2024年信息系統(tǒng)應急預案

2024年信息系統(tǒng)應急預案

信息系統(tǒng)應急預案1

本預案是信息技術部根據公司有關法規(guī)和政策，結合公司信息系統(tǒng)建設和運行情況，重點針

對公司可能發(fā)生的重大突發(fā)事件編制的，包括總則、組織指揮體系及職責、預警和預防機制、應

急處理程序、保障措施等，其中明確規(guī)定了在發(fā)生信息系統(tǒng)突發(fā)事件情況下，信息系統(tǒng)管理人員

的相關職能和工作方法，具有一定的指導性和可操作性。

一、總則

（一）目的

為科學應對信息系統(tǒng)突發(fā)事件，建立健全信息系統(tǒng)的應急響應機制，有效預防、及時控制和

最大限度地消除各類突發(fā)事件的危害和影響，制訂本應急預案。

（二）工作原則

1.統(tǒng)一領導

遇到重大信息系統(tǒng)異常情況，應及時向有關領導報告，以便于統(tǒng)一調度、減少損失。

2.綜合協(xié)調

明確綜合協(xié)調的職能機構和人員，做到職能間的相互銜接。

3.重點突出

應急處理的重點放在運行著重要業(yè)務系統(tǒng)或可能導致嚴重事故后果的關鍵信息系統(tǒng)上。

4.及時反應，積極應對

出現信息系統(tǒng)故障時，信息系統(tǒng)維護人員應及時發(fā)現、及時報告、及時搶修、及時控制，積

極對信息系統(tǒng)突發(fā)事件進行防范、監(jiān)測、預警、報告、響應。

5.快速恢復

信息系統(tǒng)管理人員在堅持快速恢復系統(tǒng)的原則下，根據職責分工，加強團結協(xié)作，必要情況

下與設備供應商以及系統(tǒng)集成商共同謀求問題的快速解決。

6.防范為主，加強監(jiān)控

經常性地做好應對信息系統(tǒng)突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高基

礎設備和重要信息系統(tǒng)的綜合保障水平。加強對信息系統(tǒng)應用的日常監(jiān)視，及時發(fā)現信息系統(tǒng)突

發(fā)性事件并采取有效措施，迅速控制事件影響范圍，力爭將損失降到最低程度。

二、應急工作小組機構及職責

在信息系統(tǒng)事件的處理中，一個組織良好、職責明確、科學管理的應急隊伍是成功的關鍵。

組織機構的成立對于事件的響應、決策、恢復，防止類似事件的發(fā)生者滇有重要意義。

結合公司信息系統(tǒng)的實際情況，將有關應急人員的角色和職責進行了明確的劃分。

1.應急處理領導小組

及時掌握信息系統(tǒng)故障事件的發(fā)展動態(tài)，向上級部門報告事件動態(tài)；對有關事項做出重大決

策；啟動應急預案；組織和調度必要的人、財、物等資源。（應急領導小組成員參見《重大突發(fā)

事件預案處理和報告制度》）O

2.應急處理工作小組

負責定期了解外部支持人員的變動情況，及時更新其技術人員及聯(lián)系方式等信息；快速響應

信息系統(tǒng)發(fā)現的故障事件、業(yè)務部門對信息系統(tǒng)故障的申告；執(zhí)行信息系統(tǒng)故障的診斷、排查和

恢復操作；定期通過設備監(jiān)控軟件、系統(tǒng)運行報告等工具對信息系統(tǒng)的使用情況進行分析，盡早

發(fā)現信息系統(tǒng)的異常狀況，排除信息系統(tǒng)的隱患.

工作小組組長：信息技術部負責人

工作小組成員：信息技術部技術支持室全體成員、信息技術部各室主任

3.外部支持人員

包括電信運營商、設備供應商以及系統(tǒng)集成商。負責事先向某某信息技術部提供緊急情況下

的應急技術方案和應急技術支援體系；積極配合信息中心應急人員進行故障處理。

名單：設備供應商、系統(tǒng)集成商、電信運營商等

三、預警和預防機制

（-）信息系統(tǒng)監(jiān)測及報告

1信息系統(tǒng)的日常管理和維護

信息系統(tǒng)的日常管理和維護應加強信息系統(tǒng)應用的監(jiān)測、分析和預警工作。

2.建立信息系統(tǒng)故障事故報告制度

發(fā)生信息系統(tǒng)故障時，值班人員應當立即向應急處理小組領導報告，并及時進行故障處理、

調查核實、保存相關證據等。

（二）預警

在接到突發(fā)事件報告后，應當經初步核實之后，將有關情況及時向應急處理小組領導報告,

進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策。由上級領導視情況緊

急程度召集協(xié)調會，決策行動方案，發(fā)布指示和實施命令等。

（三）預警支持系統(tǒng)

