一、 總則

（一） 編制目的

           根據《中華人民共和國網絡安全法》《教育系統網絡安全事件應急預案》和《西南財經大學網絡安全責任制實施細則》的要求，健全完善學校網絡安全事件應急工作機制，規范學校網絡安全工作流程，提高學校網絡安全應急處置能力，預防和減少網絡安全事件造成的損失和危害， 維護學校安全穩定。

（二） 編制依據

           依據《中華人民共和國網絡安全法》、《國家網絡安全事件應急預案》、《教育系統網絡安全事件應急預案》和《信息安全技術信息安全事件分類分級指南》（GB/Z 20986-2007）等文件和相關規定。

（三） 適用范圍

           本預案適用于西南財經大學校內各單位。按照《國家網絡安全應急預案》和《教育系統網絡安全事件應急預案》規定，本預案所指網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對學校和各單位網絡和信息系統或其中的數據造成危害，對國家、社會、公民、學校和師生造成負面影響甚至損失的事件，可分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施故障、災害性事件和其他事件。

（四） 事件分級

           參照《國家網絡安全應急預案》和《教育系統網絡安全事件應急預案》事件分級規定，結合學校特點，按照可能造成的危害，可能發展蔓延的趨勢等，西南財經大學網絡與信息安全事件分為四級：特別重大網絡信息安全事件、重大網絡信息安全事件、較大網絡信息安全事件、一般網絡信息安全事件。

           1.符合下列情形之一的，為特別重大網絡安全事件（I 級）：

         （1）網頁被篡改、盜鏈或破壞性病毒、文件傳播，導致反動言論或  者謠言等違法信息大面積擴散，給國家、社會、學校帶來嚴重損害；

         （2）校園網大面積癱瘓，時間超過 24 小時以上的；

         （3）其他對學校安全穩定和正常秩序構成特別嚴重威脅，造成特別 嚴重影響的網絡安全事件。

           2.符合下列情形之一且未達到特別重大網絡與信息安全事件的，為重大網絡與信息安全事件（II 級）：

         （1）網頁被篡改、盜鏈或破壞性病毒、文件傳播，導致反動言論或  者謠言等違法信息在一定范圍內擴散，給國家、社會、學校帶來嚴重損害的；

         （2）校園網大面積癱瘓，時間超過 12 小時以上的；

         （3）其他對學校安全穩定和正常秩序構成較為嚴重威脅，造成較為 嚴重影響的網絡信息安全事件。

           3.符合下列情形之一且未達到重大網絡與信息安全事件的，為較大網絡與信息安全事件（III 級）：

         （1）swufe.edu.cn 域名的權威系統解析效率一定程度下降，學校門戶網站受到攻擊導致響應速度較慢，時間超過 6 小時以上的；

          （2）網頁被篡改、盜鏈或破壞性病毒、文件傳播，導致反動言論或者謠言等違法信息小范圍擴散，給國家、社會、學校帶來輕微損害的；

         （3）學校關鍵信息基礎設施遭受網絡攻擊，關鍵業務或校級核心業 務信息系統（網站）遭受較小損失，導致一定程度影響師生工作、生活， 或者造成較小經濟損失，或者造成輕微不良社會影響的；

         （4）校園網局部區域中斷，時間超過 6 小時以上；

         （5）其他對學校安全穩定和正常秩序構成較小威脅，造成較小影響 的網絡信息安全事件。

           4.一般網絡安全事件（IV 級）：

           除上述情形外，對學校安全穩定和正常秩序構成一定威脅、造成一定影響的網絡與信息安全事件，為一般網絡與信息安全事件。

（五） 工作原則

          1.統一指揮、緊密協同。學校網絡安全與信息化工作領導小組（ 以下簡稱校網信領導小組）統籌協調學校網絡與信息安全應急指揮工作，建立與上級主管部門、專業機構等多方參與的協調聯動機制，加強預防、監測、報告和應急處置等環節的緊密銜接，做到快速響應、正確應對、果斷處置。

         2.分級管理、強化責任。按照“誰主管誰負責、誰運維誰負責、誰 使用誰負責”的原則，學校各分黨委、黨總支、直屬黨支部對本單位網 絡和信息安全工作負主體責任，二級黨組織書記是網絡和信息安全工作 第一責任人，學校各單位主要負責人是網絡和信息安全工作直接責任人。

