ISO22301：2019SS08信息安全應(yīng)急處置預(yù)案5.28

擬定擬定審核會(huì)簽簽名批準(zhǔn)生效日期文件狀態(tài)：□受控□非受控持有人（單位）網(wǎng)絡(luò)信息安全應(yīng)急處置作業(yè)指導(dǎo)書修訂日期版次修訂日期版次頁(yè)碼描述1.目的置合理的應(yīng)急處置機(jī)制，提高公司計(jì)算機(jī)網(wǎng)絡(luò)信息安全事件處置能力。2.適用范圍務(wù)器、網(wǎng)站、局域網(wǎng)、ERP系統(tǒng)、comms系統(tǒng)等網(wǎng)絡(luò)中斷與系統(tǒng)崩潰，適用本預(yù)案。3.術(shù)語(yǔ)和定義無(wú)4.職責(zé)4.1分管信息中心的公司領(lǐng)導(dǎo)負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處置工作的決策指揮協(xié)調(diào)和監(jiān)督。4.2信息中心負(fù)責(zé)系統(tǒng)數(shù)據(jù)運(yùn)行中心機(jī)房的環(huán)境設(shè)備網(wǎng)絡(luò)和數(shù)據(jù)安全,負(fù)責(zé)公司網(wǎng)站局域網(wǎng)ERP系統(tǒng)等網(wǎng)絡(luò)信息安全。妥善處置由于自然災(zāi)害、人為或病毒破壞、網(wǎng)絡(luò)中站、局域網(wǎng)ERP系統(tǒng)、comms系統(tǒng)被攻擊等網(wǎng)絡(luò)信息安全事件。4.3各部門計(jì)算機(jī)網(wǎng)絡(luò)信息安全應(yīng)急處置工作由本部門主要負(fù)責(zé)人、分管負(fù)責(zé)人和兼有無(wú)法解決的計(jì)算機(jī)網(wǎng)絡(luò)故障時(shí)及時(shí)與信息中心聯(lián)系，確保網(wǎng)絡(luò)和應(yīng)用軟件的平穩(wěn)行。4.4各部門負(fù)責(zé)配合信息中心進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處置工作。5.管理內(nèi)容5.1信息安全事故分類及應(yīng)急處置方法5.1.1自然災(zāi)害、網(wǎng)絡(luò)中斷、外電中斷等原因出現(xiàn)的數(shù)據(jù)運(yùn)行中心機(jī)房事故。房其他設(shè)備安全。生12小時(shí)內(nèi)向分管信息中心的公司領(lǐng)導(dǎo)匯報(bào)并在24小時(shí)內(nèi)協(xié)調(diào)部署數(shù)據(jù)運(yùn)行中心機(jī)房的重建和恢復(fù)工作。應(yīng)急處置完畢后，信息中心要針對(duì)事故發(fā)生的原因、應(yīng)急措施數(shù)據(jù)和設(shè)備損毀情況，以及恢復(fù)和重建的措施、方案等寫出詳細(xì)的書面報(bào)告。5.1.2ERP系統(tǒng)、comms系統(tǒng)等網(wǎng)絡(luò)事故。來(lái)源的網(wǎng)絡(luò)連接，跟蹤破壞來(lái)源的IP地址和其他信息，及時(shí)修復(fù)被破壞的信息，恢系統(tǒng)正常運(yùn)行。具體按照災(zāi)害發(fā)生的性質(zhì)分別采用如下方案：5.1.3病毒傳播應(yīng)及時(shí)斷開傳播源，隔離未被感染的系統(tǒng)和網(wǎng)絡(luò)。判斷病毒的性質(zhì)、采用的端口所有應(yīng)用程序，用殺毒軟件進(jìn)行查殺。也可進(jìn)行手工殺毒。如:a)停進(jìn)程，停止或掛起可疑的進(jìn)程。b)刪文件，根據(jù)殺毒軟件提供的路徑信息或自己查找的病毒路徑，手工刪除病文件。對(duì)于不能刪除的文件，可以嘗試在安全模式下刪除。c)刪服務(wù)，停止病毒程序的服務(wù)，然后刪除注冊(cè)表。5.1.4網(wǎng)絡(luò)入侵設(shè)備。外網(wǎng)的，定位入侵的IP地址，及時(shí)關(guān)閉入侵的端口，限制入侵IP地址的訪問在無(wú)法制止的情況下可以采用斷開網(wǎng)絡(luò)連接的方法。入侵來(lái)自內(nèi)網(wǎng)的，查清入侵來(lái)源如IP地址、上網(wǎng)帳號(hào)等信息，同時(shí)斷開對(duì)應(yīng)的交換機(jī)端口。