预案的框架包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件表格等。

  总则给出应急响应预案的目的、适合使用的范围、工作原则、事件分类、事件分级和编制依据。

  制定应急响应的目的，通常包括建立健全网络安全事件应急工作机制，提高应对突发网络安全事件能力，维护基础信息网络、重要信息系统和重要工业控制管理系统的安全，保障城市、单位、信息安全运行，预防和减少网络安全事件造成的损失和危害，保护公众利益，维护国家安全、公共安全和社会秩序等。

  适用范围，通常包括本市行政区域、本单位、本部门、本集团内发生的网络安全事件，以及发生在别的地方且有可能影响本网络安全运行的网络安全事件的预防和处置工作。如本预案大多数都用在指导预防和处置发生在北京市行政区域内，或发生在别的地方涉及北京市的有关机构、单位或人员，应由北京市处置或参与处置的网络安全事件。有关通信保障和通信恢复应急工作按照《北京市通信保障应急预案》执行；涉及国家秘密的网络与信息安全事件依照国家有关保密规定执行；有关内容信息安全事件的预防和处置工作按照《北京市互联网内容信息管理应急预案（试行）》执行。

  工作原则，通常有坚持统一指挥、分级负责、密切协同、快速反应、科学处置；坚持预防为主，实行预防与处置相结合和“谁主管谁负责，谁运营谁负责，谁使用谁负责”等。

  事件分类和事件分级，主要给出网络安全事件的定义、分类、分级依据或者量化标准。在定义、分类、分级上参考《国家网络安全事件应急预案》，核心是把握两个维度的损失程度，即：重要网络和信息系统的损失程度，国家秘密信息、重要敏感信息和关键数据的损失程度。建议单位在制定分级上能够从影响人数、造成的经济损失角度定量描述，这样便于操作。

  编制依据，最重要的包含《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《中华人民共和国计算机信息系统安全保护条例》、《国家网络安全事件应急预案》、《突发事件应急预案管理办法》（〔2013〕101号）、《信息安全技术 信息安全事件分类分级指南》（GB/Z20986—2007）和本地的法律和法规等。

  应急响应预案中最重要的包含网络安全和信息化领导小组、网信办、指挥部、网络安全应急办、各职能部门、专家咨询和技术上的支持机构。下面以省为例，介绍在应急预案中角色和职责。

  在省委网络安全与信息化领导小组的领导下，省委网络安全和信息化领导小组办公室（简称“省委网信办”）统筹协调组织全省网络安全事件应对工作，建立健全跨部门联动处置机制，省工业和信息化委、省公安厅、省国家安全厅、省通信管理局、省国家保密局、省国家密码管理局等有关部门按照职责分工负责相关网络安全事件应对工作。

  必要时，成立省网络安全事件应急指挥部，统一指挥、协调省重大网络安全事件的应急处置工作。省指挥部总指挥由领导小组相关领导同志担任，根据网络安全事件性质和应急处置工作要确定成员单位，主要有省委宣传部、省委网信办、省工业与信息化委、省发展改革委、省教育厅、省科技厅、省公安厅、省国家安全厅、省财政厅、省人社厅、省新闻出版广电局、省国家保密局、省国家密码管理局、省国税局、省通信管理局、省证监局、省银监局、省保监局等。在应急响应工作中要充分的发挥网信、公安、国安、电信、通信管理、保密、密码管理、广播电视、电子政务、信息中心等部门的作用。

  成立省网络安全应急办公室（简称“省网络安全应急办”），建议设在省委网信办。负责网络安全应急跨部门、跨地区协调工作和省指挥部的事务性工作，组织指导省网络安全应急技术队伍做好支撑工作，必要时可联系国家网络安全应急技术支撑队伍和相关省（区、市）网络安全应急部门予以协助和支援。同时，建立动态应急联系名单机制，明确组成人员在网络安全事件中的职责分工。根据真实的情况及时来更新成员状况和联系方式，确保应急成员在网络安全事件发生时联系得到、用得上。

  各部门职责主要是指省委、省政府各部门，要按照职责和权限，制订本部门网络安全事件应急预案，建立网络安全事件应急联系名单，分工负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。对于本部门发生的较大以上网络安全事件，应在规定时间内向省网络安全应急办报告。

  各省辖市、省直管县（市）网信部门在本地党委网络安全和信息化领导小组统一领导下，制订本地网络安全事件应急预案，统筹协调本地网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。对于本地发生的较大以上网络安全事件，应在规定时间向省网络安全应急办报告。

