南开区教育局关于印发南开区教育系统

网络安全事件应急预案的通知

各单位：

现将《南开区教育系统网络安全事件应急预案》印发给你们，请遵照执行。

天津市南开区教育局

 2022年6月21日

（此件主动公开）

南开区教育系统网络安全事件应急预案

一、总则

（一）编制目的

健全完善南开区教育系统网络安全事件应急工作机制，规范网络安全事件工作流程，提高南开区教育系统网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害，维护南开区教育系统安全稳定。

（二）编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》等法律法规，《国家突发公共事件总体应急预案》《突发事件应急预案管理办法》《国家网络安全事件应急预案》《关于加强教育行业网络与信息安全工作的指导意见》《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007)和天津市教育两委制定的《网络安全事件应急预案》等文件。

（三）适用范围

本预案适用于南开区教育系统各单位。本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。信息内容安全事件的应对，参照有关规定和办法。

（四）事件分级

参照《国家网络安全事件应急预案》和《教育部关于印发<教育系统网络安全事件应急预案>的通知》事件分级规定，根据教育系统特点，可能造成的危害，可能发展蔓延的趋势等，教育系统网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

1.符合下列情形之一的，为特别重大网络安全事件（I级）：

天津教育科研网全区用户无法正常上网。

关键信息基础设施或统一运行的核心业务信息系统（网站）遭受特别严重损失，造成系统大面积瘫痪，丧失业务处理能力。

网络病毒在南开区教育系统所有教育单位范围内大面积爆发。

关键信息基础设施或统一运行的核心业务信息系统（网站）的重要敏感信息或关键数据丢失或被窃取、篡改。

其它对南开区教育系统安全稳定和正常秩序构成特别严重威胁，造成特别严重影响的网络安全事件。

2.符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件（II级）：

天津教育科研网南开区教育系统大范围用户无法正常上网。

关键信息基础设施或核心业务信息系统（网站）遭受严重系统损失，造成系统瘫痪，业务处理能力受到重大影响。

网络病毒在南开区教育系统多个单位范围内大面积爆发。

核心业务信息系统（网站）的重要敏感信息或关键数据发生丢失或被窃取、篡改。

其它对南开区教育系统安全稳定和正常秩序构成严重威胁，造成严重影响的网络安全事件。

3.符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件（Ⅲ级）：

天津教育科研网南开区教育系统一个单位用户无法正常上网。

重要业务信息系统（网站）遭受较大系统损失，明显影响系统效率，业务处理能力受到影响。

网络病毒在南开区教育系统一个单位范围内广泛传播。

重要业务信息系统（网站）的信息或数据发生丢失或被窃取、篡改、假冒。

其它对南开区教育系统安全稳定和正常秩序构成较大威胁，造成较大影响的网络安全事件。

4.一般网络安全事件（IV级）：

除上述情形外，对南开区教育系统安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

（五）工作原则

1.统一指挥、密切协同。南开区教育局党委网络安全和信息化领导小组（以下简称南开区教育局党委网信领导小组）统筹协调教育系统网络安全应急指挥工作，建立与天津市教育两委和南开区网络安全职能部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

2.分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责”的原则，各级党组织对本单位网络安全工作负主体责任。领导班子主要负责人是网络安全工作第一责任人。

3.预防为主、平战结合。坚持事件处置和预防工作相结合，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络安全事件风险和影响范围。

二、组织机构与职责

（一）领导机构与职责

南开区教育局党委网信领导小组统筹协调南开区教育系统全局性网络安全事件应急工作，指导各单位网络安全事件应急处置;发生特别重大网络安全事件时，成立南开区教育系统网络安全事件应急工作组（以下简称工作组），负责组织指挥和协调事件处置，并根据实际情况吸纳相关教育行政部门、业务主管单位等参加应对工作。

