关于印发临泽县政务数据 安全事件应急预案的通知

临泽县人民政府办公室

关于印发临泽县政务数据

安全事件应急预案的通知

各镇人民政府，县政府有关部门，县属及省市驻临有关单位：

现将《临泽县政务数据安全事件应急预案》印发你们，请认真遵照执行。

临泽县人民政府办公室

2023年4月21日

临泽县政务数据安全事件应急预案

一、总则

1.1编制目的

建立健全县政务数据安全事件应急工作机制，加强政务数据安全事件应急处置工作，提高政务数据安全事件应急处置能力，预防和减少政务数据安全事件造成的损失和危害，保障各政务系统安全稳定运行。

1.2编制依据

《中华人民共和国网络安全法》《中华人民共和国数据安全法》《国家网络安全事件应急预案》《信息安全技术政务数据安全事件分类分级指南》《信息安全技术信息安全应急响应计划规范》《信息安全技术大数据安全管理指南》《张掖市政务数据安全应急预案》和《临泽县突发事件总体应急预案》等相关规定。

1.3适用范围

本预案所指政务数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对政务应用系统或政务数据造成危害，从而对个人、单位、社会造成负面影响的事件，可分为信息破坏事件、数据安全事件、设备设施故障、灾害性事件和其他事件。

本预案适用于临泽县行政区域内政务应用系统和政务数据安全事件的应对处置工作。

1.4工作原则

坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好政务数据安全事件的预防和处置工作。

二、 事件分级和分类

2.1事件分级

政务数据安全事件分为四级：特别重大数据安全事件（Ⅰ级）、重大数据安全事件（Ⅱ级）、较大数据安全事件（Ⅲ级）、一般数据安全事件（Ⅳ级），Ⅰ级为最高级。

2.1.1特别重大数据安全事件（Ⅰ级）

重大事件是指能够导致特别严重影响或破坏的数据安全事件，包括以下情况：

（1）对外提供政务服务的网站类、移动端应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的；

（2）造成5万条以上数据泄露；

（3）造成80%以上政务应用系统处于中断服务状态；

（4）其他造成特别重大损失或特别重大的不良影响的数据

安全事件。

2.1.2重大数据安全事件（Ⅱ级）

重大数据安全事件是指能够导致较大范围影响或破坏的数

据安全事件，包括以下情况：

（1）造成5万条以下5千条以上数据泄露；

（2）造成60%以上80%以下政务应用系统处于中断服务状态；

（3）对外提供政务服务的网站类、移动端应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重的经济和社会影响；

（4）其他造成重大损失或重大的不良影响的数据安全事件；

（5）当Ⅱ级数据安全事件12小时内未完成处置，则升级为Ⅰ级政务数据安全事件。

2.1.3较大数据安全事件（Ⅲ级）

较大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：

（1）造成30%以上60%以下政务应用系统处于中断服务状态；

（2）对外提供政务服务的网站类、移动端应用系统其页面被篡改，发布虚假或诈骗等信息并已造成一般的经济和社会影响；

（3）造成5千条以下50条以上数据泄露；

（4）其他造成严重损失或严重的不良影响的数据安全事件；

（5）当Ⅲ级数据安全事件24小时内未完成处置，则升级为Ⅱ级数据安全事件。

2.1.4一般数据安全事件（Ⅳ级）

一般数据安全事件是指能够导致轻微影响或破坏的数据安全事件，包括以下情况：

（1）造成30%以下政务应用系统处于中断服务状态；

（2）造成50条及以下数据泄露；

（3）其他造成一般损失或一般的不良影响的数据安全事件；

（4）当Ⅳ级政务数据安全事件48小时内未被完成处置，则升级为Ⅲ级数据安全事件。

2.2事件分类

综合考虑政务数据安全事件的起因、表现、结果等，政务数据安全事件可分为数据泄露事件、数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他政务数据安全事件等6个基本分类，每个基本分类分别包括若干个子类。

2.2.1数据泄露事件

数据泄露事件是指内部人士或外部攻击者未经授权访问重要数据或敏感信息，导致用户个人信息、用户服务内容、企业运营管理和政务敏感信息相关数据被第三方非法获得的数据安全事件。

2.2.2数据破坏事件

数据破坏事件是指通过网络或其他技术手段，造成政务系统中的数据被篡改、假冒等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据丢失事件和其它数据破坏事件。

2.2.3信息内容安全事件

信息内容安全事件是指利用信息网络发布传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的政务数据安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的政务数据安全事件；组织串连、煽动集会游行的政务数据安全事件；其他信息内容安全事件。

2.2.4设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件，以及人为的使用非技术手段有意或无意的造成政务系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其它设备设施故障。

