税务系统网络安全事件总体应急预案

总则

编制目的

进一步贯彻落实《中华人民共和国网络安全法》和《国家网络安全事件应急预案》，建立健全税务系统网络安全事件应急工作机制，指导全国税务系统及时、有效、有序处置网络安全事件，提高应对网络安全事件能力，预防和减少网络安全事件造成的损失和危害，保障税务系统正常工作秩序，保护纳税人合法权益，维护国家安全和社会稳定。

编制依据

根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《国家税务总局突发事件总体应急预案（试行）》和《信息安全事件分类分级指南》（）等相关规定，制定本预案。

定义

本预案所称税务网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对税务网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

适用范围

本预案适用于税务总局指导税务系统网络安全事件应对工作，协调处置特别重大和重大网络安全事件、发生在税务总局机关以及专项预案明确由税务总局应对的网络安全事件。

因网络安全事件，发生突发事件或者生产安全事故的，依照《国家税务总局突发事件总体应急预案（试行）》等有关规定处置。

工作原则

坚持统一领导、密切协同、快速反应、科学处置；坚持分级负责、属地为主；坚持预防为主、预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

应急预案体系

（）税务系统网络安全事件总体应急预案。税务系统网络安全事件总体应急预案是全国税务系统网络安全事件应急预案体系的总纲，是税务总局统筹、协调和应对网络安全事件的规范性文件，由税务总局制定并印发实施。

（）国税（地税）系统网络安全事件综合应急预案。各省税务机关应根据《税务系统网络安全事件总体应急预案》，结合各地实际情况，制定综合应急预案，并报税务总局备案。

（）网络安全事件专项应急预案。为应对某类或某几类网络安全事件，税务总局各有关部门按照分工，依据总体应急预案和相关规定，牵头制定各类专项应急预案。各省税务机关参照税务总局网络安全事件各专项应急预案，结合各地实际情况，制定本单位各专项应急预案。省以下税务机关网络安全应急管理由各省税务机关结合各地实际情况确定。

事件分级分类

事件分级

按照国家网络安全事件分类分级指南，税务系统网络安全事件分为：特别重大、重大、较大和一般个级别。

（）符合下列情形之一的，为特别重大网络安全事件：

①重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务处理能力。

②重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

③对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响。

④恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大，事发单位不可承受。

（）符合下列情形之一的，为重大网络安全事件：

①重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

②重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

③对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响。

④恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大，事发单位部分可承受。

（）符合下列情形之一的，为较大网络安全事件：

①重要税务网络和信息系统遭受较大的系统损失，造成税务系统中断，明显影响系统效率，业务处理能力受到影响。

②重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

③对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响。

④恢复系统正常运行和消除安全事件负面影响所需付出的代价较大，事发单位基本可以承受。

（）除上述情形外，符合下列情形的，为一般网络安全事件：

对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响，恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。

事件分类

税务系统网络安全事件分为业务系统类、基础环境类、安全技术类、信息内容类和其他类事件。

（）业务系统类事件

业务系统类事件是指因业务系统软件、硬件故障导致业务中断的网络安全事件。此类事件涵盖业务系统运行所需的计算、存储和软件环境等引发的网络安全事件。

（）基础环境类事件

基础环境类事件是指因外围保障设施故障、人为破坏、网络故障、其他设备设施故障、自然灾害等其他突发事件导致的网络安全事件。此类事件涵盖电力中断、通讯中断、数据中心设备故障等。

（）安全技术类事件

安全技术类事件是指威胁正常税收工作秩序的各类网络安全事件，包括计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等基于有害程序的攻击事件；拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、网络干扰等网络攻击事件；信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等信息破坏事件。

（）信息内容类事件

信息内容类事件是指利用网络传播法律、法规禁止的信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公共利益的事件。

