《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》发布
工业和信息化领域数据安全事件应急预案(试行)
(征求意见稿)
1.总则
1.1 编制目的
建立健全工业和信息化领域数据安全事件应急组织体系和工作机制,提高数据安全事件综合应对能力,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失, 保护个人、组织的合法权益,维护国家安全和公共利益。
1.2 编制依据
《中华人民共和国突发事件应对法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规和《工业和信息化领域数据安全管理办法(试行)》等相关政策制度。
1.3 适用范围
在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动,应当遵守相关法律、行政法规和本 预案的要求。
工业和信息化部对重大活动期间数据安全事件应急处置工作另有规定的,从其规定。
1.4 事件定义
本预案所称数据安全事件,是指数据遭篡改、破坏、泄 露或者非法获取、非法利用,对国家安全、公共利益或者个 人、组织合法权益造成危害的事件。
1.5 事件分级
根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将 数据安全事件分为特别重大、重大、较大和一般四个级别(见附 1)。
1.6 工作原则
数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”,落实数据处理者的数据安全主体责任。坚持充分发挥各方面力量,共同做好数据安全事件应急处置工作。
2.组织体系
2.1 领导机构与职责
在国家数据安全工作协调机制统筹协调下,工业和信息化部负责督促指导各省、自治区、直辖市及计划单列市、新 疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构(以下统称地方行业监管部门)开展数据安全事件应急处置工作,负责重大及以上数
据安全事件应急处置工作的统一指挥和协调。
地方行业监管部门负责组织开展本地区本领域数据安全事件应急处置工作,根据本预案并结合实际分别制定本地区本领域数据安全事件应急预案。
工业和信息化部及地方行业监管部门(以下统称行业监 管部门)按照有关法律、行政法规,依法配合有关部门开展 数据安全事件应急处置工作。
2.2 办事机构与职责
在工业和信息化部网信领导小组统一领导下,工业和信息化领域数据安全工作机制办公室(以下简称机制办公室) 负责统筹开展工业和信息化领域数据安全应急处置工作;及时向部网信领导小组报告数据安全事件情况,提出特别重大数据安全事件应对措施建议;负责重大及以上数据安全事件的统一指挥和协调处置;根据需要协调较大、一般数据安全事件应急处置工作。
机制办公室具体工作由工业和信息化部网络安全管理局牵头承担。
2.3 数据处理者职责
工业和信息化领域数据处理者应当制定本单位数据安全事件应急预案,负责本单位数据安全事件预防、监测、应 急处置、报告等工作。
中央企业应当督促指导所属企业在数据安全事件应急处置工作中履行属地管理要求,并负责全面梳理汇总企业集 团本部、所属公司的数据安全事件应急处置相关情况,按要求及时报送工业和信息化部。
2.4 应急支撑机构与职责
行业监管部门根据需要组织遴选部级与属地两级数据安全应急支撑机构,负责开展数据安全事件预防保护、监测预警、应急处置、攻击溯源等工作。
3.监测与预警
3.1 预警监测和报告
地方行业监管部门、工业和信息化领域数据处理者、数据安全应急支撑机构应当按照《工业和信息化领域数据安全管理办法(试行)》、工业和信息化领域数据安全风险信息报 送与共享等要求,加强数据安全风险监测、研判和上报,分 析相关风险发生数据安全事件的可能性及其可能造成的影响。
地方行业监管部门认为可能发生重大及以上数据安全事件的,应当立即上报机制办公室。
