工業(yè)和信息化領域數(shù)據安全事件應急預案（試行）

本預案所稱數(shù)據安全事件，是指數(shù)據遭篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、生產運營、經濟運行等造成的影響范圍和危害程度，將數(shù)據安數(shù)據安全事件應急工作應當堅持統(tǒng)一領導、分級負責。堅體責任。堅持充分發(fā)揮各方面力量，共同做好數(shù)據安全事件應在國家數(shù)據安全工作協(xié)調機制統(tǒng)籌協(xié)調下，工業(yè)和信息化部網絡安全和信息化領導小組（以下簡稱部網信領導小組）統(tǒng)一領導數(shù)據安全事件應急管理工作，負責特別重大數(shù)據安全事在部網信領導小組統(tǒng)一領導下，工業(yè)和信息化領域數(shù)據安全工作機制（以下簡稱數(shù)據安全機制）負責統(tǒng)籌開展工業(yè)和信息化領域數(shù)據安全應急處置工作；及時向部網信領導小組報告負責重大數(shù)據安全事件的統(tǒng)一指揮和協(xié)調處置；根據需要協(xié)調數(shù)據安全機制具體工作由工業(yè)和信息化部網絡安全管理局各省、自治區(qū)、直轄市及計劃單列市、新疆生產建設兵團工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局和無線電管理機構（以下統(tǒng)稱地方行業(yè)監(jiān)管部門）負責組織開展本地區(qū)本領域數(shù)據安全事件應急處置工作，結合實際根據本預工業(yè)和信息化領域數(shù)據處理者負責本單位數(shù)據安全事件預防、監(jiān)測、應急處置、報告等工作，應當根據應對數(shù)據安全事中央企業(yè)應當督促指導所屬企業(yè)在數(shù)據安全事件應急處置所屬企業(yè)的數(shù)據安全事件應急處置相關情況，按要求及時報送工業(yè)和信息化部及地方行業(yè)監(jiān)管部門（以下統(tǒng)稱行業(yè)監(jiān)管部門）根據需要遴選部級與屬地兩級專業(yè)數(shù)據安全應急支撐機構，負責開展數(shù)據安全事件預防保護、監(jiān)測預警、應急處置、行業(yè)監(jiān)管部門按照有關法律、行政法規(guī)，與有關部門加強地方行業(yè)監(jiān)管部門、工業(yè)和信息化領域數(shù)據處理者、數(shù)據安全應急支撐機構應當按照《工業(yè)和信息化領域數(shù)據安全管理辦法（試行）》、工業(yè)和信息化領域數(shù)據安全風險信息報送與共享等要求，加強數(shù)據安全風險監(jiān)測、研判和上報，分析相關地方行業(yè)監(jiān)管部門認為可能發(fā)生重大及以上數(shù)據安全事件工業(yè)和信息化領域數(shù)據處理者、數(shù)據安全應急支撐機構認為可能發(fā)生較大及以上數(shù)據安全事件的，應當立即向地方行業(yè)工業(yè)和信息化部統(tǒng)籌建立數(shù)據安全風險預警機制，根據緊急程度、發(fā)展態(tài)勢、數(shù)據規(guī)模、關聯(lián)影響和現(xiàn)實危害等，將數(shù)據安全風險預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色標示，分別對應可能發(fā)生特別重大、重大、較大和行業(yè)監(jiān)管部門及時匯總分析數(shù)據安全風險和預警信息，必要時組織數(shù)據安全應急支撐機構、專家、相關企業(yè)進行會商談認為需要發(fā)布紅色、橙色預警的，由數(shù)據安全機制報部網信領導小組同意后統(tǒng)一發(fā)布，紅色預警同步報國家數(shù)據安全工作協(xié)調機制辦公室；認為需要發(fā)布黃色和藍色預警的，由相關發(fā)布預警信息時，應當包括預警等級、起始時間、可能的影響范圍和造成的危害、警示事項、應采取的防范措施、處置發(fā)布黃色和藍色預警后，地方行業(yè)監(jiān)管部門應當針對即將發(fā)布紅色和橙色預警后，數(shù)據安全機制除采取黃色和藍色預警響應措施外，還應當針對即將發(fā)生的數(shù)據安全事件特點和預警信息研究制定應對方案，檢查應急設備、軟件工具等使用數(shù)據安全機制、地方行業(yè)監(jiān)管部門發(fā)布預警后，應當根據事態(tài)發(fā)展，適時調整預警級別并按照權限重新發(fā)布。經研判不可能發(fā)生事件或風險已經解除的，應當及時宣布解除預警，并數(shù)據安全事件應急響應分為四級：I級、II級、III級、IV級，分別對應發(fā)生特別重大、重大、較大、一般數(shù)據安全事件工業(yè)和信息化領域數(shù)據處理者一旦發(fā)現(xiàn)數(shù)據安全事件，應當立即先行判斷，對自判為較大及以上事件的，應當立即向地數(shù)據安全應急支撐機構應當通過多種途徑監(jiān)測、收集數(shù)據地方行業(yè)監(jiān)管部門初步研判為特別重大、重大數(shù)據安全事件的，應當在發(fā)現(xiàn)事件后按照“電話10分鐘、書面30分鐘”的數(shù)據安全機制按照有關規(guī)定將涉及重大及以上的數(shù)據安全報告事件研判信息時，應當說明事件發(fā)生時間、初步判定數(shù)據安全事件發(fā)生后，工業(yè)和信息化領域數(shù)據處理者應當立即啟動應急響應工作，組織本單位應急隊伍和工作人員采取應急處置措施，開展數(shù)據恢復或追溯工作，盡可能減少對用戶班，組織研究應對措施，統(tǒng)籌開展應急處置工作。