信息安全應(yīng)急預(yù)案

信息安全應(yīng)急預(yù)案（版本號(hào)V1.0）文檔發(fā)布信息版本編號(hào)版本編號(hào)文檔描述信息作者 審核批準(zhǔn) 狀態(tài)狀態(tài)日期目錄1.概述 41.1編寫(xiě)目的 41.2編寫(xiě)依據(jù) 41.3適用范圍 42.組織機(jī)構(gòu)與職責(zé) 42.1應(yīng)急指揮中心 42.2應(yīng)急工作組 53.事件分類分級(jí) 63.1事件分類 63.2事件分級(jí) 64.應(yīng)急響應(yīng)機(jī)制 74.1突發(fā)事故 74.2應(yīng)急啟動(dòng) 84.3事件報(bào)告 84.4應(yīng)急處置 84.5應(yīng)急結(jié)束 94.6后期處置 104.6.1后期觀察 104.6.2調(diào)查與評(píng)估 104.6.3總結(jié)與整改 105.應(yīng)急保障措施 115.1物資保障 115.2人員保障 115.3通信保障 116應(yīng)急宣傳及演練 116.1應(yīng)急宣傳 116.2應(yīng)急演練 117.附件 121.概述1.1編寫(xiě)目的為提高XX公司整體業(yè)務(wù)的安全性，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共事制確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全運(yùn)行安全和數(shù)據(jù)安全最大限度地輕業(yè)務(wù)系統(tǒng)突發(fā)網(wǎng)絡(luò)與信息安全故障造成的危害。1.2編寫(xiě)依據(jù)《國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》《重特大生產(chǎn)安全事故預(yù)防與應(yīng)急處理暫行規(guī)定》1.3適用范圍本預(yù)案適用于XX公司包含的所有業(yè)務(wù)系統(tǒng)包括已建的系統(tǒng)未建的系統(tǒng)、通過(guò)信息安全等級(jí)保護(hù)的系統(tǒng)未通過(guò)信息安全等級(jí)保護(hù)的系統(tǒng)還有正在建設(shè)的系統(tǒng)。2.組織機(jī)構(gòu)與職責(zé)為保障XX公司旗下業(yè)務(wù)系統(tǒng)在突發(fā)安全事件時(shí)能立即啟動(dòng)應(yīng)急方案，應(yīng)成應(yīng)用故障小組、平臺(tái)故障小組、網(wǎng)絡(luò)故障小組、程序故障小組、后勤保障小組2.1應(yīng)急指揮中心XX公司應(yīng)急指揮中心（以下簡(jiǎn)稱應(yīng)急指揮中心）是公司應(yīng)急管理工作的決策指揮機(jī)構(gòu)，屬公司常設(shè)辦事機(jī)構(gòu)。指揮中心辦公地點(diǎn)設(shè)置在XX急指揮中心人員職位分配如下表所示。表1職職位具體人員總指揮副總指聯(lián)系成員應(yīng)急指揮中心的主要職責(zé)：（1）審核、審定信息安全應(yīng)急預(yù)案。（2）宣布進(jìn)入和解除應(yīng)急狀態(tài)，決定實(shí)施和終止應(yīng)急預(yù)案。（3）對(duì)突發(fā)事件等級(jí)為I級(jí)和I級(jí)的安全事件進(jìn)行決策并統(tǒng)一指揮應(yīng)急處置工作。（4）負(fù)責(zé)組織協(xié)調(diào)公司各部門(mén)進(jìn)行日常信息安全應(yīng)急演練。（5）負(fù)責(zé)組織協(xié)調(diào)公司各部門(mén)進(jìn)行日常信息安全的宣傳教育與培訓(xùn)。2.2應(yīng)急工作組XX公司應(yīng)急工作小組（以下簡(jiǎn)稱應(yīng)急工作小組）負(fù)責(zé)實(shí)施應(yīng)急指揮中心部署的方案措施、落實(shí)日常信息安全各方面工作、處理突發(fā)網(wǎng)絡(luò)安全事件。應(yīng)急工作小組的主要職責(zé)：（1）落實(shí)應(yīng)急指揮中心部署的各項(xiàng)任務(wù)。（2）負(fù)責(zé)應(yīng)急預(yù)案的編制工作。（3）網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急工作小組要詳細(xì)記錄應(yīng)急過(guò)程所有措施，形成過(guò)程記錄表、結(jié)果報(bào)告，并做好信息通報(bào)工作。（4）負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急演練。（5）負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急宣傳教育與培訓(xùn)。（6）監(jiān)督執(zhí)行應(yīng)急指揮中心下達(dá)的應(yīng)急指令、重大應(yīng)急決策和部署，協(xié)調(diào)各方應(yīng)急資源，組織各單位及故障處理小組進(jìn)行應(yīng)急處理。