IT信息系統(tǒng)應急預案

1、計算機信息系統(tǒng)事故處理應急預案1目的為妥善應對和處置XXXX股份有限公司計算機信息系統(tǒng)突發(fā)事件，保障公司業(yè)務的的正常運行， 根據(jù)中華人民共和國計算機信息系統(tǒng)安全保護條例況，特制定本應急預案。目的在于維護XXXX股份有限公司信息系統(tǒng)正常運行，進一步完善信息系統(tǒng)管理機制, 提高突發(fā)事件的應急處置能力。2適用范圍 適用對象：XXXX技術(shù)部業(yè)務范圍：適用于預防及處置計算機信息系統(tǒng)突發(fā)事件。3職責及權(quán)限角色職責及權(quán)限領導小組1.負責領導、統(tǒng)一協(xié)調(diào)、組織開展公司計算機信息系統(tǒng)應急管 理工作，緊急處理計算機信息系統(tǒng)重大應急事件和隱患。2.發(fā)生重大計算機信息系統(tǒng)突發(fā)事件時，負責啟動本預案，下 達應急任務。網(wǎng)絡

2、維護部門、軟件維護部門1.承擔計算機信息系統(tǒng)事故應急處理工作2.負責實施各項應急措施，定期開展和部署應急預案的培訓工 作。3.根據(jù)領導小組下達的命令和指示，負責組織指揮、協(xié)調(diào)應急 行動，完成應急任務?；瞬块T1.負責監(jiān)督處理工作及驗證處理工作。4應急措施與工作程序4.1應急措施一、公司網(wǎng)站、網(wǎng)頁出現(xiàn)非法言論事件緊急處置措施1.公司行政人員負責查看公司網(wǎng)頁信息，發(fā)現(xiàn)在網(wǎng)頁上出現(xiàn)非法信息時，應立即向領導小組辦公室負責人報告；情況緊急的，在保留原始信息后，應先采取刪除等處理措施，再 按程序報告。2.信息安全技術(shù)人員應在接到報告后首先做好必要記錄,錄及日志，強化安全防范措施，并將網(wǎng)站網(wǎng)頁重新投入使用。

3、共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法等有關(guān)法規(guī)文件精神,結(jié)合公司實際情XXXX股份有限、中華人民清理非法信息，妥善保存有關(guān)記3.追查非法信息來源，并將有關(guān)情況向領導小組負責人匯報。4.領導小組辦公室負責人按照事態(tài)嚴重程度， 決定是否并向政府信息化主管部門報告和公安部門報警。二、黑客攻擊事件緊急處置措施1.恢復還沒有得到或破壞機密數(shù)據(jù)的被入侵系統(tǒng)1）、先對系統(tǒng)當前狀態(tài)做一個備份，用來做事后分析和證據(jù)，然后使用IP追捕軟件來反向追蹤攻擊者，再斷開與他的網(wǎng)絡連接，通過添加防火墻規(guī)則來阻止。2）、修改數(shù)據(jù)庫管理員帳號名稱和登錄密碼， 重新為操作數(shù)據(jù)的用戶建立新的帳戶和密碼，并且修改數(shù)據(jù)庫的訪問

4、規(guī)則。2.恢復已經(jīng)得到或刪除了機密數(shù)據(jù)的被入侵系統(tǒng)發(fā)現(xiàn)系統(tǒng)已經(jīng)被入侵時， 攻擊者已經(jīng)得到或刪除了系統(tǒng)中全部或部分的機密數(shù)據(jù)，應盡快斷開與攻擊源的網(wǎng)絡連接。斷開與攻擊源的連接后， 應當立即分析數(shù)據(jù)損失的范圍和嚴重程度， 了解哪些數(shù)據(jù)還沒有被影響到，并立即將這些沒有影響到的數(shù)據(jù)進行備份或隔離保護。3.領導小組辦公室負責人按照事態(tài)嚴重程度， 決定是否并向政府信息化主管部門報告和公安部門報警。三、病毒事件緊急處置措施1.當信息安全技術(shù)人員發(fā)現(xiàn)有計算機被感染上病毒后，應立即將該機與網(wǎng)絡隔離。 如果短時間內(nèi)無法處理完成，需要啟動備用設備。2.信息安全技術(shù)人員對該計算機進行數(shù)據(jù)備份。3.啟用反病毒軟件對該機

