根据《安徽省教育系统网络安全事件应急预案》要求，健全完善学院网络安全事件应急管理工作机制，规范网络安全事件工作流程， 提高我校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护学院安全稳定，结合我校实际，特制定本预案。

一、编制依据、适用范围及工作原则

1、《中华人民共和国网络安全法》《安徽省教育系统网络安全事件应急预案》《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）等文件和《安徽医科大学临床医学院校园网络管理办法》。

2、适用范围：本预案适用于安徽医科大学临床医学院及各部门的网络安全事件的应对与处置工作。

3、按照《安徽省教育系统网络安全事件应急预案》等规定，本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。其中信息内容安全事件的应对，参照有关规定和办法。

4、事件分级

参照《安徽省教育系统网络安全事件应急预案》等事件分级规定，结合我校特点，以及网络安全事件可能造成的危害、可能发展 蔓延的趋势等，网络安全事件分为四级：特别重大网络安全事件、 重大网络安全事件、较大网络安全事件、一般网络安全事件。

（1）符合下列情形之一的，为特别重大网络安全事件（I级）:

①　关键信息基础设施或重要信息系统（网站）遭受特别严重损失，造成系统大面积瘫痪，丧失业务处理能力，严重影响我省教育系统安全稳定和正常秩序。

②　网络病毒在全国教育系统或多省教育系统大面积爆发并严重影响我省教育系统。

③　关键信息基础设施或重要信息系统（网站）的重要敏感信息或关键数据丢失或被窃取、篡改、假冒，对我省教育系统安全稳定 和正常秩序构成特别严重威胁。

④　教育网省内大量用户无法正常上网，edu.cn域名的权威系统解析效率大幅下降。

⑤　其他对包括我省在内的教育系统安全稳定和正常秩序构成特别严重威胁，造成特别严重影响的网络安全事件。

（2）符合下列情形之一且未达到特别重大网络安全事件的， 为重大网络安全事件（II级）：

①　省教科网大量用户无法正常上网。

②　关键信息基础设施或核心业务信息系统（网站）遭受严重系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到重大影响。

③　网络病毒在全省教育系统范围内大面积爆发。

④　关键信息基础设施或重要信息系统（网站）的重要敏感信息或关键数据发生丢失或被窃取、篡改，对全省教育系统安全稳定和正常秩序构成严重威胁。

⑤　其他对全省教育系统安全稳定和正常秩序构成严重威胁，造成严重影响的网络安全事件。

（3）符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件（B级）：

①　学院校园网大量用户无法正常上网。

②　学院关键信息基础设施或重要信息系统（网站）遭受严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力，对全校正常 秩序构成严重威胁。

③　网络病毒在我省教育系统多个单位范围内广泛传播并严重影响到我校。

④　学院关键信息基础设施或重要信息系统（网站）的敏感信息或关键数据发生丢失或被窃取、篡改、假冒，对全校安全稳定和正 常秩序构成严重威胁。

⑤　其他对我校安全稳定和正常秩序构成严重威胁，造成严重影响的网络安全事件。

（4）符合下列情形之一且未达到较大网络安全事件的，为一 般网络安全事件（IV级）

①　校园网部分区域大量用户无法正常上网。

②　学院关键信息基础设施或重要信息系统(网站)遭受较大系 统损失，造成系统中断，明显影响系统效率，业务处理能力受到严重影响，对全校正常秩序构成较严重威胁。

③　学院重要信息系统(网站)的数据发生丢失或被窃取、篡改、假冒，对全校安全稳定和正常秩序构成较严重威胁。

④　网络病毒在学院范围内广泛传播。

⑤　其他对我校安全稳定和正常秩序构成较大威胁，造成较大影响的网络安全事件。

5、工作原则

（1）统一指挥、密切协同。学院网络安全和信息化领导小组 (以下简称学院网信领导小组)统筹协调学院网络安全应急指挥工作，网络安全和信息化领导小组下设办公室，建立与安徽省教育厅、合肥市网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

（2）分级管理、强化责任。按照“谁主管谁负责、谁运维谁 负责”的原则，各部门对本部门网络安全工作负主体责任。学院领导主要负责人是网络安全工作第一责任人。

预防为主、防治结合。坚持事件处置和预防工作相结合, 做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态 势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓 早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事 件风险和影响范围。

二、组织机构与职责

1、领导机构与职责

学院网信领导小组统筹协调学院网络安全事件应急工作，指导 二级机构网络安全事件应急处置；当发生特别重大网络安全事件、 重大网络安全事件时，在上级统一指挥下开展应急处置工作，具体 参照《安徽省教育系统网络安全事件应急预案》等相关规定执行。

