水利部关于印发水利网络安全事件应急预案的通知 (三)

　　省级水行政主管部门按照属地省级网络安全主管部门要求对预警信息进行研判和防范，对初判可能发生特别重大、重大、较大、涉及水利关键信息基础设施的一般事件的预警信息立即上报水利部网信办。

　　水利部网信办对部机关司局和直属单位可能发生特别重大、重大事件的预警信息组织研判、确认，并及时将有关情况上报部领导小组及国家网络安全应急办公室。国家网络安全应急办公室负责发布红色预警，水利部网信办负责发布橙色预警，并负责发布部机关集中管理系统的黄色或蓝色预警。省级水行政主管部门遵循属地省级网络安全主管部门规定进行预警信息研判、发布。

　　预警发布内容应包含事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机构等信息内容。预警发布司局、单位应根据事件或威胁的动态变化情况及时发布预警的升级或降级信息。

   3.4预警响应
   3.4.1 红色预警响应
　　（1）国家网络安全应急办公室发布涉及水利行业的红色预警时，水利部网信办负责组织水利部有关单位落实国家网络安全应急办公室研究制定的防范措施和应急工作方案。水利部网信办和有关司局、单位实行24小时值班，相关人员保持通信联络畅通。

　　（2）有关司局、部直属单位加强事件监测和事态发展信息搜集工作，至少每日向水利部网信办报告预警响应情况，重要情况立即上报。部信息中心负责部机关集中管理系统的预警响应。水利部网信办及时将重要情况上报部领导小组和国家网络安全应急办公室，并根据指示进行预警重大事项通报。

　　（3）部机关及有关直属单位应急技术支撑队伍进入待命状态，保持通信联络畅通，检查应急车辆、设备、软件等应急工具，做好应急准备。

　　（4）有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。

   3.4.2 橙色预警响应
　　（1）水利部网信办组织部机关司局和直属单位预警响应工作，联系专家和有关机构，组织对事态发展情况进行跟踪研判，判断相关威胁和事件可能造成的损害程度，研究制定防范措施和应急工作方案，协调组织资源调度和跨区域联动的各项准备工作。水利部网信办和有关司局、单位实行24小时值班，相关人员保持通信联络畅通。

　　（2）有关司局、部直属单位组织落实水利部网信办研究制定的防范措施和应急工作方案，指导相关单位、应急技术支撑队伍开展应急处置或准备、风险评估和控制工作。加强事件监测和事态发展信息搜集，至少每日向水利部网信办报告预警响应情况，重要情况立即上报。部信息中心负责部机关集中管理系统的预警响应。水利部网信办及时将事态发展情况报部领导小组和国家网络安全应急办公室，并进行预警重大事项通报。

　　（3）部机关及有关直属单位应急技术支撑队伍进入待命状态，保持通信联络畅通，检查应急车辆、设备、软件等应急工具，做好应急准备。

　　（4）有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。水利部网信办跟踪省级水行政主管部门的事态发展情况，必要时通报有关单位。

   3.4.3 黄色、蓝色预警响应
　　有关司局、部直属单位组织开展预警响应工作，指导协调相关单位、应急技术支撑队伍做好风险评估、应急准备和风险控制工作。加强事件监测和事态发展信息搜集工作，及时将黄色预警及涉及水利关键信息基础设施的蓝色预警事态发展重要情况上报水利部网信办。部信息中心负责部机关集中管理系统的预警响应。水利部网信办根据事态发展情况向有关单位进行重大事项通报。

　　有关省级水行政主管部门根据属地省级网络安全主管部门要求开展预警响应工作。及时将黄色预警及涉及水利关键信息基础设施的蓝色预警事态发展重要情况上报水利部网信办。

   3.5预警解除
　　由预警发布单位根据实际情况，确定预警的解除并发布解除信息。其中黄色预警及涉及水利关键信息基础设施的蓝色预警解除信息上报水利部网信办。

  4 应急处置
   4.1 先期处置
   4.1.1 即时处置

　　网络安全事件发生或接到上级主管单位、上级监管单位（网信、公安等机构）发布的与本司局、本单位相关的事件通报后，事发司局、单位应立即启动相关应急预案，在第一时间实施处置并向上级单位报送事件信息。部信息中心负责部机关集中管理系统的安全事件即时处置工作。部直属单位收到事件报告后应立即组织先期处置，控制事态发展，同时组织事件研判，根据事件报告要求，做好信息通报工作。过程中注意保存相关证据。省级水行政主管部门根据属地省级网络安全主管部门要求组织先期处置工作。

   4.1.2 事件报告
　　事件报告方式分为快报和书面报告。快报可采用电话、手机短信等方式；快报内容至少包括事发单位、地址、负责人姓名和联系方式、发生时间、已经造成和预计造成的损失情况等信息。书面报告指通过传真方式提交《网络安全事件报告表》（见附件），进一步详细说明事件有关情况。

　　司局、部直属单位接到事件报告后，应详细记录事件信息，了解事件造成的损失、影响以及现场控制情况。在汇总相关信息的基础上，及时判断事件的性质，分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况，研判事件级别。部信息中心负责部机关集中管理系统的事件报告工作。省级水行政主管部门根据属地省级网络安全主管部门要求进行分析研判。

　　判定为较大事件或为涉及水利关键信息基础设施的一般事件的，应于接到事件报告后1小时内快报、2小时内书面报告至水利部网信办；对研判结果可能为重大或特别重大事件的，应于接到事件报告后20分钟内快报、40分钟内书面报告至水利部网信办。省级水行政主管部门还应根据属地省级网络安全主管部门要求进行事件报告。

　　水利部网信办接到司局、部直属单位的特别重大或重大事件报告后，应立即组织有关业务主管部门、有关专家等研判事件级别，研判结果可能为特别重大事件的或判定为重大事件的，立即上报部领导小组和国家网络安全应急办公室，同时上报国家网络与信息安全信息通报中心。对于省级水行政主管部门报告的特别重大或重大事件，水利部网信办组织分析研判，必要时通报有关单位。

　　事件处置过程中，如发现事件影响范围超出原定事件级别范围的，各单位应根据上述事件报告要求上报相关情况，进行事件级别调整。

   4.2 应急响应
　　网络安全事件应急响应级别分为四级：Ⅰ级响应、Ⅱ级响应、Ⅲ级响应和Ⅳ级响应，分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。

   4.2.1 启动响应
　　部机关司局、部直属单位发生特别重大或重大事件时，水利部成立应急指挥部，启动相应应急响应。属较大或一般事件的，由事件发生司局、部直属单位根据情况启动相应应急响应。水利部网信办负责启动部机关集中管理系统较大或一般事件的应急响应。

　　省级水行政主管部门按照属地省级水行政主管部门要求启动相应应急响应。

   4.2.2 部机关