xxx分公司網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案

xxx公司網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案xxx公司網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案xxx公司目錄一、總則 1（一）編制目的 1（二）編制依據(jù) 1（三）適用范圍 1（四）工作原則 1二、組織機構(gòu) 1三、預(yù)警預(yù)防機制 2（一）事件分類及分級 2（二）監(jiān)控與預(yù)警信息報送 2（三）預(yù)警響應(yīng) 2（四）預(yù)警解除 3四、應(yīng)急措施 3（一）信息報告 3（二）先期處理 3（三）應(yīng)急處理 31、電力系統(tǒng)故障的應(yīng)急處理流程 32、消防系統(tǒng)應(yīng)急處理流程 43、網(wǎng)絡(luò)中斷緊急處理流程 44、黑客攻擊的應(yīng)急處理流程 55、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理 56、軟件系統(tǒng)故障的應(yīng)急處理流程 67、設(shè)備硬件故障的應(yīng)急處理流程 6（四）后期處理 61、善后處理 62、調(diào)查和評估 7五、應(yīng)急培訓(xùn)和演練 71、培訓(xùn) 7六、附則 71、預(yù)案備案 72、預(yù)案修訂 73、制定與解釋 8PAGE8/8總則編制目的建立健全的xxx公司網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作機制，提高對網(wǎng)絡(luò)與信息安全事件能力，保障xxx公司網(wǎng)絡(luò)和重要信息系統(tǒng)安全的運行，編制本預(yù)案。編制依據(jù)依據(jù)《中華人民共和國國家安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》等有關(guān)法規(guī)、規(guī)定，制定本預(yù)案。適用范圍本預(yù)案適用于xxx公司信息系統(tǒng)發(fā)生網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作。工作原則統(tǒng)一領(lǐng)導(dǎo)，分級負責(zé)；以人為本，預(yù)防為主；依法規(guī)范，加強管理；依靠科技，資源整合；快速反應(yīng)，協(xié)同合作。組織機構(gòu)分公司負責(zé)全轄下屬機構(gòu)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的組織、管理、協(xié)調(diào)和實施工作，負責(zé)本地信息系統(tǒng)的監(jiān)測、預(yù)警和應(yīng)急處理。中心支公司綜合崗人員負責(zé)為本級中心支公司以及下屬支公司的網(wǎng)絡(luò)與信息安全突發(fā)事件的監(jiān)測、預(yù)警和應(yīng)急處理工作提供技術(shù)支持，并參與重要信息的研判、事件調(diào)查和總結(jié)評估協(xié)助工作。組織機構(gòu)成立xxx分公司信息安全領(lǐng)導(dǎo)小組。組長:xxx副組長:xxx組員:xxx預(yù)警預(yù)防機制事件分類及分級根據(jù)網(wǎng)路與信息安全突發(fā)事件的性質(zhì)、機理和發(fā)生過程，xxx分公司網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。根據(jù)網(wǎng)路與信息安全突發(fā)事件的可控性、嚴重程度和影響范圍，參照我省網(wǎng)絡(luò)與信息安全事件分級標準，xxx分公司網(wǎng)絡(luò)與信息安全事件分為四級：I級（特別重大網(wǎng)絡(luò)與信息安全事件）、II級（重大網(wǎng)絡(luò)與信息安全事件）、III級（較大網(wǎng)絡(luò)與信息安全事件）、IV級（一般網(wǎng)絡(luò)與信息安全事件）。監(jiān)控與預(yù)警信息報送xxx分公司承擔(dān)網(wǎng)路與信息安全監(jiān)測工作。各部門發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全預(yù)警信息，應(yīng)及時通知信息部。