2、办事机构与职责

在学院网信领导小组的领导下，学院网络安全应急管理办公室负责网络安全应急管理事务性工作，对接省教育系统网络安全应急管理办公室，向学院网信领导小组报告网络安全事件情况，提出较大网络安 全事件、一般网络安全事件的应对措施建议和意见，统筹组织学院 网络安全监测工作，指导信息中心做好应急处置的技术支撑工作。学院网络安全应急管理办公室的工作由学院网络安全和信息化领导小组办公室承担。

3、学院各部门职责

各单位负责所建网络和信息系统（网站）的网络安全事件应急管理 工作，根据本预案制定有关网络和信息系统的网络安全事件专项应 急预案，切实落实相关具体工作。

三、监测与预警

1、预警分级

建立学院网络安全事件预警制度。按照紧急程度、发展态势和 可能造成的危害程度，我校网络安全事件预警等级分为四级：由高 到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发 生的特别重大、重大、较大和一般网络安全事件。

2、安全监测

（1）事件监测

学院网络安全应急办公室通过多种渠道接收、监测、发现已经 发生的学院网络安全事件，将掌握的情况立即通知相关单位。

各单位对所建网络和信息系统（网站）的运行状况进行密切监测，一旦发生网络安全事件，应当立即通过电话等方式向学院网络 安全应急办公室报告，不得迟报、谎报、瞒报、漏报。

（2）威胁监测

学院网络安全应急管理办公室组织对全校网络安全威胁进行监测， 通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息。

各单位加强对本单位所建网络和信息系统（网站）的网络安全 威胁及时进行处置和上报学院网络安全应急办公室。

3、预警研判和发布

学院网络安全应急管理办公室对监测信息进行研判，对发生网络安 全事件的可能性及其可能造成的影响进行分析评估，认为需要立即采取防范措施的及时通知有关单位；认为可能发生网络安全事件的 信息，立即向学院网信领导小组报告；认为可能发生较大及以上网 络安全事件的信息，经学院网信领导小组批准后，立即向省教育系 统网络安全应急办公室报告。

各部门对监测信息进行研判，认为可能发生网络安全事件的信息，应立即向学院网络安全应急管理办公室报告。

红色预警和橙色预警由上级网络安全应急管理办公室发布。

学院网络安全应急管理办公室可根据监测研判情况,提出发布黄色预警和蓝色预警的建议，报学院网信领导小组批准后发布。对达不到预警级别但又要发布警示信息的，学院网络安全应急管理办公室可发布风险提示信息。

预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布机关等。

4、预警响应

(1)红色预警响应和橙色预警响应

根据《安徽省教育系统网络安全事件应急预案》精神，由上级网络安全应急办公室组织红色预警和橙色预警响应工作。

学院网络安全应急管理办公室根据上级网络安全应急管理办公室统一部署，密切关注事态发展，做好全校范围信息搜集工作，研究制定学院防范措施和应急工作方案，协调调度各种校内资源，做好校内各项准备工作。重要情况报省教育系统网络安全应急管理办公室。

学院网络安全应急管理办公室及有关部门实行24小时值班，相关人员保持通信联络畅通。

信息中心技术支撑队伍进入待命状态，检查设备、软件 工具等，确保其处于良好状态。

(2)黄色预警响应

学院网络安全应急管理办公室组织预警响应工作。联系有关部门、专业机构和专家，研究制定防范措施和应急工作方案，协调调度各种所需资源，做好各项准备工作。

有关部门启动专项应急预案，开展预警响应工作，做好风险评估、应急准备和风险控制工作。

学院网络安全应急管理办公室及时将事态发展情况报省教育系统网络安全应急管理办公室。

信息中心技术支撑队伍保持联络畅通，检查应急设备、软件工具等，确保其处于良好状态。

(3)蓝色预警响应

学院网络安全应急管理办公室组织预警响应工作。联系有关 部门、专业机构和专家，研究制定防范措施和应急工作方案，协调调度所需资源。

有关单位启动专项应急预案，开展预警响应工作，做好风险评估、应急准备和风险控制工作。

信息中心技术支撑队伍保持联络畅通，检查应急设备、软件工具等，确保其处于良好状态。

5、预警解除

学院网络安全应急管理办公室根据上级网络安全应急管理办公室的通知，及时转发红色预警或橙色预警解除信息。

学院网络安全应急办公室根据实际情况，确定是否解除黄色预警或蓝色预警，及时发布预警解除信息。

四、应急处置

1、初步处置

（1）网络安全事件发生后，事发部门应立即启动专项应急预案，根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，并注意保存网络攻击、网络入侵或网络 病毒等证据。同时，应立即通过电话等方式向学院网络安全应急管理办公室报告，不得迟报、谎报、瞒报、漏报。

