揮（1）Ⅰ級和Ⅱ級事件，應由應急領導小組組長擔任總指揮。應急領導小組負責組織、協(xié)調(diào)應急工作小組做好具體應急處置工作。必要時，由應急領導小組與網(wǎng)信部門、公安機關和銀保監(jiān)等網(wǎng)絡安全主管部門積極溝通。由支持保障組和技術保障小組聯(lián)系協(xié)調(diào)第三方安全專家作為應急處置技術顧問。（2）Ⅲ級和Ⅳ級事件，由應急工作小組組長擔任總指揮。應急工作小組負責組織、協(xié)調(diào)，并做好具體應急處置工作。信息發(fā)布應急預案啟動后，應急領導小組確定新聞發(fā)布人，授權其再應急過程中統(tǒng)一對外信息發(fā)布口徑。應急處置（一）數(shù)據(jù)安全應急處置過程根據(jù)不同事件類型采取應急響應流程開展應急處置措施，具體參見“應急響應實施流程”。（二）依據(jù)《中華人民共和國網(wǎng)絡安全發(fā)》規(guī)定，如數(shù)據(jù)安全事件中涉及犯罪情形的，除做好相應的應急處理外，還應保護好案發(fā)現(xiàn)場，同時向公安機關報案。應急整體流程應急整體流程圖如下所示：數(shù)據(jù)安全應急響應流程圖如下：（一）準備階段建立必要的安全保障平臺，逐步實現(xiàn)對我行數(shù)據(jù)業(yè)務相關平臺系統(tǒng)運行和數(shù)據(jù)業(yè)務運營的安全監(jiān)控和防護。我行數(shù)據(jù)安全相關人員應認真落實數(shù)據(jù)安全日常監(jiān)測機制，對可能引發(fā)數(shù)據(jù)安全事件的行為進行預警，并及時向數(shù)據(jù)安全管理責任部門上報。1、事件發(fā)現(xiàn)數(shù)據(jù)安全事件報告來源主要有：a、傳統(tǒng)媒體、網(wǎng)絡媒體、外部預警平臺披露我公司存在敏感數(shù)據(jù)泄露；b、監(jiān)管機構、公安部等上級單位對我行發(fā)出數(shù)據(jù)泄露告警；c、我行監(jiān)測系統(tǒng)、審計平臺對用戶高頻訪問、違規(guī)下載等行為發(fā)出告警，經(jīng)審計核實存在異常；d、接到數(shù)據(jù)安全事件的人員應該詳細記錄當時的時間、發(fā)生可疑問題的信息系統(tǒng)、設備、具體表現(xiàn)。2、判斷和處置a、單位內(nèi)部報送在數(shù)據(jù)安全事件發(fā)生后，現(xiàn)場人員初步判斷數(shù)據(jù)安全事件級別，立刻向其部門領導報告，使其能夠確定事態(tài)的嚴重程度和下一步將要采取的行動。在評估完成后，應通知應急執(zhí)行小組?？梢酝ㄟ^各種方法完成通知，包括電話、短信、微信和電子郵件等。建議以電話的形式通知，具體可以參考呼叫樹。應急執(zhí)行小組接到處置請求后，立即召集技術保障組人員進行評審、協(xié)商，預斷事件的影響范圍及事件，并啟動應急預案，快速做出正確有效的應急響應方式（包括現(xiàn)場應急響應和遠程應急響應）。如涉及I級和II級的安全事件，應立即上報應急領導小組啟動應急預案。數(shù)據(jù)安全事件發(fā)生后，應將相關信息及時通報給受到負面影響的外部機構、互聯(lián)的單位系統(tǒng)以及重要用戶，同時根據(jù)應急響應的需要，應將相關信息準確通報給相關設備設施及服務提供商（包括電力等），以獲得適當?shù)膽表憫С?。對外信息通報應符合組織的對外信息發(fā)布策略。b、上級部門報送一旦發(fā)生本預案規(guī)定的數(shù)據(jù)安全事件，應當立即通過電話等方式向上級部門報告，不得遲報、謊報、瞞報、漏報。c、對外公開披露數(shù)據(jù)安全事件發(fā)生后，公司應根據(jù)相關法律法規(guī)要求及公司相關規(guī)定，并結合事件的嚴重程度，由綜合部及時通過新聞媒體等渠道對外公開發(fā)布相關信息。