工业和信息化领域数据安全事件应急预案试行（附思维导图）

建立健全数据安全事件应急组织体系和工作机制，确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失，保护个人、组织的合法权益，维护国家安全和公共利益。

数据安全应急处置是做好数据安全监管和保护工作的重要一环。《数据安全法》明确“国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息”。

推动工业和信息化领域数据安全应急处置工作制度化、规范化开展，在2023年12月《工业和信息化领域数据安全事件应急预案》公开征求意见，现工信部于2024年10月31日正式印发《工业和信息化领域数据安全事件应急预案（试行）》。

数据安全事件应急工作应当坚持统一领导、分级负责。坚持统一指挥、密切协同、快速反应、科学处置。坚持“谁管业务、谁管业务数据、谁管数据安全”，落实数据处理者的数据安全主体责任。坚持充分发挥各方面力量，共同做好数据安全事件应急处置工作。

一、全文概要

1. 总则

编制目的：建立健全数据安全事件应急组织体系和工作机制，提高应对能力，保护个人和组织权益，维护国家安全和公共利益。
编制依据：依据《中华人民共和国突发事件应对法》《中华人民共和国数据安全法》等法律法规和相关政策制度。
适用范围：适用于中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动。
事件定义：数据遭篡改、破坏、泄露或非法获取、非法利用，对国家安全、公共利益或个人、组织合法权益造成危害的事件。
事件分级：分为特别重大、重大、较大和一般四个级别。
工作原则：坚持统一领导、分级负责，统一指挥、密切协同、快速反应、科学处置。

2. 组织体系

领导机构与职责：工业和信息化部网络安全和信息化领导小组统一领导数据安全事件应急管理工作。
办事机构与职责：工业和信息化领域数据安全工作机制负责统筹开展应急处置工作。
地方和数据处理者职责：地方行业监管部门和数据处理者负责本地区本领域数据安全事件应急处置工作。
应急支撑机构与职责：遴选专业数据安全应急支撑机构，负责预防保护、监测预警、应急处置等工作。
协同联动：行业监管部门与有关部门加强协同联动，依法配合开展应急处置工作。

3. 监测与预警

预警监测和报告：地方行业监管部门、数据处理者和数据安全应急支撑机构加强数据安全风险监测、研判和上报。
预警分级：根据紧急程度、发展态势等，将数据安全风险预警等级分为四级：红色、橙色、黄色和蓝色。
预警发布：红色、橙色预警由数据安全机制发布，黄色和蓝色预警由地方行业监管部门发布。
预警响应：发布预警后，采取相应措施加强监测、研判和处置。
预警调整和解除：根据事态发展，适时调整预警级别并发布。

4. 事件响应

响应分级：分为I级、II级、III级、IV级，分别对应特别重大、重大、较大、一般数据安全事件的应急响应。
事件监测和报告：数据处理者和数据安全应急支撑机构监测、收集数据安全事件信息并及时报告。
先行处置：数据处理者立即启动应急响应，采取应急处置措施。
应急响应：根据事件级别，启动相应的应急响应措施。
舆情监测：行业监管部门监测公开信息发布渠道，关注舆情信息。
结束响应：事件影响和危害得到控制或消除后，结束应急响应。

5. 事后总结

事件总结上报：重大及以上数据安全事件应急工作结束后，形成总结报告并上报。
事件警示：行业监管部门发布警示信息，引导做好数据安全风险防范。

6. 预防措施

预防保护：建立健全数据安全管理制度，开展数据安全风险评估和自查自纠。
应急演练：定期组织开展数据安全事件应急演练。
宣传培训：开展数据安全应急相关宣传教育。
手段建设：建设数据安全监测预警与应急处置技术手段。
重大活动期间的预防措施：加强数据安全风险监测、威胁研判和事件处置。

7. 保障措施

落实责任：明确各级责任，落实到单位负责人、具体部门、具体岗位和个人。
奖惩问责：对作出突出贡献的集体和个人给予表扬，对未按照预案开展工作的进行约谈或处罚。
经费保障：提供必要的经费保障。
工作协同：加强沟通协调，支持相关企业和科研院所开展应急技术攻关。
物资保障：加强数据安全应急装备、工具的储备。
国际合作：建立国际合作渠道，开展数据安全国际交流与合作。
保密管理：严格保密，不得泄露或非法提供个人信息和商业秘密。

8. 附则

预案修订：每年评估一次，根据实际情况适时修订。
排除条款：涉及军事、国家秘密信息等数据安全事件应急响应，按照国家有关规定执行。
预案解释：由工业和信息化部负责解释。
实施日期：自2024年11月1日起实施。

附件包括数据安全事件分级、上报模板、应急处置工作总结报告模板等。

二、应对流程

在《工业和信息化领域数据安全事件应急预案（试行）》中，整个应对流程是一个循环的过程，通过不断的监测、预警、响应和改进，提高数据安全防护能力，减少数据安全事件的发生和影响。数据安全事件的具体应对流程可以概括为以下几个步骤：

