信息安全事件應(yīng)急預(yù)案.doc

有限公司 信息安全事件應(yīng)急預(yù)案 預(yù)案版本 預(yù)案版本 1 001 00 版版 發(fā)布部門 發(fā)布部門 有限公司有限公司 突發(fā)事件應(yīng)急管理委員會(huì)突發(fā)事件應(yīng)急管理委員會(huì) 發(fā)布日期 發(fā)布日期 20092009 年年 3 3 月月 1 1 日日 I 目目 錄錄 第一章總 則 1 第一條編制目的 1 第二條編制依據(jù) 1 第三條適用范圍 1 第四條與其他預(yù)案的關(guān)系 1 第五條工作原則 1 第二章單 位 概 況 1 第六條應(yīng)急資源概況 1 第七條危險(xiǎn)分析 2 第三章應(yīng) 急 保 障 2 第八條機(jī)構(gòu)與職責(zé) 2 第十條通信與信息 3 第十一條應(yīng)急人員培訓(xùn) 3 第十二條預(yù)案演練 3 第十三條員工教育 3 第十四條互助協(xié)議 4 第四章應(yīng) 急 響 應(yīng) 4 第十五條接警與通知 4 第十六條指揮與控制 4 第十七條報(bào)告與公告 4 第十八條事態(tài)監(jiān)測與評(píng)估 5 第十九條公共關(guān)系 5 第二十條應(yīng)急人員安全 6 第二十一條搶險(xiǎn) 6 第二十二條警戒與治安 8 II 第二十三條人群疏散與安置 8 第二十四條醫(yī)療與衛(wèi)生 8 第二十五條現(xiàn)場恢復(fù) 8 第二十六條應(yīng)急結(jié)束 8 第五章預(yù) 案 管 理 8 第二十七條備案 8 第二十八條維護(hù)和更新 8 第二十九條制訂與解釋部門 8 第三十條實(shí)施時(shí)間 8 第六章 專項(xiàng)應(yīng)急處置預(yù)案 8 第三十一條現(xiàn)場預(yù)案 8 第七章 附 件 9 第三十二條信息安全事件應(yīng)急響應(yīng)程序 9 1 第一章第一章總總 則則 第一條第一條編制目的編制目的 為了保證 有限公司 簡稱公司 信息網(wǎng)絡(luò)的安全 保障各種業(yè)務(wù)應(yīng)用系統(tǒng)的持續(xù) 正常運(yùn)轉(zhuǎn) 防止和減少因各類信息安全事件造成的損失 建立緊急情況下有效的應(yīng)急機(jī)制 根據(jù)公司的實(shí)際情況制定本預(yù)案 第二條第二條編制依據(jù)編制依據(jù) 本預(yù)案依據(jù)下列規(guī)章制度及預(yù)案編制 有限公司信息安全事件應(yīng)急預(yù)案 有限公司突發(fā)事件應(yīng)急管理規(guī)定 電有限公司突發(fā)事件總體應(yīng)急預(yù)案 第三條第三條適用范圍適用范圍 本預(yù)案適用于公司發(fā)生的達(dá)到公司 I 級(jí)應(yīng)急響應(yīng)的信息安全事件 即在公司重要的信 息系統(tǒng) FAM OA 網(wǎng)絡(luò)等關(guān)鍵系統(tǒng) 發(fā)生故障已經(jīng) 或預(yù)期 超過 72 小時(shí)不能恢復(fù)正常運(yùn)行 時(shí)啟動(dòng)本預(yù)案 第四條第四條與其他預(yù)案的關(guān)系與其他預(yù)案的關(guān)系 本預(yù)案為 有限公司突發(fā)事件總體應(yīng)急預(yù)案 簡稱 總體預(yù)案 的專項(xiàng)預(yù) 案 在 總體預(yù)案 的基礎(chǔ)上制定 可以單獨(dú)使用 也可以配合 總體預(yù)案 使用 第五條第五條工作原則工作原則 公司所屬各部門在信息安全事件的預(yù)防與應(yīng)急處理工作中 必須遵循 預(yù)防為主 統(tǒng) 一指揮 分級(jí)控制 