信息系統(tǒng)集成安全應(yīng)急預(yù)案

信息系統(tǒng)集成安全應(yīng)急預(yù)案（版本號 V1.0）第 3 頁 共 15 頁文檔發(fā)布信息版本編號文檔描述信息作者審核批準(zhǔn)狀態(tài)狀態(tài)日期目 錄1. 概述11.1 編寫目的11.2 編寫依據(jù)11.3 適用范圍12. 組織機(jī)構(gòu)與職責(zé)12.1 應(yīng)急指揮中心12.2 應(yīng)急工作組23. 事件分類分級33.1 事件分類33.2 事件分級34. 應(yīng)急響應(yīng)機(jī)制44.1 突發(fā)事故44.2 應(yīng)急啟動54.3 事件報告54.4 應(yīng)急處置54.5 應(yīng)急結(jié)束64.6 后期處置74.6.1 后期觀察74.6.2 調(diào)查與評估74.6.3 總結(jié)與整改75. 應(yīng)急保障措施85.1 物資保障85.2 人員保障85.3 通信保障86 應(yīng)急宣傳及演練86.1 應(yīng)急宣傳86.2 應(yīng)急演練87. 附件91. 概述1.1 編寫目的為提高XX公司整體業(yè)務(wù)的安全性，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共事件能力，加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕業(yè)務(wù)系統(tǒng)突發(fā)網(wǎng)絡(luò)與信息安全故障造成的危害。1.2 編寫依據(jù)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案重特大生產(chǎn)安全事故預(yù)防與應(yīng)急處理暫行規(guī)定信息安全事件分類分級指南1.3 適用范圍本預(yù)案適用于XX公司包含的所有業(yè)務(wù)系統(tǒng)，包括已建的系統(tǒng)、未建的系統(tǒng)、通過信息安全等級保護(hù)的系統(tǒng)、未通過信息安全等級保護(hù)的系統(tǒng)，還有正在建設(shè)的系統(tǒng)。2. 組織機(jī)構(gòu)與職責(zé)為保障XX公司旗下業(yè)務(wù)系統(tǒng)在突發(fā)安全事件時能立即啟動應(yīng)急方案，應(yīng)成立應(yīng)急處理組織機(jī)構(gòu)。機(jī)構(gòu)包括：應(yīng)急指揮中心、應(yīng)急工作組，應(yīng)急工作組包括應(yīng)用故障小組、平臺故障小組、網(wǎng)絡(luò)故障小組、程序故障小組、后勤保障小組。2.1 應(yīng)急指揮中心XX公司應(yīng)急指揮中心（以下簡稱應(yīng)急指揮中心）是公司應(yīng)急管理工作的決策指揮機(jī)構(gòu)，屬公司常設(shè)辦事機(jī)構(gòu)。指揮中心辦公地點(diǎn)設(shè)置在XX公司本部，應(yīng)急指揮中心人員職位分配如下表所示。表2-1 應(yīng)急指揮中心人員表職 位具體人員總 指 揮副總指揮聯(lián) 系 人成 員應(yīng)急指揮中心的主要職責(zé)：（1） 審核、審定信息安全應(yīng)急預(yù)案。（2） 宣布進(jìn)入和解除應(yīng)急狀態(tài)，決定實(shí)施和終止應(yīng)急預(yù)案。（3） 對突發(fā)事件等級為I 級和 II 級的安全事件進(jìn)行決策，并統(tǒng)一指揮應(yīng)急處置工作。（4） 負(fù)責(zé)組織協(xié)調(diào)公司各部門進(jìn)行日常信息安全應(yīng)急演練。（5） 負(fù)責(zé)組織協(xié)調(diào)公司各部門進(jìn)行日常信息安全的宣傳教育與培訓(xùn)。2.2 應(yīng)急工作組XX公司應(yīng)急工作小組（以下簡稱應(yīng)急工作小組）負(fù)責(zé)實(shí)施應(yīng)急指揮中心部署的方案措施、落實(shí)日常信息安全各方面工作、處理突發(fā)網(wǎng)絡(luò)安全事件。應(yīng)急工作小組的主要職責(zé)：（1） 落實(shí)應(yīng)急指揮中心部署的各項(xiàng)任務(wù)。（2） 負(fù)責(zé)應(yīng)急預(yù)案的編制工作。（3） 網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急工作小組要詳細(xì)記錄應(yīng)急過程所有措施，形成過程記錄表、結(jié)果報告，并做好信息通報工作。（4） 負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急演練。