同時公司內(nèi)其他部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。（二）檢測階段由技術保障組開展如下工作：a、發(fā)現(xiàn)數(shù)據(jù)泄露告警或其他信渠道，包括但不限于WAF、IPS等系統(tǒng)告警、數(shù)據(jù)庫審計系統(tǒng)異常告警、態(tài)勢感知系統(tǒng)、DLP數(shù)據(jù)防泄漏系統(tǒng)、暗網(wǎng)情報等。b、收集和查看泄露數(shù)據(jù)屬于什么類型數(shù)據(jù)，泄露數(shù)據(jù)規(guī)模，判斷數(shù)據(jù)從哪個系統(tǒng)泄露。可通過調(diào)取網(wǎng)絡檢測設備，查看相關網(wǎng)絡連接進程，判斷數(shù)據(jù)泄露的時間范圍，并判斷是否數(shù)據(jù)仍在泄露中。c、確定數(shù)據(jù)泄露性質(zhì)和影響范圍：判斷數(shù)據(jù)泄露是人為操作，還是系統(tǒng)存在后門程序向外傳輸數(shù)據(jù)。對數(shù)據(jù)泄露可能的對象包括內(nèi)部人員、第三方人員、后門程序進行分析，收集數(shù)據(jù)泄露相關資料，核實數(shù)據(jù)已流傳到什么平臺，及時上報應急執(zhí)行小組或技術保障小組，方便應急執(zhí)行小組或應急領導小組協(xié)調(diào)第三方進行阻斷和刪除敏感外泄數(shù)據(jù)。d、確定安全事件的應急處理實施方案并跟蹤評估時間是否升級。（三）抑制和根除階段抑制根除是對攻擊所影響的范圍、程度進行扼制，通過采取各種方法，控制、阻斷。抑制階段主要是針對前面檢測階段發(fā)現(xiàn)的數(shù)據(jù)泄露對象，采取有針對性的安全補救工作，以防止攻擊進一步加深和擴大。1、工作流程a、應急處理方案獲得授權；b、技術保障和業(yè)務恢復人員共同測試應急處理方案驗證效果；c、技術保障和業(yè)務恢復人員共同測試應急處理方案是否影響系統(tǒng)運行，數(shù)據(jù)泄露是否得到阻斷；d、當實施應急處理方案失敗的情況下，采取應變和回退措施，并返回到檢測階段。2、可能出現(xiàn)事件的解決方法a、第三方平臺含有我行運營管理相關數(shù)據(jù)應急執(zhí)行小組或應急領導小組協(xié)調(diào)第三方平臺阻斷和刪除其平臺上保存我行運營管理相關數(shù)據(jù)。b、內(nèi)部人員賬號泄露或違規(guī)操作關閉違法違規(guī)人員的vpn、服務器、數(shù)據(jù)庫等賬號，約談當事人，及時阻斷數(shù)據(jù)外泄路徑。c、后門或其他數(shù)據(jù)導出立刻下線相關系統(tǒng)、切斷數(shù)據(jù)傳輸通道。只有在后續(xù)恢復階段對系統(tǒng)安全進行全面排查，修復加固后方可重新部署上線。（四）恢復階段本部分的主要內(nèi)容是將系統(tǒng)恢復到正常的任務狀態(tài)。在系統(tǒng)遭到入侵導致，攻擊者一定會對入侵的系統(tǒng)進行更改。同時，攻擊者還會想盡各種辦法新建部分高權限賬號，方便進行數(shù)據(jù)下載導出，從而達到自己獲取敏感數(shù)據(jù)的目的。本階段主要將入侵者新建賬號清除或關閉，必要時重置硬盤，重新部署應用系統(tǒng)。1、恢復階段流程a、根據(jù)應急處理方案中列明所有系統(tǒng)變化，并恢復所有系統(tǒng)，刪除泄露人員賬號，實施安全加固；b、若發(fā)現(xiàn)存在應急處理方案中未列明的系統(tǒng)漏洞，則備份重要數(shù)據(jù)，低級格式化磁盤；c、啟動重裝系統(tǒng)，并在重裝系統(tǒng)后嚴格按照系統(tǒng)的初始化安全策略安裝和加固?