網(wǎng)絡(luò)安全應(yīng)急預(yù)案

時間說明一.總則 5二.目的 5三.安全事件類型及風(fēng)險分析 5 53.2網(wǎng)絡(luò)中斷事件 63.3數(shù)據(jù)庫系統(tǒng)事件 63.4網(wǎng)絡(luò)入侵事件 63.5病毒破壞事件 63.6重要存儲介質(zhì)失竊事件 6四.應(yīng)急處置基本原則 4.2明確責(zé)任，依法規(guī)范 4.3統(tǒng)籌安排，協(xié)調(diào)配合 74.4防范為主，加強監(jiān)控 84.5快速處理，盡快恢復(fù) 8五.應(yīng)急指揮機構(gòu)及職責(zé) 8 85.2應(yīng)急處置小組 95.3專家組 9 6.1預(yù)防與預(yù)警 6.2應(yīng)急事件報告 6.3.3警報等級及具體發(fā)布部門范圍 6.3.4報告方式及人員 七.應(yīng)急響應(yīng)和處置 7.2響應(yīng)程序 7.3處置措施 7.3.1網(wǎng)絡(luò)安全事件處置 7.3.2機房安全事件處置 八.應(yīng)急后期處置 九.應(yīng)急物資與裝備保障 十.應(yīng)急預(yù)案管理 附錄1:信息安全事件應(yīng)急通訊錄 附錄2:重大突發(fā)信息安全事件報告(模板) 22 22息安全事件的應(yīng)急處置能力，維護基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)和重要工業(yè)控制系統(tǒng)的安全，保障公司各項科研生產(chǎn)經(jīng)營活動安2.1及時掌控突發(fā)信息安全事件，及時協(xié)調(diào)各部門、各事業(yè)2.2規(guī)范突發(fā)事件上報程序和報告文本。3.1機房安全事件指機房空調(diào)系統(tǒng)、電源系統(tǒng)、服務(wù)器設(shè)備、網(wǎng)絡(luò)及消防等出現(xiàn)重大突發(fā)事件，造成機房物理環(huán)境或設(shè)備的嚴(yán)重?fù)p害。主要包電氣事件：電氣設(shè)備漏電造成電擊傷人，嚴(yán)重的引起火災(zāi)事3.2網(wǎng)絡(luò)中斷事件指造成XX公司骨干網(wǎng)絡(luò)中斷24小時以上、公司國際互聯(lián)網(wǎng)中斷48小時以上的網(wǎng)絡(luò)事件。3.3數(shù)據(jù)庫系統(tǒng)事件數(shù)據(jù)庫系統(tǒng)故障，造成數(shù)據(jù)損壞或丟失，導(dǎo)致應(yīng)用系統(tǒng)無法正常使用，公司重要數(shù)據(jù)泄露造成公司管理、經(jīng)營的負(fù)面影響和3.4網(wǎng)絡(luò)入侵事件通過非授權(quán)方式侵入公司信息系統(tǒng)，對相關(guān)信息資產(chǎn)進行非授權(quán)監(jiān)聽、調(diào)用、篡改、銷毀等，造成公司管理、經(jīng)營的負(fù)面影3.5病毒破壞事件3.6重要存儲介質(zhì)失竊事件指存儲有公司重要數(shù)據(jù)、商業(yè)秘密等信息的各類存儲介質(zhì)的四.應(yīng)急處置基本原則4.4防范為主，加強監(jiān)控貫徹預(yù)防為主的思想，樹立常備不懈的觀念，宣傳普及信息安全防范知識，做好應(yīng)對信息安全突發(fā)事件的思想準(zhǔn)備、預(yù)案準(zhǔn)備、機制準(zhǔn)備和工作準(zhǔn)備，提高公共防范意識以及基礎(chǔ)網(wǎng)絡(luò)和重4.5快速處理，盡快恢復(fù)突發(fā)重大信息安全事件時，能夠及時發(fā)現(xiàn)和預(yù)警，準(zhǔn)確判斷并及時采取有效措施，迅速控制事件影響程度和范圍，確保信息系統(tǒng)盡快恢復(fù)正常，盡可能減少突發(fā)事件給企業(yè)帶來的負(fù)面影響5.1應(yīng)急指揮領(lǐng)導(dǎo)小組組長：保密委主任成員：公司所屬各