工業和信息化領域數據安全事件應急預案

2023年12月15日，工信部研究起草了《工業和信息化領域數據安全事件應急預案（試行）》。

（徵求意見稿）

1. 總則

1.1 編制目的

建立健全工業和信息化領域數據安全事件應急組織體系和工作機制，提高數據安全事件綜合應對能力，確保及時有效地控制、減輕和消除數據安全事件造成的危害和損失，保護個人、組織的合法權益，維護國家安全和公共利益。

1.2 編制依據

《中華人民共和國突發事件應對法》《中華人民共和國數據安全法》《中華人民共和國網路安全法》《中華人民共和國個人信息保護法》等法律法規和《工業和信息化領域數據安全管理辦法（試行）》等相關政策制度。

1.3 適用範圍

在中華人民共和國境內發生的工業和信息化領域數據安全事件應急處置活動，應當遵守相關法律、行政法規和本預案的要求。

工業和信息化部對重大活動期間數據安全事件應急處

置工作另有規定的，從其規定。

1.4 事件定義

本預案所稱數據安全事件，是指數據遭篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成危害的事件。

1.5 事件分級

根據數據安全事件對國家安全、企業網路設施和信息系統、生產運營、經濟運行等造成的影響範圍和危害程度，將數據安全事件分為特別重大、重大、較大和一般四個級別（見附 1）。

1.6 工作原則

數據安全事件應急工作應當堅持統一領導、分級負責。堅持統一指揮、密切協同、快速反應、科學處置。堅持“誰管業務、誰管業務數據、誰管數

據安全主體責任。堅持充分發揮各方面力量，共同做好數據安全事件應急處置工作。

2. 組織體系

2.1 領導機構與職責

在國家數據安全工作協調機制統籌協調下，工業和信息化部負責督促指導各省、自治區、直轄市及計畫單列市、新疆生產建設兵團工業和信息化主管部門，各省、自治區、直轄市通信管理局和無線電管理機構（以下統稱地方行業監管部門）開展數據安全事件應急處置工作，負責重大及以上數據安全事件應急處置工作的統一指揮和協調。

地方行業監管部門負責組織開展本地區本領域數據安全事件應急處置工作，根據本預案並結合實際分別制定本地區本領域數據安全事件應急預案。

工業和信息化部及地方行業監管部門（以下統稱行業監管部門）按照有關法律、行政法規，依法配合有關部門開展數據安全事件應急處置工作。

2.2 辦事機構與職責

在工業和信息化部網信領導小組統一領導下，工業和信息化領域數據安全工作機制辦公室（以下簡稱機制辦公室）負責統籌開展工業和信息化領域數據安全應急處置工作；及時向部網信領導小組報告數據安全事件情況，提出特別重大數據安全事件應對措施建議；負責重大及以上數據安全事件的統一指揮和協調處置；根據需要協調較大、一般數據安全事件應急處置工作。

機制辦公室具體工作由工業和信息化部網路安全管理局牽頭承擔。

2.3 數據處理者職責

工業和信息化領域數據處理者應當制定本單位數據安全事件應急預案，負責本單位數據安全事件預防、監測、應急處置、報告等工作。

中央企業應當督促指導所屬企業在數據安全事件應急處置工作中履行屬地管理要求，並負責全面梳理匯總企業集團本部、所屬公司的數據安全事件應急處置相關情況，按要求及時報送工業和信息化部。

2.4 應急支撐機構與職責

行業監管部門根據需要組織遴選部級與屬地兩級數據安全應急支撐機構，負責開展數據安全事件預防保護、監測預警、應急處置、攻擊溯源等工作。

3. 監測與預警

3.1 預警監測和報告

地方行業監管部門、工業和信息化領域數據處理者、數據安全應急支撐機構應當按照《工業和信息化領域數據安全管理辦法（試行）》、工業和信息化領域數據安全風險信息報送與共享等要求，加強數據安全風險監測、研判和上報，分析相關風險發生數據安全事件的可能性及其可能造成的影響。