工业和信息化领域数据处理者、数据安全应急支撑机构 认为可能发生较大及以上数据安全事件的,应当立即向地方 行业监管部门报告。
3.2 预警分级
工业和信息化部统筹建立数据安全风险预警机制,根据紧急程度、发展态势、数据规模、关联影响和现实危害等, 将数据安全风险预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、 较大和一般数据安全事件。
行业监管部门及时汇总分析数据安全风险和预警信息, 必要时组织数据安全应急支撑机构、专家进行会商谈判,明确预警等级。
3.3 预警发布
认为需要发布红色、橙色预警的,由机制办公室报部网 信领导小组同意后统一发布,红色预警同步报国家数据安全工作协调机制;认为需要发布黄色和蓝色预警的,由相关地方行业监管部门在本地区本领域内发布。
发布预警信息时,应当包括预警等级、起始时间、可能的影响范围和造成的危害、警示事项、应采取的防范措施、 处置时限要求和发布机关等。
3.4 预警响应
发布黄色和蓝色预警后,地方行业监管部门应当针对即 将发生的数据安全事件特点和可能造成的危害,采取下列措 施:
(1)要求涉及预警信息的数据处理者及时收集、报告有关信息,加强数据安全风险监测;
(2)组织数据安全应急支撑机构加强预警信息分析评
估与事态跟踪,密切关注事态发展,提出下步工作措施;
(3)组织专家加强风险研判及原因、影响等分析,提出应急处置方法和整改措施建议。
发布红色和橙色预警后,机制办公室除采取黄色和蓝色预警响应措施外,还应当对即将发生的数据安全事件特点和 可能造成的危害,采取下列措施:
(1)要求地方行业监管部门、涉及预警信息的数据处理者等相关单位实行 24 小时值班,相关人员保持通信联络畅通;
(2)组织研究制定防范措施和应急工作方案,组织专家会商研提意见,协调各方资源,做好各项准备工作;
(3)要求相关数据安全应急支撑机构进入待命状态, 针对预警信息研究制定应对方案,检查应急设备、软件工具等使用情况,确保处于良好状态。
3.5 预警调整和解除
机制办公室、地方行业监管部门发布预警后,应当根据 事态发展,适时调整预警级别并按照权限重新发布。经研判 不可能发生事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关预警响应措施。
4.事件响应
4.1 响应分级
数据安全事件应急响应分为四级:I 级、II 级、III 级、IV 级,分别对应发生特别重大、重大、较大、一般数据安全事件的应急响应。
4.2 事件监测和报告
工业和信息化领域数据处理者一旦发生数据安全事件, 应当立即先行判断,对自判为较大以上事件的,应当立即向地方行业监管部门报告,不得迟报、谎报、瞒报、漏报。
数据安全应急支撑机构应当通过多种途径监测、收集数据安全事件信息,及时向行业监管部门报告。
地方行业监管部门初步研判为特别重大、重大数据安全事件的,应当在发现事件后按照“电话 10 分钟、书面 30 分钟” 的要求向机制办公室报告。
报告事件研判信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。
4.3 先行处置
数据安全事件发生后,工业和信息化领域数据处理者应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力进行数据恢复或追溯,尽可能减少对用户和社会的影响,同时注意保存相关痕迹和证 据。
4.4 应急响应
行业监管部门视情组织数据安全应急支撑机构、专家等进行研判,确定事件级别和响应等级,启动应急响应。
4.4.1 I 级响应
根据国家数据安全工作协调机制有关决定或经部网信领导小组批准后启动,由机制办公室统一指挥、协调。