（二）办事机构与职责

在南开区教育局党委网信领导小组的领导下，南开区教育局网络安全应急办公室负责网络安全应急管理事务性工作，对接天津市教育两委和南开区网络安全应急职能部门，向南开区教育局党委网信领导小组报告网络安全事件情况，提出特别重大网络安全事件应对措施建议，统筹组织网络安全监测工作，指导网络安全支撑单位做好应急处置的技术支撑工作。南开区教育局网络安全应急办公室设在南开区教育局党委网信领导小组办公室。

（三）南开区教育系统各单位职责

南开区教育系统各单位负责统筹协调组织本单位网络安全事件应急工作，做好网络安全事件的预防、监测、报告和应急工作。各单位按照“谁主管谁负责、谁运维谁负责”的原则，参照本预案制定本单位应急预案，承担各自网络安全责任，全面落实各项工作。

（四）其它单位职责

天津市南开区教师发展中心负责南开教育科研网网络安全事件应急工作；负责网络安全监测、报告网络安全事件和预警信息工作，为南开区教育系统的网络安全事件应对提供决策支持和技术支撑。

三、监测与预警

（一）预警分级

建立南开区教育系统网络安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度，教育系统网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生教育系统特别重大、重大、较大和一般网络安全事件。

（二）安全监测

1.事件监测

南开区教育局网络安全应急办公室通过多种渠道监测、发现已经发生的教育系统网络安全事件，将掌握的情况立即通知相关单位。各单位对本单位网络和信息系统（网站）的运行状况进行密切监测，一旦发生网络安全事件，应当立即通过电话等方式向上级教育行政管理部门报告，不得迟报、谎报、瞒报、漏报。

2.威胁监测

南开区教育局网络安全应急办公室组织对教育系统网络安全威胁进行监测，建立多方协作的信息共享机制，通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络安全威胁信息。各单位加强对本单位网络和信息系统（网站）的网络安全威胁监测，对发生的威胁及时进行处置和上报。

（三）预警研判和发布

教育系统各单位对监测信息进行研判，对发生网络安全事件的可能性及其可能造成的影响进行分析评估并采取相应的防范措施；认为可能发生重大以上（含重大）网络安全事件的信息，应立即向南开区教育局网络安全应急办公室报告。

教育系统各单位可根据监测研判情况，发布本单位的橙色以下（含橙色）预警。南开区教育局网络安全应急办公室研判，提出发布红色预警的建议，报南开区教育局党委网信领导小组批准后统一发布。对达不到预警级别但又需要发布警示信息的，南开区教育局网络安全应急办公室可发布风险提示信息。

预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求和发布机关等。

（四）预警响应

1.红色预警响应

（1）南开区教育局网络安全应急办公室组织预警响应工作，联系有关部门、专业机构和专家，组织对事态发展情况进行跟踪研判，研究制定防范措施和应急工作方案，协调调度各方资源，做好各项准备，重要情况报南开区教育局党委网信领导小组。

（2）组织跟踪和分析研判，密切关注事态发展，做好监测分析和信息搜集工作；开展应急处置或准备、风险评估；密切关注舆情动态，加强教育引导，采取有效措施管控风险。

（3）有关单位按照南开区教育局网络安全应急办公室要求，实行24小时值守，相关人员保持通信联络畅通。

（4）南开区教育局网络安全应急办公室做好与专家组、专业机构沟通协调的准备工作；安全技术支撑部门进入待命状态，研究制定应对方案，检查设备、软件工具等，确保处于良好状态。

