信息安全事件應(yīng)急處理預(yù)案.docx

信息安全事件應(yīng)急處理預(yù)案1 目的規(guī)范業(yè)務(wù)信息安全事件的應(yīng)急管理和應(yīng)急相應(yīng)程序，及時有效地應(yīng)急處理工作，最大程度地減少信息安全事件對公司業(yè)務(wù)的影響，提高業(yè)務(wù)系統(tǒng)應(yīng)急處理能力，保證業(yè)務(wù)信息安全，維護社會穩(wěn)定，特制定信息安全事件應(yīng)急處理預(yù)案。2 適用范圍本預(yù)案針對現(xiàn)有IPTV增值業(yè)務(wù)信息安全事件的應(yīng)急管理和應(yīng)急處置工作3 定義和縮寫3.1 信息安全事件定義：指由于業(yè)務(wù)系統(tǒng)處理能力不足、系統(tǒng)軟硬件運行異常、軟件系統(tǒng)遭遇病毒入侵、黑客惡意破壞與入侵、電力系統(tǒng)故障、網(wǎng)絡(luò)與通訊系統(tǒng)故障等導(dǎo)致業(yè)務(wù)信息系統(tǒng)運行產(chǎn)生異常，在此階段需要采取應(yīng)急處理措施的事件。3.2 信息安全基礎(chǔ)分類：3.2.1 有害程序破壞事件：非法蓄意制造并傳播有害程序?qū)е聵I(yè)務(wù)系統(tǒng)受到有害程序的影響導(dǎo)致的信息安全事件；3.2.2 網(wǎng)絡(luò)黑客攻擊事件：不法分子通過網(wǎng)絡(luò)或其他技術(shù)手段，利用業(yè)務(wù)系統(tǒng)的配置缺陷，協(xié)議缺陷、程序漏洞等或使用暴力攻擊對業(yè)務(wù)系統(tǒng)實施攻擊，并造成業(yè)務(wù)系統(tǒng)異常或?qū)I(yè)務(wù)系統(tǒng)運行造成潛在危害的信息安全事件：3.2.3 信息破壞事件：不法分子通過網(wǎng)絡(luò)或其他技術(shù)手段，造成業(yè)務(wù)系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而導(dǎo)致的信息安全事件；3.2.4 信息內(nèi)容安全事件：利用業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益內(nèi)容的安全事件；3.2.5 業(yè)務(wù)設(shè)備故障：由于業(yè)務(wù)系統(tǒng)自身故障或外圍保障設(shè)備故障而導(dǎo)致的信息安全事件，以及人為因素的使用非技術(shù)手段有意或無意的對業(yè)務(wù)系統(tǒng)造成破壞而導(dǎo)致的信息安全事件；3.2.6 災(zāi)害性事件：由于不可抗力對業(yè)務(wù)系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件；3.2.7 其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。4 工作原則統(tǒng)一管理，各部門協(xié)同配合。信息安全突發(fā)事件應(yīng)急工作由應(yīng)急指揮中心統(tǒng)一領(lǐng)導(dǎo)和工作協(xié)調(diào)協(xié)調(diào)，督促各個部門在信息安全應(yīng)急事件發(fā)生是能夠做到“責(zé)任明確、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合、具體實施，完善應(yīng)急工作體系和機制。 明確責(zé)任，依法規(guī)范。按照“責(zé)任主體管理方式、實行分級響應(yīng)、及時發(fā)現(xiàn)、及時報告、及時救治、及時控制”的要求，依法對信息安全突發(fā)事件進行防范、監(jiān)測、預(yù)警、報告、響應(yīng)、指揮和協(xié)調(diào)、控制。按照“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)”的原則，實行責(zé)任制和責(zé)任追究制。 防范為主，加強信息安全監(jiān)控。宣傳普及信息安全防范知識，貫徹預(yù)防為主的思想，樹立常備不懈的觀念，經(jīng)常性地做好應(yīng)對信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)性事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。5 信息安全事件應(yīng)急指揮中心：根據(jù)工作需要，成立針對業(yè)務(wù)處信息安全事件應(yīng)急指揮中心，統(tǒng)一指揮事件的處理工作。5.1 職責(zé)與權(quán)限崗位職責(zé)應(yīng)急指揮中心1. 統(tǒng)一領(lǐng)導(dǎo)、指揮、協(xié)調(diào)處置突發(fā)的信息安全事件2. 決定啟動或終止信息系統(tǒng)災(zāi)難級事件的應(yīng)急預(yù)案 3. 確定有關(guān)部門應(yīng)急處置工作職責(zé)及分工 4. 決定事件處置決策和應(yīng)對措施指揮、協(xié)調(diào)有關(guān)部門組織實施5. 