5、進行殺毒處理， 同時通過病毒檢測軟件對其他該網(wǎng)絡中的計算機進行病毒掃描和清除工作。4.如果現(xiàn)行反病毒軟件無法清除該病毒， 應立即向領導小組負責人報告， 并迅速聯(lián)系有解決能力的軟件廠商研究解決。5.病毒清除，通過專業(yè)檢測后，隔離的設備可重新投入使用。四、軟件系統(tǒng)遭破壞性攻擊的緊急處置措施1.重要的軟件系統(tǒng)日常維護時必須指定專人負責，將它們備份并保存于安全處。2.一旦軟件遭到破壞性攻擊， 信息安全技術(shù)人員應立即向領導小組辦公室負責人報告，將該系統(tǒng)停止運行。5導小組辦公室負責人匯報，再恢復軟件系統(tǒng)和數(shù)據(jù)。一旦數(shù)據(jù)庫崩潰，信息安全技術(shù)人員應立即啟動備用系統(tǒng)，并向領導小組負責責人報告。在備用系統(tǒng)運行期間

6、，信息安全工作人員應對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復。解決能力的廠商請求緊急支援。六、廣域網(wǎng)外部線路中斷緊急處置措施信息安全技術(shù)人員接到報告后，應迅速判斷故障節(jié)點，查明故障原因。如由于網(wǎng)絡接入商導致，應立即聯(lián)系網(wǎng)絡供應商并令其盡快解決。七、局域網(wǎng)中斷緊急處置措施1.信息化管理機構(gòu)應指定人員負責對網(wǎng)絡設備的日常管理工作。2.局域網(wǎng)中斷后， 信息安全技術(shù)人員應立即判斷故障節(jié)點，查明故障原因，并向領導小組辦公室負責人匯報，同時做好故障記錄。3.如屬路由器、交換機等網(wǎng)絡設備故障，信息安全技術(shù)人員應立即更換故障設備，并調(diào)試通暢。4.如屬路由器、交換機配置文件破壞，信息安全技術(shù)人員應迅速按照要求重新配置,并

7、調(diào)測通暢。服務器等關(guān)鍵設備損壞后，信息安全技術(shù)人員立即查明原因。如果短時間內(nèi)無法解決，應該立即啟用備用設備，保證業(yè)務連續(xù)性。如屬不能自行修復的，立即與設備提供商聯(lián)系，要求派維護人員立即前來維修。3.信息安全技術(shù)人員檢查信息系統(tǒng)的日志等資料,確定攻擊來源，并將有關(guān)情況向領五、數(shù)據(jù)庫安全緊急處置措施1.主要數(shù)據(jù)庫系統(tǒng)應按要求做好數(shù)據(jù)庫備份。2.3.4.如果系統(tǒng)崩潰而無法恢復，技術(shù)員應立即向領導小組辦公室負責人匯報,并聯(lián)系有1.2.如屬公司內(nèi)部網(wǎng)絡原因?qū)е?，應立即解決。3.八、設備安全緊急處置措施1.2.3.如果能夠自行修復，應立即用備件替換受損部件。4.4.2工作程序5驗證現(xiàn)應急事故根據(jù)應急措施實行 應急響應-確認與驗證- *記錄根據(jù)應急問題的發(fā)現(xiàn)的途徑不同， 分別由部門總經(jīng)理、 內(nèi)審員、分管副總對糾正和預防 措施的實施進行確認，并對措施的實施情況進行監(jiān)控和驗證，內(nèi)容主要包括以下