  专家咨询和技术上的支持机构，建议省应急办负责组建处置网络安全事件专家咨询组，为处置网络安全事件提供决策咨询建议和技术支持。

  应急响应预案最重要的包含预防、监测机制、预警分级、预警发布、预警响应和预警解除。

  预防策略包括分析安全风险、准备应急处置措施，建立网络安全事件的监测体系，控制有害信息的传播，预先制定信息安全重大事件的通报机制。

  在监测上，按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作，建设和管理网络安全监测和信息通报机制或平台。将重要监测信息报省网络安全应急办，省网络安全应急办组织并且开展跨地区、跨部门的网络安全信息共享。

  在预警分级上，预警级别分为4级：Ⅰ级（很严重）、Ⅱ级（严重）、Ⅲ级（较重）和Ⅳ级（一般），依次用红色、橙色、黄色和蓝色表示。建议各单位从实际方面出发，通过数量和是否扩散性角度来分级。

  Ⅰ级预警（红色）：指发现新的网络与信息安全威胁，可能会影响所有网络和重要信息系统，并有扩散到全国的可能性。Ⅱ级预警（橙色）：指发现新的网络与信息安全威胁，可能会影响基础运营网络或2个以上重要信息系统的全部业务，并有继续扩散的可能性。Ⅲ级预警（黄色）：指发现新的网络与信息安全威胁，可能会影响1～2个基础运营网络或1～2个重要信息系统的全部业务，无扩散性。Ⅳ级预警（蓝色）：指发现新的网络与信息安全威胁，可能部分影响1个基础运营网络或影响1～2个重要信息系统的部分业务，无扩散性。

  在预警机制建设上，要制度化流程化。进入预警期后，有关地区和单位立即采取预防措施，检查可能受一定的影响的信息系统，做好相关安全漏洞的修复工作。及时掌握本地区、本单位网络与信息系统安全状况，并将最新情况及时报应急办。根据事件性质，通知相关应急处置支持队伍处于应急待命状态，并保障所需的应急设备和网络资源处于随便什么时间都能调用状态。同时每小时向应急办报告最新情况。

  在预警发布上，省网络安全应急办组织研判，初步判定为红色预警时，由省应急办及时报国家网络安全应急办公室，经国家网络安全应急办公室确认并发布红色预警；如果判定为橙色预警，由省应急办确定和发布；各省辖市（省直管县）、各部门可根据研判情况，发布本地、本行业的黄色及蓝色预警。省网络安全应急办组织研判，确认和发布涉及省内多地、多部门、多行业的预警。预警信息包括事件的类别、预警级别、起始时间、可能会影响范围、警示事项、应采取的措施和时限要求、发布机关等。

  在预警响应上，重点是关注各角色的作用和职责、响应策略。核心是组织领导和响应处置，针对预警信息研究制定应对方案，检查应急设备、软件工具等，确保处在良好状态。

  预警发布部门或地根据真实的情况，应确定是不是解除预警，及时发布预警解除信息，从而解除预警。

  应急处置流程最重要的包含事件分类与定级、事件报告、事件通报、应急响应、应急处置和后期处置等工作。

  在事件分类和定级上，依据国家标准按照7类事件、4级别给出具体的定义，做好网络安全事件的分类分级工作。各单位在制定Ⅰ级（特大）、Ⅱ级（重大）、Ⅲ级（较大）、Ⅳ级（一般）网络安全事件时，建议在国家分级的基础上，从定量角度进行考虑。如信息系统中断运行2小时之后、影响公共用户数100万人以上，导致10亿元以上的经济损失划到特大网络安全事件中。信息系统中断运行30分钟以上、影响公共用户数10万人以上，导致1亿元以上的经济损失划到重大网络安全事件中。

  在事件报告上，任何单位和个人都有义务向省委网信办及省内各级网络安全事件应急指挥机构报告网络与信息安全事件及其隐患。网络安全事件发生后，事发单位应立即启动应急预案，弄清网络安全事件详细情况，实施处置并及时报送信息。对于较大以上或暂时无法判明等级的事件，事发单位应立即将事件简要情况及联系人通过电话、传真等上报主管部门、监管部门和省网络安全应急办。上报事件的信息一般来说包括以下要素：报告的时间、地点、单位、报告人及联系方式、签发人及联系方式，事件发生时间及地点，发生事件的网络与信息系统名称及运营使用管理单位、地点、简要过程、信息源自、事件类型及性质、危害和损失程度、影响单位及业务、事件发展的新趋势、采取的处置措施及效果、需要协助处置的情况等。

