中學(xué)應(yīng)急響應(yīng)預(yù)案

中學(xué)應(yīng)急響應(yīng)預(yù)案一總則目的。為規(guī)范江蘇省宿遷中學(xué)應(yīng)急響應(yīng)工作內(nèi)容和流程，提高自身的應(yīng)急響應(yīng)能力，完善應(yīng)急響應(yīng)機(jī)制，確保信息系統(tǒng)的安全和業(yè)務(wù)的連續(xù)性，依據(jù)《江蘇省宿遷中學(xué)信息安全管理辦法》制定本管理制度。對(duì)象。本管理制度的對(duì)象針對(duì)網(wǎng)絡(luò)與信息安全突發(fā)公共事件和可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)公共事件。范圍。本預(yù)案適用于本單位信息安全事件的應(yīng)急響應(yīng)工作。當(dāng)發(fā)生重大信息安全事件時(shí)，啟動(dòng)本預(yù)案。要求。江蘇省宿遷中學(xué)信息系統(tǒng)的應(yīng)急響應(yīng)預(yù)案安全管理要求統(tǒng)一遵循《GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。二應(yīng)急響應(yīng)策略1.總體策略（1）應(yīng)急響應(yīng)作為信息系統(tǒng)故障或發(fā)生異常事件的最后一道防線，必須高度重視，從技術(shù)、管理等多方面加以應(yīng)對(duì)和處置；（2）發(fā)生異常事件時(shí)不慌亂，接受應(yīng)急響應(yīng)及處置領(lǐng)導(dǎo)小組的統(tǒng)一管理，嚴(yán)密有序的組織應(yīng)對(duì)和處置；（3）發(fā)生泄密事件時(shí)，須提高事件處置的等級(jí)，優(yōu)先處理泄密事件；（4）發(fā)生異常事件時(shí)，須按照“快速恢復(fù)，減少損失”的要求來(lái)進(jìn)行處置，以最快的速度恢復(fù)至事件前的狀態(tài)，并將事件造成的不良影響降低至最低程度；（5）按照PDCA模型處理應(yīng)急響應(yīng)事件，遵循“應(yīng)急響應(yīng)-知識(shí)查詢-問(wèn)題排除-知識(shí)庫(kù)修復(fù)”的操作流程不斷豐富應(yīng)急響應(yīng)知識(shí)庫(kù)，為全面運(yùn)行和管理涉密信息系統(tǒng)提供理論支撐和最佳實(shí)踐經(jīng)驗(yàn)；（6）每年適當(dāng)增加應(yīng)急響應(yīng)的工作經(jīng)費(fèi)，保障應(yīng)急處置的順利工作；（7）應(yīng)急培訓(xùn)和演練須務(wù)實(shí)，不留死角。對(duì)培訓(xùn)和演練須不斷進(jìn)行總結(jié)和評(píng)估。2.泄密事件處置策略（1）堅(jiān)持預(yù)防為主的策略，最低程度減少泄密事件發(fā)生的可能性；（2）發(fā)生泄密事件，首先要采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切斷泄密源頭，控制泄密范圍；（3）發(fā)生泄密事件立即用口頭或書面的形式向保密工作部門如實(shí)報(bào)告；（4）在對(duì)泄密事件處置過(guò)程中，防止發(fā)生再次泄密事件；（5）在對(duì)系統(tǒng)的泄漏隱患或風(fēng)險(xiǎn)進(jìn)行重新評(píng)估，確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行，對(duì)事件類型、發(fā)生原因、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)紀(jì)錄；（6）處置結(jié)束后，要針對(duì)本次泄密事件，進(jìn)行認(rèn)真總結(jié)和分析，防止今后在發(fā)生類似事件；（7）若人為事故，對(duì)泄密責(zé)任人須采取處罰措施。3.數(shù)據(jù)故障恢復(fù)事件策略（1）首先要判斷清楚故障原因，如分清是邏輯故障還是物理設(shè)備故障；（2）如能簡(jiǎn)單恢復(fù)，則不需要進(jìn)行復(fù)雜恢復(fù)；（3）確保恢復(fù)數(shù)據(jù)的可用性。