        3.預防為主、快速響應。堅持預防工作和事件快速響應處置相結合 ，做好事件預防、預判、預警工作，加強應急支撐保障能力和安全態勢感知能力建設。提高網絡安全事件快速響應和科學處置能力，抓早抓小，爭取早發現、早報告、早控制、早解決，嚴控網絡和信息安全事件風險和影響范圍。

二、 組織機構與職責

（一） 領導機構與職責

          校網信領導小組統籌協調學校全局性網絡與信息安全事件應急工作，指導學校各部門各類網絡與信息安全事件應急處置；發生特別重大網絡與信息安全事件時，負責組織指揮和協調事件處置。

（二） 辦事機構與職責

          在校網信領導小組的領導下，校網信領導小組辦公室負責網絡與信息安全應急管理事務性工作，對接上級主管部門并負責向上級主管部門報告網絡安全事件情況，提出特別重大網絡安全事件應對措施建議，統籌組織網絡安全監測工作，指導網絡安全技術支撐單位做好應急處置技術支撐工作。

          1.校網信領導小組職責

        （1）根據網絡安全事件事態發展，向教育部網絡安全應急辦公室匯報有可能演變成 I 級和II 級的網絡與信息安全事件，并做好相關準備工作；

        （2）責成校網絡安全與信息化工作領導小組辦公室組織技術力量響應和處置涉及學校的 I 級和 II 級網絡安全事件；

        （3）督促檢查安全事件處置情況及各有關單位在安全事件處置工作中履行職責情況；

        （4）對全校各單位貫徹執行應急處置預案、應急處置準備情況進行督促檢查。

         2.網絡安全與信息化工作領導小組辦公室（以下簡稱“網信辦”）職責

       （1）負責網絡信息安全工作的組織、協調和監督，制定相關制度和應急預案；

       （2）根據校內發生的網絡信息安全事件程度提出 III 級及以下級別預案的啟動，組織協調信息與教育技術中心等單位落實應急預案，共同做好處置工作；

       （3）負責及時收集、通報和上報網絡信息安全事件處置的有關情況 。 

        ３.校內二級單位校內各單位在校網信辦指導下負責本單位內部發生的網絡信息安全管理和突發事件的應急處置工作，應對照依據本預案，建立本部門網站及信息系統相應的應急預案，報網信辦備案。

        4.信息與教育技術中心職責

      （1）負責校園基礎網絡系統安全，保證校園網絡提供不間斷服務；

      （2）負責全校性信息系統的安全事件處置工作；

      （3）負責計算機病毒疫情和大規模網絡攻擊事件的處置；

      （4）負責全校網絡信息安全事件處置的技術支持工作。

        5.校內各單位官方微博、微信、移動政務客戶端（以下簡稱“兩微一端”）等新媒體平臺按照《西南財經大學校內網站和域名管理辦法》和《西南財經大學校園新媒體聯盟運行辦法》進行登記管理，按照“誰主管誰負責、誰發布誰負責”的原則，落實保障措施。

三、 監測與預警

（一）  預警分級

           建立西南財經大學網絡信息安全事件預警制度。按照緊急程度、發展態勢和可能造成的危害程度，西南財經大學網絡與信息安全事件預警等級分為四級：由高到底依次用紅色、橙色、黃色和藍色表示，分別對應發生或可能發生學校特別重大、重大、較大和一般網絡與信息安全事件。

（二） 安全監測

          1.事件監測： 網信辦通過多種渠道監測、發現已經發生的網絡與信息安全事件， 將掌握的情況立即通知校內相關單位。校內各單位對本單位網站和信息系統的運行狀況進行密切監測，一旦發生網絡與信息安全事件，應當立即通過電話等方式向學校網信辦報告，不得遲報、謊報、瞞報、漏報。

          2.威脅監測： 網信辦授權信息與教育技術中心對學校網絡與信息安全威脅進行監測，通過多種途徑監測、匯聚漏洞、病毒、網絡攻擊等網絡信息安全威脅信息，依托協同辦公等平臺實現安全威脅信息的發布。校內各單位應加強對本單位網站和信息系統的網絡與信息安全威脅監測，對發生的威脅及時進行處置和上報。