（）其他类事件

其他类事件是指不能归为以上分类的网络安全事件。

事件定级

税务系统网络安全事件采用统一标准定级。

（）定级要素

①系统损失程度。系统损失是指由于网络安全事件对税务信息系统的软件、硬件、功能和数据的破坏，导致税收业务中断，给事发单位造成损失，主要包括信息系统重要程度和损失程度两个方面。

表 税务信息系统损失与安全事件级别对应表

②社会影响程度。社会影响是指网络安全事件对国家、社会、税务系统造成影响的范围和程度，主要包括税务系统声誉形象、纳税人权益和信息泄露等三类影响。

表 社会影响与安全事件等级对应表

表 社会影响程度对应表

（）定级方法

网络安全事件定级采用综合定级方法。

首先，依据信息系统重要程度，确定事件级别范围。在此基础上按照网络安全事件所涉及的关键数据破坏程度、设备损坏和业务中断时间，按照从高原则，评估系统损失程度，拟定事件级别。

其次，从网络安全事件对税务系统声誉形象、纳税人权益、信息泄漏等三方面，按照从高原则，评估社会影响程度，拟定事件级别。

最后，综合信息系统损失和社会影响程度两个方面的事件拟定级别，按照从高原则，确定事件级别。

组织体系

税务总局网络安全应急领导机构与工作任务

全国税收网络安全和信息化领导小组（以下简称“税务总局网信领导小组”）是税务系统网络安全应急工作的领导机构，负责统筹、协调、处置税务系统网络安全事件应急工作，主要任务包括：

（）研究和部署税务系统网络安全事件应急管理工作。

（）审核批准税务系统网络安全事件总体应急预案。

（）研判特别重大网络安全事件拟定级别，并上报国家网络安全应急办公室（以下简称“国家网络安全应急办”）等相关部门。

（）按照国家网络安全应急办要求，指挥、协调特别重大网络安全事件的应急处置工作，审核批准特别重大网络安全事件的应急处置报告。

税务总局网络安全应急工作机构与工作任务

在税务总局网信领导小组办公室设立网络安全应急办公室（以下简称“税务总局网络安全应急办”），主要任务包括：

（）负责制定和修订《税务系统网络安全事件总体应急预案》，并组织宣传、贯彻、培训。

（）组织研判特别重大、重大网络安全事件；向税务总局网信领导小组汇报预判为特别重大网络安全事件；确定重大网络安全事件，经税务总局网信领导小组同意后报国家网络安全应急办等相关部门；汇总分析、通报全国税务系统网络安全事件信息。

（）协调、指挥重大网络安全事件的应急响应工作。

（）在国家网络安全应急办和税务总局网信领导小组指挥下，组织对特别重大、重大网络安全事件的原因调查，查明事件性质和责任，总结事故教训，提出整改措施。

（）负责与税务总局突发事件应急办衔接。

（）协调税务总局各有关部门、各省税务机关应急工作，组织内外部专家、有关机构开展事件定级审核、应急支持和事件调查评估。

（）监督、管理税务系统网络安全事件应急演练工作。

税务总局网络安全应急办专项工作组与工作任务

税务总局网络安全应急办设若干专项工作组（见附件），由对应主管部门分别牵头负责，相关部门参加。各专项工作组在税务总局网络安全应急办的统筹协调下，承担税务系统网络安全事件应急处置相关工作，主要任务包括：

（）负责制定和修订本工作组专项应急预案。

（）负责税务总局机关较大、一般网络安全事件的定级和应急响应工作，并做好事件的调查、分析、总结。

（）参与审核各省税务机关上报的特别重大、重大网络安全事件定级，按照税务总局网络安全应急办要求，协助、指导各省税务机关做好应急处置工作。

（）做好专项应急预案应急响应所需资源的准备和保障工作。

（）协调配合其他专项工作组和各省税务机关网络安全应急办开展应急处置工作。

（）组织开展本专项预案网络安全事件监测预警、应急演练工作。

省税务机关网络安全应急工作机构与工作任务

各省税务机关应参照税务总局成立网络安全事件应急工作机构，省税务机关网络安全和信息化领导小组（以下简称“省税务局网信领导小组”）协调指导全省范围各地税务机关网络安全事件的预警、监测、报告和应急响应工作，省税务局网信领导小组办公室设立网络安全应急办公室（以下简称“省税务局网络安全应急办”）及相关专项工作组，主要任务包括：