應建立和完善信息監(jiān)測、消息傳遞和指揮決策支持系統(tǒng)，保證突發(fā)事件處理過程中的資源共

享、運轉正常、指揮有力。

（四）預防機制

各業(yè)務信息系統(tǒng)和重要信息系統(tǒng)建設要充分考慮抗毀性與災難恢復制定并不斷完善應急處

理預案。針對基礎信息信息系統(tǒng)的突發(fā)性、大規(guī)模異常事件,各相關部門建立制度化、程序化的

處理流程。

四、應急處理程序

（-）信息系統(tǒng)突發(fā)事件分類分級的說明

根據以上定義的故障分級，當信息系統(tǒng)事件的要素滿足啟動應急預案要求時，進入相應的應

急啟動流程。

(1)應急處理工作小組從業(yè)務人員或值班人員的故障申告、信息系統(tǒng)監(jiān)控報告的故障告警

中得知信息系統(tǒng)異常事件后，應在第一時間趕赴信息系統(tǒng)故障現場。

(2)應急處理工作小組針對信息系統(tǒng)事件做出初步的分析判斷。若是電源接觸不好、物理

連線松動或者能在最短時間內自行解決的信息系統(tǒng)問題，及時按照有關操作規(guī)程進行故障處理,

并報領導小組備案；

否則，應急處理工作小組將故障大致定性為設備故障、線路故障、軟件故障等故障之一，及

時告知領導小組和受影響的相關部門，并采取措施避免事件影響范圍的擴大。

(3)應急處理工作小組向領導小組報告，在領導小組的授權后啟動相應的應急預案。針對

災難事件和影響重要業(yè)務運行的重大事件，還要及時向上級機關進行報告。

(4)應急處理工作小組根據故障類型及時與外部支持人員取得聯(lián)系。其中，設備故障的，

可與設備供應商和集成商聯(lián)系；

軟件故障的，可與系統(tǒng)集成商聯(lián)系，由系統(tǒng)集成商進行現場或遠程技術支持；線路故障的，

可與電信運營商聯(lián)系，三方密切協(xié)作力求通信線路在短時間內恢復正常。

(5)應急處理工作小組在上級機構或外部支持人員的配合下，充分利用應急預案的資源準

備，采取有力措施進行故障處理，及時恢復信息系統(tǒng)的正營工作狀態(tài)。

(6)應急處理工作小組通知業(yè)務部門信息系統(tǒng)恢復正常，并向領導小組報告故障處理的基

本情況。重大事件形成文字資料，以書面形式向上級報告。

(7)總結整個處理過程中出現的問題，并及時改進應急預案。

(三)現場應急處理

(1)如遇到預知外界因素(如定時、定點停電)影口觸務信息系統(tǒng)系統(tǒng)的正常運行，將根

據有關部門的通知，提前安排技術人員到實地關閉信息系統(tǒng)設備并進行現場維護，直至外界因素

消除。

（2）如遇到不可抗力因素（如火災）造成的信息系統(tǒng)系統(tǒng)故障時，接到通知的值班人員要

快速到達現場，果斷切斷相關設備配電柜的電源，積極參與消除不可抗力因素，并及時將情況上

報應急處理工作小組領導。

（3）如遇到T殳故障、嚴重故障和重大故障，影響信息系統(tǒng)的正常運行，值班人員要迅速、

及時地趕到現場，進行相應突發(fā)事件的應急處理。

五、保障措施

（一）應急演練

為提高信息系統(tǒng)突發(fā)事件應急響應水平，信息技術部木阱目關部門應定期或不定期組織應急預

案演練；檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否符合快速、高效的要求。通過演習，

進一步明確應急響應各崗位責任，對預案中存在的問題和不足及時補充、完善。

（二）人員培訓

為確保本應急預案有效運行，應定期或不定期地舉辦不同層次、不同類型的技術講座或研討

會，以便不同崗位的應急人員能全面熟悉并熟練掌握突發(fā)導件的‘應急處理知識和技能。

（三）硬件資源保障

為了在信息系統(tǒng)設備發(fā)生故障時能夠盡量降低業(yè)務系統(tǒng)的受影響程度，須為相應的核心業(yè)務

信息系統(tǒng)提供必要的備份設備與線纜等硬件資源，并且配備與現有設備兼容的設備，確保相似或

兼容的設備可以在應急情況下調配使用。這些備份設備需預先采購用呆存在專門位置。

（四）文檔資料準備

包括信息系統(tǒng)工程文檔、維護手冊、操作手冊、設備配置參數、拓撲圖以及IP地址規(guī)范及

分布情況等。

（五）技術支持保障

建立預警與應急處理的技術平臺，進一步提高信息系統(tǒng)突發(fā)事件的發(fā)現和分析能力，從技術

上逐步實現發(fā)現、預警、處理、通報等多個環(huán)節(jié)和不同的業(yè)務信息系統(tǒng)、系統(tǒng)以及相關部門之間

應急處理的聯(lián)動機制。

（六）公眾信息交流

在應急預案修訂、演練的前后，應利用各種信息渠道進行宣傳，并不定期的利用各種活動，

宣傳信息系統(tǒng)等突發(fā)事件的應急處理規(guī)程及其預防措施等應急常識。

六、分類突發(fā)事件應急處理措施

（-）黑客攻擊時的緊急處置措施

1、當有關值班人員發(fā)現業(yè)務系統(tǒng)或網站內容被篡改，或通過入侵監(jiān)測系統(tǒng)發(fā)現有黑客正在

進行攻擊時，應立即向信息系統(tǒng)管理技術人員通報情況。

2、信息系統(tǒng)管理技術人員應在三十分鐘內響應，并首先應將被攻擊的服務器等設備從信息

系統(tǒng)中隔離出來，保護現場，并同時向應急處理工作小組領導通報情況。

3、信息系統(tǒng)管理技術人員負責被攻擊或破壞系統(tǒng)的恢復與重建工作。

4、信息系統(tǒng)管理技術人員會同相關支持人員追查非法］言息來源。

5、信息系統(tǒng)管理技術人員組織相關支持人員會商后，向應急處理工作小組組長匯報有關情

況。

6、應急處理工作小組組長如認為情況嚴重,應立即向應急處理領導小組組長匯報.

7、應急處理領導小組組長組織應急處理領導小組召開會議，如認為事態(tài)嚴重，則立即向公

安部門或上級機關報警。

（二）病毒安全緊急處置措施

1、當發(fā)現有計算機被感染上病毒后，應立即向信息系統(tǒng)管理技術人員報告，將該機從信息

系統(tǒng)上隔離開來。

2、信息系統(tǒng)管理技術人員在接到通知后，應在三十分鐘內響應。

3、對該設備的硬盤進行數據備份。用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測

軟件對其他機器進行病毒掃描和清除工作。

4、如果現行反病毒軟件無法清除該病毒，應立即向應急處理工作小組組長報告，并迅速聯(lián)

系有關產品商研究解決。

5、應急處理工作小組經會商，認為情況嚴重的，應立即向應急處理領導小組組長匯報。

6、應急處理領導小組經會商后，認為情況極為嚴重的，應立即向公安部門或上級機關報告。

7、如果感染病毒的設備是中心服務器系統(tǒng)，經領導小組同意，應立即告知各相關部門做好

相應的清查工作。

（三）軟件系統(tǒng)遭破壞性攻擊的緊急處置措施

重要的業(yè)務系統(tǒng)必須存有備份，與業(yè)務系統(tǒng)相對應的數據必須有多日的備份，并將他們保存

在安全處。

1、一旦信息系統(tǒng)遭到破壞性攻擊，應立即向信息系統(tǒng)管理技術人員、業(yè)務系統(tǒng)技術人員報

告，并將該系統(tǒng)停止運行。

2、信息系統(tǒng)管理技術人員檢查日志等資料，確定攻擊來源。

4、由業(yè)務系統(tǒng)技術人員向應急處理工作小組組長匯報。

5、應急處理工作小組組長認為情況嚴重的,應立即向應急處理領導小組匯報.

