信息安全應(yīng)急預案

精品文檔信息網(wǎng)絡(luò)安全應(yīng)急預案第一章 總則一、編制目的為提高*處置網(wǎng)絡(luò)安全突發(fā)事件的能力，形成科學、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大程度地預防和減少網(wǎng)絡(luò)安全突發(fā)事件及其造成的損害，特制定本預案。二、編制依據(jù)依據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例、中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法等有關(guān)法規(guī)文件精神。三、分類分級本預案所稱網(wǎng)絡(luò)安全突發(fā)事件，是指*網(wǎng)絡(luò)信息系統(tǒng)突然遭受不可預知外力的破壞、毀損、故障，發(fā)生對國家、社會、企業(yè)安全造成或可能造成重大危害，危及公共安全的緊急事件。1事件分類根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)、機理和發(fā)生過程，網(wǎng)絡(luò)與信息安全突發(fā)事件主要分為以下三類：（1）自然災害。指地震、臺風、雷電、火災、洪水等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。（2）事故災難。指電力中斷、網(wǎng)絡(luò)損壞或是軟件、硬件設(shè)備故障等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。（3）人為破壞。指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施，黑客攻擊、病毒攻擊、恐怖襲擊等引起的網(wǎng)絡(luò)信息系統(tǒng)的故障。2. 事件分級根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性、嚴重程度和影響范圍，一般分為四級：級（特別重大）、級（重大）、級（較大）和級（一般）。（1）I級（特別重大）、級（重大）。重要網(wǎng)絡(luò)信息系統(tǒng)發(fā)生全局大規(guī)模癱瘓，事態(tài)發(fā)展超出*的控制能力，需要由集團公司信息網(wǎng)絡(luò)安全應(yīng)急小組協(xié)調(diào)解決，對國家安全、社會秩序、經(jīng)濟建設(shè)和公共利益造成特別嚴重損害的信息網(wǎng)絡(luò)安全突發(fā)事件。（2）級（較大）。某一部分的重要網(wǎng)絡(luò)信息系統(tǒng)癱瘓，對保障企業(yè)安全生產(chǎn)重要監(jiān)測監(jiān)控系統(tǒng)造成一定影響,有可能發(fā)生安全事故,但在*控制之內(nèi)的突發(fā)事件。（3）級（一般）。某節(jié)點的網(wǎng)絡(luò)或網(wǎng)絡(luò)終端發(fā)生故障,影響部分用戶使用的網(wǎng)絡(luò)事件。四、適用范圍本預案是*信息網(wǎng)絡(luò)安全的專項預案，適用于*發(fā)生或可能導致發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急處置工作第二章 組織機構(gòu)及職責分工一、組織體系成立*信息網(wǎng)絡(luò)安全領(lǐng)導小組，組長由*擔任，副組長由*擔任。成員包括：*。二、工作職責1研究提出信息網(wǎng)絡(luò)安全應(yīng)急機制建設(shè)規(guī)劃，檢查、指導和督促網(wǎng)絡(luò)與信息安全應(yīng)急機制建設(shè)。指導督促重要信息系統(tǒng)應(yīng)急預案的修訂和完善，檢查落實預案執(zhí)行情況。2發(fā)生I級、級、級信息網(wǎng)絡(luò)安全突發(fā)事件后，決定啟動本預案，組織應(yīng)急處置工作。如信息網(wǎng)絡(luò)安全突發(fā)事件屬于I級、級的，向集團公司有關(guān)部門通報并協(xié)調(diào)配合處理。3指導應(yīng)對信息網(wǎng)絡(luò)安全突發(fā)事件的科學研究、預案演習、宣傳培訓，督促應(yīng)急保障體系建設(shè)。4及時收集信息網(wǎng)絡(luò)安全突發(fā)事件相關(guān)信息，分析重要信息并提出處置建議。對可能演變?yōu)镮級、級、級的網(wǎng)絡(luò)與信息安全突發(fā)事件，應(yīng)及時向領(lǐng)導小組提出啟動本預案的建議。5負責提供技術(shù)咨詢、技術(shù)支持，參與重要信息的研判，信息網(wǎng)絡(luò)安全突發(fā)事件的調(diào)查和總結(jié)評估工作，進行應(yīng)急處置工作。第三章 監(jiān)測、預警和先期處置一、信息監(jiān)測與報告1要進一步完善信息網(wǎng)絡(luò)安全突發(fā)事件監(jiān)測、預測、預警制度。按照“早發(fā)現(xiàn)、早報告、早處置”的原則，加強對各類信息網(wǎng)絡(luò)安全突發(fā)事件和可能引發(fā)信息網(wǎng)絡(luò)安全突發(fā)事件的有關(guān)信息的收集、分析判斷和持續(xù)監(jiān)測。