企業(yè)信息安全應(yīng)急預(yù)案

企業(yè)信息安全應(yīng)急預(yù)案企業(yè)信息安全應(yīng)急預(yù)案企業(yè)信息安全應(yīng)急預(yù)案一、總則（一）編制目的為了構(gòu)建一個(gè)完善的xxx公司網(wǎng)絡(luò)與信息安全事件預(yù)防和應(yīng)急處理機(jī)制，提升對網(wǎng)絡(luò)與信息安全事件的應(yīng)對能力，確保xxx公司網(wǎng)絡(luò)和關(guān)鍵信息系統(tǒng)的安全穩(wěn)定運(yùn)行，特制定本預(yù)案。（二）編制依據(jù)本預(yù)案依據(jù)《中華人民共和國國家安全法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《國家突發(fā)公共事件總體應(yīng)急預(yù)案》等相關(guān)法規(guī)和規(guī)定制定。（三）適用范圍本預(yù)案適用于xxx公司信息系統(tǒng)中發(fā)生的網(wǎng)絡(luò)與信息安全事件的預(yù)防和應(yīng)急處理工作。（四）工作原則我們堅(jiān)持統(tǒng)一領(lǐng)導(dǎo)，分級負(fù)責(zé)；以人為本，預(yù)防為主；依法規(guī)范，加強(qiáng)管理；依靠科技，資源整合；快速反應(yīng)，協(xié)同合作。二、組織機(jī)構(gòu)（一）分公司負(fù)責(zé)全轄下屬機(jī)構(gòu)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的組織、管理、協(xié)調(diào)和實(shí)施工作，負(fù)責(zé)本地信息系統(tǒng)的監(jiān)測、預(yù)警和應(yīng)急處理。（二）中心支公司綜合崗人員負(fù)責(zé)為本級中心支公司以及下屬支公司的網(wǎng)絡(luò)與信息安全突發(fā)事件的監(jiān)測、預(yù)警和應(yīng)急處理工作提供技術(shù)支持，并參與重要信息的研判、事件調(diào)查和總結(jié)評估協(xié)助工作。（三）組織機(jī)構(gòu)成立xxx分公司信息安全領(lǐng)導(dǎo)小組。副組長:xxx組員:xxx三、預(yù)警預(yù)防機(jī)制（一）事件分類及分級根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的性質(zhì)、機(jī)理和發(fā)生過程，xxx分公司網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。根據(jù)網(wǎng)絡(luò)與信息安全突發(fā)事件的可控性、嚴(yán)重程度和影響范圍，參照我省網(wǎng)絡(luò)與信息安全事件分級標(biāo)準(zhǔn)，xxx分公司網(wǎng)絡(luò)與信息安全事件分為四級：I級（特別重大網(wǎng)絡(luò)與信息安全事件）、II級（重大網(wǎng)絡(luò)與信息安全事件）、III級（較大網(wǎng)絡(luò)與信息安全事件）、IV級（一般網(wǎng)絡(luò)與信息安全事件）。（二）監(jiān)控與預(yù)警信息報(bào)送xxx分公司承擔(dān)網(wǎng)絡(luò)與信息安全監(jiān)測工作。各部門發(fā)現(xiàn)網(wǎng)絡(luò)與信息安全預(yù)警信息，應(yīng)及時(shí)通知信息部。信息部會(huì)進(jìn)行處判，提出預(yù)警等級建議，遇到有可能造成嚴(yán)重后果的I至III級信息安全預(yù)警事件，還應(yīng)按相關(guān)規(guī)定提報(bào)領(lǐng)導(dǎo)審查后發(fā)出預(yù)警。（三）預(yù)警響應(yīng)信息部安全員應(yīng)保持24小時(shí)通信暢通。接到預(yù)警信息后，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，進(jìn)入預(yù)警狀態(tài)，加強(qiáng)值班值守工作，做好應(yīng)急處理各項(xiàng)準(zhǔn)備工作。（四）預(yù)警解除I至III級預(yù)警解除后根據(jù)相關(guān)部門要求，經(jīng)向領(lǐng)導(dǎo)請示同意以后，及時(shí)進(jìn)行解除安全事件預(yù)警。