税务系统网络安全事件总体应急预案.docx

1、税务系统网络安全事件总体应急预案税务系统网络安全事件总体应急预案 总则 编制目的进一步贯彻落实中华人民共和国网络安全法和国家网络安全事件应急预案，建立健全税务系统网络安全事件应急工作机制，指导全国税务系统及时、有效、有序处置网络安全事件，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保障税务系统正常工作秩序，保护纳税人合法权益，维护国家安全和社会稳定。 编制依据根据中华人民共和国突发事件应对法中华人民共和国网络安全法国家突发公共事件总体应急预案国家网络安全事件应急预案国家税务总局突发事件总体应急预案（试行）和信息安全事件分类分级指南（）等相关规定，制定本预案。 定义本预案所

2、称税务网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对税务网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。 适用范围本预案适用于税务总局指导税务系统网络安全事件应对工作，协调处置特别重大和重大网络安全事件、发生在税务总局机关以及专项预案明确由税务总局应对的网络安全事件。因网络安全事件，发生突发事件或者生产安全事故的，依照国家税务总局突发事件总体应急预案（试行）等有关规定处置。 工作原则坚持统一领导、密切协同、快速反应、科学处置；坚持分级负责、属地为主；坚持预防为主、预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置

3、工作。 应急预案体系（）税务系统网络安全事件总体应急预案。税务系统网络安全事件总体应急预案是全国税务系统网络安全事件应急预案体系的总纲，是税务总局统筹、协调和应对网络安全事件的规范性文件，由税务总局制定并印发实施。（）国税（地税）系统网络安全事件综合应急预案。各省税务机关应根据税务系统网络安全事件总体应急预案，结合各地实际情况，制定综合应急预案，并报税务总局备案。（）网络安全事件专项应急预案。为应对某类或某几类网络安全事件，税务总局各有关部门按照分工，依据总体应急预案和相关规定，牵头制定各类专项应急预案。各省税务机关参照税务总局网络安全事件各专项应急预案，结合各地实际情况，制定本单位各专项应急

4、预案。省以下税务机关网络安全应急管理由各省税务机关结合各地实际情况确定。 事件分级分类 事件分级按照国家网络安全事件分类分级指南，税务系统网络安全事件分为：特别重大、重大、较大和一般个级别。（）符合下列情形之一的，为特别重大网络安全事件：重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响。恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，事发单位不可承受。（）符合下列情形之一的，为重大网络安全事

5、件：重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响。恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，事发单位部分可承受。（）符合下列情形之一的，为较大网络安全事件：重要税务网络和信息系统遭受较大的系统损失，造成税务系统中断，明显影响系统效率，业务处理能力受到影响。重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。对国家安全、社会秩序、经济建设和公众利益构成较

6、严重威胁、造成较严重影响。恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，事发单位基本可以承受。（）除上述情形外，符合下列情形的，为一般网络安全事件：对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。 事件分类税务系统网络安全事件分为业务系统类、基础环境类、安全技术类、信息内容类和其他类事件。（）业务系统类事件业务系统类事件是指因业务系统软件、硬件故障导致业务中断的网络安全事件。此类事件涵盖业务系统运行所需的计算、存储和软件环境等引发的网络安全事件。（）基础环境类事件基础环境类事件是指因外围保障设施故障、人为

7、破坏、网络故障、其他设备设施故障、自然灾害等其他突发事件导致的网络安全事件。此类事件涵盖电力中断、通讯中断、数据中心设备故障等。（）安全技术类事件安全技术类事件是指威胁正常税收工作秩序的各类网络安全事件，包括计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等基于有害程序的攻击事件；拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰等网络攻击事件；信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等信息破坏事件。（）信息内容类事件信息内容类事件是指利用网络传播法律、法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件

8、。（）其他类事件其他类事件是指不能归为以上分类的网络安全事件。 事件定级税务系统网络安全事件采用统一标准定级。（）定级要素系统损失程度。系统损失是指由于网络安全事件对税务信息系统的软件、硬件、功能和数据的破坏，导致税收业务中断，给事发单位造成损失，主要包括信息系统重要程度和损失程度两个方面。表 税务信息系统损失与安全事件级别对应表类别子类别特别重大网络安全事件重大网络安全事件较大网络安全事件一般网络安全事件备注信息系统重要程度等级保护级别涉及多个级以上（含）系统涉及个或多个级以上（含）系统涉及个或多个级以上（含）系统涉及级系统关键信息基础设施可适当提高事件定级损失程度业务中断时间超出业务可承受

