信息安全事件應急預案.doc

有限公司 信息安全事件應急預案 預案版本 預案版本 1 001 00 版版 發(fā)布部門 發(fā)布部門 有限公司有限公司 突發(fā)事件應急管理委員會突發(fā)事件應急管理委員會 發(fā)布日期 發(fā)布日期 20092009 年年 3 3 月月 1 1 日日 I 目目 錄錄 第一章總 則 1 第一條編制目的 1 第二條編制依據 1 第三條適用范圍 1 第四條與其他預案的關系 1 第五條工作原則 1 第二章單 位 概 況 1 第六條應急資源概況 1 第七條危險分析 2 第三章應 急 保 障 2 第八條機構與職責 2 第十條通信與信息 3 第十一條應急人員培訓 3 第十二條預案演練 3 第十三條員工教育 3 第十四條互助協議 4 第四章應 急 響 應 4 第十五條接警與通知 4 第十六條指揮與控制 4 第十七條報告與公告 4 第十八條事態(tài)監(jiān)測與評估 5 第十九條公共關系 5 第二十條應急人員安全 6 第二十一條搶險 6 第二十二條警戒與治安 8 II 第二十三條人群疏散與安置 8 第二十四條醫(yī)療與衛(wèi)生 8 第二十五條現場恢復 8 第二十六條應急結束 8 第五章預 案 管 理 8 第二十七條備案 8 第二十八條維護和更新 8 第二十九條制訂與解釋部門 8 第三十條實施時間 8 第六章 專項應急處置預案 8 第三十一條現場預案 8 第七章 附 件 9 第三十二條信息安全事件應急響應程序 9 1 第一章第一章總總 則則 第一條第一條編制目的編制目的 為了保證 有限公司 簡稱公司 信息網絡的安全 保障各種業(yè)務應用系統的持續(xù) 正常運轉 防止和減少因各類信息安全事件造成的損失 建立緊急情況下有效的應急機制 根據公司的實際情況制定本預案 第二條第二條編制依據編制依據 本預案依據下列規(guī)章制度及預案編制 有限公司信息安全事件應急預案 有限公司突發(fā)事件應急管理規(guī)定 電有限公司突發(fā)事件總體應急預案 第三條第三條適用范圍適用范圍 本預案適用于公司發(fā)生的達到公司 I 級應急響應的信息安全事件 即在公司重要的信 息系統 FAM OA 網絡等關鍵系統 發(fā)生故障已經 或預期 超過 72 小時不能恢復正常運行 時啟動本預案 第四條第四條與其他預案的關系與其他預案的關系 本預案為 有限公司突發(fā)事件總體應急預案 簡稱 總體預案 的專項預 案 在 總體預案 的基礎上制定 可以單獨使用 也可以配合 總體預案 使用 第五條第五條工作原則工作原則 公司所屬各部門在信息安全事件的預防與應急處理工作中 必須遵循 預防為主 統 一指揮 分級控制 反應迅速 響應高效 的基本原則 第二章第二章單單 位位 概概 況況 第六條第六條應急資源概況應急資源概況 公司及下屬各部門的信息管理及維護人員 包括網絡管理員 系統管理員等 技術服 務人員 保衛(wèi)人員等都是信息安全事件應急處理的力量 設備制造 提供 廠家及其技術支 2 持服務人員 互助協議中的服務提供公司等 均可作為外部應急力量 公司及下屬各部門的網絡和服務器設備的備件 專業(yè)檢測及維修工具 通信器材 交 通工具 防護裝備等 均可作為應急的物資裝備資源 第七條第七條危險分析危險分析 公司的信息安全事件風險主要如下 1 系統嚴重故障 2 OA 系統嚴重故障 3 廣域網線路故障 4 網絡關鍵設備故障 5 病毒大范圍擴散 6 網絡攻擊事件 第三章第三章應應 急急 保保 障障 第八條第八條機構與職責機構與職責 