信息泄漏事件應(yīng)急預(yù)案

信息泄漏事件應(yīng)急預(yù)案信息泄漏事件應(yīng)急預(yù)案PAGEPAGE2信息泄漏事件應(yīng)急預(yù)案XXXX公司信息泄漏事件應(yīng)急預(yù)案2019年12月

文檔控制更改記錄日期作者版本更改參考2019-12-5文檔初稿PAGE6總則目的本預(yù)案為信息泄漏事件處理專項預(yù)案，其目的主要是為了進一步規(guī)范對信息泄漏事件的處理方法和處理程序，提高對此類安全事件的反應(yīng)速度?；驹瓌t1．防范為主，加強監(jiān)控。通過加強信息安全防范意識，加強數(shù)據(jù)保密和數(shù)據(jù)防泄漏技術(shù)措施，完善信息泄漏事件的日常監(jiān)測、發(fā)現(xiàn)機制，及時采取有效的應(yīng)對措施，迅速控制事件影響范圍，力爭將損失降到最低程度。從而緩解信息泄漏安全威脅。2．以人為本，協(xié)同作戰(zhàn)。把保障公共利益以及本單位和其他組織的合法權(quán)益的安全作為首要任務(wù)。相關(guān)部門協(xié)同配合、具體實施，及時獲取充分而準確的信息。通過跟蹤研判，果斷決策，迅速處置，以最大程度地減少危害和影響。3．規(guī)范操作，常備不懈。加強技術(shù)儲備，規(guī)范信息泄漏應(yīng)急處置措施與操作流程，確保應(yīng)急預(yù)案切實有效，實現(xiàn)信息泄漏突發(fā)事件應(yīng)急處置的科學(xué)化、程序化與規(guī)范化。適用范圍本預(yù)案適用于本單位中遇到信息泄露情況下的應(yīng)急響應(yīng)工作。術(shù)語與定義信息泄漏信息泄漏（databreach）是一類安全事件，在事件中敏感的、受保護的或機密的數(shù)據(jù)有可能被未經(jīng)授權(quán)的個人或組織剽竊、盜走或使用。泄漏的數(shù)據(jù)可能包括個人隱私信息、個人驗證信息、商業(yè)秘密或知識產(chǎn)權(quán)等。數(shù)據(jù)外泄最常見的方法是攻擊者侵入企業(yè)主機或網(wǎng)絡(luò)竊取敏感數(shù)據(jù)，但也可能是內(nèi)部人員將一些敏感信息在有意或者無意的情況下泄漏出去。事件處置階段服務(wù)器被入侵造成信息泄漏處置方案運維或者安全組發(fā)現(xiàn)服務(wù)器出現(xiàn)異常，經(jīng)初步檢查判斷遭受黑客滲透攻擊或者控制后，立即啟動應(yīng)急預(yù)案。運維小組判斷該服務(wù)器下線是否影響業(yè)務(wù)（是否單點），如不影響業(yè)務(wù)則立刻下線該服務(wù)器，如影響關(guān)鍵業(yè)務(wù)不能立即下線也應(yīng)向領(lǐng)導(dǎo)匯報情況，并進行網(wǎng)絡(luò)隔離等切斷外網(wǎng)訪問。安全人員對數(shù)據(jù)庫操作和查詢?nèi)罩?、服?wù)器進程、服務(wù)器和網(wǎng)絡(luò)日志、可疑文件等進行排查，檢查是否有信息泄漏。如發(fā)現(xiàn)有信息泄露，應(yīng)立刻向領(lǐng)導(dǎo)匯報情況，并進行應(yīng)急處理。同時根據(jù)已有攻擊方式和可疑文件等，整理出排查方式，交運維人員對其他服務(wù)器進行安全排查，對可能遭受跳板攻擊的服務(wù)器進行重點排查。對所有的服務(wù)器進行排查，確認是否遭受攻擊，是否有信息泄漏。對所有遭受攻擊的服務(wù)器進行處理和清除，確保安全。如不能保證處理安全，建議重裝系統(tǒng)后上線。注意對各種日志和惡意文件進行備份，如事態(tài)嚴重，可能需要在向領(lǐng)導(dǎo)和中心請示后向公安部門報警。