企業(yè)信息安全事件專項應(yīng)急預(yù)案

11/2011/20XX公司信息安全事件專項應(yīng)急預(yù)案目錄TOC\o"1-5"\h\z1總則12目的13安全事件類型及風(fēng)險分析13.1機(jī)房安全事件13.2網(wǎng)絡(luò)中斷事件23.3數(shù)據(jù)庫系統(tǒng)事件23.4網(wǎng)絡(luò)入侵事件23.5病毒破壞事件23.6重要存儲介質(zhì)失竊事件24應(yīng)急處置基本原則34.1統(tǒng)一領(lǐng)導(dǎo)，分工協(xié)作34.2明確責(zé)任，依法規(guī)范34.3統(tǒng)籌安排，協(xié)調(diào)配合34.4防范為主，加強(qiáng)監(jiān)控44.5快速處理，盡快恢復(fù)45應(yīng)急指揮機(jī)構(gòu)及職責(zé)45.1應(yīng)急指揮領(lǐng)導(dǎo)小組45.2應(yīng)急處置小組55.3專家組56預(yù)警及信息報告66.1預(yù)防與預(yù)警66.2應(yīng)急事件報告66.3信息報告程序76.3.1報告程序及時限76.3.2信息安全事件報告內(nèi)容及要求76.3.3警報等級及具體發(fā)布部門范圍86.3.4報告方式及人員87應(yīng)急響應(yīng)和處置87.1響應(yīng)分級87.1.11級事件87.1.2II級事件97.2響應(yīng)程序97.3處置措施97.3.1網(wǎng)絡(luò)安全事件處置97.3.2機(jī)房安全事件處置118應(yīng)急后期處置139應(yīng)急物資與裝備保障1410應(yīng)急預(yù)案管理1411附則14附錄1：信息安全事件應(yīng)急通訊錄16附錄2：重大突發(fā)信息安全事件報告17版本及修訂歷史181總則為建立健全XX公司信息安全事件應(yīng)急工作機(jī)制，提高應(yīng)對信息安全事件的應(yīng)急處置能力，維護(hù)基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和重要工業(yè)控制系統(tǒng)的安全，保障公司各項科研生產(chǎn)經(jīng)營活動安全、順利開展，特制定本預(yù)案。本預(yù)案適用于XX公司以及所屬各部門、事業(yè)部、專業(yè)公司的信息安全事件應(yīng)急管理。2目的及時掌控突發(fā)信息安全事件，及時協(xié)調(diào)各部門、各事業(yè)部、各專業(yè)公司力量，將突發(fā)事件的危害影響降至最低點。規(guī)范突發(fā)事件上報程序和報告文本。安全事件類型及風(fēng)險分析機(jī)房安全事件指機(jī)房空調(diào)系統(tǒng)、電源系統(tǒng)、服務(wù)器設(shè)備、網(wǎng)絡(luò)及消防等出現(xiàn)重大突發(fā)事件，造成機(jī)房物理環(huán)境或設(shè)備的嚴(yán)重?fù)p害。主要包括:電氣事件：電氣設(shè)備漏電造成電擊傷人，嚴(yán)重的引起火災(zāi)事件；火災(zāi)事件：機(jī)房火災(zāi)造成網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備損毀；電力系統(tǒng)事件：長時間電力故障，備用UPS電源無法繼續(xù)供電，造成機(jī)房網(wǎng)絡(luò)設(shè)備、服務(wù)器停止工作。網(wǎng)絡(luò)中斷事件指造成XX公司骨干網(wǎng)絡(luò)中斷24小時以上、公司國際互聯(lián)網(wǎng)中斷48小時以上的網(wǎng)絡(luò)事件。數(shù)據(jù)庫系統(tǒng)事件數(shù)據(jù)庫系統(tǒng)故障，造成數(shù)據(jù)損壞或丟失，導(dǎo)致應(yīng)用系統(tǒng)無法正常使用，公司重要數(shù)據(jù)泄露造成公司管理、經(jīng)營的負(fù)面影響和重大損失。網(wǎng)絡(luò)入侵事件通過非授權(quán)方式侵入公司信息系統(tǒng)，對相關(guān)信息資產(chǎn)進(jìn)行非授權(quán)監(jiān)聽、調(diào)用、篡改、銷毀等，造成公司管理、經(jīng)營的負(fù)面影響和重大損失。病毒破壞事件指病毒、非預(yù)期程序代碼植入公司信息系統(tǒng)，造成重大破壞。