信息系統(tǒng)應(yīng)急預(yù)案制度

XXXXX單位

信息系統(tǒng)應(yīng)急預(yù)案制度第一章總則第一條為進一步做好XXXXX單位信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件的應(yīng)急工作，根據(jù)國家關(guān)于計算機信息系統(tǒng)安全有關(guān)規(guī)定，特制定本規(guī)定。第二條信息系統(tǒng)網(wǎng)絡(luò)與信息安全事件指危害信息系統(tǒng)系統(tǒng)安全、影響系統(tǒng)正常使用、或系統(tǒng)發(fā)生信息泄露的事件。第二章事件內(nèi)容與等級劃分第三條網(wǎng)絡(luò)與信息安全事件具體內(nèi)容包括：（一）系統(tǒng)的文檔數(shù)據(jù)遭到破壞、篡改或竊取。（二）系統(tǒng)硬件受到破壞性攻擊不能正常發(fā)揮其部分功能或全部功能。（三）系統(tǒng)軟件受到破壞性攻擊不能正常發(fā)揮其部分功能或全部功能。（四）系統(tǒng)軟件受到計算機病毒的侵害，局部或全部數(shù)據(jù)和功能受到損壞，使系統(tǒng)不能工作或工作效率急劇下降。（五）系統(tǒng)的物理設(shè)備被人為毀壞，無法正常工作。（六）系統(tǒng)受到自然災(zāi)害的破壞，如：地震、水災(zāi)、火災(zāi)、雷電、臺風(fēng)。（七）系統(tǒng)面臨意外停電而又無后備供電措施。（八）系統(tǒng)的關(guān)鍵崗位人員不能上崗。第四條網(wǎng)絡(luò)與信息安全事件的等級劃分（一）造成的損失較小的網(wǎng)絡(luò)與信息安全事件為一般等級，如病毒、設(shè)備損壞等；（二）造成的損失較大，要求緊急處理的網(wǎng)絡(luò)與信息安全事件為重要等級，如自然災(zāi)害、系統(tǒng)受到攻擊等；（三）造成的損失很大的網(wǎng)絡(luò)與信息安全事件為嚴重等級，如保密性要求較高的文檔、數(shù)據(jù)遭到竊取。第三章事件報告、處理第五條網(wǎng)絡(luò)與信息安全事件的報告（一）當遇到一般網(wǎng)絡(luò)與信息安全事件時，發(fā)現(xiàn)人應(yīng)立即報告工程部領(lǐng)導(dǎo)。工程部領(lǐng)導(dǎo)通知有關(guān)人員立即進行處理；如在2個小時內(nèi)仍然無法解決，應(yīng)向有關(guān)領(lǐng)導(dǎo)報告。（二）當遇到重要網(wǎng)絡(luò)與信息安全事件時，發(fā)現(xiàn)人應(yīng)立即報告工程部領(lǐng)導(dǎo)。工程部領(lǐng)導(dǎo)組織有關(guān)人員到現(xiàn)場處理，XXXXX單位信息化工作領(lǐng)導(dǎo)小組辦公室主任報告，協(xié)調(diào)解決。（三）當遇到嚴重網(wǎng)絡(luò)與信息安全事件，發(fā)現(xiàn)人應(yīng)立即報告工程部領(lǐng)導(dǎo)。工程部領(lǐng)導(dǎo)組織有關(guān)人員到現(xiàn)場處理，同時XXXXX單位信息化工作領(lǐng)導(dǎo)小組報告。（四）遇到無法與上一級領(lǐng)導(dǎo)取得聯(lián)系的情況，可越級上報。第六條應(yīng)急響應(yīng)的成立當遇到重要網(wǎng)絡(luò)與信息安全事件或嚴重網(wǎng)絡(luò)與信息安全事件，由工程部領(lǐng)導(dǎo)牽頭，成立應(yīng)急響應(yīng)小組。應(yīng)急響應(yīng)小組應(yīng)及時向公司信息化工作領(lǐng)導(dǎo)小組匯報事件處理進展情況。應(yīng)急響應(yīng)小組能快速調(diào)動相關(guān)資源，協(xié)調(diào)本單位和相關(guān)單位的信息安全專家，防止事件處理的任何環(huán)節(jié)出現(xiàn)延遲，以最快速度確定故障點，及時排除故障，保證系統(tǒng)正常運行。第七條網(wǎng)絡(luò)與信息安全事件的處理（一）信息泄露事件的處理發(fā)現(xiàn)或接到報告后，應(yīng)在第一時間內(nèi)組織力量切斷信息泄露源頭、重新對系統(tǒng)進行風(fēng)險評估，并及時修補系統(tǒng)安全漏洞，防止重復(fù)出現(xiàn)此類事件。信息泄露事件處置后，應(yīng)急響應(yīng)小組成員應(yīng)做好事件處置相關(guān)記錄。（二）安全事件的處理當發(fā)現(xiàn)網(wǎng)絡(luò)型病毒，造成網(wǎng)絡(luò)阻塞及網(wǎng)絡(luò)風(fēng)暴，影響整個信息系統(tǒng)的正常工作時，要及時升級殺毒軟件的病毒庫，并針對操作系統(tǒng)、軟件漏洞升級安全補丁，進行系統(tǒng)全面的查殺病毒。必要時，切斷網(wǎng)絡(luò)聯(lián)接，對網(wǎng)絡(luò)局部進行殺毒，確保局部無病毒后再聯(lián)通全部網(wǎng)絡(luò)。當發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或其它異常行為時，及時采取封堵可疑IP、關(guān)閉相關(guān)端口和服務(wù)、保護涉密信息等措施。