在恢復(fù)之前，對(duì)數(shù)據(jù)進(jìn)行可用性測(cè)試；（4）恢復(fù)之后必須進(jìn)行新的數(shù)據(jù)庫(kù)的備份；（5）針對(duì)故障原因，調(diào)整數(shù)據(jù)備份和恢復(fù)策略；（6）針對(duì)故障原因，針對(duì)硬件設(shè)備進(jìn)行必要的調(diào)整和升級(jí)；（7）若人為事故，對(duì)相關(guān)責(zé)任人員進(jìn)行教育和處罰。4.系統(tǒng)故障恢復(fù)策略；（1）分析判斷系統(tǒng)故障的準(zhǔn)確原因，是操作不當(dāng)還是軟件漏洞；（2）故障原因能夠重現(xiàn)，應(yīng)詳細(xì)記錄故障現(xiàn)象；（3）分析系統(tǒng)故障原因是否與設(shè)置的策略有矛盾和沖突；（4）系統(tǒng)重新安裝或升級(jí)之前做好數(shù)據(jù)備份以及測(cè)試工作，以防無(wú)法回退；（5）系統(tǒng)重新安裝或升級(jí)之后須做好策略的調(diào)整工作；（6）若人為事故，對(duì)相關(guān)責(zé)任人員進(jìn)行教育和處罰。5.設(shè)備故障恢復(fù)策略；（1）分析判斷是系統(tǒng)故障還是設(shè)備故障，若是設(shè)備故障，須定位故障設(shè)備；（2）故障原因能夠重現(xiàn)，應(yīng)詳細(xì)記錄故障現(xiàn)象；（3）故障設(shè)備替換之前，須做好數(shù)據(jù)備份、策略備份；（4）故障設(shè)備在維修之前須查看設(shè)備是否涉密，若涉密，則按涉密維修的流程處理；（5）涉密故障設(shè)備在維修之前須先用數(shù)據(jù)清除等工具徹底清除保密數(shù)據(jù)；（6）新設(shè)備重新安裝之后，須做好設(shè)備的安全策略設(shè)置；（7）對(duì)關(guān)鍵設(shè)備實(shí)施冗余配置，提高其運(yùn)行可靠性；（8）若人為事故，對(duì)相關(guān)責(zé)任人員進(jìn)行教育和處罰。6.系統(tǒng)運(yùn)行策略（1）定期進(jìn)行數(shù)據(jù)備份；（2）不得在系統(tǒng)內(nèi)安裝非授權(quán)的軟件；（3）不得在系統(tǒng)內(nèi)接入非授權(quán)的設(shè)備；（4）每天進(jìn)行數(shù)據(jù)的監(jiān)控和審計(jì)工作；（5）定期開展信息安全檢查工作；（6）各類信息或設(shè)備的訪問(wèn)權(quán)限須嚴(yán)格控制。（7）針對(duì)應(yīng)用需要，不斷調(diào)整和優(yōu)化詳細(xì)安全策略。（8）定期對(duì)系統(tǒng)風(fēng)險(xiǎn)、威脅等進(jìn)行風(fēng)險(xiǎn)評(píng)估。三基本原則1.堅(jiān)持預(yù)防為主提高江蘇省宿遷中學(xué)的信息安全防護(hù)意識(shí)和水平，加強(qiáng)信息系統(tǒng)安全體系建設(shè)，按照涉密系統(tǒng)信息系統(tǒng)建設(shè)運(yùn)行的特點(diǎn)和規(guī)律積極做好日常安全工作，開展安全教育和培訓(xùn)工作，建立完善的安全管理、監(jiān)督和審查制度，提高各部門應(yīng)對(duì)突發(fā)信息安全事件的能力。2.提高快速反應(yīng)能力建立信息安全預(yù)警和事件快速反應(yīng)機(jī)制，建立高效的事件匯報(bào)渠道，強(qiáng)化人力、物力、財(cái)力儲(chǔ)備，增強(qiáng)應(yīng)急處理能力。保證對(duì)信息安全事件做到早發(fā)現(xiàn)、早報(bào)告、早處理、早恢復(fù)等環(huán)節(jié)的緊密銜接，一旦出現(xiàn)影響信息系統(tǒng)的安全事件，快速反應(yīng)，及時(shí)準(zhǔn)確處置。3.加強(qiáng)安全監(jiān)管在網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的基礎(chǔ)上，建立完善的信息系統(tǒng)安全監(jiān)控和管理機(jī)制，對(duì)數(shù)據(jù)庫(kù)服務(wù)器、業(yè)務(wù)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)狀況進(jìn)行持續(xù)和重點(diǎn)監(jiān)控，及時(shí)發(fā)現(xiàn)信息安全隱患和事件跡象，進(jìn)行安全預(yù)警并采取針對(duì)性的應(yīng)對(duì)措施。