14應(yīng)急響應(yīng)預(yù)案-v1.0

1、XX局文檔信息文檔名稱文檔編號文檔類別策略方針管理制度工作流程操作指南運維記錄其他當前版本1.0創(chuàng)建日期文檔編輯部門文檔作者聯(lián)系方式修訂記錄文檔版本日期修改人員審閱人員修訂摘要審批發(fā)布序號審核記錄日期審閱人員123第一章總則第一條 目的。 為了規(guī)范XX局應(yīng)急響應(yīng)工作內(nèi)容和工作流程，提高自身的應(yīng)急響應(yīng)能力，完善應(yīng)急響應(yīng)機制，確保信息系統(tǒng)的安全和業(yè)務(wù)的連續(xù)性，依據(jù)XX 局信息安全管理辦法制定本管理制度。第二條 對象。 本管理制度的對象針對網(wǎng)絡(luò)與信息安全突發(fā)事件和可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)事件的安全威脅。第三條 范圍。 本預(yù)案適用于XX局信息安全事件的應(yīng)急響應(yīng)工作。當發(fā)生重大信息安全事件時，啟動本預(yù)

2、案。第四條 要求。 XX 局信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案安全管理要求統(tǒng)一遵循GB/T 22239-2008 信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求。第二章應(yīng)急響應(yīng)策略第五條 總體策略（ 一 ） 應(yīng)急響應(yīng)作為信息系統(tǒng)故障或發(fā)生異常事件的最后一道防線，必須高度重視，從技術(shù)、管理等多方面加以應(yīng)對和處置；（ 二 ） 發(fā)生異常事件時不慌亂，接受應(yīng)急響應(yīng)及處置領(lǐng)導(dǎo)小組的統(tǒng)一管理，嚴密有序的組織應(yīng)對和處置；（ 三 ） 發(fā)生泄密事件時，須提高事件處置的等級，優(yōu)先處理泄密事件；（ 四 ） 發(fā)生異常事件時，總體上須按照“快速恢復(fù)，減少損失”的要求來進行處置，以最快的速度恢復(fù)至事件前的狀態(tài)，并將事件造成的不良影響降低至

3、最低程度；（ 五 ） 按照PDCA模型處理應(yīng)急響應(yīng)事件，遵循“應(yīng)急響應(yīng)-知識查詢 - 問題排除 - 知識庫修復(fù)”的操作流程不斷豐富應(yīng)急響應(yīng)知識庫，為全面運行和管理涉密信息系統(tǒng)提供理論支撐和最佳實踐經(jīng)驗；（ 六 ） 每年適當增加應(yīng)急響應(yīng)的工作經(jīng)費，保障應(yīng)急處置的順利工作；（ 七 ） 應(yīng)急培訓(xùn)和演練須務(wù)實，不留死角。對培訓(xùn)和演練須不斷進行總結(jié)和評估。第六條 泄密事件處置策略（ 一 ） 堅持預(yù)防為主的策略，最低程度減少泄密事件發(fā)生的可能性；（ 二 ） 發(fā)生泄密事件，首先要采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切斷泄密源頭，控制泄密范圍；（ 三 ） 發(fā)生泄密事件立即用口頭或書面的形式向保密工作部門如實

4、報告；（ 四 ） 在對泄密事件處置過程中，防止發(fā)生再次泄密事件；（ 五 ） 在對系統(tǒng)的泄漏隱患或風險進行重新評估，確認安全后，系統(tǒng)方能重新運行，對事件類型、發(fā)生原因、影響范圍、補救措施和最終結(jié)果進行詳細紀錄；（ 六 ） 處置結(jié)束后，要針對本次泄密事件，進行認真總結(jié)和分析，防止今后在發(fā)生類似事件；（ 七 ） 若是人為事故，對泄密責任人須采取處罰措施。第七條 數(shù)據(jù)故障恢復(fù)事件策略（ 一 ） 首先要判斷清楚故障原因，如分清是邏輯故障還是物理設(shè)備故障；（ 二 ） 如能簡單恢復(fù)，則不需要進行復(fù)雜恢復(fù)；（ 三 ） 確?；謴?fù)數(shù)據(jù)的可用性。在恢復(fù)之前，對數(shù)據(jù)進行可用性測試；（ 四 ） 恢復(fù)之后必須進行新的數(shù)據(jù)

