網(wǎng)絡(luò)安全事件報告與調(diào)查處理辦法一、總則

（一）目的與依據(jù)

為規(guī)范網(wǎng)絡(luò)安全事件的報告與調(diào)查處理工作，提高應(yīng)急處置能力，最大限度減少網(wǎng)絡(luò)安全事件造成的危害，保障網(wǎng)絡(luò)空間主權(quán)、安全、發(fā)展利益，保護(hù)公民、法人和其他組織的合法權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)和規(guī)范性文件，制定本辦法。

（二）適用范圍

本辦法適用于本行政區(qū)域內(nèi)或本單位的網(wǎng)絡(luò)安全事件報告、調(diào)查、處理及監(jiān)督管理工作。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、網(wǎng)絡(luò)運(yùn)營者、數(shù)據(jù)處理者以及從事網(wǎng)絡(luò)安全相關(guān)服務(wù)的機(jī)構(gòu)和個人，在開展網(wǎng)絡(luò)安全事件應(yīng)對活動時，應(yīng)當(dāng)遵守本辦法。涉及國家秘密、軍事設(shè)施等特殊領(lǐng)域的網(wǎng)絡(luò)安全事件報告與調(diào)查處理，按照國家有關(guān)規(guī)定執(zhí)行。

（三）基本原則

網(wǎng)絡(luò)安全事件報告與調(diào)查處理工作應(yīng)當(dāng)遵循以下原則：

1.預(yù)防為主，防治結(jié)合。堅(jiān)持關(guān)口前移，加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警和風(fēng)險防控，及時發(fā)現(xiàn)和處置安全隱患，降低網(wǎng)絡(luò)安全事件發(fā)生概率。

2.快速響應(yīng)，協(xié)同聯(lián)動。建立健全快速響應(yīng)機(jī)制，明確責(zé)任分工，加強(qiáng)部門間、區(qū)域間協(xié)同配合，確保事件發(fā)生后及時啟動處置程序，高效應(yīng)對。

3.分級負(fù)責(zé)，屬地管理。按照網(wǎng)絡(luò)安全事件級別，落實(shí)各級責(zé)任主體，實(shí)行分級分類管理，強(qiáng)化地方政府和主管部門的監(jiān)管責(zé)任及事件發(fā)生單位的主體責(zé)任。

4.依法依規(guī)，科學(xué)處置。嚴(yán)格遵守法律法規(guī)和技術(shù)規(guī)范，運(yùn)用專業(yè)技術(shù)和科學(xué)方法開展事件調(diào)查與處理，確保處置過程合法合規(guī)、結(jié)果客觀公正。

5.保障安全，注重恢復(fù)。在處置過程中優(yōu)先保障關(guān)鍵信息基礎(chǔ)設(shè)施和重要數(shù)據(jù)安全，及時采取系統(tǒng)恢復(fù)措施，盡快恢復(fù)網(wǎng)絡(luò)正常運(yùn)行，減少事件影響。

（四）定義與分級

本辦法所稱網(wǎng)絡(luò)安全事件，是指由于自然、人為或技術(shù)原因?qū)е碌木W(wǎng)絡(luò)系統(tǒng)或數(shù)據(jù)受到破壞、泄露、篡改、丟失，或造成不良影響的事件，包括但不限于以下情形：網(wǎng)絡(luò)攻擊事件（如拒絕服務(wù)攻擊、植入惡意代碼、網(wǎng)絡(luò)釣魚等）；安全漏洞事件（如高危漏洞被發(fā)現(xiàn)并被利用、系統(tǒng)配置錯誤等）；數(shù)據(jù)安全事件（如重要數(shù)據(jù)或個人信息泄露、篡改、丟失等）；設(shè)備設(shè)施故障事件（如網(wǎng)絡(luò)設(shè)備硬件故障、軟件系統(tǒng)崩潰等）；其他可能造成危害的網(wǎng)絡(luò)安全事件。

根據(jù)事件的危害程度、影響范圍和造成的損失，網(wǎng)絡(luò)安全事件分為四個級別：

1.特別重大網(wǎng)絡(luò)安全事件（Ⅰ級）：指導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施大面積癱瘓，全國性或跨?。ㄗ灾螀^(qū)、直轄市）重要網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)資源嚴(yán)重受損，國家安全、社會秩序受到嚴(yán)重威脅，或造成特別重大經(jīng)濟(jì)損失、特別惡劣社會影響的網(wǎng)絡(luò)安全事件。

2.重大網(wǎng)絡(luò)安全事件（Ⅱ級）：指導(dǎo)致重要網(wǎng)絡(luò)系統(tǒng)或關(guān)鍵信息基礎(chǔ)設(shè)施局部癱瘓，跨地（市）級行政區(qū)域重要網(wǎng)絡(luò)功能受到嚴(yán)重影響，社會秩序受到較大損害，或造成重大經(jīng)濟(jì)損失、惡劣社會影響的網(wǎng)絡(luò)安全事件。

3.較大網(wǎng)絡(luò)安全事件（Ⅲ級）：指導(dǎo)致地（市）級行政區(qū)域內(nèi)部分網(wǎng)絡(luò)系統(tǒng)功能受損，對一定范圍的社會秩序、公共利益造成損害，或造成較大經(jīng)濟(jì)損失、一定社會影響的網(wǎng)絡(luò)安全事件。

4.一般網(wǎng)絡(luò)安全事件（Ⅳ級）：指對單個網(wǎng)絡(luò)系統(tǒng)或局部網(wǎng)絡(luò)功能造成輕微影響，對社會秩序、公共利益影響較小，或造成輕微經(jīng)濟(jì)損失、有限社會影響的網(wǎng)絡(luò)安全事件。

二、組織機(jī)構(gòu)與職責(zé)分工

（一）領(lǐng)導(dǎo)機(jī)構(gòu)

1.網(wǎng)絡(luò)安全事件應(yīng)急領(lǐng)導(dǎo)小組

網(wǎng)絡(luò)安全事件應(yīng)急領(lǐng)導(dǎo)小組是應(yīng)對網(wǎng)絡(luò)安全事件的最高決策機(jī)構(gòu)，由政府分管領(lǐng)導(dǎo)擔(dān)任組長，網(wǎng)信、公安、通信管理、發(fā)展改革、工業(yè)和信息化、應(yīng)急管理、宣傳等部門主要負(fù)責(zé)人為成員。領(lǐng)導(dǎo)小組的主要職責(zé)包括：貫徹落實(shí)國家關(guān)于網(wǎng)絡(luò)安全事件應(yīng)對工作的方針政策和決策部署；研究制定本地區(qū)網(wǎng)絡(luò)安全事件應(yīng)對工作的重大方針政策和總體部署；統(tǒng)一指揮協(xié)調(diào)特別重大、重大網(wǎng)絡(luò)安全事件的應(yīng)急處置工作；研究決定網(wǎng)絡(luò)安全事件應(yīng)對工作的重大事項(xiàng)；協(xié)調(diào)解決網(wǎng)絡(luò)安全事件應(yīng)對工作中的重大問題。

領(lǐng)導(dǎo)小組實(shí)行組長負(fù)責(zé)制，組長全面負(fù)責(zé)領(lǐng)導(dǎo)小組工作，副組長協(xié)助組長開展工作。領(lǐng)導(dǎo)小組會議原則上每季度召開一次，遇有重大網(wǎng)絡(luò)安全事件或緊急情況時，由組長決定隨時召開。會議形成的決議，由各成員單位按照職責(zé)分工負(fù)責(zé)落實(shí)。