4.責(zé)任到人、制度保障明確信息安全應(yīng)急響應(yīng)工作的角色和職責(zé)，保證各項(xiàng)工作責(zé)任到人，建立應(yīng)急響應(yīng)各項(xiàng)工作的處理流程，實(shí)現(xiàn)應(yīng)急響應(yīng)工作的規(guī)范化、制度化和流程化。四組織指揮和職責(zé)江蘇省宿遷中學(xué)成立網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)小組，由張德超任組長(zhǎng)，紀(jì)文杰任副組長(zhǎng)，王學(xué)松,羅淮,高寒為成員。應(yīng)急響應(yīng)小組的主要職責(zé)與任務(wù)是統(tǒng)一領(lǐng)導(dǎo)單位內(nèi)信息網(wǎng)絡(luò)的安全應(yīng)急工作，處置單位機(jī)關(guān)內(nèi)信息網(wǎng)絡(luò)的突發(fā)事件。五應(yīng)急響應(yīng)的流程1.事件分析事件分析主要完成如下工作：（1）在發(fā)生信息安全事件后，應(yīng)急響應(yīng)小組對(duì)事件進(jìn)行確認(rèn)。（2）確認(rèn)為信息安全事件后，根據(jù)應(yīng)急處理事件分類規(guī)則對(duì)事件進(jìn)行定性、定級(jí)和上報(bào)。（3）根據(jù)對(duì)事件的初步分析，確定應(yīng)急處理方式，如果應(yīng)急響應(yīng)小組以自身力量無(wú)法處理的事件，由信息安全領(lǐng)導(dǎo)小組提出應(yīng)急支援請(qǐng)求。2.事件處理事件處理主要包括以下內(nèi)容：（1）泄密安全事件發(fā)生時(shí)，要及時(shí)的用口頭或書面的形式向保密工作部門如實(shí)報(bào)告并上報(bào)上級(jí)主管部門的保密機(jī)構(gòu)，同時(shí)采取斷開網(wǎng)絡(luò)、改變或終止用戶權(quán)限等措施切斷泄密源頭，控制泄密范圍，并及時(shí)對(duì)系統(tǒng)隱患進(jìn)行修補(bǔ)。在對(duì)系統(tǒng)的泄漏隱患或風(fēng)險(xiǎn)進(jìn)行重新評(píng)估，確認(rèn)安全后，系統(tǒng)方能重新運(yùn)行，對(duì)事件類型、發(fā)生原因、影響范圍、補(bǔ)救措施和最終結(jié)果進(jìn)行詳細(xì)紀(jì)錄。（2）系統(tǒng)運(yùn)行安全事件發(fā)生時(shí)，應(yīng)分析是否存在針對(duì)該事件的特定系統(tǒng)預(yù)案，如果存在則啟動(dòng)特定系統(tǒng)應(yīng)急預(yù)案，如果涉及多個(gè)特定系統(tǒng)預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的特定系統(tǒng)預(yù)案。分析是否存在針對(duì)該事件的專題預(yù)案，如果存在則啟動(dòng)專題預(yù)案，如果事件涉及多個(gè)專題預(yù)案，應(yīng)同時(shí)啟動(dòng)所有涉及的專題預(yù)案。（3）如果沒(méi)有針對(duì)該事件的應(yīng)急預(yù)案，應(yīng)根據(jù)事件具體情況，采取抑制措施，抑制事件進(jìn)一步擴(kuò)散，并根除事件影響，恢復(fù)系統(tǒng)運(yùn)行。3.結(jié)束響應(yīng)（1）系統(tǒng)恢復(fù)運(yùn)行后，應(yīng)急響應(yīng)小組對(duì)事件造成的損失、事件處理流程、應(yīng)急預(yù)案進(jìn)行評(píng)估，對(duì)響應(yīng)流程、預(yù)案提出修改意見，撰寫事件處理報(bào)告。應(yīng)急響應(yīng)小組應(yīng)根據(jù)《應(yīng)急響應(yīng)管理制度》要求，確定是否需要上報(bào)該事件及其處理過(guò)程，需要上報(bào)的應(yīng)及時(shí)準(zhǔn)備相關(guān)材料，上報(bào)上級(jí)機(jī)關(guān)。（2）對(duì)于蠕蟲、病毒等易造成大范圍傳播的信息安全事件，應(yīng)及時(shí)向應(yīng)急辦提交預(yù)警信息。（3）應(yīng)急響應(yīng)流程結(jié)束。