地方行業監管部門認為可能發生重大及以上數據安全事件的，應當立即上報機制辦公室。

工業和信息化領域數據處理者、數據安全應急支撐機構認為可能發生較大及以上數據安全事件的，應當立即向地方行業監管部門報告。

3.2 預警分級

工業和信息化部統籌建立數據安全風險預警機制，根據緊急程度、發展態勢、數據規模、關聯影響和現實危害

等，將數據安全風險預警等級分為四級：由高到低依次用紅色、橙色、黃色和藍色標示，分別對應可能發生特別重大、重大、較大和一般數據安全事件。

行業監管部門及時匯總分析數據安全風險和預警信息，必要時組織數據安全應急支撐機構、專家進行會商談判，明確預警等級。

3.3 預警發布

認為需要發布紅色、橙色預警的，由機制辦公室報部網信領導小組同意後統一發布，紅色預警同步報國家數據安全工作協調機制；認為需要發布黃色和藍色預警的，由相關地方行業監管部門在本地區本領域內發布。

發布預警信息時，應當包括預警等級、起始時間、可能的影響範圍和造成的危害、警示事項、應採取的防範措施、處置時限要求和發布機關等。

3.4 預警回響

發布黃色和藍色預警後，地方行業監管部門應當針對即將發生的數據安全事件特點和可能造成的危害，採取下列措施：

（1） 要求涉及預警信息的數據處理者及時收集、報告有關信息，加強數據安全風險監測；

（2） 組織數據安全應急支撐機構加強預警信息分析評估與事態跟蹤，密切關注事態發展，提出下步工作措施；

（3） 組織專家加強風險研判及原因、影響等分析，提出應急處置方法和整改措施建議。

發布紅色和橙色預警後，機制辦公室除採取黃色和藍色預警回響措施外，還應當對即將發生的數據安全事件特點和可能造成的危害，採取下列措施：

（1） 要求地方行業監管部門、涉及預警信息的數據處理者等相關單位實行 24 小時值班，相關人員保持通信聯絡暢通；

（2） 組織研究制定防範措施和應急工作方案，組織專家會商研提意見，協調各方資源，做好各項準備工作；

（3） 要求相關數據安全應急支撐機構進入待命狀態，針對預警信息研究制定應對方案，檢查應急設備、軟體工具等使用情況，確保處於良好狀態。

3.5 預警調整和解除

機制辦公室、地方行業監管部門發布預警後，應當根據事態發展，適時調整預警級別並按照許可權重新發布。經研判不可能發生事件或風險已經解除的，應當及時宣布解除預警，並解除已經採取的有關預警回響措施。

4. 事件回響

4.1 回響分級

數據安全事件應急回響分為四級：I 級、II 級、III 級、

IV 級，分別對應發生特別重大、重大、較大、一般數據安全事件的應急回響。

4.2 事件監測和報告

工業和信息化領域數據處理者一旦發生數據安全事件，應當立即先行判斷，對自判為較大以上事件的，應當立即向地方行業監管部門報告，不得遲報、謊報、瞞報、漏報。

數據安全應急支撐機構應當通過多種途徑監測、收集數據安全事件信息，及時向行業監管部門報告。

地方行業監管部門初步研判為特別重大、重大數據安全事件的，應當在發現事件後按照“電話 10 分鐘、書面 30 分鐘” 的要求向機制辦公室報告。

報告事件研判信息時，應當說明事件發生時間、初步判

定的影響範圍和危害、已採取的應急處置措施和有關建議。

4.3 先行處置

數據安全事件發生後，工業和信息化領域數據處理者應當立即啟動本單位應急預案，組織本單位應急隊伍和工作人員採取應急處置措施，盡最大努力進行數據恢復或追溯，儘可能減少對用戶和社會的影響，同時注意保存相關痕跡和證據。

4.4 應急回響

行業監管部門視情組織數據安全應急支撐機構、專家等

進行研判，確定事件級別和回響等級，啟動應急回響。4.4.1 I 級回響

根據國家數據安全工作協調機制有關決定或經部網信領導小組批准後啟動，由機制辦公室統一指揮、協調。

機制辦公室在發現事件後按照“電話 20 分鐘、書面 40 分鐘”的要求將事件情況向部網信領導小組報告。進入應急狀態，實行 24 小時值班，相關人員保持聯絡暢通，相關單位派員參加機制辦公室工作。視情設立應急恢復、事件溯源、影響評估、信息發布、跨部門協調、國際協調等工作組。召開緊急會議，聽取各相關方面情況匯報，研究緊急應對措施，對應急處置工作進行決策部署，指導相關地方行業監管部門、數據處理者開展應對工作。視事件嚴重程度和涉事數據處理者整改處置情況，評估是否開展現場檢查。

地方行業監管部門立即啟動本地區本領域數據安全事件應急預案。進入應急狀態，實行 24 小時值班，相關人員保持聯絡暢通，派員參加機制辦公室工作。加強事件跟蹤監測、研判分析和排查處置，全面了解本地區本領域相關數據處理者受事件影響情況。

