各处（室）、中心：

根据自治区党委网信办《关于印发<宁夏回族自治区网络安全应急预案>（试行）的通知》（宁党网办发〔2017〕36号）精神，我局制定了《自治区医疗保障局网络安全应急预案》（试行），现印发你们，请各处（室）、中心认真贯彻执行。

附件：《自治区医疗保障局网络安全应急预案》（试行）

                                                                                                                         自治区医疗保障局

                                                                                                                          2019年11月11日

（此件公开发布）

附

自治区医疗保障局网络安全应急预案

（试行）

　　 一、总则

（一）编制目的

为提高自治区医保局整体业务的安全性，提高处置网络与信息安全突发事件能力，加强网络与信息安全保障工作，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻业务系统突发网络与信息安全故障造成的危害，结合工作实际，制定本预案。  

（二）编制依据

《中华人民共和国突发事件应对法》；

《中华人民共和国网络安全法》；

《国家突发公共事件总体应急预案》；

《突发事件应急预案管理办法》；

《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）；

《宁夏回族自治区突发事件应对条例》；

《宁夏回族自治区突发公共事件总体应急预案》；

《宁夏回族自治区突发事件预警信息发布管理办法》；

《宁夏回族自治区网络安全应急预案》（试行）。

（三）工作原则

　　1、积极预防，综合防范。立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共同构筑网络与信息安全保障体系。  

　　2、明确责任，分级负责。按照“谁主管谁负责，谁运营谁负责”的原则，建立和完善安全责任制，协调管理机制和联动工作机制。  

　　3、以人为本，快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。网络与信息安全突发公共事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。  

　　4、依靠科学，平战结合。加强技术储备，规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，有条件则定期进行预案演练，确保应急预案切实可行。  

（四）事件分类

网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。

（五）事件分级

网络安全事件分为四级：特别重大网络安全事件（Ⅰ级）、重大网络安全事件（Ⅱ级）、较大网络安全事件（Ⅲ级）、一般网络安全事件（Ⅳ级）。

（1）符合下列情形之一的，为特别重大网络安全事件（Ⅰ级）：

①重要网络和信息系统遭受特别严重的系统损失，中断运行2小时以上，造成系统大面积瘫痪，丧失业务处理能力，影响公共用户数100万人以上；

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对本区国家安全和社会稳定构成特别严重威胁，或导致10亿元以上的经济损失；

③其他对本区国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

（2）符合下列情形之一且未达到特别重大网络安全事件（Ⅰ级）的，为重大网络安全事件（Ⅱ级）：

①重要网络和信息系统遭受严重的系统损失，中断运行20分钟以上或局部瘫痪，影响公共用户数10万人；

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对本区国家安全和社会稳定构成严重威胁，或导致1亿元以上的经济损失；

③其他对本区国家安全，社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

（3）符合下列情形之一且未达到重大网络安全事件（Ⅱ级）的，为较大网络安全事件（Ⅲ级）：

①重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响；

②国家秘密信息、重要敏感信息和关键数据丢失造成被窃取、篡改、假冒，对本区国家安全和社会稳定构成严重威胁或导致1000万元以上的经济损失；

③其他对本区国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件；

④除上述情形外，对本地区国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件（Ⅳ级）。 

（六）适用范围

本预案适用于自治区医保局包含的所有业务系统，包括已建的系统、未建的系统、通过信息安全等级保护的系统、未通过信息安全等级保护的系统，还有正在建设的系统。

二、组织体系

（一）领导机构与职责

自治区医保局网络安全事件防范及应急处置工作由局网络安全和信息化领导小组（以下简称“网信领导小组”）统一领导、指挥和协调。

（二）办事机构与职责

局网络安全事件应急办公室设在局办公室，作为我局网络安全突发事件应急联动先期处置的职能机构和指挥平台，其主要职责和任务如下：

（1）组织制定网络与信息安全事件应急方案；

（2）统筹规划建立应急处理技术平台，会同相关处室制定应急措施；

（3）提出相应级别预案的启动，加强或撤销控制措施的建议和意见；

（4）及时收集、整理应急事件的有关情况，向领导小组报告有关工作情况等。

三、预防预警

　　（一）信息监测与报告  

　　1、进一步完善网络和信息安全突发公共事件监测、预测、预警制度。按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，按规定及时向局办公室负责人、局分管领导报告，同时与相关的产品技术支持单位联系，获得必要的技术支持。初次报告最迟不得超过半小时，重大和特别重大的网络与信息安全突发公共事件实行态势进程报告和日报告制度。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。  