2.領(lǐng)導(dǎo)小組辦公室

領(lǐng)導(dǎo)小組辦公室設(shè)在網(wǎng)信部門，承擔(dān)領(lǐng)導(dǎo)小組日常工作，是網(wǎng)絡(luò)安全事件應(yīng)對的綜合協(xié)調(diào)機(jī)構(gòu)。辦公室主任由網(wǎng)信部門主要負(fù)責(zé)人兼任，副主任由網(wǎng)信、公安、通信管理等部門分管領(lǐng)導(dǎo)擔(dān)任。辦公室的主要職責(zé)包括：組織落實(shí)領(lǐng)導(dǎo)小組各項(xiàng)決策部署；組織編制和修訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；組織開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息報告工作；協(xié)調(diào)組織網(wǎng)絡(luò)安全事件調(diào)查評估和處置工作；督促檢查各成員單位、下級政府和相關(guān)單位網(wǎng)絡(luò)安全事件應(yīng)對工作落實(shí)情況；組織開展網(wǎng)絡(luò)安全事件應(yīng)對宣傳培訓(xùn)和應(yīng)急演練；承擔(dān)領(lǐng)導(dǎo)小組交辦的其他工作。

辦公室實(shí)行主任負(fù)責(zé)制，下設(shè)綜合協(xié)調(diào)組、技術(shù)支持組、信息報送組、宣傳引導(dǎo)組等專項(xiàng)工作組，各組由網(wǎng)信部門相關(guān)處室人員及成員單位聯(lián)絡(luò)員組成，負(fù)責(zé)具體工作的組織實(shí)施。

（二）工作機(jī)構(gòu)

1.技術(shù)支撐機(jī)構(gòu)

技術(shù)支撐機(jī)構(gòu)是網(wǎng)絡(luò)安全事件應(yīng)對的專業(yè)技術(shù)力量，主要包括國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）及其分支機(jī)構(gòu)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中心、網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)等。其主要職責(zé)包括：開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警，及時發(fā)現(xiàn)和報告網(wǎng)絡(luò)安全事件；為網(wǎng)絡(luò)安全事件調(diào)查分析提供技術(shù)支持，包括事件溯源、漏洞分析、數(shù)據(jù)恢復(fù)等；參與制定網(wǎng)絡(luò)安全事件處置技術(shù)方案；為受影響單位提供網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)指導(dǎo)和支持；開展網(wǎng)絡(luò)安全技術(shù)研發(fā)和標(biāo)準(zhǔn)規(guī)范研究。

技術(shù)支撐機(jī)構(gòu)應(yīng)建立健全工作機(jī)制，配備必要的專業(yè)技術(shù)人員和設(shè)備設(shè)施，保障網(wǎng)絡(luò)安全事件應(yīng)對的技術(shù)需求。網(wǎng)信部門應(yīng)加強(qiáng)對技術(shù)支撐機(jī)構(gòu)的指導(dǎo)和協(xié)調(diào)，建立信息共享和聯(lián)動機(jī)制。

2.應(yīng)急處置協(xié)調(diào)機(jī)構(gòu)

應(yīng)急處置協(xié)調(diào)機(jī)構(gòu)在領(lǐng)導(dǎo)小組辦公室統(tǒng)一領(lǐng)導(dǎo)下開展工作，由網(wǎng)信、公安、通信管理、工業(yè)和信息化等部門相關(guān)人員組成。其主要職責(zé)包括：協(xié)調(diào)組織網(wǎng)絡(luò)安全事件現(xiàn)場處置工作；協(xié)調(diào)調(diào)配應(yīng)急資源，包括技術(shù)力量、設(shè)備物資等；協(xié)調(diào)事發(fā)地政府及相關(guān)部門開展處置工作；及時向領(lǐng)導(dǎo)小組辦公室報告事件處置進(jìn)展情況；組織專家對事件處置方案進(jìn)行評估和優(yōu)化。

應(yīng)急處置協(xié)調(diào)機(jī)構(gòu)實(shí)行24小時值班制度，確保在網(wǎng)絡(luò)安全事件發(fā)生后能夠迅速響應(yīng)、高效處置。值班人員應(yīng)具備相應(yīng)的網(wǎng)絡(luò)安全知識和應(yīng)急處置能力，能夠及時接收、研判和上報網(wǎng)絡(luò)安全事件信息。

3.信息發(fā)布與宣傳引導(dǎo)機(jī)構(gòu)

信息發(fā)布與宣傳引導(dǎo)機(jī)構(gòu)由宣傳部門牽頭，網(wǎng)信、公安等部門參與組成。其主要職責(zé)包括：制定網(wǎng)絡(luò)安全事件信息發(fā)布方案；按照規(guī)定權(quán)限和程序統(tǒng)一發(fā)布網(wǎng)絡(luò)安全事件信息及相關(guān)處置情況；組織新聞媒體開展網(wǎng)絡(luò)安全事件宣傳報道；及時回應(yīng)社會關(guān)切，澄清不實(shí)信息，引導(dǎo)社會輿論；開展網(wǎng)絡(luò)安全知識宣傳和科普教育，提高公眾網(wǎng)絡(luò)安全意識。

信息發(fā)布與宣傳引導(dǎo)機(jī)構(gòu)應(yīng)堅(jiān)持及時、準(zhǔn)確、公開、透明的原則，建立健全信息發(fā)布審核機(jī)制，確保發(fā)布的信息權(quán)威、客觀、全面。在網(wǎng)絡(luò)安全事件處置過程中，應(yīng)密切關(guān)注社會輿情動態(tài)，及時采取有效措施，維護(hù)社會穩(wěn)定。

（三）成員單位職責(zé)

1.網(wǎng)信部門職責(zé)

網(wǎng)信部門作為網(wǎng)絡(luò)安全事件應(yīng)對的牽頭協(xié)調(diào)部門，主要職責(zé)包括：統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全事件應(yīng)對工作；組織編制和修訂網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案；組織開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息報告；協(xié)調(diào)組織網(wǎng)絡(luò)安全事件調(diào)查評估和處置；督促檢查各成員單位和下級政府工作落實(shí)情況；組織開展網(wǎng)絡(luò)安全宣傳培訓(xùn)和應(yīng)急演練；承擔(dān)領(lǐng)導(dǎo)小組辦公室日常工作。

網(wǎng)信部門應(yīng)建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，加強(qiáng)對重點(diǎn)行業(yè)、重點(diǎn)領(lǐng)域網(wǎng)絡(luò)安全風(fēng)險的監(jiān)測分析，及時發(fā)現(xiàn)和報告網(wǎng)絡(luò)安全事件。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速啟動應(yīng)急預(yù)案，協(xié)調(diào)各方力量開展處置工作。

2.公安部門職責(zé)

公安部門是網(wǎng)絡(luò)安全事件應(yīng)對的重要力量，主要職責(zé)包括：依法偵查網(wǎng)絡(luò)安全違法犯罪活動；打擊網(wǎng)絡(luò)攻擊、竊密、破壞等違法犯罪行為；維護(hù)網(wǎng)絡(luò)安全事件處置現(xiàn)場的治安秩序；為受影響單位提供安全防護(hù)指導(dǎo)和支持；協(xié)助開展網(wǎng)絡(luò)安全事件調(diào)查取證工作；配合做好網(wǎng)絡(luò)安全事件信息發(fā)布和輿情引導(dǎo)工作。