1 公司綜合部的應急職責 1 在信息安全突發(fā)事件發(fā)生時 負責組建應急指揮部 指揮 協調信息安全突發(fā)事件 應急工作 2 負責信息安全突發(fā)事件應急預案的編制和演練 3 指導其他部門信息安全突發(fā)事件的應急工作 4 保障公司在突發(fā)事件應急中通信暢通 5 負責向政府及上級報告 匯報 應急工作情況 6 負責突發(fā)事件應急信息的編輯和對外發(fā)布 7 負責接受公眾對突發(fā)事件情況的咨詢 8 負責協調與外部應急力量 政府部門的關系 9 負責組織開展突發(fā)事件應急知識和技能的教育培訓工作 第九條第九條物資與裝備物資與裝備 用于信息系統監(jiān)測與故障分析的軟硬件包括人侵檢測系統 漏洞掃描系統 蠕蟲過濾 系統 Domino 系統管理與監(jiān)測軟件 備用的服務器硬件等 3 第十條第十條通信與信息通信與信息 在應急行動中 所有直接參與或者支持應急響應行動的部門都應當滿足以下要求 1 應急行動中 保障應急通信暢通 2 使用移動電話或者便攜式無線通信設備作為備用通信系統 第十一條第十一條 應急人員培訓應急人員培訓 針對潛在的信息安全事件可能造成的數據丟失 硬件損壞等風險 對所有應急人員進 行相應的專業(yè)技能培訓 包括參加第三方組織的技能培訓 增強發(fā)現問題并及時處理問題 的能力 完善操作規(guī)范 保證應急人員具備相應的應急能力 第十二條第十二條 預案演預案演練練 本預案每三年進行一次全面演練 每兩年至少進行一次組合演練或單項演練 演練結 束后 需要對演練的結果進行總結和評估 對本預案在演練中暴露的問題和不足應及時解 決 第十三條第十三條員工教育員工教育 對員工開展信息安全教育 使之認識到業(yè)務數據安全的重要性 加強員工的計算機操 作技能的培訓 減少誤操作 通過教育使公司員工在信息安全方面能做到如下幾點 1 定期檢查并升級所用計算機的防毒軟件病毒庫 2 根據系統提示 及時安裝系統漏洞補丁程序 3 定期進行本機重要檔案資料的備份工作 4 不隨意安裝或運行來歷不明或可疑的程序 控件等 5 在發(fā)現計算機安全問題 如病毒擴散 系統長時間運行異常等 時及時報告 第十四條第十四條互助協議互助協議 公司根據實際情況需要與相關的 IT 服務咨詢公司等簽訂互助協議 第四章第四章應應 急急 響響 應應 第十五條第十五條接警與通知接警與通知 1 信息安全事件接警電話 公司值班電話 4 綜合部電話 2 值班人員在接到報警后 應做到迅速準確地詢問以下信息 1 故障發(fā)生時間及故障描述 2 已采取的控制措施及其他應對措施 3 報告部門 聯系人員及通信方式等 3 接到報警的值班人員必須告知報警人員向綜合部再次報警 同時 必須將掌握的報 警信息立即通報給綜合部 4 辦公室接到事件通報后 對報警情況進行核實 通知本部門相關人員到位 開展事 件分析和判斷工作 第十六條第十六條指揮與控制指揮與控制 綜合部接到事件通報后 立即根據事件報告的詳細信息 依據 公司的突發(fā)事件應 急管理規(guī)定 見第三十五條 確定該事件的響應級別 1 事件的響應級別為 級響應 1 公司不進行應急啟動 由 有限公司進行應急處理 2 有限公司辦公室啟動本應急預案 3 組建應急指揮部 指定應急總指揮 相關的系統管理員以及文檔記錄員 聯絡員 就 位 4 系統管理員進行故障判斷與分析 并檢查備用系統狀態(tài) 5 系統管理員確認主系統無法正常運行 啟動備用系統 6 根據實際需要 聯絡員聯系相關的專家組進行遠程支持 電話 