六不同事件的應(yīng)急預(yù)案當(dāng)人為、病毒破壞或設(shè)備損壞的災(zāi)害發(fā)生時(shí)，具體按以下順序進(jìn)行：判斷破壞的來(lái)源與性質(zhì)，斷開影響安全與穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備，斷開與破壞來(lái)源的網(wǎng)絡(luò)物理連接，跟蹤并鎖定破壞來(lái)源的IP或其它網(wǎng)絡(luò)用戶信息，修復(fù)被破壞的信息，恢復(fù)信息系統(tǒng)。按照災(zāi)害發(fā)生的性質(zhì)分別采用以下方案：1.網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論事件緊急處置措施?（1）網(wǎng)站、網(wǎng)頁(yè)由信息所值班人員負(fù)責(zé)隨時(shí)密切監(jiān)視信息內(nèi)容；（2）發(fā)現(xiàn)在網(wǎng)上出現(xiàn)內(nèi)容被篡改或非法信息時(shí)，值班人員立即向本單位信息安全負(fù)責(zé)人通報(bào)情況；情況緊急的，首先中斷服務(wù)器網(wǎng)線連接，再按程序報(bào)告；?（3）信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，作好必要記錄，清理非法信息，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁(yè)重新投入使用；?（4）追查非法信息來(lái)源，并將有關(guān)情況向本單位信息安全領(lǐng)導(dǎo)小組匯報(bào)；（5）信息安全領(lǐng)導(dǎo)小組召開會(huì)議，如認(rèn)為事態(tài)嚴(yán)重，立即向公安部門報(bào)警。2．黑客攻擊事件緊急處置措施??（1）當(dāng)發(fā)現(xiàn)黑客正在進(jìn)行攻擊時(shí)或者已經(jīng)被攻擊時(shí)，首先將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái)，保護(hù)現(xiàn)場(chǎng)，并將有關(guān)情況向信息安全領(lǐng)導(dǎo)小組匯報(bào)；（2）信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，對(duì)現(xiàn)場(chǎng)進(jìn)行分析，并做好記錄，必要時(shí)上報(bào)主管部門；??（3）恢復(fù)與重建被攻擊或破壞系統(tǒng)；（4）信息化領(lǐng)導(dǎo)小組召開會(huì)議，如認(rèn)為事態(tài)嚴(yán)重則立即公安部門報(bào)警。??3.病毒事件緊急處置措施?（1）當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后，應(yīng)立即向信息安全負(fù)責(zé)任人報(bào)告，將該機(jī)從網(wǎng)絡(luò)上隔離開；（2）信息安全相關(guān)負(fù)責(zé)人員在接到通報(bào)后立即趕到現(xiàn)場(chǎng)，對(duì)該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份；（3）啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)通過(guò)病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作；（4）如果現(xiàn)行反病毒軟件無(wú)法清除該病毒，應(yīng)及時(shí)向信息安全領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決；（5）信息安全領(lǐng)導(dǎo)小組開會(huì)研究，認(rèn)為情況嚴(yán)重的，立即向公安部門報(bào)警。4.軟件系統(tǒng)遭到破壞性攻擊的緊急處置措施（1）重要的軟件系統(tǒng)平時(shí)必須有備份，與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必須按容災(zāi)備份規(guī)定的間隔按時(shí)進(jìn)行備份，并將它們保存于安全處；（2）一旦軟件遭到破壞性攻擊立即將該系統(tǒng)停止，并信息安全負(fù)責(zé)人報(bào)告。