公安部門應(yīng)建立健全網(wǎng)絡(luò)安全案件快速響應(yīng)機(jī)制，加強(qiáng)對網(wǎng)絡(luò)安全違法犯罪行為的打擊力度。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速組織警力開展偵查工作，依法查處違法犯罪分子，維護(hù)網(wǎng)絡(luò)空間安全。

3.通信管理部門職責(zé)

通信管理部門負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)對中的通信保障工作，主要職責(zé)包括：組織協(xié)調(diào)基礎(chǔ)電信企業(yè)、互聯(lián)網(wǎng)企業(yè)做好網(wǎng)絡(luò)安全事件應(yīng)對中的通信保障工作；組織恢復(fù)受損的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信服務(wù)；監(jiān)測網(wǎng)絡(luò)運(yùn)行狀態(tài)，保障網(wǎng)絡(luò)安全事件處置過程中的通信暢通；配合開展網(wǎng)絡(luò)安全事件調(diào)查和溯源工作；提供相關(guān)網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)和技術(shù)支持。

通信管理部門應(yīng)加強(qiáng)對基礎(chǔ)電信企業(yè)和互聯(lián)網(wǎng)企業(yè)的監(jiān)管，督促其落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，提升網(wǎng)絡(luò)安全防護(hù)能力。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速組織企業(yè)開展通信保障工作，確保網(wǎng)絡(luò)安全事件處置過程中的通信暢通。

4.發(fā)展改革部門職責(zé)

發(fā)展改革部門負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)對中的物資保障和項(xiàng)目支持工作，主要職責(zé)包括：將網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)納入相關(guān)規(guī)劃；協(xié)調(diào)保障網(wǎng)絡(luò)安全事件應(yīng)對所需的物資、設(shè)備等；支持網(wǎng)絡(luò)安全技術(shù)研發(fā)和產(chǎn)業(yè)發(fā)展；配合開展網(wǎng)絡(luò)安全事件調(diào)查評估工作。

發(fā)展改革部門應(yīng)加強(qiáng)對網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)的投入，支持關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)協(xié)調(diào)相關(guān)部門和單位，保障應(yīng)急處置所需的物資和設(shè)備供應(yīng)。

5.工業(yè)和信息化部門職責(zé)

工業(yè)和信息化部門負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)對中的工業(yè)控制系統(tǒng)安全保障工作，主要職責(zé)包括：指導(dǎo)督促工業(yè)領(lǐng)域企業(yè)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任；加強(qiáng)工業(yè)控制系統(tǒng)安全監(jiān)測預(yù)警；組織協(xié)調(diào)工業(yè)控制系統(tǒng)安全事件應(yīng)急處置；提供相關(guān)工業(yè)控制系統(tǒng)運(yùn)行數(shù)據(jù)和技術(shù)支持。

工業(yè)和信息化部門應(yīng)加強(qiáng)對工業(yè)領(lǐng)域企業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)，督促其建立健全安全管理制度，提升安全防護(hù)能力。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速組織企業(yè)開展應(yīng)急處置工作，保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。

6.應(yīng)急管理部門職責(zé)

應(yīng)急管理部門負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)對中的綜合協(xié)調(diào)和應(yīng)急救援工作，主要職責(zé)包括：協(xié)調(diào)相關(guān)部門和單位開展網(wǎng)絡(luò)安全事件應(yīng)急救援工作；組織協(xié)調(diào)應(yīng)急物資、裝備的調(diào)撥和供應(yīng)；指導(dǎo)受影響地區(qū)開展恢復(fù)重建工作；配合開展網(wǎng)絡(luò)安全事件調(diào)查評估工作。

應(yīng)急管理部門應(yīng)建立健全應(yīng)急救援協(xié)調(diào)機(jī)制，加強(qiáng)與相關(guān)部門的協(xié)作配合。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速啟動應(yīng)急響應(yīng)，協(xié)調(diào)各方力量開展救援工作，減少事件造成的損失。

7.宣傳部門職責(zé)

宣傳部門負(fù)責(zé)網(wǎng)絡(luò)安全事件應(yīng)對中的信息發(fā)布和輿情引導(dǎo)工作，主要職責(zé)包括：制定網(wǎng)絡(luò)安全事件信息發(fā)布方案；組織新聞媒體開展宣傳報道；及時回應(yīng)社會關(guān)切，澄清不實(shí)信息；開展網(wǎng)絡(luò)安全知識宣傳和科普教育。

宣傳部門應(yīng)加強(qiáng)與網(wǎng)信、公安等部門的溝通協(xié)作，建立健全信息發(fā)布審核機(jī)制。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)迅速組織媒體開展正面宣傳，及時發(fā)布權(quán)威信息，引導(dǎo)社會輿論。

（四）基層單位職責(zé)

1.關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者職責(zé)

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者是網(wǎng)絡(luò)安全事件應(yīng)對的第一責(zé)任人，主要職責(zé)包括：落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，建立健全安全管理制度和技術(shù)防護(hù)體系；開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警，及時發(fā)現(xiàn)和報告安全風(fēng)險和事件；制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期組織演練；配合相關(guān)部門開展網(wǎng)絡(luò)安全事件調(diào)查和處置工作；及時向用戶通報網(wǎng)絡(luò)安全事件情況，采取必要措施保護(hù)用戶數(shù)據(jù)安全。

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)設(shè)立專門的安全管理機(jī)構(gòu)，配備專職安全人員，保障安全經(jīng)費(fèi)投入。應(yīng)加強(qiáng)對員工的安全培訓(xùn)，提高安全意識和技能。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)立即啟動應(yīng)急預(yù)案，采取有效措施控制事態(tài)發(fā)展，并按照規(guī)定及時上報事件信息。

2.網(wǎng)絡(luò)運(yùn)營者職責(zé)

網(wǎng)絡(luò)運(yùn)營者包括互聯(lián)網(wǎng)企業(yè)、聯(lián)網(wǎng)單位等，主要職責(zé)包括：落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，建立健全安全管理制度；開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警，及時發(fā)現(xiàn)和報告安全風(fēng)險和事件；制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期組織演練；配合相關(guān)部門開展網(wǎng)絡(luò)安全事件調(diào)查和處置工作；及時向用戶通報網(wǎng)絡(luò)安全事件情況，采取必要措施保護(hù)用戶數(shù)據(jù)安全。

網(wǎng)絡(luò)運(yùn)營者應(yīng)根據(jù)自身規(guī)模和業(yè)務(wù)特點(diǎn)，配備相應(yīng)的安全技術(shù)人員和安全設(shè)備。應(yīng)加強(qiáng)對用戶信息的安全保護(hù)，防止信息泄露。在網(wǎng)絡(luò)安全事件發(fā)生后，應(yīng)立即采取應(yīng)急措施，控制事態(tài)發(fā)展，并按照規(guī)定及時上報事件信息。

3.數(shù)據(jù)處理者職責(zé)