涉事數據處理者立即啟動本單位數據安全事件應急預案，進入應急狀態，實行 24 小時值班，相關人員保持聯絡暢通。持續加強監測分析，跟蹤事態發展，評估影響範圍和事件原因，及時採取整改處置措施。

相關部級與屬地數據安全應急支撐機構進入應急狀態，

實行 24 小時值班，相關人員保持聯絡暢通。持續加強監測分析，跟蹤事態發展變化、處置進展情況，評估影響範圍。

組織專家加強安全事件研判分析，配合開展會商研討，提出應急處置決策建議。4.4.2 II 級回響

由機制辦公室決定啟動，並負責統一指揮、協調。

機制辦公室在發現事件後按照“電話 20 分鐘、書面 40 分鐘”的要求將事件情況向部網信領導小組報告。進入應急狀態，相關人員保持聯絡暢通，相關單位派員參加機制辦公室工作。召開緊急會議，聽取各相關方面情況匯報，研究緊急應對措施，對應急處置工作進行決策部署。視事件嚴重程度和涉事數據處理者整改處置情況，評估是否開展現場檢查。

地方行業監管部門立即啟動本地區本領域數據安全事件應急預案。進入應急狀態，相關人員保持聯絡暢通，派員參加機制辦公室工作。加強事件跟蹤監測、研判分析和排查處置，全面了解本地區本領域相關企業受事件影響情況。

涉事數據處理者立即啟動本單位數據安全事件應急預案，進入應急狀態，相關人員保持聯絡暢通。持續加強監測分析，跟蹤事態發展，評估影響範圍和事件原因，及時採取整改處置措施。

相關部級與屬地數據安全應急支撐機構進入應急狀態，相關人員保持聯絡暢通。持續加強監測分析，跟蹤事態發展變化、處置進展情況，評估影響範圍。

組織專家加強安全事件研判分析，配合開展會商研討，提出應急處置決策建議。4.4.3 III 級、IV 級回響

由相關地方行業監管部門按照本地區本領域數據安全事件應急預案決定啟動，並負責指揮、協調。

相關行業監管部門組織涉事數據處理者、數據安全應急支撐機構等加強事態跟蹤研判、開展事件處置，及時將事件進展及重要情況報機制辦公室，通知可能受影響的其他區域做好數據安全應急處置工作。

涉事數據處理者立即啟動本單位數據安全事件應急預案。持續開展監測分析，跟蹤事態發展，評估影響範圍和事件原因。加強相關業務系統套用安全加固措施，提升數據安全防護能力，及時採取整改處置措施。

相關屬地數據安全應急支撐機構持續加強監測分析，跟蹤事態發展變化、處置進展情況，評估影響範圍。

4.5 輿情監測

行業監管部門組織監測公開信息發布渠道，密切關注數據安全事件輿情信息，跟蹤掌握事件影響程度和範圍。

4.6 結束回響

事件的影響和危害得到控制或消除後，I 級回響應當根據國家數據安全工作協調機制有關決定或經部網信領導小組批准後結束；II 級回響由機制辦公室決定結束，並報部網信領導小組；III 級、IV 級回響由相關地方行業監管部門決定結束，並報機制辦公室。

5. 事後總結

5.1 事件總結上報

重大及以上數據安全事件應急工作結束後，涉事數據處理者應當及時調查事件的起因、經過、責任，評估事件造成的影響和損失，總結事件防範和應急處置工作的經驗教訓，提出處理意見和改進措施，在應急工作結束後 10 個工作日內形成總結報告，報地方行業監管部門。地方行業監管部門匯總審核後，在應急工作結束後 20 個工作日內形成報告報送機制辦公室。

工業和信息化領域數據處理者應當每年向本地區地方行業監管部門報告數據安全事件處置情況。

各地方行業監管部門應當於每年 12 月 31 日前將本地區本領域年度數據安全事件處置情況報機制辦公室。

5.2 事件警示

行業監管部門應及時向社會發布與公眾有關的警示信息，引導做好數據安全風險防範。

6. 預防措施

6.1 預防保護

工業和信息化領域數據處理者應當根據有關法律法規和國家、行業標準的規定，建立健全數據安全管理制度，建設數據安全應急技術手段，定期進行數據安全風險評估和自查自糾，及時消除風險隱患。