；謴碗A段流程圖如下：2、恢復操作說明a、刪除違規(guī)賬號b、進行安全加固c、恢復操作系統(tǒng)（五）總結階段1、媒體溝通數(shù)據(jù)安全事件處置過程中及完成后，根據(jù)數(shù)據(jù)安全事件的嚴重程度，綜合指揮組應及時安排綜合部向新聞媒體發(fā)布事件處置相關信息，并應嚴格按照公司相關規(guī)定和要求對外發(fā)布信息。與媒體或客戶溝通時，要從維護客戶關系、履行告知義務、維護客戶合法權益出發(fā)，運用公共關系策略、方法，加強與客戶、媒體的溝通，適時向公眾發(fā)布信息，消除或降低危機所造成的負面影響。針對社會公眾、媒體、股東、客戶等相關各方的答復預案，在數(shù)據(jù)安全事件發(fā)生時，及時、準確披露信息，防止因信息不對稱可能產(chǎn)生的負面影響。應急結束數(shù)據(jù)安全事件經(jīng)應急處置后，事件得以完全解決，業(yè)務完全恢復正常運行；或事態(tài)影響下降到可接受范圍內(nèi)，業(yè)務主要功能恢復正常運行，按“誰啟動、誰結束”的原則，由應急領導小組或應急執(zhí)行小組下達應急結束指令。事件調(diào)查和報告（一）數(shù)據(jù)安全事件報告線路與時限1、當發(fā)生特別重大數(shù)據(jù)安全事件（I級）時，應立即向直接管轄部門或單位負責人報告，須在事發(fā)后立即和每1小時向分行領導小組或應急領導小組匯報，啟動應急預案并指揮應急工作，同時向所在地監(jiān)管機構報告。至突發(fā)事件處理完畢前，每1小時向行領導、董事會、監(jiān)管機構匯報。事發(fā)后12小時提交《數(shù)據(jù)安全事件應急處置報告》。2、當發(fā)生重大數(shù)據(jù)安全事件（II級）時，應立即向直接管轄部門或單位負責人報告，須在事發(fā)后立即和每2小時向分行領導小組或應急領導小組匯報，啟動應急預案并指揮應急工作，同時向所在地監(jiān)管機構報告。至突發(fā)事件處理完畢前，每2小時向行領導、董事會、監(jiān)管機構匯報。事發(fā)后1個月內(nèi)提交《數(shù)據(jù)安全事件應急處置報告》。3、當發(fā)生重大數(shù)據(jù)安全事件（III級）和一般數(shù)據(jù)安全事件（IV級）時，應立即向直接管轄部門或單位負責人報告，須在事發(fā)后立即和每4小時向分行領導小組或應急領導小組匯報，啟動應急預案并指揮應急工作，同時向所在地監(jiān)管機構報告。至突發(fā)事件處理完畢前，每4小時向行領導、董事會、監(jiān)管機構匯報。事發(fā)后1個月內(nèi)提交《數(shù)據(jù)安全事件應急處置報告》。（二）報告形式與內(nèi)容當出現(xiàn)數(shù)據(jù)安全突發(fā)事件后，應及時提交《數(shù)據(jù)安全事件應急處置報告》。內(nèi)容應報告突發(fā)事件情況簡述、突發(fā)事件原因分析、突發(fā)事件相關人員/責任及處罰情況、后續(xù)整改措施和落實推進計劃等。后續(xù)工作（一）應急響應總結是應急處置之后應進行的工作，具體工作包括：1、分析和總結數(shù)據(jù)安全事件發(fā)生的原因；2、分析和總結數(shù)據(jù)安全事件的現(xiàn)象；3、評估系統(tǒng)平臺及數(shù)據(jù)的損害程度；4、評估數(shù)據(jù)安全事件導致的損失；5、分析和總結應急處置記錄；6、評審應急響應措施的效果和效率，并提出改進建議；7、評審應急預案的效果和效率，并提出改進建議。預防工作日常管理應急領導小組負責應急預案日常管理的統(tǒng)籌協(xié)調(diào)，組織各應急執(zhí)行小組做好網(wǎng)絡安全事件日常預防工作，落實網(wǎng)絡安全檢查、隱患排查、風險評估和容災備份，健全網(wǎng)絡安全信息通報機制，及時采取有效措施，減少和避免數(shù)據(jù)安全事件的發(fā)生及危害，提高應對數(shù)據(jù)安全事件的能力。