1. 预防与准备

风险评估：数据处理者定期进行数据安全风险评估，识别潜在的安全威胁。
制定预案：根据风险评估结果，制定或更新数据安全事件应急预案。
培训与演练：对员工进行数据安全培训，并定期进行应急演练，确保预案的有效性和员工的应急响应能力。

2. 监测与预警

实时监测：利用技术手段对数据安全进行实时监控，及时发现异常行为。
预警发布：一旦发现潜在的安全威胁，根据威胁的严重程度发布相应级别的预警。

3. 事件响应

事件确认：确认是否为数据安全事件，并评估事件的严重程度。
启动应急响应：根据事件级别，启动相应的应急响应机制。
信息上报：将事件信息及时上报给相关的行业监管部门和数据安全应急支撑机构。
先行处置：数据处理者立即采取措施，如隔离受影响系统、阻止数据泄露等，以控制事态发展。

4. 应急处置

指挥协调：由领导机构或办事机构统一指挥，协调各方资源进行应急处置。
技术支持：数据安全应急支撑机构提供技术支持和专业指导。
信息通报：及时向受影响的个人和组织通报情况，做好沟通和安抚工作。
恢复重建：在确保安全的前提下，尽快恢复受影响的系统和数据，恢复正常运营。

5. 事后总结与改进

事件总结：对应急处置过程进行总结，分析事件原因和处理效果。
上报总结报告：将事件总结报告上报给相关的行业监管部门。
警示发布：根据事件总结，发布警示信息，提醒其他数据处理者注意类似风险。
改进措施：根据事件总结，修订应急预案，改进数据安全管理和防护措施。

6. 责任追究与奖惩

责任追究：对于因管理不善或违规操作导致数据安全事件的个人或组织，依法追究责任。
表彰奖励：对于在应急处置中表现突出的个人和组织，给予表彰和奖励。

三、确定事件级别和上报

确定数据安全事件的级别是一个严谨的过程，主要依据事件对国家安全、社会秩序、经济建设和公众利益的影响程度。根据事件对关键指标的影响程度，评估事件的严重性和紧急性。例如，是否构成特别严重威胁、重大损害、较大损害或较轻威胁等。也可通过具体的数据来衡量事件的后果，如直接经济损失的具体金额、受影响的个人信息数量等。

1. 确定事件级别

以下是确定事件级别的一般步骤：

初步判断：数据安全事件发生后，首先由工业和信息化领域数据处理者进行初步判断。若判断为较大及以上级别的事件，应立即向地方行业监管部门报告。
监测与报告：数据安全应急支撑机构通过多种途径监测、收集数据安全事件信息，并及时向行业监管部门报告。地方行业监管部门若初步研判为特别重大或重大数据安全事件，需按照规定的时间要求向数据安全机制报告。
研判与确定：行业监管部门组织数据安全应急支撑机构、专家等进行研判，确定事件的级别和响应等级。根据研判结果，启动相应的应急响应。
响应级别调整：在事件处置过程中，根据事态发展情况，涉事数据处理者可申请调整事件响应级别。地方行业监管部门或数据安全机制可根据上报情况或事态发展情况适时调整事件响应级别。

2. 事件级别评估中的关键指标

事件对国家安全、社会秩序、经济建设和公众利益构成的威胁程度。
事件对工业生产运营、网络设施和信息系统、无线电系统运行造成的损害程度。
事件导致的直接经济损失金额。
事件涉及的个人信息数量，特别是敏感个人信息的数量。
事件的持续时间。
事件的影响范围和规模。

3. 事件影响情况评估方法

评估数据安全事件的影响情况是一个多维度的过程，涉及多个方面的考量。以下是一些常用的评估方法：

定量评估：通过收集和分析事件相关数据，如受影响的用户数量、数据泄露量、经济损失额等，进行量化评估。利用统计模型和数据分析工具，预测事件可能造成的长期和短期影响。
定性评估：组织专家对事件进行深入分析，评估其对国家安全、社会秩序、经济建设和公众利益的影响程度。考虑事件对公众信心、企业声誉、法律合规等方面的潜在影响。
风险矩阵分析：利用风险矩阵工具，根据事件发生的可能性和影响严重程度，对事件进行分类和优先级排序。风险矩阵可以帮助决策者快速了解事件的潜在影响，并制定相应的应对措施。

4. 上报

涉事数据处理者在上报数据安全事件时，需要准备的材料包括：

单位全称
联系人
联系方式（手机号）
发生时间
获悉渠道
涉事单位
事件级别
涉及系统
事件原因
事件涉及数据情况
事件影响情况
事件处置建议
总结报告的关键内容

数据安全事件应急处置工作总结报告需要包含以下关键内容：

事件基本情况：起因、经过、真实性、责任落实，以及事件造成的影响和损失。
已采取的处置措施：包括管理制度、技术保护、人员管理方面的处置措施，以及针对数据安全事件已采取的应急手段、用户合法权益保护告知情况。
后续提升改进计划：针对数据安全事件，进一步提升数据安全保护能力的相关措施。
工作经验总结：事件防范和应急处置工作的经验教训。
其他事项：需补充说明的事项。

附一图读懂和思维导图