Email MSN 遠程桌 面等形式 7 在遠程支持無效的情況下 要求專家組盡快到現場進行技術支持 8 現場技術支持可能需要一定的技術支持費 需要由聯絡員協調好財務部門 做好設 備及技術服務費用的支付工作 9 需進行數據恢復工作時 請示應急總指揮 征得同意并簽字后進行數據恢復 10 若出現硬件故障 進行報修工作 2 事件的響應級別為 級響應 1 公司信息處進入預備狀態(tài) 為應急啟動作出初步準備 將事件情況通知 公 司的主管領導 5 2 公司信息處與 有限公司應急指揮部門建立通信聯系 密切關注事件應急 工作的進展 3 公司信息處按照日常工作流程參與事件處理工作 根據 有限公司應急指 揮部門的報告和請求 負責協調和調配其他有關單位的應急力量及應急裝備 3 事件的響應級別為 I 級響應或發(fā)展為 I 級響應 1 公司信息處啟動本應急預案 2 組建應急指揮部 指定應急總指揮 相關的系統管理員以及文檔記錄員 聯絡員 就 位 3 系統管理員進行故障判斷與分析 并檢查備用系統狀態(tài) 4 系統管理員確認主系統無法正常運行 啟動備用系統 5 根據實際需要 聯絡員聯系相關的專家組進行遠程支持 電話 Email MSN 遠程桌 面等形式 6 在遠程支持無效的情況下 要求專家組盡快到現場進行技術支持 7 現場技術支持可能需要一定的技術支持費 需要由聯絡員協調好財務部門 做好設 備及技術服務費用的支付工作 8 需進行數據恢復工作時 請示應急總指揮 征得同意并簽字后進行數據恢復 9 若出現硬件故障 進行報修工作 第十七條第十七條報告與公告報告與公告 當發(fā)生達到 公司 I 級應急響應級別的緊急情況后 有限公司在 1 小時內向 公司突發(fā)事件應急管理委員會辦公室報告 在 2 小時內向華電華電集團信息中心報告 事件應急結束后 在 48 小時內將事件應急工作情況總結后向 公司和華電集團信息中心 匯報 第十八條第十八條事態(tài)監(jiān)測與評估事態(tài)監(jiān)測與評估 由事件現場應急指揮部負責對信息安全事件的發(fā)展勢態(tài)及影響及時進行動態(tài)的監(jiān)測 并對監(jiān)測信息作出初步評估 將各階段的事態(tài)監(jiān)測和初步評估的結果快速反饋給 公司 信息處 為整體的應急決策提供依據 第十九條第十九條公共關系公共關系 事件發(fā)生后 公司辦公室負責接受新聞媒體采訪 接待受事件影響的相關方和安排公 6 眾的咨詢 負責事件信息的統一發(fā)布 公司各部門及員工未經授權不得對外發(fā)布事件信息 或發(fā)表對事件的評論 第二十條第二十條應急人員安全應急人員安全 在應急救援過程中要對應急人員自身的安全問題進行周密的考慮 防止人員觸電事故 的發(fā)生 第二十一條第二十一條 搶險搶險 本預案搶險的主要任務是搶救故障系統的關鍵業(yè)務數據并盡快恢復故障系統的運行 具體的搶險工作由現場應急隊伍 包括現場指揮 系統管理員 聯絡員 記錄員等組成 負 責 具體方案的采用要在保證數據安全的基礎上選取 根據不同的故障類型 進行相關的 處理 一 公司 OA 系統故障 1 檢查確定是軟件故障還是磁盤陣列等引起的硬件故障 2 若是軟件故障 重新安裝 OA 系統軟件并使用原數據庫恢復系統運行 3 若是由磁盤陣列等硬件引起的故障 啟動備用服務器并使用備份數據庫進行恢復 4 檢查系統正常 二 廣域網線路故障 1 首先檢查負載均衡設備和路由器的狀態(tài) 如負載均衡設備進行了鏈路切換 路由器 狀態(tài)正常且內網口可以 