行業監管部門依法開展數據安全監督檢查，指導督促相關單位消除風險隱患。

6.2 應急演練

行業監管部門應當定期組織開展數據安全事件應急演練，提高數據安全事件應對能力。

工業和信息化領域數據處理者應當積極參與行業監管部門的應急演練，每年組織至少開展一次本單位數據安全事件應急演練，並將應急演練情況上報本地區本領域地方行業監管部門。

6.3 宣傳培訓

行業監管部門應當組織開展數據安全事件應急相關法律法規、應急預案和基本知識的宣傳教育和培訓，提高相關單位和社會公眾的數據安全意識和防護、應急能力。

工業和信息化領域數據處理者應當面向本單位員工加強數據安全應急宣傳教育和培訓，鼓勵開展各種形式的數據安全應急相關競賽。

6.4 手段建設

工業和信息化部統籌建設工業和信息化領域數據安全監測預警與應急處置相關技術手段，對數據泄露、篡改、非法訪問、違規傳輸、流量異常等安全風險和事件進行監測預警，並及時開展應急處置。

地方行業監管部門建立本地區本領域數據安全監測預警與應急處置能力，組織相關企業開展數據安全風險和事件監測預警工作，及時開展風險和事件應急處置。

工業和信息化領域數據處理者等單位應當開展數據安全風險和事件監測，積極配合行業監管部門開展數據安全風險監測工作，加強與行業監管部門數據安全監測預警體系進行對接聯動，及時排查安全隱患，採取必要的措施防範、處置數據安全風險和事件。

6.5 重大活動期間的預防措施

在國家重大活動期間，行業監管部門組織指導數據處理者、數據安全應急支撐機構等加強數據安全風險監測、威脅研判和事件處置，強化風險防範與應對措施。相關重點部門、重點崗位實行 24 小時值班。

7. 保障措施

7.1 落實責任

地方行業監管部門、工業和信息化領域數據處理者、數據安全應急支撐機構應當建立健全數據安全應急工作體制機制，把責任落實到單位負責人、具體部門、具體崗位和個人。

7.2 獎懲問責工業和信息化部對數據安全事件應急處置工作中作出突出貢獻的集體和個人給予表揚。

對不按照規定製定應急預案或組織開展應急演練，遲報、謊報、瞞報和漏報事件重要情況，或在預防、預警和應急工作中存在其他失職、瀆職行為的單位或個人，由行業監管部門給予約談、通報，或依法依規給予行政處罰。

7.3 經費保障

鼓勵地方行業監管部門、數據安全應急支撐機構等為數據安全事件應急處置工作提供必要的經費保障。

工業和信息化領域數據處理者應當安排一定的專項資金，支持本單位數據安全應急隊伍建設、手段建設、應急演練、應急培訓等工作開展。

7.4 隊伍建設

工業和信息化領域數據處理者應當具備數據安全事件應對能力，重要和核心數據處理者應當建立專門的數據安全應急保障隊伍，提升本單位數據安全應急處置能力。

7.5 工作協同

行業監管部門與其他相關部門加強溝通協調，支持相關企業、科研院所、高等學校開展應急技術攻關、產品服務和能力供給，培養數據安全應急技術人才，形成應急回響工作合力。

7.6 物資保障行業監管部門和工業和信息化領域數據處理者應當加強對數據安全應急裝備、工具的儲備，及時調整、升級、最佳化軟體硬體工具，不斷增強應急技術支撐能力。

7.7 國際合作

工業和信息化部根據職責建立國際合作渠道，必要時通過國際合作應對數據安全事件。鼓勵相關企業、科研院所、高校、工業和信息化領域數據處理者等開展數據安全國際交流與合作。

8. 附則

8.1 預案修訂

本預案原則上每年評估一次，根據實際情況由工業和信息化部適時進行修訂。

8.2 排除條款

涉及軍事、國家秘密信息等數據安全事件應急回響的，按照國家有關規定執行。

涉及國防科技工業、菸草領域數據安全事件應急回響的，由國防科工局、國家菸草專賣局負責，具體制度參照本預案另行制定。

涉及工業和信息化領域政務數據安全事件應急回響的，由工業和信息化部另行規定。

8.3 預案解釋

本預案由工業和信息化部負責解釋。

8.4 實施日期

本預案自印發之日起實施。

其中擬提出，對不按照規定製定應急預案或組織開展應急演練，遲報、謊報、瞞報和漏報事件重要情況，或在預防、預警和應急工作中存在其他失職、瀆職行為的單位或個人，由行業監管部門給予約談、通報，或依法依規給予行政處罰。