信息安全應急預案

信息安全應急預案（版本號V1.0）文檔發(fā)布信息版本編號版本編號文檔描述信息作者 審核批準 狀態(tài)狀態(tài)日期目錄1.概述 41.1編寫目的 41.2編寫依據 41.3適用范圍 42.組織機構與職責 42.1應急指揮中心 42.2應急工作組 53.事件分類分級 63.1事件分類 63.2事件分級 64.應急響應機制 74.1突發(fā)事故 74.2應急啟動 84.3事件報告 84.4應急處置 84.5應急結束 94.6后期處置 104.6.1后期觀察 104.6.2調查與評估 104.6.3總結與整改 105.應急保障措施 115.1物資保障 115.2人員保障 115.3通信保障 116應急宣傳及演練 116.1應急宣傳 116.2應急演練 117.附件 121.概述1.1編寫目的為提高XX公司整體業(yè)務的安全性，提高處置網絡與信息安全突發(fā)公共事制確保重要計算機信息系統的實體安全運行安全和數據安全最大限度地輕業(yè)務系統突發(fā)網絡與信息安全故障造成的危害。1.2編寫依據《國家網絡與信息安全事件應急預案》《重特大生產安全事故預防與應急處理暫行規(guī)定》1.3適用范圍本預案適用于XX公司包含的所有業(yè)務系統包括已建的系統未建的系統、通過信息安全等級保護的系統未通過信息安全等級保護的系統還有正在建設的系統。2.組織機構與職責為保障XX公司旗下業(yè)務系統在突發(fā)安全事件時能立即啟動應急方案，應成應用故障小組、平臺故障小組、網絡故障小組、程序故障小組、后勤保障小組2.1應急指揮中心XX公司應急指揮中心（以下簡稱應急指揮中心）是公司應急管理工作的決策指揮機構，屬公司常設辦事機構。指揮中心辦公地點設置在XX急指揮中心人員職位分配如下表所示。表1職職位具體人員總指揮副總指聯系成員應急指揮中心的主要職責：（1）審核、審定信息安全應急預案。（2）宣布進入和解除應急狀態(tài)，決定實施和終止應急預案。（3）對突發(fā)事件等級為I級和I級的安全事件進行決策并統一指揮應急處置工作。（4）負責組織協調公司各部門進行日常信息安全應急演練。（5）負責組織協調公司各部門進行日常信息安全的宣傳教育與培訓。2.2應急工作組XX公司應急工作小組（以下簡稱應急工作小組）負責實施應急指揮中心部署的方案措施、落實日常信息安全各方面工作、處理突發(fā)網絡安全事件。應急工作小組的主要職責：（1）落實應急指揮中心部署的各項任務。（2）負責應急預案的編制工作。（3）網絡與信息安全事件發(fā)生后，應急工作小組要詳細記錄應急過程所有措施，形成過程記錄表、結果報告，并做好信息通報工作。（4）負責協助應急指揮中心進行日常信息安全應急演練。（5）負責協助應急指揮中心進行日常信息安全應急宣傳教育與培訓。（6）監(jiān)督執(zhí)行應急指揮中心下達的應急指令、重大應急決策和部署，協調各方應急資源，組織各單位及故障處理小組進行應急處理。（7）及時了解和掌握突發(fā)事件與應急處置工作情況，向應急指揮中心報告應急處置過程中發(fā)現的重大問題，并協調解決。（8）負責突發(fā)事件調查、總結應急處理經驗和教訓等后期處置工作。3.事件分類分級3.1事件分類網絡與信息安全事件分為有害程序事件網絡攻擊事件信息破壞事件信息內容安全事件、設備設施故障和災害性事件等。（1）有害程序事件分為計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件（2網絡攻擊事件分為拒絕服務攻擊事件后門攻擊事件漏洞攻擊事件網絡掃描竊聽事件、網絡釣魚事件、干擾事件和其他網絡攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內容安全事件是指通過網絡傳播法律法規(guī)禁止信息，組織非法串聯煽動集會游行或炒作敏感問題并危害國家安全社會穩(wěn)定和公眾利益的事件。