重要存儲介質(zhì)失竊事件指存儲有公司重要數(shù)據(jù)、商業(yè)秘密等信息的各類存儲介質(zhì)的遺失、失竊等，如紙質(zhì)文件資料、硬盤、U盤、光盤等。應(yīng)急處置基本原則本預(yù)案應(yīng)急處置遵循“依靠技術(shù)、加強(qiáng)管理、預(yù)防為主、快速響應(yīng)、及時恢復(fù)”的總原則。另外應(yīng)做到以下幾點：統(tǒng)一領(lǐng)導(dǎo)，分工協(xié)作在XX公司統(tǒng)一領(lǐng)導(dǎo)下，明確各部門、各事業(yè)部、各專業(yè)公司職責(zé)，督促相關(guān)部門遵照“統(tǒng)一領(lǐng)導(dǎo)、歸口負(fù)責(zé)、綜合協(xié)調(diào)、各司其職”的原則，協(xié)同配合，有效地處置突發(fā)事件和應(yīng)急情況。明確責(zé)任，依法規(guī)范XX公司所屬各部門、各事業(yè)部、各專業(yè)公司，要按照“屬地管理、分級響應(yīng)、及時發(fā)現(xiàn)、及時報告、及時救治、及時控制”的要求，依法對信息安全突發(fā)事件進(jìn)行防范、監(jiān)測、預(yù)警、報告、響應(yīng)、指揮、協(xié)調(diào)和控制。統(tǒng)籌安排，協(xié)調(diào)配合統(tǒng)籌安排XX公司所屬各部門、各事業(yè)部、各專業(yè)公司應(yīng)急工作任務(wù)，充分利用公司現(xiàn)有的信息安全服務(wù)設(shè)施和技術(shù)力量。各部門、各事業(yè)部、各專業(yè)公司應(yīng)在明確職責(zé)的基礎(chǔ)上，加強(qiáng)協(xié)調(diào)，密切配合，保障信息安全。防范為主，加強(qiáng)監(jiān)控貫徹預(yù)防為主的思想，樹立常備不懈的觀念，宣傳普及信息安全防范知識，做好應(yīng)對信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機(jī)制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全綜合保障水平?？焖偬幚?，盡快恢復(fù)突發(fā)重大信息安全事件時，能夠及時發(fā)現(xiàn)和預(yù)警，準(zhǔn)確判斷并及時采取有效措施，迅速控制事件影響程度和范圍，確保信息系統(tǒng)盡快恢復(fù)正常，盡可能減少突發(fā)事件給企業(yè)帶來的負(fù)面影響和損失。應(yīng)急指揮機(jī)構(gòu)及職責(zé)應(yīng)急指揮領(lǐng)導(dǎo)小組組長：保密委主任副組長：信息中心主任，公共事業(yè)管理中心主任成員：公司所屬各事業(yè)部、專業(yè)公司主管信息工作領(lǐng)導(dǎo)、集團(tuán)公司保密處、規(guī)劃運營部、辦公室相關(guān)領(lǐng)導(dǎo)職責(zé)：履行應(yīng)急值守、信息技術(shù)支持和綜合協(xié)調(diào)職責(zé)，發(fā)揮運轉(zhuǎn)樞紐作用；組織、協(xié)調(diào)突發(fā)信息安全事件的處置和善后工作；對突發(fā)信息安全事件進(jìn)行事件調(diào)查，并組織事后評估。應(yīng)急處置小組應(yīng)急處置小組為兩級：一級是公司本部；二級是各事業(yè)部、專業(yè)公司。公司本部組長：信息中心主任組員：信息中心全體人員，保密處、辦公室相關(guān)人員，管理中心電力、消防、保衛(wèi)等相關(guān)人員職責(zé)：負(fù)責(zé)公司本部網(wǎng)絡(luò)、二級單位主干網(wǎng)絡(luò)安全事件、本部機(jī)房安全事件、網(wǎng)絡(luò)入侵、重大病毒破壞、數(shù)據(jù)庫安全事件、集團(tuán)級應(yīng)用系統(tǒng)安全事件等的處置。各事業(yè)部、專業(yè)公司組長：各事業(yè)部、專業(yè)公司信息安全負(fù)責(zé)人組員：各事業(yè)部、專業(yè)公司相關(guān)人員職責(zé)：負(fù)責(zé)本單位信息安全事件處置工作。專家組由有關(guān)專家和廠商專業(yè)技術(shù)人員分別組成應(yīng)急處置技術(shù)專家組，為信息安全事件應(yīng)急管理提供決策建議和技術(shù)支持，參加突發(fā)信息安全事件的應(yīng)急處置和事件恢復(fù)工作。