第一章 总则
第一条 为健全完善学校网络安全事件应急工作机制,提高网络安全事件应急处置能力,预防和减少网络安全事件造成的损失和危害,根据《国家网络安全事件应急预案》(中网办发文〔2017〕4 号)和《教育系统网络安全事件应急预案》(教技〔2018〕8 号)要求,结合学校实际,制定本预案。
第二条 本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
第三条 本预案适用于学校各党群部门、行政部门、直属单位、各学部(院)及其下属单位。各单位应依照本预案履行网络安全事件应急处理的义务和责任。
第二章 组织机构与职责
第四条 学校网络安全和信息化领导小组(以下简称“网信领导小组”)负责统筹协调学校全局性网络安全事件应急工作,指导学校各单位网络安全事件应急处置。
第五条 学校网络安全和信息化领导小组办公室(以下简称“网信办”)负责学校网络安全事件的预防、监测、报告和应急工作。向学校网信领导小组报告网络安全事件情况,提出特别重大网络安全事件应对措施建议,统筹组织网络安全监测工作和应急处置的技术支撑工作。
第六条 发生特别重大网络安全事件时,学校成立网络安全事件应急工作组。工作组负责组织指挥和协调事件处置,并根据实际情况取得上级主管部门和社会技术支撑力量的支持。
第七条 学校各二级部门按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,参照本预案制定应急预案,承担各自网络安全责任,全面落实各项工作。
第三章 工作原则
第八条 统一指挥、密切协同。学校网信领导小组统筹协调学校网络安全应急指挥工作,建立与教育部网络安全职能部门、专业机构等多方参与的协调联动机制,加强预防、监测、报告和应急处置等环节的紧密衔接,做到快速响应、正确应对、果断处置。
第九条 分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,各单位对本单位网络安全工作负主体责任,领导班子主要负责人是网络安全工作第一责任人。
第十条 预防为主、平战结合。坚持事件处置和预防工作相结合,做好事件预防、预判、预警工作,加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力,抓早抓小,争取早发现、早报告、早控制、早解决,严控网络安全事件风险和影响范围。
第四章 事件分级
第十一条 根据可能造成的危害、可能发展蔓延的趋势,网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
第十二条 符合下列情形之一的,为特别重大网络安全事件(I 级):
(一)学校网络与信息系统发生全校性大规模瘫痪,对学校正常工作造成特别严重损害,且事态发展超出学校控制能力的安全事件;
(二)学校核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改,且事态发展超出学校控制能力的安全事件;
(三)其他对学校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
第十三条 符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件(II 级):
(一)学校网络与信息系统造成全校性瘫痪,对学校正常工作造成严重损害,事态发展超出学校信息技术部门控制能力,需学校各部门协同处置的安全事件;
(二)学校核心业务信息系统(网站)遭受严重系统损失,造成系统瘫痪,业务处理能力受到重大影响;
(三)核心业务信息系统(网站)的重要敏感信息或关键数据发生丢失或被窃取、篡改;
(四)其他对学校安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
第十四条 符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件(III 级):
(一)学校某一区域的网络与信息系统瘫痪,对学校正常工作造成较大损害的安全事件;
(二)重要业务信息系统(网站)遭受较大系统损失,明显影响系统效率,业务处理能力受到影响;
(三)重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒;
(四)其他对学校安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
第十五条 一般网络安全事件(IV 级):除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
第五章 监测与预警
第十六条 学校建立网络安全事件预警机制。按照紧急程度、发展态势和可能造成的危害程度,学校网络安全事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生的学校特别重大、重大、较大和一般网络安全事件。