（5）設備設施故障分為軟硬件自身故障、外圍保障設施故障、人為破壞事故和其他設備設施故障。（6）災害性事件是指由自然災害等其他突發(fā)事件導致的網絡與信息安全事件。3.2事件分級根據系統故障對服務的對象和公司生產經營和管理的影響范圍程度可能產生的后果和損失等因素，將網絡與信息安全故障分為重大(Ⅰ級)、較大(Ⅱ)、一般(Ⅲ級)三個等級。（1）符合下列情形之一的，為重大網絡與信息安全事件(Ⅰ級)：①信息系統中斷運行30分鐘以上、影響人數10萬人以上。②信息系統中的數據丟失或被竊取篡改假冒對國家安全和社會穩(wěn)定構成嚴重威脅，或導致1億元人民幣以上的經濟損失。③其他對國家安全社會秩序經濟建設和公眾利益構成嚴重威脅造成嚴重影響的網絡與信息安全事件。（2）符合下列情形之一且未達到重大網絡與信息安全事件(Ⅰ級)的，為較大網絡與信息安全事件(Ⅱ級)：①信息系統中斷運行造成較嚴重影響的。②信息系統中的數據丟失或被竊取篡改假冒對國家安全和社會穩(wěn)定構成較嚴重威脅，或導致1000萬元人民幣以上的經濟損失。③其他對國家安全社會秩序經濟建設和公眾利益構成較嚴重威脅造成較嚴重影響的網絡與信息安全事件。（3）除上述情形外，對國家安全、社會秩序、經濟建設和公眾利益構成一定威脅、造成一定影響的網絡與信息安全事件，為一般網絡與信息安全事件(Ⅳ)。4.應急響應機制4.1突發(fā)事故業(yè)務系統一旦突發(fā)下列情形之一，信息安全應急方案即刻生效。（1）通道與網絡故障。（2）主機設備、操作系統、中間件和數據庫軟件故障。（3）應用服務故障。（4）應用程序發(fā)布故障或應用系統數據丟失。（5）數據轉接重大錯誤。（6）業(yè)務流程發(fā)生嚴重錯誤。（7）業(yè)務遷移重大故障。（8）機房電源、空調等重大環(huán)境故障。（9）大面積病毒爆發(fā)、蠕蟲、木馬程序、有害移動代碼等。（10（11）自然災害或人為錯誤操作導致數據嚴重破壞。（124.2應急啟動各應急配合單位部門須嚴格按照信息安全應急預案的安排完成相關準備作。應急實施期間各工作檢查人必須每日對各項工作完成情況進行檢查并簽確認，記錄未完成工作及原因；關鍵任務要按時間點進行檢查。發(fā)生突發(fā)事件后，事件發(fā)生單位立即向應急工作組匯報。應急工作組接到I級營突發(fā)事件的應急報告后根據事件情況決定是否啟動應急預案，并將結果上報應急指揮中心。應急工作組接到I應急指揮中心根據事件情況進行應急處置決策，并啟動應急預案。4.3事件報告發(fā)生突發(fā)事件時由突發(fā)事件發(fā)現單位或人員直接向應急工作組及本單位導匯報。報告分為緊急報告和詳細匯報緊急報告是指事件發(fā)生后各級單位或部門向應急工作組以口頭和應急報告（見附件形式匯報事件的簡要情況詳細匯報是指由應急處理機構在事件處理暫告一段落后，以書面形式提交的詳細報告件。事件報告的內容和格式要求：（1）口頭報告的內容主要包括事件發(fā)生的時間、概況、可能造成的影響等情況。（2）口頭報告后應按照附件一格式用傳真方式報送應急工作組，要求內容簡潔、清楚、準確。4.4應急處置應急故障處理流程主要包括系統運行后的應急故障處理。如果系統異常應當先由應急故障處理領導小組進行故障等級判定后由應急工作組進行故障類型判定及故障處理，以便在盡量短的時間內割接成功。