9、最大中断时间后小时超出业务可承受最大中断时间后小时超出业务可承受最大中断时间后小时超出业务可承受最大中断时间后小时至少满足其中一种情况，按自然时间计算设备大量核心设备损坏部分关键设备损坏少量重要设备损坏个别重要设备损坏关键数据大量数据被破坏无法完全恢复部分数据被破坏无法完全恢复少量数据被破坏无法完全恢复个别数据被破坏无法完全恢复社会影响程度。社会影响是指网络安全事件对国家、社会、税务系统造成影响的范围和程度，主要包括税务系统声誉形象、纳税人权益和信息泄露等三类影响。表 社会影响与安全事件等级对应表特别重大网络安全事件重大网络安全事件较大网络安全事件一般网络安全事件社会影响特别重大影响重大影响较

10、大影响一般影响表 社会影响程度对应表影响程度影响内容影响描述特别重大影响税务系统声誉形象税务系统发生网络安全事件，引起社会媒体广泛关注，在互联网、社交媒体、公众媒体上公开报道，社会公众对税务系统产生严重不满和广泛质疑，给国家经济秩序带来严重的影响。纳税人权益波及到一个或多个省市的大部分地区，严重侵害纳税人权利，严重影响纳税人正常经营或生产生活，给纳税人利益带来严重损害。信息泄露税务系统敏感信息大量泄露，在互联网、社交媒体、公众媒体上大量传播。重大影响税务系统声誉形象税务系统发生网络安全事件，引起社会媒体广泛关注，在互联网、社交媒体、公众媒体上公开报道，纳税人对税务系统产生严重不满和广泛质疑，对

11、税务系统带来严重的影响。纳税人权益波及到一个或多个省市的部分地区，较为严重侵害纳税人权利，较为严重影响纳税人正常经营或生产生活，给纳税人利益带来损害。信息泄露税务系统敏感信息大量泄露，在互联网、社交媒体、公众媒体上出现但并未广泛传播。较大影响税务系统声誉形象税务系统发生网络安全事件，引起社会媒体关注，通过部分非主流媒体公开报道，使得部分纳税人对税务系统产生质疑，给税务系统带来较大影响。纳税人权益波及到一个或多个地市的大部分地区，侵害纳税人权利，影响纳税人正常经营或生产生活，给纳税人利益带来影响。信息泄露税务系统敏感信息部分泄露，在互联网、社交媒体、公众媒体上出现但并未广泛传播。一般影响税务系统

12、声誉形象税务系统发生网络安全事件，但及时恢复到正常状态，尚未引起媒体关注，给税务系统带来影响较小。纳税人权益波及到一个地市的部分地区，侵害纳税人权利，影响纳税人正常经营或生产生活，给纳税人利益带来影响。信息泄露税务系统敏感信息部分泄露，影响范围限于单个省内，税务系统业务因此受到影响。（）定级方法网络安全事件定级采用综合定级方法。首先，依据信息系统重要程度，确定事件级别范围。在此基础上按照网络安全事件所涉及的关键数据破坏程度、设备损坏和业务中断时间，按照从高原则，评估系统损失程度，拟定事件级别。其次，从网络安全事件对税务系统声誉形象、纳税人权益、信息泄漏等三方面，按照从高原则，评估社会影响程度，

13、拟定事件级别。最后，综合信息系统损失和社会影响程度两个方面的事件拟定级别，按照从高原则，确定事件级别。 组织体系 税务总局网络安全应急领导机构与工作任务全国税收网络安全和信息化领导小组（以下简称“税务总局网信领导小组”）是税务系统网络安全应急工作的领导机构，负责统筹、协调、处置税务系统网络安全事件应急工作，主要任务包括：（）研究和部署税务系统网络安全事件应急管理工作。（）审核批准税务系统网络安全事件总体应急预案。（）研判特别重大网络安全事件拟定级别，并上报国家网络安全应急办公室（以下简称“国家网络安全应急办”）等相关部门。（）按照国家网络安全应急办要求，指挥、协调特别重大网络安全事件的应急处置

