信息安全應(yīng)急預(yù)案

信息安全應(yīng)急預(yù)案概述編寫目的為提高XX公司整體業(yè)務(wù)的安全性，提高處置網(wǎng)絡(luò)與信息安全突發(fā)公共事件能力，加強網(wǎng)絡(luò)與信息安全保障工作，形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕業(yè)務(wù)系統(tǒng)突發(fā)網(wǎng)絡(luò)與信息安全故障造成的危害。編寫依據(jù)《國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》《重特大生產(chǎn)安全事故預(yù)防與應(yīng)急處理暫行規(guī)定》《信息安全事件分類分級指南》適用范圍本預(yù)案適用于XX公司包含的所有業(yè)務(wù)系統(tǒng)，包括已建的系統(tǒng)、未建的系統(tǒng)、通過信息安全等級保護的系統(tǒng)、未通過信息安全等級保護的系統(tǒng)，還有正在建設(shè)的系統(tǒng)。組織機構(gòu)與職責(zé)為保障公司業(yè)務(wù)系統(tǒng)在突發(fā)安全事件時能立即啟動應(yīng)急方案，應(yīng)成立應(yīng)急處理組織機構(gòu)。機構(gòu)包括：應(yīng)急指揮中心、應(yīng)急工作組，應(yīng)急工作組包括應(yīng)用故障小組、平臺故障小組、網(wǎng)絡(luò)故障小組、程序故障小組、后勤保障小組。應(yīng)急指揮中心應(yīng)急指揮中心是公司應(yīng)急管理工作的決策指揮機構(gòu)，屬公司常設(shè)辦事機構(gòu)。應(yīng)急指揮中心人員職位分配如下表所示。職位2-1應(yīng)急指揮中心人員表具體人員總指揮XXX副總指揮XX聯(lián)系人XXX應(yīng)急指揮中心的主要職責(zé)：審核、審定信息安全應(yīng)急預(yù)案。宣布進入和解除應(yīng)急狀態(tài)，決定實施和終止應(yīng)急預(yù)案。對突發(fā)事件等級為I級和II一指揮應(yīng)急處置工作。負(fù)責(zé)組織協(xié)調(diào)公司各部門進行日常信息安全應(yīng)急演練。負(fù)責(zé)組織協(xié)調(diào)公司各部門進行日常信息安全的宣傳教育與培訓(xùn)。應(yīng)急工作組應(yīng)急工作小組負(fù)責(zé)實施應(yīng)急指揮中心部署的方案措施、落實日常信息安全各方面工作、處理突發(fā)網(wǎng)絡(luò)安全事件。應(yīng)急工作小組的主要職責(zé)：落實應(yīng)急指揮中心部署的各項任務(wù)。負(fù)責(zé)應(yīng)急預(yù)案的編制工作。過程所有措施，形成過程記錄表、結(jié)果報告，并做好信息通報工作。負(fù)責(zé)協(xié)助應(yīng)急指揮中心進行日常信息安全應(yīng)急演練。負(fù)責(zé)協(xié)助應(yīng)急指揮中心進行日常信息安全應(yīng)急宣傳教育與培訓(xùn)。監(jiān)督執(zhí)行應(yīng)急指揮中心下達的應(yīng)急指令、重大應(yīng)急決策和部署，協(xié)調(diào)各方應(yīng)急資源，組織各單位及故障處理小組進行應(yīng)急處理。中心報告應(yīng)急處置過程中發(fā)現(xiàn)的重大問題，并協(xié)調(diào)解決。負(fù)責(zé)突發(fā)事件調(diào)查、總結(jié)應(yīng)急處理經(jīng)驗和教訓(xùn)等后期處置工作。事件分類分級事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件和其他有害程序事件。攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng)絡(luò)攻擊事件。事件、信息竊取事件、信息丟失事件和其他信息破壞事件?？椃欠ù?lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益的事件。為破壞事故和其他設(shè)備設(shè)施故障。息安全事件。事件分級根據(jù)系統(tǒng)故障對服務(wù)的對象和公司生產(chǎn)、經(jīng)營和管理的影響范①信息系統(tǒng)中斷運行30分鐘以上。