數(shù)據(jù)處理者包括數(shù)據(jù)收集、存儲、加工、傳輸?shù)拳h(huán)節(jié)的各類組織和個人，主要職責(zé)包括：落實(shí)數(shù)據(jù)安全主體責(zé)任，建立健全數(shù)據(jù)安全管理制度；開展數(shù)據(jù)安全監(jiān)測預(yù)警，及時發(fā)現(xiàn)和報告數(shù)據(jù)安全風(fēng)險和事件；制定數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期組織演練；配合相關(guān)部門開展數(shù)據(jù)安全事件調(diào)查和處置工作；及時向數(shù)據(jù)主體通報數(shù)據(jù)安全事件情況，采取必要措施減少數(shù)據(jù)泄露造成的損失。

數(shù)據(jù)處理者應(yīng)加強(qiáng)對數(shù)據(jù)分類分級管理，采取加密、脫敏等安全保護(hù)措施。應(yīng)建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，明確應(yīng)急處置流程和責(zé)任人。在數(shù)據(jù)安全事件發(fā)生后，應(yīng)立即啟動應(yīng)急預(yù)案，采取補(bǔ)救措施，并按照規(guī)定及時上報事件信息。

4.網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)職責(zé)

網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)包括網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)、安全服務(wù)公司等，主要職責(zé)包括：遵守職業(yè)道德和行業(yè)規(guī)范，提供客觀、公正的網(wǎng)絡(luò)安全服務(wù)；協(xié)助開展網(wǎng)絡(luò)安全監(jiān)測預(yù)警和風(fēng)險評估；參與網(wǎng)絡(luò)安全事件調(diào)查和處置工作，提供專業(yè)技術(shù)支持；保守在服務(wù)過程中獲取的國家秘密、商業(yè)秘密和個人隱私。

網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)應(yīng)具備相應(yīng)的技術(shù)能力和資質(zhì)，配備專業(yè)的技術(shù)人員。應(yīng)加強(qiáng)對服務(wù)人員的管理和培訓(xùn)，提高服務(wù)質(zhì)量和水平。在參與網(wǎng)絡(luò)安全事件處置工作時，應(yīng)嚴(yán)格遵守相關(guān)法律法規(guī)和工作紀(jì)律，確保處置工作順利進(jìn)行。

三、分級響應(yīng)機(jī)制

（一）事件分級標(biāo)準(zhǔn)

1.分級依據(jù)

網(wǎng)絡(luò)安全事件的分級主要依據(jù)事件造成的實(shí)際危害程度、影響范圍范圍、處置難度及社會影響綜合判定。分級標(biāo)準(zhǔn)充分考慮事件對國家安全、社會秩序、公共利益及公民合法權(quán)益的潛在威脅，同時兼顧關(guān)鍵信息基礎(chǔ)設(shè)施的特殊保護(hù)要求。分級過程需結(jié)合事件類型、影響范圍、持續(xù)時間、經(jīng)濟(jì)損失及社會關(guān)注度等多維度指標(biāo)進(jìn)行動態(tài)評估。

2.分級級別

網(wǎng)絡(luò)安全事件分為四個級別：

（1）特別重大事件（Ⅰ級）：指造成國家關(guān)鍵信息基礎(chǔ)設(shè)施大面積癱瘓，導(dǎo)致跨省級行政區(qū)域重要網(wǎng)絡(luò)功能中斷超過12小時，或造成直接經(jīng)濟(jì)損失超過1億元，或引發(fā)重大社會安全事件的網(wǎng)絡(luò)安全事件。例如：國家級通信骨干網(wǎng)遭受大規(guī)模協(xié)同攻擊導(dǎo)致全國性網(wǎng)絡(luò)中斷。

（2）重大事件（Ⅱ級）：指造成省級重要信息系統(tǒng)癱瘓，影響范圍跨地市級行政區(qū)域，網(wǎng)絡(luò)功能中斷時間在6-12小時之間，或造成直接經(jīng)濟(jì)損失在5000萬元至1億元之間，或引發(fā)較大社會影響的網(wǎng)絡(luò)安全事件。例如：省級政務(wù)云平臺遭受勒索軟件攻擊導(dǎo)致核心業(yè)務(wù)停擺。

（3）較大事件（Ⅲ級）：指造成地市級重要信息系統(tǒng)局部功能受損，影響范圍局限于單個地市，網(wǎng)絡(luò)功能中斷時間在2-6小時之間，或造成直接經(jīng)濟(jì)損失在1000萬元至5000萬元之間，或引發(fā)局部社會關(guān)注的網(wǎng)絡(luò)安全事件。例如：市級醫(yī)院信息系統(tǒng)遭受數(shù)據(jù)泄露事件。

（4）一般事件（Ⅳ級）：指對單個單位或局部網(wǎng)絡(luò)造成輕微影響，網(wǎng)絡(luò)功能中斷時間在2小時以內(nèi)，或造成直接經(jīng)濟(jì)損失在1000萬元以下，社會影響有限的網(wǎng)絡(luò)安全事件。例如：企業(yè)內(nèi)部辦公網(wǎng)絡(luò)遭受病毒感染。

3.動態(tài)調(diào)整機(jī)制

事件級別不是固定不變的，在處置過程中應(yīng)根據(jù)事件發(fā)展態(tài)勢、次生衍生風(fēng)險變化及處置效果進(jìn)行動態(tài)評估和調(diào)整。當(dāng)事件出現(xiàn)升級趨勢時（如影響范圍擴(kuò)大、危害程度加?。?，應(yīng)及時提高響應(yīng)級別；當(dāng)事件得到有效控制且危害程度降低時，可適時調(diào)整響應(yīng)級別。動態(tài)調(diào)整由事件處置指揮機(jī)構(gòu)根據(jù)專業(yè)評估意見作出決定。

（二）響應(yīng)啟動條件

1.Ⅰ級響應(yīng)啟動條件

滿足以下任一條件即可啟動Ⅰ級響應(yīng)：

（1）確認(rèn)發(fā)生特別重大網(wǎng)絡(luò)安全事件；

（2）重大網(wǎng)絡(luò)安全事件在處置過程中出現(xiàn)明顯惡化趨勢；

（3）國務(wù)院或國家網(wǎng)絡(luò)安全事件應(yīng)急指揮部明確要求啟動Ⅰ級響應(yīng)。

啟動Ⅰ級響應(yīng)需由國家網(wǎng)絡(luò)安全事件應(yīng)急指揮部報請國務(wù)院批準(zhǔn)，由國家層面統(tǒng)一指揮處置。

2.Ⅱ級響應(yīng)啟動條件

滿足以下任一條件即可啟動Ⅱ級響應(yīng)：

（1）確認(rèn)發(fā)生重大網(wǎng)絡(luò)安全事件；

（2）較大網(wǎng)絡(luò)安全事件在處置過程中出現(xiàn)明顯惡化趨勢；

（3）省級網(wǎng)絡(luò)安全事件應(yīng)急指揮部報請國家網(wǎng)絡(luò)安全事件應(yīng)急指揮部批準(zhǔn)啟動。

啟動Ⅱ級響應(yīng)需經(jīng)省級人民政府報請國家網(wǎng)絡(luò)安全事件應(yīng)急指揮部批準(zhǔn)，由省級層面指揮處置，國家層面給予支持。