（7）及時(shí)了解和掌握突發(fā)事件與應(yīng)急處置工作情況，向應(yīng)急指揮中心報(bào)告應(yīng)急處置過(guò)程中發(fā)現(xiàn)的重大問(wèn)題，并協(xié)調(diào)解決。（8）負(fù)責(zé)突發(fā)事件調(diào)查、總結(jié)應(yīng)急處理經(jīng)驗(yàn)和教訓(xùn)等后期處置工作。3.事件分類分級(jí)3.1事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件網(wǎng)絡(luò)攻擊事件信息破壞事件信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。（1）有害程序事件分為計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁(yè)內(nèi)嵌惡意代碼事件和其他有害程序事件（2網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件后門(mén)攻擊事件漏洞攻擊事件網(wǎng)絡(luò)掃描竊聽(tīng)事件、網(wǎng)絡(luò)釣魚(yú)事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件是指通過(guò)網(wǎng)絡(luò)傳播法律法規(guī)禁止信息，組織非法串聯(lián)煽動(dòng)集會(huì)游行或炒作敏感問(wèn)題并危害國(guó)家安全社會(huì)穩(wěn)定和公眾利益的事件。（5）設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、人為破壞事故和其他設(shè)備設(shè)施故障。（6）災(zāi)害性事件是指由自然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與信息安全事件。3.2事件分級(jí)根據(jù)系統(tǒng)故障對(duì)服務(wù)的對(duì)象和公司生產(chǎn)經(jīng)營(yíng)和管理的影響范圍程度可能產(chǎn)生的后果和損失等因素，將網(wǎng)絡(luò)與信息安全故障分為重大(Ⅰ級(jí))、較大(Ⅱ)、一般(Ⅲ級(jí))三個(gè)等級(jí)。（1）符合下列情形之一的，為重大網(wǎng)絡(luò)與信息安全事件(Ⅰ級(jí))：①信息系統(tǒng)中斷運(yùn)行30分鐘以上、影響人數(shù)10萬(wàn)人以上。②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取篡改假冒對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е?億元人民幣以上的經(jīng)濟(jì)損失。③其他對(duì)國(guó)家安全社會(huì)秩序經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅造成嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（2）符合下列情形之一且未達(dá)到重大網(wǎng)絡(luò)與信息安全事件(Ⅰ級(jí))的，為較大網(wǎng)絡(luò)與信息安全事件(Ⅱ級(jí))：①信息系統(tǒng)中斷運(yùn)行造成較嚴(yán)重影響的。②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取篡改假冒對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成較嚴(yán)重威脅，或?qū)е?000萬(wàn)元人民幣以上的經(jīng)濟(jì)損失。③其他對(duì)國(guó)家安全社會(huì)秩序經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅造成較嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（3）除上述情形外，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)與信息安全事件，為一般網(wǎng)絡(luò)與信息安全事件(Ⅳ)。4.應(yīng)急響應(yīng)機(jī)制4.1突發(fā)事故業(yè)務(wù)系統(tǒng)一旦突發(fā)下列情形之一，信息安全應(yīng)急方案即刻生效。（1）通道與網(wǎng)絡(luò)故障。（2）主機(jī)設(shè)備、操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)軟件故障。（3）應(yīng)用服務(wù)故障。（4）應(yīng)用程序發(fā)布故障或應(yīng)用系統(tǒng)數(shù)據(jù)丟失。（5）數(shù)據(jù)轉(zhuǎn)接重大錯(cuò)誤。