PING 通 則說明極有可能是廣域網線路故障 檢查線路傳輸設備進 一步確認 2 自動或手動切換到備份鏈路并測試其連通性 如主 備用線路均中斷則啟用 VPN 連 接 3 立即與 信息處網絡管理員和電信運營商聯系 進行故障線路檢查并配合進行故 障排除 公司網絡管理員和電信運營商進一步確定故障點的范圍 逐段進行測試直至排除 故障 4 故障解決后恢復到主電路并進行測試 最后 查明故障原因并填寫故障報修單 注 明發(fā)生和恢復時間并進行原因分析 相關人員簽字后歸檔 三 關鍵設備故障 1 中心網絡設備故障 1 軟件故障 由公司網絡值班人員檢測設備配置及路由情況 判斷是否為軟件故障 7 如配置文件丟失或非法更改 利用事先備份重新配置設備并進行測試 2 硬件故障 由公司網絡值班人員檢測設備狀態(tài) 判斷是否為硬件故障 如為板卡故 障 切換到備用板卡并進行配置和測試 故障板卡報修 如為主引擎故障 則緊急切換到 本部主交換機相應端口 緊急啟用網橋并進行配置和測試 整機進行報修 2 接入路由器故障 1 由網絡值班人員檢測接人路由器設備狀態(tài) 如確認為設備故障 可采用備用設備或 備份鏈路的方式 保證與公司本部的通信 2 采用備用設備 將備用設備投人運行 主設備報修 3 采用備份鏈路 自動或手動切換到備份鏈路 設備報修 設備修好后恢復到主用鏈 路 3 負載均衡故障 1 負載均衡為公司廣域網關鍵設備 采用雙機熱備方式運行 一臺設備出現故障 另 一臺設備可以繼續(xù)工作 2 如兩臺設備均出現故障 則通過更改配置 手動進行鏈路切換 3 信息處存有負載均衡備用機 用于設備出現故障時進行更換 4 防火墻故障 1 如防火墻出現故障 可以采用臨時措施跳過防火墻 直接將路由器與核心交換機連 接 四 病毒大范圍傳播 1 及時斷開傳播源 判斷病毒的性質 采用的端 H 然后關閉相應的端 H 2 更新殺毒軟件和過濾網關病毒庫 啟用反病毒軟件進行殺毒處理 在網上公布病毒 攻擊信息及防御方法 通過病毒檢測軟件進行全網病毒掃描和清除工作 五 網絡入侵事件 1 判斷入侵的來源 區(qū)分外網與內網 2 入侵來自外網的 及時查找外部網絡攻擊源 定位人侵的 IP 地址 及時關閉入侵的 端 H 及時備份防火墻數據和日志 迅速斷絕攻擊源的攻擊 根據導出現場數據及系統日 志 分析故障原因 3 入侵來自內網的 查清入侵來源 如 IP 地址 上網賬號等信息 同時斷開對應的交 換機端口 4 針對入侵方法更新入侵檢測設備 8 5 恢復與重建被攻擊或破壞系統 第二十二條第二十二條警戒與治安警戒與治安 第二十三條第二十三條人群疏散與安置人群疏散與安置 第二十四條第二十四條醫(yī)療與衛(wèi)生醫(yī)療與衛(wèi)生 第二十五條第二十五條現場恢復現場恢復 清理現場衛(wèi)生 用完的工器具歸位 對恢復運行的系統進行定時檢查 第二十六條第二十六條應急結束應急結束 在充分評估危險和應急情況的基礎上 經公司綜合部批準 由應急總指揮宣布應急結 束 第五章第五章預預 案案 管管 理理 第二十七條第二十七條備案備案 本預案由 有限公司突發(fā)事件應急管理委員會辦公室負責備案 第二十八條第二十八條維護和更新維護和更新 公司綜合部負責修改 更新本預案 由公司突發(fā)事件應急管理委員會辦公室牽頭負責 對本預案每兩年評審一次 并提出修訂意見 第二十九條第二十九條制訂與解釋部門制訂與解釋部門 有限公司突發(fā)事件應急管理委員會辦公室負責制定和解釋本預案 第三十條第三十條實施時間實施時間 本預案自 2009