（5） 負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急宣傳教育與培訓(xùn)。（6） 監(jiān)督執(zhí)行應(yīng)急指揮中心下達(dá)的應(yīng)急指令、重大應(yīng)急決策和部署，協(xié)調(diào)各方應(yīng)急資源，組織各單位及故障處理小組進(jìn)行應(yīng)急處理。 （7） 及時了解和掌握突發(fā)事件與應(yīng)急處置工作情況，向應(yīng)急指揮中心報告應(yīng)急處置過程中發(fā)現(xiàn)的重大問題，并協(xié)調(diào)解決。 （8） 負(fù)責(zé)突發(fā)事件調(diào)查、總結(jié)應(yīng)急處理經(jīng)驗(yàn)和教訓(xùn)等后期處置工作。3. 事件分類分級3.1 事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。（1）有害程序事件分為計算機(jī)病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。（2）網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。 （5）設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。（6）災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。3.2 事件分級根據(jù)系統(tǒng)故障對服務(wù)的對象和公司生產(chǎn)、經(jīng)營和管理的影響范圍、程度、可能產(chǎn)生的后果和損失等因素，將網(wǎng)絡(luò)與信息安全故障分為重大(級)、較大(級)、一般(級)三個等級。（1）符合下列情形之一的，為重大網(wǎng)絡(luò)與信息安全事件(級)：信息系統(tǒng)中斷運(yùn)行30分鐘以上、影響人數(shù)10萬人以上。信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е?億元人民幣以上的經(jīng)濟(jì)損失。其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（2）符合下列情形之一且未達(dá)到重大網(wǎng)絡(luò)與信息安全事件(級)的，為較大網(wǎng)絡(luò)與信息安全事件(級)：信息系統(tǒng)中斷運(yùn)行造成較嚴(yán)重影響的。信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成較嚴(yán)重威脅，或?qū)е?000萬元人民幣以上的經(jīng)濟(jì)損失。其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（3）除上述情形外，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)與信息安全事件，為一般網(wǎng)絡(luò)與信息安全事件(級)。4. 應(yīng)急響應(yīng)機(jī)制4.1 突發(fā)事故業(yè)務(wù)系統(tǒng)一旦突發(fā)下列情形之一，信息安全應(yīng)急方案即刻生效。（1） 通道與網(wǎng)絡(luò)故障。（2） 主機(jī)設(shè)備、操作系統(tǒng)、中間件和數(shù)據(jù)庫軟件故障。（3） 應(yīng)用服務(wù)故障。（4） 應(yīng)用程序發(fā)布故障或應(yīng)用系統(tǒng)數(shù)據(jù)丟失。（5） 數(shù)據(jù)轉(zhuǎn)接重大錯誤。（6） 業(yè)務(wù)流程發(fā)生嚴(yán)重錯誤。（7） 業(yè)務(wù)遷移重大故障。（8） 機(jī)房電源、空調(diào)等重大環(huán)境故障。（9） 大面積病毒爆發(fā)、蠕蟲、木馬程序、有害移動代碼等。（10） 非法入侵，或有組織的攻擊。（11） 自然災(zāi)害或人為錯誤操作導(dǎo)致數(shù)據(jù)嚴(yán)重破壞。（12） 其他導(dǎo)致系統(tǒng)遷移失敗的原因。4.2 應(yīng)急啟動各應(yīng)急配合單位、部門須嚴(yán)格按照信息安全應(yīng)急預(yù)案的安排完成相關(guān)準(zhǔn)備工作。應(yīng)急實(shí)施期間各工作檢查人，必須每日對各項(xiàng)工作完成情況進(jìn)行檢查并簽字確認(rèn)，記錄未完成工作及原因；關(guān)鍵任務(wù)要按時間點(diǎn)進(jìn)行檢查。