（6）業(yè)務(wù)流程發(fā)生嚴(yán)重錯(cuò)誤。（7）業(yè)務(wù)遷移重大故障。（8）機(jī)房電源、空調(diào)等重大環(huán)境故障。（9）大面積病毒爆發(fā)、蠕蟲(chóng)、木馬程序、有害移動(dòng)代碼等。（10（11）自然災(zāi)害或人為錯(cuò)誤操作導(dǎo)致數(shù)據(jù)嚴(yán)重破壞。（124.2應(yīng)急啟動(dòng)各應(yīng)急配合單位部門(mén)須嚴(yán)格按照信息安全應(yīng)急預(yù)案的安排完成相關(guān)準(zhǔn)備作。應(yīng)急實(shí)施期間各工作檢查人必須每日對(duì)各項(xiàng)工作完成情況進(jìn)行檢查并簽確認(rèn)，記錄未完成工作及原因；關(guān)鍵任務(wù)要按時(shí)間點(diǎn)進(jìn)行檢查。發(fā)生突發(fā)事件后，事件發(fā)生單位立即向應(yīng)急工作組匯報(bào)。應(yīng)急工作組接到I級(jí)營(yíng)突發(fā)事件的應(yīng)急報(bào)告后根據(jù)事件情況決定是否啟動(dòng)應(yīng)急預(yù)案，并將結(jié)果上報(bào)應(yīng)急指揮中心。應(yīng)急工作組接到I應(yīng)急指揮中心根據(jù)事件情況進(jìn)行應(yīng)急處置決策，并啟動(dòng)應(yīng)急預(yù)案。4.3事件報(bào)告發(fā)生突發(fā)事件時(shí)由突發(fā)事件發(fā)現(xiàn)單位或人員直接向應(yīng)急工作組及本單位導(dǎo)匯報(bào)。報(bào)告分為緊急報(bào)告和詳細(xì)匯報(bào)緊急報(bào)告是指事件發(fā)生后各級(jí)單位或部門(mén)向應(yīng)急工作組以口頭和應(yīng)急報(bào)告（見(jiàn)附件形式匯報(bào)事件的簡(jiǎn)要情況詳細(xì)匯報(bào)是指由應(yīng)急處理機(jī)構(gòu)在事件處理暫告一段落后，以書(shū)面形式提交的詳細(xì)報(bào)告件。事件報(bào)告的內(nèi)容和格式要求：（1）口頭報(bào)告的內(nèi)容主要包括事件發(fā)生的時(shí)間、概況、可能造成的影響等情況。（2）口頭報(bào)告后應(yīng)按照附件一格式用傳真方式報(bào)送應(yīng)急工作組，要求內(nèi)容簡(jiǎn)潔、清楚、準(zhǔn)確。4.4應(yīng)急處置應(yīng)急故障處理流程主要包括系統(tǒng)運(yùn)行后的應(yīng)急故障處理。如果系統(tǒng)異常應(yīng)當(dāng)先由應(yīng)急故障處理領(lǐng)導(dǎo)小組進(jìn)行故障等級(jí)判定后由應(yīng)急工作組進(jìn)行故障類型判定及故障處理，以便在盡量短的時(shí)間內(nèi)割接成功。是I級(jí)事件（重大事件需要上報(bào)應(yīng)急指揮中心進(jìn)行應(yīng)急處理決策以確定具體的應(yīng)急措施；如果是II完成后應(yīng)急工作組需要進(jìn)行故障類型的判定并將判定結(jié)果交給各分類故障處是I措施通知分類故障處理小組即刻進(jìn)行處理最后由分類故障處理小組完成故障排除工作。在正式上線運(yùn)行后如果發(fā)現(xiàn)系統(tǒng)無(wú)法運(yùn)行此時(shí)由應(yīng)急故障處理領(lǐng)導(dǎo)小組進(jìn)行決策，可以啟用容災(zāi)中心數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)，并修改DNS配置接管生產(chǎn)中心的關(guān)鍵業(yè)務(wù)在系統(tǒng)設(shè)備或系統(tǒng)軟件故障修復(fù)后在將數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)回切用服務(wù)器問(wèn)題逐步進(jìn)行排除相應(yīng)的措施包括優(yōu)化網(wǎng)絡(luò)改進(jìn)程序代碼修正配置增加應(yīng)用服務(wù)器分擔(dān)負(fù)荷暫停部分非關(guān)鍵業(yè)務(wù)以減少業(yè)務(wù)總量?jī)?yōu)化數(shù)據(jù)庫(kù)后臺(tái)操作腳本等。如果是系統(tǒng)缺陷，則需要修復(fù)缺陷。系統(tǒng)突發(fā)事件由I級(jí)發(fā)展為I級(jí)或發(fā)生I急報(bào)告后，立即上報(bào)公司應(yīng)急指揮中心，公司應(yīng)急指揮中心啟動(dòng)公司應(yīng)急預(yù)案，協(xié)調(diào)公司其他應(yīng)急資源支持應(yīng)急處理支持事件相關(guān)單位及時(shí)有效地進(jìn)行處理，控制事件發(fā)展。