數(shù)據安全直接責任人（本單位數(shù)據安全工作分管領導）對應急處置工作進相關部級與屬地數(shù)據安全應急支撐機構進入應急狀態(tài)，加強值班值守，相關人員保持聯(lián)絡暢通；持續(xù)加強監(jiān)測分析，跟組織專家加強安全事件研判分析，配合開展會商研討，提鐘”的要求將事件情況向部網信領導小組報告；進入應急狀態(tài)，對應急處置工作進行決策部署；視事件嚴重程度和涉事數(shù)據處地方行業(yè)監(jiān)管部門立即啟動本地區(qū)本領域數(shù)據安全事件應急預案，進入應急狀態(tài)，相關人員保持聯(lián)絡暢通，派員參加數(shù)據安全機制工作；加強事件跟蹤監(jiān)測、研判分析和排查處置，涉事數(shù)據處理者立即進入應急狀態(tài)，數(shù)據安全直接責任人牽頭研究應對措施，統(tǒng)籌部署開展應急處置工作，相關人員保持聯(lián)絡暢通；持續(xù)加強監(jiān)測分析，跟蹤事態(tài)發(fā)展，評估影響范圍和事件原因，采取有效整改處置措施，并及時匯報工作進展相關部級與屬地數(shù)據安全應急支撐機構進入應急狀態(tài)，相組織專家加強安全事件研判分析，配合開展會商研討，提由相關地方行業(yè)監(jiān)管部門按照本地區(qū)本領域數(shù)據安全事件相關行業(yè)監(jiān)管部門組織涉事數(shù)據處理者、數(shù)據安全應急支撐機構等加強事態(tài)跟蹤研判、開展事件處置，及時將事件進展及重要情況報數(shù)據安全機制，通知可能受影響的其他區(qū)域做好涉事數(shù)據處理者持續(xù)開展監(jiān)測分析，跟蹤事態(tài)發(fā)展，評估影響范圍和事件原因；加強相關業(yè)務系統(tǒng)應用安全加固措施，提升數(shù)據安全防護能力，采取有效整改處置措施，并及時匯報相關屬地數(shù)據安全應急支撐機構持續(xù)加強監(jiān)測分析，跟蹤涉事數(shù)據處理者應當按照行業(yè)數(shù)據安全保護相關政策標準涉事數(shù)據處理者可根據事態(tài)發(fā)展等情況，向屬地行業(yè)監(jiān)管地方行業(yè)監(jiān)管部門根據涉事數(shù)據處理者的申請情況或者事數(shù)據安全機制根據地方行業(yè)監(jiān)管部門上報情況或者事態(tài)發(fā)行業(yè)監(jiān)管部門組織監(jiān)測公開信息發(fā)布渠道，密切關注數(shù)據家數(shù)據安全工作協(xié)調機制有關決定或經部網信領導小組批準后結束；II級響應由數(shù)據安全機制決定結束，并報部網信領導小重大及以上數(shù)據安全事件應急工作結束后，涉事數(shù)據處理者應當及時調查事件的起因、經過、責任，評估事件造成的影響和損失，總結事件防范和應急處置工作的經驗教訓，提出處理意見和改進措施，在應急工作結束后5個工作日內形成總結行業(yè)監(jiān)管部門應及時向社會發(fā)布與公眾有關的警示信息，工業(yè)和信息化領域數(shù)據處理者應當根據有關法律法規(guī)和標準的規(guī)定，建立健全數(shù)據安全管理制度，建設數(shù)據安全應急技術手段，重要數(shù)據和核心數(shù)據處理者應當每年至少開展一次數(shù)行業(yè)監(jiān)管部門依法開展數(shù)據安全監(jiān)督檢查，指導督促相關行業(yè)監(jiān)管部門應當定期組織開展數(shù)據安全事件應急演練，工業(yè)和信息化領域數(shù)據處理者應當積極參與行業(yè)監(jiān)管部門的應急演練，開展本單位數(shù)據安全事件應急演練，提高數(shù)據安全事件應對能力。重要數(shù)據和核心數(shù)據處理者應當加強應急演行業(yè)監(jiān)管部門應當組織開展數(shù)據安全事件應急相關法律法規(guī)、應急預案和基本知識的宣傳教育和培訓，提高相關單位和工業(yè)和信息化領域數(shù)據處理者應當面向本單位員工加強數(shù)據安全應急宣傳教育和培訓，鼓勵開展各種形式的數(shù)據安全應工業(yè)和信息化部統(tǒng)籌建設工業(yè)和信息化領域數(shù)據安全監(jiān)測違規(guī)傳輸、流量異常等安全風險和事件進行監(jiān)測預警，并及時地方行業(yè)監(jiān)管部門建立本地區(qū)本領域數(shù)據安全監(jiān)測預警與應急處置能力，組織相關企業(yè)開展數(shù)據安全風險和事件監(jiān)測預工業(yè)和信息化領域數(shù)據處理者等單位應當開展數(shù)據安全風險和事件監(jiān)測，積極配合行業(yè)監(jiān)管部門開展數(shù)據安全風險監(jiān)測和技術能力聯(lián)動等工作，及時排查安全隱患，采取必要的措施數(shù)據安全應急支撐機構等加強數(shù)據安全風險監(jiān)測、威脅研判和事件處置，強化風險防范與應對措施。