發(fā)生突發(fā)事件后，事件發(fā)生單位立即向應(yīng)急工作組匯報。應(yīng)急工作組接到II級營突發(fā)事件的應(yīng)急報告后，根據(jù)事件情況，決定是否啟動應(yīng)急預(yù)案，并將結(jié)果上報應(yīng)急指揮中心。應(yīng)急工作組接到I級突發(fā)事件報告后，立即向公司應(yīng)急指揮中心報告，公司應(yīng)急指揮中心根據(jù)事件情況進(jìn)行應(yīng)急處置決策，并啟動應(yīng)急預(yù)案。4.3 事件報告發(fā)生突發(fā)事件時，由突發(fā)事件發(fā)現(xiàn)單位或人員直接向應(yīng)急工作組及本單位領(lǐng)導(dǎo)匯報。報告分為緊急報告和詳細(xì)匯報。緊急報告是指事件發(fā)生后，各級單位或部門向應(yīng)急工作組以口頭和應(yīng)急報告表（見附件）形式匯報事件的簡要情況；詳細(xì)匯報是指由應(yīng)急處理機(jī)構(gòu)在事件處理暫告一段落后，以書面形式提交的詳細(xì)報告。任何單位和個人均不得緩報、瞞報、謊報或者授意他人緩報、瞞報、謊報事件。事件報告的內(nèi)容和格式要求：（1）口頭報告的內(nèi)容主要包括事件發(fā)生的時間、概況、可能造成的影響等情況。（2）口頭報告后應(yīng)按照附件一格式用傳真方式報送應(yīng)急工作組，要求內(nèi)容簡潔、清楚、準(zhǔn)確。4.4 應(yīng)急處置應(yīng)急故障處理流程主要包括系統(tǒng)運(yùn)行后的應(yīng)急故障處理。如果系統(tǒng)異常應(yīng)當(dāng)先由應(yīng)急故障處理領(lǐng)導(dǎo)小組進(jìn)行故障等級判定，后由應(yīng)急工作組進(jìn)行故障類型判定及故障處理，以便在盡量短的時間內(nèi)割接成功。當(dāng)突發(fā)事件發(fā)生時，首先由應(yīng)急工作組進(jìn)行事件等級判定；如果是I級事件（重大事件）需要上報應(yīng)急指揮中心進(jìn)行應(yīng)急處理決策，以確定具體的應(yīng)急措施；如果是II級事件（較大事件），則直接上報應(yīng)急指揮中心確定應(yīng)急措施；如果是III級事件（一般事件），則協(xié)調(diào)應(yīng)急小組進(jìn)行故障處理。其次，在事件等級判定完成后，應(yīng)急工作組需要進(jìn)行故障類型的判定，并將判定結(jié)果交給各分類故障處理小組進(jìn)行故障處理。如果是I級事件（重大事件），則由應(yīng)急指揮中心將應(yīng)急措施通知分類故障處理小組即刻進(jìn)行處理。最后，由分類故障處理小組完成故障排除工作。在正式上線運(yùn)行后，如果發(fā)現(xiàn)系統(tǒng)無法運(yùn)行，此時由應(yīng)急故障處理領(lǐng)導(dǎo)小組進(jìn)行決策，可以啟用容災(zāi)中心數(shù)據(jù)庫和應(yīng)用服務(wù)，并修改DNS配置接管生產(chǎn)中心的關(guān)鍵業(yè)務(wù)，在系統(tǒng)設(shè)備或系統(tǒng)軟件故障修復(fù)后在將數(shù)據(jù)庫和應(yīng)用服務(wù)回切到生產(chǎn)中心。如果系統(tǒng)性能出現(xiàn)問題，可以依次對網(wǎng)絡(luò)、程序、配置、數(shù)據(jù)庫及應(yīng)用服務(wù)器問題逐步進(jìn)行排除，相應(yīng)的措施包括優(yōu)化網(wǎng)絡(luò)、改進(jìn)程序代碼、修正配置、增加應(yīng)用服務(wù)器分擔(dān)負(fù)荷、暫停部分非關(guān)鍵業(yè)務(wù)以減少業(yè)務(wù)總量、優(yōu)化數(shù)據(jù)庫后臺操作腳本等。如果是系統(tǒng)缺陷，則需要修復(fù)缺陷。系統(tǒng)突發(fā)事件由II級發(fā)展為I級或發(fā)生I級突發(fā)事件后，應(yīng)急工作組接到應(yīng)急報告后，立即上報公司應(yīng)急指揮中心，公司應(yīng)急指揮中心啟動公司應(yīng)急預(yù)案，協(xié)調(diào)公司其他應(yīng)急資源支持應(yīng)急處理，支持事件相關(guān)單位及時、有效地進(jìn)行處理，控制事件發(fā)展。信息網(wǎng)絡(luò)管理維護(hù)部門負(fù)責(zé)本單位所轄的廣域網(wǎng)及局域網(wǎng)的通道、設(shè)備的穩(wěn)定運(yùn)行。當(dāng)發(fā)生病毒、非法入侵、網(wǎng)絡(luò)攻擊、有害信息傳播、不符合規(guī)定的涉密信息傳播等事件時，迅速調(diào)整網(wǎng)的發(fā)展。