是I級事件（重大事件需要上報應急指揮中心進行應急處理決策以確定具體的應急措施；如果是II完成后應急工作組需要進行故障類型的判定并將判定結果交給各分類故障處是I措施通知分類故障處理小組即刻進行處理最后由分類故障處理小組完成故障排除工作。在正式上線運行后如果發(fā)現系統無法運行此時由應急故障處理領導小組進行決策，可以啟用容災中心數據庫和應用服務，并修改DNS配置接管生產中心的關鍵業(yè)務在系統設備或系統軟件故障修復后在將數據庫和應用服務回切用服務器問題逐步進行排除相應的措施包括優(yōu)化網絡改進程序代碼修正配置增加應用服務器分擔負荷暫停部分非關鍵業(yè)務以減少業(yè)務總量優(yōu)化數據庫后臺操作腳本等。如果是系統缺陷，則需要修復缺陷。系統突發(fā)事件由I級發(fā)展為I級或發(fā)生I急報告后，立即上報公司應急指揮中心，公司應急指揮中心啟動公司應急預案，協調公司其他應急資源支持應急處理支持事件相關單位及時有效地進行處理，控制事件發(fā)展。信息網絡管理維護部門負責本單位所轄的廣域網及局域網的通道設備的信息傳播等事件時迅速調整網的發(fā)展當發(fā)生外力破壞時迅速修復并立即用備用通道短時絡安全設備的安全策略或隔離事件區(qū)域查找源頭采取有措施，控制事件間內恢復通道正常。4.5應急結束在同時滿足下列條件下，應急指揮中心可決定宣布解除應急狀態(tài)：（1）事件已得到有效控制，情況趨緩。（2）突發(fā)事件處理已經結束，設備、系統已經恢復運行。應急指揮中心應及時向現場應急工作組和參與應急支援的有關單位傳達解除應急狀態(tài)響應的指令，恢復正常生產工作秩序。上線割接完成后，系統穩(wěn)定運行，轉入運行維護階段。4.6后期處置4.6.1后期觀察I級突發(fā)事件應急處理結束后應密切關注監(jiān)測系統2周確認無異?，F象。I級突發(fā)事件應急處理結束后應密切關注監(jiān)測系統1周確認無異?，F象。I級突發(fā)事件應急處理結束后應密切關注監(jiān)測系統2天確認無異常現象。4.6.2調查與評估突發(fā)事件應急處理結束后嚴重影響到公司利益和客戶利益的重大較大事件應急工作組按照相關規(guī)定或要求對事件產生的原因影響進行調查和評估，對責任進行認定。調查報告按公司規(guī)定報有關部門。4.6.3總結與整改突發(fā)事件應急處理結束后相關部門應組織研究事件發(fā)生的原因和特點分析事件發(fā)展過程，總結應急處理過程中的經驗和教訓，進行應急處置知識積累進一步補充、完善和修訂運行維護應急預案。突發(fā)事件應急處理結束后相關單位應會同應急工作小組結合運行過程中異常和事件綜合分析營銷輔助決策系統中存在的關鍵點和薄弱點提出該類事件的整改措施制定整改實施方案并予以落實整改措施和方案報公司營銷部備案。5.應急保障措施5.1物資保障應急物資裝備主要包括：車輛、備品備件、常用工具和常用工具軟件。5.2人員保障應急處理組織機構應長期保持相關領導及技術人員應定期組織會議總結近期工作。各部門要加強突發(fā)事件應急技術支持隊伍的建設保證業(yè)務和技術骨干人能夠迅速到位。公司技術人員由指揮中心統一調配，集中管理。5.3通信保障應急期間指揮通信聯絡和信息交換的渠道主要有系統程控電話外線電話、手機、傳真、電子郵件等方式，有關應急聯系的手機應保持24小時開機狀態(tài)。6應急宣傳及演練6.1應急宣傳應急工作組將應急預案發(fā)給相關部門要求各部門加強學習提高相關工作人員的應急意識。6.2應急演練針對關鍵業(yè)務進行測試演練對演練中出現的問題進行及時修改完善應急措施。7.附件表1人員聯系表姓姓名 電話（座機））郵件備注圖1應急響應流