9.2 實施階段

9.2.1 演練啟動

檢查演練各環節準備到位后，由管理部門派員或指揮機構宣布演練開始，啟動演練活動。

對演練實施全過程的指揮控制，隨時掌握演練進展情況，按照演練方案要求對安全事件的發現及處置進展情況向指揮機構報告。

視情對演練過程進行解說。解說內容宜包括演練背景描述、進程講解、案例介紹、環境渲染等。

各參演機構按照演練方案開始進行應急演練。

9.2.2 安全事件模擬

演練實施過程中，根據演練指令，按照演練方案開展安全事件模擬。安全事件模擬分為如下現象模擬和機理模擬：

a)現象模擬：通過可控的方法復現出安全事件在設備、網絡、服務等方面表現出的現象；

b)機理模擬：在演練場景中通過可控的方式真實觸發安全事件。

9.2.3 演練執行

9.2.3.1 綜述

安全事件演練執行具體步驟分為監測預警、事件研判、事件通告、事件處置、系統確認五個階段。

9.2.3.2 監測預警

實時監測風險信息，將有效信息上報；組織專家進行研判，根據應急預案的要求，確定預警等級，發布預警信息。

9.2.3.3 事件研判

監測或直接發現安全事件，宜對安全事件進行評估，確定安全事件的類別、級別，啟動安全事件全面監測措施。

9.2.3.4 事件通告

根據演練場景要求模擬進行組織內信息通報、組織外信息通報、信息上報和信息披露。

9.2.3.5 事件處置

宜依據安全事件發展態勢，快速分析評估安全事件，形成處置方案。現場處置方案宜參考安全事件應急預案，并依據具體情況做適當選擇。

依據處置方案，實施現場應急處理，消除網絡安全隱患及威脅，抑制安全事件影響。

依據處置方案，實施恢復操作。恢復操作宜包括建立臨時業務處理能力、修復原系統的損害、在原系統或新設施中恢復運行業務能力等應急措施。實施組恢復復雜系統時，恢復順序宜反映出系統允許的中斷時間，以避免對相關系統及業務的重大影響。

9.2.3.6 系統確認

確認參演系統恢復正常并向指揮機構報告，模板參見B.6。

9.2.4 演練記錄

演練實施過程中，評估人員按照演練方案采用文字、腳本、照片和音像等手段開展評估素材采集。

文字記錄宜包括演練實際開始與結束時間、演練過程控制情況、各項演練活動中參演人員的表現、意外情況及其處置等內容。腳本宜包括應急處置效果驗證和處置現場數據的采集等內容。照片和音像記錄應在不同現場、不同角度進行拍攝，盡可能全方位反映演練實施過程，模板參見B.7。

9.2.5 演練結束與終止

網絡安全事件處置結束后，指揮機構宣布演練執行過程結束，所有人員停止應急處置活動。在確認參演系統恢復正常后，指揮機構做簡短總結，宣布演練實施階段結束，并對演練過程進行點評。

演練實施過程中出現下列情況，經指揮機構或管理部門決定，可提前終止演練：

a)出現真實突發事件，需要參演人員參與應急處置時，要終止演練，使參演人員迅速回歸其工作崗位，履行應急處置職責；

b)出現特殊或意外情況，短時間內不能妥善處理或解決時，可提前終止演練。