一、總則
(一)編制目的
根據《國家網絡安全事件應急預案》要求,健全完善教育系統網絡安全事件應急工作機制,規范網絡安全事件工作流程,提高教育系統網絡安全應急處置能力,預防和減少網絡安全事件造成的損失和危害,維護教育系統安全穩定。
(二)編制依據
《中華人民共和國突發事件應對法》《中華人民共和國網絡安全法》等法律法規,《國家突發公共事件總體應急預案》《突發事件應急預案管理辦法》《國家網絡安全事件應急預案》《關于加強教育行業網絡與信息安全工作的指導意見》《信息安全技術信息安全事件分類分級指南》(GB/Z20986-2007)等文件。
(三)適用范圍
本預案適用于各級教育行政部門及其直屬單位(以下簡稱教育行政部門)、各級各類學校、中國教育和科研計算機網(以下簡稱教育網)。按照《國家網絡安全事件應急預案》規定,本預案所指網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等,對網絡和信息系統或者其中的數據造成危害,對社會造成負面影響的事件,可分為有害程序事件、網絡攻擊事件、信息破壞事件、設備設施故障、災害性事件和其他事件。信息內容安全事件的應對,參照有關規定和辦法。
(四)事件分級
參照《國家網絡安全事件應急預案》事件分級規定,根據教育系統特點,可能造成的危害,可能發展蔓延的趨勢等,教育系統網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件。
1.符合下列情形之一的,為特別重大網絡安全事件(Ⅰ級):
(1)教育網全國或多省份范圍大量用戶無法正常上網。
(2)edu.cn 域名的權威系統解析效率大幅下降。
(3)關鍵信息基礎設施或統一運行的核心業務信息系統(網站)遭受特別嚴重損失,造成系統大面積癱瘓,喪失業務處理能力。
(4)網絡病毒在全國教育系統或多省教育系統大面積爆發。
(5)關鍵信息基礎設施或統一運行的核心業務信息系統(網站)的重要敏感信息或關鍵數據丟失或被竊取、篡改。
(6)其他對教育系統安全穩定和正常秩序構成特別嚴重威脅,造成特別嚴重影響的網絡安全事件。
2.符合下列情形之一且未達到特別重大網絡安全事件的,為重大網絡安全事件(Ⅱ級):
(1)教育網一個省份大量用戶無法正常上網。
(2)關鍵信息基礎設施或核心業務信息系統(網站)遭受嚴重系統損失,造成系統癱瘓,業務處理能力受到重大影響。
(3)網絡病毒在一個省的教育系統范圍內大面積爆發。
(4)核心業務信息系統(網站)的重要敏感信息或關鍵數據發生丟失或被竊取、篡改。
(5)其他對教育系統安全穩定和正常秩序構成嚴重威脅,造成嚴重影響的網絡安全事件。
3.符合下列情形之一且未達到重大網絡安全事件的,為較大網絡安全事件(Ⅲ級):
(1)教育網一個單位大量用戶無法正常上網。
(2)重要業務信息系統(網站)遭受較大系統損失,明顯影響系統效率,業務處理能力受到影響。
(3)網絡病毒在教育系統多個單位范圍內廣泛傳播。
(4)重要業務信息系統(網站)的信息或數據發生丟失或被竊取、篡改、假冒。
(5)其他對教育系統安全穩定和正常秩序構成較大威脅,造成較大影響的網絡安全事件。
4.一般網絡安全事件(Ⅳ級):除上述情形外,對教育系統安全穩定和正常秩序構成一定威脅、造成一定影響的網絡安全事件,為一般網絡安全事件。
(五)工作原則