反應(yīng)迅速 響應(yīng)高效 的基本原則 第二章第二章單單 位位 概概 況況 第六條第六條應(yīng)急資源概況應(yīng)急資源概況 公司及下屬各部門的信息管理及維護(hù)人員 包括網(wǎng)絡(luò)管理員 系統(tǒng)管理員等 技術(shù)服 務(wù)人員 保衛(wèi)人員等都是信息安全事件應(yīng)急處理的力量 設(shè)備制造 提供 廠家及其技術(shù)支 2 持服務(wù)人員 互助協(xié)議中的服務(wù)提供公司等 均可作為外部應(yīng)急力量 公司及下屬各部門的網(wǎng)絡(luò)和服務(wù)器設(shè)備的備件 專業(yè)檢測及維修工具 通信器材 交 通工具 防護(hù)裝備等 均可作為應(yīng)急的物資裝備資源 第七條第七條危險(xiǎn)分析危險(xiǎn)分析 公司的信息安全事件風(fēng)險(xiǎn)主要如下 1 系統(tǒng)嚴(yán)重故障 2 OA 系統(tǒng)嚴(yán)重故障 3 廣域網(wǎng)線路故障 4 網(wǎng)絡(luò)關(guān)鍵設(shè)備故障 5 病毒大范圍擴(kuò)散 6 網(wǎng)絡(luò)攻擊事件 第三章第三章應(yīng)應(yīng) 急急 保保 障障 第八條第八條機(jī)構(gòu)與職責(zé)機(jī)構(gòu)與職責(zé) 1 公司綜合部的應(yīng)急職責(zé) 1 在信息安全突發(fā)事件發(fā)生時(shí) 負(fù)責(zé)組建應(yīng)急指揮部 指揮 協(xié)調(diào)信息安全突發(fā)事件 應(yīng)急工作 2 負(fù)責(zé)信息安全突發(fā)事件應(yīng)急預(yù)案的編制和演練 3 指導(dǎo)其他部門信息安全突發(fā)事件的應(yīng)急工作 4 保障公司在突發(fā)事件應(yīng)急中通信暢通 5 負(fù)責(zé)向政府及上級(jí)報(bào)告 匯報(bào) 應(yīng)急工作情況 6 負(fù)責(zé)突發(fā)事件應(yīng)急信息的編輯和對(duì)外發(fā)布 7 負(fù)責(zé)接受公眾對(duì)突發(fā)事件情況的咨詢 8 負(fù)責(zé)協(xié)調(diào)與外部應(yīng)急力量 政府部門的關(guān)系 9 負(fù)責(zé)組織開展突發(fā)事件應(yīng)急知識(shí)和技能的教育培訓(xùn)工作 第九條第九條物資與裝備物資與裝備 用于信息系統(tǒng)監(jiān)測與故障分析的軟硬件包括人侵檢測系統(tǒng) 漏洞掃描系統(tǒng) 蠕蟲過濾 系統(tǒng) Domino 系統(tǒng)管理與監(jiān)測軟件 備用的服務(wù)器硬件等 3 第十條第十條通信與信息通信與信息 在應(yīng)急行動(dòng)中 所有直接參與或者支持應(yīng)急響應(yīng)行動(dòng)的部門都應(yīng)當(dāng)滿足以下要求 1 應(yīng)急行動(dòng)中 保障應(yīng)急通信暢通 2 使用移動(dòng)電話或者便攜式無線通信設(shè)備作為備用通信系統(tǒng) 第十一條第十一條 應(yīng)急人員培訓(xùn)應(yīng)急人員培訓(xùn) 針對(duì)潛在的信息安全事件可能造成的數(shù)據(jù)丟失 硬件損壞等風(fēng)險(xiǎn) 對(duì)所有應(yīng)急人員進(jìn) 行相應(yīng)的專業(yè)技能培訓(xùn) 包括參加第三方組織的技能培訓(xùn) 增強(qiáng)發(fā)現(xiàn)問題并及時(shí)處理問題 的能力 完善操作規(guī)范 保證應(yīng)急人員具備相應(yīng)的應(yīng)急能力 第十二條第十二條 預(yù)案演預(yù)案演練練 本預(yù)案每三年進(jìn)行一次全面演練 