机制办公室在发现事件后按照“电话 20 分钟、书面 40 分钟”的要求将事件情况向部网信领导小组报告。进入应急状态,实行 24 小时值班,相关人员保持联络畅通,相关单位派员参加机制办公室工作。视情设立应急恢复、事件溯源、影响评估、信息发布、跨部门协调、国际协调等工作组。召开紧急会议,听取各相关方面情况汇报,研究紧急应对措施, 对应急处置工作进行决策部署,指导相关地方行业监管部门、数据处理者开展应对工作。视事件严重程度和涉事数据处理者整改处置情况,评估是否开展现场检查。
地方行业监管部门立即启动本地区本领域数据安全事件应急预案。进入应急状态,实行 24 小时值班,相关人员保持联络畅通,派员参加机制办公室工作。加强事件跟踪监测、研判分析和排查处置,全面了解本地区本领域相关数据处理者受事件影响情况。
涉事数据处理者立即启动本单位数据安全事件应急预案,进入应急状态,实行 24 小时值班,相关人员保持联络畅通。持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,及时采取整改处置措施。
相关部级与属地数据安全应急支撑机构进入应急状态,实行 24 小时值班,相关人员保持联络畅通。持续加强监测分析,跟踪事态发展变化、处置进展情况,评估影响范围。 组织专家加强安全事件研判分析,配合开展会商研讨,提出应急处置决策建议。
4.4.2 II 级响应
由机制办公室决定启动,并负责统一指挥、协调。
机制办公室在发现事件后按照“电话 20 分钟、书面 40分钟”的要求将事件情况向部网信领导小组报告。进入应急状 态,相关人员保持联络畅通,相关单位派员参加机制办公室 工作。召开紧急会议,听取各相关方面情况汇报,研究紧急 应对措施,对应急处置工作进行决策部署。视事件严重程度 和涉事数据处理者整改处置情况,评估是否开展现场检查。地方行业监管部门立即启动本地区本领域数据安全事件应急预案。进入应急状态,相关人员保持联络畅通,派员 参加机制办公室工作。加强事件跟踪监测、研判分析和排查 处置,全面了解本地区本领域相关企业受事件影响情况。
涉事数据处理者立即启动本单位数据安全事件应急预案,进入应急状态,相关人员保持联络畅通。持续加强监测分析,跟踪事态发展,评估影响范围和事件原因,及时采取 整改处置措施。
相关部级与属地数据安全应急支撑机构进入应急状态, 相关人员保持联络畅通。持续加强监测分析,跟踪事态发展
变化、处置进展情况,评估影响范围。
组织专家加强安全事件研判分析,配合开展会商研讨, 提出应急处置决策建议。
4.4.3 III 级、IV 级响应
由相关地方行业监管部门按照本地区本领域数据安全事件应急预案决定启动,并负责指挥、协调。
相关行业监管部门组织涉事数据处理者、数据安全应急 支撑机构等加强事态跟踪研判、开展事件处置,及时将事件 进展及重要情况报机制办公室,通知可能受影响的其他区域 做好数据安全应急处置工作。
涉事数据处理者立即启动本单位数据安全事件应急预案。持续开展监测分析,跟踪事态发展,评估影响范围和事 件原因。加强相关业务系统应用安全加固措施,提升数据安全防护能力,及时采取整改处置措施。
相关属地数据安全应急支撑机构持续加强监测分析,跟 踪事态发展变化、处置进展情况,评估影响范围。
4.5 舆情监测
行业监管部门组织监测公开信息发布渠道,密切关注数 据安全事件舆情信息,跟踪掌握事件影响程度和范围。
4.6 结束响应
事件的影响和危害得到控制或消除后,I 级响应应当根据国家数据安全工作协调机制有关决定或经部网信领导小组批准后结束;II 级响应由机制办公室决定结束,并报部网信领导小组;III 级、IV 级响应由相关地方行业监管部门决定结束,并报机制办公室。
5.事后总结
5.1 事件总结上报
重大及以上数据安全事件应急工作结束后,涉事数据处理者应当及时调查事件的起因、经过、责任,评估事件造成的影响和损失,总结事件防范和应急处置工作的经验教训, 提出处理意见和改进措施,在应急工作结束后 10 个工作日内形成总结报告,报地方行业监管部门。地方行业监管部门汇总审核后,在应急工作结束后 20 个工作日内形成报告报送机制办公室。
工业和信息化领域数据处理者应当每年向本地区地方行业监管部门报告数据安全事件处置情况。