1.統一指揮、密切協同。教育部網絡安全和信息化領導小組(以下簡稱部網信領導小組)統籌協調教育系統網絡安全應急指揮工作,建立與國家網絡安全職能部門、專業機構等多方參與的協調聯動機制,加強預防、監測、報告和應急處置等環節的緊密銜接,做到快速響應、正確應對、果斷處置。
2.分級管理、強化責任。按照屬地化管理原則,省級以下(含省級)教育行政部門在本地黨委和政府領導下,負責本地區教育系統網絡安全應急工作。按照“誰主管誰負責、誰運維誰負責”的原則,各級黨委(黨組)對本地區本單位網絡安全工作負主體責任。領導班子主要負責人是網絡安全工作第一責任人。
3.預防為主、平戰結合。堅持事件處置和預防工作相結合,做好事件預防、預判、預警工作,加強應急支撐保障能力和安全態勢感知能力建設。提高網絡安全事件快速響應和科學處置能力,抓早抓小,爭取早發現、早報告、早控制、早解決,嚴控網絡安全事 件風險和影響范圍。
二、組織機構與職責
(一)領導機構與職責
部網信領導小組統籌協調教育系統全局性網絡安全事件應急工作,指導各級教育行政部門、各級各類學校網絡安全事件應急處置;發生特別重大網絡安全事件時,成立教育系統網絡安全事件應急工作組(以下簡稱工作組),負責組織指揮和協調事件處置,并根據實際情況吸納相關教育行政部門、業務主管單位和教育網網絡中心等參加應對工作。
(二)辦事機構與職責
在部網信領導小組的領導下,教育部網絡安全應急辦公室(以下簡稱部網絡安全應急辦)負責網絡安全應急管理事務性工作,對接國家網絡安全應急辦公室和網絡安全職能部門,向部網信領導小組報告網絡安全事件情況,提出特別重大網絡安全事件應對措施建議,統籌組織網絡安全監測工作,指導網絡安全支撐單位做好應急處置的技術支撐工作。部網絡安全應急辦的工作由部網信領導小組辦公室承擔。
(三)教育行政部門和學校職責
省級教育行政部門負責統籌協調組織本地區網絡安全事件應急工作,做好網絡安全事件的預防、監測、報告和應急工作。省級以下(含省級)教育行政部門、學校按照“誰主管誰負責、誰運維誰負責”的原則,參照本預案制定應急預案,承擔各自網絡安全責任,全面落實各項工作。
(四)其他單位職責
教育網網絡中心負責教育網網絡安全事件應急工作;教育網網絡中心、教育部教育管理信息中心等單位負責監測、報告網絡安全事件和預警信息,為教育系統的網絡安全事件應對提供決策支持和技術支撐。
三、監測與預警
(一)預警分級
建立教育系統網絡安全事件預警制度。按照緊急程度、發展態勢和可能造成的危害程度,教育系統網絡安全事件預警等級分為四級:由高到低依次用紅色、橙色、黃色和藍色表示,分別對應發生或可能發生教育系統特別重大、重大、較大和一般網絡安全事件。
(二)安全監測.
1.事件監測
部網絡安全應急辦通過多種渠道監測、發現已經發生的教育系統網絡安全事件,將掌握的情況立即通知相關省級教育行政部門。各單位對本地區、本單位網絡和信息系統(網站)的運行狀況進行密切監測,一旦發生網絡安全事件,應當立即通過電話等方式向上級教育行政部門報告,不得遲報、謊報、瞞報、漏報。
2.威脅監測
部網絡安全應急辦組織對教育系統網絡安全威脅進行監測,建立多方協作的信息共享機制,通過多種途徑監測、匯聚漏洞、病毒、網絡攻擊等網絡安全威脅信息,依托教育系統網絡安全工作管理平 臺實現安全威脅信息的收集、校驗、發布、跟蹤。各單位加強對本地區、本單位網絡和信息系統(網站)的網絡安全威脅監測,對發生的威脅及時進行處置和上報。
(三)預警研判和發布