14、工作，审核批准特别重大网络安全事件的应急处置报告。 税务总局网络安全应急工作机构与工作任务在税务总局网信领导小组办公室设立网络安全应急办公室（以下简称“税务总局网络安全应急办”），主要任务包括：（）负责制定和修订税务系统网络安全事件总体应急预案，并组织宣传、贯彻、培训。（）组织研判特别重大、重大网络安全事件；向税务总局网信领导小组汇报预判为特别重大网络安全事件；确定重大网络安全事件，经税务总局网信领导小组同意后报国家网络安全应急办等相关部门；汇总分析、通报全国税务系统网络安全事件信息。（）协调、指挥重大网络安全事件的应急响应工作。（）在国家网络安全应急办和税务总局网信领导小组指挥下，组织对特别

15、重大、重大网络安全事件的原因调查，查明事件性质和责任，总结事故教训，提出整改措施。（）负责与税务总局突发事件应急办衔接。（）协调税务总局各有关部门、各省税务机关应急工作，组织内外部专家、有关机构开展事件定级审核、应急支持和事件调查评估。（）监督、管理税务系统网络安全事件应急演练工作。 税务总局网络安全应急办专项工作组与工作任务税务总局网络安全应急办设若干专项工作组（见附件），由对应主管部门分别牵头负责，相关部门参加。各专项工作组在税务总局网络安全应急办的统筹协调下，承担税务系统网络安全事件应急处置相关工作，主要任务包括：（）负责制定和修订本工作组专项应急预案。（）负责税务总局机关较大、一般网络

16、安全事件的定级和应急响应工作，并做好事件的调查、分析、总结。（）参与审核各省税务机关上报的特别重大、重大网络安全事件定级，按照税务总局网络安全应急办要求，协助、指导各省税务机关做好应急处置工作。（）做好专项应急预案应急响应所需资源的准备和保障工作。（）协调配合其他专项工作组和各省税务机关网络安全应急办开展应急处置工作。（）组织开展本专项预案网络安全事件监测预警、应急演练工作。 省税务机关网络安全应急工作机构与工作任务各省税务机关应参照税务总局成立网络安全事件应急工作机构，省税务机关网络安全和信息化领导小组（以下简称“省税务局网信领导小组”）协调指导全省范围各地税务机关网络安全事件的预警、监测、

17、报告和应急响应工作，省税务局网信领导小组办公室设立网络安全应急办公室（以下简称“省税务局网络安全应急办”）及相关专项工作组，主要任务包括：（）组织制定和修订本省国税（地税）系统网络安全事件综合应急预案和专项预案，并组织宣传、贯彻、培训。（）研究网络安全事件拟定级别，对预判为特别重大、重大网络安全事件上报税务总局网络安全应急办，并在税务总局网络安全应急办协调指挥下处置本地区特别重大、重大网络安全事件。负责较大和一般网络安全事件的定级、上报和处置工作。按照本省网络安全应急办有关要求报送事件情况和开展应急处置等。（）组织对较大及一般网络安全事件开展原因调查，查明事件性质和责任，总结事故教训，提出整改

18、措施。 （）组织本省各地税务机关网络安全事件监测预警、应急演练等工作。 有关工作机制（）网络安全事件监测预警和信息通报机制。税务总局网络安全应急办各专项工作组和各省税务机关组织开展网络安全风险和事件监测，及时向税务总局网络安全应急办和本省网络安全主管部门报送网络安全风险预警和事件信息。税务总局网络安全应急办收到风险预警和事件信息后，根据事件级别及时向国家网络安全应急办和税务总局网信领导小组等报送相关信息，向税务系统和社会发布相关信息。（）网络安全事件研判定级和应急处置机制。税务总局网络安全应急办各专项工作组和各省税务机关按照税务系统网络安全事件总体应急预案有关要求，开展事件研判定级和应急处置。

19、各省税务机关发生网络安全事件，开展应急处置的同时报税务总局网络安全应急办相应专项工作组。税务总局网络安全应急办各专项工作组收到省税务机关报送的网络安全事件后，根据系统损失和社会影响程度调整事件级别，对于较大、一般网络安全事件，由专项工作组协调指导有关省税务机关组织开展应急处置和事件调查评估；对于预判为特别重大、重大网络安全事件，各专项工作组第一时间报税务总局网络安全应急办。税务总局网络安全应急办收到特别重大、重大网络安全事件报告后，由网络安全应急办主任或副主任主持召开应急工作会议，有关专项工作组和省税务机关参加，研究网络安全事件预警、处置和调查评估等事项。重大网络安全事件由税务总局网络安全应急