  在信息通报上，要建立标准化的流程，要有申请-审批机制。应急办或者通报机构依据危害性和紧急程度，适时在一些范围内，发布网络与信息安全事件预警信息。预警级别可视网络与信息安全事件的发展形态趋势和处置进展情况作出调整。其中，Ⅰ级、Ⅱ级预警信息发布同时要上报。一般或较大网络安全事件信息发布工作，由应急办负责。重大或特大网络安全事件信息发布工作，由政府新闻办负责。

  在应急响应上，最重要的包含启动指挥体系、进入应急状态、部署应急处置工作或支援保障工作，24小时值班，并派员参加省网络安全应急办工作，跟踪事态发展，检查影响区域，及时将事态发展变动情况、处置进展情况报省网络安全应急办。立即全方面了解本部门主管范围内的网络和信息系统是否受到事件的波及或影响，并将有关情况及时报省网络安全应急办。及时通报情况，及时开展调查取证等。

  在应急处置上，要建立制度，制定工作流程，在接报后，立即评估事件影响和可能波及的范围，研判事件发展形态趋势，根据自身的需求，组织各专业机构在职责范围内参与网络安全事件的先期处置，并向应急办报告现场动态信息。必要时，由应急办牵头成立由网络安全应急管理事务中心、事发单位、主管机构负责人和相关信息安全专家组成的现场处置工作组，具体负责现场应急处置工作。

  一般、较大网络安全事件发生后，事发单位应在第一时间实施即时处置，控制事态发展。应急办会同应急联动中心组织协调相关部门、单位和专业机构以及事发地区政府调度所需应急资源，协助事发单位开展应急处置。一旦事态仍不能得到一定效果控制，由应急办报请应急协调小组决定调整应急响应等级和范围，启动相应应急措施。必要时，由应急协调小组统一指挥网络安全事件的处置工作。

  重大、特大网络安全事件发生后，由应急办会同应急联动中心组织事发地区政府和相关专业机构及单位联动实施先期处置。一旦事态仍不能得到一定效果控制，视情将应急协调小组转为应急处置指挥部，统一指挥、协调相关的单位和部门实施应急处置。

  封锁。对扩散性较强的网络安全事件，立即切断其与网络的连接，保障总系统的可用性，防止网络安全事件扩散。

  缓解。采取比较有效措施，缓解网络安全事件造成的影响，保障系统的正常运行，尽可能降低网络安全事件带来的损失。

  消除和恢复。根据事件处置效果，采取对应措施，消除事件影响；及时对系统来进行检查，排除系统隐患，以免再次发生同类型事件，并恢复受侵害系统运行。

  在后期处置上，网络安全事件处置后，应急办负责会同事发单位和相关部门对网络安全事件的起因、性质、影响、损失、责任和经验教训等进行调查和评估。

  从人力保障、物质保障、技术保障角度落实。人力保障，首先要建立本地的应急响应团队、技术服务人员团队、专家咨询团队、设立专门机构和岗位负责应急响应。物质保障核心要确保经费、做好应急处置过程的储备物质清单并报应急办备案。技术保障上，网信部门、信息化部门、通信管理部门、文广影视部门、无线电管理部门等部门要建立有线和无线相结合、基础电信网络与机动通信系统相配套的应急通信系统，确保应急处置时通信畅通。

  宣传教育和培训，将网络安全突发事件的应急管理、工作流程等列为培训内容，增强应急处置工作中的组织能力。加强对网络安全突发事件的技术准备培训，提高技术人员的防范意识及技能。网络安全类突发事件应急处置工作组每年至少开展一次信息网络安全教育，提高信息安全防范意识和能力。

  预案演练，建立健全各类网络安全事件预案演练，网络安全类突发事件应急处置工作组每年至少安排一次演练，建立应急预案定期演练制度。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。

  责任与奖惩，按照预案的要求，网络安全类突发事件应急处置工作组不定期对各项制度、计划、方案、人员及物资等进行全方位检查，对在突发信息网络时间应急处置中作出突出贡献的集体和个人，提出表彰奖励建议；对玩忽职守，造成不好影响或难以处理的后果的，依法依规提出处理意见建议，并追究其责任。