各級教育行政部門對監測信息進行研判,對發生網絡安全事件的可能性及其可能造成的影響進行分析評估,認為需要立即采取防范措施的及時通知有關單位;認為可能發生重大以上(含重大)網絡安全事件的信息,應立即向部網絡安全應急辦報告。各省級教育行政部門可根據監測研判情況,發布本地區的橙色以下(含橙色)預警。部網絡安全應急辦研判,提出發布紅色預警 和涉及多地區預警的建議,報部網信領導小組批準后統一發布。對達不到預警級別但又需要發布警示信息的,部網絡安全應急辦和各省級教育行政部門可發布風險提示信息。預警信息包括預警級別、起始時間、可能影響范圍、警示事項、應采取的措施、時限要求和發布機關等。
(四)預警響應
1.紅色預警響應
(1)部網絡安全應急辦組織預警響應工作,聯系有關部門、專業機構和專家,組織對事態發展情況進行跟蹤研判,研究制定防范措施和應急工作方案,協調調度各方資源,做好各項準備,重要情況報部網信領導小組。
(2)組織跟蹤和分析研判,密切關注事態發展,做好監測分析和信息搜集工作;開展應急處置或準備、風險評估;密切關注輿情動態,加強教育引導,采取有效措施管控風險。
(3)有關單位按照部網絡安全應急辦要求,實行24小時值守,相關人員保持通信聯絡暢通。
(4)部網絡安全應急辦做好與專業機構溝通協調的準備工作;安全技術支撐部門進入待命狀態,研究制定應對方案,檢查設備、軟件工具等,確保處于良好狀態。
2.橙色預警響應
(1)教育部、省級教育行政部門網絡安全職能部門啟動相應應急預案,組織開展預警響應工作,做好風險評估、應急準備和風險控制工作。
(2)省級教育行政部門及時將事態發展情況報部網絡安全應急辦。部網絡安全應急辦密切關注事態發展,有關重大事項及時通報有關單位。
(3)相關應急技術支撐隊伍保持聯絡暢通,檢查應急設備、軟件工具等,確保處于良好狀態。
3.黃色、藍色預警響應
各級教育行政部門根據預案,組織做好預警響應工作。
(五)預警解除
預警發布部門根據實際情況,確定是否解除預警,及時發布預警解除信息。
四、應急處置
(一)初步處置
網絡安全事件發生后,事發單位應立即啟動應急預案,立即組織本單位的應急隊伍和工作人員根據不同的事件類型和事件原因,采取科學有效的應急處置措施,盡最大努力將影響降到最低,并注意保存網絡攻擊、網絡入侵或網絡病毒等證據。經分析研判,初判為特別重大、重大網絡安全事件的,應立即報告部網絡安全應急辦;對于人為破壞活動,應同時報當地網信部門和公安機關。部網絡安全應急辦組織研判,認定為特別重大網絡安全事件的,報部網信領導小組和國家網絡安全應急辦公室。
(二)應急響應
網絡安全事件應急響應分為Ⅰ級、Ⅱ級、Ⅲ級、Ⅳ級等四級,分別對應教育系統特別重大、重大、較大和一般網絡安全事件。由國家網絡安全應急辦公室研判確定為國家級特別重大網絡安全事件的,由國家網絡安全應急辦公室統一組織應急處置工作,具體要求以國家網絡安全應急辦公室部署為準。
1.Ⅰ級響應
發生特別重大網絡安全事件,由部網絡安全應急辦向部網信領導小組提出啟動Ⅰ級響應的建議,經批準后,成立工作組。
(1)啟動指揮體系
①工作組進入應急狀態,履行應急處置工作統一領導、指揮、協調的職責。工作組成員保持24小時聯絡暢通,部網絡安全應急辦24小時值守。
②有關單位網絡安全職能部門進入應急狀態,在工作組的統一領導、指揮、協調下組織人員開展應急處置或支援保障工作,啟動24小時值守,并派員參加部網絡安全應急辦工作。
(2)掌握事件動態
①跟蹤事態發展。事發單位與部網絡安全應急辦保持聯系,及 時填寫《教育系統網絡安全事件情況報告》,將事態發展變化情況和處置進展情況上報部網絡安全應急辦。