（2）学院网络安全应急办公室组织研判，认定为网络安全事件的，须立即向学院网信领导小组报告；初判为较大及以上网络安全事件的，经学院网信领导小组批准后，立即向省教育系统网络安全应急管理办公室报告。对于人为破坏活动，由学院保卫处确认后报当地公安机关。

2、应急响应

网络安全事件应急响应分为I级、II级、B级、IV级等四级， 分别对应教育系统特别重大、重大、较大和一般网络安全事件。I 级为最高响应级别。

（1）I级响应和II级响应

对于特别重大网络安全事件、重大网络安全事件，由上级网络安全应急管理办公室统一组织应急处置工作，具体要求以上级网络安全应急管理办公室部署为准。

①　掌握事件动态，跟踪事态发展。学院网络安全应急办公室与省教育系统网络安全应急管理办公室保持联系，按要求将事态发展变化情况和处置进展情况上报。

②　检查影响范围。学院网络安全应急管理办公室立即了解学院网络 和信息系统是否受到事件的涉及或影响，并将有关情况及时报省教育网络安全应急管理办公室。

③　及时汇报情况。学院网络安全应急管理办公室负责整理上述情况, 及时向学院网信领导小组报告；相关重要事项经学院网信领导小组批准后，及时向省教育网络安全应急管理办公室报告。

④　处置实施。控制事态防止蔓延。根据事件发生原因，结合相应专项应急预案，采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

⑤　消除隐患恢复系统。根据事件发生原因，结合相应专项应急预案，及时组织消除隐患，恢复业务连续性要求高的受破坏网络和信息系统。

⑥　调查取证。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。

⑦　信息发布。未经省教育系统网络安全应急管理办公室批准，不得 发布任何相关信息。

⑧　协调外部支持。处置中需要技术及工作支持的，由学院网络安全应急管理办公室根据实际情况，请省教育系统网络安全应急管理办公室 予以支持。

⑨　次生事件处置。对于引发或可能引发其他安全事件的，学院网络安全应急管理办公室应及时按程序上报。在相关部门应急处置中，学院网络安全应急管理办公室做好协调配合工作。

（2）III级响应

发生较大网络安全事件，由学院网络安全应急管理办公室向学院网 信领导小组提出启动B级响应的建议，经批准后，启动B级响应。

①　启动应急指挥。成立应急管理工作组，分管校领导与学院网络安全应急管理办公室主任为组长，信息中心负责人和有关部门负责人 为成员。应急工作组履行应急处置工作统一领导、指挥、协调的职责。

②　掌握事件动态。学院网络安全应急管理办公室整理、汇总相关信息，掌握事态发展变化情况和处置进展情况，掌握全校网络和信息系统受到事件涉及或影响的情况，随时向学院网信领导小组和应急工作组报告相关重要事项。学院网络安全应急管理办公室及时形成《教育系统网络安全事件情况报告》,经应急工作组同意 后报省教育系统网络安全应急管理办公室。

③　实施处置工作。在应急工作组的领导下，事发单位根据专项应急预案开展应急处置工作，学院网络安全应急管理办公室做好协调工作。

④　控制事态防止蔓延。采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

⑤　消除隐患恢复系统。在保留相关证据的基础上，及时组织消除隐患，恢复遭受破坏的网络和信息系统。

⑥　调查取证。在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极配合公安机关开展调查取证工作。

⑦　信息发布。学院宣传部根据实际，开展新闻发布和舆论引导工作。未经批准，其他单位不得擅自发布相关信息。

⑧　协调外部支持。应急处置过程中需要校外技术及工作支持的, 由学院网络安全应急管理办公室根据实际，联系校外有关单位予以支持。

⑨　次生事件处置。对于引发或可能引发其他安全事件的，学院网络安全应急管理办公室及时按程序上报。在相关部门应急处置中，学 校网络安全应急管理办公室做好协调配合工作。

（3） IV级响应

发生一般网络安全事件，由事发单位向学院网络安全应急管理办公室提出启动IV级响应的建议，经批准后，启动IV级响应。

①　启动应急指挥。学院网络安全应急管理办公室和事发单位联 合组成应急管理工作组，履行应急处置工作领导、协调的职责。

②　掌握事件动态。学院网络安全应急管理办公室整理、汇总相关信息，掌握事态发展变化情况和处置进展情况，掌握全校网络和信息系统受到事件涉及或影响的情况，及时向学院网信领导小组报告相关重要事项。

