15計算機信息系統(tǒng)損害事件應急預案

XXXXX有限責任公司應急預案GYNY/YJYA016—2015計算機信息系統(tǒng)損害事件應急預案2015－04－02發(fā)布2015－04－02實施XXXXX有限責任公司發(fā)布計算機信息系統(tǒng)損害事件應急預案1總則1.1編制依據《計算機信息系統(tǒng)安全保護等級劃分準則》GB17859。XXXXX有限責任公司《事件(故)總體應急預案》。1.2工作原則防范為主，加強監(jiān)控。應廣泛宣傳計算機信息安全基本知識，提高對計算機信息系統(tǒng)的認識水平，切實落實信息安全防范措施，強化對網絡系統(tǒng)的監(jiān)控，減少安全事件可能帶來的不良影響。果斷處置。一旦發(fā)生網絡與信息安全事故，應迅速反應，及時啟動應急處置預案，盡最大力量減少損失，盡快恢復網絡與系統(tǒng)運行。1.3適用范圍本預案所稱的計算機信息系統(tǒng)重大事件是指由于自然災害、人為攻擊或破壞以及病毒爆發(fā)等原因所引發(fā)，嚴重影響到我公司網絡與信息系統(tǒng)的正常運行，造成業(yè)務中斷、系統(tǒng)癱瘓、數據破壞或信息失竊等，從而在穩(wěn)定生產或公眾利益等方面造成嚴重影響以及造成一定程度直接和間接重大經濟損失的事件。各級計算機信息系統(tǒng)安全事件報告、應急處理，均適用于本預案。2計算機信息系統(tǒng)損害事件類別、級別本專項預案的計算機信息系統(tǒng)損害事件系指在公司所屬單位內，由于計算機信息系統(tǒng)遭受損害，已經造成或可能造成嚴重危害的事件。2.1突發(fā)事件的類別根據計算機信息系統(tǒng)的發(fā)生原因、性質和機理，計算機信息系統(tǒng)主要分為以下三類:a）攻擊類事件：指網絡系統(tǒng)因計算機病毒感染、非法入侵等導致業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。b）故障類事件：指網絡系統(tǒng)因計算機軟硬件故障、人為誤操作等導致業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。c）災害類事件：指因爆炸、火災、雷擊、地震、臺風等外力因素導致網絡系統(tǒng)損毀，造成業(yè)務中斷、系統(tǒng)宕機、網絡癱瘓等情況。2.2突發(fā)事件的級別按照計算機信息系統(tǒng)損害事件的性質、嚴重程度、可控性和影響范圍，將其分為一級、二級、三級。表1計算機信息系統(tǒng)事件等級劃分三級二級一級發(fā)生在涉及重要部門網絡與信息系統(tǒng)或者關系到子公司安全、生產和穩(wěn)定的其他網絡與信息系統(tǒng)受到沖擊，計算機信息系統(tǒng)中的數據丟失或被竊取、篡改、假冒。指擴散性強，發(fā)生在涉及全公司的信息系統(tǒng)及電腦設備等。使得重要部門或公司部基礎網絡、重要信息系統(tǒng)、重點網站癱瘓，導致業(yè)務部分中斷，計算機信息系統(tǒng)中的數據丟失或被竊取、篡改、假冒，對安全、生產和穩(wěn)定構成較嚴重威脅指擴散性很強，造成全省公司的信息系統(tǒng)大面積癱瘓，使得重要部門或公司部基礎網絡、重要信息系統(tǒng)、重點網站癱瘓，導致大部分業(yè)務中斷，計算機信息系統(tǒng)中的數據丟失或被竊取、篡改、假冒，對省公司安全、生產和穩(wěn)定構成嚴重威脅。且對省公司的利益造成或可能造成嚴重損害、嚴重社會影響或者對省公司的安全造成損害，影響社會穩(wěn)定，衍生其他重大安全事件。3組織機構與職責3.1組織機構XXXXX有限責任公司應急組織機構見圖（應急組織機構框圖）。公司應急指揮中心公司應急指揮中心公司應急指揮中心辦公室公司現場應急指揮部專家組公司各部門應急搶險組治安警戒組疏散搜救組物資保障組通信保障組應急監(jiān)測組醫(yī)療救護組后勤保障組宣傳報道組善后處理組 3.2職責3.2.1公司應急指揮中心應急指揮中心是應急管理的最高指揮機構，全面負責公司突發(fā)事件的處置和救援工作，職責如下：a)審定應急處置指導方案；b)擬定現場應急指揮部人員名單，并指派現場指揮；c)隨時掌握處置情況，當符合公司總體應急預案啟動條件時，立即下令啟動本專項預案；d)下達應急終止指令。