2.橙色预警响应

（1）南开区教育局、教育系统各单位网络安全职能部门启动相应应急预案，组织开展预警响应工作，做好风险评估、应急准备和风险控制工作。

（2）教育系统各单位及时将事态发展情况报南开区教育局网络安全应急办公室。南开区教育局网络安全应急办公室密切关注事态发展，有关重大事项及时通报有关单位。

（3）相关应急技术支撑队伍保持联络畅通，检查应急设备、软件工具等，确保处于良好状态。

3.黄色、蓝色预警响应

教育系统各单位根据预案，组织做好预警响应工作。

4.预警解除

预警发布部门根据实际情况，确定是否解除预警，及时发布预警解除信息。

四、应急处置

（一）初步处置

网络安全事件发生后，事发单位应立即启动应急预案，立即组织本单位的应急队伍和工作人员根据不同的事件类型和事件原因，采取科学有效的应急处置措施，尽最大努力将影响降到最低，并注意保存网络攻击、网络入侵或网络病毒等证据。经分析研判，初判为特别重大、重大网络安全事件的，应立即报告南开区教育局网络安全应急办公室；对于人为破坏活动，应同时报公安机关。南开区教育局网络安全应急办公室组织研判，认定为特别重大网络安全事件的，报南开区教育局党委网信领导小组、天津市教育两委和南开区网络安全应急职能部门。

（二）应急响应

网络安全事件应急响应分为I级、II级、Ⅲ级、IV级等四级，分别对应教育系统特别重大、重大、较大和一般网络安全事件。由南开区教育局网络安全应急办公室研判确定为区级特别重大网络安全事件的，由南开区教育局网络安全应急办公室统一组织应急处置工作,具体要求以南开区教育局网络安全应急办公室部署为准。

1.I级响应

发生特别重大网络安全事件，由南开区教育局网络安全应急办公室向南开区教育局党委网信领导小组提出启动I级响应的建议，经批准后，成立工作组。

2.启动指挥体系

工作组进入应急状态，履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持24小时联络畅通，南开区教育局网络安全应急办公室24小时值守。

有关单位网络安全职能部门进入应急状态，在工作组的统一领导、指挥、协调下组织人员开展应急处置或支援保障工作，启动24小时值守，并派员参加上级网络安全应急办的工作。

3.掌握事件动态

（1）跟踪事态发展。事发单位与南开区教育局网络安全应急办公室保持联系，及时撰写《南开区教育系统网络安全事件情况报告》，将事态发展变化情况和处置进展情况上报南开区教育局网络安全应急办公室。

（2）检查影响范围。有关单位立即全面了解本单位主管的网络和信息系统是否受到事件的波及或影响，并将有关情况及时报南开区教育局网络安全应急办公室。

（3）及时通报情况。南开区教育局网络安全应急办公室负责整理上述情况，重大事项及时报工作组、天津市教育两委和南开区网络安全应急职能部门，并通报有关单位。

4.决策部署

工作组组织有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见，对处置工作进行决策部署。

5.处置实施

（1）控制事态防止蔓延。采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。

（2）消除隐患恢复系统。根据事件发生原因，针对性制定解决方案，备份数据、保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。

（3）调查取证。事发单位应在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极配合南开区网信部门和公安机关开展调查取证工作。

（4）信息发布。南开区教育局根据实际，组织网络安全突发事件的应急新闻发布工作，指导协调各单位开展新闻发布和舆论引导工作。未经批准，其它单位不得擅自发布相关信息。

（5）协调天津市教育两委和南开区给予支持。处置中需要技术及工作支持的，由南开区教育局网络安全应急办公室根据实际，报请工作组批准后，协商天津市教育两委和南开区网络安全应急职能部门予以支持。

（6）次生事件处置。对于引发或可能引发其它安全事件的，南开区教育局网络安全应急办公室应及时按程序上报。在相关部门应急处置中，南开区教育局网络安全应急办公室做好协调配合工作。

6.II级响应。

网络安全事件的II级响应，由事发单位或南开区教育局网络安全应急办公室确定并发布。

（1）响应发布单位进入应急状态，按照相关应急预案做好应急处置工作。

（2）事发单位及时撰写《南开区教育系统网络安全事件情况报告》,报南开区教育局网络安全应急办公室。南开区教育局网络安全应急办公室将有关重大事项及时通报南开区教育局党委网信领导小组和有关单位。