緊急處置完成后，還應(yīng)進行后續(xù)安全加固工作，對內(nèi)外部系統(tǒng)進行風(fēng)險分析，對存在的問題進行整改和加固，不能立即解決的問題應(yīng)排期處理，確保無風(fēng)險隱患殘留。數(shù)據(jù)庫業(yè)務(wù)數(shù)據(jù)泄密處置方案在數(shù)據(jù)庫操作日志，數(shù)據(jù)庫審計日志排查中發(fā)現(xiàn)業(yè)務(wù)數(shù)據(jù)泄密，或在外網(wǎng)上發(fā)現(xiàn)XX業(yè)務(wù)數(shù)據(jù)泄漏之后，需要立即向領(lǐng)導(dǎo)匯報，并成立應(yīng)急響應(yīng)小組協(xié)同工作。對泄露的數(shù)據(jù)進行分析，快速定位排查泄露來源，對數(shù)據(jù)泄露源進行詳細排查分析，修補安全薄弱環(huán)節(jié)和漏洞，防止進一步泄露所造成危害。緊急處置完成后，還應(yīng)進行后續(xù)安全加固工作，對內(nèi)外部系統(tǒng)進行風(fēng)險分析，對存在的問題進行整改和加固，不能立即解決的問題應(yīng)排期處理，確保無風(fēng)險隱患殘留。由公司或中心領(lǐng)導(dǎo)層決策是否發(fā)布對外事故聲明內(nèi)部人員信息泄露處置方案主要的泄密風(fēng)險除了黑客攻擊、木馬病毒等外部因素外，內(nèi)部員工泄密以及內(nèi)部管理措施缺失等內(nèi)部因素成為引發(fā)的數(shù)據(jù)泄密事件的也是一個重要因素。內(nèi)部員工無意泄露信息：員工在瀏覽網(wǎng)頁或卸載軟件時，很容易感染木馬病毒，導(dǎo)致電腦數(shù)據(jù)泄漏。對這種情況，應(yīng)及時按照病毒處置程序，定位發(fā)生問題的電腦，立即斷網(wǎng)進行處理，最好是重裝系統(tǒng)，并進行全網(wǎng)排查。同時對全體員工進行信息安全意識培訓(xùn)，提供防護意識。內(nèi)部員工有意泄露機密信息：一部分員工出于利益誘惑，盜取公司重要數(shù)據(jù)文件，賣給競爭對手。對于這種情況，立即收集日志信息，判斷泄漏人員，并立即限制其賬號和權(quán)限并匯報領(lǐng)導(dǎo)。情節(jié)嚴重時在向領(lǐng)導(dǎo)和中心請示后向公安部門報警。緊急處置完成后，還應(yīng)進行后續(xù)安全加固工作，對核心數(shù)據(jù)和敏感數(shù)據(jù)進行加密存儲，增加數(shù)據(jù)庫審計等防護措施。業(yè)務(wù)恢復(fù)階段完成病毒、木馬、攻擊文件的清除工作后，應(yīng)立刻加固系統(tǒng)和進行漏洞補丁升級使系統(tǒng)避免受再次受到相同攻擊。立刻對其他系統(tǒng)進行安全排查，檢查數(shù)據(jù)庫訪問日志和審計日志，有無惡意文件和異常進程等，確保無其他系統(tǒng)遭受攻擊或信息泄漏。建立系統(tǒng)的安全基線。在確認被徹底根除之后，恢復(fù)經(jīng)過安全加固后的應(yīng)用系統(tǒng)或服務(wù)器的網(wǎng)絡(luò)連接，并進行嚴密監(jiān)控，特別注意監(jiān)控數(shù)據(jù)庫訪問日志?？偨Y(jié)分析階段信息泄漏事件處理完成后，進行事件報告撰寫，總結(jié)經(jīng)驗教訓(xùn)。全面排查各內(nèi)外部系統(tǒng)，理清信息泄漏隱患，對關(guān)鍵核心數(shù)據(jù)和個人隱私數(shù)據(jù)等需進行加密存儲和防泄漏措施，對存在高安全隱患的系統(tǒng)先切斷互聯(lián)網(wǎng)連接，待整改后再開放。為提高應(yīng)急處理的速度，提高應(yīng)急響應(yīng)小組成員對信息泄漏事件處理的熟練程度，應(yīng)定期對信息泄露處置流程進行演練。演練結(jié)束后應(yīng)對操作規(guī)程進行評