②檢查影響范圍。有關單位立即全面了解本地區、本單位主管的網絡和信息系統是否受到事件的波及或影響,并將有關情況及時報部網絡安全應急辦。
③及時通報情況。部網絡安全應急辦負責整理上述情況,重大事項及時報工作組和國家網絡安全應急辦公室,并通報有關單位。
(3)決策部署
工作組組織有關單位、專家組、應急技術支撐隊伍等方面及時研究對策意見,對處置工作進行決策部署。
(4)處置實施
①控制事態防止蔓延。采取各種技術措施、管控手段,最大限度阻止和控制事態蔓延。
②消除隱患恢復系統。根據事件發生原因,針對性制定解決方案,備份數據、保護設備、排查隱患。對業務連續性要求高的受破壞網絡與信息系統要及時組織恢復。
③調查取證。事發單位應在保留相關證據的基礎上,開展問題定位和溯源追蹤工作。積極配合當地網信部門和公安機關開展調查取證工作。
④信息發布。教育部新聞辦根據實際,組織網絡安全突發事件的應急新聞工作,指導協調各單位開展新聞發布和輿論引導工作。未經批準,其他單位不得擅自發布相關信息。
⑤協調國家支持。處置中需要技術及工作支持的,由部網絡安全應急辦根據實際,報請工作組批準后,商國家網絡安全應急辦予以支持。
⑥次生事件處置。對于引發或可能引發其他安全事件的,部網絡安全應急辦應及時按程序上報。在相關部門應急處置中,部網絡安全應急辦做好協調配合工作。
2.Ⅱ級響應
網絡安全事件的Ⅱ級響應,由事發單位所在的省級教育行政部門或部網絡安全應急辦確定并發布。
(1)響應發布單位進入應急狀態,按照相關應急預案做好應急處置工作。
(2)事發單位及時填寫《教育系統網絡安全事件情況報告》,報所在省級教育行政部門,由省級教育行政部門報部網絡安全應急辦。部網絡安全應急辦將有關重大事項及時通報部網信領導小組和有關單位。
(3)處置中需要其他單位和網絡安全應急技術支撐隊伍配合和支持的,商部網絡安全應急辦予以協調。
(4)有關單位根據通報,結合各自實際有針對性地加強防范,防止造成更大范圍影響和損失。
3.Ⅲ級和Ⅳ級響應
事件發生單位按相關預案進行應急響應。
(三)應急結束
1.I級響應結束
部網絡安全應急辦提出建議,報工作組批準后,及時通報有關單位。
2.Ⅱ級響應結束
部網絡安全應急辦和省級教育行政部門根據實際決定Ⅱ級響應 的結束。省級教育行政部門結束應急響應應報部網絡安全應急辦。
3.Ⅲ級、Ⅳ級響應結束
由事發單位完成應急處置后,自行解除Ⅲ級、Ⅳ級響應狀態。
五、調查與評估
特別重大網絡安全事件由部網絡安全應急辦組織有關單位開展調查處理和總結評估工作,并將調查評估結果匯總上報部網信領導小組及國家網絡安全應急辦公室。重大網絡安全事件根據事發單位屬性,由部網絡安全應急辦或省級教育行政部門組織開展調查處理和總結評估工作。省級教育行政部門應將調查評估結果匯總上報部網絡安全應急辦。較大和一般網絡安全事件由事發單位自行組織開展調查處理和總結評估工作。網絡安全事件總結調查報告應對事件的起因、性質、影響、責任等進行分析評估,提出處理意見和改進措施。網絡安全事件的調查處理和總結評估工作應在應急響應結束后5天內完成。
六、預防工作
(一)日常管理
各單位應做好網絡安全事件日常預防工作,根據本預案制定完善相關的專項應急預案和配套的管理制度,建立完善的應急管理體制。按照網絡安全等級保護、關鍵信息基礎設施防護等相關要求落實各項防護措施,做好網絡安全檢查、風險評估和容災備份,加強信息系統的安全保障能力。