3.Ⅲ級響應(yīng)啟動條件

滿足以下任一條件即可啟動Ⅲ級響應(yīng)：

（1）確認(rèn)發(fā)生較大網(wǎng)絡(luò)安全事件；

（2）一般網(wǎng)絡(luò)安全事件在處置過程中出現(xiàn)明顯惡化趨勢；

（3）地市級網(wǎng)絡(luò)安全事件應(yīng)急指揮部報請省級網(wǎng)絡(luò)安全事件應(yīng)急指揮部批準(zhǔn)啟動。

啟動Ⅲ級響應(yīng)由地市級人民政府決定，報省級網(wǎng)絡(luò)安全事件應(yīng)急指揮部備案，省級層面給予指導(dǎo)和支持。

4.Ⅳ級響應(yīng)啟動條件

滿足以下任一條件即可啟動Ⅳ級響應(yīng)：

（1）確認(rèn)發(fā)生一般網(wǎng)絡(luò)安全事件；

（2）事件發(fā)生單位自行處置能力不足，需要上級支持。

啟動Ⅳ級響應(yīng)由事件發(fā)生單位或縣級網(wǎng)絡(luò)安全事件應(yīng)急指揮部決定，報上級網(wǎng)絡(luò)安全事件應(yīng)急指揮部備案。

（三）響應(yīng)流程

1.監(jiān)測預(yù)警階段

（1）信息收集：通過網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)、輿情監(jiān)測平臺、單位內(nèi)部報告等多種渠道收集網(wǎng)絡(luò)安全事件相關(guān)信息。重點(diǎn)監(jiān)測網(wǎng)絡(luò)流量異常、系統(tǒng)性能驟降、數(shù)據(jù)訪問異常等關(guān)鍵指標(biāo)。

（2）風(fēng)險研判：組織專業(yè)技術(shù)團(tuán)隊(duì)對收集到的信息進(jìn)行初步分析研判，評估事件類型、影響范圍、潛在危害及發(fā)展趨勢。研判過程需結(jié)合歷史事件數(shù)據(jù)和最新威脅情報。

（3）預(yù)警發(fā)布：對可能發(fā)生的重大網(wǎng)絡(luò)安全風(fēng)險，及時發(fā)布預(yù)警信息。預(yù)警信息應(yīng)包含風(fēng)險等級、可能影響范圍、防護(hù)建議等內(nèi)容，并通過短信、郵件、系統(tǒng)通知等多種方式送達(dá)相關(guān)單位。

2.響應(yīng)啟動階段

（1）事件核實(shí)：接到事件報告后，立即組織技術(shù)力量對事件情況進(jìn)行核實(shí)，確認(rèn)事件真實(shí)性、嚴(yán)重程度及影響范圍。核實(shí)過程需遵循快速準(zhǔn)確原則，避免誤判。

（2）級別判定：根據(jù)核實(shí)結(jié)果，依據(jù)分級標(biāo)準(zhǔn)初步判定事件級別，并按程序報請批準(zhǔn)啟動相應(yīng)級別響應(yīng)。判定過程需考慮事件可能的發(fā)展變化。

（3）指揮體系啟動：響應(yīng)級別確定后，立即啟動相應(yīng)級別的應(yīng)急指揮體系，明確指揮機(jī)構(gòu)組成人員、職責(zé)分工及工作流程。指揮機(jī)構(gòu)應(yīng)迅速進(jìn)入工作狀態(tài)。

3.處置實(shí)施階段

（1）現(xiàn)場處置：派遣技術(shù)專家組趕赴事件現(xiàn)場，開展系統(tǒng)隔離、漏洞修補(bǔ)、數(shù)據(jù)恢復(fù)等緊急處置工作。現(xiàn)場處置需遵循最小影響原則，避免事態(tài)擴(kuò)大。

（2）溯源分析：通過日志分析、流量監(jiān)測、樣本檢測等技術(shù)手段，深入分析攻擊來源、攻擊路徑、攻擊工具及攻擊目的。溯源分析結(jié)果為后續(xù)處置提供依據(jù)。

（3）信息通報：按照規(guī)定程序和范圍，及時向相關(guān)部門、受影響單位及社會公眾通報事件進(jìn)展。通報信息應(yīng)真實(shí)準(zhǔn)確，避免引起不必要恐慌。

4.響應(yīng)終止階段

（1）影響消除：確認(rèn)網(wǎng)絡(luò)安全事件造成的危害已基本消除，受影響系統(tǒng)功能恢復(fù)正常運(yùn)行，數(shù)據(jù)完整性得到保障。消除過程需進(jìn)行全面系統(tǒng)測試。

（2）善后處理：開展數(shù)據(jù)恢復(fù)、系統(tǒng)加固、安全加固等后續(xù)工作，防止事件復(fù)發(fā)。善后處理需制定詳細(xì)方案并逐步實(shí)施。

（3）響應(yīng)終止：經(jīng)評估確認(rèn)事件處置工作完成，可終止相應(yīng)級別的應(yīng)急響應(yīng)。終止響應(yīng)需經(jīng)原批準(zhǔn)機(jī)構(gòu)批準(zhǔn)，并做好相關(guān)記錄。

（四）資源調(diào)配

1.人力資源調(diào)配

根據(jù)事件級別和處置需求，從各級網(wǎng)絡(luò)安全應(yīng)急專家?guī)?、技術(shù)支撐機(jī)構(gòu)及重點(diǎn)單位抽調(diào)專業(yè)技術(shù)人員參與處置。Ⅰ級響應(yīng)可調(diào)動國家級專家團(tuán)隊(duì)，Ⅱ級響應(yīng)以省級專家為主，Ⅲ級響應(yīng)以地市級專家為主，Ⅳ級響應(yīng)以單位內(nèi)部技術(shù)人員為主。人力資源調(diào)配應(yīng)遵循專業(yè)對口、就近原則。

2.技術(shù)資源調(diào)配

建立網(wǎng)絡(luò)安全應(yīng)急技術(shù)資源庫，包括漏洞庫、病毒庫、攻擊特征庫等。根據(jù)事件類型，及時調(diào)配相應(yīng)的檢測工具、分析軟件、防御設(shè)備等技術(shù)資源。重大事件可調(diào)用國家級網(wǎng)絡(luò)安全實(shí)驗(yàn)室的先進(jìn)設(shè)備和技術(shù)手段。

3.物資資源調(diào)配

建立網(wǎng)絡(luò)安全應(yīng)急物資儲備體系，包括備用網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲介質(zhì)等。根據(jù)事件影響范圍和處置需求，及時調(diào)配應(yīng)急物資。Ⅰ級響應(yīng)可動用國家級物資儲備，Ⅱ級響應(yīng)以省級儲備為主。

4.信息資源調(diào)配

建立跨部門、跨地區(qū)的信息共享機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件信息、威脅情報、處置經(jīng)驗(yàn)等資源的實(shí)時共享。信息資源調(diào)配應(yīng)遵循安全可控、按需共享原則。

（五）跨部門協(xié)作

1.信息共享機(jī)制

建立網(wǎng)絡(luò)安全事件信息共享平臺，實(shí)現(xiàn)網(wǎng)信、公安、通信、金融、能源等部門之間的信息實(shí)時共享。共享內(nèi)容包括事件信息、威脅情報、處置進(jìn)展等。信息共享應(yīng)遵循及時準(zhǔn)確、安全可控原則。