當(dāng)發(fā)生外力破壞時迅速修復(fù)，并立即啟用備用通道，短時絡(luò)安全設(shè)備的安全策略或隔離事件區(qū)域，查找源頭，采取有效措施，控制事件間內(nèi)恢復(fù)通道正常。4.5 應(yīng)急結(jié)束在同時滿足下列條件下，應(yīng)急指揮中心可決定宣布解除應(yīng)急狀態(tài)：（1）事件已得到有效控制，情況趨緩。（2）突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運(yùn)行。應(yīng)急指揮中心應(yīng)及時向現(xiàn)場應(yīng)急工作組和參與應(yīng)急支援的有關(guān)單位傳達(dá)解除應(yīng)急狀態(tài)響應(yīng)的指令，恢復(fù)正常生產(chǎn)工作秩序。上線割接完成后，系統(tǒng)穩(wěn)定運(yùn)行，轉(zhuǎn)入運(yùn)行維護(hù)階段。4.6 后期處置4.6.1 后期觀察I級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注、監(jiān)測系統(tǒng)2周，確認(rèn)無異常現(xiàn)象。II級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注、監(jiān)測系統(tǒng)1周，確認(rèn)無異常現(xiàn)象。III級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注、監(jiān)測系統(tǒng)2天，確認(rèn)無異常現(xiàn)象。4.6.2 調(diào)查與評估突發(fā)事件應(yīng)急處理結(jié)束后，嚴(yán)重影響到公司利益和客戶利益的重大、較大事件，應(yīng)急工作組按照相關(guān)規(guī)定或要求，對事件產(chǎn)生的原因、影響進(jìn)行調(diào)查和評估，對責(zé)任進(jìn)行認(rèn)定。調(diào)查報告按公司規(guī)定報有關(guān)部門。4.6.3 總結(jié)與整改突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)部門應(yīng)組織研究事件發(fā)生的原因和特點(diǎn)、分析事件發(fā)展過程，總結(jié)應(yīng)急處理過程中的經(jīng)驗(yàn)和教訓(xùn)，進(jìn)行應(yīng)急處置知識積累，進(jìn)一步補(bǔ)充、完善和修訂運(yùn)行維護(hù)應(yīng)急預(yù)案。突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)單位應(yīng)會同應(yīng)急工作小組結(jié)合運(yùn)行過程中的異常和事件，綜合分析營銷輔助決策系統(tǒng)中存在的關(guān)鍵點(diǎn)和薄弱點(diǎn)，提出該類事件的整改措施，制定整改實(shí)施方案并予以落實(shí)，整改措施和方案報公司營銷部備案。5. 應(yīng)急保障措施5.1 物資保障應(yīng)急物資裝備主要包括：車輛、備品備件、常用工具和常用工具軟件。5.2 人員保障應(yīng)急處理組織機(jī)構(gòu)應(yīng)長期保持，相關(guān)領(lǐng)導(dǎo)及技術(shù)人員應(yīng)定期組織會議，總結(jié)近期工作。各部門要加強(qiáng)突發(fā)事件應(yīng)急技術(shù)支持隊(duì)伍的建設(shè)，保證業(yè)務(wù)和技術(shù)骨干人員能夠迅速到位。公司技術(shù)人員由指揮中心統(tǒng)一調(diào)配，集中管理。5.3 通信保障應(yīng)急期間，指揮、通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電話、外線電話、手機(jī)、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機(jī)應(yīng)保持24小時開機(jī)狀態(tài)。6 應(yīng)急宣傳及演練6.1 應(yīng)急宣傳應(yīng)急工作組將應(yīng)急預(yù)案發(fā)給相關(guān)部門、要求各部門加強(qiáng)學(xué)習(xí)，提高相關(guān)工作人員的應(yīng)急意識。6.2 應(yīng)急演練針對關(guān)鍵業(yè)務(wù)進(jìn)行測試演練，對演練中出現(xiàn)的問題進(jìn)行及時修改，完善應(yīng)急措施。7. 附件表1 人員