②信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和社會穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е?億元人民幣以上的經(jīng)濟損失。③其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅、造成嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。①信息系統(tǒng)中斷運行造成較嚴(yán)重影響的。1000③其他對國家安全、社會秩序、經(jīng)濟建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)與信息安全事件，為一般網(wǎng)絡(luò)應(yīng)急響應(yīng)機制突發(fā)事故業(yè)務(wù)系統(tǒng)一旦突發(fā)下列情形之一，信息安全應(yīng)急方案即刻生效。通道與網(wǎng)絡(luò)故障。主機設(shè)備、操作系統(tǒng)、中間件和數(shù)據(jù)庫軟件故障。應(yīng)用服務(wù)故障。應(yīng)用程序發(fā)布故障或應(yīng)用系統(tǒng)數(shù)據(jù)丟失。數(shù)據(jù)轉(zhuǎn)接重大錯誤。業(yè)務(wù)流程發(fā)生嚴(yán)重錯誤。業(yè)務(wù)遷移重大故障。機房電源、空調(diào)等重大環(huán)境故障。大面積病毒爆發(fā)、蠕蟲、木馬程序、有害移動代碼等。非法入侵，或有組織的攻擊。自然災(zāi)害或人為錯誤操作導(dǎo)致數(shù)據(jù)嚴(yán)重破壞。其他導(dǎo)致系統(tǒng)遷移失敗的原因。應(yīng)急啟動各應(yīng)急配合單位、部門須嚴(yán)格按照信息安全應(yīng)急預(yù)案的安排完成相關(guān)準(zhǔn)備工作。應(yīng)急實施期間各工作檢查人，必須每日對各項工作完成情況進行檢查并簽字確認(rèn)，記錄未完成工作及原因；關(guān)鍵任務(wù)要按時間點進行檢查。發(fā)生突發(fā)事件后，事件發(fā)生單位立即向應(yīng)急工作組匯報。應(yīng)急工作組接到II級營突發(fā)事件的應(yīng)急報告后，根據(jù)事件情況，決定是否啟動應(yīng)急預(yù)案，并將結(jié)果上報應(yīng)急指揮中心。應(yīng)急工作組接到I級突發(fā)事件報告后，立即向公司應(yīng)急指揮中心報告，公司應(yīng)急指揮中心根據(jù)事件情況進行應(yīng)急處置決策，并啟動應(yīng)急預(yù)案。事件報告發(fā)生突發(fā)事件時，由突發(fā)事件發(fā)現(xiàn)單位或人員直接向應(yīng)急工作組及本單位領(lǐng)導(dǎo)匯報。報告分為緊急報告和詳細(xì)匯報。緊急報告是指事件發(fā)生后，各級單位或部門向應(yīng)急工作組以口頭和應(yīng)急報告表（見附件）形式匯報事件的簡要情況；詳細(xì)匯報是指由應(yīng)急處理機構(gòu)在事件處理暫告一段落后，以書面形式提交的詳細(xì)報告。任何單位和個人均不得緩報、瞞報、謊報或者授意他人緩報、瞞報、謊報事件。事件報告的內(nèi)容和格式要求：的影響等情況。要求內(nèi)容簡潔、清楚、準(zhǔn)確。應(yīng)急處置應(yīng)急故障處理流程主要包括系統(tǒng)運行后的應(yīng)急故障處理。如果系統(tǒng)異常應(yīng)當(dāng)先由應(yīng)急故障處理領(lǐng)導(dǎo)小組進行故障等級判時間內(nèi)割接成功。當(dāng)突發(fā)事件發(fā)生時，首先由應(yīng)急工作組進行事件等級判定；如果是I（重大事件）需要上報應(yīng)急指揮中心進行應(yīng)急處理決策，以確定具體的應(yīng)急措施；如果是II（較大事件），應(yīng)急指揮中心確定應(yīng)急措施；如果是III（一般事件），則協(xié)調(diào)應(yīng)急小組進行故障處理。其次，在事件等級判定完成后，應(yīng)急工作組需要進行故障類型的判定，并將判定結(jié)果交給各分類故障處理小組進行故障處理。如果是I（重大事件），則由應(yīng)急指揮中心將應(yīng)急措施通知分類故障處理小組即刻進行處理。最后，由分類故障處理小組完成故障排除工作。