江蘇省網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案第一章總則

1.編制目的

為了提高江蘇省網(wǎng)絡(luò)安全事件的應(yīng)急處置能力，有效預(yù)防和應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)社會(huì)公共利益和人民群眾生命財(cái)產(chǎn)安全，特制定本預(yù)案。本預(yù)案旨在明確網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)流程、責(zé)任分工和保障措施，確保在網(wǎng)絡(luò)安全事件發(fā)生時(shí)能夠迅速、有序地進(jìn)行處置，最大限度地減少損失。

2.編制依據(jù)

本預(yù)案依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法》《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等相關(guān)法律法規(guī)和規(guī)章制度編制，并結(jié)合江蘇省實(shí)際情況制定。

3.適用范圍

本預(yù)案適用于江蘇省行政區(qū)域內(nèi)發(fā)生的各類網(wǎng)絡(luò)安全事件，包括但不限于網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)詐騙、信息泄露、關(guān)鍵信息基礎(chǔ)設(shè)施中斷等事件。本預(yù)案適用于各級(jí)政府部門、企事業(yè)單位、社會(huì)組織和個(gè)人在網(wǎng)絡(luò)安全事件應(yīng)急處置中的行動(dòng)指南。

4.工作原則

（1）**預(yù)防為主，防治結(jié)合**。堅(jiān)持預(yù)防為主、防治結(jié)合的原則，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警，及時(shí)發(fā)現(xiàn)和處置潛在風(fēng)險(xiǎn)。

（2）**統(tǒng)一領(lǐng)導(dǎo)，分級(jí)負(fù)責(zé)**。在省委、省政府的統(tǒng)一領(lǐng)導(dǎo)下，各級(jí)政府部門、企事業(yè)單位按照職責(zé)分工，分級(jí)負(fù)責(zé)，協(xié)同配合，形成應(yīng)急處置合力。

（3）**快速響應(yīng)，有效處置**。一旦發(fā)生網(wǎng)絡(luò)安全事件，迅速啟動(dòng)應(yīng)急響應(yīng)機(jī)制，采取有效措施，控制事態(tài)發(fā)展，減少損失。

（4）**公開透明，信息共享**。及時(shí)發(fā)布網(wǎng)絡(luò)安全事件信息，加強(qiáng)部門間、區(qū)域間信息共享，提高應(yīng)急處置效率。

5.事件分類

根據(jù)網(wǎng)絡(luò)安全事件的性質(zhì)、影響范圍和危害程度，將網(wǎng)絡(luò)安全事件分為以下四類：

（1）**特別重大事件**。涉及國(guó)家級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施，造成重大經(jīng)濟(jì)損失或嚴(yán)重社會(huì)影響的網(wǎng)絡(luò)安全事件。

（2）**重大事件**。涉及省級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施，造成較大經(jīng)濟(jì)損失或較重社會(huì)影響的網(wǎng)絡(luò)安全事件。

（3）**較大事件**。涉及重要信息系統(tǒng)或關(guān)鍵信息基礎(chǔ)設(shè)施，造成一定經(jīng)濟(jì)損失或社會(huì)影響的網(wǎng)絡(luò)安全事件。

（4）**一般事件**。涉及一般信息系統(tǒng)或非關(guān)鍵信息基礎(chǔ)設(shè)施，造成較小經(jīng)濟(jì)損失或社會(huì)影響的網(wǎng)絡(luò)安全事件。

第二章組織機(jī)構(gòu)與職責(zé)

1.組織機(jī)構(gòu)

江蘇省成立網(wǎng)絡(luò)安全事件應(yīng)急指揮部（以下簡(jiǎn)稱“指揮部”），負(fù)責(zé)全省網(wǎng)絡(luò)安全事件的統(tǒng)一領(lǐng)導(dǎo)和指揮。指揮部由省政府分管領(lǐng)導(dǎo)擔(dān)任總指揮，省網(wǎng)信辦、省公安廳、省工信廳、省通管局等相關(guān)部門負(fù)責(zé)人擔(dān)任副總指揮。指揮部下設(shè)辦公室，負(fù)責(zé)日常工作和協(xié)調(diào)指揮。各設(shè)區(qū)市、縣（市、區(qū)）也成立相應(yīng)的網(wǎng)絡(luò)安全事件應(yīng)急指揮部，負(fù)責(zé)本地區(qū)的應(yīng)急處置工作。

2.指揮部職責(zé)

（1）**統(tǒng)一指揮**。負(fù)責(zé)網(wǎng)絡(luò)安全事件的總體指揮和協(xié)調(diào)，制定應(yīng)急處置方案，決定重大應(yīng)急措施。

