津城管科函〔2019〕189号

市城市管理委关于印发天津市城市管理委员会

网络安全事件应急预案的通知

市公用事业局，机关各处室，委属各单位：

为建立健全我委网络与信息安全事件的预防和应急处理工作机制，提高对网络与信息安全突发性危害事件的防范和应急处理能力，形成科学、有效、快速的应急响应机制，现将《天津市城市管理委员会网络安全事件应急预案》印发你们，请照此执行。

                               2019年12月3日

（此件主动公开）

天津市城市管理委员会网络安全事件应急预案

一、 制定目的

为建立健全我委网络与信息安全事件的预防和应急处理工作机制，提高对网络与信息安全突发性危害事件的防范和应急处理能力，形成科学、有效、快速的应急响应机制，最大限度地减少网络与信息安全突发事件的影响，保障重要网络与业务信息系统的正常运行和数据安全，预防网络安全事件造成的损失和危害，特制定网络安全应急预案。

二、 制定依据

我委网络安全事件应急预案根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全事件分类分级指南》和《国家网络安全应急预案》及市委网信办相关规定为依据制定。

三、适用范围

本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

本预案适用于我委对网络安全事件的应对工作。

四、工作原则

本预案坚持“统一领导、分级负责，统一指挥、密切协同、快速反应、科学处置，预防为主、预防与应急相结合，谁主管谁负责、谁运行谁负责”的原则，充分发挥各方面力量共同做好我委网络安全事件的预防和处置工作。

五、组织领导

我委网络安全事件应急工作在委网络安全和信息化工作领导小组的领导下，由委网络安全和信息化工作领导小组办公室具体统筹协调委网络安全事件应对工作，建立健全联动处置机制。市公用事业局、委机关各处室、委属各单位指定相关负责同志为联络员，联络应急工作。各处室、各单位负责本部门、本单位网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

六、应急处置

（一）事件报告

网络安全事件发生后，应立即启动应急预案，实施处置并及时向上级组织报送信息。委网络安全和信息化工作领导小组办公室应立即组织先期处置，控制事态，消除隐患。同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大网络安全事件的，委网络安全和信息化工作领导小组应立即向市委网络安全和信息化领导小组报告。

（二）应急响应

网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件，I级为最高响应级别。

1. I级响应

属特别重大网络安全事件的，应及时启动I级响应，立即上报市委网信办，委网络安全和信息化工作领导小组要加强对应急处置工作的统一领导、指挥、协调，听从市委网信办的指挥，委网络安全和信息化工作领导小组办公室成员24小时在岗值班，跟踪事态发展，检查影响范围。

2. II级响应

网络安全事件的II级响应，由委网络安全和信息化工作领导小组负责组织领导、指挥、协调，全程做好情况跟踪、处置。委网络安全和信息化工作领导小组进入应急状态，按照相关应急预案做好应急处置工作，及时将事态发展变化情况上报市委网信办。处置中需要市级网络安全应急技术支撑队伍配合和支持的，请示市委网络安全和信息化领导小组给予协调。委网络安全和信息化工作领导小组根据市委网信办的通报，结合实际有针对性地加强防范，防止造成更大范围影响和损失。

3. III级、IV级响应

事件发生时，委网络安全和信息化工作领导小组按照应急预案进行应急响应。

（三）应急处理

当发生网络与信息安全突发事件时，相关系统运维工作人员应做好先期应急处理工作，采取措施控制事态，必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据突发事件发展事态组织设备厂商、系统开发商及安全服务商等应急力量，保存证据，做好应急处理工作。

1. 网络中断紧急处理流程

网络中断后，技术人员要迅速判断故障节点，查明故障原因。如属线路故障，应重新安装线路。如属路由器、交换机等网络设备故障，技术人员应立即检修调试通畅。如路由器、交换机配置文件破坏，信息安全员应迅速按照要求重新配置，调试通畅。必要时，请有关技术单位协助调测畅通。如需更换设备，应上报本部门分管领导，经批准后立即更换故障设备，尽快恢复系统运行。如发现属于外部线路的问题，应与线路运营商联系，督促尽快恢复故障线路。无法及时处理时，应立即通知相关供应商及维护人员，在最短时间内安排修理。

2. 黑客攻击的应急处理流程

当发现有黑客攻击行为时，应立即向分管领导报告，同时向委网络安全和信息化领导小组办公室报告。运维技术人员立即赶到现场，将被攻击的服务器等设备从网络中隔离，保护现场。如事态较为严重，经向领导请示后，立即向公安部门报警，配合公安部门展开调查。技术人员做好被攻击或破坏系统的恢复与重建工作，将处理过程记录备案存档，向分管领导汇报。

3. 大规模病毒（含恶意软件）攻击的应急处理

当发现有计算机被感染病毒后，计算机使用人员应立即使用杀毒软件对计算机杀毒，技术人员应及时采取措施将该机从网络上隔离开来，及时赶到现场，必要时应对该设备的硬盘进行数据备份。启用杀毒软件对该机进行彻底杀毒处理，对其他相关机器进行病毒扫描和消除工作。

4. 软件系统故障的应急处理流程

软件系统和对应的数据必须存有备份，保存于安全处。软件系统发生故障后，技术人员应立即停止该系统的运行并修复。同时组织本部门技术人员、研发人员等技术力量做好软件系统和有关数据的恢复，查明故障原因，将实施处理的过程和结果备案存档，向分管领导汇报。

5. 设备硬件故障的应急处理流程

系统关键硬件设备损坏后，技术人员应立即查明原因，进行修复，如果设备一时不能修复，应向分管领导汇报，重要数据应实现数据异地存储及灾备快速恢复，做好相关记录。

（四）应急结束

1. I级响应结束

经市委网信办批准后，委网络安全和信息化工作领导小组及时通报。

2. II级、III级、IV级响应结束

委网络安全和信息化工作领导小组宣布解除应急响应，上报市委网信办备案。

（五）调查与评估

特别重大网络安全事件由市委网信办进行调查处理和总结评估，并按程序上报。重大及以下网络安全事件由委网络安全和信息化工作领导小组组织调查处理和总结评估，其中重大网络安全事件总结调查报告经委网络安全和信息化领导小组组长同意后报市委网信办。

总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。事件的调查处理和总结评估工作原则上在应急响应结束30天内完成。

七、预防工作

（一）日常管理

积极做好网络安全事件日常预防工作，制定完善应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。

（二）应急演练

定期组织应急演练，不断检验和完善应急预案，着力提高网络安全实战水平。各系统运维使用单位每年至少组织一次应急演练，特殊时期根据情况组织应急演练，并将演练情况报市委网信办。

（三）宣传

充分利用各种传播媒介，采取积极有效的宣传形式，加强突发网络安全事件预防和处置有关法律、法规和政策宣传，开展网络安全基本知识和技能宣传活动。

（四）培训

委网络安全和信息化工作领导小组要将网络安全事件应急知识列为领导干部和相关人员培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识及技能。

（五）重要活动期间的预防措施

在国家、我市组织的重要活动、重要会议期间，委网络安全和信息化工作领导小组要加强网络安全事件的防范和应急响应，统筹协调网络安全保障工作，对可能造成重大影响的风险和隐患加强防范，确保网络安全。重点部门、重点岗位保持24小时值班，及时防范和处置网络安全事件隐患。