網(wǎng)絡(luò)安全應(yīng)急處置工作流程圖資料

學(xué)習(xí)參考學(xué)習(xí)參考學(xué)習(xí)參考學(xué)習(xí)參考文件名稱信息安全應(yīng)急預(yù)案密級(jí) 內(nèi)部文件編號(hào)版本號(hào)V1.0編寫部門編寫人審批人發(fā)布時(shí)間信息安全應(yīng)急預(yù)案V1.0學(xué)習(xí)參考學(xué)習(xí)參考學(xué)習(xí)參考學(xué)習(xí)參考學(xué)習(xí)參考第一章總則第一條為提高公司網(wǎng)絡(luò)與信息系統(tǒng)處理突發(fā)事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，減輕或消除突發(fā)事件的危害和影響，確保公司信息系統(tǒng)安全運(yùn)行，最大限度地減少網(wǎng)絡(luò)與信息安全突發(fā)公共事件的危害，特制定本預(yù)案。第二章適用范圍第二條本預(yù)案適用于公司信息系統(tǒng)安全突發(fā)事件的應(yīng)急響應(yīng) 。當(dāng)發(fā)生重大信息安全事件時(shí)，啟動(dòng)本預(yù)案。第三章編制依據(jù)第三條〈國(guó)家通信保障應(yīng)急預(yù)案》、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》、〈計(jì)算機(jī)病毒防治管理辦法》、信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》、信息安全技術(shù)信息安全事件分類分級(jí)指南》第四章組織機(jī)構(gòu)與職責(zé)第四條公司信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)急響應(yīng)由公司信息安全領(lǐng)導(dǎo)小組統(tǒng)一領(lǐng)導(dǎo) 。負(fù)責(zé)全中心系統(tǒng)信息安全應(yīng)急工作的領(lǐng)導(dǎo)、決策和重大工作部署。第五條由公司董事長(zhǎng)擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)，技術(shù)部負(fù)責(zé)人擔(dān)任領(lǐng)導(dǎo)小組副組長(zhǎng)，各部門主要負(fù)責(zé)人擔(dān)任小組成員。第六條應(yīng)急領(lǐng)導(dǎo)小組下設(shè)應(yīng)急響應(yīng)工作小組，承擔(dān)領(lǐng)導(dǎo)小組的日常工作，應(yīng)急響應(yīng)工作小組辦公室設(shè)在技術(shù)部。主要負(fù)責(zé)綜合協(xié)調(diào)網(wǎng)絡(luò)與信息安全保障工作 ，并根據(jù)網(wǎng)絡(luò)與信息安全事件的發(fā)展態(tài)勢(shì)和實(shí)際控制需要 ，具體負(fù)責(zé)現(xiàn)場(chǎng)應(yīng)急處置工作。工作小組應(yīng)當(dāng)經(jīng)常召開會(huì)議，對(duì)近期發(fā)生的事故案例進(jìn)行研究、分析，并積極開展應(yīng)急響應(yīng)具體實(shí)施方案的研究、制定和修訂完善。第五章預(yù)防與預(yù)警機(jī)制第七條公司應(yīng)從制度建立、技術(shù)實(shí)現(xiàn)、業(yè)務(wù)管理等方面建立健全網(wǎng)絡(luò)與信息安全的預(yù)防和預(yù)警機(jī)制。第八條信息監(jiān)測(cè)及報(bào)告.應(yīng)加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)測(cè)、分析和預(yù)警工作。公司應(yīng)每天定時(shí)利用自身監(jiān)測(cè)技術(shù)平臺(tái)實(shí)時(shí)監(jiān)測(cè)和匯總重要系統(tǒng)運(yùn)行狀態(tài)相關(guān)信息 ，如：路由器、交換機(jī)、小型機(jī)、存儲(chǔ)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、機(jī)房系統(tǒng)的訪問(wèn)、運(yùn)行、報(bào)錯(cuò)及流量等日志信息，分析系統(tǒng)安全狀況，及時(shí)獲得相關(guān)信息。.