（3）檢查信息系統(tǒng)的日志等資料，確定攻擊來(lái)源，并將有關(guān)情況向信息安全領(lǐng)導(dǎo)小組匯報(bào)，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)；（4）信息安全領(lǐng)導(dǎo)小組召開會(huì)議，如認(rèn)為事態(tài)嚴(yán)重，立即向公安部門報(bào)警5.數(shù)據(jù)庫(kù)安全緊急處置措施（1）對(duì)于重要的信息系統(tǒng)，主要數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)按雙機(jī)設(shè)備設(shè)置，并至少要準(zhǔn)備兩個(gè)以上數(shù)據(jù)庫(kù)備份，一個(gè)備份放在機(jī)房，一個(gè)備份放在另一安全建筑物中；（2）若數(shù)據(jù)庫(kù)崩潰，值班人員立即啟動(dòng)備用系統(tǒng)，向信息安全負(fù)責(zé)人報(bào)告；（3）在備用系統(tǒng)運(yùn)行期間，信息安全工作人員應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)；（4）如果兩套系統(tǒng)均崩潰而無(wú)法恢復(fù)，應(yīng)立即向有關(guān)廠商請(qǐng)求緊急支援6.廣域網(wǎng)外部線路中斷緊急處置措施（1）廣域網(wǎng)線路中斷后，值班人員應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告；（2）信息安全相關(guān)負(fù)責(zé)人員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)，查明故障原因，如書我方管轄范圍，應(yīng)立即予以恢復(fù)，如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求恢復(fù)。（3）如有必要，向信息安全領(lǐng)導(dǎo)小組匯報(bào)。7.局域網(wǎng)中斷緊急處置措施（1）設(shè)備管理部門平時(shí)應(yīng)將準(zhǔn)備好網(wǎng)絡(luò)設(shè)備放在指定的位置；（2）局域網(wǎng)中斷后，信息安全相關(guān)負(fù)責(zé)人應(yīng)立即判斷故障節(jié)點(diǎn)，查明故障原因并向網(wǎng)絡(luò)安全小組匯報(bào)；（3）如屬線路故障，應(yīng)重新安裝線路，如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備去除接上，并調(diào)試通暢，如屬路由器、交換機(jī)配置文件破壞，應(yīng)迅速按照要求重新配置，并調(diào)試通暢；（4）如有必要，向信息安全領(lǐng)導(dǎo)小組匯報(bào)。8.設(shè)備安全緊急處置措施（1）服務(wù)器等關(guān)鍵設(shè)備損壞后，值班人員應(yīng)立即向信息安全小組匯報(bào)；（2）信息安全相關(guān)負(fù)責(zé)人員立即查明原因，如果能夠自行恢復(fù)，應(yīng)立即用備用部件替換受損部件，如屬不能自行恢復(fù)的。立即與設(shè)備提供商聯(lián)系，請(qǐng)求派維護(hù)人員前來(lái)維修；（3）如果設(shè)備一時(shí)不能恢復(fù)，立即向信息安全領(lǐng)導(dǎo)小組匯報(bào)。當(dāng)發(fā)生的災(zāi)害為自然災(zāi)害時(shí)，應(yīng)根據(jù)當(dāng)時(shí)的實(shí)際情況保障數(shù)據(jù)的安全，在保障人員人身安全的前提下，保障設(shè)備安全，如硬盤的拔出與保存，設(shè)備的斷電與拆卸、搬遷等。當(dāng)發(fā)生火災(zāi)時(shí)，若因用電等原因引出火災(zāi)，立即切斷電源，撥打119報(bào)警，組織人員開啟滅火器進(jìn)行撲救：1.對(duì)于初起火災(zāi)，現(xiàn)場(chǎng)人員應(yīng)立即實(shí)施撲救工作，使用滅火器實(shí)施撲救工作；2.