（2）**信息匯總**。收集、分析、研判網(wǎng)絡(luò)安全事件信息，及時(shí)向省政府和上級(jí)部門報(bào)告。

（3）**資源調(diào)配**。統(tǒng)籌協(xié)調(diào)各方資源，包括人力、物力、財(cái)力等，保障應(yīng)急處置工作順利進(jìn)行。

（4）**宣傳引導(dǎo)**。發(fā)布網(wǎng)絡(luò)安全事件信息，引導(dǎo)輿論，維護(hù)社會(huì)穩(wěn)定。

3.成員單位職責(zé)

（1）**省網(wǎng)信辦**。負(fù)責(zé)網(wǎng)絡(luò)安全事件的綜合協(xié)調(diào)和指導(dǎo)，組織制定網(wǎng)絡(luò)安全政策法規(guī)，監(jiān)督網(wǎng)絡(luò)安全事件應(yīng)急處置工作。

（2）**省公安廳**。負(fù)責(zé)網(wǎng)絡(luò)安全事件的偵查和打擊，維護(hù)網(wǎng)絡(luò)空間安全秩序，依法處置網(wǎng)絡(luò)違法犯罪行為。

（3）**省工信廳**。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，指導(dǎo)企事業(yè)單位加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，協(xié)調(diào)通信保障工作。

（4）**省通管局**。負(fù)責(zé)通信網(wǎng)絡(luò)的運(yùn)行維護(hù)，保障通信暢通，協(xié)助處置網(wǎng)絡(luò)安全事件對(duì)通信網(wǎng)絡(luò)的影響。

（5）**省教育廳**。負(fù)責(zé)教育系統(tǒng)的網(wǎng)絡(luò)安全事件應(yīng)急處置，指導(dǎo)學(xué)校加強(qiáng)網(wǎng)絡(luò)安全教育和管理。

（6）**省衛(wèi)健委**。負(fù)責(zé)醫(yī)療衛(wèi)生系統(tǒng)的網(wǎng)絡(luò)安全事件應(yīng)急處置，保障醫(yī)療信息系統(tǒng)安全穩(wěn)定運(yùn)行。

（7）**省金融監(jiān)管局**。負(fù)責(zé)金融系統(tǒng)的網(wǎng)絡(luò)安全事件應(yīng)急處置，指導(dǎo)金融機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)。

（8）**其他相關(guān)部門**。按照職責(zé)分工，做好網(wǎng)絡(luò)安全事件的應(yīng)急處置工作。

4.地方政府職責(zé)

各設(shè)區(qū)市、縣（市、區(qū)）人民政府負(fù)責(zé)本地區(qū)的網(wǎng)絡(luò)安全事件應(yīng)急處置工作，建立健全本地應(yīng)急指揮體系，明確職責(zé)分工，加強(qiáng)應(yīng)急演練，提高應(yīng)急處置能力。

5.企業(yè)與社會(huì)組織職責(zé)

企事業(yè)單位是社會(huì)網(wǎng)絡(luò)安全的重要責(zé)任主體，應(yīng)建立健全網(wǎng)絡(luò)安全管理制度，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，制定應(yīng)急預(yù)案，定期開展應(yīng)急演練。社會(huì)組織應(yīng)積極配合政府部門，參與網(wǎng)絡(luò)安全事件的應(yīng)急處置工作。

第三章預(yù)防與監(jiān)測(cè)

1.預(yù)防措施

為了防止網(wǎng)絡(luò)安全事件的發(fā)生，各級(jí)政府部門、企事業(yè)單位和個(gè)人都要做好預(yù)防工作。

（1）**加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育**。通過(guò)各種渠道，比如學(xué)校教育、企業(yè)培訓(xùn)、媒體宣傳等，提高大家的網(wǎng)絡(luò)安全意識(shí)，讓大家知道網(wǎng)絡(luò)安全的重要性，學(xué)會(huì)如何保護(hù)自己的信息和設(shè)備。

（2）**定期更新軟件和系統(tǒng)**。軟件和系統(tǒng)更新通常會(huì)修復(fù)已知的漏洞，所以要及時(shí)更新操作系統(tǒng)、瀏覽器、辦公軟件等，避免黑客利用漏洞進(jìn)行攻擊。

（3）**設(shè)置強(qiáng)密碼**。強(qiáng)密碼是指長(zhǎng)度足夠長(zhǎng)、包含大小寫字母、數(shù)字和符號(hào)的密碼，不容易被猜到或破解。要避免使用同一個(gè)密碼登錄多個(gè)賬號(hào)，定期更換密碼。

（4）**安裝安全防護(hù)軟件**。在電腦和手機(jī)上安裝殺毒軟件、防火墻等安全防護(hù)軟件，可以幫助檢測(cè)和阻止惡意軟件的攻擊。

（5）**加強(qiáng)網(wǎng)絡(luò)設(shè)備安全**。路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備要設(shè)置好密碼，定期檢查設(shè)備運(yùn)行狀態(tài)，防止被非法控制。

