一、 总则

（一） 编制目的

           根据《中华人民共和国网络安全法》《教育系统网络安全事件应急预案》和《西南财经大学网络安全责任制实施细则》的要求，健全完善学校网络安全事件应急工作机制，规范学校网络安全工作流程，提高学校网络安全应急处置能力，预防和减少网络安全事件造成的损失和危害， 维护学校安全稳定。

（二） 编制依据

           依据《中华人民共和国网络安全法》、《国家网络安全事件应急预案》、《教育系统网络安全事件应急预案》和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）等文件和相关规定。

（三） 适用范围

           本预案适用于西南财经大学校内各单位。按照《国家网络安全应急预案》和《教育系统网络安全事件应急预案》规定，本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对学校和各单位网络和信息系统或其中的数据造成危害，对国家、社会、公民、学校和师生造成负面影响甚至损失的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他事件。

（四） 事件分级

           参照《国家网络安全应急预案》和《教育系统网络安全事件应急预案》事件分级规定，结合学校特点，按照可能造成的危害，可能发展蔓延的趋势等，西南财经大学网络与信息安全事件分为四级：特别重大网络信息安全事件、重大网络信息安全事件、较大网络信息安全事件、一般网络信息安全事件。

           1.符合下列情形之一的，为特别重大网络安全事件（I 级）：

         （1）网页被篡改、盗链或破坏性病毒、文件传播，导致反动言论或  者谣言等违法信息大面积扩散，给国家、社会、学校带来严重损害；

         （2）校园网大面积瘫痪，时间超过 24 小时以上的；

         （3）其他对学校安全稳定和正常秩序构成特别严重威胁，造成特别 严重影响的网络安全事件。

           2.符合下列情形之一且未达到特别重大网络与信息安全事件的，为重大网络与信息安全事件（II 级）：

         （1）网页被篡改、盗链或破坏性病毒、文件传播，导致反动言论或  者谣言等违法信息在一定范围内扩散，给国家、社会、学校带来严重损害的；

         （2）校园网大面积瘫痪，时间超过 12 小时以上的；

         （3）其他对学校安全稳定和正常秩序构成较为严重威胁，造成较为 严重影响的网络信息安全事件。

           3.符合下列情形之一且未达到重大网络与信息安全事件的，为较大网络与信息安全事件（III 级）：

         （1）swufe.edu.cn 域名的权威系统解析效率一定程度下降，学校门户网站受到攻击导致响应速度较慢，时间超过 6 小时以上的；

          （2）网页被篡改、盗链或破坏性病毒、文件传播，导致反动言论或者谣言等违法信息小范围扩散，给国家、社会、学校带来轻微损害的；

         （3）学校关键信息基础设施遭受网络攻击，关键业务或校级核心业 务信息系统（网站）遭受较小损失，导致一定程度影响师生工作、生活， 或者造成较小经济损失，或者造成轻微不良社会影响的；

         （4）校园网局部区域中断，时间超过 6 小时以上；

         （5）其他对学校安全稳定和正常秩序构成较小威胁，造成较小影响 的网络信息安全事件。

           4.一般网络安全事件（IV 级）：

           除上述情形外，对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络与信息安全事件，为一般网络与信息安全事件。

（五） 工作原则

          1.统一指挥、紧密协同。学校网络安全与信息化工作领导小组（ 以下简称校网信领导小组）统筹协调学校网络与信息安全应急指挥工作，建立与上级主管部门、专业机构等多方参与的协调联动机制，加强预防、监测、报告和应急处置等环节的紧密衔接，做到快速响应、正确应对、果断处置。

         2.分级管理、强化责任。按照“谁主管谁负责、谁运维谁负责、谁 使用谁负责”的原则，学校各分党委、党总支、直属党支部对本单位网 络和信息安全工作负主体责任，二级党组织书记是网络和信息安全工作 第一责任人，学校各单位主要负责人是网络和信息安全工作直接责任人。

