網(wǎng)絡(luò)安全測評整改應(yīng)急預(yù)案

第一節(jié)安全事件處置與應(yīng)急解決方案 1一、安全事件預(yù)警與分級 1二、安全事件處理 7三、安全事件通報 11四、應(yīng)急響應(yīng)流程 13五、應(yīng)急預(yù)案的制定 14六、培訓(xùn)與演練 25第二節(jié)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案 27一、總則 27二、工作原則 29三、事后處理 30四、人員隊伍 31五、監(jiān)督管理 31第一節(jié)安全事件處置與應(yīng)急解決方案在對信息的安全管理過程中，對于安全事件的處理和應(yīng)急十分重要，該部分工作可以說決定系統(tǒng)安全運維的成敗，我們建議對于安全事件處理與應(yīng)急進行如下方面的建設(shè)：一、安全事件預(yù)警與分級（一）根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件對網(wǎng)絡(luò)與信息系統(tǒng)的直接危害表現(xiàn)，將突發(fā)事件的危害表象分為以下五種：1.網(wǎng)絡(luò)中斷：指突發(fā)事件造成公司管理信息系統(tǒng)的局域網(wǎng)中斷、不能正常使用網(wǎng)絡(luò)的；或公司綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)中斷，影響管理信息系統(tǒng)主營業(yè)務(wù)正常運行的。2.系統(tǒng)癱瘓：指突發(fā)事件造成主營業(yè)務(wù)系統(tǒng)主要功能不可用或不能正常使用的。3.數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后不能全部恢復(fù)的。4.數(shù)據(jù)泄密：發(fā)生涉及公司秘密的數(shù)據(jù)泄漏。5.其它危害：除上述4種以外的危害。（二）根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的起因、機理，將網(wǎng)絡(luò)與信息安全突發(fā)事件分為以下七類：1.有害程序類突發(fā)事件：指受到有害程序的影響而導(dǎo)致的信息安全突發(fā)事件。有害程序類事件包含計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合攻擊程序事件、網(wǎng)頁內(nèi)嵌惡意代碼事件等。2.網(wǎng)絡(luò)攻擊類突發(fā)事件：指通過網(wǎng)絡(luò)或其它技術(shù)手段，利用配置缺陷、協(xié)議缺陷、程序缺陷等攻擊信息系統(tǒng)，造成信息系統(tǒng)異?；虿豢捎玫男畔踩话l(fā)事件。網(wǎng)絡(luò)攻擊類事件包括拒絕服務(wù)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件等。3.信息破壞類事件：指通過網(wǎng)絡(luò)或其它技術(shù)手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄漏、竊取等而導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)毀壞、數(shù)據(jù)泄密的信息安全突發(fā)事件。信息破壞類事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息竊取事件、信息丟失事件等4.信息內(nèi)容安全類突發(fā)事件：指利用網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益等違法內(nèi)容的信息安全突發(fā)事件。信息內(nèi)容包括違反憲法和法律、行政法規(guī)的信息，組織串連、煽動集會游行的信息等。5.故障類突發(fā)事件：指網(wǎng)絡(luò)與信息系統(tǒng)因自身或外圍設(shè)備設(shè)施故障、以及人為誤操作等導(dǎo)致的信息安全突發(fā)事件。故障類事件包括軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故、人為誤操作事故等。6.災(zāi)害類突發(fā)事件：指由于不可抗力對網(wǎng)絡(luò)與信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全突發(fā)事件。災(zāi)害類事件包括水災(zāi)、臺風(fēng)、火災(zāi)、雷擊、地震、坍塌、恐怖襲擊、戰(zhàn)爭等導(dǎo)致的信息安全突發(fā)事件。7.其它類事件：指不能歸為以上6類的信息安全突發(fā)事件。（三）按照網(wǎng)絡(luò)與信息安全突發(fā)事件的危害程度、影響范圍和造成的損失，可將公司網(wǎng)絡(luò)與信息安全突發(fā)事件分為特別重大突發(fā)事件（Ⅰ級）、重大突發(fā)事件（Ⅱ級）、較大突發(fā)事件（Ⅲ級）和一般突發(fā)事件（Ⅳ級）四個等級。1.特別重大突發(fā)事件（Ⅰ級）：指網(wǎng)絡(luò)與信息安全突發(fā)事件造成公司各單位因主營業(yè)務(wù)系統(tǒng)癱瘓，對公司各單位造成巨大經(jīng)濟損失的；網(wǎng)絡(luò)大面積中斷：因綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)中斷，造成分公司、子公司內(nèi)三分之二以上下屬單位不能正常使用管理信息系統(tǒng)主營業(yè)務(wù)系統(tǒng)，持續(xù)時間達0.5小時以上的。主營業(yè)務(wù)系統(tǒng)長時間癱瘓：因主營業(yè)務(wù)系統(tǒng)主要功能不可用，造成分公司、子公司內(nèi)三分之二以上下屬單位不能正常使用系統(tǒng)，系統(tǒng)癱瘓時間0.5個小時以上的。2.重大突發(fā)事件（Ⅱ級）：指網(wǎng)絡(luò)與信息安全突發(fā)事件造成公司各單位主營業(yè)務(wù)系統(tǒng)癱瘓，對公司各單位造成重大經(jīng)濟損失的。網(wǎng)絡(luò)較長時間中斷：因綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)中斷，造成分公司、子公司內(nèi)半數(shù)以上下屬單位不能正常使用管理信息系統(tǒng)主營業(yè)務(wù)系統(tǒng)，持續(xù)時間超過1小時以上的。主營業(yè)務(wù)系統(tǒng)較長時間癱瘓：因主營業(yè)務(wù)系統(tǒng)主要功能不可用，造成分公司、子公司內(nèi)半數(shù)以上下屬單位不能正常使用系統(tǒng)，系統(tǒng)癱瘓時間1個小時以上的。