（）组织制定和修订本省国税（地税）系统网络安全事件综合应急预案和专项预案，并组织宣传、贯彻、培训。

（）研究网络安全事件拟定级别，对预判为特别重大、重大网络安全事件上报税务总局网络安全应急办，并在税务总局网络安全应急办协调指挥下处置本地区特别重大、重大网络安全事件。负责较大和一般网络安全事件的定级、上报和处置工作。按照本省网络安全应急办有关要求报送事件情况和开展应急处置等。

（）组织对较大及一般网络安全事件开展原因调查，查明事件性质和责任，总结事故教训，提出整改措施。

（）组织本省各地税务机关网络安全事件监测预警、应急演练等工作。

有关工作机制

（）网络安全事件监测预警和信息通报机制。税务总局网络安全应急办各专项工作组和各省税务机关组织开展网络安全风险和事件监测，及时向税务总局网络安全应急办和本省网络安全主管部门报送网络安全风险预警和事件信息。税务总局网络安全应急办收到风险预警和事件信息后，根据事件级别及时向国家网络安全应急办和税务总局网信领导小组等报送相关信息，向税务系统和社会发布相关信息。

（）网络安全事件研判定级和应急处置机制。税务总局网络安全应急办各专项工作组和各省税务机关按照税务系统网络安全事件总体应急预案有关要求，开展事件研判定级和应急处置。

①各省税务机关发生网络安全事件，开展应急处置的同时报税务总局网络安全应急办相应专项工作组。

②税务总局网络安全应急办各专项工作组收到省税务机关报送的网络安全事件后，根据系统损失和社会影响程度调整事件级别，对于较大、一般网络安全事件，由专项工作组协调指导有关省税务机关组织开展应急处置和事件调查评估；对于预判为特别重大、重大网络安全事件，各专项工作组第一时间报税务总局网络安全应急办。

③税务总局网络安全应急办收到特别重大、重大网络安全事件报告后，由网络安全应急办主任或副主任主持召开应急工作会议，有关专项工作组和省税务机关参加，研究网络安全事件预警、处置和调查评估等事项。

④重大网络安全事件由税务总局网络安全应急办组织开展应急处置，特别重大网络安全事件由税务总局网信领导小组在国家网络安全应急办的协调指挥下组织开展应急处置。

监测与预警机制

预警分级

网络安全事件预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生的特别重大、重大、较大和一般网络安全事件。

预警监测

各级税务机关按照谁主管谁负责、谁运行谁负责的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作，做好监测信息共享，并将重要监测信息及时报上级网络安全应急办。

预警研判和发布

预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。在监测过程中，各级税务机关应根据预警事件的变化情况，动态调整预警级别和防范措施。

国家网络安全应急办组织研判、确定、发布红色预警和涉及多省（区、市）、多部门、多行业的预警。

税务总局、省税务局网络安全应急办各专项工作组组织对监测信息进行研判，认为需要立即采取防范措施的，及时通知有关部门和单位。对于可能发生特别重大、重大网络安全事件的信息，税务总局网络安全应急办各专项工作组、各省税务机关按有关程序及时向税务总局网络安全应急办报告。

税务总局、省税务局网络安全应急办可根据监测研判情况，发布本单位（系统）的橙色及以下预警。对可能出现跨地区或超出事发单位处置能力等的安全事件，可酌情提高预警等级。

预警响应

红色预警响应

（）按照国家网络安全应急办的红色预警要求，报经税务总局网信领导小组批准后，税务总局网络安全应急办启动红色预警响应。

（）税务总局网络安全应急办组织预警响应工作，联系相关专项工作组、专家组和有关机构，对事态发展情况进行跟踪研判，制定防范措施和应急工作方案，协调组织资源调度和部门联动的各项准备工作。