5.1.5信息被篡改要求一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。a)公司網(wǎng)站信息被篡改。首先，及時(shí)修改恢復(fù)之前的數(shù)據(jù)。其次，采用技術(shù)手段送網(wǎng)頁(yè)的正確性。保障業(yè)務(wù)的正常運(yùn)營(yíng)，維護(hù)企業(yè)信譽(yù)。b)comms系統(tǒng)前臺(tái)信息被篡改。系統(tǒng)使用人員應(yīng)查找用戶操作日志，及時(shí)阻斷用戶繼續(xù)誤操作。并在最短的時(shí)間內(nèi)還原成誤操作前狀態(tài)。c)comms系統(tǒng)后臺(tái)信息被篡改。每次更新數(shù)據(jù)時(shí)，系統(tǒng)負(fù)責(zé)人員都需備份原來(lái)數(shù)據(jù)。后臺(tái)信息被篡改后依據(jù)備份的數(shù)據(jù)在最短時(shí)間內(nèi)恢復(fù)。信息化系統(tǒng)出現(xiàn)嚴(yán)重故障不能及時(shí)完成修復(fù)工作的或維修時(shí)間超過(guò)1小時(shí)的信息中心主管應(yīng)及時(shí)向分管信息中心的公司領(lǐng)導(dǎo)匯報(bào)并告知相關(guān)單位出現(xiàn)問題的簡(jiǎn)要情及解決方案，同時(shí)通知相關(guān)單位的員工必要時(shí)轉(zhuǎn)手工運(yùn)作，直至故障修復(fù)。5.1.6軟件系統(tǒng)遭破壞性攻擊重要的軟件系統(tǒng)平時(shí)必須存有備份與軟件系統(tǒng)相對(duì)應(yīng)的數(shù)據(jù)必須按本單位容災(zāi)備份規(guī)定的間隔按時(shí)進(jìn)行備份，并保存于安全地方。一旦軟件遭到破壞性攻擊，應(yīng)立即向信息中心報(bào)告，并將該系統(tǒng)停止運(yùn)行。檢查信息系統(tǒng)的日志等資料，確定攻擊來(lái)源并將有關(guān)情況向分管信息中心的公司領(lǐng)導(dǎo)匯報(bào)，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。5.1.7數(shù)據(jù)庫(kù)安全向有關(guān)廠商請(qǐng)求緊急支援。5.1.8廣域網(wǎng)外部線路中斷應(yīng)向信息中心報(bào)告信息中心安全相關(guān)負(fù)責(zé)人員接到報(bào)告后應(yīng)迅速判斷故障節(jié)點(diǎn)部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。5.1.9局域網(wǎng)中斷的使用年限和運(yùn)行狀態(tài)，盡量做到在故障發(fā)生前更換設(shè)備。5.1.10設(shè)備安全行恢復(fù)的立即與設(shè)備提供商聯(lián)系請(qǐng)求派維護(hù)人員前來(lái)維修如果設(shè)備一時(shí)不能修復(fù)應(yīng)向分管信息中心的公司領(lǐng)導(dǎo)匯報(bào)。5.1.11況，做出相應(yīng)的處理，不能處理的可以請(qǐng)示相關(guān)的專業(yè)人員。信息中心應(yīng)于事故發(fā)生12小時(shí)內(nèi)向分管公司領(lǐng)導(dǎo)匯報(bào)在24小時(shí)內(nèi)完成數(shù)據(jù)運(yùn)行中心機(jī)房和公司網(wǎng)站、局域網(wǎng)、ERP系統(tǒng)、comms系統(tǒng)的重建和恢復(fù)工作。應(yīng)急處置完畢后信息中心要針對(duì)事故發(fā)生的原因應(yīng)急措施數(shù)據(jù)損毀和網(wǎng)站被攻擊的有關(guān)情況以及恢復(fù)和重建的措施、方案等寫出詳細(xì)的書面報(bào)告向分管信息中心的公司領(lǐng)導(dǎo)匯報(bào)。5.2各部門應(yīng)急處置職責(zé)和流程5.2.1無(wú)法上網(wǎng)故障首先要通過(guò)網(wǎng)上鄰居重新啟動(dòng)網(wǎng)絡(luò)設(shè)備，如果問題還沒有解決，應(yīng)中斷網(wǎng)絡(luò)連接利用殺毒軟件對(duì)整機(jī)進(jìn)行掃描。如果故障無(wú)法自行排除，請(qǐng)及