當發(fā)生網(wǎng)絡(luò)硬件設(shè)備、安全設(shè)備及服務(wù)器故障或損壞情況時，應(yīng)及時通知設(shè)備供應(yīng)商，在8小時內(nèi)解決相關(guān)問題。當出現(xiàn)信息系統(tǒng)故障或崩潰情況時，應(yīng)及時利用備份數(shù)據(jù)進行恢復(fù)，保障網(wǎng)絡(luò)正常運轉(zhuǎn)。當機房設(shè)備出現(xiàn)故障，使用人員及時排除，如無法自行解決問題，應(yīng)立即請廠商相關(guān)人員進行處理，做到及時排除系統(tǒng)故障、恢復(fù)系統(tǒng)正常工作。對于能力范圍內(nèi)不能解決的，應(yīng)立即邀請具備條件的單位進行技術(shù)協(xié)助。對于上述處理過程，應(yīng)急處置人員要進行詳細記錄。第八條網(wǎng)絡(luò)與信息安全事件的評估改進（一）總結(jié)與評估對于產(chǎn)生嚴重后果的突發(fā)事件，應(yīng)急處置工作結(jié)束后，XXXXX單位應(yīng)組織有關(guān)人員和技術(shù)專家組成事件調(diào)查組，對事件發(fā)生原因、性質(zhì)、影響、后果、責(zé)任及應(yīng)急處置能力、恢復(fù)重建等問題進行全面調(diào)查評估，形成網(wǎng)絡(luò)與信息安全事件處理報告。報告內(nèi)容包括：（1）問題或故障；（2）原因分析；（3）采取的應(yīng)急措施或應(yīng)急方案；（4）結(jié)果評價；（5）建議應(yīng)采取的后續(xù)措施或需進一步考慮的解決方案；（6）總結(jié)經(jīng)驗教訓(xùn)。（二）記錄與演練根據(jù)應(yīng)急處置中暴露的管理、協(xié)調(diào)和技術(shù)問題，改進和完善預(yù)案，將審查與改進意見記錄在《應(yīng)急計劃和響應(yīng)審查記錄》中。定期實施針對性演練，總結(jié)經(jīng)驗教訓(xùn)，消除隱患。第四章應(yīng)急計劃第九條應(yīng)針對各類網(wǎng)絡(luò)與信息安全事件制定行之有效的應(yīng)急計劃。（一）應(yīng)急計劃應(yīng)條理清楚、語言簡潔、步驟分明、具有強可操作性。（二）應(yīng)急計劃應(yīng)有多種備用方案，每種方案均可獨立實施，應(yīng)有各種方案的優(yōu)先排序。（三）應(yīng)急計劃應(yīng)有明確的負責(zé)人與各級責(zé)任人的職責(zé)。（四）應(yīng)急計劃應(yīng)便于培訓(xùn)和實施演習(xí)。（五）應(yīng)急計劃簡單流程圖應(yīng)公布在顯著和方便的位置，以便發(fā)生事故時，能迅速、方便地執(zhí)行。第十條應(yīng)急計劃應(yīng)包括緊急措施、資源備用、恢復(fù)過程、演習(xí)和應(yīng)急計劃關(guān)鍵信息。具體如下：（一）緊急措施制定對各種網(wǎng)絡(luò)與信息安全事件的響應(yīng)規(guī)程、搶救計劃、救護計劃和撤離計劃，以保護人員生命，降低財產(chǎn)損失。（二）資源備用軟件資源備用：對每一信息資源需要有足夠備份，并將備份存放于免受攻擊或受災(zāi)害影響的地方。電源備用：應(yīng)配置不間斷電源，一般不間斷電源應(yīng)可在斷電后維持工作二小時以上。應(yīng)配置備用交流穩(wěn)壓電源。重要系統(tǒng)和大型系統(tǒng)應(yīng)配備多種供電來源。經(jīng)費保障：網(wǎng)絡(luò)與信息安全事件應(yīng)急處置專項經(jīng)費，應(yīng)列入年度預(yù)算，切實予以保障。重要或大型系統(tǒng)中的關(guān)鍵設(shè)備和信息安全產(chǎn)品應(yīng)采用雙機熱備份。對特別重要信息應(yīng)盡可能采取安全保密的異地備份措施。（三）恢復(fù)過程首先恢復(fù)重要的安全產(chǎn)品，保證系統(tǒng)安全情況下，其次恢復(fù)應(yīng)用系統(tǒng)。（四）培訓(xùn)和演習(xí)應(yīng)每年進行應(yīng)急計劃的培訓(xùn)和演習(xí)，使每個工作人員熟悉應(yīng)急知識和在應(yīng)急計劃中應(yīng)采取的措施和應(yīng)負的責(zé)任，以利于緊急事故出現(xiàn)時能迅速執(zhí)行應(yīng)急計劃。（五）應(yīng)急計劃關(guān)鍵信息應(yīng)急計劃關(guān)鍵信息應(yīng)張貼在顯著和方便的位置，應(yīng)急計劃關(guān)鍵信息包括：火警電話、報警電話、應(yīng)急負責(zé)人電話和住址。第五章應(yīng)急演練、培訓(xùn)第十一條應(yīng)每年至少組織一次對系統(tǒng)用戶進行安全應(yīng)急培訓(xùn)和應(yīng)急演練，并根據(jù)演練結(jié)果對應(yīng)急預(yù)案進行評審和修訂。第十二條發(fā)生應(yīng)急事件并處理完成后應(yīng)當對事件進行分析總結(jié)，進行風(fēng)險評估，改進不足，彌補漏洞。第十三條發(fā)生應(yīng)急事件并處理完成后應(yīng)當進行專題教育和培訓(xùn)。第六章附則第十四條本規(guī)定由工程部負責(zé)解釋。第十五條本規(guī)定自發(fā)布之日起施行。應(yīng)急計劃和響應(yīng)審查記錄表策略名稱審查時間審查機構(gòu)負責(zé)人審查情況審查結(jié)果情況說明備注