（）税务总局网络安全应急办密切关注事态发展，将预警响应情况及时报告税务总局网信领导小组，重大事项及时报告国家网络安全应急办。

（）税务总局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。

（）税务总局、相关省税务局网络安全应急办实行小时值班，保持联络畅通，加强网络安全事件监测和事态发展信息搜集工作，组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。

橙色预警响应

（）税务总局网络安全应急办启动相应应急预案，组织预警响应工作，联系相关专项工作组、专家组和有关机构，对事态发展情况进行跟踪研判，制定防范措施和应急工作方案，协调组织资源调度和部门联动的各项准备工作。

（）税务总局网络安全应急办密切关注事态发展，重大事项及时报告税务总局网信领导小组。

（）税务总局网络安全应急办、相关专项工作组和应急技术支撑队伍进入待命状态，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处于良好状态。

（）税务总局、相关省税务局网络安全应急办实行小时值班，保持联络畅通，加强网络安全事件监测和事态发展信息搜集工作，组织应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作。

黄色、蓝色预警响应

税务总局、省税务局网络安全应急办及相关专项工作组启动相应应急预案，开展应急准备，组织预警响应。

预警解除

预警发布部门根据实际情况，确定是否解除预警，及时发布预警解除信息。

应急处置

网络安全事件按照分级指挥、属地为主、快速研判、立即处置、及时通报、留存证据原则进行处置。

对于日常运维事件，按照运维流程进行处置，各省税务机关在处置较大、一般网络安全事件过程中，需要税务总局提供支持的，按照系统运维重大请求流程处置。在运维处置过程中，出现多个省税务机关集中发生类似情况或运维流程难以有效应对的，可视情况参照网络安全事件应急预案开展处置。

对涉及跨地区的或超出事发单位处置能力的网络安全事件，根据事发单位请求，税务总局网络安全应急办协调相关专项工作组和应急技术支撑队伍协助事发单位处置。

事件研判和上报

网络安全事件发生后，事发单位应立即启动应急预案，组织先期处置，控制事态，消除隐患，注意保存证据，并及时向上级机关报送信息（见附件）。

（）税务总局

①税务总局机关发生网络安全事件后，相关专项工作组组织研判。对于较大、一般网络安全事件，相关专项工作组立即启动应急响应，并报税务总局网络安全应急办。对于需要其他工作组协助处置的，由税务总局网络安全应急办统筹协调。对于预判为特别重大、重大网络安全事件，立即报税务总局网络安全应急办，由税务总局网络安全应急办决定是否启动响应。

②税务总局网络安全应急办收到事发单位和专项工作组预判为特别重大、重大网络安全事件和多省上报的、相同类型的较大网络安全事件信息，立即召开会议，会商、确定网络安全事件级别。对于预判为特别重大网络安全事件的，报税务总局网信领导小组研究。对于确定为重大网络安全事件的，启动应急响应，同时报税务总局网信领导小组和国家网络安全应急办。

③税务总局网信领导小组召开会议，对预判为特别重大网络安全事件进行会商，拟定为特别重大网络安全事件的，启动应急响应，同时报国家网络安全应急办；对于确定为重大网络安全事件的，交由税务总局网络安全应急办处置。

（）各省税务机关

①网络安全事件发生后，省税务局专项工作组先期处置并组织研判事件级别，立即报省税务局网络安全应急办。

②省税务局网络安全应急办收到事发单位和省税务局专项工作组上报的网络安全事件信息，应及时召开会议，会商、确定网络安全事件级别。对于预判为特别重大、重大、较大网络安全事件的，立即上报省税务局网信领导小组研究；对于确定为一般网络安全事件，启动应急响应，指挥处置工作，同时报省税务局网信领导小组。