火勢(shì)較大時(shí)，應(yīng)立即撥打119火災(zāi)報(bào)警電話和根據(jù)火災(zāi)情況啟動(dòng)有關(guān)消防設(shè)備，通知有關(guān)人員到場(chǎng)滅火；3.在保障人員安全的情況下，保護(hù)數(shù)據(jù)及設(shè)備。七應(yīng)急處置演練制度為保證應(yīng)急行動(dòng)的能力，應(yīng)每年至少組織一次應(yīng)急行動(dòng)演練，以提高處理應(yīng)急事件的能力，檢驗(yàn)物資器材的完好情況。應(yīng)急響應(yīng)演練按如下步驟進(jìn)行：（1）由信息安全工作小組確定應(yīng)急響應(yīng)演練的目標(biāo)和應(yīng)急響應(yīng)演練的范圍；（2）按信息安全工作小組要求，由應(yīng)急響應(yīng)小組制定應(yīng)急響應(yīng)演練的方案；（3）信息安全工作小組調(diào)配應(yīng)急響應(yīng)演練所需的各項(xiàng)資源，并協(xié)調(diào)應(yīng)急響應(yīng)演練過(guò)程中涉及的部門和單位；（4）信息安全工作小組組織并監(jiān)督應(yīng)急響應(yīng)小組進(jìn)行應(yīng)急演練；（5）信息安全工作小組對(duì)應(yīng)急演練進(jìn)行評(píng)估，并向信息安全領(lǐng)導(dǎo)小組報(bào)告演練結(jié)果；（6）信息安全應(yīng)急響應(yīng)小組總結(jié)經(jīng)驗(yàn)，根據(jù)演練結(jié)果對(duì)應(yīng)急預(yù)案進(jìn)行更新，并對(duì)江蘇省宿遷中學(xué)的應(yīng)急工作整改。（7）在應(yīng)急響應(yīng)演練結(jié)束之后，應(yīng)急響應(yīng)小組應(yīng)針對(duì)應(yīng)急響應(yīng)工作過(guò)程中遇到的問(wèn)題，分析應(yīng)急響應(yīng)預(yù)案的科學(xué)性和合理性，針對(duì)預(yù)案中的問(wèn)題向應(yīng)急辦提出修改建議。信息安全工作小組組織對(duì)修改意見進(jìn)行評(píng)估，修改后的預(yù)案應(yīng)經(jīng)評(píng)估通過(guò)后，上報(bào)信息安全領(lǐng)導(dǎo)小組，經(jīng)批準(zhǔn)后發(fā)布實(shí)施。（8）在上級(jí)部門預(yù)案或相關(guān)的法律標(biāo)準(zhǔn)修改后，本預(yù)案應(yīng)進(jìn)行調(diào)整與其保持一致。調(diào)整后，信息安全工作小組對(duì)其評(píng)審，評(píng)審?fù)ㄟ^(guò)后上報(bào)信息安全領(lǐng)導(dǎo)小組，經(jīng)批準(zhǔn)后發(fā)布實(shí)施。八應(yīng)急響應(yīng)總結(jié)制度應(yīng)急處置結(jié)束后，須進(jìn)行以下工作：（1）召開應(yīng)急事件總結(jié)會(huì)議。（2）分析異常事件發(fā)生的原因，形成信息安全事件原因分析報(bào)告。（3）有關(guān)人員編制安全事件處置報(bào)告。報(bào)告內(nèi)容包括事件發(fā)生事件、地點(diǎn)，監(jiān)測(cè)到時(shí)間的事件、地點(diǎn)，事件的處理過(guò)程，事件的處理方法，事件造成的影響，可吸取的經(jīng)驗(yàn)報(bào)告。（4）對(duì)相關(guān)責(zé)任人員進(jìn)行嚴(yán)肅的批評(píng)和教育，指出其工作中的缺陷，并讓其提供總結(jié)報(bào)告。情節(jié)嚴(yán)重的，給予書面警告、除名等處罰措施。（5）針對(duì)發(fā)生的事件的起因，分析改進(jìn)的措施和補(bǔ)救方法，從技術(shù)和管理上加以改進(jìn)，堅(jiān)決杜絕類似事件在今后發(fā)生。（6）技術(shù)改進(jìn)措施：n針對(duì)脆弱性或漏洞，檢查涉密信息系統(tǒng)的位置，找出并進(jìn)行改進(jìn)或加固；n改進(jìn)應(yīng)急方案內(nèi)容，使應(yīng)急方案滿足今后的日常監(jiān)測(cè)和應(yīng)急需要；n增加可能出現(xiàn)故障設(shè)備的備份設(shè)備，增加單點(diǎn)設(shè)備的備份設(shè)備；n更換或升級(jí)經(jīng)常出故障的產(chǎn)品。