信息部會進行處判，提出預(yù)警等級建議，遇到有可能造成嚴重后果的I至III級信息安全預(yù)警事件，還應(yīng)按相關(guān)規(guī)定提報領(lǐng)導(dǎo)審查后發(fā)出預(yù)警。預(yù)警響應(yīng)信息部安全員應(yīng)保持24小時通信暢通。接到預(yù)警信息后，應(yīng)立即啟動應(yīng)急預(yù)案，進入預(yù)警狀態(tài)，加強值班值守工作，做好應(yīng)急處理各項準備工作。預(yù)警解除I至III級預(yù)警解除后根據(jù)相關(guān)部門要求，經(jīng)向領(lǐng)導(dǎo)請示同意以后，及時進行解除安全事件預(yù)警。應(yīng)急措施信息報告發(fā)生網(wǎng)絡(luò)與信息安全事件后，信息部安全員立即通知部門負責(zé)人，并通知相關(guān)業(yè)務(wù)部門。信息部和有關(guān)單位進行研判后，保存證據(jù)，檢查影響范圍和危害程度，提出應(yīng)急處理建議，報分管領(lǐng)導(dǎo)同意后啟動應(yīng)急預(yù)案。遇到有可能造成嚴重后果的I至III級信息安全事件，還應(yīng)按相關(guān)規(guī)定及時上報相關(guān)業(yè)務(wù)單位。先期處理當發(fā)生網(wǎng)路與信息安全突發(fā)事件時，相關(guān)工作人員做好先期應(yīng)急處理工作，采取措施控制事態(tài)，必要時采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進一步擴大。根據(jù)突發(fā)事件發(fā)展事態(tài)，信息部應(yīng)組織設(shè)備廠商、系統(tǒng)開發(fā)商及安全服務(wù)商等應(yīng)急支援力量，保存證據(jù)，做好應(yīng)急處理工作。應(yīng)急處理電力系統(tǒng)故障的應(yīng)急處理流程外電中斷后，信息部值班人員應(yīng)立即檢查中心機房UPS電源是否正常供電，并查明中斷原因，及時向技術(shù)部負責(zé)人報告。如因樓內(nèi)線路故障，要求物業(yè)管理部門迅速恢復(fù)供電。如因供電部門因素導(dǎo)致供電中斷，立即向供電部門聯(lián)系，請供電部門迅速恢復(fù)供電。如告知需要長時間停電，應(yīng)作如下安排： ①預(yù)計停電6小時以內(nèi)，由UPS供電； ②預(yù)計停電6小時以上8小時以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機、路 由器、交換機供電。 ③預(yù)計停電超過8小時，在設(shè)備運行1小時候關(guān)掉所有機器設(shè)備。電力系統(tǒng)恢復(fù)供電后，信息部人員按照規(guī)定流程開啟相關(guān)設(shè)備。消防系統(tǒng)應(yīng)急處理流程當出現(xiàn)火情、火災(zāi)時，發(fā)現(xiàn)人員應(yīng)在最短時間內(nèi)通知信息部人員，并通知綜合管理部及分管相關(guān)領(lǐng)導(dǎo)，通報物業(yè)管理部門。若火情嚴重時，應(yīng)迅速撥打119電話報警，并盡可能采取一些簡單可行的方法做初步的處理，如：科學(xué)使用周圍的滅火器材或采用其他滅火措施、手段。在滅火的同時，立即疏散災(zāi)情范圍的工作人員。進展情況隨時向信息部及分管領(lǐng)導(dǎo)報告。網(wǎng)絡(luò)中斷緊急處理流程故障排查。網(wǎng)絡(luò)中斷后，技術(shù)部技術(shù)人員要迅速判斷故障節(jié)點，查明故障原因。故障排除。 ①如屬線路故障，應(yīng)重新安裝線路。 ②如屬路由器、交換機等網(wǎng)絡(luò)設(shè)備故障，信息部人員立即檢修并調(diào)試通 暢。如路由器、交換機配置文件破壞，信息部人員應(yīng)迅速按照要求重 新配置，調(diào)試通暢。必要時，請有關(guān)技術(shù)單位協(xié)助調(diào)測暢通。 ③如需更換設(shè)備，應(yīng)上報分管領(lǐng)導(dǎo)，經(jīng)批準后馬上更換故障設(shè)備，盡快 恢復(fù)系統(tǒng)運行。 ④如發(fā)現(xiàn)屬于外部線路的問題，應(yīng)與線路運營商聯(lián)系，敦促盡快恢復(fù)故 障線路。 ⑤信息部人員無法及時修理時，應(yīng)立即通知相關(guān)供應(yīng)商及維護人員，在 最短時間內(nèi)安排修理。