預(yù)警及信息報告預(yù)防與預(yù)警危險源監(jiān)控根據(jù)信息安全風(fēng)險辨識結(jié)果，公司各部門、各事業(yè)部、專業(yè)公司要加強(qiáng)對危險源的監(jiān)控，定期對機(jī)房空調(diào)、電源、網(wǎng)絡(luò)、服務(wù)器等設(shè)備進(jìn)行巡檢，可通過軟件等方法對網(wǎng)絡(luò)運行情況進(jìn)行監(jiān)控，信息系統(tǒng)維護(hù)人員加強(qiáng)對各信息系統(tǒng)、數(shù)據(jù)庫運行情況監(jiān)控。預(yù)警行動單位任何人員發(fā)現(xiàn)信息安全相關(guān)情況時，應(yīng)立即報告本部門負(fù)責(zé)人，并力所能及地采取相應(yīng)應(yīng)急措施。本部門負(fù)責(zé)人接到報告后，及時啟動部門現(xiàn)場處置方案，視情況可到現(xiàn)場進(jìn)行查看，并根據(jù)現(xiàn)場處置結(jié)果判定是否需要應(yīng)急預(yù)警。如果需要，應(yīng)報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長，組長通知應(yīng)急處置小組成員做好應(yīng)急所需物資、設(shè)備、人員等準(zhǔn)備。應(yīng)急事件報告突發(fā)事件信息報告分為首報、續(xù)報和終報。首報信息內(nèi)容：突發(fā)事件發(fā)生時間、地點、事件、可能造成的傷亡和影響情況；搶險救援情況。續(xù)報信息內(nèi)容：事發(fā)單位基本情況，事件起因和性質(zhì)、基本過程\影響范圍、事件發(fā)展趨勢、處置情況，請求事項和工作建議。終報信息內(nèi)容：事件基本情況，原因分析，處置過程，形成結(jié)果，責(zé)任劃分與處理、教訓(xùn)與預(yù)防措施。信息報告程序報告程序及時限信息安全突發(fā)事件逐級上報程序及時限要求：現(xiàn)場相關(guān)發(fā)現(xiàn)人員立即報告部門負(fù)責(zé)人-部門負(fù)責(zé)人通知相關(guān)人員開展現(xiàn)場處置，并立即報告應(yīng)急處置小組組長-應(yīng)急處置小組報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長-應(yīng)急指揮領(lǐng)導(dǎo)小組報告地方政府/警務(wù)部門(必要時)。一般網(wǎng)絡(luò)中斷、機(jī)房事件，應(yīng)在60分鐘內(nèi)上報；網(wǎng)絡(luò)入侵、數(shù)據(jù)庫系統(tǒng)事件、重大病毒危害事件、重要存儲介質(zhì)失竊等應(yīng)在30分鐘內(nèi)上報；特殊情況，如出現(xiàn)人員傷亡情況，應(yīng)按公司《突發(fā)公共事件總體應(yīng)急預(yù)案》的要求報告。信息安全事件報告內(nèi)容及要求事件發(fā)生部門/單位、發(fā)生地點、發(fā)生時間；事件現(xiàn)場具體位置和路線，周圍環(huán)境情況；初步說明事件原因、當(dāng)前狀況等；已采取的措施。警報等級及具體發(fā)布部門范圍需要采取I級應(yīng)急響應(yīng)的事件警報為I級，需要采取II級應(yīng)急響應(yīng)的事件警報為II級。僅采取III級應(yīng)急響應(yīng)的事件，不發(fā)布警報。a)I級警報應(yīng)發(fā)布到事件應(yīng)急所有參與部門，并報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長。b)II級警報發(fā)布到事件應(yīng)急部分參與部門，并報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長。報告方式及人員報告人員的通訊、聯(lián)絡(luò)方式見附錄1。應(yīng)急響應(yīng)和處置響應(yīng)分級本預(yù)案管理的事件由高到低分為I級事件、II級事件，以下所稱“以上”均包含本數(shù)。