5、庫的備份；（ 五 ） 針對故障原因，調(diào)整數(shù)據(jù)備份和恢復(fù)策略；（ 六 ） 針對故障原因，針對硬件設(shè)備進行必要的調(diào)整和升級；（ 七 ） 若是人為事故，對相關(guān)責任人員進行教育和處罰。第八條 系統(tǒng)故障恢復(fù)策略（ 一 ） 分析判斷系統(tǒng)故障的準確原因，是操作不當還是軟件漏洞；（ 二 ） 故障原因能夠重現(xiàn)，應(yīng)詳細記錄故障現(xiàn)象；（ 三 ） 分析系統(tǒng)故障原因是否與設(shè)置的策略有矛盾和沖突；（ 四 ） 系統(tǒng)重新安裝或升級之前須做好數(shù)據(jù)備份；（ 五 ） 系統(tǒng)重新安裝或升級之前須做好測試工作，防止無法回退；（ 六 ） 系統(tǒng)重新安裝或升級之后須做好策略的調(diào)整工作；（ 七 ） 若是人為事故，對相關(guān)責任人員進行教育和處罰。

6、第九條 設(shè)備故障恢復(fù)策略（ 一 ） 分析判斷是系統(tǒng)故障還是設(shè)備故障，若是設(shè)備故障， 須定位故障設(shè)備；（ 二 ） 故障原因能夠重現(xiàn)，應(yīng)詳細記錄故障現(xiàn)象； （ 三 ） 故障設(shè)備替換之前，須做好數(shù)據(jù)備份、策略備份； （ 四 ） 故障設(shè)備在維修之前須查看設(shè)備是否涉密，若涉密， 則按涉密維修的流程處理；（ 五 ） 涉密故障設(shè)備在維修之前須先用數(shù)據(jù)清除等工具徹底 清除保密數(shù)據(jù)；（ 六 ） 新設(shè)備重新安裝之后，須做好設(shè)備的安全策略設(shè)置； （ 七 ） 對關(guān)鍵設(shè)備實施冗余配置，提高其運行可靠性； （ 八 ） 若是人為事故，對相關(guān)責任人員進行教育和處罰。第十條 系統(tǒng)運行策略（ 一 ） 定期進行數(shù)據(jù)備份； （ 二

7、） 不得在系統(tǒng)內(nèi)安裝非授權(quán)的軟件； （ 三 ） 不得在系統(tǒng)內(nèi)接入非授權(quán)的設(shè)備； （ 四 ） 每天進行數(shù)據(jù)的監(jiān)控和審計工作； （ 五 ） 定期開展信息安全檢查工作； （ 六 ） 各類信息或設(shè)備的訪問權(quán)限須嚴格控制。 （ 七 ） 針對應(yīng)用需要，不斷調(diào)整和優(yōu)化詳細安全策略。 （ 八 ） 定期對系統(tǒng)風險、威脅等進行風險評估。第三章基本原則第十一條堅持預(yù)防為主。提高單位的信息安全防護意識和水平，加強信息系統(tǒng)安全體系建設(shè)，按照信息系統(tǒng)安全等級保護建設(shè)運行的特點和規(guī)律積極做好日常安全工作，開展安全教育和培訓(xùn)工作，建立完善的安全管理、監(jiān)督和審查制度，提高各部門應(yīng)對突發(fā)信息安全事件的能力。第十二條提高快速反應(yīng)能

8、力。建立信息安全預(yù)警和事件快速反應(yīng)機制，建立高效的事件匯報渠道，強化人力、物力、財力儲備， 增強應(yīng)急處理能力。保證對信息安全事件做到早發(fā)現(xiàn)、早報告、早處理、早恢復(fù)等環(huán)節(jié)的緊密銜接，一旦出現(xiàn)影響信息系統(tǒng)的安全事件，快速反應(yīng)，及時準確處置。第十三條加強安全監(jiān)管。在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的基礎(chǔ)上，建立完善的信息系統(tǒng)安全監(jiān)控和管理機制，對數(shù)據(jù)庫服務(wù)器、業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)狀況進行持續(xù)和重點監(jiān)控，及時發(fā)現(xiàn)信息安全隱患和事件跡象，進行安全預(yù)警并采取針對性的應(yīng)對措施。第十四條責任到人、制度保障。明確信息安全應(yīng)急響應(yīng)工作的角色和職責，保證各項工作責任到人，建立應(yīng)急響應(yīng)各項工作的處理流程，實現(xiàn)應(yīng)急響應(yīng)工作的規(guī)范化