黑客攻擊的應(yīng)急處理流程當發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為時，應(yīng)立即向信息部人員通報情況，并向分管領(lǐng)導(dǎo)報告。信息部人員應(yīng)立即趕到現(xiàn)場，將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護現(xiàn)場。如事態(tài)較為嚴重，經(jīng)向分管領(lǐng)導(dǎo)請示后，立即向公安部門報警，配合公安部門展開調(diào)查。信息部人員做好被攻擊或破壞系統(tǒng)的恢復(fù)與重建工作。信息部負責(zé)組織技術(shù)力量追查非法信息來源。信息部人員將實施事件處理的過程和結(jié)果備案存檔，必要時向分管領(lǐng)導(dǎo)匯報。大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理當發(fā)現(xiàn)有計算機被感染上病毒后，計算機使用人員應(yīng)立即使用殺毒軟件對計算機殺毒，并通知信息部。信息部人員應(yīng)及時將該機從網(wǎng)絡(luò)上隔離開來，并及時趕到現(xiàn)場。信息部人員對該設(shè)備的硬盤進行數(shù)據(jù)備份。信息部人員啟用反病毒軟件對該機進行殺毒處理，并對相關(guān)機器進行病毒掃描和清除工作。如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)向信息部領(lǐng)導(dǎo)匯報，有信息部組織相關(guān)信息人員研究解決。情況較為嚴重的，還應(yīng)及時向有關(guān)分管領(lǐng)導(dǎo)報告，并向公安部門報警，配合公安部門展開調(diào)查。軟件系統(tǒng)故障的應(yīng)急處理流程軟件系統(tǒng)平時必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。軟件系統(tǒng)發(fā)生故障后，信息部人員應(yīng)立即向總公司技術(shù)總監(jiān)或總經(jīng)理室匯報，經(jīng)確認后停止該系統(tǒng)的運行并切換至備份系統(tǒng)，保證業(yè)務(wù)正常進行。信息部人員檢查日志等資料，確定故障原因。信息部人員將實施處理的過程和結(jié)果備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報。設(shè)備硬件故障的應(yīng)急處理流程小型機、服務(wù)器等關(guān)鍵設(shè)備損壞后，信息部人員應(yīng)立即向信息部負責(zé)人報告。信息部負責(zé)人立即組織信息人員查明原因。聯(lián)系維保單位更換受損部件。如果設(shè)備一時不能修復(fù)，應(yīng)向分管領(lǐng)導(dǎo)匯報，并告知各部門暫緩上傳上報數(shù)據(jù)。后期處理善后處理應(yīng)急處理工作結(jié)束后，信息部應(yīng)迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作，統(tǒng)計各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復(fù)重建能力進行分析評估，真正制定恢復(fù)重建計劃，迅速組織實施。調(diào)查和評估應(yīng)急處置工作結(jié)束后，應(yīng)立即組織有關(guān)人員組成事件調(diào)查組，查清事件發(fā)生的原因及財產(chǎn)損失情況，總結(jié)經(jīng)驗教訓(xùn)，寫出調(diào)查評估報告，報應(yīng)急領(lǐng)導(dǎo)小組，并根據(jù)問責(zé)制的有關(guān)規(guī)定，對有關(guān)責(zé)任人員作出處理。特別重大網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的調(diào)查評估報告，報應(yīng)急領(lǐng)導(dǎo)小組，必要時采取合理的形式向社會公眾通報。應(yīng)急培訓(xùn)和演練1、培訓(xùn)公司各級人員要加強應(yīng)急理論知識和技能學(xué)習(xí)，將應(yīng)急專業(yè)培訓(xùn)列入年底培訓(xùn)計劃，利用多種形式積極組織開展培訓(xùn)工作。不斷提高網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件的處置能力和指揮協(xié)調(diào)能力。2、演練分公司信息安全領(lǐng)導(dǎo)小組根據(jù)實際情況，成立