7.1.1I級事件符合下列條件之一的為I級事件：公司全網(wǎng)業(yè)務(wù)中斷；面向研發(fā)、生產(chǎn)的關(guān)鍵服務(wù)器(企業(yè)信息系統(tǒng)、工程平臺等)癱瘓24小時以上；中心機(jī)房發(fā)生火災(zāi)；涉密數(shù)據(jù)泄露造成公司經(jīng)營管理的負(fù)面影響和重大損失；其他造成特別嚴(yán)重社會影響或巨大經(jīng)濟(jì)損失的信息安全事件。11級事件其它事件或由子公司內(nèi)部認(rèn)定的突發(fā)信息安全事件。響應(yīng)程序應(yīng)急指揮原則、應(yīng)急行動檢查、應(yīng)急物資調(diào)配、擴(kuò)大應(yīng)急響應(yīng)原則具體執(zhí)行公司總體應(yīng)急預(yù)案有關(guān)規(guī)定和要求。處置措施網(wǎng)絡(luò)安全事件處置按照網(wǎng)絡(luò)管理分工，相應(yīng)的網(wǎng)絡(luò)安全事件響應(yīng)與處理時間，從發(fā)現(xiàn)到處理完畢，原則上不超過24小時。網(wǎng)絡(luò)安全事件處理流程見下圖：

以下情況屬于一般網(wǎng)絡(luò)故障，原則上各事業(yè)部、專業(yè)公司信息部門自行處理，公司本部各部門由公司信息中心處理。本單位局域網(wǎng)網(wǎng)絡(luò)故障；本單位辦公室內(nèi)的網(wǎng)絡(luò)單點故障。如果二級單位本身無法處理的網(wǎng)絡(luò)故障，可上報公司信息中心給予技術(shù)支持和協(xié)調(diào)解決。機(jī)房安全事件處置機(jī)房電源緊急處理流程如果由于市電中斷報警，機(jī)房負(fù)責(zé)人應(yīng)立即聯(lián)系公司供電保障部門或其他相關(guān)單位，確認(rèn)斷電原因、時間等。如果在短時間內(nèi)無法恢復(fù)供電，應(yīng)及時通知財務(wù)、辦公等應(yīng)用系統(tǒng)負(fù)責(zé)人，作好應(yīng)急關(guān)機(jī)準(zhǔn)備；接到UPS報警，首先報告機(jī)房負(fù)責(zé)人，認(rèn)定故障原因，必要時上報公司主管信息化工作的領(lǐng)導(dǎo)；如UPS出現(xiàn)故障，但服務(wù)器和網(wǎng)絡(luò)設(shè)備等仍通過UPS旁路供電，正常運行，則機(jī)房負(fù)責(zé)人密切監(jiān)視市電情況，并報告信息中心負(fù)責(zé)人，由信息中心通知UPS服務(wù)提供商，對UPS進(jìn)行緊急修復(fù)處理；問題排除后，對機(jī)房內(nèi)設(shè)備逐一檢查，確認(rèn)無誤后，填寫設(shè)備巡檢記錄；按問題的分級，填寫問題記錄日志表，并上報相關(guān)領(lǐng)導(dǎo)。機(jī)房網(wǎng)絡(luò)故障處理流程a)指定的防病毒系統(tǒng))與補丁更新，負(fù)責(zé)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)暢通，負(fù)責(zé)硬件狀態(tài)的監(jiān)控；系統(tǒng)網(wǎng)絡(luò)人員發(fā)現(xiàn)服務(wù)器出現(xiàn)問題，第一時間通知應(yīng)用負(fù)責(zé)人，反之，應(yīng)用負(fù)責(zé)人發(fā)現(xiàn)問題，及時通知系統(tǒng)網(wǎng)絡(luò)負(fù)責(zé)人，協(xié)同查找故障原因，共同解決；如果是硬件問題，首先立即啟用備份服務(wù)器，然后由系統(tǒng)網(wǎng)絡(luò)負(fù)責(zé)人立即聯(lián)系服務(wù)器提供商，徹底解決問題；如果是病毒或網(wǎng)絡(luò)攻擊造成服務(wù)停止，系統(tǒng)網(wǎng)絡(luò)與應(yīng)用負(fù)責(zé)人共同解決問題；如果是應(yīng)用系統(tǒng)故障且無法處理，應(yīng)立即向系統(tǒng)維護(hù)商請求緊急支援，或啟用備用系統(tǒng)。問題解決后，填寫問題記錄日志表，并按問題的級別上報相關(guān)領(lǐng)導(dǎo)。