　　2、建立网络与信息安全报告制度。  

　　发现下列情况时应及时向局办公室负责人、局分管领导报告，必要时向自治区党委网信办及自治区公安厅报告：  

　　（1）利用网络从事违法犯罪活动的情况；  

　　（2）网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中断或数据篡改，丢失等情况；  

　　（3）网络恐怖活动的嫌疑情况和预警信息；  

　　（4）其他影响网络与信息安全的信息。  

　　（二）预警处理与发布

　　1、对于可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，并在 1小时内进行风险评估，判定事件等级。必要时应启动相应的预案，同时向局信息中心及分管领导通报情况。  

　　2、局办公室接到报警信息后应及时组织有关专家对信息进行技术分析和研判，根据问题的性质、危害程度，提出安全警报级别，并及时向局分管领导报告。  

　　3、分管领导接到报告后，对发生和可能发生的重大网络与信息安全突发公共事件时，应迅速召开应急会议，研究确定网络与信息安全突发公共事件的等级，决定启动本预案，同时确定指挥人员。并向相关部门进行通报。  

4、对需要向自治区公安厅通报的要及时通报，并争取支援。

四、应急处置

（一）应急指挥

1．本预案启动后，领导小组要迅速建立与现场联系。抓紧收集相关信息，掌握现场处置工作状态，分析事件发展趋势，研究提出处置方案，调集和配置应急处置所需要的人、财、物等资源，统一指挥网络与信息安全应急处置工作。

2．需要成立现场指挥部的，局办公室立即在现场开设指挥部，并提供现场指挥运作的相关保障。现场指挥部要根据事件性质迅速组建各类应急工作组，开展应急处置工作。

（二）应急支援

本预案启动后，领导小组可根据事态的发展和处置工作需要，及时向自治区党委网信办和自治区公安厅申请增派专家小组和应急支援单位，调动必需的物资、设备，支援应急工作。参加现场处置工作的有关人员要在现场指挥部统一指挥下，协助开展处置行动。

（三）信息处理

现场信息收集、分析和上报。技术人员应对事件进行动态监测、评估，及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领导小组，不得隐瞒、缓报、谎报。符合紧急信息报送规定的，属于Ⅰ级、II级信息安全事件的，同时报党委、政府相关网络与信息安全部门。

（四）扩大应急

经应急处置后，事态难以控制或有扩大发展趋势时，应实施扩大应急行动。要迅速召开信息安全工作领导小组会议，根据事态情况，研究采取有利于控制事态的非常措施，并向党委、政府有关部门请求支援。

（五）应急结束

网络与信息安全突发事件经应急处置后，得到有效控制，将各监测统计数据报信息安全工作领导小组，提出应急结束的建议，经领导批准后实施。

五、后期处置

（一）善后处置

在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作，统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施。

（二）调查和评估

在应急处置工作结束后，信息安全工作领导小组应立即组织有关人员和专家组成事件调查组，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失状况，总结经验教训，写出调查评估报告。

六、应急保障

（一）通信与信息保障

领导小组各成员应保证电话24小时开机，以确保发生信息安全事故时能及时联系到位。

（二）应急装备保障

各重要信息系统在建设系统时应事先预留出一定的应急设备，做好信息网络硬件、软件、应急救援设备等应急物资储备工作。在网络与信息安全突发事件发生时，由领导小组负责统一调用。

（三）数据保障

重要信息系统应建立容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。

（四）应急队伍保障

按照一专多能的要求建立网络与信息安全应急保障队伍。选择若干经国家有关部门资质认可的，具有管理规范、服务能力较强的企业作为我局网络与信息安全的社会应急支援单位，提供技术支持与服务。必要时能够有效调动机关团体、企事业单位等的保障力量，进行技术支援。

（五）交通运输保障

应确定网络与信息安全突发事件应急交通工具，确保应急期间人员、物资、信息传递的需要，并根据应急处置工作需要，由领导小组统一调配。

（六）经费保障

网络与信息系统突发公共事件应急处置资金，应列入年度工作经费预算，切实予以保障。

七、监督管理

（一）宣传教育和培训

要充分利用各种传播媒介，采取多种形式，加强有关网络与信息安全突发事件应急处置的法律法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高我局网络与信息安全防范意识和应急处置能力。将网络与信息安全突发事件的应急管理、工作流程等列入各处室、单位主要负责人的培训内容，增强应急处置工作中的组织能力。加强对网络与信息安全突发事件的技术准备培训，提高工作人员的防范意识及技能。

（二）预案演练

建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

（三）责任与奖惩

要认真贯彻落实预案的各项要求与任务，建立分级布置、监督检查和奖惩机制。领导小组按预案的规定不定期进行检查，对未有效落实预案各项规定进行通报批评，责令限期改正，对落实到位的给予相应的奖励。

八、附则

（一）预案管理与更新

本预案由局办公室制订，局长办公会审议批准后实施。

结合信息网络快速发展的特点和我局实际状况，及时修订本预案。

（二）解释部门

本预案由局办公室负责解释。

（三）实施时间

本预案自印发之日起实施。