1 总则

1.1 编制目的

根据《国家网络安全事件应急预案》和《教育系统网络安全事件应急预案》要求，健全完善山西电子科技学院网络安全事件应急工作机制，规范网络安全事件工作流程，提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护我校网络安全稳定。

1.2 编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规，《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)《教育系统网络安全事件应急预案》等文件。

1.3 适用范围

本预案适用于山西电子科技学院校内各单位。按照《国家网络安全事件应急预案》规定，本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。

1.4 事件分级

结合我校网络情况，可能造成的危害，可能发展蔓延的趋势等，我校网络安全事件分为两级：重大网络安全事件和一般网络安全事件，分别对应《国家网络安全事件应急预案》事件分级中的较大网络安全事件（III级）和一般网络安全事件（IV级）。

(1)符合下列情形之一的为重大网络安全事件

①全校大量用户无法正常上网，不包括因升级改造、施工、停电或其它特殊情况引起的网络中断。

②重要业务信息系统(网站)遭受重大系统损失或非法篡改等，明显影响系统效率和业务处理能力，或造成重大不良社会影响。

③网络病毒在全校范围内广泛传播。

④重要业务信息系统(网站)的信息或数据发生丢失或被窃取、篡改、假冒。

⑤其他对学校网络安全稳定和正常秩序构成较大威胁，造成重大影响的网络安全事件。

(2)一般网络安全事件

除上述情形外，对学校网络安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

1.5 工作原则

(1) 统一指挥、密切协同。网络安全和信息化领导小组(以下简称网信领导小组)统筹协调全校网络安全应急指挥工作，建立与教育部门、各二级单位和专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

(2) 分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则，各二级单位对本单位信息系统和网站的安全工作负主体责任。各单位主要负责人是网络安全工作第一责任人。

(3) 预防为主、平战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。

2 组织机构与职责

2.1 领导机构与职责

网信领导小组统筹协调全校网络安全事件应急工作，指导学校网络安全事件应急处置；

发生重大网络安全事件时，成立网络安全事件应急工作组，负责组织指挥和协调事件处置。

2.2 信管中心职责

负责全校网络安全事件应急工作，做好网络安全事件的预防、监测、报告和应急工作，指导各二级单位做好应急处置的技术支撑工作；

负责对接教育厅网络安全应急办公室，向教育厅网络安全应急办公室报告重大网络安全事件情况，提出重大网络安全事件应对措施建议；

每年组织一次应急演练，每年年底前将本年度演练情况报教育厅网络安全应急办公室，同时根据演练情况对预案进行修改完善；

定期组织网络安全培训或学习，提高网络安全管理人员和技术人员的防范意识及安全技能。

2.3 各二级单位职责

严格遵照“谁主管谁负责、谁运维谁负责”的原则，承担本单位网络安全责任；

负责本单位信息系统（网站）的安全管理和运维，全面落实各项网络安全相关工作。

3 监测与预警

3.1 安全监测

3.1.1事件监测

信管中心通过多种渠道监测、发现已经发生的网络安全事件，将掌握的情况立即通知全校各单位。各单位对本单位信息系统（网站）的运行情况进行密切监测，一旦发生网络安全事件，应当立即通过电话、办公邮件等方式上报信管中心，不得迟报、谎报、瞒报、漏报。

3.1.2 威胁监测

信管中心组织对全校信息系统和网站的网络安全威胁进行监测，建立多方协作的信息共享机制，通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息，对发生的威胁及时通知相关单位，并督促其及时进行处置和上报。

3.2 预警研判和发布

信管中心对监测信息进行研判，对发生网络安全事件的可能性及其可能造成的影响进行分析评估，认为需要立即采取防范措施的及时通知校内各单位；人为可能发生重大安全事件的信息，应立即向教育厅网络安全应急办公室报告。

4 应急处置和响应

发生网络安全事件时，信管中心应立即组织应急队伍和工作人员，根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，网络安全事件处理过程中需保存网络攻击、网络入侵或网络病毒等证据。

若判定为重大网络安全事件，应采取以下措施进行处置：

1. 立即在3分钟内切断校园网互联网出口，减少安全事件带来的负面影响；

2. 立即将相关情况上报至教育厅网络安全应急办公室，对于人为破坏活动，应同时报临汾市网信部门和公安机关；

3. 按照教育部办公厅印发的《信息技术安全事件报告与处置流程（试行）》要求，在重大网络安全事件发生8小时内，以书面报告形式报送附件1：《信息技术安全事件情况报告》；

4. 在安全事件处置完毕后5个工作日内以书面报告的形式报送附件2：《信息技术安全事件整改报告》。

若判定为一般网络安全事件，应采取以下措施进行处置：

1. 立即关停服务器外网访问权限，减少安全事件带来的负面影响；

2. 立即将相关情况通报至各二级单位主管负责人和技术负责人，要求3日内完成整改，并将整改报告发送至信管中心；

3. 信管中心对漏洞修复情况进行核实，并将整改报告上报至网络安全主管部门。

5责任与奖惩

对网络安全事件应急管理工作中做出突出贡献的单位和个人给予表彰和奖励;对在应急管理工作中有失职、渎职行为的，依照相关规定对有关责任人给予处分;构成犯罪的，依法追究刑事责任。

6 附则

6.1预案管理

本预案原则上每年评估一次，根据实际情况适时修订。

6.2 预案解释

本预案由信管中心负责解释。

6.3预案实施时间

本预案自印发之日起实施。

附件1

信息技术安全事件情况报告

单位名称：（需加盖公章） 事发时间： 年 月 日 时 分

附件2

信息技术安全事件整改报告

单位名称：（需加盖公章） 报告时间：   年 月  日