各地方行业监管部门应当于每年 12 月 31 日前将本地区本领域年度数据安全事件处置情况报机制办公室。
5.2 事件警示
行业监管部门应及时向社会发布与公众有关的警示信息,引导做好数据安全风险防范。
6.预防措施
6.1 预防保护
工业和信息化领域数据处理者应当根据有关法律法规和国家、行业标准的规定,建立健全数据安全管理制度,建设数据安全应急技术手段,定期进行数据安全风险评估和自查自纠,及时消除风险隐患。
行业监管部门依法开展数据安全监督检查,指导督促相 关单位消除风险隐患。
6.2 应急演练
行业监管部门应当定期组织开展数据安全事件应急演练,提高数据安全事件应对能力。
工业和信息化领域数据处理者应当积极参与行业监管部门的应急演练,每年组织至少开展一次本单位数据安全事 件应急演练,并将应急演练情况上报本地区本领域地方行业监管部门。
6.3 宣传培训
行业监管部门应当组织开展数据安全事件应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关单位和社会公众的数据安全意识和防护、应急能力。
工业和信息化领域数据处理者应当面向本单位员工加强数据安全应急宣传教育和培训,鼓励开展各种形式的数据安全应急相关竞赛。
6.4 手段建设
工业和信息化部统筹建设工业和信息化领域数据安全监测预警与应急处置相关技术手段,对数据泄露、篡改、非法访问、违规传输、流量异常等安全风险和事件进行监测预 警,并及时开展应急处置。
地方行业监管部门建立本地区本领域数据安全监测预警与应急处置能力,组织相关企业开展数据安全风险和事件 监测预警工作,及时开展风险和事件应急处置。
工业和信息化领域数据处理者等单位应当开展数据安全风险和事件监测,积极配合行业监管部门开展数据安全风险监测工作,加强与行业监管部门数据安全监测预警体系进行对接联动,及时排查安全隐患,采取必要的措施防范、处置数据安全风险和事件。
6.5 重大活动期间的预防措施
在国家重大活动期间,行业监管部门组织指导数据处理者、数据安全应急支撑机构等加强数据安全风险监测、威胁研判和事件处置,强化风险防范与应对措施。相关重点部门、 重点岗位实行 24 小时值班。
7.保障措施
7.1 落实责任
地方行业监管部门、工业和信息化领域数据处理者、数 据安全应急支撑机构应当建立健全数据安全应急工作体制机制,把责任落实到单位负责人、具体部门、具体岗位和个人。
7.2 奖惩问责
工业和信息化部对数据安全事件应急处置工作中作出突出贡献的集体和个人给予表扬。
对不按照规定制定应急预案或组织开展应急演练,迟报、谎报、瞒报和漏报事件重要情况,或在预防、预警和应急工作中存在其他失职、渎职行为的单位或个人,由行业监 管部门给予约谈、通报,或依法依规给予行政处罚。
7.3 经费保障
鼓励地方行业监管部门、数据安全应急支撑机构等为数 据安全事件应急处置工作提供必要的经费保障。
工业和信息化领域数据处理者应当安排一定的专项资金,支持本单位数据安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。
7.4 队伍建设
工业和信息化领域数据处理者应当具备数据安全事件应对能力,重要和核心数据处理者应当建立专门的数据安全 应急保障队伍,提升本单位数据安全应急处置能力。
7.5 工作协同
行业监管部门与其他相关部门加强沟通协调,支持相关 企业、科研院所、高等学校开展应急技术攻关、产品服务和 能力供给,培养数据安全应急技术人才,形成应急响应工作合力。
7.6 物资保障
行业监管部门和工业和信息化领域数据处理者应当加强对数据安全应急装备、工具的储备,及时调整、升级、优化软件硬件工具,不断增强应急技术支撑能力。
7.7 国际合作
工业和信息化部根据职责建立国际合作渠道,必要时通过国际合作应对数据安全事件。鼓励相关企业、科研院所、 高校、工业和信息化领域数据处理者等开展数据安全国际交流与合作。
8.附则
8.1 预案修订
本预案原则上每年评估一次,根据实际情况由工业和信 息化部适时进行修订。
8.2 排除条款