3.2.2現場應急指揮部a)按照公司應急指揮中心指令，負責現場應急指揮工作；b)收集現場信息，核實現場情況，針對事態(tài)發(fā)展制定和調整現場應急搶險方案；c)負責整合調配現場應急資源；d)及時向公司應急指揮中心和地方政府匯報應急處置情況；e)協(xié)調地方政府應急救援工作；f)收集、整理應急處置過程的有關資料；g)核實應急終止條件并向公司應急指揮中心請示應急終止；h)負責現場應急工作總結；i)負責公司應急指揮中心交辦的其它任務。3.2.3專家組a)提出應急處置方案建議，提供技術支持；b)參與制定應急處置方案；c)指導、監(jiān)督、檢查救援方案的落實。3.2.5各職能部門各職能部門（單位）按照公司應急指揮中心指令做好應急準備工作。4預測與預警公司應急指揮中心對發(fā)生或可能發(fā)生的重特大事件開展風險評估，做到早發(fā)現、早報告、早處置。4.1宣傳培訓大力宣傳計算機信息系統(tǒng)的基本原理、安全事件的預防措施和應急處理的基本知識，提高本單位人員的計算機信息系統(tǒng)意識水平。定期或不定期地舉辦信息安全基礎培訓，使不同崗位的人員都能熟悉并掌握網絡系統(tǒng)應急處理的知識和技能。通過不同層次、類型的培訓或研討，提高計算機信息系統(tǒng)水平，減少計算機信息系統(tǒng)事件數量。4.2安全措施定期了解信息系統(tǒng)目前可能存在的安全隱患和所面臨的安全威脅，并針對本單位實際情況，從物理、網絡、系統(tǒng)、應用和數據等多個層面實施計算機信息系統(tǒng)保障工作。定期對信息系統(tǒng)的運行狀態(tài)、系統(tǒng)日志和安全日志等進行檢查，對重要信息如網站、核心數據庫等應每周進行運行檢查，對重要數據要實時和定時進行備份，對核心網絡設備定期檢查和維護，確保及時發(fā)現計算機信息系統(tǒng)事件，減少安全事件所造成的損失。定期或不定期組織預案演練，進一步明確應急響應各崗位責任，檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否符合快速、高效的要求，對預案中存在的問題和不足及時補充、完善。4.3預警公司應急指揮中心應根據預測結果，進行以下預警：a)當事件符合公司總體應急預案啟動條件時，公司應急指揮中心應立即啟動本專項預案；b)未達到本專項預案啟動條件，但對公司有影響時，指令網管中心進入預警狀態(tài)。4.4預警解除應急終止或上級、地方政府宣布應急解除，應急指揮中心辦公室按照應急指揮中心指令，宣布預警解除。5應急報告5.1報告程序各單位（部門）計算機信息系統(tǒng)發(fā)生損害事件，各單位（部門）立即向公司應急指揮中心辦公室報告，特殊情況也可向網管中心報告。5.2報告內容5.2.1各單位（部門）計算機信息系統(tǒng)發(fā)生損害事件應立即報告，報告包括但不限于以下內容：a)單位名稱、發(fā)生時間、地點和部位；b)事件簡要情況；c)已采取的應急措施。5.2.2在處理過程中，各單位應盡快了解事態(tài)進展情況，并隨時向應急指揮中心辦公室報告，報告應包括但不限于以下內容要求。表2計算機重特大信息系統(tǒng)損害事件應急報告表單位名稱報告人聯(lián)系電話通信地址傳真電子郵件發(fā)生事件的信息系統(tǒng)基本信息名稱及用途硬件及型號操作系統(tǒng)數據庫應用軟件系統(tǒng)安全測評□是，已經通過安全測評□是，但未通過安全測評□否，未經過安全測評發(fā)生事件的網絡基本信息網絡概況：IP地址段：網絡結構：主要網絡設備:其他：負責部門 負責人重大信息事件的簡要描述(如以前出現過類似情況也應加以說明)初步判定的事件原因當前采取的應對措施本次事件的初步影響狀況事件后果□業(yè)務中斷□系統(tǒng)破壞□數據丟失□其他影響范圍□公司部□大面積□整個信息系統(tǒng)□其他嚴重程度□一級□二級□三級6應急準備公司各職能部門、子公司及相關基層單位、承包商按照本預案規(guī)定的職責做好應急準備工作。