每兩年至少進(jìn)行一次組合演練或單項(xiàng)演練 演練結(jié) 束后 需要對(duì)演練的結(jié)果進(jìn)行總結(jié)和評(píng)估 對(duì)本預(yù)案在演練中暴露的問題和不足應(yīng)及時(shí)解 決 第十三條第十三條員工教育員工教育 對(duì)員工開展信息安全教育 使之認(rèn)識(shí)到業(yè)務(wù)數(shù)據(jù)安全的重要性 加強(qiáng)員工的計(jì)算機(jī)操 作技能的培訓(xùn) 減少誤操作 通過教育使公司員工在信息安全方面能做到如下幾點(diǎn) 1 定期檢查并升級(jí)所用計(jì)算機(jī)的防毒軟件病毒庫 2 根據(jù)系統(tǒng)提示 及時(shí)安裝系統(tǒng)漏洞補(bǔ)丁程序 3 定期進(jìn)行本機(jī)重要檔案資料的備份工作 4 不隨意安裝或運(yùn)行來歷不明或可疑的程序 控件等 5 在發(fā)現(xiàn)計(jì)算機(jī)安全問題 如病毒擴(kuò)散 系統(tǒng)長時(shí)間運(yùn)行異常等 時(shí)及時(shí)報(bào)告 第十四條第十四條互助協(xié)議互助協(xié)議 公司根據(jù)實(shí)際情況需要與相關(guān)的 IT 服務(wù)咨詢公司等簽訂互助協(xié)議 第四章第四章應(yīng)應(yīng) 急急 響響 應(yīng)應(yīng) 第十五條第十五條接警與通知接警與通知 1 信息安全事件接警電話 公司值班電話 4 綜合部電話 2 值班人員在接到報(bào)警后 應(yīng)做到迅速準(zhǔn)確地詢問以下信息 1 故障發(fā)生時(shí)間及故障描述 2 已采取的控制措施及其他應(yīng)對(duì)措施 3 報(bào)告部門 聯(lián)系人員及通信方式等 3 接到報(bào)警的值班人員必須告知報(bào)警人員向綜合部再次報(bào)警 同時(shí) 必須將掌握的報(bào) 警信息立即通報(bào)給綜合部 4 辦公室接到事件通報(bào)后 對(duì)報(bào)警情況進(jìn)行核實(shí) 通知本部門相關(guān)人員到位 開展事 件分析和判斷工作 第十六條第十六條指揮與控制指揮與控制 綜合部接到事件通報(bào)后 立即根據(jù)事件報(bào)告的詳細(xì)信息 依據(jù) 公司的突發(fā)事件應(yīng) 急管理規(guī)定 見第三十五條 確定該事件的響應(yīng)級(jí)別 1 事件的響應(yīng)級(jí)別為 級(jí)響應(yīng) 1 公司不進(jìn)行應(yīng)急啟動(dòng) 由 有限公司進(jìn)行應(yīng)急處理 2 有限公司辦公室啟動(dòng)本應(yīng)急預(yù)案 3 組建應(yīng)急指揮部 指定應(yīng)急總指揮 相關(guān)的系統(tǒng)管理員以及文檔記錄員 聯(lián)絡(luò)員 就 位 4 系統(tǒng)管理員進(jìn)行故障判斷與分析 并檢查備用系統(tǒng)狀態(tài) 5 系統(tǒng)管理員確認(rèn)主系統(tǒng)無法正常運(yùn)行 啟動(dòng)備用系統(tǒng) 6 根據(jù)實(shí)際需要 聯(lián)絡(luò)員聯(lián)系相關(guān)的專家組進(jìn)行遠(yuǎn)程支持 電話 Email MSN 遠(yuǎn)程桌 面等形式 7 在遠(yuǎn)程支持無效的情況下 要求專家組盡快到現(xiàn)場進(jìn)行技術(shù)支持 8 現(xiàn)場技術(shù)支持可能需要一定的技術(shù)支持費(fèi) 需要由聯(lián)絡(luò)員協(xié)調(diào)好財(cái)務(wù)部門 做好設(shè) 備及技術(shù)服務(wù)費(fèi)用的支付工作 