20、办组织开展应急处置，特别重大网络安全事件由税务总局网信领导小组在国家网络安全应急办的协调指挥下组织开展应急处置。 监测与预警机制 预警分级网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。 预警监测各级税务机关按照谁主管谁负责、谁运行谁负责的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作，做好监测信息共享，并将重要监测信息及时报上级网络安全应急办。 预警研判和发布预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。在监测过程中，各级税务机关应

21、根据预警事件的变化情况，动态调整预警级别和防范措施。国家网络安全应急办组织研判、确定、发布红色预警和涉及多省（区、市）、多部门、多行业的预警。税务总局、省税务局网络安全应急办各专项工作组组织对监测信息进行研判，认为需要立即采取防范措施的，及时通知有关部门和单位。对于可能发生特别重大、重大网络安全事件的信息，税务总局网络安全应急办各专项工作组、各省税务机关按有关程序及时向税务总局网络安全应急办报告。税务总局、省税务局网络安全应急办可根据监测研判情况，发布本单位（系统）的橙色及以下预警。对可能出现跨地区或超出事发单位处置能力等的安全事件，可酌情提高预警等级。 预警响应 红色预警响应（）按照国家网络

22、安全应急办的红色预警要求，报经税务总局网信领导小组批准后，税务总局网络安全应急办启动红色预警响应。（）税务总局网络安全应急办组织预警响应工作，联系相关专项工作组、专家组和有关机构，对事态发展情况进行跟踪研判，制定防范措施和应急工作方案，协调组织资源调度和部门联动的各项准备工作。（）税务总局网络安全应急办密切关注事态发展，将预警响应情况及时报告税务总局网信领导小组，重大事项及时报告国家网络安全应急办。（）税务总局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。（）税务总局、相关省税务局网络安全应急办实行小时值

23、班，保持联络畅通，加强网络安全事件监测和事态发展信息搜集工作，组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。 橙色预警响应（）税务总局网络安全应急办启动相应应急预案，组织预警响应工作，联系相关专项工作组、专家组和有关机构，对事态发展情况进行跟踪研判，制定防范措施和应急工作方案，协调组织资源调度和部门联动的各项准备工作。（）税务总局网络安全应急办密切关注事态发展，重大事项及时报告税务总局网信领导小组。（）税务总局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。（）税务总局、相关省税务局

24、网络安全应急办实行小时值班，保持联络畅通，加强网络安全事件监测和事态发展信息搜集工作，组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。 黄色、蓝色预警响应税务总局、省税务局网络安全应急办及相关专项工作组启动相应应急预案，开展应急准备，组织预警响应。 预警解除预警发布部门根据实际情况，确定是否解除预警，及时发布预警解除信息。 应急处置网络安全事件按照分级指挥、属地为主、快速研判、立即处置、及时通报、留存证据原则进行处置。对于日常运维事件，按照运维流程进行处置，各省税务机关在处置较大、一般网络安全事件过程中，需要税务总局提供支持的，按照系统运维重大请求流程处置。在运维处置过程

25、中，出现多个省税务机关集中发生类似情况或运维流程难以有效应对的，可视情况参照网络安全事件应急预案开展处置。对涉及跨地区的或超出事发单位处置能力的网络安全事件，根据事发单位请求，税务总局网络安全应急办协调相关专项工作组和应急技术支撑队伍协助事发单位处置。 事件研判和上报网络安全事件发生后，事发单位应立即启动应急预案，组织先期处置，控制事态，消除隐患，注意保存证据，并及时向上级机关报送信息（见附件）。（）税务总局税务总局机关发生网络安全事件后，相关专项工作组组织研判。对于较大、一般网络安全事件，相关专项工作组立即启动应急响应，并报税务总局网络安全应急办。对于需要其他工作组协助处置的，由税务总局网络