建立網(wǎng)絡(luò)與信息安全事件通報(bào)機(jī)制。發(fā)生網(wǎng)絡(luò)與信息安全事件后應(yīng)及時(shí)處理，并視嚴(yán)重程度向各自網(wǎng)絡(luò)與信息安全事件的應(yīng)急響應(yīng)執(zhí)行負(fù)責(zé)人 、及上級(jí)主管部門報(bào)告。第九條預(yù)警應(yīng)急響應(yīng)工作小組成員在發(fā)生網(wǎng)絡(luò)與信息安全事件后，應(yīng)當(dāng)進(jìn)行初步核實(shí)及情況綜合，快速研究分析可能造成損害的程度，提出初步行動(dòng)對(duì)策，并視事件的嚴(yán)重程度決定是否及時(shí)報(bào)各自應(yīng)急響應(yīng)執(zhí)行負(fù)責(zé)人。應(yīng)急響應(yīng)執(zhí)行負(fù)責(zé)人在接受嚴(yán)重事件的報(bào)告后，應(yīng)及時(shí)發(fā)布應(yīng)急響應(yīng)指令，并視事件嚴(yán)重程度向各自信息安全領(lǐng)導(dǎo)小組匯報(bào)。.預(yù)警范圍：(1)易發(fā)生事故的設(shè)備和系統(tǒng)；(2)存在事故隱患的設(shè)備和系統(tǒng)；(3)重要業(yè)務(wù)使用的設(shè)備和系統(tǒng)；(4)發(fā)生事故后可能造成嚴(yán)重影響的設(shè)備和系統(tǒng) 。.預(yù)防措施：(1)建立完善的管理制度，并認(rèn)真實(shí)施；(2)設(shè)立專門機(jī)構(gòu)或配備專人負(fù)責(zé)安全工作；(3)適時(shí)分析安全情況，制定、完善應(yīng)急響應(yīng)具體實(shí)施方案。第十條預(yù)防機(jī)制積極推行信息系統(tǒng)安全等級(jí)保護(hù)，逐步實(shí)行網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估?；A(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)要充分考慮抗毀性與故障恢復(fù) ，制定并不斷完善網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)具體實(shí)施方案；及早發(fā)現(xiàn)事故隱患，采取有效措施防止事故發(fā)生，逐步建立完善的監(jiān)控系統(tǒng)，保證預(yù)警的信息傳遞準(zhǔn)確、快捷、高效。第六章事件分類與分級(jí)第十一條事件分類公司系統(tǒng)網(wǎng)絡(luò)與信息安全事件分為有害程序事件 、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障、災(zāi)害性事件和其他信息安全事件等 7個(gè)基本分類。有害程序事件：蓄意制造、傳播有害程序,或是因受到有害程序的影響而導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。網(wǎng)絡(luò)攻擊事件：通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或使用暴力攻擊對(duì)信息系統(tǒng)實(shí)施攻擊，并造成信息系統(tǒng)異常或?qū)π畔⑾到y(tǒng)當(dāng)前運(yùn)行造成潛在危害的網(wǎng)絡(luò)與信息安全事件。信息破壞事件通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。信息內(nèi)容安全事件：利用信息網(wǎng)絡(luò)發(fā)布、傳播危害國(guó)家安全、社會(huì)穩(wěn)定和公共利益的內(nèi)容的安全事件，利用網(wǎng)絡(luò)從事違法犯罪活動(dòng)的情況，網(wǎng)絡(luò)恐怖活動(dòng)的嫌疑情況和預(yù)警信息。設(shè)備設(shè)施故障：由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的網(wǎng)絡(luò)與信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。