第一章 总则

第一条  为提高学院数据安全突发性危害事件的防范和应急处置能力，形成科学、有效、快速反应的应急响应机制，最大限度地减轻数据安全突发事件造成的影响，保障业务正常运行和数据安全，依据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法（草案）》和《信息安全技术-网络安全等级保护基本要求》（GB/T 22239-2019）等有关法律法规的规定和标准的指引，结合我院实际，制定本预案。

第二条  本预案所称数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，危害数据完整性、机密性、可用性，对学校相关业务系统中的数据造成危害或泄露，对学校及师生个人工作、学习、生活秩序、社会声誉造成负面影响的事件。

第三条  制定原则

（一）统一领导、规范管理。在学院重要基础设施及信息系统相关核心数据的应急保障及恢复运行过程中，实行学院信息化和网络安全领导小组统一领导、各部门相互配合、快速联动、分级响应的应急工作责任制。

（二）明确责任，分级负责。保证对数据安全事件做到快速觉察、快速反应、及时处理、及时恢复。

（三）预防为主，加强监控。积极做好日常安全工作，提高数据安全突发公共事件的应对能力。建立和完善数据安全监控体系，加强对数据安全隐患的日常监测，对核心数据、核心运维人员、核心业务系统采取重点监控。

第二章 组织机构与职责

第四条  组织体系

学院信息化和网络安全领导小组（以下简称“应急领导小组”）负责数据安全事件应急处置组织、协调和领导工作。应急领导小组下设数据安全事件应急工作组（以下简称“应急工作组”），具体负责数据安全事件应急处置工作。

第五条  应急领导小组职责

1.研究制定学校数据安全应急处置工作的规划、计划；

2.协调推进数据安全应急机制和工作体系的建设；

3.突发数据安全事件后，决定启动应急预案，组织应急处置工作。

第六条  应急工作组职责

1. 负责应急期间重要信息上报工作；

2. 落实应急领导小组决定的事项；

3. 研究提出数据安全应急机制建设规划，并进行检查、指导和督促工作；

4. 负责数据安全应急预案的管理，检查落实预案执行情况；

5. 负责应对数据安全突发事件的科学研究、预案演习、宣传培训、督促应急保障体系建设；

6. 及时收集数据安全突发事件相关信息，分析重要信息并向应急领导小组提出处置建议；

7. 负责系统数据安全突发事件日常监测与预警；

8. 负责数据安全突发事件先期应急处置等工作。

第三章 事件分类分级

第七条 数据安全事件分为四级：

（一）特别重大数据安全事件（I级）

特别重大事件是指能够导致特别严重影响或破坏的数据安全事件，包括以下情况：

1.对外提供服务的网站类应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的；

2.重要敏感信息和关键数据丢失或被窃取、篡改、假冒，产 生特别重大社会影响的；

3.发生特别重大数据泄露事件，造成 5 万条及以上数据泄露的；

4.其他造成特别重大损失或特别重大不良影响的安全事件。

（二）重大数据安全事件（Ⅱ级）

重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：

1.重要敏感信息和关键数据丢失或被窃取、篡改、假冒，产生重大社会影响的；

2.对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成严重经济和社会影响的；

3.发生重大数据泄露事件，造成5万条以下5千条及以上数据泄露的；

4.其他造成或可能造成重大危害或影响的数据安全事件。

（三）较大数据安全事件（Ⅲ级）

较大事件是指能够导致较大范围影响或破坏的数据安全事件，包括以下情况：

1.对外提供服务的网站类应用系统其页面被篡改，发布虚假或诈骗等信息并已造成较大经济和社会影响的；

2.重要敏感信息和关键数据丢失或被窃取、篡改、假冒，产生较大社会影响的；

3.发生较大数据泄露事件，造成5千条以下50条及以上数据泄露的；

4.其他造成或可能造成较大危害或影响的数据安全事件。

（四）一般数据安全事件（Ⅳ级）

一般事件是指能够导致轻微影响或破坏的网络安全事件，包括以下情况：

1.重要敏感信息和关键数据丢失或被窃取、篡改、假冒，产生一般社会影响的；

2.发生一般数据泄露事件，造成50条及以下数据泄露的；

3.其他造成或可能造成一般危害或影响的数据安全事件。

第八条 事件分类

综合考虑数据安全事件的发生过程、性质和特征，数据安全事件可分为数据破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他数据安全事件等5个基本分类。

（一）数据破坏事件

数据破坏事件是指通过网络或其他技术手段，造成系统中的数据被篡改、假冒、泄漏、窃取等而导致的数据安全事件。包括数据篡改事件、数据假冒事件、数据泄露事件、数据窃取事件、数据丢失事件和其他数据破坏事件。

（二）信息内容安全事件

信息内容安全事件是指利用网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。包括违反宪法和法律、行政法规的网络安全事件；针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的网络安全事件；组织串连、煽动集会游行的网络安全事件；其他信息内容安全事件。

（三）设备设施故障

设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的数据安全事件，以及人为使用非技术手段有意或无意地造成系统破坏而导致的数据安全事件。包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（四）灾害性事件

灾害性事件是指由于不可抗力对系统造成物理破坏而导致的数据安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的数据安全事件。

（五）其他事件

其他事件是指不能归为以上基本分类的数据安全事件。

第四章 事前监测与预案管理

第九条 信息监测及报告

按照“早发现、早报告、早处置”的原则，加强对各类数据 安全事件和可能引发数据安全事件的有关信息进行收集、分析判断和持续监测，尤其是内部人员非法操作可能引起的大量数据外泄、数据被删除等事件，需及时报告，并立即采取相应技术手段进行事前预防。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。