當發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事件時，在按規(guī)定向有關(guān)部門報告的同時，按緊急信息報送的規(guī)定及時向礦領(lǐng)導匯報，匯報內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā)展趨勢和采取的措施等。2建立24小時值班制度，避免因信息網(wǎng)絡(luò)安全突發(fā)事件發(fā)生后，必要的信息通報與指揮協(xié)調(diào)通信渠道中斷。3每周應(yīng)總結(jié)信息網(wǎng)絡(luò)安全自查工作情況：（1）惡意人士利用我局網(wǎng)絡(luò)從事違法犯罪活動的情況。（2）網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常，網(wǎng)絡(luò)和信息系統(tǒng)癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失等情況。（3）網(wǎng)絡(luò)恐怖活動的嫌疑情況和預警信息。（4）網(wǎng)絡(luò)安全狀況、安全形勢分析預測等信息。（5）其他影響網(wǎng)絡(luò)與信息安全的信息。二、預警處理與預警發(fā)布1對于可能發(fā)生或已經(jīng)發(fā)生的信息網(wǎng)絡(luò)安全突發(fā)事件，系統(tǒng)管理員應(yīng)立即采取措施控制事態(tài)，并在2小時內(nèi)進行風險評估，判定事件等級并發(fā)布預警。必要時應(yīng)啟動相應(yīng)的預案，同時向信息安全領(lǐng)導小組匯報。2領(lǐng)導小組接到匯報后應(yīng)立即組織現(xiàn)場救援，查明事件狀態(tài)及原因，技術(shù)人員應(yīng)及時對信息進行技術(shù)分析、研判，根據(jù)問題的性質(zhì)、危害程度，提出安全警報級別。三、先期處置1當發(fā)生信息網(wǎng)絡(luò)安全突發(fā)事件時，及時做好先期應(yīng)急處置工作并立即采取措施控制事態(tài)，必要時采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進一步擴大，同時向信息網(wǎng)絡(luò)安全領(lǐng)導小組通報。2信息網(wǎng)絡(luò)安全領(lǐng)導小組在接到信息網(wǎng)絡(luò)安全突發(fā)事件發(fā)生或可能發(fā)生的信息后，應(yīng)加強與有關(guān)方面的聯(lián)系，掌握最新發(fā)展態(tài)勢。對有可能演變?yōu)榧壭畔⒕W(wǎng)絡(luò)安全突發(fā)事件，技術(shù)人員提出建議方案，并作好啟動本預案的各項準備工作。信息安全領(lǐng)導小組根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)展態(tài)勢，視情況決定現(xiàn)場指導、組織設(shè)備廠商或系統(tǒng)集成商應(yīng)急支援力量，做好應(yīng)急處置工作。對有可能演變?yōu)榧壔騃級的信息網(wǎng)絡(luò)安全突發(fā)事件，要根據(jù)集團公司的要求，上報集團公司有關(guān)部門，趕赴現(xiàn)場指揮、組織應(yīng)急支援力量，積極做好應(yīng)急處置工作。第四章 應(yīng)急處置一、應(yīng)急指揮1本預案啟動后，領(lǐng)導小組要迅速建立與現(xiàn)場通訊聯(lián)系。抓緊收集相關(guān)信息，掌握現(xiàn)場處置工作狀態(tài)，分析事件發(fā)展趨勢，研究提出處置方案，調(diào)集和配置應(yīng)急處置所需要的人、財、物等資源，統(tǒng)一指揮信息網(wǎng)絡(luò)安全應(yīng)急處置工作。2需要成立現(xiàn)場指揮部的，立即在現(xiàn)場開設(shè)指揮部，并提供現(xiàn)場指揮運作的相關(guān)保障?，F(xiàn)場指揮部要根據(jù)事件性質(zhì)迅速組建各類應(yīng)急工作組，開展應(yīng)急處置工作。二、應(yīng)急處置在信息安全事件發(fā)生時，技術(shù)人員應(yīng)對事件進行動態(tài)監(jiān)測、評估，及時將事件的性質(zhì)、危害程度和損失情況及處置工作等情況及時報領(lǐng)導小組，屬于I級、級信息安全事件的，同時報礦調(diào)度。根據(jù)自然事件或人為破壞這兩種情況把應(yīng)急處置方法分為兩個流程。 流程一：當發(fā)生的信息安全事件為自然安全事件時，應(yīng)根據(jù)當時的實際情況，在保障人身安全的前提下，首先保障數(shù)據(jù)的安全，然后是設(shè)備安全。具體方法包括：硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。 流程二：當人為或病毒破壞的信息安全事件發(fā)生時，具體按以下順序進行：判斷破壞的來源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定破壞來源的IP或其它網(wǎng)絡(luò)用戶信息，修復被破壞的信息，恢復信息系統(tǒng)。