9、、制度化和流程化。第四章應(yīng)急響應(yīng)的機構(gòu)及分工第十五條信息安全領(lǐng)導(dǎo)小組組長：副組長： 成員：領(lǐng)導(dǎo)小組在應(yīng)急響應(yīng)工作中的主要職責：（ 一 ） 負 責審核和批準信息系統(tǒng)應(yīng)急響應(yīng)總體規(guī)劃、重大網(wǎng)絡(luò)與信息安全事件報告；（ 二 ） 負 責統(tǒng)籌規(guī)劃信息系統(tǒng)網(wǎng)絡(luò)與信息安全應(yīng)急基礎(chǔ)設(shè)施建設(shè)；（ 三 ） 對 重大網(wǎng)絡(luò)與信息安全事件的應(yīng)急響應(yīng)工作進行宏觀決策和應(yīng)急指揮；（ 四 ） 協(xié) 調(diào)重大網(wǎng)絡(luò)與信息安全事件的調(diào)查處理；（ 五 ） 必 要時接受專家顧問組的咨詢服務(wù)。第十六條信息安全辦公室主任：副主任：信息安全辦公室在應(yīng)急響應(yīng)工作中的主要職責：（ 一 ） 組 建并調(diào)整信息安全事件應(yīng)急響應(yīng)小組；（ 二 ） 定 期組織本

10、單位網(wǎng)絡(luò)與信息系統(tǒng)的風險評估和整改；（ 三 ） 組 織制訂應(yīng)急響應(yīng)相關(guān)預(yù)案并定期演練；（ 四 ） 編 制重大網(wǎng)絡(luò)與信息安全事件報告；（ 五 ） 組 織各項應(yīng)急準備工作；（ 六 ） 組 織對本系統(tǒng)發(fā)生的重大信息安全運行和泄密事件的調(diào)查、通報工作；（ 七 ） 組 織和協(xié)調(diào)各種應(yīng)急資源；（ 八 ） 管 理本系統(tǒng)范圍內(nèi)的應(yīng)急響應(yīng)工作；（ 九 ） 與 跨部門應(yīng)急協(xié)調(diào)機構(gòu)進行溝通。第十七條信息安全事件響應(yīng)小組信息安全事件響應(yīng)小組依托信息中心，負責應(yīng)急響應(yīng)工作的實施，主要責任包括：（1） 負責編制應(yīng)急響應(yīng)預(yù)案、信息安全事件應(yīng)急處置流程和措施；（2） 負責組織協(xié)調(diào)、處置、調(diào)查和上報信息安全事件；（3） 負責總

11、結(jié)匯報信息安全事件處置情況和結(jié)果；（4） 與外部相關(guān)組織或機構(gòu)進行聯(lián)系，關(guān)注當前流行信息安全漏洞和問題；（5） 履行信息安全辦公室以及上級領(lǐng)導(dǎo)要求的其他職責要求。第五章應(yīng)急響應(yīng)的流程第十八條事件分析事件分析主要完成如下工作：（ 一 ） 在 發(fā)生信息安全事件后，應(yīng)急響應(yīng)小組對事件進行確18認。（ 二 ） 確 認為信息安全事件后，根據(jù)應(yīng)急處理事件分類規(guī)則對事件進行定性、定級和上報。（ 三 ） 根 據(jù)對事件的初步分析，確定應(yīng)急處理方式，如果應(yīng) 急響應(yīng)小組以自身力量無法處理的事件，向信息安全 領(lǐng)導(dǎo)小組提出應(yīng)急支援請求。應(yīng)急響應(yīng)流程圖第十九條事件處理事件處理主要包括以下內(nèi)容：（ 一 ） 泄 密安全事件發(fā)