3.較大突發(fā)事件（Ⅲ級）：指網(wǎng)絡(luò)與信息安全突發(fā)事件造成公司各單位主營業(yè)務(wù)系統(tǒng)癱瘓、或主營業(yè)務(wù)系統(tǒng)數(shù)據(jù)毀壞、或經(jīng)營管理數(shù)據(jù)泄密，對公司各單位造成較大經(jīng)濟損失的。網(wǎng)絡(luò)中斷：因綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)中斷，造成分公司、子公司內(nèi)四分之一以上下屬單位不能正常使用管理信息系統(tǒng)主營業(yè)務(wù)系統(tǒng)，持續(xù)時間超過2小時以上的。主營業(yè)務(wù)系統(tǒng)癱瘓：因主營業(yè)務(wù)系統(tǒng)主要功能不可用，造成分公司、子公司內(nèi)四分之一以上下屬單位不能正常使用系統(tǒng)，系統(tǒng)癱瘓時間2個小時以上的。數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后不能恢復(fù)的。數(shù)據(jù)泄密：發(fā)生涉及公司秘密的數(shù)據(jù)泄漏。4.一般突發(fā)事件（Ⅳ級）：指網(wǎng)絡(luò)與信息安全突發(fā)事件造成公司各單位主營業(yè)務(wù)系統(tǒng)癱瘓、或部分主營業(yè)務(wù)系統(tǒng)數(shù)據(jù)毀壞，對公司各單位造成一定的經(jīng)濟損失。網(wǎng)絡(luò)中斷：因綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)中斷而不能正常使用網(wǎng)絡(luò)，造成分公司、子公司內(nèi)至少1個下屬單位不能正常使用管理信息系統(tǒng)主營業(yè)務(wù)系統(tǒng)，持續(xù)時間超過1小時以上的。（持續(xù)時間超過1個小時過短，建議4小時）主營業(yè)務(wù)系統(tǒng)癱瘓：因主營業(yè)務(wù)系統(tǒng)主要功能不可用，造成分公司、子公司內(nèi)至少1個下屬單位不能正常使用系統(tǒng)，系統(tǒng)癱瘓時間1個小時以上的。（持續(xù)時間超過1個小時過短，建議4小時）數(shù)據(jù)毀壞：主營業(yè)務(wù)數(shù)據(jù)毀壞后只能部分恢復(fù)的。（四）參照網(wǎng)絡(luò)與信息安全突發(fā)事件的分類原則，按照網(wǎng)絡(luò)與信息安全威脅產(chǎn)生原因，將網(wǎng)絡(luò)與信息安全預(yù)警信息分以下六類：1.有害程序類預(yù)警信息：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅源于有害程序，有可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)事件的。有害程序包含計算機病毒、蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、混合攻擊程序、網(wǎng)頁內(nèi)嵌惡意代碼等。2.網(wǎng)絡(luò)攻擊類預(yù)警信息：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅源于網(wǎng)絡(luò)攻擊，有可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)事件的。網(wǎng)絡(luò)攻擊包括拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描竊聽、網(wǎng)絡(luò)釣魚等。3.信息內(nèi)容安全類預(yù)警信息：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅為危害國家安全、社會穩(wěn)定和公共利益等違法內(nèi)容的信息，有可能導(dǎo)致網(wǎng)絡(luò)與信息安全突發(fā)事件的。4.故障類預(yù)警信息：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅源于軟件、硬件自身的安全隱患、漏洞等，且同類軟硬件或設(shè)施也有可能故障或不可用的，有可能導(dǎo)致故障類突發(fā)事件的。5.災(zāi)害類預(yù)警信息：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅源于水災(zāi)、臺風(fēng)、火災(zāi)、雷擊、地震、坍塌、恐怖襲擊、戰(zhàn)爭等不可抗力因素，有可能導(dǎo)致災(zāi)害類突發(fā)事件的。6.其它類預(yù)警信息：指不能歸為以上5類的網(wǎng)絡(luò)與信息安全預(yù)警信息。（五）按照網(wǎng)絡(luò)與信息安全可能造成的危害、緊急程度和發(fā)展勢態(tài)，將網(wǎng)絡(luò)與信息安全預(yù)警信息分為四級，即特別嚴重（紅色）、嚴重（橙色）、較重（黃色）和一般（藍色）。特別嚴重預(yù)警（紅色）：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅，可能影響公司范圍內(nèi)所有網(wǎng)絡(luò)和主營業(yè)務(wù)系統(tǒng)，并有擴散到公司全網(wǎng)的可能性。嚴重預(yù)警（橙色）：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅，可能影響公司范圍內(nèi)多個單位的網(wǎng)絡(luò)和主營業(yè)務(wù)系統(tǒng)，并有繼續(xù)擴散的可能性。較重預(yù)警（黃色）：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅，可能影響公司范圍內(nèi)多個單位的網(wǎng)絡(luò)和主營業(yè)務(wù)系統(tǒng)，但無擴散性。一般預(yù)警（藍色）：指發(fā)現(xiàn)的網(wǎng)絡(luò)與信息安全威脅，只可能影響公司范圍內(nèi)1個或個別單位的網(wǎng)絡(luò)和主營業(yè)務(wù)系統(tǒng)，且無擴散性。二、安全事件處理（一）信息安全事件處置各系統(tǒng)發(fā)生安全事件時，系統(tǒng)管理員、網(wǎng)絡(luò)管理員應(yīng)及時處理和匯報；各安全管理員應(yīng)對信息安全事件的發(fā)生、處理辦法進行記錄，并把《信息安全事件記錄單》提交給公司信息技術(shù)專業(yè)機構(gòu)進行備案。在處理安全事件過程中，系統(tǒng)管理、網(wǎng)絡(luò)管理以及信息安全管理員需要根據(jù)信息安全事件的處置進程持續(xù)判斷安全事件的嚴重程度，一旦達到設(shè)定的級別，立即啟動應(yīng)急處置程序。