2.聯(lián)合處置機(jī)制

針對跨部門、跨地區(qū)的網(wǎng)絡(luò)安全事件，建立聯(lián)合處置機(jī)制，成立聯(lián)合工作組，統(tǒng)一指揮協(xié)調(diào)處置工作。聯(lián)合工作組由相關(guān)單位負(fù)責(zé)人組成，下設(shè)技術(shù)組、協(xié)調(diào)組、宣傳組等專項(xiàng)小組。

3.支援協(xié)作機(jī)制

建立部門間支援協(xié)作機(jī)制，當(dāng)某一部門處置能力不足時，其他部門應(yīng)提供必要的支援。支援內(nèi)容包括技術(shù)支持、人員支援、物資支援等。支援協(xié)作應(yīng)遵循快速響應(yīng)、按需支援原則。

（六）恢復(fù)重建

1.系統(tǒng)恢復(fù)

在事件處置完成后，迅速開展系統(tǒng)恢復(fù)工作。系統(tǒng)恢復(fù)包括系統(tǒng)重建、數(shù)據(jù)恢復(fù)、業(yè)務(wù)恢復(fù)等環(huán)節(jié)。系統(tǒng)恢復(fù)需制定詳細(xì)方案，并進(jìn)行全面測試，確保系統(tǒng)穩(wěn)定運(yùn)行。

2.數(shù)據(jù)恢復(fù)

對因網(wǎng)絡(luò)安全事件丟失或損壞的數(shù)據(jù)，進(jìn)行數(shù)據(jù)恢復(fù)工作。數(shù)據(jù)恢復(fù)包括數(shù)據(jù)備份恢復(fù)、數(shù)據(jù)修復(fù)、數(shù)據(jù)重建等環(huán)節(jié)。數(shù)據(jù)恢復(fù)需確保數(shù)據(jù)的完整性和準(zhǔn)確性。

3.安全加固

在系統(tǒng)恢復(fù)后，對系統(tǒng)進(jìn)行全面安全加固，包括系統(tǒng)補(bǔ)丁更新、安全策略調(diào)整、訪問控制加強(qiáng)等環(huán)節(jié)。安全加固需根據(jù)事件原因和漏洞情況，有針對性地進(jìn)行。

4.總結(jié)評估

在事件處置完成后，及時開展總結(jié)評估工作。總結(jié)評估包括事件原因分析、處置效果評估、經(jīng)驗(yàn)教訓(xùn)總結(jié)等環(huán)節(jié)。總結(jié)評估結(jié)果應(yīng)形成書面報告，為今后類似事件處置提供參考。

四、報告流程與內(nèi)容規(guī)范

（一）報告主體

1.責(zé)任單位

網(wǎng)絡(luò)安全事件發(fā)生后，事件發(fā)生單位或運(yùn)營主體是首要報告責(zé)任方。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、網(wǎng)絡(luò)運(yùn)營者及數(shù)據(jù)處理者需指定專人負(fù)責(zé)報告工作，確保信息傳遞的及時性和準(zhǔn)確性。責(zé)任單位應(yīng)建立內(nèi)部報告機(jī)制，明確報告流程和責(zé)任人，避免信息傳遞延誤或遺漏。

2.監(jiān)管部門

網(wǎng)信部門作為網(wǎng)絡(luò)安全事件報告的主管部門，負(fù)責(zé)接收、匯總和上報網(wǎng)絡(luò)安全事件信息。公安機(jī)關(guān)、通信管理、行業(yè)主管部門等根據(jù)職責(zé)分工，協(xié)助開展事件報告工作?？绮块T事件需由牽頭部門統(tǒng)一協(xié)調(diào)，避免多頭報告或信息重復(fù)。

3.技術(shù)支撐機(jī)構(gòu)

國家及地方網(wǎng)絡(luò)安全應(yīng)急技術(shù)處理中心、安全服務(wù)機(jī)構(gòu)等專業(yè)技術(shù)機(jī)構(gòu)，在發(fā)現(xiàn)或協(xié)助處置網(wǎng)絡(luò)安全事件時，需向相關(guān)責(zé)任單位或監(jiān)管部門提供技術(shù)分析報告。技術(shù)報告應(yīng)客觀描述事件的技術(shù)特征，為后續(xù)調(diào)查提供依據(jù)。

（二）報告時限

1.初報時限

事件發(fā)生后，責(zé)任單位應(yīng)在1小時內(nèi)通過電話、短信等方式向?qū)俚鼐W(wǎng)信部門進(jìn)行口頭初報，內(nèi)容包括事件類型、初步影響范圍和處置措施?？陬^初報后2小時內(nèi)提交書面初報，詳細(xì)說明事件基本情況和已采取的行動。特別重大事件需同步上報國家網(wǎng)信辦。

2.續(xù)報時限

事件處置過程中，責(zé)任單位需每6小時向監(jiān)管部門報送一次事件進(jìn)展，包括最新影響范圍、處置措施和次生風(fēng)險。事件升級或出現(xiàn)新情況時，應(yīng)立即續(xù)報。重大及以上事件需24小時持續(xù)報送，直至事件終止。

3.終報時限

事件處置結(jié)束后，責(zé)任單位應(yīng)在3個工作日內(nèi)提交終報，內(nèi)容包括事件原因分析、處置效果評估、整改措施和責(zé)任認(rèn)定。終報需經(jīng)單位主要負(fù)責(zé)人簽字確認(rèn)，確保信息真實(shí)完整。

（三）報告內(nèi)容

1.事件基本信息

（1）事件名稱：簡明扼要概括事件類型，如“某電商平臺數(shù)據(jù)泄露事件”“某能源企業(yè)勒索軟件攻擊事件”。

（2）發(fā)生時間：精確到分鐘，記錄事件首次發(fā)現(xiàn)或發(fā)生的具體時間。

（3）發(fā)生地點(diǎn)：明確受影響系統(tǒng)、服務(wù)器或網(wǎng)絡(luò)設(shè)備的物理位置或IP地址。

（4）事件等級：依據(jù)分級標(biāo)準(zhǔn)標(biāo)注事件級別，如“Ⅰ級特別重大事件”。

2.事件影響評估

（1）影響范圍：說明受影響的用戶數(shù)量、系統(tǒng)功能或業(yè)務(wù)中斷情況。例如“導(dǎo)致全國30%用戶無法登錄”“核心生產(chǎn)系統(tǒng)癱瘓8小時”。

（2）損失情況：包括直接經(jīng)濟(jì)損失（如業(yè)務(wù)中斷導(dǎo)致的收入減少）、間接損失（如品牌聲譽(yù)受損）和社會影響（如公眾投訴數(shù)量）。

（3）數(shù)據(jù)安全：涉及數(shù)據(jù)泄露的，需說明泄露的數(shù)據(jù)類型（如個人信息、商業(yè)秘密）、數(shù)量和可能造成的后果。

3.處置措施進(jìn)展

（1）已采取措施：詳細(xì)描述事件發(fā)生后采取的隔離、修復(fù)、取證等行動，如“切斷受感染服務(wù)器與外網(wǎng)連接”“啟動數(shù)據(jù)備份恢復(fù)程序”。