③省税务局网信领导小组召开会议，对预判为特别重大、重大、较大网络安全事件进行研究，拟定为特别重大、重大网络安全事件的，按有关程序上报税务总局网络安全应急办，由税务总局网络安全应急办决定是否启动应急响应。对于确定为较大网络安全事件，启动应急响应，并按有关程序上报税务总局网络安全应急办。

应急响应

网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件。Ⅰ级为最高响应级别。根据实际需要，可提高应急响应级别。

Ⅰ级响应

税务总局网信领导小组对拟定特别重大网络安全事件启动Ⅰ级响应，按照国家网络安全应急办要求，指挥、协调应急处置工作。

（）启动应急指挥体系

税务总局网信领导小组、税务总局网络安全应急办、相关专项工作组进入应急状态，税务总局网络安全应急办小时值班，按照《Ⅰ级响应工作任务表》（见附件）实施应急处置工作。及时将相关情况上报国家网络安全应急办，按照国家网络安全应急办要求开展相关工作。

相关省税务局网信领导小组、网络安全应急办、专项工作组进入应急状态，应急办小时值班。

（）掌握事件动态

①跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报税务总局网络安全应急办。

②检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况，及时汇总并上报税务总局网络安全应急办。

③及时通报情况。税务总局网络安全应急办汇总应急处置情况，上报税务总局网信领导小组，通报相关单位。税务总局网信领导小组按规定上报国家网络安全应急办公室。

（）决策部署

税务总局网信领导小组组织网络安全应急办、相关专项工作组和专家组研究对策，对处置工作进行决策部署。

（）处置实施

①控制事态防止蔓延。相关单位网络安全应急办根据税务总局网络安全应急办的部署，组织受影响单位应急保障人员采取各种业务和技术措施、管控手段，最大限度地阻止和控制事态发展；税务总局网络安全应急办负责协调国家相关部委、行业主管单位，相关单位网络安全应急办协调通信、电力、公安、银行等部门协同配合，防止事态进一步蔓延。

②做好处置尽快恢复。事发单位网络安全应急办组织各专项工作组尽快分析事件发生原因、特点、发展趋势，快速制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织业务补偿。

③预防和处置衍生事件。事发单位要做好对受影响公众的解释、疏导工作，及时进行沟通，做好临时性补救措施，防止因公众遭受损失衍生大规模群体性事件。

④信息发布。税务总局办公厅负责组织网络安全事件的应急新闻工作，指导相关省税务机关开展新闻发布和舆论引导工作。未经批准，其他部门和单位不得擅自发布相关消息。

⑤国家网络安全应急办启动Ⅰ级响应涉及税务系统时，各级税务机关应按照要求，积极开展相应应急处置工作。

Ⅱ级响应

税务总局网络安全应急办对重大网络安全事件启动Ⅱ级应急响应。

（）启动应急指挥体系

税务总局网络安全应急办、相关专项工作组进入应急状态，税务总局网络安全应急办小时值班，按照《Ⅱ级响应工作任务表》（见附件）开展应急处置工作。

相关省税务局网信领导小组、网络安全应急办、专项工作组进入应急状态，网络安全应急办小时值班。

（）掌握事件动态

①跟踪事态发展。事发单位及时将事态发展变化情况和处置进展情况上报税务总局网络安全应急办。

②检查影响范围。事发单位全面了解本地区网络和信息系统受到事件波及或影响情况，及时汇总并上报税务总局网络安全应急办。

③及时通报情况。税务总局网络安全应急办汇总应急处置情况，按要求上报税务总局网信领导小组，并及时通报相关单位。

（）处置实施

应急处置工作由税务总局网络安全应急办统筹指挥、协调。各专项工作组和事发单位按照相关专项预案进行应急响应处置。

相关省税务机关根据税务总局网络安全应急办的通报，结合自身实际有针对性地加强防范，防止造成更大范围影响和损失。

相关信息发布由税务总局网络安全应急办舆情专项工作组负责。未经批准，各单位不得擅自发布相关消息。

Ⅲ、Ⅳ级响应

税务总局网络安全应急办各专项工作组编制专项应急预案时，应确定Ⅲ级、Ⅳ级响应工作任务，明确应急响应的流程和职责分工等。事件发生后由各专项工作组按照相关预案进行应急响应。