相關重點單位、重點崗工業(yè)和信息化部加強數(shù)據安全事件應急處置工作督導和落實。地方行業(yè)監(jiān)管部門、工業(yè)和信息化領域數(shù)據處理者、數(shù)據安全應急支撐機構應當把數(shù)據安全應急工作責任落實到單位負工業(yè)和信息化部對數(shù)據安全事件應急處置工作中作出突出對未按照本預案開展數(shù)據安全事件應急處置工作的，行業(yè)行業(yè)監(jiān)管部門、數(shù)據安全應急支撐機構等為數(shù)據安全事件工業(yè)和信息化領域數(shù)據處理者應當安排必要的專項資金，支持本單位數(shù)據安全應急隊伍建設、手段建設、應急演練、應行業(yè)監(jiān)管部門與其他相關部門加強溝通協(xié)調，支持相關企業(yè)、科研院所、高等學校開展應急技術攻關、產品服務和能力供給，培養(yǎng)數(shù)據安全應急技術人才，形成應急響應工行業(yè)監(jiān)管部門和應急支撐機構應當加強對數(shù)據安全應急裝備、工具的儲備，及時調整、升級、優(yōu)化軟件硬件工具，不斷工業(yè)和信息化部根據職責建立國際合作渠道，必要時通過國際合作應對數(shù)據安全事件。鼓勵相關企業(yè)、科研院所、高等學校、工業(yè)和信息化領域數(shù)據處理者等開展數(shù)據安全國際交流行業(yè)監(jiān)管部門、應急支撐機構工作人員對在履行職責中知悉的個人信息和商業(yè)秘密等，應當嚴格保密，不得泄露或者非本預案原則上每年評估一次，根據實際情況由工業(yè)和信息涉及軍事、國家秘密信息等數(shù)據安全事件應急響應的，按涉及國防科技工業(yè)、煙草領域數(shù)據安全事件應急響應的，由國家國防科技工業(yè)局、國家煙草專賣局負責，具體制度參照涉及工業(yè)和信息化領域政務數(shù)據安全事件應急響應的，由工業(yè)和信息化領域數(shù)據安全事件分級（一）重要數(shù)據、核心數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、社會秩序、經濟建設和公眾非法利用，對工業(yè)生產運營等造成特別重大損害，導致大范圍停工停產、大量業(yè)務處理能力喪失等；或者電信領域數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，導致重要網絡設泄露或者非法獲取、非法利用，導致發(fā)生重大無線電干擾或非法占用重要業(yè)務無線電頻率違規(guī)發(fā)射無線電（三）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利（五）其他造成或可能造成特別重大危害或影響的。（一）重要數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、社會秩序、經濟建設和公眾利益構成嚴非法利用，對工業(yè)生產運營等造成重大損害，導致較大范圍停工停產、較大量業(yè)務處理能力喪失等；或者電信領域數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，導致重要網絡設或者無線電領域數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，導致發(fā)生重大無線電干擾或非法占用重要無線電頻率（三）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利（五）其他造成或可能造成重大危害或影響的。（一）重要數(shù)據或一般數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、社會秩序、經濟建設和公眾非法利用，對工業(yè)生產運營等造成較大損害，導致部分業(yè)務處理能力喪失等；或者電信領域數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，導致相關網絡設施和信息系統(tǒng)運行中斷或嚴重異常，持續(xù)時間8小時以上的；或者無線電領域數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利用，導致發(fā)生重大無線電干擾或非法占用重要無線電頻率違規(guī)發(fā)射無線電信號，持續(xù)時間8小時以上的；（三）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利（五）其他造成或可能造成較大危害或影響的。（一）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利（二）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利信息系統(tǒng)和無線電系統(tǒng)運行中斷或嚴重異常，持續(xù)時間8小時（三）數(shù)據遭到篡改、破壞、泄露或者非法獲取、非法利（四）發(fā)生個人信息安全事件，涉及100萬人以下個人信（五）其他造成或可能造成一般危害或影響的。數(shù)據安全事件上報（模板）（簡要描述事件已采取的措施、擬進一步