9 需進(jìn)行數(shù)據(jù)恢復(fù)工作時(shí) 請(qǐng)示應(yīng)急總指揮 征得同意并簽字后進(jìn)行數(shù)據(jù)恢復(fù) 10 若出現(xiàn)硬件故障 進(jìn)行報(bào)修工作 2 事件的響應(yīng)級(jí)別為 級(jí)響應(yīng) 1 公司信息處進(jìn)入預(yù)備狀態(tài) 為應(yīng)急啟動(dòng)作出初步準(zhǔn)備 將事件情況通知 公 司的主管領(lǐng)導(dǎo) 5 2 公司信息處與 有限公司應(yīng)急指揮部門建立通信聯(lián)系 密切關(guān)注事件應(yīng)急 工作的進(jìn)展 3 公司信息處按照日常工作流程參與事件處理工作 根據(jù) 有限公司應(yīng)急指 揮部門的報(bào)告和請(qǐng)求 負(fù)責(zé)協(xié)調(diào)和調(diào)配其他有關(guān)單位的應(yīng)急力量及應(yīng)急裝備 3 事件的響應(yīng)級(jí)別為 I 級(jí)響應(yīng)或發(fā)展為 I 級(jí)響應(yīng) 1 公司信息處啟動(dòng)本應(yīng)急預(yù)案 2 組建應(yīng)急指揮部 指定應(yīng)急總指揮 相關(guān)的系統(tǒng)管理員以及文檔記錄員 聯(lián)絡(luò)員 就 位 3 系統(tǒng)管理員進(jìn)行故障判斷與分析 并檢查備用系統(tǒng)狀態(tài) 4 系統(tǒng)管理員確認(rèn)主系統(tǒng)無法正常運(yùn)行 啟動(dòng)備用系統(tǒng) 5 根據(jù)實(shí)際需要 聯(lián)絡(luò)員聯(lián)系相關(guān)的專家組進(jìn)行遠(yuǎn)程支持 電話 Email MSN 遠(yuǎn)程桌 面等形式 6 在遠(yuǎn)程支持無效的情況下 要求專家組盡快到現(xiàn)場進(jìn)行技術(shù)支持 7 現(xiàn)場技術(shù)支持可能需要一定的技術(shù)支持費(fèi) 需要由聯(lián)絡(luò)員協(xié)調(diào)好財(cái)務(wù)部門 做好設(shè) 備及技術(shù)服務(wù)費(fèi)用的支付工作 8 需進(jìn)行數(shù)據(jù)恢復(fù)工作時(shí) 請(qǐng)示應(yīng)急總指揮 征得同意并簽字后進(jìn)行數(shù)據(jù)恢復(fù) 9 若出現(xiàn)硬件故障 進(jìn)行報(bào)修工作 第十七條第十七條報(bào)告與公告報(bào)告與公告 當(dāng)發(fā)生達(dá)到 公司 I 級(jí)應(yīng)急響應(yīng)級(jí)別的緊急情況后 有限公司在 1 小時(shí)內(nèi)向 公司突發(fā)事件應(yīng)急管理委員會(huì)辦公室報(bào)告 在 2 小時(shí)內(nèi)向華電華電集團(tuán)信息中心報(bào)告 事件應(yīng)急結(jié)束后 在 48 小時(shí)內(nèi)將事件應(yīng)急工作情況總結(jié)后向 公司和華電集團(tuán)信息中心 匯報(bào) 第十八條第十八條事態(tài)監(jiān)測與評(píng)估事態(tài)監(jiān)測與評(píng)估 由事件現(xiàn)場應(yīng)急指揮部負(fù)責(zé)對(duì)信息安全事件的發(fā)展勢態(tài)及影響及時(shí)進(jìn)行動(dòng)態(tài)的監(jiān)測 并對(duì)監(jiān)測信息作出初步評(píng)估 將各階段的事態(tài)監(jiān)測和初步評(píng)估的結(jié)果快速反饋給 公司 信息處 為整體的應(yīng)急決策提供依據(jù) 