決定事件的信息發(fā)布、媒體接觸等事項6. 對在預(yù)防和處置信息安全事件工作中因失職、瀆職或其他原因造成嚴(yán)重后果的責(zé)任單位和責(zé)任人員，提請有關(guān)部門按照公司規(guī)章制度追究其責(zé)任7. 研究解決事件處置過程中的其他重大事項。應(yīng)急現(xiàn)場小組1. 具體組織實施現(xiàn)場技術(shù)業(yè)務(wù)系統(tǒng)恢復(fù)和信息資產(chǎn)保全工作2. 協(xié)助業(yè)務(wù)部門實施業(yè)務(wù)連續(xù)性保障工作 3. 對現(xiàn)場事態(tài)發(fā)展及處置情況及時向公司及外部單位報告4. 負(fù)責(zé)現(xiàn)場處置工作的總結(jié)、報告6 工作程序 6.1 預(yù)防與預(yù)警機制 6.1.1 預(yù)防機制詳細(xì)預(yù)案編制 各部門應(yīng)結(jié)合本部門實際情況制定全面、切實可行的具體應(yīng)急處理詳細(xì)步驟規(guī)范應(yīng)急處理的操作流程，提高應(yīng)急處理能力。其中，業(yè)務(wù)部署環(huán)境中心機房的預(yù)案應(yīng)涵蓋中心機房業(yè)務(wù)服務(wù)器主備機切換、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、冗余備份失效等方面的各種應(yīng)急情況。包括應(yīng)急處理的具體實施步驟、檢驗方法、實施時間等要素。預(yù)防性維護測試 業(yè)務(wù)部分和各分相關(guān)部門按照應(yīng)急指揮中心統(tǒng)一制定的月、季度、年度的應(yīng)急演練和預(yù)防性維護測試記錄表單進行日常預(yù)防性維護工作，并做好書面的記錄和總結(jié)。進行預(yù)防性維護測試時，主要檢驗備份設(shè)備以及切換流程是否正常和可操作，或者對可能導(dǎo)致風(fēng)險的關(guān)鍵點進行設(shè)備檢查，保證設(shè)備的正常進行。6.1.2 日常運行監(jiān)測與預(yù)警機制 機房實行724小時值班制度，隨時響應(yīng)公司內(nèi)的信息安全事件。主機、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)安排專崗負(fù)責(zé)監(jiān)控，詳細(xì)記錄、統(tǒng)計系統(tǒng)運行狀況形成報表方便匯總、查詢。采用智能圖像化監(jiān)控管理系統(tǒng)監(jiān)控服務(wù)器狀態(tài)、用戶并發(fā)、資源利用等情況，通過報警功能及時查找業(yè)務(wù)問題。6.1.3 重要、敏感時期的預(yù)防和預(yù)警機制 在重要、敏感時期，為維護業(yè)務(wù)穩(wěn)定開展和加強信息系統(tǒng)安全工作，加強全體員工的法律意識和安全意識教育，制定重要、敏感時期的應(yīng)急預(yù)案做到發(fā)現(xiàn)問題及時處理提高業(yè)務(wù)系統(tǒng)的應(yīng)急處理能力，堅持重要、敏感時期的24小時值班制度，保證與上級主管部門、關(guān)鍵業(yè)務(wù)與設(shè)備服務(wù)商和當(dāng)?shù)毓矙C關(guān)的熱線聯(lián)系，積極做好各種風(fēng)險防范工作。6.2 信息安全事件的應(yīng)急響應(yīng)信息安全事件分為一般、緊急、重大以及災(zāi)難，共四個等級1) 一般：指能夠?qū)е螺^小影響或破壞的信息安全事件2) 緊急：指能夠?qū)е螺^嚴(yán)重影響或破壞的信息安全事件3) 重大：指能夠?qū)е聡?yán)重影響或破壞的信息安全事件4) 災(zāi)難：指能夠?qū)е绿貏e嚴(yán)重影響或破壞的信息安全事件6.2.1 預(yù)案應(yīng)急處理機制鑒別事件類別與事件等級，確定信息安全事件來源，保護證據(jù)，以便縮短應(yīng)急響應(yīng)時間。 檢查威脅造成的結(jié)果，評估事件帶來的影響和損害：如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進入，損失的程度，確定暴露出的主要危險等。 抑制事件的影響進一步擴大，限制潛在的損失與破壞?？赡艿囊种撇呗砸话惆ǎ宏P(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網(wǎng)絡(luò)的通路，提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別，設(shè)置陷阱，啟用緊急事件下的接管系統(tǒng)，實行特殊“防衛(wèi)狀態(tài)”安全警戒，反擊攻擊者的系統(tǒng)等。 根除。在事件被抑制之后，通過對有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補救措施并徹底清除。與此同時，執(zhí)法部門和其他相關(guān)機構(gòu)將對攻擊源進行定位并采取合適的措施將其中斷。 清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系