災(zāi)害性事件：由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。其他信息安全事件：不能歸為以上6個(gè)基本分類的網(wǎng)絡(luò)與信息安全事件。第十二條事件定級(jí)公司系統(tǒng)網(wǎng)絡(luò)與信息安全事件級(jí)別分為四級(jí)：一級(jí)（特別重大）、二級(jí)（重大）、三級(jí)（較大）和四級(jí)（一般）。TOC\o"1-5"\h\z一級(jí)（特別重大）：指能夠?qū)е绿貏e嚴(yán)重影響或破壞的網(wǎng)絡(luò)與信息安全事件 。二級(jí)（重大）：指能夠?qū)е聡?yán)重影響或破壞的網(wǎng)絡(luò)與信息安全事件 。三級(jí)（較大）：指能夠?qū)е孪鄬?duì)嚴(yán)重影響或破壞的網(wǎng)絡(luò)與信息安全事件 。四級(jí)（一般）：指能夠?qū)е螺^小影響或破壞的網(wǎng)絡(luò)與信息安全事件 。第七章應(yīng)急響應(yīng)的流程第十三條 在發(fā)生信息安全事件時(shí)，啟動(dòng)下列應(yīng)急響應(yīng)流程，應(yīng)急響應(yīng)流程下圖所示。1、事件分析事件分析主要完成如下工作：1）在發(fā)生信息安全事件后，應(yīng)急響應(yīng)工作小組對(duì)事件進(jìn)行確認(rèn)。2）確認(rèn)為信息安全事件后，根據(jù)應(yīng)急處理事件分類規(guī)則對(duì)事件進(jìn)行定性、定級(jí)和上報(bào)。3）根據(jù)對(duì)事件的初步分析，確定應(yīng)急處理方式，如果應(yīng)急響應(yīng)工作組以自身力量無(wú)法處理的事件，由應(yīng)急工作小組向上級(jí)領(lǐng)導(dǎo)或上級(jí)機(jī)關(guān)提出應(yīng)急支援請(qǐng)求 。

應(yīng)急響應(yīng)流程圖2、事件處理事件處理主要包括以下內(nèi)容：1）泄密安全事件發(fā)生時(shí)，要及時(shí)的用口頭或書面的形式向保密工作部門如實(shí)報(bào)告并上報(bào)上級(jí)主管部門的保密機(jī)構(gòu)，同時(shí)采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切斷泄密源頭，控制泄密范圍，并及時(shí)對(duì)系統(tǒng)隱患進(jìn)行修補(bǔ)。在對(duì)系統(tǒng)的泄漏隱患或風(fēng)險(xiǎn)進(jìn)行重新評(píng)估，確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行，對(duì)事件類型、發(fā)生原因、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)紀(jì)錄。2）系統(tǒng)運(yùn)行安全事件發(fā)生時(shí)，應(yīng)分析是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案，如果存在則啟動(dòng)特定系統(tǒng)應(yīng)急預(yù)案，如果涉及多個(gè)特定系統(tǒng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的特定系統(tǒng)預(yù)案。分析是否存在針對(duì)該事件的專題預(yù)案 ，如果存在則啟動(dòng)專題預(yù)案，如果事件涉及多個(gè)專題預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專題預(yù)案。3)如果沒(méi)有針對(duì)該事件的應(yīng)急預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散，并根除事件影響，恢復(fù)系統(tǒng)運(yùn)行；3、結(jié)束響應(yīng)系統(tǒng)恢復(fù)運(yùn)行后，應(yīng)急響應(yīng)工作組對(duì)事件造成的損失、事件處理流程、應(yīng)急預(yù)案進(jìn)行評(píng)估，對(duì)響應(yīng)流程、預(yù)案提出修改意見，撰寫事件處理報(bào)告。