2.2.5灾害性事件

灾害性事件是指由于不可抗力对政务系统造成物理破坏而导致的政务数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的政务数据安全事件。

2.2.6其他事件

其他事件类别是指不能归为以上基本分类的数据安全事件。

三、应急处置机构与职责

3.1应急处置机构

根据数据安全事件应急工作要求，成立临泽县政务数据安全事件应急领导小组（以下简称“应急领导小组”），由县政府分管副县长任组长，县政府办公室主要负责同志、县政府办公室对应联系负责同志任副组长，县委网信办（县信息办）、县公安局、县应急管理局、县工信商务局、县融媒体中心、县政务服务中心、电信临泽分公司、移动临泽分公司、联通临泽分公司等部门单位负责同志为成员。

应急领导小组下设临泽县安全事件应急工作小组（以下简称“应急工作小组”），县政府办公室对应联系负责同志任组长，县工信商务局、县应急管理局、县政务服务中心、县委网信办（县信息办）负责同志任副组长，县应急领导小组成员单位分管负责同志为成员。根据工作需要，从成员单位抽调人员组成技术支撑组、应急处置组、后勤保障组。

3.2职责

3.2.1应急领导小组的主要职责包括：

（1）负责政务数据安全事件的应急指挥、组织协调和过程控制；

（2）负责研究、决定政务数据安全事件应急处置决策和应对措施；

（3）负责统筹协调，确定相关职能部门应急处理工作职责及具体分工；

（4）审查批准应急工作小组提交的工作报告、评估报告等；

（5）研究、协调、解决政务数据安全事故预防和应对工作重大事项。

3.2.2应急工作小组的主要职责包括：

（1）定期向应急领导小组汇报政务数据安全状况；

（2）在应急领导小组组织、协调、指导下，开展政务数据安全事件应急处置工作；

（3）负责对政务数据安全事件产生的影响和损失进行分析与评估，及时向应急领导小组汇报情况；

（4）负责本预案的制定、修订、落实；

（5）组织、指导、监督各部门单位按照本预案和上级主管部门要求，制定相应的政务数据安全事件应急预案细则，并定期组织演练；

（6）应急领导小组交办的其他工作。

3.2.3各成员单位职责

（1）县政府办公室：指导督促各部门、重点行业的重要信息系统与基础信息网络的安全保障工作，协调处理数据安全事件应急处置、恢复和数据备份工作。

（2）县委网信办（县信息办）：负责做好网络舆情的监测、预警，加强舆论引导。做好数据安全事件应急处置、恢复和数据备份工作的技术支持和指导；做好电子政务外网安全隐患排查，有效防范病毒、木马等网络攻击,遇到数据安全事件,采取断网、病毒查杀等技术措施减少损失。

（3）县公安局：负责打击网络攻击破坏和包括计算机病毒在内的恶意代码传播等违法犯罪活动的应急处置工作；负责对互联网上违法信息进行监控，并开展相关处置工作；指导、监督、检查并组织实施信息网络违法犯罪案件的查处工作。

（4）县应急局：负责指导协调数据安全事件的应急处置和调查处理工作。

（5）县融媒体中心：负责按照应急领导小组的指令发布事故现场信息，传达应急领导小组的命令和通告；发布对受害群众的安排、处置及对安全事故的处理意见。

（6）县政务服务中心：负责政务应用系统运行状态异常

情况反馈，配合做好政务应用系统数据恢复工作。

（7）县工信商务局：负责协调、督促各通信单位做好指挥系统及基础设施的通信保障和管控措施的落实。

（8）电信临泽分公司、移动临泽分公司、联通临泽分公司：

负责在应急期间指挥系统的通信保障和基础通信设施的保障、修复，对基础信息网络事故的调研、报告、应急处置，做好基础信息网络的安全防范等。配合有关部门监测数据安全事件，包括监测手机短信、固定电话传播特定有害、敏感信息等事件，并按有关规定具体实施管控措施，营造良好的网络信息环境。

（9）其他部门单位：根据应急领导小组指令，按照本部门单位职责和事件处置需要，依法做好数据安全事件的预防、监测、报告、应急处置和恢复工作。

四、应急响应

4.1事件判定

各部门单位发现政务数据安全事件时，即刻向应急工作小组报告，说明数据安全事件具体情况。应急工作小组应根据“2.1事件分级”标准研究判定数据安全事件等级。

4.2预案启动

4.2.1判定为Ⅰ级和Ⅱ级事件的，应急工作小组组长应即刻向应急领导小组汇报。由应急领导小组组长指示下达应急预案启动指令，同时即刻组织协调应急工作小组开展应急处置工作。其中，涉及政治类影响事件的，应按相关要求同时联系网信部门、公安机关等网络安全主管部门。