（二）信息安全事件匯報正常情況下，每日由公司信息技術(shù)專業(yè)機構(gòu)值班人員總結(jié)一天來的信息安全狀況，并將前一日信息安全事件處理結(jié)果進行匯報，每日信息安全報告通過電子郵件方式報告給公司信息技術(shù)專業(yè)機構(gòu)領(lǐng)導(dǎo)和信息安全管理部門；信息系統(tǒng)管理人員及信息安全管理人員在值班過程中，監(jiān)測到信息安全事件的發(fā)生，應(yīng)初步判斷信息安全事件的等級，并立即向部門領(lǐng)導(dǎo)報告；部門領(lǐng)導(dǎo)接到信息安全事件報告時，立即核實信息安全事件的等級，如果信息安全事件等級超過一般突發(fā)事件（Ⅳ級），則立即公司信息技術(shù)專業(yè)機構(gòu)領(lǐng)導(dǎo)匯報。信息技術(shù)專業(yè)機構(gòu)領(lǐng)導(dǎo)立即核實信息安全事件的等級，如果信息安全事件等級超過重大突發(fā)事件（Ⅱ級），則立即向公司信息安全管理員會主任匯報。（三）事件處理程序1.備份完全備份所有受影響的系統(tǒng)，包括所有的日志和文件系統(tǒng)的“鏡象備份”。2.隔離隔離是指立即切斷信息安全事故的源頭。從物理上完全阻止入侵或攻擊的繼續(xù)。例如，關(guān)閉主路由器或斷開相關(guān)網(wǎng)絡(luò)連接、物理隔離受攻擊的服務(wù)器等。對于嚴重的信息安全事故必須采取緊急隔離措施。3.監(jiān)視在斷開受入侵或攻擊設(shè)備和其他重要或敏感設(shè)備的網(wǎng)絡(luò)連接后，可以對入侵者進行監(jiān)控，記錄入侵者在系統(tǒng)上所進行的所有活動，并在監(jiān)控的基礎(chǔ)上，跟蹤入侵者，查出入侵或攻擊源頭（可以和其他網(wǎng)絡(luò)或系統(tǒng)管理聯(lián)系，以取得必要的技術(shù)協(xié)助）。4.記錄取證應(yīng)采集如下記錄證據(jù)：（1）防火墻日志文件（2）入侵檢測日志文件（3）防病毒系統(tǒng)日志文件（4）網(wǎng)絡(luò)監(jiān)控日志文件（5）路由器日志文件（6）主交換機日志文件（7）受影響計算機設(shè)備的安全審計記錄（8）所有系統(tǒng)的進程、帳號、配置文件屬性記錄（9）進出受影響計算機設(shè)備的網(wǎng)絡(luò)包5.現(xiàn)場分析處理調(diào)查分析是安全事故事后處理的核心，其主要目的在于找到發(fā)生安全事故的原因和相關(guān)解決方案。需要注意的是，整個調(diào)查分析工作不得不可信的單位進行全權(quán)處理。在沒有找到安全事故的原因或相關(guān)解決方案前，在不影響系統(tǒng)可用性的情況下，須將受影響的計算機系統(tǒng)上線。6.根據(jù)收集到的信息做處理（1）分析入侵方式（2）分析入侵過程（3）預(yù)測和確認入侵方法及時間（4）統(tǒng)計威脅造成的嚴重性（5）制定解決方案并處理（6）如果不能解決，則轉(zhuǎn)入聯(lián)系第三方7.現(xiàn)場分析調(diào)查分析是安全事故事后處理的核心，其主要目的在于找到發(fā)生安全事故的原因和相關(guān)解決方案。需要注意的是，整個調(diào)查分析工作不得不可信的單位進行全權(quán)處理。在沒有找到安全事故的原因或相關(guān)解決方案前，在不影響系統(tǒng)可用性的情況下，須將受影響的計算機系統(tǒng)上線。8.根據(jù)收集到的信息做處理（1）分析入侵方式（2）分析入侵過程（3）預(yù)測和確認入侵方法及時間（4）統(tǒng)計威脅造成的嚴重性9.阻止（1）可以采用方式阻止更進一步的事件破壞：（2）對所有審計信息（如：系統(tǒng)日志文件）進行備份，并妥善保管；（3）獲取所有進程的狀態(tài)信息并將其存在一個文件里，安全存放文件；（4）所有可疑的文件都應(yīng)該先轉(zhuǎn)移到安全的地方或在磁帶里存檔，然后將其刪除；（5）列出所有活動的網(wǎng)絡(luò)連接，在分析員的幫助下獲得系統(tǒng)的快照，記錄所有的行為。（6）殺掉所有活動的黑客進程，并刪除黑客在系統(tǒng)中留下的文件和程序；（7）改變所有黑客訪問過的帳戶的口令，刪除黑客自己開的帳號。記錄所有行為。10.聯(lián)系第三方聯(lián)系第三方安全咨詢公司、安全顧問、安全專家和安全、系統(tǒng)廠商等。公司信息安全管理人員、相關(guān)信息系統(tǒng)管理人員和第三方共同找出解決方案。11.恢復(fù)日常狀態(tài)恢復(fù)日常狀態(tài)包括對遭受安全事故影響的系統(tǒng)進行恢復(fù)和安全修復(fù)兩方面的工作，使受損的系統(tǒng)能恢復(fù)正常運作，并作必要的技術(shù)處理，當(dāng)相同的安全事故再次發(fā)生時，系統(tǒng)將不受其影響。（1）重新安裝操作系統(tǒng)和應(yīng)用程序（2）恢復(fù)攻擊前所有的正常數(shù)據(jù)（3）根據(jù)該系統(tǒng)的配置文檔進行配置12.加固處理加固系統(tǒng)使系統(tǒng)同類問題的破壞，在采用這些措施之前，有必要對系統(tǒng)的損壞程度進行評估，對惡意代碼進行分析提供相應(yīng)的解決方案。根據(jù)解決方案，按照系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫等安全配置標準進行加固處理。13.重新入網(wǎng)在經(jīng)過加固處理后，確定系統(tǒng)恢復(fù)日常狀態(tài)，可以重新接入網(wǎng)絡(luò)，把隔離的系統(tǒng)重新加入網(wǎng)絡(luò)，解除隔離。14.反饋根據(jù)安全事故的損失和后果，明確責(zé)任者，并由公司信息技術(shù)專業(yè)機構(gòu)領(lǐng)導(dǎo)將安全事故的處理報告提交給公司信息安全管理委員會。對于涉及計算機犯罪的安全事故，安全事故的處理報告由公司信息安全管理委員會決定是否抄送給公安部門。對問題進行調(diào)查分析，務(wù)必找出原因，并制訂相應(yīng)的預(yù)防對策。系統(tǒng)恢復(fù)運行，事件結(jié)束。將安全事故處理報告抄送給公司文檔管理員歸檔。三、安全事件通報（一）安全事件通報內(nèi)容1.安全事件的通報內(nèi)容如下：2.網(wǎng)絡(luò)與信息安全突發(fā)事件信息；3.網(wǎng)絡(luò)與信息安全預(yù)警信息；4.利用網(wǎng)絡(luò)傳播危害國家安全、社會穩(wěn)定和公共利益等有害或違法信息的情況；5.已經(jīng)確定或可能發(fā)生的計算機病毒、網(wǎng)絡(luò)攻擊情況；6.網(wǎng)絡(luò)或信息系統(tǒng)通信和資源使用異常，網(wǎng)絡(luò)和信息系統(tǒng)癱瘓、應(yīng)用服務(wù)中斷或數(shù)據(jù)篡改、丟失、泄露等情況；7.