四、應(yīng)急措施（一）信息報(bào)告發(fā)生網(wǎng)絡(luò)與信息安全事件后，信息部安全員立即通知部門負(fù)責(zé)人，并通知相關(guān)業(yè)務(wù)部門。信息部和有關(guān)單位進(jìn)行研判后，保存證據(jù)，檢查影響范圍和危害程度，提出應(yīng)急處理建議，報(bào)分管領(lǐng)導(dǎo)同意后啟動(dòng)應(yīng)急預(yù)案。遇到有可能造成嚴(yán)重后果的I至III級信息安全事件，還應(yīng)按相關(guān)規(guī)定及時(shí)上報(bào)相關(guān)業(yè)務(wù)單位。（二）先期處理當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全突發(fā)事件時(shí)，相關(guān)工作人員做好先期應(yīng)急處理工作，采取措施控制事態(tài)，必要時(shí)采用斷網(wǎng)、關(guān)閉服務(wù)器等方式防止事態(tài)進(jìn)一步擴(kuò)大。根據(jù)突發(fā)事件發(fā)展事態(tài)，信息部應(yīng)組織設(shè)備廠商、系統(tǒng)開發(fā)商及安全服務(wù)商等應(yīng)急支援力量，保存證據(jù)，做好應(yīng)急處理工作。（三）應(yīng)急處理1、電力系統(tǒng)故障的應(yīng)急處理流程（1）外電中斷后，信息部值班人員應(yīng)立即檢查中心機(jī)房UPS電源是否正常供電，并查明中斷原因，及時(shí)向技術(shù)部負(fù)責(zé)人報(bào)告。（2）如因樓內(nèi)線路故障，要求物業(yè)管理部門迅速恢復(fù)供電。（3）如因供電部門因素導(dǎo)致供電中斷，立即向供電部門聯(lián)系，請供電部門迅速恢復(fù)供電。（4）如告知需要長時(shí)間停電，應(yīng)作如下安排：①預(yù)計(jì)停電6小時(shí)以內(nèi)，由UPS供電；②預(yù)計(jì)停電6小時(shí)以上8小時(shí)以內(nèi)，關(guān)掉非關(guān)鍵設(shè)備，確保各主機(jī)、路由器、交換機(jī)供電。③預(yù)計(jì)停電超過8小時(shí)，在設(shè)備運(yùn)行1小時(shí)候關(guān)掉所有機(jī)器設(shè)備。（5）電力系統(tǒng)恢復(fù)供電后，信息部人員按照規(guī)定流程開啟相關(guān)設(shè)備。2、消防系統(tǒng)應(yīng)急處理流程3、網(wǎng)絡(luò)中斷緊急處理流程（1）故障排查。網(wǎng)絡(luò)中斷后，技術(shù)部技術(shù)人員要迅速判斷故障節(jié)點(diǎn)，查明故障原因。（2）故障排除。①如屬線路故障，應(yīng)重新安裝線路。②如屬路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障，信息部人員立即檢修并調(diào)試通暢。如路由器、交換機(jī)配臵文件破壞，信息部人員應(yīng)迅速按照要求重新配臵，調(diào)試通暢。必要時(shí)，請有關(guān)技術(shù)單位協(xié)助調(diào)測暢通。③如需更換設(shè)備，應(yīng)上報(bào)分管領(lǐng)導(dǎo)，經(jīng)批準(zhǔn)后馬上更換故障設(shè)備，盡快恢復(fù)系統(tǒng)運(yùn)行。④如發(fā)現(xiàn)屬于外部線路的問題，應(yīng)與線路運(yùn)營商聯(lián)系，敦促盡快恢復(fù)故障線路。⑤信息部人員無法及時(shí)修理時(shí)，應(yīng)立即通知相關(guān)供應(yīng)商及維護(hù)人員，在最短時(shí)間內(nèi)安排修理。4、黑客攻擊的應(yīng)急處理流程（1）當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)上有黑客攻擊行為時(shí)，應(yīng)立即向信息部人員通報(bào)情況，并向分管領(lǐng)導(dǎo)報(bào)告。（2）信息部人員應(yīng)立即趕到現(xiàn)場，將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來，保護(hù)現(xiàn)場。（3）如事態(tài)較為嚴(yán)重，經(jīng)向分管領(lǐng)導(dǎo)請示后，立即向公安部門報(bào)警，配合公安部門展開調(diào)查。