第十条 预警级别及发布

对于可能发生或已经发生的数据安全事件，应急工作组立即采取措施控制事态、进行风险评估并判定事件等级。必要时应启动相应的预案，同时向应急领导小组通报情况。并及时组织有关专家对信息进行技术分析、研判，根据问题的性质、危害程度，提出安全预警级别。

在发生和可能发生重大数据安全突发事件时，应迅速召开应急领导小组紧急会议，研究确定数据安全突发事件的等级和严重性，决定启动应急预案，同时确定指挥人员，并向校领导进行通报，直至危害警报解除。

第十一条 预案管理

数据安全突发事件应急预案由应急工作组负责起草，应急领导小组负责审定，并报校领导及信息技术中心审核后实施。

结合学校实际工作情况，相关法律法规的制定、修改和完善，以及信息技术中心所通报的信息，适时修订预案。

第十二条 应急演练

本预案要求将数据安全应急演练常态化，由应急工作组统筹开展年度应急演练。通过演练，及时发现数据安全应急工作体系和工作机制存在的问题，并不断完善应急预案，提高应急处置能力。

第五章 事中应急与预警响应

第十三条 事件判定

当突发数据安全事件时，应急工作组成员应做好先期应急处置工作，采取必要措施控制事态发展，并即刻向应急工作小组报告，说明数据安全事件具体情况。应急领导小组根据事件分级标准判定数据安全事件等级。

第十四条 启动预案

在应急领导小组作出评估后，按照相应事件影响等级，启动对应的数据安全突发事件应急预案，并做好启动应急预案的各项准备工作。

第十五条 应急指挥

预案启动后，要抓紧收集相关信息，掌握现场处置工作状态，分析事件发展态势，研究提出处置方案，统一指挥数据安全应急处置工作。

第十六条 应急处置

数据安全事件应急处理过程中根据不同事件类型采取以下应急处理措施：

（一）数据破坏事件

1.及时从备份数据中恢复受破坏的最新信息数据；

2.检查恢复后的系统状态是否正常运行；

3.分析信息数据受破坏的原因，人为恶意破坏的应进行追溯，系统故障导致的应分析系统软件故障点，及时联系软件开发商进行修复。

（二）信息内容安全事件

1.暂时切断网站对外服务；

2.网站维护人员即刻登录后台，上传换回原始页面；

3.网站、网页由安全监控平台随时密切监视信息内容；

4.保存有关日志审计记录；

5.备份不良信息出现的目录。

（三）设备设施故障事件

1.分析、确认故障设备，准确定位设备位置；

2.切换备用设备；

3.联系设备供应商分析设备故障原因，及时进行修理，涉外修理的应清理数据；

4.无法修理的应采购新的设备，保证设备冗余状态。

（四）灾害性事件

1.评估灾害性事件对机房、系统的影响程度；

2.受灾机房网络及信息系统受破坏不能提供服务的，应及时启动容灾机房业务系统；

3.回收受灾机房的数据处理、存储设施，无法使用的进行彻底数据清理；

4.重建受灾机房。

数据安全事件应急处置完毕后，系统恢复重建工作由应急工作小组负责组织制定恢复、整改或重建方案。

第十七条 应急支援

预案启动后，应急领导小组密切关注事态发展，及时调整应急指挥工作，应急工作组根据指挥执行对应的应急响应策略，必要时邀请外部专家协助，同时调动必需的物资、设备，支援应急工作。

第十八条 信息上报

数据安全突发事件发生后，短时间不能恢复正常运作时，经请示校领导后，由应急领导小组进行信息发布。

应急工作组应对事件进行动态分析，并将事件的性质、危害程度和信息处理工作等，及时上报应急领导小组，不得隐瞒、缓报、谎报。

应急领导小组要明确信息采集、编辑、分析、审核、签发的责任人，做好信息分析、报告和发布工作。要及时编发事件动态信息供校领导参阅。必要时组织内外部专家和有关人员研判各类信息，研究提出对策措施，完善应急处置计划方案。

数据安全事件造成一定社会影响的，应及时将信息同步上报至相关监管单位和地方网监部门。

第十九条 状态解除

数据安全突发事件经应急处置后，得到有效控制，事态下降到完全可控范围或基本得到解决，分析各方面影响后，确定是否结束应急。

第六章 事后审计与责任追踪

第二十条 善后工作

在应急处置工作结束后，因数据被破坏或被泄露所引发的各类影响基本消除，并经过事故态势判断，近期无再次发生的可能性，各项数据业务应尽快恢复正常工作。

第二十一条 报告管理

事后整改报告应在安全事件处置完毕后5个工作日内以书面报告的形式进行报送。事后情况报告由单位安全负责人组织编写，由本单位主要负责人审核后，签字并加盖公章报送应急领导小组。

第二十二条 责任追踪

各单位应按照预案及时、如实地报告和妥善处置安全事件。如有瞒报、缓报、处置和整改不力等情况，对有关责任人予以通报批评；情节严重的，将进行问责处理；涉及犯罪行为的，由公安机关和司法机关依法追究刑事责任。

第二十三条 风险评估

事件处理后，应对相应数据库和数据文件进行风险评估工作，包括且不限于敏感资产扫描、账号权限梳理、关键应用保护、访问控制升级等安全排查，检测是否存在权限不清、数据资产不明的现象，梳理数据安全事件发生的原因。做好数据统计工作，对事件造成的损失和影响以及恢复重建所需的时间、费用等进行分析评估，认真制定恢复重建计划，并迅速组织实施。

第七章 附则

第二十四条 本办法由商贸物流学院负责解释，自发布之日起施行。