（6）**數(shù)據(jù)備份**。重要數(shù)據(jù)要定期備份，可以保存在不同的地方，比如硬盤、云存儲(chǔ)等，以防數(shù)據(jù)丟失。

2.監(jiān)測(cè)機(jī)制

建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)機(jī)制，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件。

（1）**建立網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)**。依托現(xiàn)有的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，建立覆蓋全省的網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量、系統(tǒng)日志、安全事件等，及時(shí)發(fā)現(xiàn)異常情況。

（2）**加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)測(cè)**。對(duì)電力、通信、金融、交通等關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行重點(diǎn)監(jiān)測(cè)，確保其安全穩(wěn)定運(yùn)行。

（3）**開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估**。定期對(duì)重點(diǎn)領(lǐng)域、重要信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，識(shí)別潛在的安全風(fēng)險(xiǎn)，制定相應(yīng)的防范措施。

（4）**建立信息通報(bào)機(jī)制**。各級(jí)政府部門、企事業(yè)單位要建立信息通報(bào)機(jī)制，及時(shí)通報(bào)發(fā)現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件信息，共同防范網(wǎng)絡(luò)安全威脅。

（5）**引入網(wǎng)絡(luò)安全威脅情報(bào)**。關(guān)注國(guó)內(nèi)外網(wǎng)絡(luò)安全威脅情報(bào)，及時(shí)了解最新的網(wǎng)絡(luò)安全威脅和攻擊手法，提高防范能力。

3.預(yù)警發(fā)布

根據(jù)監(jiān)測(cè)到的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件信息，及時(shí)發(fā)布預(yù)警信息，提醒相關(guān)單位和人員做好防范工作。

（1）**預(yù)警分級(jí)**。根據(jù)網(wǎng)絡(luò)安全事件的嚴(yán)重程度，將預(yù)警信息分為不同級(jí)別，比如特別嚴(yán)重、嚴(yán)重、較重、一般等，以便相關(guān)單位根據(jù)預(yù)警級(jí)別采取相應(yīng)的防范措施。

（2）**預(yù)警發(fā)布渠道**。通過(guò)政府網(wǎng)站、社交媒體、短信、手機(jī)APP等多種渠道發(fā)布預(yù)警信息，確保預(yù)警信息能夠及時(shí)到達(dá)目標(biāo)受眾。

（3）**預(yù)警信息內(nèi)容**。預(yù)警信息應(yīng)包括事件名稱、發(fā)生時(shí)間、影響范圍、防范措施等內(nèi)容，以便相關(guān)單位了解情況并采取行動(dòng)。

（4）**預(yù)警解除**。當(dāng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或事件得到控制后，應(yīng)及時(shí)解除預(yù)警，并向相關(guān)單位通報(bào)情況。

第四章監(jiān)測(cè)預(yù)警

1.監(jiān)測(cè)體系

要建立一個(gè)覆蓋全江蘇省的網(wǎng)絡(luò)安全監(jiān)測(cè)體系，就像給全省的網(wǎng)絡(luò)裝上無(wú)數(shù)的“眼睛”和“耳朵”，隨時(shí)盯著看，發(fā)現(xiàn)問(wèn)題馬上發(fā)現(xiàn)。

（1）**建設(shè)監(jiān)測(cè)平臺(tái)**。省里要建一個(gè)中心化的網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，整合各方面的監(jiān)測(cè)數(shù)據(jù)，比如省網(wǎng)信辦、省公安廳、省工信廳等部門的監(jiān)測(cè)信息，還有重要的通信運(yùn)營(yíng)商、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位的數(shù)據(jù)，統(tǒng)一分析研判。這個(gè)平臺(tái)要能實(shí)時(shí)監(jiān)控全省的網(wǎng)絡(luò)流量、系統(tǒng)運(yùn)行狀態(tài)、安全設(shè)備告警等信息，一旦發(fā)現(xiàn)異常情況，比如突然出現(xiàn)大量的攻擊流量、某個(gè)系統(tǒng)頻繁出現(xiàn)故障、檢測(cè)到惡意軟件等，能立即報(bào)警。

（2）**重點(diǎn)對(duì)象監(jiān)測(cè)**。要對(duì)那些特別重要的系統(tǒng)進(jìn)行重點(diǎn)監(jiān)測(cè)，比如政府網(wǎng)站、金融系統(tǒng)、電力系統(tǒng)、通信網(wǎng)絡(luò)、交通調(diào)度系統(tǒng)等關(guān)鍵信息基礎(chǔ)設(shè)施，不能放過(guò)任何一個(gè)細(xì)節(jié)。要部署專門的監(jiān)測(cè)工具和人員，加強(qiáng)日常巡檢，確保這些重要系統(tǒng)的安全。