        3.预防为主、快速响应。坚持预防工作和事件快速响应处置相结合 ，做好事件预防、预判、预警工作，加强应急支撑保障能力和安全态势感知能力建设。提高网络安全事件快速响应和科学处置能力，抓早抓小，争取早发现、早报告、早控制、早解决，严控网络和信息安全事件风险和影响范围。

二、 组织机构与职责

（一） 领导机构与职责

          校网信领导小组统筹协调学校全局性网络与信息安全事件应急工作，指导学校各部门各类网络与信息安全事件应急处置；发生特别重大网络与信息安全事件时，负责组织指挥和协调事件处置。

（二） 办事机构与职责

          在校网信领导小组的领导下，校网信领导小组办公室负责网络与信息安全应急管理事务性工作，对接上级主管部门并负责向上级主管部门报告网络安全事件情况，提出特别重大网络安全事件应对措施建议，统筹组织网络安全监测工作，指导网络安全技术支撑单位做好应急处置技术支撑工作。

          1.校网信领导小组职责

        （1）根据网络安全事件事态发展，向教育部网络安全应急办公室汇报有可能演变成 I 级和II 级的网络与信息安全事件，并做好相关准备工作；

        （2）责成校网络安全与信息化工作领导小组办公室组织技术力量响应和处置涉及学校的 I 级和 II 级网络安全事件；

        （3）督促检查安全事件处置情况及各有关单位在安全事件处置工作中履行职责情况；

        （4）对全校各单位贯彻执行应急处置预案、应急处置准备情况进行督促检查。

         2.网络安全与信息化工作领导小组办公室（以下简称“网信办”）职责

       （1）负责网络信息安全工作的组织、协调和监督，制定相关制度和应急预案；

       （2）根据校内发生的网络信息安全事件程度提出 III 级及以下级别预案的启动，组织协调信息与教育技术中心等单位落实应急预案，共同做好处置工作；

       （3）负责及时收集、通报和上报网络信息安全事件处置的有关情况 。 

        ３.校内二级单位校内各单位在校网信办指导下负责本单位内部发生的网络信息安全管理和突发事件的应急处置工作，应对照依据本预案，建立本部门网站及信息系统相应的应急预案，报网信办备案。

        4.信息与教育技术中心职责

      （1）负责校园基础网络系统安全，保证校园网络提供不间断服务；

      （2）负责全校性信息系统的安全事件处置工作；

      （3）负责计算机病毒疫情和大规模网络攻击事件的处置；

      （4）负责全校网络信息安全事件处置的技术支持工作。

        5.校内各单位官方微博、微信、移动政务客户端（以下简称“两微一端”）等新媒体平台按照《西南财经大学校内网站和域名管理办法》和《西南财经大学校园新媒体联盟运行办法》进行登记管理，按照“谁主管谁负责、谁发布谁负责”的原则，落实保障措施。

三、 监测与预警

（一）  预警分级

           建立西南财经大学网络信息安全事件预警制度。按照紧急程度、发展态势和可能造成的危害程度，西南财经大学网络与信息安全事件预警等级分为四级：由高到底依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生学校特别重大、重大、较大和一般网络与信息安全事件。

（二） 安全监测

          1.事件监测： 网信办通过多种渠道监测、发现已经发生的网络与信息安全事件， 将掌握的情况立即通知校内相关单位。校内各单位对本单位网站和信息系统的运行状况进行密切监测，一旦发生网络与信息安全事件，应当立即通过电话等方式向学校网信办报告，不得迟报、谎报、瞒报、漏报。

          2.威胁监测： 网信办授权信息与教育技术中心对学校网络与信息安全威胁进行监测，通过多种途径监测、汇聚漏洞、病毒、网络攻击等网络信息安全威胁信息，依托协同办公等平台实现安全威胁信息的发布。校内各单位应加强对本单位网站和信息系统的网络与信息安全威胁监测，对发生的威胁及时进行处置和上报。