（4）信息部人員做好被攻擊或破壞系統(tǒng)的恢復(fù)與重建工作。（5）信息部負(fù)責(zé)組織技術(shù)力量追查非法信息來源。（6）信息部人員將實(shí)施事件處理的過程和結(jié)果備案存檔，必要時(shí)向分管領(lǐng)導(dǎo)匯報(bào)。5、大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理（1）當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后，計(jì)算機(jī)使用人員應(yīng)立即使用殺毒軟件對計(jì)算機(jī)殺毒，并通知信息部。信息部人員應(yīng)及時(shí)將該機(jī)從網(wǎng)絡(luò)上隔離開來，并及時(shí)趕到現(xiàn)場。（2）信息部人員對該設(shè)備的硬盤進(jìn)行數(shù)據(jù)備份。（3）信息部人員啟用反病毒軟件對該機(jī)進(jìn)行殺毒處理，并對相關(guān)機(jī)器進(jìn)行病毒掃描和清除工作。（4）如發(fā)現(xiàn)反病毒軟件無法清除該病毒，應(yīng)向信息部領(lǐng)導(dǎo)匯報(bào)，有信息部組織相關(guān)信息人員研究解決。（5）情況較為嚴(yán)重的，還應(yīng)及時(shí)向有關(guān)分管領(lǐng)導(dǎo)報(bào)告，并向公安部門報(bào)警，配合公安部門展開調(diào)查。6、軟件系統(tǒng)故障的應(yīng)急處理流程（1）軟件系統(tǒng)平時(shí)必須存有備份，與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須有多日的備份；并將它們保存與安全處。（2）軟件系統(tǒng)發(fā)生故障后，信息部人員應(yīng)立即向總公司技術(shù)總監(jiān)或總經(jīng)理室匯報(bào)，經(jīng)確認(rèn)后停止該系統(tǒng)的運(yùn)行并切換至備份系統(tǒng)，保證業(yè)務(wù)正常進(jìn)行。（3）信息部人員檢查日志等資料，確定故障原因。（4）信息部人員將實(shí)施處理的過程和結(jié)果備案存檔，并向有關(guān)領(lǐng)導(dǎo)匯報(bào)。7、設(shè)備硬件故障的應(yīng)急處理流程（1）小型機(jī)、服務(wù)器等關(guān)鍵設(shè)備損壞后，信息部人員應(yīng)立即向信息部負(fù)責(zé)人報(bào)告。（2）信息部負(fù)責(zé)人立即組織信息人員查明原因。聯(lián)系維保單位更換受損部件。（3）如果設(shè)備一時(shí)不能修復(fù)，應(yīng)向分管領(lǐng)導(dǎo)匯報(bào)，并告知各部門暫緩上傳上報(bào)數(shù)據(jù)。（四）后期處理1、善后處理應(yīng)急處理工作結(jié)束后，信息部應(yīng)迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作，統(tǒng)計(jì)各種數(shù)據(jù)，查明原因，對事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評估，真正制定恢復(fù)重建計(jì)劃，迅速組織實(shí)施。2、調(diào)查和評估應(yīng)急處臵工作結(jié)束后，應(yīng)立即組織有關(guān)人員組成事件調(diào)查組，查清事件發(fā)生的原因及財(cái)產(chǎn)損失情況，總結(jié)經(jīng)驗(yàn)教訓(xùn)，寫出調(diào)查評估報(bào)告，報(bào)應(yīng)急領(lǐng)導(dǎo)小組，并根據(jù)問責(zé)制的有關(guān)規(guī)定，對有關(guān)責(zé)任人員作出處理。特別重大網(wǎng)站網(wǎng)絡(luò)與信息安全突發(fā)公共事件的調(diào)查評估報(bào)告，報(bào)應(yīng)急領(lǐng)導(dǎo)小組，必要時(shí)采取合理的形式向社會(huì)公眾通報(bào)。五、應(yīng)急培訓(xùn)和演練1、培訓(xùn)2、演練分公司信息安全領(lǐng)導(dǎo)小組根據(jù)實(shí)際情況，成立演練計(jì)劃，編寫演練文件，落實(shí)保障措施，每年應(yīng)至少組