针对基础信息络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

四、应急处置程序

（一）级别的确定

络安全事件分级的参考要素包括信息密级、公众影响和资产损失三项。

各参考要素分别说明如下：

1、信息密级是衡量因信息失窃或泄密所造成的信息安全事件中涉及信息的重要程度的要素；

2、公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素；

3、资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

络安全事件级别分为四级：一般（IV级）、较大（III级）、重大（II级）和特别重大（I级）。

IV级：审计局机关各处室、下属单位范围内出现并可能造成损害其他络安全的事件。

III级：审计局机关各处室、下属单位范围内的信息系统、重点等正常运作受到大面积影响和冲击。

II级：审计局机关各处室、下属单位范围内的基础络、重要信息系统、重点瘫痪，并且纵向或横向延伸可能造成严重社会影响或较大经济损失。

I级：敌对分子利用信息络进行有组织的大规模的宣传、煽动和渗透活动；或者局机关各处室、下属单位范围多地点或多地区基础络、重要信息系统、重点瘫痪，并且已经造成或可能造成严重社会影响或巨大经济损失的络安全事件。

（二）预案启动

发生络安全事件（I级～IV级）后，络安全工作领导小组办公室启动相应预案，并负责指挥和进行应急处置工作。

（三）现场应急处理

事件发生单位和现场应急处理工作，应尽最大可能收集事件相关信息，区别事件类别，确定事件，保护证据，以便缩短应急响应时间。

检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。

抑制事件的`影响进一步扩大，限制潜在的损失与破坏。

可能的抑制策略一般包括：关闭服务或关闭所有的'系统，从络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入络的通路，提高系统或络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。

1、审计管理系统等出现异常，无法正常服务时，首先由计算机审计处与福建省审计厅OA服务办联系联系沟通，确定故障原因，配合福建省审计厅OA服务办解决问题。

（福建省审计厅OA服务办联系电话__）。

2、东部办公区电子政务云平台存储设备与云平台络发生故障时，首先与东部办公区电子政务云平台值班电话联系沟通，确定故障原因，配合东部办公区电子政务云平台解决问题。

（东部办公区电子政务云平台值班联系电话__）。

3、计算机、服务器硬件设备无法正常运行时，首先检查服务器设备故障报警指示灯状态，初步确定故障原因，使用配套系统硬件检测软件检查确定具体部位。

如果不能自行排除，应立即与各设备服务商联系排除故障。

（惠普官方维修电话__x；戴尔官方维修电话__x）

4、络设施或安全设备发生故障时，首先检查分析故障原因，初步判断故障性质，采取重启设备、已备份配置启动设备等方法排除故障。

对不能排除的，区分故障设备，审计专防火墙及时联系神科技有限公司福建省分公司，互联防火墙及时联系康科技有限公司福建省分公司，确保络畅通。

（神科技有限公司福建省分公司维修电话__；康科技有限公司福建省分公司维修电话）

5、门户、微信公众号等政务新媒体出现非法信息或无法正常运行等异常，要立即通过计算机审计处向福州市管理部门反映情况，并积极会同相关部门及时追查非法信息并及时处理。

紧急情况下，可在保全证据的前提下，采取先删除非法信息，再按程序报告的处置措施。

（管理部门值班电__x）

（四）后续处理

1、安全事件进行最初的应急处置以后，应及时采取行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2、安全事件被抑制之后，通过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。

3、在确保安全事件解决后，要及时清理系统、恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（五）记录上报

络安全事件发生时，应及时向络安全工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（六）结束响应