省税务机关应急响应

各省税务机关参照税务总局Ⅰ级、Ⅱ级响应工作任务表，结合自身实际，制定应急响应工作任务表，明确应急响应的流程和职责分工等。事件发生后由各省税务局网络安全应急办和专项工作组按照相关预案进行应急响应。

事件级别调整

在应急处置过程中，应急处置部门监控事件动态变化，当认为需要调整事件级别的，按有关流程上报并调整事件响应级别。

应急结束

Ⅰ级应急响应由国家网络安全应急办宣布结束。

Ⅱ级应急响应由税务总局网络安全应急办经综合研判后，提出应急响应结束建议，报税务总局网信领导小组批准后，结束应急响应状态，转入后期处置阶段，并将有关情况及时通报有关单位。

Ⅲ级、Ⅳ级应急响应由税务总局专项工作组或各省税务局网信领导小组和网络安全应急办宣布结束。应急响应结束后，有关单位应将应急响应工作情况报告上级税务机关网络安全应急办。

调查与评估

网络安全事件应急处置过程中应保留、收集相关证据。网络安全事件结束后，应组织开展事件调查和总结评估，查明事件起因、性质和经过，分析危害程度和责任，提出整改防范措施和处理建议，形成《网络安全事件应急响应结果报告表》（见附件）。

特别重大网络安全事件调查报告由国家网络安全应急办组织调查处理和总结评估。

重大网络安全事件由税务总局网络安全应急办牵头，组织相关专项工作组和专家组进行调查处理和总结评估，报税务总局网信领导小组并通报相关单位。

较大及以下网络安全事件由事发单位自行组织调查处理和总结评估，较大网络安全事件调查分析报告应按规定上报税务总局网络安全应急办。

事件的调查处理和总结评估工作原则上在应急响应结束后日内完成。

预防工作

日常管理

各级税务机关按职责做好网络安全事件日常预防工作，制定、完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。

（）业务风险分析和补偿机制。业务主管部门要结合业务特点，识别业务风险因素，分析网络安全事件可能产生的直接后果和次生、衍生后果，提出控制风险、治理隐患的措施，制定网络安全事件发生后的业务补偿方案。

（）建立健全应急保障体系。采用多种技术手段监控和保障单位信息系统安全，不断完善网络安全管理制度。

（）全面落实信息系统等级保护制度。按照等级保护制度要求制定防护策略，设计防护方案，落实防护措施，检查防护效果，修补防护漏洞，保障网络安全。

（）有效落实网络安全风险评估制度。在新系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务发生重大变化时，应重新识别、分析、控制风险。

（）建设容灾备份系统。完善容灾备份相关制度、操作规范，对重要业务系统数据进行容灾备份，并定期开展灾备恢复演练。

（）健全网络安全信息报告机制。各省税务机关和各专项工作组应建立网络安全信息报告有关工作机制，公布信息报告流程和联系方式。各单位或个人发现税务系统网络安全风险隐患和事件，均有权向税务总局、省税务局网络安全应急办报告。网络安全应急办收到网络安全信息报告后，应仔细研判并及时发布预警和响应通知。

宣传与培训

各级税务机关应充分利用各种媒介和其他有效宣传形式，加强突发网络安全事件预防和应急处置的有关法律、法规、政策和应急响应预案的宣传，开展网络安全基本知识和技能的宣传活动。