12、生時，要及時的用口頭或書面的形式向保密工作部門如實報告并上報上級主管部門的保密機構(gòu)，同時采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切斷泄密源頭，控制泄密范圍，并及時對系統(tǒng)隱患進行修補。在對系統(tǒng)的泄漏隱患或風險進行重新評估，確認安全后，系統(tǒng)方能重新運行，對事件類型、發(fā)生原因、 影響范圍、補救措施和最終結(jié)果進行詳細紀錄。（ 二 ） 系 統(tǒng)運行安全事件發(fā)生時，應(yīng)分析是否存在針對該事件的特定系統(tǒng)預(yù)案，如果存在則啟動特定系統(tǒng)應(yīng)急預(yù)案，如果涉及多個特定系統(tǒng)預(yù)案，應(yīng)同時啟動所有涉及的特定系統(tǒng)預(yù)案。分析是否存在針對該事件的專題預(yù)案，如果存在則啟動專題預(yù)案，如果事件涉及多個專題預(yù)案，應(yīng)同時啟動所有涉及的專題預(yù)案。（

13、 三 ） 如 果沒有針對該事件的應(yīng)急預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進一步擴散，并根除事件影響，恢復(fù)系統(tǒng)運行。第二十條結(jié)束響應(yīng)（ 一 ） 系 統(tǒng)恢復(fù)運行后，應(yīng)急響應(yīng)小組對事件造成的損失、事件處理流程、應(yīng)急預(yù)案進行評估，對響應(yīng)流程、預(yù)案提出修改意見，撰寫事件處理報告。應(yīng)急響應(yīng)小組應(yīng)根據(jù)信息安全事件報告與處置管理制度要求，確定是否需要上報該事件及其處理過程，需要上報的應(yīng)及時準備相關(guān)材料，上報上級機關(guān)。（ 二 ） 對 于蠕蟲、病毒等易造成大范圍傳播的信息安全事件，應(yīng)及時向信息安全辦公室提交預(yù)警信息。（ 三 ） 應(yīng) 急響應(yīng)流程結(jié)束。第六章應(yīng)急處置演練制度第二十一條為保證應(yīng)急行動的能力，

14、應(yīng)每年至少組織一次應(yīng)急行動演練，以提高處理應(yīng)急事件的能力，檢驗物資器材的完好情況。應(yīng)急響應(yīng)演練按如下步驟進行：（ 一 ） 由 信息安全辦公室確定應(yīng)急響應(yīng)演練的目標和應(yīng)急響應(yīng)演練的范圍；（ 二 ） 按 信息安全辦公室的要求，由應(yīng)急辦響應(yīng)小組制定應(yīng)急響應(yīng)演練的方案；（ 三 ） 信 息安全辦公室調(diào)配應(yīng)急響應(yīng)演練所需的各項資源，并協(xié)調(diào)應(yīng)急響應(yīng)演練過程中涉及的部門和單位；（ 四 ） 信 息安全辦公室組織并監(jiān)督應(yīng)急響應(yīng)小組進行應(yīng)急演練；（ 五 ） 信 息安全辦公室對應(yīng)急演練進行評估，并向信息安全領(lǐng)導(dǎo)小組報告演練結(jié)果；（ 六 ） 信 息安全應(yīng)急響應(yīng)小組總結(jié)經(jīng)驗，根據(jù)演練結(jié)果對應(yīng)急預(yù)案進行更新，并對單位的應(yīng)急

15、工作整改。 在應(yīng)急響應(yīng)演練結(jié)束之后，應(yīng)急響應(yīng)小組應(yīng)針對應(yīng)急 響應(yīng)工作過程中遇到的問題，分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性 和合理性，針對預(yù)案中的問題向應(yīng)急辦提出修改建議。信 息安全辦公室組織對修改意見進行評估，修改后的預(yù)案應(yīng) 經(jīng)評估通過后，上報信息安全領(lǐng)導(dǎo)小組，經(jīng)批準后發(fā)布實 施。在上級部門預(yù)案或相關(guān)的法律標準修改后，本預(yù)案應(yīng)進行調(diào)整與其保持一致。調(diào)整后，信息安全辦公室對其評 審，評審?fù)ㄟ^后上報信息安全領(lǐng)導(dǎo)小組，經(jīng)批準后發(fā)布實 施。第七章應(yīng)急響應(yīng)總結(jié)制度第二十二條應(yīng)急處置結(jié)束后，須進行以下工作：（ 一 ） 召 開應(yīng)急事件總結(jié)會議。（ 二 ） 分 析異常事件發(fā)生的原因，形成信息安全事件原因分析報告。（ 三