（3）**威脅情報(bào)共享**。要關(guān)注全國(guó)乃至全球的網(wǎng)絡(luò)安全威脅信息，了解黑客們都在搞什么名堂，用了什么新的攻擊手段。要建立機(jī)制，及時(shí)獲取和分享這些威脅情報(bào)，讓大家都知道最新的風(fēng)險(xiǎn)，提前做好防范。

2.預(yù)警發(fā)布

發(fā)現(xiàn)了問(wèn)題或者風(fēng)險(xiǎn)，光知道還不夠，還得告訴需要知道的人，讓大家有準(zhǔn)備，這就是預(yù)警。

（1）**預(yù)警分級(jí)**。網(wǎng)絡(luò)安全事件或者風(fēng)險(xiǎn)的嚴(yán)重程度不一樣，預(yù)警也要分等級(jí)。比如，可能分為特別嚴(yán)重、嚴(yán)重、較重、一般這幾種級(jí)別。級(jí)別越高的，意味著事情越緊急，需要采取的措施越堅(jiān)決。這樣不同單位就能根據(jù)預(yù)警級(jí)別，知道該重視到什么程度，該采取什么樣的應(yīng)對(duì)措施。

（2）**發(fā)布渠道**。預(yù)警信息要盡快發(fā)出去，讓大家知道。要通過(guò)多種渠道發(fā)布，不能光靠一個(gè)方式。比如，可以在省政府官網(wǎng)、省網(wǎng)信辦官網(wǎng)發(fā)布，用微博、微信公眾號(hào)推送，可以發(fā)短信給相關(guān)單位負(fù)責(zé)人，也可以通過(guò)專門的APP通知。總之，要讓該看到的人都能看到。

（3）**發(fā)布內(nèi)容**。預(yù)警信息要說(shuō)明白是什么事情，發(fā)生在哪里（如果可以公開的話），可能造成什么影響，建議大家或者要求各單位做什么（比如馬上檢查一下系統(tǒng)、加強(qiáng)某個(gè)方面的防護(hù)、暫時(shí)關(guān)閉某個(gè)服務(wù)等）。信息要簡(jiǎn)潔明了，讓人一看就懂。

（4）**預(yù)警解除**。如果發(fā)布預(yù)警是因?yàn)槟硞€(gè)事件或者風(fēng)險(xiǎn)已經(jīng)處理好了，或者情況不嚴(yán)重了，就要及時(shí)發(fā)布解除預(yù)警的通知，告訴大家可以恢復(fù)正常了。不能預(yù)警一直掛在那里，造成不必要的恐慌或者讓防范措施一直持續(xù)。

第五章應(yīng)急響應(yīng)

1.響應(yīng)分級(jí)

網(wǎng)絡(luò)安全事件發(fā)生后，要根據(jù)事件的嚴(yán)重程度和影響范圍，決定啟動(dòng)哪個(gè)級(jí)別的應(yīng)急響應(yīng)。響應(yīng)分級(jí)和事件分類是對(duì)應(yīng)的，事件分幾級(jí)，響應(yīng)也分幾級(jí)，這樣才匹配。

（1）**特別重大事件響應(yīng)**。這是最嚴(yán)重的情況，比如攻擊了國(guó)家級(jí)的關(guān)鍵信息基礎(chǔ)設(shè)施，造成了巨大的經(jīng)濟(jì)損失或者嚴(yán)重的社會(huì)影響。發(fā)生這種事件，要立即啟動(dòng)最高級(jí)別的應(yīng)急響應(yīng)，省政府主要領(lǐng)導(dǎo)會(huì)親自指揮，調(diào)動(dòng)全省的力量去處置。

（2）**重大事件響應(yīng)**。這種情況也比較嚴(yán)重，比如攻擊了省級(jí)的關(guān)鍵信息基礎(chǔ)設(shè)施，造成了較大的損失或影響。要啟動(dòng)省級(jí)的應(yīng)急響應(yīng)，省里的相關(guān)領(lǐng)導(dǎo)牽頭，組織省級(jí)的應(yīng)急隊(duì)伍和資源去處理。

（3）**較大事件響應(yīng)**。這種情況影響范圍比較大，或者對(duì)重要系統(tǒng)造成了影響，但還沒(méi)到特別嚴(yán)重的程度。要啟動(dòng)設(shè)區(qū)市級(jí)或者省級(jí)的應(yīng)急響應(yīng)，由相應(yīng)的負(fù)責(zé)人指揮，調(diào)動(dòng)本地區(qū)或省里的力量去應(yīng)對(duì)。