6、應急處理領導小組認為情況極為嚴重的，應立即向公安部門或上級機關報告。

（四）數據庫安全緊急處置措施

1、主要數據庫應按雙機熱備設置，并至少要準備兩個以上數據庫備份，平時一個備份放在

機房，另一個備份放在另一個安全的場所。

2、一旦數據庫崩潰，應立即啟動備用系統(tǒng)，并向應急處理工作小組組長報告。

3、在備用系統(tǒng)運行期,司，業(yè)務系統(tǒng)技術人員應對主機系統(tǒng)進行維修。

4、如果兩套系統(tǒng)均崩潰,業(yè)務系統(tǒng)技術人員應立即向應急處理工作小組組長報告,應急處

理工作小組如認為情況嚴重，應立即向應急處理領導小組組長匯報。同時通知相關科室部門暫緩

使用業(yè)務系統(tǒng)和上傳上報數據。

5、系統(tǒng)修復啟動后，將第一個數據庫備份取出，按照要求將其恢復到主機系統(tǒng)中。

6、如因第一個備份損壞，導致數據庫無法恢復，則應取出第二套數據庫加已恢復。

7、如果兩個備份均無法恢復，應立即向應急處理工作小組組長匯報，并向有關廠商請求緊

急支援。

（五）廣域網外部線路中斷緊急處置措施

1、廣域網主、備用線路中斷一條后，網絡管理員應立即啟動備用線路接續(xù)工作，同時向應

急處理工作小組組長報告。

2、網絡管理員應盡快判斷故障節(jié)點，查明故障原因。

3、如屬我方管轄范圍，由網絡管理員立即予以修復。

4、如屬運營商管轄范瑞，立即與運營商維護部門聯(lián)系，要求恢復。

5、如果主、備用線路司時中斷，網絡管理員應在判斷故障節(jié)點，查明故障原因后，盡快研

究恢復措施，并立即向應急處理工作小組組長匯報。

6、經應急處理領導小組同意后，應通知相關部門相關原因，并暫緩使用業(yè)務系統(tǒng)和上傳上

報數據。

（六）局域網中斷緊急處置措施

1、局域網中斷后,網珞管理員應立即判斷故障節(jié)點，查明故障原因，并向應急處理工作小

組組長匯報。

2、如屬線路故障，應重新安裝線路。

3、如屬路由器、交換機等信息系統(tǒng)設備故障，應立即通知供應商進行保修。

5、如屬路由器、交換機配置文彳牛破壞,應迅速按照要求重新配置，并調試通暢。

6、如有必要，應向應急處理領導小組匯報。

（七）設備安全緊急處置措施

服務器、存儲設備等關鍵設備損壞后，值班人員應立即向信息系統(tǒng)管理技術人員報告。

1、信息系統(tǒng)管理技術人員立即查明原因。

2、如果能夠自行恢復，應立即用備件替換受損部件。

3、如屬不能自行恢復的，立即與設備提供商聯(lián)系,請求派維護人員前來維修。

4、如果設備一時不能修復，應向處理工作小組組長匯報，并告之相關部門，暫緩使用受影

響的業(yè)務系統(tǒng)。

（A）人員疏散與機房滅火預案

1、一旦機房發(fā)生火災，應遵循下列原則：首先保人員安全；其次保關鍵設備、數據安全；

三是保一般設備安全。

2、人員疏散的程序是：機房值班人員立即按響火警警報，并通過119電話向公安消防請求

支援所有人員戴上防毒面具所有不參與滅火的人員按照預定的路線迅速從機房中有序撤出。

3、人員滅火的程序是：首先切斷所有電源，啟動自動氣體滅火裝置，滅火值班人員戴好防

毒面具，從指定位置取出氣體滅火器進行滅火.

（九）供電中斷后的設備運行預案

1、外電中斷后，機房值班人員應立即檢查是否啟用了備用電源。

2、機房值班人員應立即查明原因，并向信應急處理工作小組組長報告。

3、如因內部線路故障，請辦公室聯(lián)系相關單位迅速恢復。

4、如果是供電局的原因，應立即與供電局聯(lián)系，請供電局迅速恢復供電。

5、如果供電局告知需長時間停電，應作如下安排。

(1)停電30分鐘以內，由UPS供電;

(2)停電30分鐘一1小時，關掉非關鍵設備，確保關鍵服務器、核心信息系統(tǒng)設備供電；

(3)停電1小時以上，關閉所有設備

(十)關鍵人員不在崗的緊急處置措施

1、對于關鍵崗位平時應做好人員儲備，確保一項工作由兩人能夠操作。

2、一旦發(fā)生關鍵人員不在崗的情況，首先應向應急處理工作小組組長匯報情況。

3、經處理工作小組組長批準后，由備用人員上崗操作。

4、如果備用人員無法上崗，請求上級單位或外部支持技術人員支援。

七、附則

(1)本預案所稱信息系統(tǒng)突發(fā)事件，是指由于自然災害、設備軟硬件故障、內部人為失誤

或破壞等原因，信息系統(tǒng)的正常運行受到嚴重影響，出現業(yè)務中斷、系統(tǒng)破壞、數據破壞等現象,

造成不良影響以及造成一定程度直接或間接經濟損失的事件。

(2)本預案通過演習、實踐檢驗，以及根據應急力量變更、新技術、新資源的應用和應急

事件發(fā)展趨勢，及時進行修訂和完善；

所附的成員、聯(lián)系方式等發(fā)生變化時也隨時修訂。

(3)本預案自發(fā)布之曰起實施.

信息系統(tǒng)應急預案2

信息系統(tǒng)應急處酬案

第一章總則

第一條為提高應對信息系統(tǒng)在運行過程中出現的各種突發(fā)事件的應急處谿能力，有效預防和

最大程度地降低信息系統(tǒng)各類突發(fā)事件的危害和影響，保障信息系統(tǒng)安全、穩(wěn)定運行，根據國家

《信息安全事件分類分級指南》、《信息技術、安全技術、信息安全事件管理指南》、《國家突

發(fā)公共事件總體應急預案》及有關法律、法規(guī)的規(guī)定，結合實際，制定本處理預案。

第二條本處理預案所稱的信息系統(tǒng)，由計算機設備、網絡設施、計算機軟件、社會保險數據

等組成。

第三條信息系統(tǒng)突發(fā)事件分為網絡攻擊事件、信息破故事件、信息內容安全事件、網絡故障

事件、軟件系統(tǒng)故障事件、災難性事情、其他事件等八類尋件。

（一）網絡攻擊事件：通過網絡或其他技術手段，利用信息系統(tǒng)的配貉缺陷、協(xié)議缺陷、程

序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)當前運行造成潛

在危害的事件。

（二）信息破壞事件：通過網絡或其他技術手段，造成信息系統(tǒng)中的數據被篡改、假冒、泄

漏等而導致的事件。

（三）信息內容安全事件：利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的

不良信息內容的事件。

（四）網絡故障事件：因電信、網絡設備等原因造成大部分網絡線路中斷，用戶無法登錄信

息系統(tǒng)的事件。

（五）服務器故障事件：因系統(tǒng)服務器故障而導致的信息系統(tǒng)無法運行的事件。

（六）軟件故障事件：因系統(tǒng)軟件或應用軟件故障而導致的信息系統(tǒng)無法運行的事件.

（七）災害性事件：因不可抗力對信息系統(tǒng)造成物理破壞而導致的事件。

（八）其他突發(fā)事件：不能歸為以上七個基本分類，并可能造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)

當前運彳亍造成潛在危害的事件。

第四條按照造成信息系統(tǒng)的中斷運行時間，將信息系統(tǒng)突發(fā)事件級別劃分為T殳（IV級）、

較大（in級）、重大（n級）、特別重大（I級）。

（一）一般（IV級）：信息系統(tǒng)發(fā)生可能中斷運行2小時以內的故障；

（二）較大（ni級）：信息系統(tǒng)發(fā)生可能中斷運行2小時以上、12小時以內的故障；

（三）重大（II級）：信息系統(tǒng)發(fā)生可能中斷運行12小時以上、24小時以內的故障；

（四）特別重大（I級）：信息系統(tǒng)發(fā)生可能中斷運行24小時以上的故障。

第二章組織機構和工作職責

2第五條預防和處理信息系統(tǒng)突發(fā)事件工作協(xié)調小組（以下簡稱“應急小組"）負責信息系

統(tǒng)應急處理工作，決定信息系統(tǒng)應急處理工作的重大事項，組織實施、業(yè)務協(xié)調和發(fā)布信息系統(tǒng)