機(jī)房消防處理流程當(dāng)機(jī)房發(fā)現(xiàn)煙、焦糊味等，立即定位問題所在，進(jìn)行必要的斷電與隔離，并及時通知機(jī)房負(fù)責(zé)人與信息中心負(fù)責(zé)人；b)如果問題不嚴(yán)重，通過斷電與隔離消除了危險，通知相應(yīng)的應(yīng)用或設(shè)備負(fù)責(zé)人，處理善后工作，進(jìn)行設(shè)備及系統(tǒng)的檢查，并及時填寫問題記錄日志表與設(shè)備巡檢記錄如果發(fā)生火災(zāi)，當(dāng)火情較小時，使用機(jī)房內(nèi)的二氧化碳滅火器；如果火情較嚴(yán)重，立即報119，通知公司安保部門切斷機(jī)房市電開關(guān)(開關(guān)位置要清楚)和UPS電源輸出開關(guān)，機(jī)房內(nèi)人員撤離，關(guān)閉機(jī)房大門，以免火勢蔓延。數(shù)據(jù)信息安全事件在進(jìn)行事件上報的同時，本著一經(jīng)發(fā)現(xiàn)立即響應(yīng)，將影響降到最低的原則，事件處理流程如下：a)事件一經(jīng)發(fā)現(xiàn)，應(yīng)立即通知應(yīng)用系統(tǒng)管理員、操作系統(tǒng)管理員、數(shù)據(jù)庫管理員到達(dá)現(xiàn)場分析查找原因，準(zhǔn)備進(jìn)行故障恢復(fù)。如果屬于網(wǎng)絡(luò)原因，應(yīng)立即通知網(wǎng)絡(luò)管理員。應(yīng)由操作系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員共同參照各應(yīng)用系統(tǒng)故障恢復(fù)指南，立即切換到備份機(jī)或異地備份系統(tǒng)，同時恢復(fù)最近時間內(nèi)的應(yīng)用系統(tǒng)與數(shù)據(jù)的完全備份，進(jìn)行原應(yīng)用系統(tǒng)環(huán)境的重建。如發(fā)生的數(shù)據(jù)安全事件，造成數(shù)據(jù)丟失和數(shù)據(jù)意外毀壞已無法恢復(fù)，應(yīng)由業(yè)務(wù)部門立即組織相關(guān)部門對數(shù)據(jù)進(jìn)行補錄。當(dāng)發(fā)現(xiàn)公司涉密數(shù)據(jù)通過網(wǎng)絡(luò)途徑傳播，及時向信息中心和保密處通報，信息中心切斷信息泄露點與網(wǎng)絡(luò)的物理鏈接，并登記信息損失,確定信息泄露原因，由于人為原因造成的，交公司保密處處理；由于信息系統(tǒng)本身造成的，聯(lián)系系統(tǒng)供應(yīng)商解決。當(dāng)發(fā)生數(shù)據(jù)安全事件時，須在事件確認(rèn)24小時內(nèi)，由事件發(fā)現(xiàn)人及時以書面形式向本單位領(lǐng)導(dǎo)匯報，中、高級的數(shù)據(jù)安全事件要上報公司信息安全事件應(yīng)急領(lǐng)導(dǎo)小組，必要時上報上一級公司信息安全管理部門。8應(yīng)急后期處置包括對信息安全事件的總結(jié)和證據(jù)收集——獲取信息安全事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性或影響；應(yīng)定義和應(yīng)用識別、收集、獲取和保存信息的程序，這些信息可以作為證據(jù)；總結(jié)內(nèi)容應(yīng)包括：a)應(yīng)急事件的基本情況，包括事件發(fā)生時間、地點、波及范圍、人員情況、損失和事件發(fā)生的原因等；b)應(yīng)急事件處置過程；處置過程中動用的應(yīng)急資源；處置過程遇到的問題、取得的經(jīng)驗和吸取的教訓(xùn)；對預(yù)案的改進(jìn)建議等。應(yīng)急物資與裝備保障為有效應(yīng)對信息安全事件，根據(jù)信息安全事件特點，應(yīng)急人員應(yīng)配備筆記本電腦、各種型號連接線，測線儀，萬用表及其它必要設(shè)備等。應(yīng)急預(yù)案管理應(yīng)急預(yù)案的宣傳教育、培訓(xùn)、演練，以及預(yù)案的更新等，具參見第7.3.1條款網(wǎng)絡(luò)安全事件處理流程。服務(wù)器故障處理流程信息中心負(fù)責(zé)人指定專人負(fù)責(zé)系統(tǒng)的防病毒(安裝公司體執(zhí)行公司綜合應(yīng)急預(yù)案的規(guī)定和要求。附則本預(yù)案自發(fā)布之日起實施。本預(yù)案由公司信息中心負(fù)責(zé)解釋。附錄1：XX公司信息安全事件應(yīng)急通訊錄附錄2：重大突發(fā)信