按照信息安全事件發(fā)生的性質(zhì)分別采用以下方案：(1)病毒傳播：針對這種現(xiàn)象，要及時斷開傳播源，判斷病毒的性質(zhì)、采用的端口，然后關(guān)閉相應(yīng)的端口，公布病毒攻擊信息以及防御方法。 (2)入侵：對于網(wǎng)絡(luò)入侵，首先要判斷入侵的來源，區(qū)分外網(wǎng)與內(nèi)網(wǎng)。入侵來自外網(wǎng)的，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵地IP地址的訪問，在無法制止的情況下可以采用斷開網(wǎng)絡(luò)連接的方法。入侵來自內(nèi)網(wǎng)的，查清入侵來源，如IP地址、上網(wǎng)帳號等信息，同時斷開對應(yīng)的交換機端口。然后針對入侵方法建設(shè)或更新入侵檢測設(shè)備。 (3)信息被篡改：這種情況，要求一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復。 (4)網(wǎng)絡(luò)故障：一旦發(fā)現(xiàn)，可根據(jù)相應(yīng)工作流程盡快排除。 (5)其它沒有列出的不確定因素造成的網(wǎng)絡(luò)安全事件，可根據(jù)總的安全原則，結(jié)合具體的情況，做出相應(yīng)的處理。不能處理的可以請示相關(guān)的專業(yè)人員。三、擴大應(yīng)急 經(jīng)應(yīng)急處置后，事態(tài)難以控制或有擴大發(fā)展趨勢時，應(yīng)實施擴大應(yīng)急行動。要迅速召開信息安全工作領(lǐng)導小組會議，根據(jù)事態(tài)情況，研究采取有利于控制事態(tài)的非常措施，并向集團公司信息網(wǎng)絡(luò)安全應(yīng)急小組請求支援。四、應(yīng)急結(jié)束信息網(wǎng)絡(luò)安全突發(fā)事件經(jīng)應(yīng)急處置后，得到有效控制，將各監(jiān)測統(tǒng)計數(shù)據(jù)報信息安全工作領(lǐng)導小組，提出應(yīng)急結(jié)束的建議，經(jīng)領(lǐng)導批準后實施。五、后期處置在應(yīng)急處置工作結(jié)束后，信息安全工作領(lǐng)導小組應(yīng)立即組織有關(guān)人員和專家組成事件調(diào)查組，對事件發(fā)生及其處置過程進行全面的調(diào)查，查清事件發(fā)生的原因及財產(chǎn)損失狀況和總結(jié)經(jīng)驗教訓，寫出調(diào)查評估報告。第五章 應(yīng)急保障一、通信與信息保障領(lǐng)導小組各成員應(yīng)保證電話24小時開機，以確保發(fā)生信息安全事故時能及時聯(lián)系到位。二、應(yīng)急裝備保障各重要信息系統(tǒng)在建設(shè)系統(tǒng)時應(yīng)事先預留出一定的應(yīng)急設(shè)備，做好信息網(wǎng)絡(luò)硬件、軟件、應(yīng)急救援設(shè)備等應(yīng)急物資儲備工作。在網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生時，由領(lǐng)導小組負責統(tǒng)一調(diào)用。三、數(shù)據(jù)保障重要信息系統(tǒng)建立容災備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在受到破壞后，可緊急恢復。四、應(yīng)急隊伍保障按照一專多能的要求建立網(wǎng)絡(luò)與信息安全應(yīng)急保障隊伍。由集團公司信息中心、獲得國家有關(guān)部門資質(zhì)認可的與*有密切業(yè)務(wù)聯(lián)系且服務(wù)能力較強的企業(yè)作為*網(wǎng)絡(luò)與信息安全的社會應(yīng)急支援單位，提供技術(shù)支持與服務(wù)。五、交通運輸保障確定信息網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急交通工具，確保應(yīng)急期間人員、物資、信息傳遞的需要，并根據(jù)應(yīng)急處置工作需要，由領(lǐng)導小組統(tǒng)一調(diào)配。六、經(jīng)費保障網(wǎng)絡(luò)信息系統(tǒng)突發(fā)公共事件應(yīng)急處置資金，應(yīng)列入年度工作經(jīng)費預算，切實予以保障。第六章 責任追究一 、問責原則1、分級處理原則：根據(jù)網(wǎng)絡(luò)安全違規(guī)的性質(zhì)，以及造成的后果確定問責處理等級，分級處理，對觸犯法律法規(guī)的，報送司法機關(guān)處理。2、主管承擔管理責任原則：違規(guī)行為發(fā)生時的違規(guī)人直接管理者和間接管理者若存在管理不力或知情不作為等情形的，違規(guī)人的直接管理者和間接管理者須承擔管理責任。3、共同責任原則：事件前違規(guī)與事件后不配合信息安全工作領(lǐng)導小組指揮的承擔的責任應(yīng)相同。二、違規(guī)直接責任人的問責等級問責等級信息網(wǎng)絡(luò)安全違規(guī)情節(jié)問責措施一級造成重大危機事件、重大損失、重大隱患、重大風險的