應急指令，發(fā)布信息系統(tǒng)應急故障級別、決策處理方案。應急小組組長由分管信息技術工作的領

導擔任，成員為信息技術科全體人員。

第三章預防與預警機制

第七條應急小組針對各種可能發(fā)生的信息系統(tǒng)突發(fā)事件，建立和完善預測預警機制。

第八條預警信息分為外部預警信息和內部預警信息兩美。外部預警信息指信息系統(tǒng)外突發(fā)的

可能需要通信保障、安全防范，或可能對信息系統(tǒng)產生重大影響的'事件警報。內部預警信息指

信息系統(tǒng)網內的事故征兆或局部信息系統(tǒng)突發(fā)事故可能對其他或整個網絡造成重大影響的事件

警報。

第九條應急小組要加強對信息系統(tǒng)的日常監(jiān)測工作。監(jiān)測的內容主要包括：

（-）局域網通訊性能與流量；

（二）網絡設備和安全設備的操作記錄、網絡訪問記錄；

（三）服務器性能、數據庫性能、應用系統(tǒng)性能等運行狀態(tài)，以及備份存貯系統(tǒng)狀態(tài)等；

（四）服務器操作系統(tǒng)、數據庫安全審計記錄、業(yè)務系統(tǒng)安全審計記錄；

（五）計算機漏洞公告、網絡漏洞掃描報告；

（六）病毒公告、防病毒系統(tǒng)報告；

（七）其他可能影響信息系統(tǒng)的預警內容。

第十條應急小組獲得外部重大預警信息或通過監(jiān)測獲得內部預警信息后，應對預警信息加以

分析，按照早發(fā)現、早報告、早處谿的原則，對可能演變?yōu)閲乐厥录那闆r，部署相應的應對措

施，通知相關部門做好預防和保障應急工作的各項準備工作，并及時報告所領導。

第四章應急響應程序

第十一條信息系統(tǒng)使用單位或人員發(fā)現信息系統(tǒng)突發(fā)尋件后，應及時報告應急小組。應急小

組及時組織相關人員查找故障原因，在短時間內（一般要在半小時以內）依據故障情形和修復時

間進行初步判別，確定故障分類級別，較大（III級）及其以上的突發(fā)事件應報告所領導。

第十二條信息系統(tǒng)突發(fā)事件發(fā)生后，根據突發(fā)事件嚴重程度，由所領導決定并指定特定小組

或人員及時向新聞媒體發(fā)布相關信息，所指定的小組或人員應嚴格按照所領導規(guī)定及要求對外發(fā)

布信息，其他部門或個人不得擅自接受新聞媒體采訪或對外發(fā)布自己的看法和意見。

第十三條發(fā)生較大（II【級）及其以上信息系統(tǒng)突發(fā)事件時，應急小組除向所領導報告外，

應立即通知各業(yè)務部室。各業(yè)務部室應在各業(yè)務大廳張貼告示牌，同時做好服務對象的解釋和疏

導工作，并盡可能通過電話、網絡、短信等方式通知參保鑿位經辦人員。

第十四條根據不同的事件以及事件的級別，采取相應措施進

4行應急處理。突發(fā)事件處理過程中，可以根據需要調整故障級別。

（-）網絡攻擊事件應急預案：

1.當發(fā)現網絡被非法入侵、網頁內容被篡改，應用服務器的數據被非法拷貝、修改、刪除,

或有黑客正在進行攻擊等現象時，使用者或管理者應斷開網絡，并立即報告應急小組。

2.應急小組立即關閉相關服務器，封鎖或刪除被攻破的登陸帳號，阻斷可疑用戶進入網絡的

通道，并及時清理系統(tǒng)、恢復數據和程序，盡快將系統(tǒng)和網絡恢復正常。

（二）信息破壞事件應急預案：

1.當發(fā)現信息被篡改、假冒、泄漏等事件時，信息系統(tǒng)使用單位或個人應立即通知應急小組。

2.如被篡改或被假冒的數據正在征繳或發(fā)放過程中，應急小組應立即通知代收代發(fā)機構中止

征繳或發(fā)放工作。

3.應急小組通過跟蹤應用程序、查看數據庫安全審計記錄和業(yè)務系統(tǒng)安全審計記錄查找信息

被破壞的原因和相關責任人。

4.應急小組提出修正錯誤方案和措施，通知各業(yè)務部室進行處理。

（三）信息內容安全事件應急預案：

1.當發(fā)現不良信息或忸絡病毒時，系統(tǒng)使用人員立即斷開網線,終止不良信息或網絡病毒傳

播，并報告應急小組。

2.應急小組根據情況通告局域網內所有計算機用戶，隔離網絡，指導各計算機操作人員進行

殺毒處理、清除不良信息，直至網絡處于安全狀態(tài)。

（四）網絡故障事件應急預案：

1.發(fā)生網絡故障事件后，系統(tǒng)使用人員應及時報告應急小組。2.應急小組及時查清網絡故

障位貉和原因，并予以解決。3.不能確定故障的解決時間或解決故障的期限并屬較大（III級）

及其以上的，應急小組應報告所領導。

（五）服務器故障應急預案：

1.服務器故障后，應急小組確定故障設備及故障原因，并通知相關廠商.

2.根據服務器修復和恢復系統(tǒng)所需時間，由所領導決定是否啟用備份設備。

3.如啟用備份設備，在服務器故障排除后，應急小組在確保不影響正常業(yè)務工作的前提下,

利用網絡空閑時期替換備用設備。如不啟用備份設備，應急小組應積極配合相關廠商解決服務器

故障事件。

（六）軟件故障事件應急預案：

1.發(fā)生計算機軟件系統(tǒng)故障后，系統(tǒng)使用人員應立即保存數據，停止該計算機的業(yè)務操作,

并將情況報告應急小組，不得擅自進行處理。

2.應急小組應立刻派出技術人員進行處理，必要情況下，通知各業(yè)務部室停止業(yè)務操作和對

系統(tǒng)數據進行備份。

3.應急小組組織有關人員在保持原始數據安全的情況下,對計算機系統(tǒng)進行修復；修復系統(tǒng)

成功后，利用備份數據恢復丟失的數據。

（七）災害性事件應急預案：

1.一旦發(fā)生災害性事件，應急小組每一位成員都應有責任在第一時間進入機房搶救服務器及

存儲設備。

2應急小組對服務器及存儲設備的損壞程序進行評估。如服務器損壞或存儲設備損壞無法使

用，立即聯(lián)系相關廠商，進入維保服務程序。

3.根據服務器或存儲設備修復和恢復系統(tǒng)所需時間，由所領導小組決定是否啟用備份設備。

（八）其他突發(fā)事件應急預案：應急小組立刻派出技術人員進入現場，制定相應措施，根據

實際情況靈活處理，并按要求報告所領導小組。

第五章后期處置

第十五條故障排除后，應急小組向各部室發(fā)出故障解除、系統(tǒng)恢復正常運行通知。

第十六條系統(tǒng)恢復運行后，相關操作人員盡快通知參保單位和個人辦理社會保險業(yè)務事項，

并對故障發(fā)生前所進行過的業(yè)務操作進行檢查，核對業(yè)務數據是否正確或有無丟失，不正確或有

丟失的應馬上更正或補錄，確保數據的正確和完整。對在故障期間采用手工受理的事項，應及時

在系統(tǒng)中補充完善。

第十七條所領導組織有關人員及有關技術專家組成事件調查組，對事件發(fā)生原因、性質、影

響、后果、責任及應急處整能力、恢復重建等問題進行全面調查評估，總結經驗教訓，完善信息

系統(tǒng)