4.2.2判定为Ⅲ级和Ⅳ级事件的，由应急工作小组组长或

副组长下达应急预案启动指令，迅速组织协调相关人员开展应急处置工作，并即刻上报应急领导小组。

4.3应急指挥

4.3.1Ⅰ级和Ⅱ级事件，由应急领导小组组长或副组长担任总指挥（其中，如发生涉及政治类影响的数据安全事件，由组长担任总指挥）。应急领导小组负责组织、协调应急工作小组做好具体应急处置工作。必要时，由应急领导小组统筹协调数据资源管理部门、网信部门、公安机关等网络安全部门，联系协调高校或省级安全专家作为应急处置技术顾问。

4.3.2Ⅲ级事件，由应急工作小组组长担任总指挥。应急工作小组负责组织、协调，并做好具体应急处置工作。

4.3.3Ⅳ级事件，由应急工作小组组长或副组长担任总指挥。应急工作小组负责组织、协调，并做好具体应急处置工作。

4.4应急处置

应急工作小组在应急处置工作中通过口头、电话或书面方式定时向应急领导小组汇报应急处置工作进展情况。Ⅰ级和Ⅱ级事件由应急工作小组组长每0.5小时向应急领导小组汇报一次；Ⅲ级事件由应急工作小组组长每2小时向应急领导小组汇报一次；Ⅳ级事件由应急工作小组每4小时向应急领导小组汇报一次。

依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》规定，如遇数据安全事件中涉及犯罪情形的，除做好相应的应急处理外，还应保护好案发现场，同时向公安机关报案。

政务数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施：

4.4.1数据泄露事件

（1）组织技术人员进行检查，及时中断数据传输通道，防止数据泄露数量和范围扩大；

（2）组织技术人员排查系统及数据库、应用系统等相关日志，定位数据泄露原因；

（3）及时下线或切断相关业务系统外联网络，并保留证据；

（4）如果判定为内部人员泄露的，分析用户登录记录或查看场所视频监控回放，确定当事人。

4.4.2数据破坏事件

（1）及时从备份数据中恢复受破坏的最新信息数据；

（2）检查恢复后的系统状态是否正常运行；

（3）分析信息数据受破坏的原因，人为恶意破坏的应进行追溯，系统故障导致的应分析系统软件故障点，及时联系软件开发商进行修复。

4.4.3信息内容安全事件

（1）暂时切断网站类、移动端应用系统对外提供服务；

（2）系统维护人员即刻登录后台，上传换回原始页面；

（3）由安全监控平台随时密切监视信息内容；

（4）保存有关日志审计记录；

（5）备份不良信息出现的目录。

4.4.4设备设施故障事件

（1）分析、确认故障设备，准确定位设备位置；

（2）切换备用设备；

（3）联系设备供应商分析设备故障原因，及时进行修理，涉外修理的应清理数据；

（4）无法修理的应采购新的设备，保证设备冗余状态。

4.4.5灾害性事件

（1）评估灾害性事件对机房、政务系统的影响程度；

（2）受灾机房网络及信息系统受破坏不能提供服务的，应及时启动容灾机房业务系统；

（3）回收受灾机房的数据处理、存储设施，无法使用的进行彻底数据清理；

（4）重建受灾机房。

数据安全事件应急处置完毕后，政务系统和数据恢复重建工作由事发单位负责组织制定恢复、整改或重建方案，并报应急工作小组备案。

4.5结束响应

数据安全事件经应急处置后，事件得以完全解决，政务系统完全恢复正常运行，政务数据恢复完好；或事态影响下降到可接受范围内，政务系统主要功能恢复正常运行，按“谁启动、谁结束”的原则，由数据安全事件应急总指挥下达应急结束指令。

4.6事件调查和报告

应急工作小组应对事件进行研究分析和调查处理，查明数据安全事件的性质、原因、经过、危害和影响，提出调查处理建议和今后同类事件的安全防范措施，以防止同类事件再次发生，同时，由应急领导小组提出对具体责任人的处罚决定，如涉及违法行为的，应依据法律、法规，移交相关部门处理。事件调查完成后，应形成数据安全事件调查结果报告。事件的调查处理和总结评估工作原则上在应急响应结束后7天内完成。

数据安全事件调查和报告程序如下：

4.6.1Ⅰ级和Ⅱ级数据安全事件由应急领导小组组织协调，进行事件调查，将调查结果向应急领导小组组长报告。同时，应急领导小组组长应根据应急领导小组办公会议决议，视情况上报县委、县政府或市级数据资源管理部门，报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

