第一章 适用范围

第一条 本预案根据《国家网络安全事件应急预案》、《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》（GB/Z 20986-2007）、教育部《教育系统突发公共事件应急预案》等制订。

第二条 本预案适用于学校应对校园内发生的信息安全类突发事件的应急处置工作。

第三条 本预案所称信息安全类事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对学校的稳定造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

第二章 信息安全类突发事件等级确认与划分

从学校的实际出发，信息安全类突发事件的等级，根据事件的突发紧迫程度、形成的规模、行为方式和激烈程度、可能造成的危害、可能发展蔓延的趋势等，由高到低I级-III级。 信息安全类突发事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

（一）特别重大网络安全事件

符合下列情、形之一的，为特别重大网络安全事件：

1.校园骨干网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

2.学校涉密秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对校园安全和社会稳定构成特别严重威胁。

3.其他对校园安全、教学秩序、学校发展和师生利益构成特别严重威胁、造成特别严重影响的网络安全事件。

（二）重大网络安全事件

符合下列情形之一且未达到特别重大网络安全事件的，为重大事件。

1.校园网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

2.学校涉秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对校园安全和社会稳定构成严重威胁。

3.其他对校园安全、教学秩序、学校发展和师生利益构成严重威胁、造成严重影响的网络安全事件。

（三）较大网络安全事件

符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件。

1.学校局部网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

2.学校涉密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对学校安全和社会稳定构成较严重威胁。

3.其他对校园安全、教学秩序、学校发展和师生利益构成较严重威胁、造成较严重影响的网络安全事件。

（四）一般网络安全事件

除上述情形外，对校园安全、教学秩序、学校发展和师生利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

第三章 应急响应

（一）应急响应

在信息安全类突发事件后，学校网络安全与信息化工作小组立即利用一切必要的技术手段和资源迅速、有效处置，控制事态，冻结事件的传播和影响。

（二）应急处置

学校网络安全与信息化工作小组对发生的信息安全类突发事件在确保证据完整和不被破坏的前提下，立即与安全服务提供商一起切断校园网服务，冻结网络运营状态，对事件源头进行初步取证，对后续的发展和后果、潜在的影响形成初步意见，上报学校网络安全与信息化领导小组研判。

学校网络安全与信息化领导小组根据工作小组的汇报，确定事件级别，并启动相应级别的应急处置预案。 同时，根据级别分别向江苏省委、苏州市委、江苏省教育网络安全与信息化领导小组、苏州市网安部门通报事件信息。

（三）分类处置

信息安全类突发事件等级应急响应分为四级（Ⅰ、Ⅱ、Ⅲ、Ⅳ级，I级为最高响应级别），分别对应特别重大、重大、较大和一般网络安全事件。

1.Ⅰ级响应

属特别重大网络安全事件的，及时启动Ⅰ级响应，保护事件现场和证据。在江苏省委和苏州市委的领导下，在省教育厅和省教育网络安全与信息化领导小组的指导下，协助省教育网络安全与信息化领导小组和苏州市网安部门做好事件的网络取证，舆论引导，威胁排查化解，学校秩序恢复，负面信息消解，网络设备设施的修复，系统的升级和重启，数据的容灾和恢复，调整和优化网络安全策略，升级系统的监控和日志系统等工作。事件进展实行日报制，网络安全与信息化工作小组实行7*24小时值班。

2.Ⅱ级响应

属重大网络安全事件的，及时启动Ⅱ级响应, 保护事件现场和证据。在省教育厅和苏州市委的领导下，在省教育网络安全与信息化领导小组的指导下，协助苏州市网安部门做好事件的网络取证，舆论引导，威胁排查化解，网络设备设施的修复，系统的升级和重启，数据的容灾和恢复，升级和优化网络安全策略，精细化系统的监控和日志等工作。事件进展实行日报制，网络安全与信息化工作小组实行7*24小时值班。

3.Ⅲ级响应

属较大网络安全事件的，及时启动Ⅲ级响应, 保护事件现场和证据。在省教育网络安全与信息化领导小组和苏州市网安部门的指导下，与苏州市网安部门技术团队、校园网安全服务提供商一起做好事件的网络取证工作，排查化解网络威胁和隐患，分别升级和重启故障系统和应用，通报事件情况，对窃取、篡改、假冒的数据进行容灾、恢复和清洗，优化网络安全策略，对系统的监控和日志系统进行技术升级等。事件进展实行日报制，网络安全与信息化工作小组实行7*24小时值班。

4.Ⅳ级响应

属一般网络安全事件的，及时启动Ⅲ级响应, 保护事件现场和证据。在省教育网络安全与信息化领导小组和苏州市网安部门的指导下，与苏州市网安部门技术团队、校园网安全服务提供商一起做好事件源头确定和网络取证，分析威胁和隐患，切断事件源头的应用和系统，升级和重启故障系统和应用，对窃取、篡改、假冒的数据进行恢复和清洗，对系统日志实行7*24小时监控等。事件进展采用一事一报制。

第四章 应急保障

本预案要求的各项应急保障工作由学校网络安全与信息化工作小组负责统筹安排，并定期将各项应急保障准备工作向学校网络安全与信息化领导小组汇报。

（一）预案保障

学校网络安全与信息化工作小组应加强应急处置工作人员的培训工作，使掌握应急反应的主要内容、本人的位置、职责等。保证在需要时、能够快速到位、规范行动、有效处置。开展经常性的演练活动，根据演练暴露出的问题，对预案进一步完善。

（二）队伍保障

学校网络安全与信息化工作小组应不断壮大维护学校信息安全工作队伍的规模，改善队伍结构，形成学校稳定工作的坚强有力的网络管理队伍，并建立预备队伍。加强对应急力量的培训和管理，解决必要的装备和经费，使这支队伍召之即来、来之能战，战之能胜。

（三）技术保障

学校网络安全与信息化工作小组应加强维护学校稳定快速反应体系的基础建设，每年加强和完善信息安全工作的投入，提高学校信息安全的整体防范水平。防止因信息安全事件引发影响稳定的事端。

（四）物质保障

学校网络安全与信息化工作小组坚持平战结合的原则，经常性地做好应对突发信息安全事件的各项人力、物力、财力准备。发生较大规模的信息安全性突发事件后，要全力做好处置人员和事件参与师生的必需生活、医疗救助、通信等后勤保障工作，确保处置工作顺利进行。