③　实施处置工作。在应急管理工作组的领导下，事发部门根据专项应急预案开展应急处置工作。

④　控制事态防止蔓延。根据专项应急预案，采取各种技术措施、 管控手段，最大限度阻止和控制事态蔓延。

⑤　消除隐患恢复系统。根据专项应急预案，在保留相关证据的基础上，及时组织消除隐患，恢复遭受破坏的网络和信息系统。

⑥　调查取证。在保留相关证据的基础上，开展问题定位和溯源追踪工作。事发部门应积极配合学院网络安全应急管理办公室和公安机关开展调查取证工作。

⑦　信息发布。学院宣传部根据实际，开展新闻发布和舆论引导工作。未经批准，其他部门不得擅自发布相关信息。

⑧　协调外部支持。处置中需要技术及工作支持的，由学院网络安全应急管理办公室根据实际，联系校外有关网络安全机构予以支持。

⑨　次生事件处置。对于引发或可能引发其他安全事件的，学院网络安全应急管理办公室应及时按程序上报。在相关部门应急处置中，学院网络安全应急管理办公室做好协调配合工作。

3、 应急结束

（1） I级和II级响应结束

以上级网络安全应急管理办公室部署为准。

（2） III级响应结束

经应急管理工作组批准报省教育系统网络安全应急管理办公室同意后， 学院网络安全应急管理办公室根据实际决定III级响应的结束，并通报有关情况。

（3） IV级响应结束

由事发部门完成应急处置后，报学院网络安全应急办公室管理同意后，根据实际决定IV级响应的结束。

五、调查与评估

（1）特别重大网络安全事件和重大网络安全事件的调查处理和总结评估工作根据上级有关规定执行。

（2）较大网络安全事件经学院网信领导小组同意后，由学院网络安全应急管理办公室组织开展调查处理和总结评估工作，并将调查评估结果报学院网信领导小组后按程序报省教育系统网络安全应急管理办公室。

（3）一般网络安全事件由学院网络安全应急管理办公室会同事发部门 组织开展调查处理和总结评估工作。在每年的网络安全工作总结中向学院网信领导小组汇总报告一般网络安全事件调查评估结果。

（4）网络安全事件的调查处理和总结评估工作应在应急响应结束 后5天内完成，应对事件的起因、性质、影响、责任等进行分析评 估，提出处理意见和改进措施，并填写《网络安全事件总结调查报告》。

六、预防工作

1、日常管理

各单位应做好网络安全事件日常预防工作，根据本预案制定完 善本单位所建信息系统的网络安全事件专项应急预案和配套的管 理制度，进一步细化应急操作流程。按照网络安全等级保护相关要 求，落实各项防护措施，做好网络安全检查、风险评估和容灾备份, 加强信息系统的安全保障能力。

2、监测预警和通报

各部门应加强网络安全监测预警和通报，及时发现并处置安全威胁。学院网络安全应急管理办公室应全面掌握全校信息系统（网站）情况，建立全校网络安全监测预警和通报机制，并指导、监督各部门及时修复安全威胁，全面排查安全隐患，提高发现和应对网络安全事件的能力。

3、应急演练

学院网络安全应急管理办公室每年组织一次针对网络安全事件的应急演练，每年年底前将本年度演练情况报省教育系统网络安全应急管理办公室。

4、宣传教育

学院将网络安全教育作为国家安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律法规和政策的宣传教育。学院网络安全应急管理办公室应充分利用网络安全周等各种活动形式和微信公众号等传播媒介，开展网络安全基本知识和技能的宣传活动, 提高在校师生的网络安全意识。

5、工作培训

各部门应加强网络安全特别是网络安全事件应急预案的学习， 提高网络安全管理和技术人员的防范意识及安全技能。学院网络安全应急管理办公室每学期组织一次面向全校相关技术人员的网络安全 培训。学院有关部门应将网络安全事件的应急知识列为领导干部和有关人员的培训内容。

七、工作保障

1、机构和人员

按照“谁主管谁负责”的原则，各部门应落实网络安全应急工 作责任制，明确具体岗位和人员，建立健全应急工作机制。

2、技术支撑

学院信息中心作为全校网络安全应急技术支撑单位，应加强网络安全技术队伍建设，做好网络安全事件的监测预警、预防防护、 应急处置、应急技术支撑工作。

3、专家队伍

建立学院网络安全专家组，为全校网络安全事件的预防和处置提供技术咨询和决策建议。

4、信息共享与应急合作

加强与周边高校、合肥市网络安全职能部门、网络安全专业机构、行业学会（协会）等单位的合作，建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。

5、经费保障

学院每年提供专项经费，用于网络安全应急技术支撑队伍建设、专家队伍建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。

6、责任与奖惩

学院对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励；对不按照规定制定预案和组织开展演练, 迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工 作中有其他失职、渎职行为的，依照有关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

八、附则

1、预案管理

本预案原则上每年评估一次，根据实际情况适时修订。修订工作由学院网络安全应急管理办公室组织。

各单位要根据本预案制定或修订本单位的网络安全事件专项应急预案。各预案要做好与本预案的衔接，并报学院网络安全应急办公室。

2、预案解释

本预案由学院网络安全应急管理办公室负责解释。

3、预案实施时间

本预案自发布之日起施行。