         3.預警研判和發布：網信辦對監測信息或其他渠道轉發的信息進行研判，對發生網絡與信息安全事件的可能性及其可能造成的影響進行分析評估，認為需要立即采取防范措施的及時通知學校相關單位并發布預警信息；認為可能發生重大以上（含重大）網絡信息安全事件的信息，應立即向學校網信安全領導小組報告，領導小組向教育部網絡安全應急辦公室報告。網信領導小組可根據網信辦的研判情況，發布本校黃色預警，網信辦可發布本校藍色預警，對達不到預警級別的信息可發布警示信息。預警信息包括預警級別、起始時間、可能影響范圍、警示事項、應采取的措施、時限要求等。

          4.預警響應

          (1)紅色和橙色預警響應

           ①網信辦組織預警響應工作，接受上級部門對預警響應的指導，聯系有關部門、專業機構和專家，組織對事態發展情況進行跟蹤研判，研究制定防范措施和應急工作方案，協調調度資源，做好各項準備，重要情況報校網信領導小組。

           ②組織跟蹤和分析研判，密切關注事態發展，做好監測分析和信息搜集工作；開展應急處置或準備、風險評估；密切關注輿情動態，加強教育引導，采取有效措施管控風險。

           ③有關單位應按照網信辦要求，實行 24 小時值守，相關人員保持通信暢通。

           ④網信辦做好與專業機構溝通協調的準備工作；信息與教育技術中心進入待命狀態，研究制定應對方案，檢查設備、軟件工具等，確保處于良好狀態。

          (2)黃色預警響應：網信辦按學校網信領導小組要求，會同信息與教育技術中心和事發單位做好預警響應工作。

          (3)藍色預警響應：網信辦組織信息與教育技術中心和事發單位做好預警響應工作。

         5.預警解除

         校網信領導小組根據實際情況，確定是否解除黃色預警；校網信辦確定是否解除藍色預警；發布的預警解除信息中需包含解除原因、注意事項等內容。

四、 應急處置

（一）初步處置

         網絡安全事件發生后，事發單位應立即報學校網信辦，網信辦應按事件性質、危害和威脅程度等初步研判事件級別，通知信息與教育技術中心采取斷網等技術措施將影響降到最低，并提取網絡攻擊、網絡入侵或網絡病毒等證據。信息與教育技術中心應組織應急隊伍和工作人員根據不同的事件類型和事件原因，采取科學有效的應急處置措施。經分析研判初判為特別重大、重大網絡信息安全事件的，網信辦應立即報告校網信領導小組，由學校上報教育部安全應急辦公室；對人為破壞活動，應同時報省網信部門和公安機關。

（二）應急響應

          網絡與信息安全事件應急響應分為 I 級、II 級、III 級、IV 級等四級，分別對應學校特別重大、重大、較大和一般網絡與信息安全事件。

          1.I 級響應

          發生特別重大網絡安全事件，由校網信領導小組報教育部網絡安全應急辦公室提出Ｉ級響應的建議，經批準后，成立應急響應工作組。

          (1)啟動指揮體系

          ①工作組進入應急狀態，履行應急處置工作統一領導、指揮、協調的職責。工作組成員保持 24 小時聯絡暢通，網信辦和信息與教育技術中心 24 小時派人值守。

          ②校內有關單位、網信辦、信息與教育技術中心和人員進入應急狀態，在工作組的統一領導、指揮及協調下組織人員開展應急處置或支援保障工作，啟動 24 小時值守，并派員參加應急響應工作組的工作。

          (2)掌握事件動態

          ①跟蹤事態發展。學校工作組與與教育部網信辦保持聯系，及時填寫《教育系統網絡安全事件情況報告》，將事態發展變化情況和處置進展情況上報教育部網信辦。

          ②檢查影響范圍。校內有關單位立即了解本單位主管的網絡和信息系統是否受到事件的波及或影響，并將有關情況及時報校網信辦。?及時通報情況。校網信辦負責整理上述情況，重大事項及時報學 校應急響應工作組和教育部網絡安全應急辦公室，并通報校內有關單位。