4.6.2Ⅲ级和Ⅳ级数据安全事件由应急工作小组组长组织协调，进行事件调查，将调查结果上报应急领导小组。

五、预防工作

5.1日常管理

应急领导小组负责应急预案日常管理的统筹协调，组织应急工作小组做好政务数据安全事件日常预防工作，落实网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免数据安全事件的发生及危害，提高应对数据安全事件的能力。

5.2宣传和培训

应急领导小组负责应急预案宣传和培训的统筹协调，组织应急工作小组针对应急响应相关管理人员和技术人员做好宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式，如下发宣传手册、利用网络、宣传彩页、视频会议等手段开展应急预案的宣传。尤其对于重要系统的专项应急预案在组织培训的基础上，应通过实际的应急响应演练过程，帮助相关人员不断更新应急响应的知识和技能，提高各类人员的应急工作熟练程度，提高突发事件发生时应急响应的效率，并认真做好培训效果的反馈和培训计划的更新。

5.3应急演练

应急领导小组负责应急演练统筹协调，组织应急工作小组定期开展应急演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练。在更新应急预案后或者遇到可预见的安全事件时，应及时开展应急响应演练，以检验应急预案的正确性，不断加强人员的应急安全意识和应急响应的熟练程度。

5.4预案修订

应急工作小组对应急预案定期进行评估，保证应急预案的

有效性。应确保应急预案分发给所有应急相关人员，采用不同形式在多个地点进行保存，以确保预案在紧急情况下可用；预案在每次修订后，确保所有的拷贝统一更新，按照有关规定及时销毁旧版本；应急演练和数据安全事件发生后实际执行时，

对实际执行过程进行详细记录，评估效果，对不足之处进行相

应的修订；应定期评审和修订应急预案文档，保证应急预案准

确性和有效性。

5.5重要活动期间的预防措施

应急领导小组统筹协调重要活动期间数据安全保障工作，要求各应急工作小组在重要活动期间进一步加强数据安全监测和分析研判，加强数据安全事件的防范和应急响应，其中，核心网络和重要信息系统的重点岗位应保持7*24小时值班，值班电话应保持7*24小时开机，及时发现和处置数据安全事件隐患,若出现重大安全事件，值班人员应第一时间到达机房并在三分钟内断开互联网网络连接，防止扩大影响范围，并将事件上报应急工作小组。

六、保障措施

6.1人力保障

应急领导小组明确应急保障工作组织体系和人员，明确领导责任，落实岗位责任制。

加强应急人才队伍建设，确保应急处置人员具备应急工作必要的技术能力，定期组织人员培训以满足应急工作的要求，并通过应急演练，保证应急处置人员的熟练度；建立长效的应急人员保障机制，包括设立兼职的应急管理岗位。

建立应急技术专家队伍，为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全管理资深人员组成。

6.2物质保障

应急领导小组统筹协调应急工作小组具体落实物质保障工作，加强对数据安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。政务系统主管部门或运营单位在建设信息系统时应预留一定数量的应急设备，建立信息网络硬件、软件、应急救援设备等备机、备件应急物资库或备机备件供应渠道。

6.3技术保障

应急领导小组统筹协调应急工作小组落实技术保障工作，加强数据安全防范技术研究，不断改进技术装备，为应急响应工作提供技术支撑。加强政策引导，重点支持数据安全监测预警、预防防护、处置救援、应急服务等方向，提升数据安全应急整体水平与核心竞争力，增强防范和处置数据安全事件的支撑能力。建立和完善异地灾难备份系统和相关工作机制，保证重要数据在受到破坏后可紧急恢复。

加强与第三方应急专业机构和社会资源的联系，包括网信部门、公安机关、应急部门、数据资源管理部门、通信运营商、供应商、供电部门等外部技术和业务支持单位等。

七、奖惩措施

（1）下列情况可以经领导小组评估审核，报领导小组批准后予以奖励：在应急行动中做出特殊贡献的先进单位和集体；在应急行动中提出重要建议方案，节约大量应急资源或避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。

（2）对不按照规定制定预案和组织开展演练，迟报、谎报、漏报和瞒报数据安全事件重要情况或者数据安全事件应急管理工作中有其他失职、渎职行为的，对有关责任人予以通报批评。情节严重的，处以行政处分；涉及犯罪行为的，由公安机关和司法机关依法追究刑事责任。

八、附则

8.1术语解释

政务数据：指各级政府部门及法律法规授权具有行政职能

的单位和组织，在依法履职过程中，采集和产生的各类数据资源，以及政务部门因履行职责需要依法通过第三方依法采集的、依法授权管理的数据资源。

本预案所指“以上”包括本数，“以下”不包括本数。

8.2预案解释

本预案由县政府办公室负责制定、解释和修改。

8.3发布实施

本预案自印发之日起实施。

抄送：县委办公室，县人大常委会办公室，县政协办公室。

公开属性：依申请公开