7應急處置當事件符合公司總體應急預案啟動條件時，公司應急指揮中心應立即按照公司總體應急預案規(guī)定的程序下達啟動本專項預案的指令，并進行下列應急處置工作。7.1應急上報當發(fā)生計算機系統(tǒng)損害時，應急指揮中心應立即向公司應急指揮中心辦公室報告。7.2應急行動7.2.1現場應急指揮部應做好以下工作：a)迅速收集現場信息，核實現場情況，組織制定現場應急處置方案并負責實施；b)協(xié)調現場內外部應急資源，統(tǒng)一指揮應急行動；c)在應急處置中，出現異常及時向應急指揮中心辦公室匯報、請示并落實指令；d)根據現場方案需要，請求應急指揮中心協(xié)調組織其他應急資源；e)按照應急指揮中心指令，負責現場新聞發(fā)布工作；f)核實應急終止條件并向應急指揮中心請示應急終止；g)收集、整理應急處置過程有關資料；7.2.2應急指揮中心辦公室7.2.2.1行政綜合部應做好以下工作：a)按照應急指揮中心指令，向公司信息安全協(xié)調小組管理辦公室等單位及部門報告和求援；b)完成應急指揮中心交辦的其他任務。7.2.2.2生產技術部應做好以下工作：a)跟蹤并詳細了解計算機信息系統(tǒng)損害事件的發(fā)展動態(tài)及處置情況，及時向應急指揮中心匯報、請示并落實指令；b)按照應急指揮中心指令，通知專家到達指定地點；c)完成應急指揮中心交辦的其他任務。7.2.3網管中心網管中心應做好以下工作：a)跟蹤并詳細了解計算機信息系統(tǒng)遭到大規(guī)模攻擊或不可抗力影響的處置情況，及時向應急指揮中心辦公室匯報、請示并落實指令；b)派出現場應急指揮部的組成人員，參與現場應急處置工作；c)按照應急指揮中心指令，向公安部門報案并協(xié)助查案，配合修復和恢復工作；d)按照應急指揮中心指令，向對口的主管部門報告和求援；e)完成應急指揮中心交辦的其他任務。7.2.4其他職能部門其他職能部門按照應急指揮中心指令做好生產管理等信息資料的收集工作。7.3應急處置措施（1）網站、網頁出現非法言論時的緊急處置措施1）網站、網頁由辦公室指定專人負責隨時密切監(jiān)視信息內容。2）發(fā)現網上出現非法信息時，監(jiān)控責任人應立即向信息股報告情況，及時采取刪除信息或關閉網站等處理措施。4）妥善保存有關記錄及日志或審查記錄。5）辦公室和信息股共同追查非法信息來源。6）及時將有關情況向領導小組匯報。（2）黑客攻擊時的緊急處置措施1）當責任人發(fā)現網頁內容被篡改，或通過入侵檢測系統(tǒng)發(fā)現有黑客正在進行攻擊時，應立即向信息股報告。2）相關人員盡快趕到現場，立即關閉網站。3）由關人員負責恢復或重建被攻擊和被破壞的系統(tǒng)。4）應追查非法信息來源。5）如認為情況嚴重，應立即向領導小組匯報。7）領導小組認為情況極為嚴重的，應立即向公安部門或上級機關報告。（3）設備安全緊急處置措施1）小型機、服務器、路由器、交換機等關鍵設備損壞后，值班人員應立即向信息股報告。2）相關人員應立即查明原因。3）如能自行恢復，應立即用備件替換受損部件。4）如屬不能自行恢復的，應立即與設備供應廠商聯(lián)系，請求技術人員前來維修。5）如果設備一時不能修復，應向領導小組匯報。（4）人員疏散與機房滅火預案1）一旦機房發(fā)生火災，應遵循下列原則：首先保人員安全；其次保關鍵設備、數據安全；三是保一般設備安全。2）人員疏散的程序是：機房值班人員立即按響火警警報，并通119電話向公安消防請求支援，所有不參與滅火的人員按照預先確定的線路，迅速從機房中有序撤出。3）滅火的程序是：首先切斷所有電源，啟動滅火系統(tǒng)，滅火值班人員戴好防毒面具，從指定位置取出泡沫滅火器進行滅火8應急終止應急處置后，經應急指揮中心和現場應急協(xié)調指揮小組對事故現場確認，并同時滿足下列條件后，應急指揮中心可以下達應急