網(wǎng)絡(luò)安全狀況、安全形勢分析預(yù)測等信息；8.其他影響正常生產(chǎn)的網(wǎng)絡(luò)與信息安全信息。9.通報制度和方法（二）通報制度1.建立月報制度：每月應(yīng)填寫《網(wǎng)絡(luò)與信息系統(tǒng)安全運行月報》，在每月第2個工作日前將上月的安全運行月報上報信息中心。2.敏感時期執(zhí)行日報制度：根據(jù)國家有關(guān)規(guī)定，在兩會、“十一”、春節(jié)及特殊敏感時期，應(yīng)設(shè)專人值守。對于特殊敏感時期，由總部下發(fā)敏感時期信息安全通報通知，并明確日報的啟動時間、截止時間。3.建立網(wǎng)絡(luò)與信息安全突發(fā)事件信息通報制度：當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時，應(yīng)填寫《網(wǎng)絡(luò)與信息安全突發(fā)事件報告》，并按照突發(fā)事件不同等級要求，及時上報至信息中心。4.建立網(wǎng)絡(luò)與信息安全預(yù)警信息通報制度：各單位應(yīng)通過各種途徑收集網(wǎng)絡(luò)與信息安全預(yù)警信息，當(dāng)預(yù)警信息等級為特別嚴重或嚴重時，應(yīng)在24小時內(nèi)向信息中心上報。（三）通報方法1.信息通報可通過公司數(shù)據(jù)上報平臺完成上報。信息通報人負責(zé)信息通報的上報和接收。2.對于網(wǎng)絡(luò)與信息安全突發(fā)事件，還應(yīng)通過信息中心的值班電話進行通知。3.日報、月報執(zhí)行零事件報告制度。4.還應(yīng)按照國家、公司保密規(guī)定，做好本單位網(wǎng)絡(luò)與信息安全信息通報的保密工作。四、應(yīng)急響應(yīng)流程當(dāng)系統(tǒng)出現(xiàn)安全事件后，必須啟動應(yīng)急響應(yīng)，應(yīng)急響應(yīng)的流程如下圖所示：急響應(yīng)流程圖五、應(yīng)急預(yù)案的制定（一）應(yīng)急資源1.應(yīng)急人力資源在應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件時，可以利用的應(yīng)急力量如下：（1）公司總部、各分公司、子公司及下屬單位內(nèi)從事網(wǎng)絡(luò)通訊、信息安全、業(yè)務(wù)系統(tǒng)等專家和技術(shù)人員。（2）利用地方各級人民政府和有關(guān)部門、單位的信息安全技術(shù)人員，包括與公司業(yè)務(wù)來往的網(wǎng)絡(luò)與信息系統(tǒng)供應(yīng)商、集成商及技術(shù)服務(wù)人員。2.應(yīng)急物資和裝備資源網(wǎng)絡(luò)與信息安全應(yīng)急物資和裝備資源主要包括：（1）公司總部、各分公司、子公司及下屬單位的備品備件、計算機設(shè)備、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備與軟件、通信裝備、交通工具、維修工具，以及事件處置案例、解決方案等。（2）地方政府有關(guān)部門、相關(guān)廠商可以協(xié)調(diào)提供的網(wǎng)絡(luò)與信息安全應(yīng)急物資和裝備。3.公司網(wǎng)絡(luò)與信息安全應(yīng)急組織（1）公司網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)體系應(yīng)依據(jù)公司應(yīng)急管理工作規(guī)定，在公司應(yīng)急指揮中心領(lǐng)導(dǎo)下，成立網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)，建立自上而下的公司網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)體系，包括公司層、分公司、子公司層、分公司、子公司下屬單位層三個層次。（2）公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)成立公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組和公司網(wǎng)絡(luò)與信息安全工作小組，構(gòu)成公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)，在公司應(yīng)急指揮中心的領(lǐng)導(dǎo)下，負責(zé)公司網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)的統(tǒng)一指揮和協(xié)調(diào)工作。（3）公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組是公司網(wǎng)絡(luò)與信息安全工作的領(lǐng)導(dǎo)機構(gòu)，決定網(wǎng)絡(luò)與信息安全工作重大事項，主要職責(zé)如下：①貫徹上級領(lǐng)導(dǎo)的要求，統(tǒng)一領(lǐng)導(dǎo)公司網(wǎng)絡(luò)與信息安全監(jiān)督管理工作。②組織落實上級網(wǎng)絡(luò)與信息安全工作的方針、政策和各項重大部署。③審定公司網(wǎng)絡(luò)與信息安全的發(fā)展戰(zhàn)略、總體規(guī)劃、重大政策、管理規(guī)范和技術(shù)標準。④領(lǐng)導(dǎo)公司網(wǎng)絡(luò)與信息安全應(yīng)急工作，貫徹落實國家、行業(yè)、公司有關(guān)網(wǎng)絡(luò)與信息安全應(yīng)急工作的法規(guī)、規(guī)定，建立應(yīng)急保障體制。⑤審定公司網(wǎng)絡(luò)與信息安全重大突發(fā)事件應(yīng)急預(yù)案，決定公司網(wǎng)絡(luò)與信息安全應(yīng)急工作重大事項。⑥指導(dǎo)公司網(wǎng)絡(luò)與信息安全應(yīng)急培訓(xùn)和應(yīng)急預(yù)案演練。⑦指揮公司Ⅰ、Ⅱ級網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置工作。向公司應(yīng)急指揮中心上報公司網(wǎng)絡(luò)與信息安全預(yù)警信息和突發(fā)事件信息，協(xié)調(diào)下級網(wǎng)絡(luò)與信息安全應(yīng)急指揮機構(gòu)開展應(yīng)急處置工作。⑧落實上級交辦的有關(guān)事項。