信息安全事件應急處理預案.docx

信息安全事件應急處理預案1 目的規(guī)范業(yè)務信息安全事件的應急管理和應急相應程序，及時有效地應急處理工作，最大程度地減少信息安全事件對公司業(yè)務的影響，提高業(yè)務系統(tǒng)應急處理能力，保證業(yè)務信息安全，維護社會穩(wěn)定，特制定信息安全事件應急處理預案。2 適用范圍本預案針對現(xiàn)有IPTV增值業(yè)務信息安全事件的應急管理和應急處置工作3 定義和縮寫3.1 信息安全事件定義：指由于業(yè)務系統(tǒng)處理能力不足、系統(tǒng)軟硬件運行異常、軟件系統(tǒng)遭遇病毒入侵、黑客惡意破壞與入侵、電力系統(tǒng)故障、網(wǎng)絡與通訊系統(tǒng)故障等導致業(yè)務信息系統(tǒng)運行產(chǎn)生異常，在此階段需要采取應急處理措施的事件。3.2 信息安全基礎分類：3.2.1 有害程序破壞事件：非法蓄意制造并傳播有害程序?qū)е聵I(yè)務系統(tǒng)受到有害程序的影響導致的信息安全事件；3.2.2 網(wǎng)絡黑客攻擊事件：不法分子通過網(wǎng)絡或其他技術(shù)手段，利用業(yè)務系統(tǒng)的配置缺陷，協(xié)議缺陷、程序漏洞等或使用暴力攻擊對業(yè)務系統(tǒng)實施攻擊，并造成業(yè)務系統(tǒng)異?；?qū)I(yè)務系統(tǒng)運行造成潛在危害的信息安全事件：3.2.3 信息破壞事件：不法分子通過網(wǎng)絡或其他技術(shù)手段，造成業(yè)務系統(tǒng)中的信息被篡改、假冒、泄露、竊取等而導致的信息安全事件；3.2.4 信息內(nèi)容安全事件：利用業(yè)務系統(tǒng)網(wǎng)絡發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益內(nèi)容的安全事件；3.2.5 業(yè)務設備故障：由于業(yè)務系統(tǒng)自身故障或外圍保障設備故障而導致的信息安全事件，以及人為因素的使用非技術(shù)手段有意或無意的對業(yè)務系統(tǒng)造成破壞而導致的信息安全事件；3.2.6 災害性事件：由于不可抗力對業(yè)務系統(tǒng)造成物理破壞而導致的信息安全事件；3.2.7 其他信息安全事件：不能歸為以上6個基本分類的信息安全事件。4 工作原則統(tǒng)一管理，各部門協(xié)同配合。信息安全突發(fā)事件應急工作由應急指揮中心統(tǒng)一領(lǐng)導和工作協(xié)調(diào)協(xié)調(diào)，督促各個部門在信息安全應急事件發(fā)生是能夠做到“責任明確、綜合協(xié)調(diào)、各司其職”的原則協(xié)同配合、具體實施，完善應急工作體系和機制。 明確責任，依法規(guī)范。按照“責任主體管理方式、實行分級響應、及時發(fā)現(xiàn)、及時報告、及時救治、及時控制”的要求，依法對信息安全突發(fā)事件進行防范、監(jiān)測、預警、報告、響應、指揮和協(xié)調(diào)、控制。按照“誰主管、誰負責，誰運營、誰負責”的原則，實行責任制和責任追究制。 防范為主，加強信息安全監(jiān)控。宣傳普及信息安全防范知識，貫徹預防為主的思想，樹立常備不懈的觀念，經(jīng)常性地做好應對信息安全突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網(wǎng)絡和重要信息系統(tǒng)的信息安全綜合保障水平。加強對信息安全隱患的日常監(jiān)測，發(fā)現(xiàn)和防范重大信息安全突發(fā)性事件，及時采取有效的可控措施，迅速控制事件影響范圍，力爭將損失降到最低程度。5 信息安全事件應急指揮中心：根據(jù)工作需要，成立針對業(yè)務處信息安全事件應急指揮中心，統(tǒng)一指揮事件的處理工作。5.1 職責與權(quán)限崗位職責應急指揮中心1. 統(tǒng)一領(lǐng)導、指揮、協(xié)調(diào)處置突發(fā)的信息安全事件2. 決定啟動或終止信息系統(tǒng)災難級事件的應急預案 3. 確定有關(guān)部門應急處置工作職責及分工 4. 決定事件處置決策和應對措施指揮、協(xié)調(diào)有關(guān)部門組織實施5. 決定事件的信息發(fā)布、媒體接觸等事項6. 