第十七条 事件监测:学校网信办通过多种渠道监测、发现已经发生的学校网络安全事件,将掌握的情况立即通知相关二级单位。各二级单位对本单位网络和信息系统(网站)的运行状况进行密切监测,一旦发生网络安全事件,应当立即向学校报告,不得迟报、谎报、瞒报、漏报。第十八条 威胁检测:学校网信办组织对学校网络安全威胁进行监测,建立多方协作的信息共享机制,通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息。各二级单位加强对本单位网络和信息系统(网站)的网络安全威胁监测,对发生的威胁及时进行处置和上报。
第十九条 预警研判和发布
(一)各二级单位对监测信息进行研判,对发生网络安全事件的可能性及其可能造成的影响进行分析评估,认为需要立即采取防范措施的及时通知有关单位;认为可能发生重大以上(含重大)网络安全事件的信息,应立即向学校网信办报告。
(二)学校网信办可根据监测研判情况,发布学校黄色以下(含黄色)预警。如需发出橙色预警,由网信办研判,提出发布橙色预警建议,报学校网信领导小组批准后统一发布。对达不到预警级别但又需要发布警示信息的,网信办可发布风险提示信息。
(三)学校网信办研判可能会发生特别重大网络安全事件时,报学校网信领导小组批准后,应立即向教育部网络安全应急办报告,由教育部研判是否发出红色预警信息,并配合教育部进行预警响应。
(四)预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布机关等。
第二十条 预警响应
红色预警响应工作内容:
(一)学校网信办配合教育部网络安全应急办进行预警响应工作,配合教育部有关部门、专业机构和专家,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备,重要情况报学校网信领导小组和教育部网络安全应急办。
(二)学校网信办组织跟踪和分析研判,密切关注事态发展,做好监测分析和信息搜集工作;开展应急处置或准备、风险评估;协助党委宣传部密切关注舆情动态,加强教育引导,采取有效措施管控风险;
(三)有关单位按照学校网信办要求,实行 24 小时值守,相关人员保持通信联络畅通;
(四)学校网信办做好与教育部网信办及专业机构沟通协调的准备工作,研究制定应对方案,相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
橙色预警响应工作内容:
(一)学校网信办启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作;
(二)学校网信办密切关注事态发展,有关重大事项及时通报有关单位;
(三)相关应急技术支撑队伍保持联络畅通,检查应急设备、软件工具等,确保处于良好状态。
黄色、蓝色预警响应工作内容:
由学校网信办及涉及的学校二级单位根据预案,组织做好预警响应工作。
第二十一条 预警解除:学校网信办根据实际情况,确定是否解除预警,及时发布预警解除信息。
第六章 应急处置
第二十二条 网络安全事件发生后,事发单位应立即启动应急预案,立即组织本单位的应急队伍和工作人员根据不同的事件类型和事件原因,采取科学有效的应急处置措施,尽最大努力将影响降到最低,并注意保存网络攻击、网络入侵或网络病毒等证据。
第二十三条 事发单位技术能力无法处置的,应及时通报学校网信办。网信办组织研判,认定为特别重大网络安全事件的,报学校网信领导小组和教育部网络安全应急办公室。对于人为破坏活动,同时由保卫部报当地公安机关。
第二十四条 I 级响应处置流程
发生特别重大网络安全事件,由学校网信办向学校网信领导小组提出启动 I 级响应的建议,经批准后,成立工作组。
(一)启动指挥体系
工作组进入应急状态,履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持 24 小时联络畅通,学校网信办 24小时值守。
有关单位网络安全职能部门进入应急状态,在工作组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作,启动 24 小时值守,并派工作人员参加学校网信办工作。
(二)掌握事件动态
事发二级单位与学校网信办保持联系,及时填写《中国传媒大学网络安全事件情况报告》,将事态发展变化情况和处置进展情况上报网信办。
学校网信办立即全面了解学校主管的网络和信息系统是否受到事件的波及或影响。
学校网信办负责整理上述情况,重大事项及时报学校网信领导小组和教育部网络安全应急办公室,并通报学校相关单位。
(三)决策部署
工作组组织有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见,对处置工作进行决策部署。
(四)处置实施
控制事态防止蔓延。采取各种技术措施、管控手段,最大限度阻止和控制事态蔓延。
消除隐患恢复系统。根据事件发生原因,针对性制定解决方案,备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。