信息網(wǎng)絡(luò)管理維護(hù)部門(mén)負(fù)責(zé)本單位所轄的廣域網(wǎng)及局域網(wǎng)的通道設(shè)備的信息傳播等事件時(shí)迅速調(diào)整網(wǎng)的發(fā)展當(dāng)發(fā)生外力破壞時(shí)迅速修復(fù)并立即用備用通道短時(shí)絡(luò)安全設(shè)備的安全策略或隔離事件區(qū)域查找源頭采取有措施，控制事件間內(nèi)恢復(fù)通道正常。4.5應(yīng)急結(jié)束在同時(shí)滿足下列條件下，應(yīng)急指揮中心可決定宣布解除應(yīng)急狀態(tài)：（1）事件已得到有效控制，情況趨緩。（2）突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運(yùn)行。應(yīng)急指揮中心應(yīng)及時(shí)向現(xiàn)場(chǎng)應(yīng)急工作組和參與應(yīng)急支援的有關(guān)單位傳達(dá)解除應(yīng)急狀態(tài)響應(yīng)的指令，恢復(fù)正常生產(chǎn)工作秩序。上線割接完成后，系統(tǒng)穩(wěn)定運(yùn)行，轉(zhuǎn)入運(yùn)行維護(hù)階段。4.6后期處置4.6.1后期觀察I級(jí)突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注監(jiān)測(cè)系統(tǒng)2周確認(rèn)無(wú)異?，F(xiàn)象。I級(jí)突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注監(jiān)測(cè)系統(tǒng)1周確認(rèn)無(wú)異?，F(xiàn)象。I級(jí)突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注監(jiān)測(cè)系統(tǒng)2天確認(rèn)無(wú)異?，F(xiàn)象。4.6.2調(diào)查與評(píng)估突發(fā)事件應(yīng)急處理結(jié)束后嚴(yán)重影響到公司利益和客戶利益的重大較大事件應(yīng)急工作組按照相關(guān)規(guī)定或要求對(duì)事件產(chǎn)生的原因影響進(jìn)行調(diào)查和評(píng)估，對(duì)責(zé)任進(jìn)行認(rèn)定。調(diào)查報(bào)告按公司規(guī)定報(bào)有關(guān)部門(mén)。4.6.3總結(jié)與整改突發(fā)事件應(yīng)急處理結(jié)束后相關(guān)部門(mén)應(yīng)組織研究事件發(fā)生的原因和特點(diǎn)分析事件發(fā)展過(guò)程，總結(jié)應(yīng)急處理過(guò)程中的經(jīng)驗(yàn)和教訓(xùn)，進(jìn)行應(yīng)急處置知識(shí)積累進(jìn)一步補(bǔ)充、完善和修訂運(yùn)行維護(hù)應(yīng)急預(yù)案。突發(fā)事件應(yīng)急處理結(jié)束后相關(guān)單位應(yīng)會(huì)同應(yīng)急工作小組結(jié)合運(yùn)行過(guò)程中異常和事件綜合分析營(yíng)銷輔助決策系統(tǒng)中存在的關(guān)鍵點(diǎn)和薄弱點(diǎn)提出該類事件的整改措施制定整改實(shí)施方案并予以落實(shí)整改措施和方案報(bào)公司營(yíng)銷部備案。5.應(yīng)急保障措施5.1物資保障應(yīng)急物資裝備主要包括：車(chē)輛、備品備件、常用工具和常用工具軟件。5.2人員保障應(yīng)急處理組織機(jī)構(gòu)應(yīng)長(zhǎng)期保持相關(guān)領(lǐng)導(dǎo)及技術(shù)人員應(yīng)定期組織會(huì)議總結(jié)近期工作。各部門(mén)要加強(qiáng)突發(fā)事件應(yīng)急技術(shù)支持隊(duì)伍的建設(shè)保證業(yè)務(wù)和技術(shù)骨干人能夠迅速到位。公司技術(shù)人員由指揮中心統(tǒng)一調(diào)配，集中管理。5.3通信保障應(yīng)急期間指揮通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電話外線電話、手機(jī)、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機(jī)應(yīng)保持24小時(shí)開(kāi)機(jī)狀態(tài)。6應(yīng)急宣傳及演練6.1應(yīng)急宣傳應(yīng)急工作組將應(yīng)急預(yù)案發(fā)給相關(guān)部門(mén)要求各部門(mén)加強(qiáng)學(xué)習(xí)提高相關(guān)工作人員的應(yīng)急意識(shí)。6.2應(yīng)急演練針對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行測(cè)試演練對(duì)演練中出現(xiàn)的問(wèn)題進(jìn)行及時(shí)修改完善應(yīng)急措施。7.附件表1人員聯(lián)系表姓姓名 電話（座機(jī)））郵件備注圖1應(yīng)急響應(yīng)流