广西东兴国家重点开发开放试验区管理委员会政务数据安全事件应急预案（试行）

根据自治区数字广西建设领导小组办公室《关于做好党的二十大数据安全保障工作的通知》（桂数广办发〔2022〕34号）要求，为切实做好党的二十大期间以及之后东兴试验区管委会数据安全保障工作，特制定本应急预案。

一、成立应急处置领导小组

根据网络安全事件应急工作要求，成立东兴试验区管委会政务数据安全事件应急领导小组（以下简称“应急领导小组”），负责政务数据安全事件应急处置组织、协调和领导工作。

组  长：陈建林 管委会副主任、工委委员

副组长：钱天鹏 工管委办公室主任

成  员：

        叶乘伟 管委会发展和改革局局长

        彭艳华 管委会综合服务中心主任

        王靖武 工管委办公室副主任

        黄毓行 管委会规划建设处副处长

        刘秋艳 管委会区域合作局副局长

领导小组办公室设在管委会办公室，负责统筹做好政务数据安全日常管理工作，刘凯、覃默、戚光东、温志华同志兼任数据安全员。各处室（局、中心）领导负责落实做好本部门数据安全管理工作并指定一名在职在编干部具体负责。

（一）应急领导小组的主要职责：

（1）负责管委会政务数据安全管理工作；

（2）定期召开数据安全领导小组会议，分析可能存在的风险隐患，讨论解决方法；

（3）制定单位政务数据安全管理制度，并监督制度日常落实情况；

（4）组织人员开展应急演练；

（5）判定政务数据安全事件等级，并适时启动应预案处置突发安全事件，根据事件等级和影响及时向网信部门、数据资源管理管委会和公安机关等网络安全主管部门汇报情况。

（二）各处室（局、中心）主要职责：

（1）监测各自负责的政务系统和数据安全状况；

（2）及时上报发现的数据安全事件；

（3）提供应急所需人力、物力等资源保障；

（4）做好秩序维护、安全保障、支援等工作。

二、政务数据安全事件分级和分类

依据《中华人民共和国网络安全法》《国家网络安全事件应急预案》（中网办发文〔2017〕4号）、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《信息安全技术网络安全事件分类分级指南》（GBZ 20986-2007）、《信息安全技术 信息安全应急响应计划规范》（GBT 24363-2009）等相关规定，对政务数据安全事件进行分级和分类。

（一）事件分级

政务数据安全事件分为四级：特别重大数据安全事件（Ⅰ级）、重大数据安全事件（Ⅱ级）、较大数据安全事件（Ⅲ级）、一般数据安全事件（Ⅳ级），Ⅰ级为最高级。

1.特别重大数据安全事件（Ⅰ级）

重大事件是指能够导致特别严重影响或破坏的网络安全事件，包括以下情况：

（1）对外提供服务的网站类应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的；

（2）造成5万条及以上数据泄露；

（3）造成等级保护定级为三级及以上信息系统总量的50%及以上范围处于中断服务状态；

（4）造成等级保护定级为二级信息系统总量的80%以上范围处于中断服务状态；

（5）其他造成特别重大损失或特别重大的不良影响的安全事件。

2.重大网络安全事件（Ⅱ级）

重大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：

（1）造成5万条以下5千条及以上数据泄露；

（2）造成等级保护定级为三级及以上信息系统总量的20%及以上范围处于中断服务状态；

（3）造成等级保护定级为二级信息系统总量的60%以上80%以下范围处于中断服务状态；

（4）对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重的经济和社会影响；

（5）其他造成重大损失或重大的不良影响的安全事件；

（6）当Ⅱ级网络安全事件12小时内未完成处置，则升级为Ⅰ级网络安全事件。

3.较大网络安全事件（Ⅲ级）

较大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：

（1）造成等级保护定级为三级及以上信息系统总量的20%以下范围处于中断服务状态；

（2）造成等级保护定级为二级信息系统总量的30%以上及60%以下范围处于中断服务状态；

（3）对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成一般的经济和社会影响；

（4）造成5千条以下50条及以上数据泄露；

（5）其他造成严重损失或严重的不良影响的安全事件；

（6）当Ⅲ网络安全事件24小时内未完成处置，则升级为Ⅱ级网络安全事件。

4.一般网络安全事件（Ⅳ级）

一般事件是指能够导致轻微影响或破坏的网络安全事件，包括以下情况：

（1）造成等级保护定级为二级信息系统总量的30%以下范围处于中断服务状态；

（2）造成50条及以下数据泄露；

（3）其他造成一般损失或一般的不良影响的安全事件；

（4）当Ⅳ级网络安全事件48小时内未被完成处置，则升级为Ⅲ级网络安全事件。

（二）事件分类

综合考虑政务数据安全事件的起因、表现、结果等，政务数据安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等5个基本分类，每个基本分类分别包括若干个子类。

