I级：敌对分子利用信息网络进行有组织的大规模的宣传、煽动和渗透活动；或者局机关各处室、下属单位范围多地点或多地区基础网络、重要信息系统、重点网站瘫痪，并且已经造成或可能造成严重社会影响或巨大经济损失的网络安全事件。

（二）预案启动

发生网络安全事件（I级～IV级）后，网络安全工作领导小组办公室启动相应预案，并负责指挥和进行应急处置工作。

（三）现场应急处理

事件发生单位和现场应急处理工作，应尽最大可能收集事件相关信息，区别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。

检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性，检查攻击者是否侵入了系统，以后是否能再次随意进入，损失的程度，确定暴露出的主要危险等。

抑制事件的影响进一步扩大，限制潜在的损失与破坏。

可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。

1、审计管理系统等出现异常，无法正常服务时，首先由计算机审计处与福建省审计厅OA服务办联系联系沟通，确定故障原因，配合福建省审计厅OA服务办解决问题。

（福建省审计厅OA服务办联系电话xx）。

2、东部办公区电子政务云平台存储设备与云平台网络发生故障时，首先与东部办公区电子政务云平台值班电话联系沟通，确定故障原因，配合东部办公区电子政务云平台解决问题。

（东部办公区电子政务云平台值班联系电话xx）。

3、计算机、服务器硬件设备无法正常运行时，首先检查服务器设备故障报警指示灯状态，初步确定故障原因，使用配套系统硬件检测软件检查确定具体部位。

如果不能自行排除，应立即与各设备服务商联系排除故障。

（惠普官方维修电话xxx；戴尔官方维修电话xxx）

4、网络设施或安全设备发生故障时，首先检查分析故障原因，初步判断故障性质，采取重启设备、已备份配置启动设备等方法排除故障。

对不能排除的，区分故障设备，审计专网防火墙及时联系网神科技有限公司福建省分公司，互联网防火墙及时联系网康科技有限公司福建省分公司，确保网络畅通。

（网神科技有限公司福建省分公司维修电话xx；网康科技有限公司福建省分公司维修电话xxxx）

5、门户网站、微信公众号等政务新媒体出现非法信息或无法正常运行等异常，要立即通过计算机审计处向福州市网站管理部门反映情况，并积极会同相关部门及时追查非法信息来源并及时处理。

紧急情况下，可在保全证据的前提下，采取先删除非法信息，再按程序报告的处置措施。

（网站管理部门值班电xxx）

（四）后续处理

1、安全事件进行最初的应急处置以后，应及时采取行动，抑制其影响的进一步扩大，限制潜在的损失与破坏，同时要确保应急处置措施对涉及的相关业务影响最小。

2、安全事件被抑制之后，通过对有关事件或行为的分析结果，找出其根源，明确相应的补救措施并彻底清除。

3、在确保安全事件解决后，要及时清理系统、恢复数据、程序、服务，恢复工作应避免出现误操作导致的数据丢失。

（五）记录上报

网络安全事件发生时，应及时向网络安全工作领导小组汇报，并在事件处置工作中作好完整的过程记录，及时报告处置工作进展情况，保存各相关系统日志，直至处置工作结束。

（六）结束响应

系统恢复运行后，网络安全工作领导小组办公室对事件造成的损失、事件处理流程和应急预案进行评估，对响应流程、预案提出修改意见，总结事件处理经验和教训，撰写事件处理报告，同时确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料；属于重大事件或存在非法犯罪行为的，第一时间向公安机关相关部门报案。

五、保障措施

（一）技术支撑保障

重视网络信息系统的建设和升级换代，加强技术管理，确保网络安全整体方案的不断完善，聘请信息安全顾问为应急处置过程和重建工作提供咨询和技术支持，确保网络信息系统的稳定与安全。

网络安全工作领导小组办公室不定期组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，推广和普及新的应急技术。

（二）应急队伍保障

重视信息安全队伍的建设，并不断提高审计人员的信息安全防范意识和技术水平，确保安全事件应急处置过程和重建工作中技术人员的在岗与防护能力。

（三）资金保障

根据网络及信息系统安全预防和应急处置工作的实际需要，提出年度应急处置工作相关设备、工具软件和技术支撑服务所需经费，并纳入年度部门预算，给予资金保障。

六、宣传、培训和演习

（一）安全宣传

不定期举办网络与信息安全知识培训，加强干部职工的计算机操作、信息技能、网络和信息安全等相关知识的宣传普及，增强预防意识和简单应急处置能力。