（3）处置中需要其它单位和网络安全应急技术支撑队伍配合和支持的，协商天津市教育两委网络安全应急办公室予以协调。

（4）有关单位根据通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。

7. Ⅲ级和IV级响应。

事件发生单位按相关预案进行应急响应。

（三）应急结束

1.I级响应结束。

南开区教育局网络安全应急办公室提出建议，报南开区教育局党委网信领导小组批准后，及时通报有关单位。

2.II级响应结束。

南开区教育局网络安全应急办公室和教育系统各单位根据实际决定II级响应的结束。教育系统各单位结束应急响应应报南开区教育局网络安全应急办公室。

3.Ⅲ级和IV级响应结束。

由事发单位完成应急处置后，自行解除Ⅲ级、IV级响应状态。

五、调查与评估

特别重大网络安全事件由南开区教育局网络安全应急办公室组织有关单位开展调查处理和总结评估工作，并将调查评估结果汇总上报南开区教育局党委网信领导小组及市教育两委和南开区网络安全应急职能部门。重大网络安全事件根据事发单位属性，由南开区教育局网络安全应急办公室或教育系统各单位组织开展调查处理和总结评估工作。教育系统各单位应将调查评估结果汇总上报南开区教育局网络安全应急办公室。较大和一般网络安全事件由事发单位自行组织开展调查处理和总结评估工作。

网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后5天内完成。

六、预防工作

（一）日常管理

南开区教育系统各单位应做好网络安全事件日常预防工作，根据本预案制定完善相关的专项应急预案和配套的管理制度，建立完善的应急管理体制。按照网络安全等级保护、关键信息基础设施防护等相关要求落实各项防护措施，做好网络安全检查、风险评估和容灾备份，加强信息系统的安全保障能力。

（二）监测预警和通报

南开区教育系统各单位应加强网络安全监测预警和通报，及时发现并处置安全威胁。教育系统各单位应全面掌握本单位信息系统（网站）情况，建立本单位的网络安全监测预警和通报机制，并及时修复安全威胁，全面排查安全隐患，提高发现和应对网络安全事件的能力。

（三）应急演练

南开区教育局网络安全应急办公室定期组织演练，检验和完善预案，提高实战能力。南开区教育系统各单位每年至少组织一次预案演练，每年年底前将所属单位本年度演练情况报南开区教育局网络安全应急办公室。

（四）宣传教育

南开区教育系统各单位应将网络安全教育作为国家安全教育的重要内容，加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传教育。同时，充分利用网络安全周等各种活动形式和传播媒介，开展网络安全基本知识和技能的宣传活动，提高在校师生的网络安全意识。

（五）工作培训

南开区教育系统各单位应定期组织网络安全培训，将网络安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全事件应急预案的学习，提高网络安全管理水平和技术人员的防范意识及安全技能。

七、工作保障

（一）机构和人员

南开区教育系统各单位应落实网络安全应急工作责任制，明确网络安全职能部门，并将网络安全应急工作作为重点工作予以部署。按照“谁主管谁负责”的原则，把网络安全应急工作责任落实到具体部门、具体岗位和个人，建立健全应急工作机制。

（二）技术支撑

南开区教育系统各单位应明确或建立网络安全技术支撑部门，加强网络安全应急技术支撑队伍建设和网络安全物资保障，做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。

（三）信息共享与应急合作

加强与网络安全职能部门、网络安全专业机构等单位的合作，建立网络安全威胁的信息共享机制和网络安全事件的快速发现和协同处置机制。

（四）经费保障

南开区教育系统各单位应为网络安全应急工作提供必要的经费保障，利用现有政策和资金渠道，支持网络安全应急技术支撑队伍建设、监测通报、宣传教育培训、预案演练、物资保障等工作开展。

（五）责任与奖惩

南开区教育系统各单位可对在网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励；对不按照规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

八、附则

（一）预案管理

本预案原则上每年评估一次，根据实际情况适时修订。修订工作由南开区教育局网络安全应急办公室组织。各单位要根据本预案制定或修订本单位的网络安全事件应急预案。各预案要做好与本预案的衔接，并报南开区教育局网络安全应急办公室。

（二）预案解释

本预案由南开区教育局网络安全应急办公室负责解释。

（三）预案实施时间

本预案自印发之日起实施。