16、 ） 有 關(guān)人員編制安全事件處置報告。報告內(nèi)容包括事件發(fā)生事件、地點，監(jiān)測到時間的事件、地點，事件的處理過程，事件的處理方法，事件造成的影響，可吸取的經(jīng)驗報告。（ 四 ） 對 相關(guān)責任人員進行嚴肅的批評和教育，指出其工作中的缺陷，并讓其提供總結(jié)報告。情節(jié)嚴重的，給予書面警告、除名等處罰措施。（ 五 ） 針 對發(fā)生的事件的起因，分析改進的措施和補救方法， 從技術(shù)和管理上加以改進，堅決杜絕類似事件在今后發(fā)生。（ 六 ） 技 術(shù)改進措施：針對脆弱性或漏洞，檢查涉密信息系統(tǒng)的其他位置，找出并進行改進或加固；改進應(yīng)急方案內(nèi)容，使應(yīng)急方案滿足今后的日常監(jiān)測和應(yīng)急需要；增加可能出現(xiàn)故障設(shè)備的備份設(shè)備，增加單

17、點設(shè)備的備份設(shè)備；更換或升級經(jīng)常出故障的產(chǎn)品。對本次應(yīng)急處理的處理方法進行歸檔，作為知識庫進行保管。（ 七 ） 管 理改進措施：修改相關(guān)制度和崗位工作任務(wù)和職責；落實人員的崗位職責；進一步做好系統(tǒng)的日常運維工作；加強教育，培養(yǎng)人員的安全意識；進一步加強安全檢查，以檢查促安全。第八章保障措施第二十三條人員保障人力資源的保障是應(yīng)急保障措施中的一項重要工作內(nèi)容。 為了提高應(yīng)急響應(yīng)小組的人員素質(zhì)，應(yīng)針對本單位的應(yīng)急響應(yīng)工作任務(wù)，制定并實施完善、高效、 合理的人員培訓(xùn)和演練計劃。在應(yīng)急響應(yīng)工作中，各部門工作人員應(yīng)服從應(yīng)急辦的統(tǒng)一協(xié)調(diào)和安排。第二十四條設(shè)備保障為保證在發(fā)生信息安全事件時應(yīng)急工具及設(shè)備能夠立

18、即投入使用，有效地支持應(yīng)急響應(yīng)工作，應(yīng)加強對這些工具及設(shè)備的日常維護調(diào)試，保證其隨時處于可用狀態(tài)。應(yīng)急工作中涉及的關(guān)鍵設(shè)備包括：網(wǎng)絡(luò)分析儀、數(shù)據(jù)恢復(fù)工具、流量監(jiān)控設(shè)備。另外， 應(yīng)急響應(yīng)小組還應(yīng)注意跟蹤最新的技術(shù)發(fā)展動態(tài)， 收集、 整理其他應(yīng)急響應(yīng)相關(guān)工具，包括文件完整性檢測工具、木馬 /后門檢測工具等等。對于病毒庫、脆弱性評估系統(tǒng)插件庫等應(yīng)及時更新；根據(jù)工作需要，應(yīng)急響應(yīng)工作缺乏的設(shè)備或工具軟件應(yīng)及時采購。第二十五條技術(shù)資料保障全面的技術(shù)資料是高效的應(yīng)急響應(yīng)工作的前提和基礎(chǔ)，應(yīng)急技術(shù)資料是網(wǎng)絡(luò)和信息系統(tǒng)重要技術(shù)信息，包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)、重要系統(tǒng)或設(shè)備的型號及配置（操作系統(tǒng)及版本號、應(yīng)用軟件及版本號等）、 主要設(shè)備廠商信息、 設(shè)備使用人員的