事業(yè)部、專業(yè)公司主管信息工作領(lǐng)導(dǎo)、職責(zé)：履行應(yīng)急值守、信息技術(shù)支持和綜合協(xié)調(diào)職責(zé)，發(fā)揮運轉(zhuǎn)樞紐作用；組織、協(xié)調(diào)突發(fā)信息安全事件的處置和善后工5.2應(yīng)急處置小組應(yīng)急處置小組為兩級：一級是公司本部；二級是各事業(yè)部、a)公司本部組長：信息中心主任組員：信息中心全體人員，保密處、辦公室相關(guān)人員，管職責(zé)：負(fù)責(zé)公司本部網(wǎng)絡(luò)、二級單位主干網(wǎng)絡(luò)安全事件、b)各事業(yè)部、專業(yè)公司組長：各事業(yè)部、專業(yè)公司信息安全負(fù)責(zé)人組員：各事業(yè)部、專業(yè)公司相關(guān)人員職責(zé)：負(fù)責(zé)本單位信息安全事件處置工作。5.3專家組由有關(guān)專家和廠商專業(yè)技術(shù)人員分別組成應(yīng)急處置技術(shù)專家組，為信息安全事件應(yīng)急管理提供決策建議和技術(shù)支持，參加突6.1預(yù)防與預(yù)警a)危險源監(jiān)控根據(jù)信息安全風(fēng)險辨識結(jié)果，公司各部門、各事業(yè)部、專業(yè)公司要加強對危險源的監(jiān)控，定期對機房空調(diào)、電源、網(wǎng)絡(luò)、服務(wù)器等設(shè)備進行巡檢，可通過軟件等方法對網(wǎng)絡(luò)運行情況進行監(jiān)b)預(yù)警行動單位任何人員發(fā)現(xiàn)信息安全相關(guān)情況時，應(yīng)立即報告本部門本部門負(fù)責(zé)人接到報告后，及時啟動部門現(xiàn)場處置方案，視情況可到現(xiàn)場進行查看，并根據(jù)現(xiàn)場處置結(jié)果判定是否需要應(yīng)急預(yù)警。如果需要，應(yīng)報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長，組長通知6.2應(yīng)急事件報告(必要時)。需要采取I級應(yīng)急響應(yīng)的事件警報為I級，需要采急響應(yīng)的事件警報為IⅡ級。僅采?、蠹墤?yīng)急響應(yīng)的事件，不發(fā)布a)I級警報應(yīng)發(fā)布到事件應(yīng)急所有參與部門，并報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長。b)Ⅱ級警報發(fā)布到事件應(yīng)急部分參與部門，并報告公司應(yīng)急指揮領(lǐng)導(dǎo)小組組長。6.3.4報告方式及人員報告人員的通訊、聯(lián)絡(luò)方式見附錄1。七.應(yīng)急響應(yīng)和處置7.1事件響應(yīng)分級①信息系統(tǒng)中斷運行30分鐘以上、影響人數(shù)10萬人以上。7.2響應(yīng)程序應(yīng)急指揮原則、應(yīng)急行動檢查、應(yīng)急物資調(diào)配、擴大應(yīng)急響7.3處置措施按照網(wǎng)絡(luò)管理分工，相應(yīng)的網(wǎng)絡(luò)安全事件響應(yīng)與處理時間，從發(fā)現(xiàn)到處理完畢，原則上不超過24小時。網(wǎng)絡(luò)安全事件處理流低預(yù)判故障級別高是是否是否是否分公司及事業(yè)部信息部與上一級公司信理報告是否解決?否網(wǎng)絡(luò)安全事件處理流程圖以下情況屬于一般網(wǎng)絡(luò)故障，原則上各事業(yè)部、專業(yè)公司信a)本單位局域網(wǎng)網(wǎng)絡(luò)故障;b)本單位辦公室內(nèi)的網(wǎng)絡(luò)單點故障。如果二級單位本身無法處理的網(wǎng)絡(luò)故障，可上報公司信息中心給予技術(shù)支持和協(xié)調(diào)解a)如果由于市電中斷報警，機房負(fù)責(zé)人應(yīng)立即聯(lián)系公司供電保障部門或其他相關(guān)單位，確認(rèn)斷電原因、時間等。