7應急處理預案，整改信息系統(tǒng)存在的隱患。

第十八條所領導對在信息系統(tǒng)應急事件處谿中做出突巴貢獻的集體和個人，提出表彰獎勵建

議；對玩忽職守,造成不良影響或嚴重后果的，按有關規(guī)定提出處理意見，并依法依規(guī)提出處理

意見建議，并追究其責任。

第六章應急保障

第十九條信息技術科應做好系統(tǒng)數據的備份工作，保證重要數據在受到破壞后可緊急恢復。

預留一定數量的網絡硬件設備和服務器，用于預防或應對信息系統(tǒng)突發(fā)事件。

第二十條選擇熟悉信息系統(tǒng)軟硬件的專業(yè)公司作為信息系統(tǒng)應急處理的社會應急支援單位,

提供技術支持和服務。信息系統(tǒng)服務器以及存儲設備要與專業(yè)廠商簽定維保協(xié)議，明確備用設備

的供應時間。

第二十一條強化信息安全宣傳教育，提高信息安全防御意識。每年至少組織開展一次全局范

圍內的信息網絡安全教育，提高全局職工信息安全防范意識和能力。

第七章附則

第二十三條本預案自公布之日起執(zhí)行。

信息系統(tǒng)應急預案3

一、總則

（一）編制目的

公司網絡和信息安全涉及以設備為中心的信息安全，技術涵蓋網絡系統(tǒng)、計算機操作系統(tǒng)、

數據庫管理系統(tǒng)和應用軟件系統(tǒng)；涉及計算機病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內部

員工和外部相關機構人員）為中心的安全管理，包括用戶的身份管理、身份認證、授權、審計等；

涉及信息傳輸的機密性、完整性、不可才氐賴性等等。為切實加強我司網絡運行安全與信息安全的

防范，做好應對網絡與信息安全突發(fā)公共事件的應急處理工作，進一步提高預防和控制網絡和信

息安全突發(fā)事件的能力和水平，的大限度地減輕或消除網絡與信息安全突發(fā)事件的危害和影響，

確保網絡運行安全與信息安全，結合公司工作實際，特制定本應急預案。

（二）編制依據

根據《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《信息安全3級評級方法》、

GB/T20269-20xx《信息安全技術信息系統(tǒng)安全管理要求》、GB/T20270-20xx《信息安全技術

網絡基礎安全技術要求》、GB/T20281-20XX《信息安全技術防火墻技術要求和測試評價方法》、

GB/T19716-20xx《信息技術信息安全管理使用規(guī)則》等有關法規(guī)、規(guī)定，制定本預案。

（三）本預案適用于深圳市前海好彩金融B艮務有限公司網絡與信息安全應急處理工作。

二、應急組織機構及職責

成立信息系統(tǒng)應急處理領導小組，負責領導、組織和協(xié)調全公司信息系統(tǒng)突發(fā)事件的應急保

障工作。

（—）領導小組成員：

組長：技術主管

副組長：運維經理

成員:開發(fā)部.運維部.測試部?等部門負責人組成。

應急小組曰常工作由公司技術部承擔，其他各相關部門積極配合.

（二）領導小組職責：制訂專項應急預案，負責定期組織演練，監(jiān)督檢查各部門在本預案中

履行職責情況。對發(fā)生事件啟動應急救援預案進行決策，全面指揮應急救援工作。

三、工作原則

（-）積極防御、綜合防范

立足安全防護加強預警重點保護重要信息網絡和關系社會穩(wěn)定的重要信息系統(tǒng)從預防、

監(jiān)控、應急處理、應急保障和打擊不法行為等環(huán)節(jié)，在管理、技術、宣傳等方面，采取多種措施，

充分發(fā)揮各方面的作用，構筑網絡與信息安全保障體系

(二)明確責任、分級負責

按照"誰主管誰負責"的原則，分級分類建立和完善安全責任制度、協(xié)調管理機制和聯(lián)動工

作機制。加強計算機信息網絡安全的宣傳和教育，進一步提高工作人員的信息安全意識。

(三)落實措施、確保安全

要對機房、網絡設備、服務器等設施定期開展安全檢查，對發(fā)現安全漏洞和隱患的進行及時

整改。

(四)科學決策，快速反應

加強技術儲備，規(guī)范應急處置措施和操作流程,網絡與信息安全突發(fā)公共事件發(fā)生時，要快

速反應，及時獲取準確信息，跟蹤研判，及時報告，果斷決策，迅速處理，的大限度地減少危害

和影響。

四、事件分類和風險程度分析

(-)物理層的安全風險分析

1、系統(tǒng)環(huán)境安全風險

(1)水災、火災、雷電等災害性故障引發(fā)的網絡中斷、系統(tǒng)癱瘓、數據被毀等；

(2)因接地不良、機房屏蔽性能差弓I起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作：

(3)機房電力設備和其它配套設備本身缺陷誘發(fā)信息系統(tǒng)故障；

(4)機房安全設施自動化水平低，不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作；

(5)其它環(huán)境安全風險。

2、物理設備的安全風險由于信息系統(tǒng)中大量地使用了網絡設備如交換機、路由器等，服務

器，移動設備，使得這些設備的自身安全性也會直接關系信息系統(tǒng)和各種網絡應用的正常運轉。

例如，路由設備存在路由信息泄漏，交換機和路由器設備配置風險等。

（二）網絡安全風險

1、網絡體系結構的安全風險

網絡平臺是一切應用系統(tǒng)建設的基礎平臺網絡體系結構是否按照安全體系結構和安全機制

進行設計，直接關系到網絡平臺的安全保障能力。公司的網絡是由多個局域網和廣域網組成，網

絡體系結構匕徽復雜。內部應用信息網、Internet網之間是否進行隔離及如何進行隔離，網段

劃分是否合理，路由是否正確，網絡的容量、帶寬是否考慮客戶上網的峰值，網絡設備有無冗余

設計等都與安全風險密切相關。

2、網絡通信協(xié)議的安全風險。

網絡通信協(xié)議存在安全漏洞網絡黑客就能利用網絡設備和協(xié)議的安全漏洞進行網絡攻擊和

信息竊取。例如未經授權非法訪問內部網絡和應用系統(tǒng)；定其進行監(jiān)聽，竊取用戶的口令密碼和

通信密碼；對網絡的安全漏洞進行探測掃描；對通信線路和網絡設備實施拒絕服務攻擊，造成線

路擁塞和系統(tǒng)癱瘓。

3、網絡操作系統(tǒng)的安全風險

網絡操作系統(tǒng)，不論是IOS,Android,還是Windows,者除在安全漏洞；一些重要的網

絡設備，如路由器、交換機、網關，防火墻等，由于操作系統(tǒng)存在安全漏洞，導致網絡設備的不

安全：有些網絡設備存在‘后門"（backdoor）.