（2）當(dāng)前狀態(tài)：說明事件是否得到控制、系統(tǒng)是否恢復(fù)運(yùn)行、數(shù)據(jù)是否完整等。

（3）下一步計(jì)劃：列出擬采取的后續(xù)措施，如“全面漏洞掃描”“加強(qiáng)訪問控制策略”。

4.技術(shù)分析摘要

（1）攻擊手段：簡要描述攻擊方式，如“SQL注入攻擊”“DDoS攻擊”“釣魚郵件傳播惡意代碼”。

（2）漏洞利用：指出被利用的系統(tǒng)漏洞或配置缺陷，如“ApacheLog4j遠(yuǎn)程代碼執(zhí)行漏洞”。

（3）溯源信息：如有初步溯源結(jié)果，需說明攻擊來源、IP地址或攻擊團(tuán)伙特征。

5.責(zé)任認(rèn)定與整改

（1）直接原因：分析事件發(fā)生的直接技術(shù)或管理原因，如“未及時安裝安全補(bǔ)丁”“員工安全意識薄弱”。

（2）管理責(zé)任：明確事件暴露的管理問題，如“安全管理制度未落實(shí)”“應(yīng)急演練不足”。

（3）整改方案：提出具體整改措施和時間節(jié)點(diǎn)，如“30天內(nèi)完成所有系統(tǒng)漏洞修復(fù)”“每季度開展全員安全培訓(xùn)”。

（四）報告形式

1.書面報告

書面報告需采用統(tǒng)一模板，包含封面、正文、附件等部分。正文應(yīng)分章節(jié)清晰表述，附件可附系統(tǒng)日志、截圖、檢測報告等證明材料。紙質(zhì)報告需加蓋單位公章，電子報告需使用加密傳輸。

2.口頭報告

口頭報告適用于緊急初報，需簡明扼要說明事件核心要素，避免技術(shù)細(xì)節(jié)。報告人需準(zhǔn)確記錄接收部門反饋意見，并同步提交書面報告。

3.系統(tǒng)報送

建立網(wǎng)絡(luò)安全事件報告信息平臺，實(shí)現(xiàn)線上填報、流轉(zhuǎn)和存檔。責(zé)任單位通過平臺提交報告，系統(tǒng)自動記錄提交時間、接收狀態(tài)和處置進(jìn)度，確保全程可追溯。

（五）報告審核

1.內(nèi)部審核

責(zé)任單位提交報告前，需經(jīng)安全管理部門、技術(shù)部門和法律部門聯(lián)合審核，確保內(nèi)容準(zhǔn)確、合規(guī)。審核重點(diǎn)包括事件等級判定是否準(zhǔn)確、損失評估是否客觀、整改措施是否可行。

2.上級審核

監(jiān)管部門收到報告后，組織專家進(jìn)行技術(shù)審核，重點(diǎn)核查事件描述與實(shí)際監(jiān)測數(shù)據(jù)是否一致、處置措施是否科學(xué)有效。審核意見需反饋給責(zé)任單位，要求補(bǔ)充或修正報告內(nèi)容。

3.跨部門會審

涉及多部門的事件，由牽頭部門組織聯(lián)合審核會議，共同確認(rèn)事件事實(shí)和責(zé)任。會審需形成會議紀(jì)要，作為后續(xù)調(diào)查和處置的依據(jù)。

（六）報告存檔

1.電子存檔

所有報告需在網(wǎng)絡(luò)安全事件信息管理系統(tǒng)中長期保存，保存期限不少于5年。電子檔案需包含原始報告、審核記錄、處置日志等完整信息，支持關(guān)鍵詞檢索和統(tǒng)計(jì)分析。

2.紙質(zhì)存檔

重要事件的紙質(zhì)報告需單獨(dú)歸檔，存放在符合保密要求的檔案室。紙質(zhì)檔案需標(biāo)注密級，并由專人管理，借閱需履行審批手續(xù)。

3.備份機(jī)制

建立報告異地備份機(jī)制，定期將電子檔案備份至獨(dú)立存儲介質(zhì)，防止因系統(tǒng)故障或?yàn)?zāi)難導(dǎo)致數(shù)據(jù)丟失。備份頻率至少每月一次，備份介質(zhì)需加密保存。

五、事件調(diào)查與責(zé)任認(rèn)定

（一）調(diào)查主體

1.牽頭部門

網(wǎng)信部門作為網(wǎng)絡(luò)安全事件調(diào)查的牽頭單位，負(fù)責(zé)組織協(xié)調(diào)跨部門調(diào)查工作。特別重大事件由國家網(wǎng)信辦直接組織調(diào)查，重大事件由省級網(wǎng)信部門牽頭，較大及一般事件由屬地網(wǎng)信部門負(fù)責(zé)。牽頭部門需組建專項(xiàng)調(diào)查組，明確組長及成員職責(zé)，確保調(diào)查工作有序開展。

2.參與部門

公安機(jī)關(guān)負(fù)責(zé)調(diào)查違法犯罪行為，依法采取偵查措施；通信管理部門提供網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)支持；行業(yè)主管部門配合調(diào)查本行業(yè)領(lǐng)域事件；技術(shù)支撐機(jī)構(gòu)提供技術(shù)分析服務(wù)。各部門需在牽頭部門統(tǒng)一協(xié)調(diào)下開展工作，避免職責(zé)交叉或遺漏。

3.調(diào)查組構(gòu)成

調(diào)查組應(yīng)由技術(shù)專家、法律顧問、行業(yè)代表等組成。技術(shù)專家負(fù)責(zé)分析攻擊手段、漏洞原因；法律顧問負(fù)責(zé)界定法律責(zé)任；行業(yè)代表提供業(yè)務(wù)影響評估。調(diào)查組成員需簽署保密協(xié)議，嚴(yán)守工作紀(jì)律。

（二）調(diào)查流程

1.現(xiàn)場封存

（1）證據(jù)保全：接到事件報告后，調(diào)查組需在2小時內(nèi)抵達(dá)現(xiàn)場，對受影響設(shè)備進(jìn)行物理封存，包括服務(wù)器、終端設(shè)備、網(wǎng)絡(luò)設(shè)備等。封存過程需全程錄像，制作封存清單，由見證人簽字確認(rèn)。

（2）數(shù)據(jù)備份：對關(guān)鍵系統(tǒng)進(jìn)行鏡像備份，確保原始數(shù)據(jù)不被篡改。備份介質(zhì)需使用防靜電袋封裝，標(biāo)注封存時間和責(zé)任人。

（3）環(huán)境隔離：切斷受影響系統(tǒng)與外部網(wǎng)絡(luò)的連接，防止證據(jù)滅失或攻擊擴(kuò)散。隔離范圍需經(jīng)技術(shù)評估后確定，避免過度影響正常業(yè)務(wù)。

2.技術(shù)分析

（1）日志審查：調(diào)取系統(tǒng)日志、安全設(shè)備日志、應(yīng)用程序日志，分析異常訪問記錄、失敗登錄嘗試、異常流量模式等。重點(diǎn)審查事件發(fā)生前72小時內(nèi)的日志數(shù)據(jù)。

（2）漏洞驗(yàn)證：對疑似漏洞進(jìn)行復(fù)現(xiàn)測試，確認(rèn)漏洞存在性及可利用性。測試需在隔離環(huán)境中進(jìn)行，避免產(chǎn)生次生風(fēng)險。