應(yīng)急響應(yīng)工作組應(yīng)根據(jù)〈信息安全應(yīng)急預(yù)案》要求，確定是否需要上報(bào)該事件及其處理過(guò)程，需要上報(bào)的應(yīng)及時(shí)準(zhǔn)備相關(guān)材料，上報(bào)上級(jí)機(jī)關(guān)。對(duì)于蠕蟲、病毒等易造成大范圍傳播的信息安全事件，應(yīng)及時(shí)向應(yīng)急工作小組提交預(yù)警信息。應(yīng)急響應(yīng)流程結(jié)束。第十四條應(yīng)急處置演練制度為保證應(yīng)急行動(dòng)的能力，應(yīng)每年至少組織一次應(yīng)急行動(dòng)演練，以提高處理應(yīng)急事件的能力，檢驗(yàn)物資器材的完好情況。應(yīng)急響應(yīng)演練按如下步驟進(jìn)行：(1)由信息安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組確定應(yīng)急響應(yīng)演練的目標(biāo)和應(yīng)急響應(yīng)演練的范圍 ；(2)按信息安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組的要求，由應(yīng)急響應(yīng)工作小組制定應(yīng)急響應(yīng)演練的萬(wàn)案；(3)應(yīng)急響應(yīng)工作小組調(diào)配應(yīng)急響應(yīng)演練所需的各項(xiàng)資源 ，并協(xié)調(diào)應(yīng)急響應(yīng)演練過(guò)程中涉及的部門和單位；(4)應(yīng)急響應(yīng)工作小組組織進(jìn)行應(yīng)急演練；(5)信息安全應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組總結(jié)經(jīng)驗(yàn)，根據(jù)演練結(jié)果對(duì)應(yīng)急預(yù)案進(jìn)行更新，并對(duì)本單位的應(yīng)急工作整改。在應(yīng)急響應(yīng)演練結(jié)束之后，應(yīng)急響應(yīng)工作小組應(yīng)針對(duì)應(yīng)急響應(yīng)工作過(guò)程中遇到的問(wèn)題，分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性 ，針對(duì)預(yù)案中的問(wèn)題向應(yīng)急工作小組提出修改建議。應(yīng)急工作小組組織對(duì)修改意見進(jìn)行評(píng)估，修改后的預(yù)案應(yīng)經(jīng)評(píng)估通過(guò)后，上報(bào)領(lǐng)導(dǎo)小組，經(jīng)批準(zhǔn)后發(fā)布實(shí)施。在上級(jí)機(jī)關(guān)預(yù)案或相關(guān)的法律標(biāo)準(zhǔn)修改后，本預(yù)案應(yīng)進(jìn)行調(diào)整與其保持一致。調(diào)整后，應(yīng)急工作小組應(yīng)組織專家組對(duì)其評(píng)審，評(píng)審?fù)ㄟ^(guò)后上報(bào)領(lǐng)導(dǎo)小組，經(jīng)批準(zhǔn)后發(fā)布實(shí)施。第十五條應(yīng)急響應(yīng)總結(jié)制度應(yīng)急處置結(jié)束后，須進(jìn)行以下工作：(1)召開應(yīng)急事件總結(jié)會(huì)議。(2)分析異常事件發(fā)生的原因，形成信息安全事件原因分析報(bào)告。(3)有關(guān)人員編制安全事件處置報(bào)告。報(bào)告內(nèi)容包括事件發(fā)生事件、地點(diǎn)，監(jiān)測(cè)到時(shí)間的事件、地點(diǎn)，事件的處理過(guò)程，事件的處理方法，事件造成的影響，可吸取的經(jīng)驗(yàn)報(bào)告。(4)對(duì)相關(guān)責(zé)任人員進(jìn)行嚴(yán)肅的批評(píng)和教育，指出其工作中的缺陷，并讓其提供總結(jié)報(bào)告。情節(jié)嚴(yán)重的，給予書面警告、除名等處罰措施。