(二)監測預警和通報
各單位應加強網絡安全監測預警和通報,及時發現并處置安全威脅。各省級教育行政部門應全面掌握本地區信息系統(網站)情況,建立本地區的網絡安全監測預警和通報機制,并指導、監督本地區教育機構及時修復安全威脅,全面排查安全隱患,提高發現和應對網絡安全事件的能力。
(三)應急演練
部網絡安全應急辦每年組織針對特別重大網絡安全事件的跨地區、跨層級的應急演練,檢驗和完善預案,提高實戰能力。各單位每年至少組織一次應急演練,每年年底前將本年度演練情況報部網絡安全應急辦。
(四)宣傳教育
各單位應將網絡安全教育作為國家安全教育的重要內容,加強 突發網絡安全事件預防和處置的有關法律、法規和政策的宣傳教育。同時,充分利用網絡安全周等各種活動形式和傳播媒介,開展網絡安全基本知識和技能的宣傳活動,提高在校師生的網絡安全意識。
(五)工作培訓
各單位應定期組織網絡安全培訓,將網絡安全事件的應急知識列為領導干部和有關人員的培訓內容,加強網絡安全特別是網絡安全事件應急預案的學習,提高網絡安全管理和技術人員的防范意識及安全技能。
七、工作保障
(一)機構和人員
各單位應落實網絡安全應急工作責任制,明確網絡安全職能處室,并將網絡安全應急工作作為重點工作予以部署。按照“誰主管誰負責”的原則,把網絡安全應急工作責任落實到具體部門、具體崗位和個人,建立健全應急工作機制。
(二)技術支撐
各省級教育行政部門、部屬高校和有條件的直屬單位,應明確 或建立網絡安全技術支撐單位,加強網絡安全應急技術支撐隊伍建設和網絡安全物資保障,做好網絡安全事件的監測預警、預防防護、應急處置、應急技術支援工作。
(三)專家隊伍
教育部建立教育系統網絡安全專家組,完善專家研判分析與支撐保障機制,為網絡安全事件的預防和處置提供技術咨詢和決策建議。各省級教育行政部門根據地方實際,建立本地區的網絡安全專家咨詢隊伍,提高應急保障能力。
(四)基礎平臺
教育部加強教育系統網絡安全管理平臺建設,通過平臺通報網絡安全事件信息和網絡安全威脅信息,增強教育系統網絡安全預警和態勢感知能力。各省級教育行政部門加強監測通報和應急管理信息化平臺建設,并與我部平臺實現數據的雙向共享,建立教育系統網絡安全態勢感知體系,做到早發現、早預警、早響應,提高應急處置能力。
(五)信息共享與應急合作
加強與網絡安全職能部門、網絡安全專業機構、行業學會和教育網網絡中心等單位的合作,建立網絡安全威脅的信息共享機制和網絡安全事件的快速發現和協同處置機制。
(六)經費保障
各單位應為網絡安全應急工作提供必要的經費保障,利用現有政策和資金渠道,支持網絡安全應急技術支撐隊伍建設、專家隊伍建設、基礎平臺建設、監測通報、宣傳教育培訓、預案演練、物資保障等工作開展。
(七)責任與獎懲
各級教育行政部門可對網絡安全事件應急管理工作中作出突出貢獻的先進集體和個人給予表彰和獎勵;對不按照規定制定預案和組織開展演練,遲報、謊報、瞞報和漏報網絡安全事件重要情況或者在應急管理工作中有其他失職、瀆職行為的,依照相關規定對有關責任人給予處分;構成犯罪的,依法追究刑事責任。
八、附則
(一)預案管理
本預案原則上每年評估一次,根據實際情況適時修訂。修訂工作由部網絡安全應急辦組織。
各單位要根據本預案制定或修訂本單位、本地區的網絡安全事件應急預案。各預案要做好與本預案的銜接,并報部網絡安全應急辦。
(二)預案解釋
本預案由部網絡安全應急辦負責解釋。
(三)預案實施時間
本預案自印發之日起實施。
學校首頁