（三）系統(tǒng)安全風險

1、操作系統(tǒng)安全風險

操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎。數據庫服務器、中間層服務器，以及各類業(yè)務和

辦公客戶機等設備所使用的操作系統(tǒng)不論是Win20xx/XP/7還是Unix都存在信息安全漏洞,

由操作系統(tǒng)信息安全漏洞帶來的安全風險是B勻普遍的安全風險。

2、數據庫安全風險

所有的業(yè)務應用、決策支持、行政辦公的信息管理核心都是數據庫，而涉及公司運行的數據

都是吩需要安全保護的信息資產，不僅需要統(tǒng)一的數據備份和恢復以及高可用性的保障機制，還

需要對數據庫的安全管理，包括訪問控制，敏感數據的安全標簽，日志審計等多方面提升安全管

理級別，規(guī)避風險。雖然，目前公司的數據庫管理系統(tǒng)可以達到較高的安全級別，但仍存在安全

漏洞。建立在其上的各種應用系統(tǒng)軟件在數據的安全管理設計上也不可避免地存在或多或少的安

全缺陷，需要對數據庫和應用的安全性能進行綜合的檢測和評估。

3、應用系統(tǒng)的安全風3僉

為優(yōu)化整個應用系統(tǒng)的性能，無論是采用C/S應用模式或是B/S應用模式，應用系統(tǒng)都是

其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也是系統(tǒng)管理員和系統(tǒng)安全管理員管

理系統(tǒng)資源的入口，桌面應用系統(tǒng)的管理和使用不當，會帶來嚴重的安全風險。例如當口令或通

信密碼丟失、泄漏，系統(tǒng)管理權限丟失、泄漏時，輕者假冒合法身份用戶進行非法操作。重者，

“黑客”對系統(tǒng)實施攻擊，造成系統(tǒng)崩潰。

4、病毒危害風險

計算機病毒的傳播會破壞數據信息，占用系統(tǒng)資源，影響計算機運行速度，引起網絡堵塞甚

至癱瘓。盡管防病毒軟件安裝率已大幅度提升，但如果沒有好的防毒概念，從不進行病毒代碼升

級，而新病毒層出不窮，因此威脅性愈來愈大.

5、黑客入侵風險

一方面風險來自于內部,入侵者利用Sniffer等嗅探程序通過網絡探測、掃描網絡及操作系

統(tǒng)存在的安全漏洞，如網絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用

戶名和口令等安全信息的關鍵文件等，并采用相應的攻擊程序對內網進行攻擊。入侵者通過拒絕

服務攻擊，使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。

另一方面風險來自外部，入侵者通過網絡監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務、木馬等綜

合手段獲得合法用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網

重要信息，或使系統(tǒng)終止服務。所以，必須要對外部和內部網絡進行必要的隔離，避免信息外泄；

同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務

在到達主機之前就應該遭到拒絕。

（四）應用安全風險

1、身份認證與授權控制的安全風險

依靠用戶ID和口令的認證很不安全，容易被猜測或盜取，會帶來很大的安全風險。為此，

動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式。但是，如果使用和管理不當，同樣

會帶來安全風險。要基于應用服務和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權控制

機制，以區(qū)別不同的用戶和信息訪問者，并授予他們不同的信息訪問和事務處理權限。

2、信息傳輸的機密性和不可抵賴性風險

實時信息是應用系統(tǒng)的重要事務處理信息必須保證實時信息傳輸的機密性和網上活動的不

可抵賴性，能否做到這一點，關鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。采用

國內經過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環(huán)

節(jié)的安全保障。

工管理層安全風險分析

安全的網絡設備要靠人來實施，管理是整個網絡安全中啊為重要的一環(huán)，認真地分析管理所

帶來的安全風險，并采取相應的安全措施。責權不明、管理混亂、安全管理制度不健全及缺乏可

操作性等都可能引起管理安全的風險。

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規(guī)操作等），無法進

行實時的檢測、監(jiān)控、報告與預警。同時，當故障發(fā)生后，也無法提供黑客攻擊行為的追蹤線索

及破案依據，即缺乏對網絡的可控性與可審查性。這就要求人們必須對站點的,訪問活動進行多

層次的記錄，及時發(fā)現^法入侵行為。

五、預防預警

(-)完善網絡與信息安全突發(fā)公共事件監(jiān)測、預測和預警制度。

加強對各類網絡與信息安全突發(fā)事件和可能引起突發(fā)網絡與信息安全突發(fā)公共事件的有關

信息的收集、分析、判斷和持續(xù)監(jiān)測。當檢查到有網絡與信息安全突發(fā)事件發(fā)生或可能發(fā)生時,

應及時對發(fā)生事件或可能發(fā)生事件進行調查核實、保存相關證據，并立即向應急領導小組報告。

報告內容主要包括信息來源、影響范圍、事件性質、事件發(fā)展趨勢和采取的措施建議等。

若發(fā)現下列情況應及時向應急領導小組報告：利用網絡從事違法犯罪活動；網絡或信息系統(tǒng)

通信和資源使用異常；網絡或信息系統(tǒng)癱瘓，應用服務中斷或數據篡改、丟失；網絡恐怖活動的

嫌疑和預警信息；其他影響網絡與信息安全的信息。

(二)設定信息安全等級保護，實行信息安全風險評估。

通過相關設備實時監(jiān)控網絡工作與信息安全狀況。各基礎信息網絡和重要信息系統(tǒng)建設要充

分考慮抗毀性和災難恢復，制定并不斷完善信息安全應急處理預案。針對信息網絡的突發(fā)性、大

規(guī)模安全事件,建立制度優(yōu)化、程序化的處理流程。

(三)做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。

一旦發(fā)生網絡與信息安全事件立即啟動應急預案采取應急處置措施判定事件危害程度，

并立即將情況向有關領導報告。在處置過程中，應及時報告處置工作進展情況，直至處置工作結

束。

六、處置流程

(-)預案啟動

在發(fā)生網絡與信息安全事件后，信息中心應盡的大可能迅速收集事件相關信息，鑒別事件性

質，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網絡與信息安全事

件后，立即將事件上報工作組并著手處置。

(二)應急處理

1、電源斷電

(1)查明故障原因。

(2)檢查UPS是否正常供電。

(3)匯報相關領導，確認市電恢復時間，評估UPS供電能力。

(4)備份服務器數據、交換機配置。

(5)通知機房進行電源維修。做好事件記錄。

(6)必要時清示公司負責人及公司領導，主動關閉服務器、交換機、存儲等設備，以免設

備損壞或數據損失。

2、局域網中斷緊急處理措施

(1)信息安全負責人員立即判斷故障節(jié)點，查明故障原因，及時匯報。

(2)若是線路故障，重新安裝線路。

(3)若是路由器、交:奐機等設備故障，應立即從指定位置將備用設備取出接上，并調試暢

通。

(4)若是路由器、交渙機等配置文件損壞，應迅速按照要求重新配置，并調試暢通.

(5)匯報相關領導，做好事件記錄。

3、廣域網線路中斷

(1)信息安全負責人員應立即判斷故障節(jié)點，查明故障原因。

(2)如是我方管轄范圍，由信息安全負責人員立即維修恢復。

(3)如是電信部門管轄范圍，應立即與電信維護部門聯(lián)系修復。

(4)做好事件記錄。

4、核心交換機故障

(1)檢查、備份核心交換機日志。

(2)啟用備用核心交換機，檢查接管情況。

(3)備份核心交換機配置信息。

(4)將服務器接入備用核心交換機，檢查服務器運行情況，將樓層交換機、接入交換機接

入備用核心交換機，檢查各交換機運行情況。

(5)匯報有關領導，做好事件記錄。

(6)聯(lián)系維修核心交換機。

5、光纜線路故障

(1)立即聯(lián)系光纖熔接人員攜帶尾纖等輔助材料，及時熔接連通。

(2)檢查并做好備用光纜或備用芯的跳線工作,隨時切換到備用網絡。

(3)做好事件記錄，及時上報。

6、計算機病毒爆發(fā)

(1)關閉計算機病毒壤發(fā)網段上聯(lián)端口。

(2)隔離中病毒計算機。

(3)關閉中病毒計算機上聯(lián)端口.