在正式上線運行后，如果發(fā)現(xiàn)系統(tǒng)無法運行，此時由應(yīng)急故障處理領(lǐng)導(dǎo)小組進行決策，可以啟用容災(zāi)中心數(shù)據(jù)庫和應(yīng)用服務(wù)，并修改DNS配置接管生產(chǎn)中心的關(guān)鍵業(yè)務(wù)，在系統(tǒng)設(shè)備或系統(tǒng)軟件故障修復(fù)后在將數(shù)據(jù)庫和應(yīng)用服務(wù)回切到生產(chǎn)中心。如果系統(tǒng)性能出現(xiàn)問題，可以依次對網(wǎng)絡(luò)、程序、配置、數(shù)據(jù)庫及應(yīng)用服務(wù)器問題逐步進行排除，相應(yīng)的措施包括優(yōu)化網(wǎng)絡(luò)、改進程序代碼、修正配置、增加應(yīng)用服務(wù)器分擔(dān)負(fù)荷、暫停部分非關(guān)鍵業(yè)務(wù)以減少業(yè)務(wù)總量、優(yōu)化數(shù)據(jù)庫后臺操作腳本等。如果是系統(tǒng)缺陷，則需要修復(fù)缺陷。系統(tǒng)突發(fā)事件由II級發(fā)展為I級或發(fā)生I級突發(fā)事件后，應(yīng)急工作組接到應(yīng)急報告后，立即上報公司應(yīng)急指揮中心，公司應(yīng)急指揮中心啟動公司應(yīng)急預(yù)案，協(xié)調(diào)公司其他應(yīng)急資源支持應(yīng)急處理，支持事件相關(guān)單位及時、有效地進行處理，控制事件發(fā)展。信息網(wǎng)絡(luò)管理維護部門負(fù)責(zé)本單位所轄的廣域網(wǎng)及局域網(wǎng)的通恢復(fù)通道正常。應(yīng)急結(jié)束在同時滿足下列條件下，應(yīng)急指揮中心可決定宣布解除應(yīng)急狀態(tài)：事件已得到有效控制，情況趨緩。突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運行。應(yīng)急指揮中心應(yīng)及時向現(xiàn)場應(yīng)急工作組和參與應(yīng)急支援的有關(guān)單位傳達解除應(yīng)急狀態(tài)響應(yīng)的指令，恢復(fù)正常生產(chǎn)工作秩序。上線割接完成后，系統(tǒng)穩(wěn)定運行，轉(zhuǎn)入運行維護階段。后期處置后期觀察I2異?，F(xiàn)象。1無異常現(xiàn)象。2無異?，F(xiàn)象。調(diào)查與評估大、較大事件，應(yīng)急工作組按照相關(guān)規(guī)定或要求，對事件產(chǎn)生的原有關(guān)部門?？偨Y(jié)與整改突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)部門應(yīng)組織研究事件發(fā)生的原因和特點、分析事件發(fā)展過程，總結(jié)應(yīng)急處理過程中的經(jīng)驗和教訓(xùn)，進行應(yīng)急處置知識積累，進一步補充、完善和修訂運行維護應(yīng)急預(yù)案。突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)單位應(yīng)會同應(yīng)急工作小組結(jié)合運和薄弱點，提出該類事件的整改措施，制定整改實施方案并予以落實，整改措施和方案報公司營銷部備案。應(yīng)急保障措施物資保障應(yīng)急物資裝備主要包括：車輛、備品備件、常用工具和常用工具軟件。人員保障應(yīng)急處理組織機構(gòu)應(yīng)長期保持，相關(guān)領(lǐng)導(dǎo)及技術(shù)人員應(yīng)定期組織會議，總結(jié)近期工作。各部門要加強突發(fā)事件應(yīng)急技術(shù)支持隊伍的建設(shè)，保證業(yè)務(wù)和技術(shù)骨干人員能夠迅速到位。公司技術(shù)人員由指揮中心統(tǒng)一調(diào)配，集中管理。通信保障應(yīng)急期間，指揮、通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電話、外線電話、手機、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機應(yīng)保持24小時開機狀態(tài)。應(yīng)急宣傳及演練應(yīng)急宣傳應(yīng)急工作組將應(yīng)急預(yù)案發(fā)給相關(guān)部門、要求各部門加強學(xué)習(xí)，提高相關(guān)工作人員的應(yīng)急意識。應(yīng)急演練針對關(guān)鍵業(yè)務(wù)進行測試演練，對演練