调查取证。事发单位应在保留相关证据的基础上,开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。
信息发布。学校宣传部根据实际,组织网络安全突发事件的应急新闻工作,指导协调各单位开展新闻发布和舆论引导工作。未经批准,其他单位不得擅自发布相关信息。
协调教育部支持。处置中需要技术及工作支持的,由学校网信办根据实际,报请工作组批准后,商教育部网络安全应急办公室予以支持。
次生事件处置。对于引发或可能引发其他安全事件的,学校网信办应及时按程序上报。在相关部门应急处置中,学校网信办做好协调配合工作。
第二十五条 II 级响应处置流程
网络安全事件的 II 级响应,由学校网信办确定并发布。
(一)事发单位进入应急状态,按照相关应急预案做好应急处置工作;
(二)事发单位及时填写《中国传媒大学网络安全事件情况报告》,报学校网信办;
(三)处置中需要其他单位和网络安全应急技术支撑队伍配合和支持的,商学校网信办予以协调;
(四)有关单位根据通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
第二十六条 Ⅲ级和Ⅳ级响应处置:事件发生单位按相关预案进行应急响应。
第二十七条 响应结束流程:I 级响应由学校网信办提出建议,经工作组批准后,及时通报有关单位;II 级响应由学校网信办根据实际决定 II 级响应的结束;III 级、IV 级响应由事发单位完成应急处置后,报网信办核实后,自行解除 III 级、IV级响应状态。
第七章 调查与评估
第二十八条 特别重大网络安全事件由学校网信办组织有关单位开展调查处理和总结评估工作,并将调查评估结果汇总上报学校网信领导小组及教育部网络安全应急办公室;重大网络安全事件根据事发单位属性,由网信办组织开展调查处理和总结评估工作;较大和一般网络安全事件由事发单位组织开展调查处理和总结评估工作。
第二十九条 网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成。
第八章 预防工作
第三十条 各单位应做好网络安全事件日常预防工作,根据本预案制定完善相关的专项应急预案和配套的管理制度,建立完善的应急管理体制。按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施,做好网络安全检查、风险评估和容灾备份,加强信息系统的安全保障能力。
第三十一条 各单位应加强网络安全监测预警和通报,及时发现并处置安全威胁。学校网信办应全面掌握学校信息系统(网站)情况,建立学校网络安全监测预警和通报机制,并指导、监督学校二级单位及时修复安全威胁,全面排查安全隐患,提高发现和应对网络安全事件的能力。
第三十二条 学校网信办负责每年组织针对特别重大网络安全事件的跨层级的应急演练,检验和完善预案,提高实战能力。每年至少组织一次应急演练,每年年底前将本年度演练情况报教育部网络安全应急办公室。
第三十三条 各单位应加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时,充分利用网络安全周等各种活动形式和传播媒介,开展网络安全基本知识和技能的宣传活动,提高本单位师生的网络安全意识。
第三十四条 各单位应定期组织网络安全培训,将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全事件应急预案的学习,提高网络安全管理和技术人员的防范意识及安全技能。
第九章 工作保障
第三十五条 各单位应落实网络安全应急工作责任制,明确网络安全责任领导及网络安全员,并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责”的原则,把网络安全应急工作责任落实到具体岗位和个人,建立健全应急工作机制。
第三十六条 相关部门应加强与兄弟院校、网络安全专业机构、行业学会和教育网网络中心等单位的合作,建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。
第三十七条 学校为网络安全应急工作提供必要的经费保障,利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。第三十八条 学校对网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励;对不按照规定制定应急预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
第十章 附则
第三十九条 本预案原则上每年评估一次,根据实际情况适时修订。各二级单位要根据本预案制定或修订本单位的网络安全事件应急预案。各预案要做好与本预案的衔接,并报学校网络安全和信息化领导小组办公室。
第四十条 本预案由网络安全和信息化领导小组办公室负责解释。
第四十一条 本预案自印发之日起实施。