（4）**一般事件響應(yīng)**。這是相對(duì)較輕的事件，可能只影響某個(gè)單位或者某個(gè)小范圍的系統(tǒng)?？梢杂墒掳l(fā)單位自行啟動(dòng)應(yīng)急響應(yīng)，或者由縣（市、區(qū)）級(jí)政府協(xié)調(diào)處理。

2.響應(yīng)程序

啟動(dòng)應(yīng)急響應(yīng)后，要按照一定的步驟來(lái)行動(dòng)，不能手忙腳亂。

（1）**先期處置**。事件發(fā)生的單位，第一個(gè)要行動(dòng)起來(lái)，不能等。要立即采取措施，控制住事態(tài)，防止事情擴(kuò)大。比如，如果網(wǎng)站被攻擊了，要趕緊切掉，防止繼續(xù)泄露信息；如果系統(tǒng)癱瘓了，要嘗試恢復(fù)備份。同時(shí)，要馬上向上一級(jí)報(bào)告情況。

（2）**信息報(bào)告**。要按照規(guī)定，及時(shí)、準(zhǔn)確、完整地向指揮部報(bào)告事件的情況，包括發(fā)生了什么、影響范圍、已經(jīng)采取了什么措施、造成了什么損失等。報(bào)告要快，信息要準(zhǔn)。

（3）**指揮協(xié)調(diào)**。指揮部要根據(jù)事件的情況，發(fā)布命令，協(xié)調(diào)各方力量，統(tǒng)一行動(dòng)。相關(guān)部門要服從指揮，落實(shí)任務(wù)。要成立現(xiàn)場(chǎng)指揮部，如果事件發(fā)生在某個(gè)地方，要在現(xiàn)場(chǎng)組織指揮。

（4）**采取處置措施**。根據(jù)事件的不同類型，采取不同的應(yīng)對(duì)措施。比如，如果是網(wǎng)絡(luò)攻擊，要組織技術(shù)力量進(jìn)行反制，找出攻擊源，清除惡意程序；如果是病毒爆發(fā)，要全網(wǎng)查殺病毒，修復(fù)系統(tǒng)漏洞；如果是信息泄露，要盡快切斷泄密途徑，通知受影響的單位和個(gè)人。

（5）**后期處置**。事件處理完畢后，要進(jìn)行善后工作。比如，調(diào)查事件原因，評(píng)估損失，修復(fù)受損系統(tǒng)，總結(jié)經(jīng)驗(yàn)教訓(xùn)，落實(shí)整改措施，防止類似事件再次發(fā)生。

3.應(yīng)急結(jié)束

當(dāng)網(wǎng)絡(luò)安全事件得到控制，不再進(jìn)一步發(fā)展，造成的危害已經(jīng)消除，或者可以預(yù)見不會(huì)再次發(fā)生時(shí)，就可以結(jié)束應(yīng)急響應(yīng)了。

（1）**評(píng)估確認(rèn)**。要由指揮部或者指定的專家組，對(duì)事件的處理情況和發(fā)展趨勢(shì)進(jìn)行評(píng)估，確認(rèn)事件已經(jīng)得到有效控制，可以結(jié)束響應(yīng)。不能自己感覺(jué)沒(méi)事就結(jié)束，要有一個(gè)確認(rèn)的流程。

（2）**報(bào)批**。決定結(jié)束應(yīng)急響應(yīng)，通常需要報(bào)請(qǐng)上一級(jí)批準(zhǔn)。特別是重大、特別重大的事件，要報(bào)省政府批準(zhǔn)。

（3）**宣布結(jié)束**。由指揮部正式宣布應(yīng)急響應(yīng)結(jié)束。

（4）**工作總結(jié)**。應(yīng)急響應(yīng)結(jié)束后，要進(jìn)行總結(jié)，把這次事件處理得怎么樣、有哪些經(jīng)驗(yàn)、有哪些不足，都記下來(lái)，為以后處理類似事件積累經(jīng)驗(yàn)。

第六章應(yīng)急保障

1.人員保障

應(yīng)急處置需要人，要有足夠的人手，還要是合適的人手。

（1）**建立專家隊(duì)伍**。要組建一支網(wǎng)絡(luò)安全專家隊(duì)伍，這些人是“行家”，懂技術(shù)，懂管理，能在關(guān)鍵時(shí)刻出主意、拿方案。這支隊(duì)伍可以是省里的，也可以是抽調(diào)各市、各部門的專家組成的，要定期開會(huì)，交流信息，提高水平。發(fā)生大事的時(shí)候，就由專家們提供技術(shù)支持和決策建議。