(4)根據病毒特征使用專用工具進行查殺。

(5)系統(tǒng)損壞計算機在備份其數據后，進行重裝。

(6)通過專用工具對網絡進行清查。

(7)做好事件記錄，及時上報。

7、服務器設備故障

(1)主要服務器應做多個數據備份。

(2)如能自行恢復，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞

更換備用硬盤，網卡、主板損壞啟用備用服務器。

(3)若數據庫崩潰應立即啟用備用系統(tǒng)。并檢查備用服務器啟用情況。

(4)對主機系統(tǒng)進行維修并做數據恢復。

(5)如不能恢復，立即聯(lián)系設備供應商，要求派維護人員前來維修。

(6)匯報有關領導，做好事件記錄。

8、黑客攻擊事件

(1)若通過入侵監(jiān)測系統(tǒng)發(fā)現有黑客進行攻擊，立即通知相關人員處理。

(2)將被攻擊的服務器等設備從網絡中隔離出來。

(3)及時恢復重建被攻擊或被破壞的系統(tǒng)

(4)記錄事件，及時上報，若事態(tài)嚴重，應及時向信息化主管部門和公安部門報警。

9、數據庫安全事件

(1)平時應對數據庫系統(tǒng)做多個備份。

(2)發(fā)生數據庫數據丟失、受損、篡改、泄露等安全事件時，信息安全人員應杳明原因，

按照情況采取相應措施：如更改數據庫密碼，修復錯誤受損數據。

(3)如果數據庫崩潰，信息安全人員應立即啟用備用系統(tǒng)，并向信息安全負責人報告；在

備用系統(tǒng)運行期間，信息安全人員應對主機系統(tǒng)進行維修并作數據恢復。

(4)做好事件記錄，及時上報。

10、人員疏散與機房滅火預案

(1)當班人員發(fā)現機房內有起火、冒煙現象或聞到燒焦氣味時，應立即查明原因和地點，

及時上報并針對不同情況，采取關閉電源總開關、隔離火源附近易燃物、用消防栓、滅火器等器

材滅火等措施，組織本單位、部門在場的人員有序地投入撲救工作，將火撲滅或控制火勢蔓延。

(2)當火勢已無法控制時，一是指定專人立即撥打"119"火警電話報警和向上級保衛(wèi)部

門報告，并打破報警器示警。二是組織周圍人員迅速撤離。

(3)在保障人員安全的情況下，立即組織人員疏散和轉移重要物品，特別是易燃、易爆物

品和重要的機器、數據要及時轉移到安全地點,并派人員守護，確保安全。

(4)火情結束之后，組織相關人員及時進行網絡系統(tǒng)恢復，及時向上級有關部門和領導匯

報，并做好現場保護工作和防止起火點復燃。

11、發(fā)生自然災害后的緊急措施

(1)遇到重大雷暴天氣，可能對機房設備造成損害時，應關閉所有服務器，切斷電源，暫

停內部計算機網絡工作。雷暴天氣結束后，及時開通服務器，恢復內部計算機網絡工作。

(2)確認災害不會造成人身傷害后，盡快將網絡恢復正常，若有設備、數據損壞，及時使

用備份設備或備用數據。

(3)及時核實、報損,并將詳細情況向部門領導匯報。

12、關鍵人員不在崗的緊急處置措施

(1)對于關鍵崗位平時應做好人員儲備，確保一項工作有兩人能夠操作。對于關鍵賬戶和

密碼進行密封保存。

(2)-旦發(fā)生系統(tǒng)安全事件，關鍵人員不在崗且聯(lián)系不上或1小時內不能到達機房的情況，

首先應向領導小組匯報情況。

(3)經領導小組批準后，啟用公司備份管理員密碼，由備用人員上崗操作。

(4)如果備用人員無法上崗，請求軟件公司技術支援。

(5)關鍵人員到崗后，按照相關規(guī)定進行密碼設定和封存。

（6）做好事件記錄。

（三）后續(xù)處理

安全事件進行的初的應急處置以后，應及時采取行動，抑制其影響的進一步擴大，限制潛在

的損失與破壞，同時要確保應急處置措施對涉及的相關業(yè)務影響的小。安全事件被抑制之后，通

過對有關事件或行為的分析結果，找出其根源，明確相應的補救措施并徹底清除。在確保安全事

件解決后，要及時清理系統(tǒng)、恢復數據、程序、服務，恢復工作應避免出現誤操作導致數據丟失。

（四）記錄上報

網絡與信息安全事件發(fā)生時，應及時向網絡與信息安全應急處置工作組匯報，并在事件處置

工作中作好完整的過程記錄,及時報告處置工作進展情況，保存各相關系統(tǒng)日志，直至處置工作

結束。

七、保障措施

（-）應急設備保障

對于重要網絡與信息系統(tǒng)，在建設系統(tǒng)時應事先預留一定的應急設備，建立信息網絡硬件、

軟件、應急救援設備等應急物資庫。在網絡與信息安全突發(fā)公共事件發(fā)生時，報領導同意后，由

應急工作組負責統(tǒng)一調用。

（二）數據保障

重要信息系統(tǒng)均應建立容災備份系統(tǒng)和相關工作機制，保證重要數據在遭到破壞后，巨緊急

恢復.各容災備份系統(tǒng)應具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份.

信息系統(tǒng)應急預案4

信息系統(tǒng)應急處酬案

文檔版本：V1.0發(fā)布日期：

XXXXXXX公司

第1頁共11頁

目錄

第一章總則.3

第二章組織機構和工作職責...5

第三章預防與預警機制…??…5

第四章應急響應程序6

第五章后期處置..10

第六章應急保障.?10

第七章附則…11

第2頁共11頁

第一章總則

第一條為提高應對信息系統(tǒng)在運行過程中出現的各種突發(fā)事件的應急處置能力，有效預防和

最大程度地降低信息系統(tǒng)各類突發(fā)事件的危害和影響，保障信息系統(tǒng)安全、穩(wěn)定運行，根據國家

《信息安全事件分類分級指南》、《信息技術、安全技術、信息安全事件管理指南》、《國家突

發(fā)公共事件總體應急預案》及有關法律、法規(guī)的規(guī)定，結合實際，制定本處理預案。

第二條本處理預案所稱的信息系統(tǒng)，由計算機設備、網絡設施、計算機軟件、交通運輸數據

等組成。

第三條信息系統(tǒng)突發(fā)事件分為網絡攻擊事件、信息破故事件、信息內容安全事件、網絡故障

事件、軟件系統(tǒng)故障事件、災難性事情、其他事件等八類事件。

(-)網絡攻擊事件：通過網絡或其他技術手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程

序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊，并造成信息系統(tǒng)異常或對信息系統(tǒng)當前運行造成潛