（二）公司網(wǎng)絡(luò)與信息安全工作小組公司網(wǎng)絡(luò)與信息安全工作小組為公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的日常辦事機構(gòu)，貫徹落實公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組決定事項，主要職責(zé)如下：1.負責(zé)向各分公司、子公司傳達上級領(lǐng)導(dǎo)的指示。2.負責(zé)公司網(wǎng)絡(luò)與信息安全監(jiān)督管理的日常工作。3.研究提出公司網(wǎng)絡(luò)與信息安全的發(fā)展戰(zhàn)略、總體規(guī)劃、重大政策。4.組織開展公司網(wǎng)絡(luò)與信息安全信息通報工作，促進技術(shù)交流。5.組織編制公司網(wǎng)絡(luò)與信息安全重大突發(fā)事件應(yīng)急預(yù)案，并督促落實。6.承辦公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組召開的會議和重要活動，落實公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的議定事項。7.整理、分析公司網(wǎng)絡(luò)與信息安全預(yù)警信息和突發(fā)事件信息，并向公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組報告、提出處置建議。在公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組指揮下，處置公司Ⅰ、Ⅱ級網(wǎng)絡(luò)與信息安全事件的應(yīng)急工作。8.組織落實網(wǎng)絡(luò)與信息安全應(yīng)急準備工作，檢查、督促各分公司、子公司的網(wǎng)絡(luò)與信息安全應(yīng)急準備、演練與培訓(xùn)工作。協(xié)調(diào)各分公司、子公司間的網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)處置工作及應(yīng)急資源調(diào)配。9.完成公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組交辦的有關(guān)事項。（三）分公司、子公司的網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)1.成立各分公司、子公司的網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)，在各分公司、子公司應(yīng)急管理領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，負責(zé)本單位的信息安全應(yīng)急響應(yīng)工作，主要職責(zé)如下：2.貫徹落實國家、行業(yè)、公司有關(guān)網(wǎng)絡(luò)與信息安全應(yīng)急工作的方針、政策、規(guī)定。3.負責(zé)建立健全本單位的網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案體系。4.組織編制、完善本單位的網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案及針對基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用信息系統(tǒng)的單項應(yīng)急預(yù)案，組織制定本單位的網(wǎng)絡(luò)與信息安全年度應(yīng)急培訓(xùn)和演練計劃，并上報公司網(wǎng)絡(luò)與信息安全工作小組。5.組織落實本單位網(wǎng)絡(luò)與信息安全應(yīng)急保障工作，協(xié)調(diào)下屬單位間的應(yīng)急資源調(diào)配。6.指揮、處置本單位網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急工作，協(xié)調(diào)下屬單位網(wǎng)絡(luò)與信息安全專項應(yīng)急機構(gòu)開展應(yīng)急工作，并及時做好網(wǎng)絡(luò)與信息安全通報工作。7.指導(dǎo)、檢查、督促下屬單位的網(wǎng)絡(luò)與信息安全應(yīng)急工作，包括下屬單位網(wǎng)絡(luò)與信息專項應(yīng)急機構(gòu)的組建，下屬單位網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案的編制、下屬單位的應(yīng)急保障、應(yīng)急培訓(xùn)和演練計劃。8.協(xié)調(diào)與應(yīng)急響應(yīng)相關(guān)的各方面關(guān)系，包括上級主管部門、地方政府有關(guān)部門、社會信息安全應(yīng)急支援中心等。（四）公司網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案體系建立公司、分公司、子公司及其下屬單位的三級網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案體系：1.公司網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案公司網(wǎng)絡(luò)與信息安全應(yīng)急專項預(yù)案是面向全網(wǎng)針對網(wǎng)絡(luò)與信息安全事件的綜合性應(yīng)急預(yù)案，著重闡述基本原則、應(yīng)急組織結(jié)構(gòu)、應(yīng)急預(yù)案體系、應(yīng)急響應(yīng)流程等。當(dāng)發(fā)生公司網(wǎng)絡(luò)與信息安全特別重大突發(fā)事件（Ⅰ級）或重大突發(fā)事件（Ⅱ級）時，啟動公司網(wǎng)絡(luò)與信息安全應(yīng)急專項預(yù)案，開展應(yīng)急處置工作。當(dāng)發(fā)生公司網(wǎng)絡(luò)與信息安全較大突發(fā)事件（Ⅲ級）或一般突發(fā)事件（Ⅳ級）時，公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)密切關(guān)注突發(fā)事件應(yīng)急工作的進展，協(xié)助各分公司、子公司開展應(yīng)急響應(yīng)工作，做好應(yīng)急支援和資源調(diào)配。2.分公司、子公司網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案各分公司、子公司應(yīng)制定各自的網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案，并根據(jù)本單位的基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)實際情況，編制各自的網(wǎng)絡(luò)與信息安全的單項應(yīng)急預(yù)案。