         3.预警研判和发布：网信办对监测信息或其他渠道转发的信息进行研判，对发生网络与信息安全事件的可能性及其可能造成的影响进行分析评估，认为需要立即采取防范措施的及时通知学校相关单位并发布预警信息；认为可能发生重大以上（含重大）网络信息安全事件的信息，应立即向学校网信安全领导小组报告，领导小组向教育部网络安全应急办公室报告。网信领导小组可根据网信办的研判情况，发布本校黄色预警，网信办可发布本校蓝色预警，对达不到预警级别的信息可发布警示信息。预警信息包括预警级别、起始时间、可能影响范围、警示事项、应采取的措施、时限要求等。

          4.预警响应

          (1)红色和橙色预警响应

           ①网信办组织预警响应工作，接受上级部门对预警响应的指导，联系有关部门、专业机构和专家，组织对事态发展情况进行跟踪研判，研究制定防范措施和应急工作方案，协调调度资源，做好各项准备，重要情况报校网信领导小组。

           ②组织跟踪和分析研判，密切关注事态发展，做好监测分析和信息搜集工作；开展应急处置或准备、风险评估；密切关注舆情动态，加强教育引导，采取有效措施管控风险。

           ③有关单位应按照网信办要求，实行 24 小时值守，相关人员保持通信畅通。

           ④网信办做好与专业机构沟通协调的准备工作；信息与教育技术中心进入待命状态，研究制定应对方案，检查设备、软件工具等，确保处于良好状态。

          (2)黄色预警响应：网信办按学校网信领导小组要求，会同信息与教育技术中心和事发单位做好预警响应工作。

          (3)蓝色预警响应：网信办组织信息与教育技术中心和事发单位做好预警响应工作。

         5.预警解除

         校网信领导小组根据实际情况，确定是否解除黄色预警；校网信办确定是否解除蓝色预警；发布的预警解除信息中需包含解除原因、注意事项等内容。

四、 应急处置

（一）初步处置

         网络安全事件发生后，事发单位应立即报学校网信办，网信办应按事件性质、危害和威胁程度等初步研判事件级别，通知信息与教育技术中心采取断网等技术措施将影响降到最低，并提取网络攻击、网络入侵或网络病毒等证据。信息与教育技术中心应组织应急队伍和工作人员根据不同的事件类型和事件原因，采取科学有效的应急处置措施。经分析研判初判为特别重大、重大网络信息安全事件的，网信办应立即报告校网信领导小组，由学校上报教育部安全应急办公室；对人为破坏活动，应同时报省网信部门和公安机关。

（二）应急响应

          网络与信息安全事件应急响应分为 I 级、II 级、III 级、IV 级等四级，分别对应学校特别重大、重大、较大和一般网络与信息安全事件。

          1.I 级响应

          发生特别重大网络安全事件，由校网信领导小组报教育部网络安全应急办公室提出Ｉ级响应的建议，经批准后，成立应急响应工作组。

          (1)启动指挥体系

          ①工作组进入应急状态，履行应急处置工作统一领导、指挥、协调的职责。工作组成员保持 24 小时联络畅通，网信办和信息与教育技术中心 24 小时派人值守。

          ②校内有关单位、网信办、信息与教育技术中心和人员进入应急状态，在工作组的统一领导、指挥及协调下组织人员开展应急处置或支援保障工作，启动 24 小时值守，并派员参加应急响应工作组的工作。

          (2)掌握事件动态

          ①跟踪事态发展。学校工作组与与教育部网信办保持联系，及时填写《教育系统网络安全事件情况报告》，将事态发展变化情况和处置进展情况上报教育部网信办。

          ②检查影响范围。校内有关单位立即了解本单位主管的网络和信息系统是否受到事件的波及或影响，并将有关情况及时报校网信办。及时通报情况。校网信办负责整理上述情况，重大事项及时报学 校应急响应工作组和教育部网络安全应急办公室，并通报校内有关单位。