（3）攻擊溯源：通過IP地址、攻擊工具特征、代碼相似性等線索，追蹤攻擊來源。涉及境外攻擊的，需通過國際合作渠道獲取證據(jù)。

3.原因認(rèn)定

（1）直接原因：明確導(dǎo)致事件發(fā)生的直接技術(shù)或管理因素，如未安裝安全補(bǔ)丁、弱口令策略、越權(quán)訪問漏洞等。

（2）間接原因：分析暴露的管理問題，如安全培訓(xùn)缺失、應(yīng)急演練不足、第三方管理疏漏等。

（3）根本原因：追溯制度性缺陷，如安全責(zé)任未落實(shí)到人、風(fēng)險評估機(jī)制缺失、安全投入不足等。

4.報告撰寫

調(diào)查結(jié)束后15日內(nèi)形成調(diào)查報告，內(nèi)容包括事件經(jīng)過、技術(shù)分析、原因認(rèn)定、責(zé)任主體、整改建議等。報告需經(jīng)調(diào)查組集體審議，由牽頭部門負(fù)責(zé)人簽字后報送上級部門。

（三）責(zé)任認(rèn)定

1.直接責(zé)任

（1）操作人員：因違規(guī)操作導(dǎo)致事件的，如使用弱口令、點(diǎn)擊釣魚郵件、違規(guī)安裝軟件等，由所在單位進(jìn)行內(nèi)部問責(zé)，可給予警告、降職、解除勞動合同等處分。

（2）技術(shù)人員：因技術(shù)失誤導(dǎo)致事件的，如配置錯誤、代碼漏洞、備份失效等，需承擔(dān)相應(yīng)技術(shù)責(zé)任，情節(jié)嚴(yán)重的吊銷執(zhí)業(yè)資格。

2.管理責(zé)任

（1）安全負(fù)責(zé)人：未落實(shí)安全管理制度、未組織定期檢查、未督促整改隱患的，由上級主管部門給予通報批評、行政處分。

（2）單位負(fù)責(zé)人：未保障安全投入、未配備專職人員、未開展應(yīng)急演練的，需承擔(dān)領(lǐng)導(dǎo)責(zé)任，可給予誡勉談話、降職等處理。

3.監(jiān)管責(zé)任

（1）行業(yè)監(jiān)管部門：未履行行業(yè)監(jiān)管職責(zé)、未督促企業(yè)落實(shí)安全要求的，由上級監(jiān)察機(jī)關(guān)追究行政責(zé)任。

（2）網(wǎng)信部門：未及時響應(yīng)事件、未有效組織調(diào)查的，需承擔(dān)監(jiān)管失職責(zé)任，可給予通報批評、組織處理。

（四）責(zé)任追究

1.行政追責(zé)

（1）對責(zé)任單位：責(zé)令限期整改，處以罰款，情節(jié)嚴(yán)重的吊銷經(jīng)營許可證。

（2）對責(zé)任人：根據(jù)過錯程度給予警告、記過、降職、撤職等處分，涉嫌違法的移送司法機(jī)關(guān)。

2.刑事追責(zé)

（1）涉密事件：泄露國家秘密的，依照《刑法》第111條追究刑事責(zé)任。

（2）數(shù)據(jù)犯罪：非法獲取、出售公民個人信息的，依照《刑法》第253條處罰。

（3）攻擊行為：實(shí)施網(wǎng)絡(luò)攻擊造成嚴(yán)重后果的，依照《刑法》第285條、第286條定罪。

3.信用懲戒

（1）將責(zé)任單位納入失信名單，限制參與政府采購、享受稅收優(yōu)惠等。

（2）對責(zé)任人實(shí)施行業(yè)禁入，禁止在相關(guān)領(lǐng)域從業(yè)。

（五）整改落實(shí)

1.整改方案

責(zé)任單位需在調(diào)查報告批復(fù)后30日內(nèi)制定整改方案，明確整改目標(biāo)、措施、時限和責(zé)任人。整改內(nèi)容應(yīng)覆蓋技術(shù)漏洞、管理缺陷和制度短板。

2.驗(yàn)收評估

（1）整改完成后，責(zé)任單位需提交整改報告，附相關(guān)證明材料。

（2）牽頭部門組織專家進(jìn)行現(xiàn)場驗(yàn)收，重點(diǎn)檢查整改措施落實(shí)情況和效果。

（3）驗(yàn)收不合格的，責(zé)令重新整改，并追究相關(guān)責(zé)任。

3.長效機(jī)制

（1）建立安全事件案例庫，定期組織學(xué)習(xí)，吸取教訓(xùn)。

（2）完善安全管理制度，將整改經(jīng)驗(yàn)轉(zhuǎn)化為常態(tài)化要求。

（3）加強(qiáng)第三方監(jiān)管，引入獨(dú)立機(jī)構(gòu)開展安全評估。

（六）監(jiān)督問責(zé)

1.上級監(jiān)督

上級網(wǎng)信部門對下級部門調(diào)查工作進(jìn)行監(jiān)督檢查，重點(diǎn)檢查調(diào)查程序是否規(guī)范、責(zé)任認(rèn)定是否準(zhǔn)確、整改是否到位。

2.社會監(jiān)督

（1）公布調(diào)查報告摘要，接受公眾監(jiān)督。

（2）開通舉報渠道，對瞞報、漏報、遲報行為進(jìn)行舉報。

3.責(zé)任倒查

對調(diào)查工作中存在失職瀆職、包庇縱容等行為的，依法依規(guī)嚴(yán)肅追究調(diào)查人員責(zé)任。

六、保障措施

（一）制度保障

1.法規(guī)體系完善

（1）修訂現(xiàn)有網(wǎng)絡(luò)安全法規(guī)，補(bǔ)充事件報告調(diào)查處理專項(xiàng)條款，明確各主體責(zé)任邊界。

（2）制定配套實(shí)施細(xì)則，細(xì)化事件分級標(biāo)準(zhǔn)、報告流程、調(diào)查權(quán)限等操作規(guī)范。

（3）建立動態(tài)更新機(jī)制，每年評估法規(guī)適用性，根據(jù)新型威脅及時調(diào)整制度內(nèi)容。

2.標(biāo)準(zhǔn)規(guī)范建設(shè)

（1）制定網(wǎng)絡(luò)安全事件技術(shù)調(diào)查標(biāo)準(zhǔn)，規(guī)范證據(jù)保全、溯源分析等操作流程。

（2）建立事件評估指標(biāo)體系，統(tǒng)一危害程度判定方法和損失計(jì)算標(biāo)準(zhǔn)。

（3）編制應(yīng)急響應(yīng)操作手冊，為基層單位提供標(biāo)準(zhǔn)化處置指南。

3.考核問責(zé)機(jī)制

（1）將事件報告調(diào)查處理納入政府部門績效考核，實(shí)行"一票否決"制度。

（2）建立責(zé)任倒查機(jī)制，對瞞報、漏報、處置不力的單位和個人嚴(yán)肅追責(zé)。

（3）定期開展執(zhí)法檢查，重點(diǎn)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者制度落實(shí)情況。

（二）技術(shù)保障

1.監(jiān)測預(yù)警體系

（1）建設(shè)國家級網(wǎng)絡(luò)安全監(jiān)測平臺，整合跨部門數(shù)據(jù)資源，實(shí)現(xiàn)全網(wǎng)態(tài)勢感知。

（2）部署分布式監(jiān)測節(jié)點(diǎn)，對關(guān)鍵行業(yè)實(shí)時流量分析，提前識別異常行