涉及军事、国家秘密信息等数据安全事件应急响应的,按照国家有关规定执行。
涉及国防科技工业、烟草领域数据安全事件应急响应的,由国防科工局、国家烟草专卖局负责,具体制度参照本 预案另行制定。
涉及工业和信息化领域政务数据安全事件应急响应的, 由工业和信息化部另行规定。
8.3 预案解释
本预案由工业和信息化部负责解释。
8.4 实施日期
本预案自印发之日起实施。
附:1.工业和信息化领域数据安全事件分级
2.数据安全事件上报(模板)
3.数据安全事件应急处置工作总结报告(模板)
4.数据安全事件应急处置流程图
附 1 工业和信息化领域数据安全事件分级
一、符合下列情形之一的,为特别重大数据安全事件
(一)重要数据、核心数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁的;
(二)工业领域数据遭到篡改、破坏、泄露或者非法获 取、非法利用,对工业生产运营等造成特别重大损害,导致 大范围停工停产、大量业务处理能力丧失等;或者电信领域 数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致 重要网络设施和信息系统、核心网络设施和信息系统运行中断或严重异常,持续时间 24 小时以上的;或者无线电领域数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致 发生重大无线电干扰或非法占用重要业务无线电频率违规发射无线电信号,持续时间 24 小时以上的;
(三)数据遭到篡改、破坏、泄露或者非法获取、非法利用,造成特别重大经济损失,损失 10 亿元(含)以上的;
(四)发生特别严重个人信息安全事件,涉及 1 亿人(含)
以上个人信息或者 1000 万人(含)以上敏感个人信息的;
(五)其他造成或可能造成特别重大危害或影响的。
二、符合下列情形之一的,为重大数据安全事件
(一)重要数据遭到篡改、破坏、泄露或者非法获取、 非法利用,对国家安全、社会秩序、经济建设和公众利益构成严重威胁的;
(二)工业领域数据遭到篡改、破坏、泄露或者非法获 取、非法利用,对工业生产运营等造成重大损害,导致较大 范围停工停产、较大量业务处理能力丧失等;或者电信领域 数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致 重要网络设施和信息系统运行中断或严重异常,持续时间 12 小时以上的;或者无线电领域数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致发生重大无线电干扰或非法占 用重要无线电频率违规发射无线电信号,持续时间 12 小时以上的;
(三)数据遭到篡改、破坏、泄露或者非法获取、非法 利用,造成重大经济损失,损失 1 亿元(含)以上 10 亿元以下的;
(四)发生严重个人信息安全事件,涉及 1000 万人(含)
以上 1 亿人以下个人信息或者 100 万人(含)以上 1000 万条以下敏感个人信息的;
(五)其他造成或可能造成重大危害或影响的。
三、符合下列情形之一的,为较大数据安全事件
(一)重要数据或一般数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、社会秩序、经济建设和公众利益构成较严重威胁的;
(二)工业领域数据遭到篡改、破坏、泄露或者非法获取、非法利用,对工业生产运营等造成较大损害,导致部分 业务处理能力丧失等;电信领域数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致相关网络设施和信息系统运行中断或严重异常,持续时间 8 小时以上的;或者无线电领域数据遭到篡改、破坏、泄露或者非法获取、非法利用,导致发生重大无线电干扰或非法占用重要无线电频率违规发射无线电信号,持续时间 8 小时以上的;
(三)数据遭到篡改、破坏、泄露或者非法获取、非法利用,造成较重大经济损失,损失 5000 万元(含)以上 1 亿元以下的;