第十九條第十九條公共關(guān)系公共關(guān)系 事件發(fā)生后 公司辦公室負(fù)責(zé)接受新聞媒體采訪 接待受事件影響的相關(guān)方和安排公 6 眾的咨詢 負(fù)責(zé)事件信息的統(tǒng)一發(fā)布 公司各部門及員工未經(jīng)授權(quán)不得對(duì)外發(fā)布事件信息 或發(fā)表對(duì)事件的評(píng)論 第二十條第二十條應(yīng)急人員安全應(yīng)急人員安全 在應(yīng)急救援過程中要對(duì)應(yīng)急人員自身的安全問題進(jìn)行周密的考慮 防止人員觸電事故 的發(fā)生 第二十一條第二十一條 搶險(xiǎn)搶險(xiǎn) 本預(yù)案搶險(xiǎn)的主要任務(wù)是搶救故障系統(tǒng)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)并盡快恢復(fù)故障系統(tǒng)的運(yùn)行 具體的搶險(xiǎn)工作由現(xiàn)場應(yīng)急隊(duì)伍 包括現(xiàn)場指揮 系統(tǒng)管理員 聯(lián)絡(luò)員 記錄員等組成 負(fù) 責(zé) 具體方案的采用要在保證數(shù)據(jù)安全的基礎(chǔ)上選取 根據(jù)不同的故障類型 進(jìn)行相關(guān)的 處理 一 公司 OA 系統(tǒng)故障 1 檢查確定是軟件故障還是磁盤陣列等引起的硬件故障 2 若是軟件故障 重新安裝 OA 系統(tǒng)軟件并使用原數(shù)據(jù)庫恢復(fù)系統(tǒng)運(yùn)行 3 若是由磁盤陣列等硬件引起的故障 啟動(dòng)備用服務(wù)器并使用備份數(shù)據(jù)庫進(jìn)行恢復(fù) 4 檢查系統(tǒng)正常 二 廣域網(wǎng)線路故障 1 首先檢查負(fù)載均衡設(shè)備和路由器的狀態(tài) 如負(fù)載均衡設(shè)備進(jìn)行了鏈路切換 路由器 狀態(tài)正常且內(nèi)網(wǎng)口可以 PING 通 則說明極有可能是廣域網(wǎng)線路故障 檢查線路傳輸設(shè)備進(jìn) 一步確認(rèn) 2 自動(dòng)或手動(dòng)切換到備份鏈路并測試其連通性 如主 備用線路均中斷則啟用 VPN 連 接 3 立即與 信息處網(wǎng)絡(luò)管理員和電信運(yùn)營商聯(lián)系 進(jìn)行故障線路檢查并配合進(jìn)行故 障排除 公司網(wǎng)絡(luò)管理員和電信運(yùn)營商進(jìn)一步確定故障點(diǎn)的范圍 逐段進(jìn)行測試直至排除 故障 4 故障解決后恢復(fù)到主電路并進(jìn)行測試 最后 查明故障原因并填寫故障報(bào)修單 注 明發(fā)生和恢復(fù)時(shí)間并進(jìn)行原因分析 相關(guān)人員簽字后歸檔 三 關(guān)鍵設(shè)備故障 1 中心網(wǎng)絡(luò)設(shè)備故障 1 軟件故障 由公司網(wǎng)絡(luò)值班人員檢測設(shè)備配置及路由情況 判斷是否為軟件故障 7 如配置文件丟失或非法更改 利用事先備份重新配置設(shè)備并進(jìn)行測試 2 硬件故障 由公司網(wǎng)絡(luò)值班人員檢測設(shè)備狀態(tài) 判斷是否為硬件故障 如為板卡故 障 切換到備用板卡并進(jìn)行配置和測試 故障板卡報(bào)修 如為主引擎故障 則緊急切換到 本部主交換機(jī)相應(yīng)端口 緊急啟用網(wǎng)橋并進(jìn)行配置和測試 整機(jī)進(jìn)行報(bào)修 2 接入路由器故障 1 由網(wǎng)絡(luò)值班人員檢測接人路由器設(shè)備狀態(tài) 如確認(rèn)為設(shè)備故障 可采用備用設(shè)備或 