當(dāng)發(fā)生公司網(wǎng)絡(luò)與信息安全較大突發(fā)事件（Ⅲ級）及以上級別事件時，啟動相關(guān)單位網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案，開展應(yīng)急處置工作。當(dāng)發(fā)生公司網(wǎng)絡(luò)與信息安全一般突發(fā)事件（Ⅳ級）時，相關(guān)單位網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)應(yīng)協(xié)助下屬單位開展應(yīng)急響應(yīng)工作，做好應(yīng)急支援和資源調(diào)配。3.分公司、子公司下屬單位網(wǎng)絡(luò)與信息安全應(yīng)急專項預(yù)案各分公司、子公司負責(zé)指導(dǎo)下屬單位的網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案及單項應(yīng)急預(yù)案編制工作。當(dāng)發(fā)生公司網(wǎng)絡(luò)與信息安全一般突發(fā)事件（Ⅳ級）及以上級別事件時，事發(fā)單位啟動本單位網(wǎng)絡(luò)與信息安全應(yīng)急專項預(yù)案，開展應(yīng)急處置工作。（1）預(yù)警預(yù)警分級公司網(wǎng)絡(luò)與信息安全突發(fā)事件預(yù)警等級分為四級，即特別嚴重（紅色）、嚴重（橙色）、較重（黃色）和一般（藍色）。（2）風(fēng)險監(jiān)測預(yù)警信息來源一是依據(jù)政府及有關(guān)部門發(fā)布的網(wǎng)絡(luò)與信息安全突發(fā)事件預(yù)警信息，二是各分公司、子公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)上報的預(yù)警信息等。同時，公司網(wǎng)絡(luò)與信息安全工作小組通過風(fēng)險評估、安全檢查等手段，及時了解和掌握公司網(wǎng)絡(luò)與信息安全狀況，并經(jīng)各種途徑收集網(wǎng)絡(luò)與信息安全預(yù)警信息。（3）預(yù)警信息發(fā)布①公司網(wǎng)絡(luò)與信息安全工作小組針對特別嚴重或嚴重預(yù)警信息，上報公司應(yīng)急指揮中心，并向各分公司、子公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)發(fā)布紅色或橙色預(yù)警信號。②公司網(wǎng)絡(luò)與信息安全工作小組針對可能發(fā)生的突發(fā)事件及時采取應(yīng)急措施，包括通知相關(guān)應(yīng)急處置人員嚴防待命，對應(yīng)急裝備、物資等保障措施的檢查等，采取有效措施控制事態(tài)發(fā)展、消除或減輕威脅，做到早報告、早處置，最大限度減少突發(fā)事件可能造成的損失。（4）預(yù)警更改與結(jié)束根據(jù)預(yù)警信息級別的變化，應(yīng)及時更改和發(fā)布預(yù)警級別，直到預(yù)警狀態(tài)結(jié)束。①應(yīng)急響應(yīng)網(wǎng)絡(luò)與信息安全突發(fā)事件等級公司網(wǎng)絡(luò)與信息安全突發(fā)事件分為特別重大突發(fā)事件（Ⅰ級）、重大突發(fā)事件（Ⅱ級）、較大突發(fā)事件（Ⅲ級）和一般突發(fā)事件（Ⅳ級）四個等級。②事件報告分級報送網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生后，按相關(guān)規(guī)定，由事發(fā)單位逐級上報至公司網(wǎng)絡(luò)與信息安全工作小組。公司網(wǎng)絡(luò)與信息安全工作小組在接到Ⅰ級、II級突發(fā)事件報警后，對報警情況進行核實和分析后，立即上報公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組和公司應(yīng)急指揮中心。③報告要求網(wǎng)絡(luò)與信息安全突發(fā)事件報告內(nèi)容和時限要求按相關(guān)通報管理辦法執(zhí)行。④應(yīng)急處置Ⅳ級突發(fā)事件事發(fā)單位為處置突發(fā)事件的主體，由事發(fā)單位進行應(yīng)急響應(yīng)。公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)密切關(guān)注突發(fā)事件應(yīng)急工作的進展，必要時，開展相關(guān)的協(xié)調(diào)工作。Ⅲ級突發(fā)事件各分公司、子公司為處置突發(fā)事件的主體。公司網(wǎng)絡(luò)與信息安全專項應(yīng)急指揮機構(gòu)密切關(guān)注突發(fā)事件應(yīng)急工作的進展，根據(jù)需要做好應(yīng)急支援和資源調(diào)配。Ⅱ級及Ⅰ級突發(fā)事件公司為處置事件的主體。具體如下：公司應(yīng)急指揮中心宣布啟動公司網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案，并總體協(xié)調(diào)應(yīng)急處置工作。公司網(wǎng)絡(luò)與信息安全工作小組在公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的指揮下開展應(yīng)急處置工作。建立公司、分公司、子公司應(yīng)急指揮機構(gòu)、事發(fā)單位之間的通信聯(lián)系，指導(dǎo)、協(xié)助進行應(yīng)急處理。與應(yīng)急相關(guān)的部門和人員就位，處于隨時待命狀態(tài)。根據(jù)突發(fā)事件的具體情況，調(diào)配應(yīng)急體系中的各級救援力量和資源，開展現(xiàn)場救援工作，必要時求助政府部門動用社會救援力量。公司網(wǎng)絡(luò)與信息安全工作小組在應(yīng)急救援過程中必須對事件的發(fā)展態(tài)勢及影響隨時進行動態(tài)監(jiān)測，為制定應(yīng)急措施、擴大應(yīng)急等提供重要決策依據(jù)。公司網(wǎng)絡(luò)與信息安全工作小組隨時收集、整理應(yīng)急救援情況的信息，并每天向公司應(yīng)急指揮中心報告一次，必要時隨時報告，直到應(yīng)急結(jié)束。⑤應(yīng)急結(jié)束在同時滿足下列條件時，可以宣布解除應(yīng)急狀態(tài)：突發(fā)事件已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運行。