各级税务机关要将网络安全事件应急知识列为领导干部和有关人员的培训内容，加强网络安全特别是网络安全应急预案的培训，提高防范意识和技能。

应急演练

税务总局网络安全应急办指导、督促各地定期组织应急演练，检验和完善预案，提高实战能力。

税务总局和各省税务机关每年应至少组织一次预案演练，并将演练情况报上级网络安全应急办。省以下各地税务机关预案演练由各省税务机关结合各地实际确定。

应急预案更新后或遇有可预见的网络安全事件时，应及时开展应急演练，检验应急预案的可行性，提高有关人员的应急响应熟练程度。

应急演练以应急预案为基础，在演练前应确定演练的目标、范围及方式，制定详细、严谨的应急演练方案，避免对正常业务造成不必要的影响。应急演练如涉及上级部门或其他部门，应事先做好沟通协调工作，避免干扰其正常工作。

重要敏感时期的预防措施

在国家重要活动、会议等重要敏感时期，各级税务机关要加强网络安全事件的防范和应急响应，确保网络安全。税务总局网络安全应急办统筹协调网络安全保障工作，各省税务局网络安全应急办加强网络安全监测和分析研判，及时预警可能造成重大影响的风险和隐患，重点部门、重点岗位保持小时值班，及时发现和处置网络安全事件。

保障措施

落实网络安全应急工作责任制

各级税务机关要落实网络安全应急工作责任制，建立健全网络安全应急工作机制，压实领导责任，把责任落实到具体部门、具体岗位和个人。相关责任部门、岗位和个人发生变动后应及时更新。

加强人才队伍建设

加强网络安全应急人才队伍建设。加强相关技能培训，不断提高应急人才队伍的监测预警、预防防护、应急处置能力；定期开展应急演练，提高应急处置熟练程度。建立应急人员保障长效机制，设立应急管理岗位，明确运维岗位人员的应急工作职责。

建立应急专家队伍，为网络安全事件的预防处置、事件定级和调查评估等提供技术咨询和决策建议。应急专家队伍应由外部门技术专家和系统内业务、技术、网络安全等相关人员组成。

强化外部协调

网络安全事件发生后，税务总局网络安全应急办根据事件发生的原因、性质、影响、责任等，向外部有关单位通报事件有关情况，协调事件的应急处置。发生较大级别以上（含较大级别）网络安全事件后，省税务局网络安全应急办应及时、主动向本省网络安全主管部门通报相关情况。

应急资源保障

应急资源包括应急经费保障、外部技术支撑服务等。

各级税务机关要编制网络安全应急专项资金预算，确保应急保障物资的及时采购和必要储备，支持网络安全应急外部支撑队伍建设、培训、基础平台建设、预案演练等工作开展。

税务总局网络安全应急办各专项工作组和各省税务机关原则上应按照网络安全事件Ⅱ级响应级别，储备应急资源，购买外部技术支撑服务，并在合同中明确应急响应相关服务要求。采购的外部技术支撑服务包括但不限于相关的软件硬件厂商、系统集成商、网络安全服务商和国家网络安全相关技术服务单位提供的监测预警、预防防护、应急处置、应急技术支援等服务。

责任与奖惩

网络安全事件应急处置工作实行责任追究制。

税务总局及各省税务机关对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励；对不按照规定制定预案和组织开展演练，迟报、谎报、瞒报和漏报网络安全事件重要情况或在应急管理工作中有其他失职、渎职行为的，依据相关规定对有关责任人给予处分；构成犯罪的，依法追究刑事责任。

预案管理

各单位应做好应急预案的维护工作，原则上应急预案应每年进行评估、修订，并适时发布更新，以确保应急预案的准确性和有效性。

各单位应安排专人负责应急预案管理，将应急预案最新版本分发给所有应急相关人员。

各单位应在应急响应或演练结束后，分析评估应急预案的执行效果，根据需要对应急预案进行修订、完善。

附则

本预案由税务总局网络安全应急办负责解释。

本预案自发布之日起实施。《税务系统网络与信息安全应急响应总体预案（试行）》（国税发〔〕号）同时废止。

税务系统网络安全事件总体应急预案