26、安全应急办统筹协调。对于预判为特别重大、重大网络安全事件，立即报税务总局网络安全应急办，由税务总局网络安全应急办决定是否启动响应。税务总局网络安全应急办收到事发单位和专项工作组预判为特别重大、重大网络安全事件和多省上报的、相同类型的较大网络安全事件信息，立即召开会议，会商、确定网络安全事件级别。对于预判为特别重大网络安全事件的，报税务总局网信领导小组研究。对于确定为重大网络安全事件的，启动应急响应，同时报税务总局网信领导小组和国家网络安全应急办。税务总局网信领导小组召开会议，对预判为特别重大网络安全事件进行会商，拟定为特别重大网络安全事件的，启动应急响应，同时报国家网络安全应急办；对于确定为重

27、大网络安全事件的，交由税务总局网络安全应急办处置。（）各省税务机关网络安全事件发生后，省税务局专项工作组先期处置并组织研判事件级别，立即报省税务局网络安全应急办。省税务局网络安全应急办收到事发单位和省税务局专项工作组上报的网络安全事件信息，应及时召开会议，会商、确定网络安全事件级别。对于预判为特别重大、重大、较大网络安全事件的，立即上报省税务局网信领导小组研究；对于确定为一般网络安全事件，启动应急响应，指挥处置工作，同时报省税务局网信领导小组。省税务局网信领导小组召开会议，对预判为特别重大、重大、较大网络安全事件进行研究，拟定为特别重大、重大网络安全事件的，按有关程序上报税务总局网络安全应急办

28、，由税务总局网络安全应急办决定是否启动应急响应。对于确定为较大网络安全事件，启动应急响应，并按有关程序上报税务总局网络安全应急办。 应急响应网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件。级为最高响应级别。根据实际需要，可提高应急响应级别。 级响应 税务总局网信领导小组对拟定特别重大网络安全事件启动级响应，按照国家网络安全应急办要求，指挥、协调应急处置工作。（）启动应急指挥体系税务总局网信领导小组、税务总局网络安全应急办、相关专项工作组进入应急状态，税务总局网络安全应急办小时值班，按照级响应工作任务表（见附件）实施应急处置工作。及时将相关情况上报国家网络安全应急办

29、，按照国家网络安全应急办要求开展相关工作。相关省税务局网信领导小组、网络安全应急办、专项工作组进入应急状态，应急办小时值班。（）掌握事件动态跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报税务总局网络安全应急办。检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况，及时汇总并上报税务总局网络安全应急办。及时通报情况。税务总局网络安全应急办汇总应急处置情况，上报税务总局网信领导小组，通报相关单位。税务总局网信领导小组按规定上报国家网络安全应急办公室。（）决策部署税务总局网信领导小组组织网络安全应急办、相关专项工作组和专家组研究对策，对处置工作进行决策部署。（）处

30、置实施控制事态防止蔓延。相关单位网络安全应急办根据税务总局网络安全应急办的部署，组织受影响单位应急保障人员采取各种业务和技术措施、管控手段，最大限度地阻止和控制事态发展；税务总局网络安全应急办负责协调国家相关部委、行业主管单位，相关单位网络安全应急办协调通信、电力、公安、银行等部门协同配合，防止事态进一步蔓延。做好处置尽快恢复。事发单位网络安全应急办组织各专项工作组尽快分析事件发生原因、特点、发展趋势，快速制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织业务补偿。预防和处置衍生事件。事发单位要做好对受影响公众的解释、疏导工作，及时进行沟通，做好临时性补救措施

31、，防止因公众遭受损失衍生大规模群体性事件。信息发布。税务总局办公厅负责组织网络安全事件的应急新闻工作，指导相关省税务机关开展新闻发布和舆论引导工作。未经批准，其他部门和单位不得擅自发布相关消息。国家网络安全应急办启动级响应涉及税务系统时，各级税务机关应按照要求，积极开展相应应急处置工作。 级响应税务总局网络安全应急办对重大网络安全事件启动级应急响应。（）启动应急指挥体系税务总局网络安全应急办、相关专项工作组进入应急状态，税务总局网络安全应急办小时值班，按照级响应工作任务表（见附件）开展应急处置工作。相关省税务局网信领导小组、网络安全应急办、专项工作组进入应急状态，网络安全应急办小时值班。（）掌握事件动态跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报税务总局网络安全应急办。检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况，及时汇总并上报税务总局网络安全应急办。