由突發(fā)事件引發(fā)的各種網(wǎng)絡(luò)與信息系統(tǒng)事故已得到有效控制，系統(tǒng)運行情況穩(wěn)定。宣布應(yīng)急狀態(tài)的結(jié)束或降級，應(yīng)由如下機構(gòu)負責(zé)：對于Ⅳ級突發(fā)事件，由事發(fā)單位的應(yīng)急指揮機構(gòu)宣布解除應(yīng)急狀態(tài)，轉(zhuǎn)入常態(tài)管理。對于Ⅲ級突發(fā)事件，由各分公司、子公司的應(yīng)急指揮機構(gòu)宣布解除應(yīng)急狀態(tài)，轉(zhuǎn)入常態(tài)管理，或降低事件等級后，轉(zhuǎn)入相應(yīng)等級的應(yīng)急狀態(tài)管理。對于Ⅱ級和Ⅰ級突發(fā)事件，由公司應(yīng)急指揮中心宣布解除應(yīng)急狀態(tài)轉(zhuǎn)入常態(tài)管理，或降低事件等級后，轉(zhuǎn)入相應(yīng)等級的應(yīng)急狀態(tài)管理。事發(fā)單位接到解除應(yīng)急狀態(tài)的指令后，應(yīng)及時結(jié)束應(yīng)急狀態(tài)，恢復(fù)正常生產(chǎn)工作秩序，同時向上級應(yīng)急指揮機構(gòu)報告已解除應(yīng)急狀態(tài)、恢復(fù)正常運行。事發(fā)單位及相關(guān)單位接到降低事件等級指令后，應(yīng)轉(zhuǎn)入相應(yīng)等級突發(fā)事件的應(yīng)急狀態(tài)。⑥新聞發(fā)布在突發(fā)事件響應(yīng)和處置期間，相關(guān)的上級應(yīng)急指揮機構(gòu)負責(zé)統(tǒng)一對外發(fā)布有關(guān)信息，必要時接受新聞媒體采訪、組織新聞發(fā)布會，并協(xié)調(diào)、配合新聞媒體做好新聞報道工作。⑦后期處置在Ⅰ級及Ⅱ級突發(fā)事件結(jié)束后，由公司網(wǎng)絡(luò)與信息安全工作小組負責(zé)做好以下工作：⑧恢復(fù)生產(chǎn)負責(zé)指導(dǎo)、督促各分公司、子公司和事發(fā)單位制定詳細可行的工作計劃，快速、有效地消除突發(fā)事件造成的不利影響，盡快恢復(fù)生產(chǎn)秩序，并做好善后處理、保險理賠等事項。⑨事件調(diào)查組織事件調(diào)查組對事件進行調(diào)查。準確、及時、公正地查清事件性質(zhì)、原因和責(zé)任，總結(jié)經(jīng)驗教訓(xùn)，提出防范措施，并對責(zé)任者提出處理意見。除組織內(nèi)部調(diào)查以外，應(yīng)積極配合政府有關(guān)部門組織的調(diào)查。調(diào)查結(jié)束后向公司應(yīng)急指揮中心提交事故調(diào)查報告，并逐級上報。⑩總結(jié)及改進組織做好網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)和處置的總結(jié)工作，對整個突發(fā)事件的響應(yīng)、處置過程和應(yīng)急救援能力進行全面評估，找出不足，明確改進方向，對應(yīng)急預(yù)案的不足之處予以修訂，提出具體措施，進一步完善和改進應(yīng)急預(yù)案和相關(guān)的規(guī)章制度。?應(yīng)急保障信息保障應(yīng)設(shè)立網(wǎng)絡(luò)與信息安全應(yīng)急24小時值班電話，并做到“三不變”，即電話號碼不變、傳真號碼不變、電子郵件不變。與應(yīng)急工作相關(guān)人員的電話、手機、傳真、電子郵件等聯(lián)系方式應(yīng)及時更新、及時分發(fā)，并保持暢通。通信聯(lián)絡(luò)方式主要有系統(tǒng)程控電話、外線電話、手機、傳真、電子郵件等，其中手機、電話、傳真和電子郵件為主要通信聯(lián)絡(luò)方式。與應(yīng)急工作相關(guān)的工作人員聯(lián)系手機應(yīng)保持每天24小時開機狀態(tài)。?應(yīng)急隊伍保障建設(shè)網(wǎng)絡(luò)與信息安全應(yīng)急隊伍。在全網(wǎng)范圍內(nèi)建立網(wǎng)絡(luò)與信息安全專家?guī)?，加強網(wǎng)絡(luò)與信息的應(yīng)急技術(shù)交流和技術(shù)培訓(xùn)，提高公司網(wǎng)絡(luò)與信息安全整體應(yīng)急響應(yīng)能力。?物資與裝備保障根據(jù)潛在突發(fā)事件的性質(zhì)和后果，結(jié)合本單位網(wǎng)絡(luò)與信息安全工作所需，制定應(yīng)急裝備與備品備件的配置標準，購置和儲備應(yīng)急所需的物資，制作應(yīng)急物資清單表。對應(yīng)急裝備和物資進行定期檢查、維護與更新，保證始終處于完好狀態(tài)。并加強應(yīng)急備品備件的動態(tài)管理，及時補充和更新應(yīng)急物資清單表。制定應(yīng)急物資和裝備的年度采購計劃，并納入本單位的年度總預(yù)算，切實保證應(yīng)急物資的資金投入。依據(jù)各分公司、子公司的應(yīng)急資源清單表，公司網(wǎng)絡(luò)與信息安全工作小組形成公司應(yīng)急資源清單，掌握全網(wǎng)的儲備情況，實現(xiàn)應(yīng)急資源的綜合動態(tài)管理和共享，增強統(tǒng)一調(diào)配能力，提高利用效率。應(yīng)急資源清單表必須每年更新。?經(jīng)費保障各單位按財務(wù)預(yù)算管理要求，申報網(wǎng)絡(luò)與信息安全應(yīng)急資金預(yù)算，并納入本單位年度預(yù)算，保證應(yīng)急培訓(xùn)、演練、物資購置及應(yīng)急工作的資金需求。應(yīng)急預(yù)案啟動后發(fā)生的費用由公司系統(tǒng)各級財務(wù)部門啟用專項應(yīng)急基金，不足部分可啟用儲備資金，全力保證應(yīng)急使用。六、培訓(xùn)與演練（一）應(yīng)急培訓(xùn)1.培訓(xùn)職責(zé)分工各分公司、子公司負責(zé)本單位網(wǎng)絡(luò)與信息安全的應(yīng)急指揮人員、管理人員和技術(shù)人員的應(yīng)急培訓(xùn)，建立應(yīng)急培訓(xùn)體系。各單位要分別制定應(yīng)急培訓(xùn)計劃，定期開展應(yīng)急培訓(xùn)工作（每年至少一次），并納入年度教育培訓(xùn)計劃予以實施。2.培訓(xùn)方式、內(nèi)容利用已有的資源，根據(jù)實際情況編制、開發(fā)培訓(xùn)教材，采用案例教學(xué)、情景模擬、交流研討、案例分析、應(yīng)急演練、對策研究等方式，開展形式多樣的培訓(xùn)工作。積極參加政府、行業(yè)、公司組織的應(yīng)急培訓(xùn)。