(5)針對(duì)發(fā)生的事件的起因，分析改進(jìn)的措施和補(bǔ)救方法，從技術(shù)和管理上加以改進(jìn)，堅(jiān)決杜絕類似事件在今后發(fā)生。(6)技術(shù)改進(jìn)措施：1）針對(duì)脆弱性或漏洞，檢查涉密信息系統(tǒng)的其他位置，找出并進(jìn)行改進(jìn)或加固；2）改進(jìn)應(yīng)急方案內(nèi)容，使應(yīng)急方案滿足今后的日常監(jiān)測(cè)和應(yīng)急需要；3）增加可能出現(xiàn)故障設(shè)備的備份設(shè)備，增加單點(diǎn)設(shè)備的備份設(shè)備；4）更換或升級(jí)經(jīng)常出故障的產(chǎn)品。5）對(duì)本次應(yīng)急處理的處理方法進(jìn)行歸檔，作為知識(shí)庫(kù)進(jìn)行保管。（7）管理改進(jìn)措施：1）修改相關(guān)制度和崗位工作任務(wù)和職責(zé)；2）落實(shí)人員的崗位職責(zé)；3）進(jìn)一步做好系統(tǒng)的日常運(yùn)維工作；4）加強(qiáng)教育，培養(yǎng)人員的安全意識(shí)；5）進(jìn)一步加強(qiáng)安全檢查，以檢查促安全。第八章持續(xù)改進(jìn)第十六條 為了保證本文件的時(shí)效性、可有性，必須根據(jù)相關(guān)審核規(guī)定進(jìn)行評(píng)審和修訂，修訂后重新發(fā)布。第九章附則第十七條本規(guī)定由技術(shù)部制定并負(fù)責(zé)解釋。第十八條 本規(guī)定自發(fā)布之日起施行。附件1:通信錄1、應(yīng)急領(lǐng)導(dǎo)小組成員名單姓名部門及職務(wù)電話手機(jī)郵件備注

2:應(yīng)急工作小組名單姓名部門及職務(wù)電話手機(jī)郵件備注3:相關(guān)機(jī)構(gòu)和聯(lián)系方式機(jī)構(gòu)名稱聯(lián)系人聯(lián)系電話郵件信息安全服務(wù)商電信運(yùn)營(yíng)商其他機(jī)構(gòu)附件2:泄密事件報(bào)告表

泄露國(guó)家秘密事件報(bào)告表發(fā)生泄密事件部門泄密事項(xiàng)的主要內(nèi)容發(fā)生（現(xiàn)）時(shí)間發(fā)生（現(xiàn)）地點(diǎn)當(dāng)事人姓名當(dāng)事人職務(wù)泄密的方■式泄露密級(jí)及載體數(shù)（份、件、項(xiàng)等）絕密機(jī)密秘密主要責(zé)任人基本情況：泄密事件發(fā)生經(jīng)過(guò)：采取補(bǔ)救措施：主管領(lǐng)導(dǎo)（簽字）：填報(bào)人：年月日附件附件3:日常監(jiān)測(cè)異常事件記錄學(xué)習(xí)參考學(xué)習(xí)參考附件附件3:日常監(jiān)測(cè)異常事件記錄學(xué)習(xí)參考學(xué)習(xí)參考日常監(jiān)測(cè)異常事件記錄表記錄人： 記錄時(shí)間：異常事件名稱異常事件[]系統(tǒng)運(yùn)營(yíng)事件 []泄密事件異常事件詳細(xì)描述注：相關(guān)日志等可作為附件粘貼在本記錄表后面 。異常事件發(fā)現(xiàn)時(shí)間異常事件發(fā)現(xiàn)途徑異常事件監(jiān)測(cè)者異常事件影響范圍和嚴(yán)重程度學(xué)習(xí)參考學(xué)習(xí)參考附件附件4:事件定級(jí)表學(xué)習(xí)參考學(xué)習(xí)參考異常事件造成的損害已采取的應(yīng)急措施注：發(fā)現(xiàn)異常事件須詳細(xì)記錄，并迅速報(bào)告應(yīng)急工作小組信息安全事件定級(jí)表事件描述發(fā)生（現(xiàn)）時(shí)間當(dāng)事人姓名影響范圍事件影響程度事件經(jīng)濟(jì)損失事件擬定安全級(jí)別 級(jí)（1-4級(jí)）

處理事件需要的相關(guān)資源（人員、設(shè)備、保障資源）應(yīng)急工作小組意見時(shí)間：應(yīng)急領(lǐng)導(dǎo)小組意見時(shí)間：附件附件5:演練總結(jié)報(bào)告學(xué)習(xí)參考學(xué)習(xí)參考附件附件5:演練總結(jié)報(bào)告學(xué)習(xí)參考學(xué)習(xí)參考應(yīng)急演練總結(jié)報(bào)告演練名稱