宣傳和培訓（一）應急領導小組負責應急預案宣傳和培訓的統(tǒng)籌協(xié)調(diào)，組織各小組針對應急響應相關管理人員和技術人員做好宣傳和培訓工作。充分利用各種傳播媒介及其他有效的宣傳形式，如下發(fā)宣傳手冊、利用網(wǎng)絡、宣傳彩頁、期刊、視頻會議等手段開展應急預案的宣傳。1、定期組織應急響應相關管理人員和技術人員的應急預案培訓，同時在應急預案的首次制定頒布、修訂等關鍵節(jié)點都要組織開展應急預案的不定期培訓。尤其對于重要系統(tǒng)的專項應急預案在組織培訓的基礎上，應通過實際的應急響應演練過程，幫助相關人員不斷更新應急響應的知識和技能，提高各類人員的應急工作熟練程度，提高突發(fā)事件發(fā)生時應急響應的效率，并認真做好培訓效果的反饋和培訓計劃的更新。2、組織機關部門及人員進行應急預案普及宣傳培訓，加強數(shù)據(jù)安全事件預防和處置的有關法律、法規(guī)和政策的宣傳，開展數(shù)據(jù)安全基本知識和技能的宣傳活動，提高全體工作人員的應急意識和應急基本常識。應急演練應急領導小組負責應急演練統(tǒng)籌協(xié)調(diào)，組織各小組定期開展應急演練，檢驗和完善預案，提高實戰(zhàn)能力，每年至少組織一次預案演練。演練完成后應詳細記錄應急演練情況，并填寫《應急預案演練記錄表》。在更新應急預案后或者遇到可預見的安全事件時，應及時開展應急響應演練，以檢驗應急預案的正確性，不斷加強人員的應急安全意識和應急響應的熟練程度。管理和維護（一）應急領導小組負責應急預案管理和維護統(tǒng)籌協(xié)調(diào)，組織應急工作小組做好應急預案的維護工作，保證應急預案的有效性。（二）確保應急預案分發(fā)給所有應急相關人員，采用不同形式在多個地點進行保存，以確保預案在緊急情況下可用；預案在每次修訂后，確保所有的拷貝統(tǒng)一更新，按照有關規(guī)定及時銷毀舊版本；應急演練和數(shù)據(jù)安全事件發(fā)生后實際執(zhí)行時，對實際執(zhí)行過程進行詳細記錄，評估效果，對不足之處進行相應的修訂；應定期評審和修訂應急預案文檔，保證應急預案準確性和有效性。重要活動期間的預防措施應急領導小組統(tǒng)籌協(xié)調(diào)重要活動期間數(shù)據(jù)安全保障工作，要求各應急工作小組在重要活動期間進一步加強數(shù)據(jù)安全監(jiān)測和分析研判，加強數(shù)據(jù)安全事件的防范和應急響應，其中，核心網(wǎng)絡和重要信息系統(tǒng)的重點崗位應保持24小時值班，及時發(fā)現(xiàn)和處置數(shù)據(jù)安全事件隱患。應急保障人力保障（一）應急領導小組明確應急保障工作組織體系和人員，明確領導責任，落實崗位責任制。（二）加強應急人才隊伍建設，確保應急處置人員具備應急工作必要的技術能力，定期組織人員培訓以滿足應急工作的要求，并通過應急演練，保證應急處置人員的熟練度；建立長效的應急人員保障機制，包括設立專門的應急管理崗位。（三）建立應急技術專家隊伍，為數(shù)據(jù)安全事件的預防和處置提供技術咨詢和決策建議。應急響應專家隊伍成員可由內(nèi)部和外部對應急響應工作經(jīng)驗豐富或數(shù)據(jù)安全應急方面資深人員組成。物質(zhì)保障應急領導小組統(tǒng)籌協(xié)調(diào)技術保障小組或支持保障小組具體落實物質(zhì)保障工作，加強對數(shù)據(jù)安全應急裝備、工具的儲備，及時調(diào)整、升級軟件硬件工具，不斷增強應急技術支撐能力。物質(zhì)保障需求由相關技術保障小組或支持保障小組提出，由采購