1.数据破坏事件

数据破坏事件是指通过网络或其他技术手段，造成政务系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄漏事件、数据窃取事件、数据丢失事件和其它数据破坏事件。

2.信息内容安全事件

信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的网络安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的网络安全事件；组织串连、煽动集会游行的网络安全事件；其他信息内容安全事件。

3.设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件，以及人为的使用非技术手段有意或无意的造成政务系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。

4.灾害性事件

灾害性事件是指由于不可抗力对政务系统造成物理破坏而导致的政务数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的政务数据安全事件。

5.其他事件

其他事件类别是指不能归为以上基本分类的网络安全事件。

三、主要工作任务

（一）应急响应

1.黑客攻击事故应急处置措施

由安全员实施，实施步骤如下：

（1）发生黑客攻击事故时，首先通知安全员；

（2）隔离被攻击电脑；

（3）更改密码，改变安全策略；

（4）清查系统，防止黑客留下后门程序；

（5）及时上报处置情况和处置结果。

2.病毒事故应急处置措施

由安全员实施，实施步骤如下：

（1）发生病毒事故应首先通知安全员；

（2）安全员首先锁定病毒源或病毒发作区域，是否有防火墙，及时对病毒发作区域进行隔离，防止病毒扩散；

（3）启动查杀病毒系统。

3.政务系统安全事故的应急处置措施

由政务系统管理员实施，实施步骤如下：

（1）政务系统发生安全事故时，应首先通知该系统管理员；

（2）政务系统管理员应立即通知政务系统服务供应商停止应用系统运行，协调系统开发商研究解决办法。

4.信息失密、泄密事故应急处置措施

此类事故由办公室负责，实施步骤如下：

（1）发生失密、泄密事故时，首先通知办公室保密员；

（2）保密员暂停涉密计算机及有关设备运行，并立即向单位主要领导报告，同时向相关管理部门报案。

5.网络线路突然中断事故应急处置措施

由安全员及政务系统管理员共同实施，实施步骤如下：

（1）发生网络中断事故时，首先通知安全员；

（2）安全员判断事故节点，查明故障原因，涉及政务系统中断，由政务系统管理员联系服务供应商，查明故障原因；

（3）启动备用线路或搭建临时线路；

（4）抢修线路。

6.不可抗拒因素引发的重大、特大事故应急处置措施

不可抗拒因素引发的事故主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力导致的信息安全事故。由安全员及政务系统管理员实施，实施步骤如下：

（1）定期做好数据备份，防止因事故造成政务数据丢失；

（2）及时切断事故区域设备电源，政务系统由系统管理员通知服务供应商做好相关防护工作，防止硬件设施因事故损坏；

（3）在保证人员安全的前提下，及时组织相关人员将硬件设施转移到安全区域。

7.事件判定

工作人员发现政务数据安全事件时，即刻向应急领导小组报告，说明数据安全事件具体情况。应急领导小组应根据“2.1事件分级”标准研究判定数据安全事件等级。

8.预案启动

（1）判定为Ⅰ级和Ⅱ级事件的，由应急领导小组组长指示下达应急预案启动指令，同时即刻组织数据安全部门开展应急处置工作。其中，涉及政治类影响事件的，应按相关要求同时上报网信部门、数据资源管理部门和公安机关等网络安全主管部门。

（2）判定为Ⅲ级和Ⅳ级事件的，由应急领导小组组长或副组长下达应急预案启动指令，数据安全管理部门迅速组织协调相关人员开展应急处置工作，并同时上报数据资源管理部门。

9.应急指挥

（1）Ⅰ级和Ⅱ级事件，应由应急领导小组组长担任总指挥。应急领导小组负责组织、协调数据安全管理部门做好具体应急处置工作。必要时，由应急领导小组出面与网信部门、公安机关和数据资源管理部门等网络安全主管部门积极沟通，联系协调第三方安全专家作为应急处置技术顾问。