對在預防和處置信息安全事件工作中因失職、瀆職或其他原因造成嚴重后果的責任單位和責任人員，提請有關(guān)部門按照公司規(guī)章制度追究其責任7. 研究解決事件處置過程中的其他重大事項。應急現(xiàn)場小組1. 具體組織實施現(xiàn)場技術(shù)業(yè)務系統(tǒng)恢復和信息資產(chǎn)保全工作2. 協(xié)助業(yè)務部門實施業(yè)務連續(xù)性保障工作 3. 對現(xiàn)場事態(tài)發(fā)展及處置情況及時向公司及外部單位報告4. 負責現(xiàn)場處置工作的總結(jié)、報告6 工作程序 6.1 預防與預警機制 6.1.1 預防機制詳細預案編制 各部門應結(jié)合本部門實際情況制定全面、切實可行的具體應急處理詳細步驟規(guī)范應急處理的操作流程，提高應急處理能力。其中，業(yè)務部署環(huán)境中心機房的預案應涵蓋中心機房業(yè)務服務器主備機切換、網(wǎng)絡系統(tǒng)、基礎設施、冗余備份失效等方面的各種應急情況。包括應急處理的具體實施步驟、檢驗方法、實施時間等要素。預防性維護測試 業(yè)務部分和各分相關(guān)部門按照應急指揮中心統(tǒng)一制定的月、季度、年度的應急演練和預防性維護測試記錄表單進行日常預防性維護工作，并做好書面的記錄和總結(jié)。進行預防性維護測試時，主要檢驗備份設備以及切換流程是否正常和可操作，或者對可能導致風險的關(guān)鍵點進行設備檢查，保證設備的正常進行。6.1.2 日常運行監(jiān)測與預警機制 機房實行724小時值班制度，隨時響應公司內(nèi)的信息安全事件。主機、網(wǎng)絡、業(yè)務系統(tǒng)安排專崗負責監(jiān)控，詳細記錄、統(tǒng)計系統(tǒng)運行狀況形成報表方便匯總、查詢。采用智能圖像化監(jiān)控管理系統(tǒng)監(jiān)控服務器狀態(tài)、用戶并發(fā)、資源利用等情況，通過報警功能及時查找業(yè)務問題。6.1.3 重要、敏感時期的預防和預警機制 在重要、敏感時期，為維護業(yè)務穩(wěn)定開展和加強信息系統(tǒng)安全工作，加強全體員工的法律意識和安全意識教育，制定重要、敏感時期的應急預案做到發(fā)現(xiàn)問題及時處理提高業(yè)務系統(tǒng)的應急處理能力，堅持重要、敏感時期的24小時值班制度，保證與上級主管部門、關(guān)鍵業(yè)務與設備服務商和當?shù)毓矙C關(guān)的熱線聯(lián)系，積極做好各種風險防范工作。6.2 信息安全事件的應急響應信息安全事件分為一般、緊急、重大以及災難，共四個等級1) 一般：指能夠?qū)е螺^小影響或破壞的信息安全事件2) 緊急：指能夠?qū)е螺^嚴重影響或破壞的信息安全事件3) 重大：指能夠?qū)е聡乐赜绊懟蚱茐牡男畔踩录?) 災難：指能夠?qū)е绿貏e嚴重影響或破壞的信息安全事件6.2.1 預案應急處理機制鑒別事件類別與事件等級，確定信息安全事件來源，保護證據(jù)，以便縮短應急響應時間。 檢查威脅造成的結(jié)果，評估事件帶來的影響和損害：如檢查系統(tǒng)、服務、數(shù)據(jù)的完整性、保密性或可用性，檢查攻擊者是否侵入了系統(tǒng)，以后是否能再次隨意進入，損失的程度，確定暴露出的主要危險等。 抑制事件的影響進一步擴大，限制潛在的損失與破壞。可能的抑制策略一般包括：關(guān)閉服務或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡上斷開相關(guān)系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登錄賬號，阻斷可疑用戶得以進入網(wǎng)絡的通路，提高系統(tǒng)或網(wǎng)絡行為的監(jiān)控級別，設置陷阱，啟用緊急事件下的接管系統(tǒng)，實行特殊“防衛(wèi)狀態(tài)”安全警戒，反擊攻擊者的系統(tǒng)等。 根除。在事件被抑制之后，通過對有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應的補救措施并徹底清除。與此同時，執(zhí)法部門和其他相關(guān)機構(gòu)將對攻擊源進行定位并采取合適的措施將其中斷。 清理系統(tǒng)、恢復數(shù)據(jù)、程序、服務。把所有被攻破的系