n對(duì)本次應(yīng)急處理的處理方法進(jìn)行歸檔，作為知識(shí)庫(kù)進(jìn)行保管。（7）管理改進(jìn)措施：n修改相關(guān)制度和崗位工作任務(wù)和職責(zé)；n落實(shí)人員的崗位職責(zé)；n進(jìn)一步做好系統(tǒng)的日常運(yùn)維工作；n加強(qiáng)教育，培養(yǎng)人員的安全意識(shí)；n進(jìn)一步加強(qiáng)安全檢查，以檢查促安全。九保障措施1.人員保障人力資源的保障是應(yīng)急保障措施中的一項(xiàng)重要工作內(nèi)容。為了提高應(yīng)急響應(yīng)小組的人員素質(zhì)，應(yīng)針對(duì)本單位的應(yīng)急響應(yīng)工作任務(wù)，對(duì)系統(tǒng)相關(guān)的人員進(jìn)行培訓(xùn)，知道如何以及何時(shí)使用應(yīng)急計(jì)劃中的控制手段及恢復(fù)策略，保證執(zhí)行應(yīng)急計(jì)劃應(yīng)具有的能力。在應(yīng)急響應(yīng)工作中，各部門工作人員應(yīng)服從應(yīng)急辦的統(tǒng)一協(xié)調(diào)和安排。2.設(shè)備保障為保證在發(fā)生信息安全事件時(shí)應(yīng)急工具及設(shè)備能夠立即投入使用，有效支持應(yīng)急響應(yīng)工作，應(yīng)加強(qiáng)對(duì)這些工具及設(shè)備的日常維護(hù)，保證其隨時(shí)處于可用狀態(tài)。應(yīng)急工作中涉及的關(guān)鍵設(shè)備包括：網(wǎng)絡(luò)分析儀、數(shù)據(jù)恢復(fù)工具、流量監(jiān)控設(shè)備。另外，應(yīng)急響應(yīng)小組還應(yīng)注意跟蹤最新的技術(shù)發(fā)展動(dòng)態(tài)，收集、整理其他應(yīng)急響應(yīng)相關(guān)工具，包括文件完整性檢測(cè)工具、木馬/后門檢測(cè)工具等等。對(duì)于病毒庫(kù)、脆弱性評(píng)估系統(tǒng)插件庫(kù)等應(yīng)及時(shí)更新；根據(jù)工作需要，應(yīng)急響應(yīng)工作缺乏的設(shè)備或工具軟件應(yīng)及時(shí)采購(gòu)。3.技術(shù)資料保障全面的技術(shù)資料是高效的應(yīng)急響應(yīng)工作的前提和基礎(chǔ)，應(yīng)急技術(shù)資料是網(wǎng)絡(luò)和信息系統(tǒng)重要技術(shù)信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要系統(tǒng)或設(shè)備的型號(hào)及配置（操作系統(tǒng)及版本號(hào)、應(yīng)用軟件及版本號(hào)等）、主要設(shè)備廠商信息、設(shè)備使用人員的詳細(xì)信息等。這些信息必須及時(shí)更新，以保證與實(shí)際系統(tǒng)的一致性。各部門還應(yīng)根據(jù)需要對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，隨時(shí)掌握系統(tǒng)安全狀況和存在的殘余風(fēng)險(xiǎn)。4.經(jīng)費(fèi)保障財(cái)務(wù)部門應(yīng)在每年的財(cái)務(wù)預(yù)算中安排應(yīng)急響應(yīng)工作所需網(wǎng)絡(luò)與信息安全專項(xiàng)經(jīng)費(fèi)。5.后勤保障在應(yīng)急響應(yīng)工作中，行政部門應(yīng)做好充分的后勤保障工作，包括應(yīng)急人員的飲食，交通工具和通信聯(lián)絡(luò)等等，確保應(yīng)急響應(yīng)工作的順利開展。6.可持續(xù)保障應(yīng)針對(duì)計(jì)劃的正確性和完整性進(jìn)行定期檢查，在計(jì)劃發(fā)生重大變化時(shí)應(yīng)立即檢查；根據(jù)業(yè)務(wù)應(yīng)用的重要程度的不同，不斷對(duì)計(jì)劃內(nèi)容和規(guī)程進(jìn)行評(píng)估和完善。十應(yīng)急預(yù)案的審查為更好的處理安全事件以及可能發(fā)生的事件，應(yīng)對(duì)應(yīng)急預(yù)案進(jìn)行定期的審查