如果在短路供電，正常運行，則機房負(fù)責(zé)人密切監(jiān)視市電情況，并報告信息中心負(fù)責(zé)人，由信息中心通知UPS服務(wù)提供商，對UPS進行緊d)問題排除后，對機房內(nèi)設(shè)備逐一檢查，確認(rèn)無誤后，填a)指定的防病毒系統(tǒng))與補丁更新，負(fù)責(zé)服務(wù)器系統(tǒng)的網(wǎng)b)系統(tǒng)網(wǎng)絡(luò)人員發(fā)現(xiàn)服務(wù)器出現(xiàn)問題，第一時間通知應(yīng)用c)如果是硬件問題，首先立即啟用備份服務(wù)器，然后由系d)如果是病毒或網(wǎng)絡(luò)攻擊造成服務(wù)停止，系統(tǒng)網(wǎng)絡(luò)與應(yīng)用e)如果是應(yīng)用系統(tǒng)故障且無法處理，應(yīng)立即向系統(tǒng)維護商f)問題解決后，填寫問題記錄日志表，并按問題的級別上a)當(dāng)機房發(fā)現(xiàn)煙、焦糊味等，立即定位問題所在，進行必b)如果問題不嚴(yán)重，通過斷電與隔離消除了危險，通知相c)如果發(fā)生火災(zāi)，當(dāng)火情較小時，使用機房內(nèi)的二氧化碳滅火器；如果火情較嚴(yán)重，立即報119,通知公司安保部門切斷機房市電開關(guān)(開關(guān)位置要清楚)和UPS電源輸出開關(guān)，機房內(nèi)人在進行事件上報的同時，本著一經(jīng)發(fā)現(xiàn)立即響應(yīng)，將影響降a)事件一經(jīng)發(fā)現(xiàn)，應(yīng)立即通知應(yīng)用系統(tǒng)管理員、操作系統(tǒng)管理員、數(shù)據(jù)庫管理員到達(dá)現(xiàn)場分析查找原因，準(zhǔn)備進行故障恢復(fù)。如果屬于網(wǎng)絡(luò)原因，應(yīng)立即通知網(wǎng)絡(luò)管理員。應(yīng)由操作系統(tǒng)管理員、數(shù)據(jù)庫管理員、應(yīng)用管理員共同參照各應(yīng)用系統(tǒng)故障恢復(fù)指南，立即切換到備份機或異地備份系統(tǒng)，同時恢復(fù)最近時間b)如發(fā)生的數(shù)據(jù)安全事件，造成數(shù)據(jù)丟失和數(shù)據(jù)意外毀壞c)當(dāng)發(fā)現(xiàn)公司涉密數(shù)據(jù)通過網(wǎng)絡(luò)途徑傳播，及時向信息中心和保密處通報，信息中心切斷信息泄露點與網(wǎng)絡(luò)的物理鏈接，d)當(dāng)發(fā)生數(shù)據(jù)安全事件時，須在事件確認(rèn)24小時內(nèi)，由事件發(fā)現(xiàn)人及時以書面形式向本單位領(lǐng)導(dǎo)匯報，中、高級的數(shù)據(jù)安全事件要上報公司信息安全事件應(yīng)急領(lǐng)導(dǎo)小組，必要時上報上一包括對信息安全事件的總結(jié)和證據(jù)收集——獲取信息安全事件分析和解決的知識應(yīng)被用戶降低將來事件發(fā)生的可能性或影響；應(yīng)定義和應(yīng)用識別、收集、獲取和保存信息的程序，這些信a)應(yīng)急事件的基本情況，包括事件發(fā)生時間、地點、波及c)處置過程中動用的應(yīng)急資源；為有效應(yīng)對信息安全事件，根據(jù)信息安全事件特點，應(yīng)急人員應(yīng)配備筆記本電腦、各種型號連接線，測線儀，萬用表及其它應(yīng)急預(yù)案的宣傳教育、培訓(xùn)、演練，以及預(yù)案的更新等，具參見第7.3.1條款網(wǎng)絡(luò)安全事件處理流程。(五)服務(wù)器故障處理流程g)信息中心負(fù)責(zé)人指定專人負(fù)責(zé)系統(tǒng)的防病毒(安裝公司十一.附則附錄1:XX公司信息安全事件應(yīng)急通訊