          (3)決策部署

          應急響應工作組組織校內有關單位、專家組、應急技術支撐隊伍等方面及時研究對策意見，對處置工作進行決策部署。

          (4)處置實施

     ?  控制事態防止蔓延。采取各種技術措施、管控手段，最大限度阻止和控制事態蔓延。?消除隱患恢復系統。根據事件發生原因，針對性制定解決方案，備份數據，保護設備、排查隱患。對業務連續性要求高的受破壞網絡與信息系統要在 6 小時內及時恢復。?調查取證。事件單位應在保留相關證據的基礎上，開展問題定位和溯源追蹤工作。積極配合當地網信部門和公安機關開展調查取證工作。信息發布。宣傳統戰部根據實際，組織網絡安全突發事件的應急新聞工作，未經批準，校內其他單位一律不得擅自發布相關信息。協調教育部支持。處置中需要技術及工作支持的，由校網信辦根據實際，報請應急響應工作組批準后，商教育部網絡安全應急辦予以支持。次生事件處置。對于引發或可能引發其他安全事件的，校網信辦應及時按程序上報。在相關部門應急處置中，校網信辦應做好協調配合工作。

          2 .II 級響應

          II 級響應，由教育部網絡安全應急辦公室確定并發布。

         (1)事發后網信辦及校內有關單位進入應急狀態，按照相關應急預案做好應急處置工作。

         (2)網信辦及時填寫《教育系統網絡安全事件情況報告》，報教育部網絡安全應急辦公室，同時辦將有關重大事項及時通報校網信領導小組和校內有關單位。

         (3)校網信辦協調其他單位和網絡安全應急技術支撐隊伍配合和支持事件處置工作。

         (4)校內有關單位根據通報，結合各自實際有針對性地加強防范，防止造成更大范圍影響和損失。

         ３.III 級響應

         III 級響應由校網信領導小組確定，校網信辦會同信息與教育技術中心和事件發生單位按有關網站和信息系統應急預案進行應急響應。

         ４.IV 級響應

          IV 級響應由校網信辦確定，校網信辦組織事件發生單位按有關網站和信息系統應急預案進行響應。

（三）應急結束

        １.I 級和 II 級響應結束

        由校網信辦提出建議，經學校應急響應工作組上報教育部網絡安全應急辦公室批準后結束，并及時通報校內有關單位。

       ２.III 級響應結束

       由校網信辦、信息與教育技術中心和事發單位會商解除響應狀態。

       3.IV 級響應結束

       校內事發單位完成應急處置完成并經信息與教育技術中心確認后， 報網信辦批準解除 IV 級響應狀態。

五、 調查與評估

        特別重大網絡安全事件和重大網絡安全事件由學校網信辦組織有關單位開展調查處理和總結評估工作，并將調查評估結果匯總上報校網信領導小組和教育部網絡安全應急辦公室。較大網絡安全事件由網信辦組織有關單位開展調查處理和總結評估工作，一般網絡安全事件由校內事發單位自行組織，將結果報校網信辦備案。

        網絡安全事件總結調查報告應對事件的起因、性質、影響、責任等進行分析評估，提出處理意見和改進措施。網絡安全事件的調查處理和總結評估工作應在應急響應結束后５個工作日內完成。

六、責任與獎懲

        學校將網絡安全工作納入年終目標績效綜合考核，對在網絡安全事件應急管理工作中做出突出貢獻的先進集體和個人給予表彰和獎勵。對不按照規定制定預案和組織開展演練，遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的，依照《西南財經大學網絡安全責任制實施細則》進行處置。根據情節輕重， 對領導班子和有關領導干部采取通報、誡勉、組織調整或者進行組織處理、紀律處分；構成犯罪的，依法追究刑事責任。

七、附則

（一）預案管理

         本預案原則上每年評估一次，根據實際情況適時修訂。修訂工作由校網信辦組織。

         校內各單位要根據本單位管理的業務信息系統、網站等網絡信息資  產的具體情況和本預案規定制定或修訂本單位的網絡安全事件應急預案。各單位的預案要做好與本預案的銜接，并報校網信辦備案。

（二）預案解釋

         本預案由校網信辦負責解釋。

（三）預案實施時間

         本預案自發布之日起實施。