（2）Ⅲ级和Ⅳ级事件，由应急领导小组组长或者副组长担任总指挥。数据安全管理部门负责组织、协调，并做好具体应急处置工作。

10.应急处置

数据安全管理部门在应急处置工作中应通过口头、电话、或书面方式定时向应急领导小组汇报应急处置工作进展情况。

依据《中华人民共和国网络安全法》规定，如遇数据安全事件中涉及犯罪情形的，除做好相应的应急处理外，还应保护好案发现场，同时向公安机关报案。

政务数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施：

（1）数据破坏事件

①及时从备份数据中恢复受破坏的最新信息数据；

②检查恢复后的系统状态是否正常运行；

③分析信息数据受破坏的原因，人为恶意破坏的应进行追溯，系统故障导致的应分析系统软件故障点，及时联系软件开发商进行修复。

（2）信息内容安全事件

①暂时切断网站对外服务；

②网站维护人员即刻登录后台，上传换回原始页面；

③网站、网页由安全监控平台随时密切监视信息内容；

④保存有关日志审计记录；

⑤备份不良信息出现的目录。

（3）设备设施故障事件

①分析、确认故障设备，准确定位设备位置；

②切换备用设备；

③联系设备供应商分析设备故障原因，及时进行修理，涉外修理的应清理数据；

④无法修理的应采购新的设备，保证设备冗余状态。

（4）灾害性事件

①评估灾害性事件对机房、政务系统的影响程度；

②受灾机房网络及信息系统受破坏不能提供服务的，应及时启动容灾机房业务系统；

③回收受灾机房的数据处理、存储设施，无法使用的进行彻底数据清理；

④重建受灾机房。

数据安全事件应急处置完毕后，政务系统恢复重建工作由数据安全管理部门会同相关技术人员负责组织制定恢复、整改或重建方案。

11.结束响应

数据安全事件经应急处置后，事件得以完全解决，政务系统完全恢复正常运行，政务数据恢复完好；或事态影响下降到可接受范围内，政务系统主要功能恢复正常运行，按“谁启动、谁结束”的原则，由数据安全事件应急总指挥下达应急结束指令。

12.事件调查和报告

数据安全管理部门应对事件进行研究分析和调查处理，查明数据安全事件的性质、原因、经过、危害和影响，提出调查处理建议和今后同类事件的安全防范措施，以防止同类事件再次发生，同时，由数据安全管理部门提出对具体责任人的处罚决定，如涉及违法行为的，应依据法律、法规，应移交相关部门处理。事件调查完成后，应形成数据安全事件调查结果报告。

数据安全事件调查和报告程序如下：

（1）Ⅰ级和Ⅱ级数据安全事件由应急领导小组副组长组织协调，进行事件调查，将调查结果向应急领导小组组长报告。同时，应急领导小组组长应根据应急领导小组办公会议决议，视情况上报区网信部门、公安部门和数据资源管理部门，报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

（2）对于Ⅲ级和Ⅳ级数据安全事件由数据安全管理部门组织协调，进行事件调查，将调查结果上报应急领导小组。

（二）应急演练

1.日常管理

数据安全管理部门负责政务数据安全日常管理工作，落实安全防范措施，定期组织网络安全检查、排查安全隐患，根据区网络安全主管部门的安全预警通报，及时发布安全预警信息，切实提高应对政务数据安全事件的能力，降低政务数据安全风险。

2.应急演练

应急领导小组副组长负责应急演练统筹协调，组织全管委会定期开展应急演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练，必要时可邀请区数据资源管理管委会专业人员指导演练，提高演练的针对性，不断加强人员的应急安全意识和应急响应的熟练程度。

3.教育培训

应急领导小组应充分重视政务数据安全的教育培训工作，每年定期组织开展相关教育活动，安排相关人员参加网络安全管理部门组织的培训活动。

数据安全管理部门应充分利用各种传播媒介及其他有效的宣传形式，充分利用各种手段开展政务数据安全教育工作，提高全管委会工作人员应对网络安全事件的能力。