備份鏈路的方式 保證與公司本部的通信 2 采用備用設(shè)備 將備用設(shè)備投人運(yùn)行 主設(shè)備報(bào)修 3 采用備份鏈路 自動(dòng)或手動(dòng)切換到備份鏈路 設(shè)備報(bào)修 設(shè)備修好后恢復(fù)到主用鏈 路 3 負(fù)載均衡故障 1 負(fù)載均衡為公司廣域網(wǎng)關(guān)鍵設(shè)備 采用雙機(jī)熱備方式運(yùn)行 一臺(tái)設(shè)備出現(xiàn)故障 另 一臺(tái)設(shè)備可以繼續(xù)工作 2 如兩臺(tái)設(shè)備均出現(xiàn)故障 則通過更改配置 手動(dòng)進(jìn)行鏈路切換 3 信息處存有負(fù)載均衡備用機(jī) 用于設(shè)備出現(xiàn)故障時(shí)進(jìn)行更換 4 防火墻故障 1 如防火墻出現(xiàn)故障 可以采用臨時(shí)措施跳過防火墻 直接將路由器與核心交換機(jī)連 接 四 病毒大范圍傳播 1 及時(shí)斷開傳播源 判斷病毒的性質(zhì) 采用的端 H 然后關(guān)閉相應(yīng)的端 H 2 更新殺毒軟件和過濾網(wǎng)關(guān)病毒庫 啟用反病毒軟件進(jìn)行殺毒處理 在網(wǎng)上公布病毒 攻擊信息及防御方法 通過病毒檢測軟件進(jìn)行全網(wǎng)病毒掃描和清除工作 五 網(wǎng)絡(luò)入侵事件 1 判斷入侵的來源 區(qū)分外網(wǎng)與內(nèi)網(wǎng) 2 入侵來自外網(wǎng)的 及時(shí)查找外部網(wǎng)絡(luò)攻擊源 定位人侵的 IP 地址 及時(shí)關(guān)閉入侵的 端 H 及時(shí)備份防火墻數(shù)據(jù)和日志 迅速斷絕攻擊源的攻擊 根據(jù)導(dǎo)出現(xiàn)場數(shù)據(jù)及系統(tǒng)日 志 分析故障原因 3 入侵來自內(nèi)網(wǎng)的 查清入侵來源 如 IP 地址 上網(wǎng)賬號(hào)等信息 同時(shí)斷開對(duì)應(yīng)的交 換機(jī)端口 4 針對(duì)入侵方法更新入侵檢測設(shè)備 8 5 恢復(fù)與重建被攻擊或破壞系統(tǒng) 第二十二條第二十二條警戒與治安警戒與治安 第二十三條第二十三條人群疏散與安置人群疏散與安置 第二十四條第二十四條醫(yī)療與衛(wèi)生醫(yī)療與衛(wèi)生 第二十五條第二十五條現(xiàn)場恢復(fù)現(xiàn)場恢復(fù) 清理現(xiàn)場衛(wèi)生 用完的工器具歸位 對(duì)恢復(fù)運(yùn)行的系統(tǒng)進(jìn)行定時(shí)檢查 第二十六條第二十六條應(yīng)急結(jié)束應(yīng)急結(jié)束 在充分評(píng)估危險(xiǎn)和應(yīng)急情況的基礎(chǔ)上 經(jīng)公司綜合部批準(zhǔn) 由應(yīng)急總指揮宣布應(yīng)急結(jié) 束 第五章第五章預(yù)預(yù) 案案 管管 理理 第二十七條第二十七條備案備案 本預(yù)案由 有限公司突發(fā)事件應(yīng)急管理委員會(huì)辦公室負(fù)責(zé)備案 第二十八條第二十八條維護(hù)和更新維護(hù)和更新 公司綜合部負(fù)責(zé)修改 更新本預(yù)案 由公司突發(fā)事件應(yīng)急管理委員會(huì)辦公室牽頭負(fù)責(zé) 對(duì)本預(yù)案每兩年評(píng)審一次 并提出修訂意見 第二十九條第二十九條制訂與解釋部門制訂與解釋部門 有限公司突發(fā)事件應(yīng)急管理委員會(huì)辦公室負(fù)責(zé)制定和解釋本預(yù)案 第三十條第三十條實(shí)施時(shí)間實(shí)施時(shí)間 本預(yù)案自 2009