在危害的事件。

（二）信息破壞事件：通過網絡或其他技術手段，造成信息系統(tǒng)中的數據被篡改、假冒、泄

漏等而導致的事件。

（三）信息內容安全事件：利用信息網絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益的

不良信息內容的事件。

（四）網絡故障事件：因電信、網絡設備等原因造成大部分網

第3頁共11頁絡線路中斷，用戶無法登錄信息系統(tǒng)的事件。

（五）服務器故障事件：因系統(tǒng)服務器故障而導致的信息系統(tǒng)無法運行的事件。

（六）軟件故障事件：因系統(tǒng)軟件或應用軟件故障而導致的信息系統(tǒng)無法運行的.事件。

（七）災害性事件：因不可抗力對信息系統(tǒng)造成物理破壞而導致的事件。

（八）其他突發(fā)事件：不能歸為以上七個基本分類，并可能造成信息系統(tǒng)異?；驅π畔⑾到y(tǒng)

當前運行造成潛在危害的事件。

第四條按照造成信息系統(tǒng)的中斷運行時間，將信息系統(tǒng)突發(fā)事件級別劃分為一般（IV級）、

較大（III級）、重大（II級）、特別重大（I級）。

（一）一般（IV級）：信息系統(tǒng)發(fā)生可能中斷運行2小時以內的故障；

（二）較大（山級）：信息系統(tǒng)發(fā)生可能中斷運行2小時以上、12小時以內的故障；

（三）重大（II級）：信息系統(tǒng)發(fā)生可能中斷運行12小時以上、24小時以內的故障；

（四）特別重大（I級）：信息系統(tǒng)發(fā)生可能中斷運行24小時以上的故障。

第4頁共11頁

第二章組織機構和工作職責

第五條預防和處理信息系統(tǒng)突發(fā)事件工作協(xié)調小組（以下簡稱"應急小組"）負責信息系統(tǒng)

應急處理工作，決定信息系統(tǒng)應急處理工作的重大事項，組織實施、業(yè)務協(xié)調和發(fā)布信息系統(tǒng)應

急指令，發(fā)布信息系統(tǒng)應急故障級別、決策處理方案。應急小組組長由分管信息技術工作的領導

擔任，成員為研發(fā)部技術升發(fā)人員、運維部技術維護人員。

第三章預防與預警機制

第七條應急小組針對各種可能發(fā)生的信息系統(tǒng)突發(fā)事件，建立和完善預測預警機制。

第八條預警信息分為外部預警信息和內部預警信息兩類。外部預警信息指信息系統(tǒng)外突發(fā)的

可能需要通信保障、安全防范，或可能對信息系統(tǒng)產生重大影響的事件警報。內部預警信息指信

息系統(tǒng)網內的事故征兆或局部信息系統(tǒng)突發(fā)事故可能對其池或整個網絡造成重大影響的事件警

報。

第九條應急小組要加強對信息系統(tǒng)的日常監(jiān)測工作。監(jiān)測的內容主要包括：

（-）局域網通訊性能與流量；

（二）網絡設備和安全設備的操作記錄、網絡訪問記錄;

第5頁共11頁（三）服務器性能、數據庫性能、應用系統(tǒng)性能等運行狀態(tài)，以及備份存貯

系統(tǒng)狀態(tài)等；

（四）服務器操作系統(tǒng)、數據庫安全審計記錄、業(yè)務系統(tǒng)安全審計記錄；

（五）計算機漏洞公告、網絡漏洞掃描報告；（六）病毒公告、防病毒系統(tǒng)報告；（七）其

他可能影響信息系統(tǒng)的預警內容。

第十條應急小組獲得外部重大預警信息或通過監(jiān)測獲得內部預警信息后應對預警信息加以

分析，按照早發(fā)現、早報告、早處置的原則，對可能演變?yōu)閲乐厥录那闆r，部署相應的應對措

施，通知相關部門做好預防和保障應急工作的各項準備工作，并及曲員告領導.

第四章應急響應程序

第十一條信息系統(tǒng)使用單位或人員發(fā)現信息系統(tǒng)突發(fā)事件后，應及時報告應急小組。應急小

組及時組織相關人員查找故障原因，在短時間內（一般要在半小時以內）依據故障情形和修復時

間進行初步判別，確定故障分類級別，較大（in級）及其以上的突發(fā)事件應報告領導。

第十二條信息系統(tǒng)突發(fā)事件發(fā)生后，根據突發(fā)事件嚴重程度，由領導決定并指定特定小組或

人員及時向新聞媒體發(fā)布相關信

第6頁共11頁息，指定的小組或人員應嚴格按照領導規(guī)定及要求對外發(fā)布信息，其他部門

或個人不得擅自接受新聞媒體采訪或對外發(fā)布自己的看法和意見。

第十三條發(fā)生較大（II【級）及其以上信息系統(tǒng)突發(fā)事件時，應急小組除向領導報告外，應

立即通知各業(yè)務部室。各業(yè)務部室應在各業(yè)務大廳張貼告示牌，同時做好服務對象的解釋和疏導

工作，并盡可能通過電話、網絡、短信等方式通知業(yè)務相關人員。

第十四條根據不同的事件以及事件的級別，采取相應措施進行應急處理。突發(fā)事件處理過程

中，可以根據需要調整故障級別。

（-）網絡攻擊事件應急預案：

1.當發(fā)現網絡被非法入侵、網頁內容被篡改，應用服務器的數據被非法拷貝、修改、刪除,

或有黑客正在進行攻擊等現象時，使用者或管理者應斷開網絡，并立即報告應急小組。

2.應急小組立即關閉相關服務器，封鎖或刪除被攻破的登陸帳號，阻斷可疑用戶進入網絡的

通道，并及時清理系統(tǒng)、恢復數據和程序，盡快將系統(tǒng)和網絡恢復正常。

（二）信息破壞事件應急預案：

1.當發(fā)現信息被篡改、假冒、泄漏等事件時，信息系統(tǒng)使用單位或個人應立即通知應急小組。

2.如被篡改或被假冒的數據正在傳輸過程中，應急小組應立即通知中止傳輸工作。

3.應急小組通過跟蹤應用程序、查看數據庫安全審計記錄和業(yè)務系統(tǒng)安全審計記錄查找信息

被破壞的原因和相關責任人。

第7頁共11頁4.應急小組提出修正錯誤方案和措施,通知各業(yè)務部室進行處理。

（三）信息內容安全事件應急預案：

L當發(fā)現不良信，息、或毆絡病毒時，系統(tǒng)使用人員立即斷開網線，終止不良信息、或網絡病毒傳

播，并報告應急小組。

2.應急小組根據情況通告局域網內所有計算機用戶，隔離網絡，指導各計算機操作人員進行

殺毒處理、清除不良信息，直至網絡處于安全狀態(tài)。

（四）網絡故障事件應急預案：

L發(fā)生網絡故障事件后，系統(tǒng)使用人員應及時報告應急小組。2.應急小組及時查清網絡故

障位置和原因，并予以解決。3.不能確定故障的解決時間或解決故障的期限并屬較大（III級）

及其以上的，應急小組應報告領導。

（五）服務器故障應急預案：

1.服務器故障后，應急小組確定故障設備及故障原因，并通知相關廠商。

2.根據服務器修復和恢復系統(tǒng)所需時間，由領導決定是否啟用備份設備。

3.如啟用備份設備，在服務器故障排除后，應急小組在確保不影響正常業(yè)務工作的前提下,

利用網絡空閑時期替換備用設備。如不啟用備份設備，應急小組應積極配合相關廠商解決服務器

故障事件。

（六）軟件故障事件應急預案：

第8頁共11頁1.發(fā)生計算機軟件系統(tǒng)故障后，系統(tǒng)使用人員應立即保存