4组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度。
5发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估。
6省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。
7因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。
8因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
9对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
10网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
813国家突发公共事件总体应急预案
2016年1月8日发布了《国家突发公共事件总体应急预案》(以下简称总体预案)。该总体预案是全国应急预案体系的总纲,是指导预防和处置各类突发公共事件的规范性文件。明确提出了应对各类突发公共事件的6条工作原则:以人为本,减少危害;居安思危,预防为主;统一领导,分级负责;依法规范,加强管理;快速反应,协同应对;依靠科技,提高素质。明确了各类突发公共事件分级分类和预案框架体系,规定了国务院应对特别重大突发公共事件的组织体系、工作机制等内容。总体预案主要内容如下:
1突发公共事件主要分自然灾害、事故灾难、公共卫生事件、社会安全事件等4类。
2按照其性质、严重程度、可控性和影响范围等因素分成4级,特别重大的是1级,重大的是2级,较大的是3级,一般的是4级。
3在总体预案中,依据突发公共事件可能造成的危害程度、紧急程度和发展态势,把预警级别分为4级,特别严重的是1级,严重的是2级,较重的是3级,一般的是4级,依次用红色、橙色、黄色和蓝色表示。
4发生1级或2级突发公共事件应在4小时内报告国务院。
5突发公共事件消息必须第一时间向社会发布。要做好受灾群众基本生活保障工作。
6国务院是突发公共事件应急管理工作最高行政领导机构。
7迟报、谎报、瞒报和漏报要追究责任。
同时,应急预案框架体系共分6个层次,分别明确责任归属。
1总体预案是管总的,是全国应急预案体系的总纲,适用于跨省级行政区域,或超出事发地省级人民政府处置能力的,或者需要由国务院负责处置的特别重大突发公共事件的应对工作。
2专项应急预案主要是国务院及其有关部门为应对某一类型或某几类型突发公共事件而制定的应急预案,由主管部门牵头会同相关部门组织实施。
3部门应急预案由制定部门负责实施。
4地方应急预案指的是省市(地)、县及其基层政权组织的应急预案,明确各地政府是处置发生在当地突发公共事件的责任主体。
5企事业单位应急预案则确立了企事业单位是其内部发生的突发事件的责任主体。
6除此之外,举办大型会展和文化体育等重大活动,主办单位也应当制定应急预案并报同级人民政府有关部门备案。
814突发事件应急预案管理办法
2013年10月25日,国务院发布《国务院办公厅关于印发突发事件应急预案管理办法的通知》(国办发〔2013〕101号,以下简称《办法》)。《办法》首次从国家层面明确了应急预案的概念,强调应急预案是各级人民政府及其部门、基层组织、企事业单位、社会团体等为了依法、迅速、科学、有序应对突发事件而预先制定的工作方案。
《办法》明确了应急预案管理要遵循统一规划、分类指导、分级负责、动态管理的原则,这也是首次在国家层面对应急预案的管理原则提出要求
《办法》规范了应急预案的分类和内容。一是根据预案的不同种类界定应急预案的具体内容。对政府总体预案、专项和部门预案,以及单位和基层组织应急预案各自应规范的内容。二是根据预案的不同层级界定专项和部门预案的具体内容。比如,明确国务院及其部门应急预案重点规范国家层面应对行动,同时体现政策性和指导性;省级人民政府及其部门应急预案重点规范省级层面应对行动,同时体现指导性;市级和县级人民政府及其部门应急预案重点规范市级和县级层面应对行动,体现应急处置的主体职能;乡镇人民政府应急预案重点规范乡镇层面应对行动,体现先期处置特点。三是根据预案的不同任务界定有关应急预案的具体内容。比如,明确针对重要基础设施、生命线工程等重要目标物保护的应急预案,侧重明确风险隐患及防范措施、监测预警、信息报告、应急处置和紧急恢复等内容;针对重大活动保障制定的应急预案,侧重明确活动安全风险隐患及防范措施、监测预警、信息报告、应急处置、人员疏散撤离组织和路线等内容。
《办法》规范了应急预案的编制程序。要求各级人民政府应当针对本行政区域多发易发突发事件、主要风险等,制定本级政府及其部门应急预案编制规划,既能保证尽可能覆盖本行政区域可能发生的各类突发事件,不留空白,又能促进应急预案之间衔接,形成体系;要求预案制定牵头单位应当组成预案编制工作小组,吸收突发事件应对主要部门,共同开展应急预案编制工作,既能保证应急预案符合现行法制、体制,又有利于预案的衔接和执行到位。
《办法》明确“自然灾害、事故灾难、公共卫生类政府及其部门应急预案,应向社会公布”;“对需要公众广泛参与的非涉密的应急预案,编制单位应当充分利用互联网、广播、电视、报刊等多种媒体广泛宣传,制作通俗易懂、好记管用的宣传普及材料,向公众免费发放”。这对于进一步加强政府信息公开工作,保障公众的知情权、参与权、监督权,动员公众积极参与突发事件的应对工作有重要意义。
815信息安全技术信息安全事件分类分级指南
《信息安全技术信息安全事件分类分级指南》(gbz20986—2007)主要对信息安全事件的基本概念、信息安全事件分类、信息安全事件分级进行的规范化。
信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
《信息安全技术信息安全事件分类分级指南》将安全事件分成7类,分别是有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害事件和其他信息安全事件。
《信息安全技术信息安全事件分类分级指南》同时将安全事件划分为4个等级,对信息安全事件的分级主要考虑3个要素:信息系统的重要程度、系统损失和社会影响。4个等级分别是特别重大事件(i级)、重大事件(2级)、较大事件(3级)和一般事件(4级)。
816国家网络安全事件应急预案
2017年6月,中央网信办公布了《国家网络安全事件应急预案》。习近平总书记指出,网络安全是动态的而不是静态的,是相对的而不是绝对的。维护网络安全必须“防患于未然”。制定《国家网络安全事件应急预案》是网络安全的一项基础性工作,是落实国家《突发事件应对法》的需要,更是实施《网络安全法》、加强国家网络安全保障体系建设的本质要求。
《网络安全法》第五十三条要求,国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。这个预案指的便是《国家网络安全事件应急预案》,《网络安全法》授权国家网信部门牵头制定。同时,《网络安全法》要求,网络运营者应当制定网络安全事件应急预案;负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案。这些预案都要在《国家网络安全事件应急预案》的总体框架下分别制定。
不仅如此,《网络安全法》中若干处提到的有关“规定”也是指《国家网络安全事件应急预案》。如第二十五条要求,在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告;第五十一条要求,国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息;第五十二条要求,负责关键信息基础设施安全保护工作的部门,应当按照规定报送网络安全监测预警信息。《国家网络安全事件应急预案》均对上述事项作出了规定。
我国的国家级网络安全应急预案最早制定于2008年,即《国家网络与信息安全事件应急预案》,以国办名义印发。中央网络安全和信息化领导小组成立后,结合实际情况对该预案进行了修订,但以上预案都没有对社会公开。网络安全是共同的而不是孤立的,此次将修订后的国家网络安全应急预案公开印发,就是为了使全社会周知《国家网络安全事件应急预案》的内容,形成共同应对网络安全重大事件的局面。同时,为了更好地指导各级各类网络安全预案的制定,构建科学合理、有机统一的国家网络安全应急预案体系。