（2）**組建應(yīng)急隊(duì)伍**。要組建專門的網(wǎng)絡(luò)安全應(yīng)急隊(duì)伍，可以是在網(wǎng)信辦、公安、工信等部門下面的，也可以是像通信運(yùn)營(yíng)商、大型互聯(lián)網(wǎng)公司這樣的關(guān)鍵單位自己搞的。這些隊(duì)伍平時(shí)要訓(xùn)練，熟悉各種處置流程和操作，一有情況就能拉出去干。

（3）**人員培訓(xùn)與演練**。要定期對(duì)相關(guān)人員進(jìn)行培訓(xùn)，讓他們了解預(yù)案，掌握基本的應(yīng)急處置技能。還要經(jīng)常搞演練，模擬發(fā)生網(wǎng)絡(luò)安全事件，檢驗(yàn)預(yù)案是不是可行，隊(duì)伍是不是能打仗，發(fā)現(xiàn)問(wèn)題及時(shí)改進(jìn)。通過(guò)培訓(xùn)和演練，讓大家熟悉流程，提高實(shí)戰(zhàn)能力。

2.技術(shù)保障

處置網(wǎng)絡(luò)安全事件，光靠人還不夠，還得有技術(shù)手段作為支撐。

（1）**技術(shù)平臺(tái)支撐**。要建設(shè)和完善網(wǎng)絡(luò)安全應(yīng)急指揮平臺(tái)、監(jiān)測(cè)預(yù)警平臺(tái)、態(tài)勢(shì)感知平臺(tái)等技術(shù)支撐系統(tǒng)，這些平臺(tái)要能整合各種信息，進(jìn)行分析研判，提供決策支持，還要能指揮調(diào)度各種技術(shù)資源。

（2）**技術(shù)工具儲(chǔ)備**。要準(zhǔn)備一些常用的、好用的網(wǎng)絡(luò)安全技術(shù)工具，比如漏洞掃描工具、惡意代碼分析工具、數(shù)據(jù)備份恢復(fù)工具等，以及一些特殊的應(yīng)對(duì)工具。這些工具要定期更新維護(hù)，確保能用。

（3）**技術(shù)支持單位**。要與一些有實(shí)力的網(wǎng)絡(luò)安全服務(wù)公司或者研究機(jī)構(gòu)建立合作關(guān)系，平時(shí)可以請(qǐng)他們提供技術(shù)支持和服務(wù)，應(yīng)急的時(shí)候可以快速調(diào)用他們的專家和技術(shù)力量來(lái)幫忙。

3.物資保障

應(yīng)急處置還需要一些實(shí)際的物資，比如設(shè)備、器材等。

（1）**應(yīng)急裝備儲(chǔ)備**。要儲(chǔ)備一些必要的應(yīng)急裝備，比如筆記本電腦、服務(wù)器、通信設(shè)備、照明設(shè)備、備用電源等，放在指定的地點(diǎn)，應(yīng)急時(shí)可以拿去用。這些裝備要定期檢查維護(hù)，確保狀態(tài)良好。

（2）**通信保障**。要確保應(yīng)急處置期間通信暢通，特別是指揮部門與現(xiàn)場(chǎng)、與各參戰(zhàn)單位之間的通信。要做好備用通信方案的準(zhǔn)備，比如衛(wèi)星電話、對(duì)講機(jī)等，以防主要的通信線路被切斷。

（3）**經(jīng)費(fèi)保障**。要安排專項(xiàng)資金，用于網(wǎng)絡(luò)安全事件的應(yīng)急處置，包括購(gòu)買裝備、支付服務(wù)費(fèi)用、補(bǔ)償損失等。這筆錢要能及時(shí)到位，不能等。

4.經(jīng)費(fèi)保障

應(yīng)急處置不是免費(fèi)午餐，需要錢來(lái)支持。

（1）**設(shè)立專項(xiàng)資金**。省級(jí)和各市級(jí)政府都要設(shè)立網(wǎng)絡(luò)安全應(yīng)急專項(xiàng)資金，專項(xiàng)用于網(wǎng)絡(luò)安全事件的監(jiān)測(cè)預(yù)警、應(yīng)急處置、恢復(fù)重建等方面。

（2）**經(jīng)費(fèi)使用管理**。要制定專門的管理辦法，規(guī)范資金的使用，確保專款專用，用在刀刃上。同時(shí)也要加強(qiáng)監(jiān)督，防止浪費(fèi)和濫用。

（3）**經(jīng)費(fèi)來(lái)源**。資金來(lái)源可以包括財(cái)政預(yù)算安排、單位自籌、以及事后根據(jù)責(zé)任劃分向責(zé)任方追償?shù)取?/p>