(四)发生较严重个人信息安全事件,涉及 100 万人(含)以上 1000 万人以下个人信息或者 10 万人(含)以上 100 万人以下敏感个人信息的;
(五)其他造成或可能造成较大危害或影响的。
四、符合下列情形之一的,为一般数据安全事件
(一)数据遭到篡改、破坏、泄露或者非法获取、非法利用,对社会秩序、经济建设和公众利益构成较轻威胁的;
(二)数据遭到篡改、破坏、泄露或者非法获取、非法利用,对工业生产运营等造成损害较轻;或者导致相关网络设施、信息系统和无线电系统运行中断或严重异常,持续时间 8 小时以下的;
(三)数据遭到篡改、破坏、泄露或者非法获取、非法利用,造成经济损失 5000 万元以下的;
(四)发生个人信息安全事件,涉及 100 万人以下或者10 万人以下敏感个人信息的;
(五)其他造成或可能造成一般危害或影响的。
附 2
签字(或盖章):
注:1.涉及系统、影响主体和范围等信息不明确的,可填“尚不明确”。
2.重大及以上数据安全事件需上报人签字或上报单位盖章。
附 3
填 写 说 明
1.报告材料应客观、真实,不得弄虚作假,不涉及国家 秘密, 填报单位对所提交材料的真实性负责。
2.本报告除表格外,其他各项填报要求:A4 幅面编辑, 正文应采用仿宋GB/2312 三号字,单倍行间距,两端对齐, 一级标题三号黑体,二级标题为三号楷体GB/2312 加粗。
3.需在报告首页加盖公章。
4.本报告未经允许不得公开。
一、事件基本情况
(包括数据安全事件的起因、经过、真实性、责任落实 等情况,评估事件造成的影响和损失等)
二、已采取的处置措施
(包括数据处理者在管理制度、技术保护、人员管理等 方面采取的处置措施及针对本次数据安全事件可能造成的危害已采取的应急手段等)
三、后续提升改进计划
(包括针对相关数据安全事件情况,进一步提升数据安 全保护能力的相关措施)
四、工作经验总结
(针对此类数据安全事件,总结分析事件防范和应急处 置工作的经验教训等)
五、其他事项
(其他需补充说明的事项)
注:请随附数据安全事件应急处置相关证明材料
附 4 数据安全事件应急处置流程图
特别重大事件(I 级响应),符合下列情形之一:
1.导致大范围停工停产、大量业务处理能力丧失等;
2.重要网络设施和信息系统、核心网络设施和信息系统运行中断或严重异常,持续时间 24 小时以上的;
3.发生重大无线电干扰或非法占用重要业务无线电频率违规发射无线电信号,持续时间24 小时以上的;
4.经济损失 10 亿元(含)以上的;
5.涉及 1 亿人(含)以上个人信息或者 1000 万人(含) 以上敏感个人信息的。
重大事件(II 级响应),符合下列情形之一:
1.导致较大范围停工停产、较大量业务处理能力
丧失等;
2.重要网络设施和信息系统运行中断或严重异常,持续时间 12 小时以上的;
3.发生重大无线电干扰或非法占用重要无线电频率违规发射无线电信号,持续时间 12 小时以上的;
4.经济损失 1 亿元(含)以上 10 亿元以下的;
5.涉及 1000 万人(含)以上 1 亿人以下个人信
息或者 100 万人(含)以上 1000 万条以下敏感个人信息的。
较大事件(III 级响应),符合下列情形之一:
1.导致部分工业生产业务处理能力丧失等;
2.相关网络设施和信息系统运行中断或严重异常,持续时间 8 小时以上的;
3.发生重大无线电干扰或非法占用重要无线电频率违规发射无线电信号,持续时间 8 小时以上的;
4.经济损失 5000 万元(含)以上 1 亿元以下的;
5.涉及 100 万人(含)以上 1000 万人以下个人
信息或者 10 万人(含)以上 100 万人以下敏感个人信息的。
一般事件(IV 级响应),符合下列情形之一:
1.对工业生产运营等造成损害较轻;
2.导致相关网络设施、信息系统和无线电系统运行中断或严重异常,持续时间 8 小时以下的;
3.经济损失 5000 万元以下的;
4.涉及 100 万人以下或者 10 万人以下敏感个人信息的