          (3)决策部署

          应急响应工作组组织校内有关单位、专家组、应急技术支撑队伍等方面及时研究对策意见，对处置工作进行决策部署。

          (4)处置实施

       控制事态防止蔓延。采取各种技术措施、管控手段，最大限度阻止和控制事态蔓延。消除隐患恢复系统。根据事件发生原因，针对性制定解决方案，备份数据，保护设备、排查隐患。对业务连续性要求高的受破坏网络与信息系统要在 6 小时内及时恢复。调查取证。事件单位应在保留相关证据的基础上，开展问题定位和溯源追踪工作。积极配合当地网信部门和公安机关开展调查取证工作。信息发布。宣传统战部根据实际，组织网络安全突发事件的应急新闻工作，未经批准，校内其他单位一律不得擅自发布相关信息。协调教育部支持。处置中需要技术及工作支持的，由校网信办根据实际，报请应急响应工作组批准后，商教育部网络安全应急办予以支持。次生事件处置。对于引发或可能引发其他安全事件的，校网信办应及时按程序上报。在相关部门应急处置中，校网信办应做好协调配合工作。

          2 .II 级响应

          II 级响应，由教育部网络安全应急办公室确定并发布。

         (1)事发后网信办及校内有关单位进入应急状态，按照相关应急预案做好应急处置工作。

         (2)网信办及时填写《教育系统网络安全事件情况报告》，报教育部网络安全应急办公室，同时办将有关重大事项及时通报校网信领导小组和校内有关单位。

         (3)校网信办协调其他单位和网络安全应急技术支撑队伍配合和支持事件处置工作。

         (4)校内有关单位根据通报，结合各自实际有针对性地加强防范，防止造成更大范围影响和损失。

         ３.III 级响应

         III 级响应由校网信领导小组确定，校网信办会同信息与教育技术中心和事件发生单位按有关网站和信息系统应急预案进行应急响应。

         ４.IV 级响应

          IV 级响应由校网信办确定，校网信办组织事件发生单位按有关网站和信息系统应急预案进行响应。

（三）应急结束

        １.I 级和 II 级响应结束

        由校网信办提出建议，经学校应急响应工作组上报教育部网络安全应急办公室批准后结束，并及时通报校内有关单位。

       ２.III 级响应结束

       由校网信办、信息与教育技术中心和事发单位会商解除响应状态。

       3.IV 级响应结束

       校内事发单位完成应急处置完成并经信息与教育技术中心确认后， 报网信办批准解除 IV 级响应状态。

五、 调查与评估

        特别重大网络安全事件和重大网络安全事件由学校网信办组织有关单位开展调查处理和总结评估工作，并将调查评估结果汇总上报校网信领导小组和教育部网络安全应急办公室。较大网络安全事件由网信办组织有关单位开展调查处理和总结评估工作，一般网络安全事件由校内事发单位自行组织，将结果报校网信办备案。

        网络安全事件总结调查报告应对事件的起因、性质、影响、责任等进行分析评估，提出处理意见和改进措施。网络安全事件的调查处理和总结评估工作应在应急响应结束后５个工作日内完成。

六、责任与奖惩

        学校将网络安全工作纳入年终目标绩效综合考核，对在网络安全事件应急管理工作中做出突出贡献的先进集体和个人给予表彰和奖励。对不按照规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或者在应急管理工作中有其他失职、渎职行为的，依照《西南财经大学网络安全责任制实施细则》进行处置。根据情节轻重， 对领导班子和有关领导干部采取通报、诫勉、组织调整或者进行组织处理、纪律处分；构成犯罪的，依法追究刑事责任。

七、附则

（一）预案管理

         本预案原则上每年评估一次，根据实际情况适时修订。修订工作由校网信办组织。

         校内各单位要根据本单位管理的业务信息系统、网站等网络信息资  产的具体情况和本预案规定制定或修订本单位的网络安全事件应急预案。各单位的预案要做好与本预案的衔接，并报校网信办备案。

（二）预案解释

         本预案由校网信办负责解释。

（三）预案实施时间

         本预案自发布之日起实施。