5.宣傳引導(dǎo)保障

網(wǎng)絡(luò)安全事件發(fā)生后，除了技術(shù)處置，還要做好宣傳工作，穩(wěn)定人心。

（1）**信息發(fā)布**。要按照規(guī)定，及時(shí)、準(zhǔn)確、客觀地發(fā)布事件信息，接受社會(huì)公眾的咨詢。信息發(fā)布要統(tǒng)一口徑，避免各種說(shuō)法混亂，引起不必要的恐慌。

（2）**輿論引導(dǎo)**。要及時(shí)回應(yīng)社會(huì)關(guān)切，澄清事實(shí)，引導(dǎo)輿論走向，防止謠言傳播。要通過(guò)官方媒體、社交平臺(tái)等多種渠道，發(fā)布權(quán)威信息，做好輿論引導(dǎo)工作。

（3）**心理疏導(dǎo)**。對(duì)于因網(wǎng)絡(luò)安全事件受到較大影響的人員，比如信息泄露導(dǎo)致財(cái)產(chǎn)損失的個(gè)人，或者事件影響較大的單位，要提供必要的心理疏導(dǎo)和援助。

第七章后期處置

1.恢復(fù)與重建

網(wǎng)絡(luò)安全事件處理完了，不能就當(dāng)事情過(guò)去了，還得把被破壞的東西恢復(fù)好，把系統(tǒng)搞起來(lái)，甚至要吸取教訓(xùn)，重新建設(shè)得更安全。

（1）**系統(tǒng)恢復(fù)**。首先要盡快恢復(fù)受影響的系統(tǒng)和服務(wù)。如果是數(shù)據(jù)丟失了，要用備份的數(shù)據(jù)恢復(fù)。如果是系統(tǒng)被破壞了，要修復(fù)漏洞，重新安裝系統(tǒng)。這個(gè)恢復(fù)過(guò)程要小心，不能破壞了還沒(méi)壞的部分。

（2）**業(yè)務(wù)恢復(fù)**。系統(tǒng)恢復(fù)了，但業(yè)務(wù)可能還中斷著，比如銀行系統(tǒng)恢復(fù)了，但錢可能沒(méi)轉(zhuǎn)過(guò)來(lái)，或者網(wǎng)上商城恢復(fù)了，但商品信息可能亂了。要檢查業(yè)務(wù)流程，確保業(yè)務(wù)能夠正常運(yùn)轉(zhuǎn)。

（3）**基礎(chǔ)設(shè)施重建**。如果關(guān)鍵的網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件被毀壞了，就需要重新采購(gòu)、安裝和調(diào)試，恢復(fù)基礎(chǔ)設(shè)施的功能。

（4）**制定重建計(jì)劃**。對(duì)于需要較長(zhǎng)時(shí)間恢復(fù)的情況，要制定詳細(xì)的重建計(jì)劃，明確時(shí)間表、責(zé)任人、所需資源等，逐步完成重建工作。

2.調(diào)查評(píng)估

事件處理完了，要搞清楚到底是怎么發(fā)生的，損失有多大，處理得怎么樣，這很重要，為了以后不再犯同樣的錯(cuò)誤。

（1）**事件調(diào)查**。要組織專門的人員或者委托第三方機(jī)構(gòu)，對(duì)事件的原因進(jìn)行深入調(diào)查，找出問(wèn)題的根源，是黑客攻擊？是內(nèi)部人員搞的鬼？還是系統(tǒng)漏洞？要把來(lái)龍去脈搞清楚。

（2）**損失評(píng)估**。要評(píng)估事件造成的損失，包括經(jīng)濟(jì)損失（比如影響了多少業(yè)務(wù)，造成了多少罰款）、社會(huì)影響（比如影響了多少用戶，造成了什么不良輿論）、資源消耗（比如花了多少錢處理事件，投入了哪些人力物力）等。

（3）**處置評(píng)估**。要評(píng)估應(yīng)急處置工作的效果，看看響應(yīng)是否及時(shí)，措施是否得當(dāng)，資源調(diào)配是否合理，總結(jié)經(jīng)驗(yàn)教訓(xùn)。哪些做得好，哪些需要改進(jìn)。

3.總結(jié)評(píng)估報(bào)告

把調(diào)查評(píng)估的結(jié)果形成一份報(bào)告，寫得清清楚楚，這是后期處置的重要成果。

（1）**報(bào)告內(nèi)容**。報(bào)告要包括事件的基本情況、調(diào)查結(jié)果（原因、過(guò)程）、損失評(píng)估、應(yīng)急處置過(guò)程和效果、經(jīng)驗(yàn)教訓(xùn)、改進(jìn)建議等內(nèi)容。

（2）**報(bào)告審核**。報(bào)告完成后，要經(jīng)過(guò)相關(guān)部門審核，確保內(nèi)容的真實(shí)性、準(zhǔn)確性。