掌握應(yīng)急管理理論及相關(guān)法律法規(guī)、網(wǎng)絡(luò)與信息安全應(yīng)急相關(guān)知識、應(yīng)急預(yù)案的要點和編制方法，提高突發(fā)事件應(yīng)急指揮和處置能力。自主組織對應(yīng)急處置人員、生產(chǎn)一線人員應(yīng)急技能的培訓(xùn)。培訓(xùn)重點是熟悉應(yīng)急預(yù)案，熟練掌握本崗位應(yīng)對突發(fā)事件的應(yīng)急處置程序，增強防范意識，提高應(yīng)急處置能力。3.預(yù)案演練定期（每年至少一次）組織開展網(wǎng)絡(luò)與信息安全專項應(yīng)急預(yù)案及單項應(yīng)急預(yù)案的演練，對演練的結(jié)果進行總結(jié)和評估，對預(yù)案在演練中暴露出的問題和不足應(yīng)及時解決，并修改相應(yīng)的應(yīng)急預(yù)案逐級報上級應(yīng)急指揮機構(gòu)備案。解決方案名稱控制類控制點指標名稱措施名稱改進動作改進對象安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置a應(yīng)報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗證弱點；制度中的規(guī)定安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置b應(yīng)制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復(fù)的管理職責(zé)；安全事件報告和處置管理制度安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置c應(yīng)根據(jù)國家相關(guān)管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分；事件分級劃分清單文檔安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置d應(yīng)制定安全事件報告和響應(yīng)處理程序，確定事件的報告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；安全事件報告和響應(yīng)處理程序安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置e應(yīng)在安全事件報告和響應(yīng)處理過程中，分析和鑒定事件產(chǎn)生的原因，收集證據(jù)，記錄處理過程，總結(jié)經(jīng)驗教訓(xùn)，制定防止再次發(fā)生的補救措施，過程形成的所有文件和記錄均應(yīng)妥善保存；安全事件報告和響應(yīng)處理報告安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理安全事件處置f對造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報告程序。區(qū)別說明安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理應(yīng)急預(yù)案管理a應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；應(yīng)急預(yù)案框架與相關(guān)預(yù)案安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理應(yīng)急預(yù)案管理b應(yīng)從人力、設(shè)備、技術(shù)和財務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；資源保障說明安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理應(yīng)急預(yù)案管理c應(yīng)對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；應(yīng)急預(yù)案培訓(xùn)說明安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理應(yīng)急預(yù)案管理d應(yīng)定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；應(yīng)急預(yù)案演練規(guī)定與記錄安全事件處置與應(yīng)急解決方案系統(tǒng)運維管理應(yīng)急預(yù)案管理e應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。應(yīng)急預(yù)案定期審查與更新記錄第二節(jié)網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案一、總則1.編制目的為提高應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)事件的能力，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)事件的危害，特制定本預(yù)案。2.編制依據(jù)根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》等有關(guān)法規(guī)、規(guī)定，制定本預(yù)案。3.適用范圍本預(yù)案適用于發(fā)生與本預(yù)案定義的I－IV級網(wǎng)絡(luò)與信息安全突發(fā)事件和可能導(dǎo)致I－IV級的網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)對處置工作。4.分類分級本預(yù)案所指的網(wǎng)絡(luò)信息安全突發(fā)事件，是指網(wǎng)絡(luò)信息系統(tǒng)突然遭受不可預(yù)知外力的破壞、毀損或故障，不良信息在網(wǎng)站乃至整個互聯(lián)網(wǎng)的傳播，發(fā)生對國家、社會、公眾造成或者可能造成危害的緊急網(wǎng)絡(luò)安全事件。事件分類根據(jù)網(wǎng)絡(luò)信息安全突發(fā)事件的發(fā)生過程、性質(zhì)和特征，網(wǎng)絡(luò)信息安全突發(fā)事件劃分為網(wǎng)絡(luò)安全突發(fā)事件和信息安全突發(fā)事件。網(wǎng)絡(luò)安全突發(fā)事件是指自然災(zāi)害、事故災(zāi)難和人為破壞引起的網(wǎng)絡(luò)與信息系統(tǒng)的損壞；信息安全突發(fā)事件是指利用信息網(wǎng)絡(luò)進行有目的或有組織的反動宣傳、煽動和歪曲事理的不良活動或違法活動。（1）自然災(zāi)害是指地震、臺