應(yīng)急響應(yīng)與系統(tǒng)恢復(fù)演練記錄表演練時間演練地點演練內(nèi)容演練負責(zé)人參與人員演練過程演練結(jié)果備注

應(yīng)急響應(yīng)培訓(xùn)記錄表1616備份與恢復(fù)策略測試記錄表策略描述測試時間測試人員測試對象測試過程測試結(jié)果問題描述備注

信息泄露事件記錄表級別：上報時間：年月日系統(tǒng)名稱報告人聯(lián)系電話（手機）事件發(fā)生時間事件類型事件名稱發(fā)生原因事件描述影響范圍補救措施網(wǎng)絡(luò)信息中心處理意見網(wǎng)絡(luò)信息中心初步處理結(jié)果：XXXXX單位信息化領(lǐng)導(dǎo)小組辦公室處理意見：XXXXX單位信息化領(lǐng)導(dǎo)小組辦公室處理結(jié)果XXXXX單位

系統(tǒng)運行安全事件記錄表級別：上報時間：年月日系統(tǒng)名稱報告人聯(lián)系電話（手機）事件發(fā)生時間事件類型事件名稱發(fā)生原因事件描述影響范圍補救措施網(wǎng)絡(luò)信息中心處理意見網(wǎng)絡(luò)信息中心初步處理結(jié)果：XXXX