（3）**報(bào)告報(bào)送**。報(bào)告要報(bào)送指揮部，同時(shí)抄送給省政府等上級(jí)部門。如果是重大、特別重大事件，可能還需要上報(bào)黨中央。

4.問(wèn)責(zé)與獎(jiǎng)勵(lì)

事情處理完了，也要看看責(zé)任方有沒(méi)有，做得好的有沒(méi)有，該獎(jiǎng)該罰要分明。

（1）**責(zé)任追究**。根據(jù)調(diào)查結(jié)果和相關(guān)規(guī)定，對(duì)事件的責(zé)任單位和責(zé)任人進(jìn)行追責(zé)，該批評(píng)的批評(píng)，該處分的處分，該追究法律責(zé)任的依法處理。這有助于落實(shí)責(zé)任，防止下次再發(fā)生類似問(wèn)題。

（2）**表彰獎(jiǎng)勵(lì)**。對(duì)于在應(yīng)急處置工作中表現(xiàn)突出、貢獻(xiàn)大的單位和個(gè)人，要進(jìn)行表彰獎(jiǎng)勵(lì)，鼓勵(lì)大家好好干。

5.修訂預(yù)案

通過(guò)這次事件，發(fā)現(xiàn)預(yù)案里哪些地方做得不好，需要改，就要及時(shí)修改預(yù)案。

（1）**評(píng)估預(yù)案有效性**。對(duì)照這次事件的處理情況，評(píng)估現(xiàn)有預(yù)案的適用性和有效性，看看哪些地方需要調(diào)整。

（2）**收集意見建議**。向參與處置的各方收集意見建議，包括哪些環(huán)節(jié)做得好，哪些環(huán)節(jié)需要改進(jìn)，預(yù)案里哪些內(nèi)容需要更新。

（3）**修訂完善預(yù)案**。根據(jù)調(diào)查評(píng)估結(jié)果和收集到的意見建議，對(duì)預(yù)案進(jìn)行修訂完善，比如調(diào)整響應(yīng)分級(jí)、細(xì)化處置流程、明確部門職責(zé)等，使預(yù)案更具針對(duì)性和可操作性。修訂后的預(yù)案要按程序?qū)徟l(fā)布，并組織相關(guān)人員進(jìn)行培訓(xùn)。

第八章附則

1.預(yù)案解釋

這個(gè)預(yù)案是由誰(shuí)來(lái)說(shuō)明的呢？江蘇省網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，是由江蘇省互聯(lián)網(wǎng)信息辦公室會(huì)同江蘇省公安廳、江蘇省工業(yè)和信息化廳、江蘇省通信管理局等部門負(fù)責(zé)解釋的。如果大家對(duì)預(yù)案的內(nèi)容有什么不清楚的地方，可以找他們問(wèn)。

2.預(yù)案實(shí)施時(shí)間

這個(gè)預(yù)案從什么時(shí)候開始生效呢？一般來(lái)說(shuō)，應(yīng)急預(yù)案在發(fā)布之日起就要開始實(shí)施了。也就是說(shuō)，江蘇省網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案從它被正式發(fā)布的那一天起，就要開始按照里面的規(guī)定來(lái)做了。

3.預(yù)案修訂

預(yù)案不是一成不變的，要隨著情況的變化而更新。如果網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，新的網(wǎng)絡(luò)安全威脅出現(xiàn)了，或者政府的機(jī)構(gòu)改革、政策調(diào)整了，這個(gè)預(yù)案可能就需要修改。具體的修訂時(shí)機(jī)和程序，按照相關(guān)規(guī)定執(zhí)行。總之，要保持預(yù)案的актуальность（актуальность：актуальный，意思是“當(dāng)前的”、“最新的”），讓它能夠真正指導(dǎo)實(shí)踐。

4.附則補(bǔ)充說(shuō)明

除了上述內(nèi)容，還有一些需要特別說(shuō)明的事項(xiàng)也放在附則里。比如，預(yù)案中涉及到的一些專業(yè)術(shù)語(yǔ)的定義，或者與其他相關(guān)預(yù)案的銜接問(wèn)題等。通過(guò)附則，可以確保預(yù)案的完整性和嚴(yán)謹(jǐn)性。

第九章附則

1.預(yù)案解釋

這個(gè)預(yù)案是由誰(shuí)來(lái)說(shuō)明的呢？江蘇省網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，是由江蘇省互聯(lián)網(wǎng)信息辦公室會(huì)同江蘇省公安廳、江蘇省工業(yè)和信息化廳、江蘇省通信管理局等部門負(fù)責(zé)解釋的。如果大家對(duì)預(yù)案的內(nèi)容有什么不清楚的地方，可以找他們問(wèn)。

2.預(yù)案實(shí)