信息系統(tǒng)應急預案

1、.某某信息系統(tǒng)應急預案 本預案是信息技術部根據公司有關法規(guī)和政策，結合公司信息系統(tǒng)建設和運行情況，重點針對公司可能發(fā)生的重大突發(fā)事件編制的，包括總則、組織指揮體系及職責、預警和預防機制、應急處理程序、保障措施等，其中明確規(guī)定了在發(fā)生信息系統(tǒng)突發(fā)事件情況下，信息系統(tǒng)管理人員的相關職能和工作方法，具有一定的指導性和可操作性。一、總則（一）目的為科學應對信息系統(tǒng)突發(fā)事件，建立健全信息系統(tǒng)的應急響應機制，有效預防、及時控制和最大限度地消除各類突發(fā)事件的危害和影響，制訂本應急預案。（二）工作原則1. 統(tǒng)一領導遇到重大信息系統(tǒng)異常情況，應及時向有關領導報告，以便于統(tǒng)一調度、減少損失。2. 綜合協(xié)調明確綜合

2、協(xié)調的職能機構和人員，做到職能間的相互銜接。3. 重點突出應急處理的重點放在運行著重要業(yè)務系統(tǒng)或可能導致嚴重事故后果的關鍵信息系統(tǒng)上。4.及時反應，積極應對出現信息系統(tǒng)故障時，信息系統(tǒng)維護人員應及時發(fā)現、及時報告、及時搶修、及時控制，積極對信息系統(tǒng)突發(fā)事件進行防范、監(jiān)測、預警、報告、響應。5. 快速恢復信息系統(tǒng)管理人員在堅持快速恢復系統(tǒng)的原則下，根據職責分工，加強團結協(xié)作，必要情況下與設備供應商以及系統(tǒng)集成商共同謀求問題的快速解決。6.防范為主，加強監(jiān)控經常性地做好應對信息系統(tǒng)突發(fā)事件的思想準備、預案準備、機制準備和工作準備，提高基礎設備和重要信息系統(tǒng)的綜合保障水平。加強對信息系統(tǒng)應用的日常監(jiān)

3、視，及時發(fā)現信息系統(tǒng)突發(fā)性事件并采取有效措施，迅速控制事件影響范圍，力爭將損失降到最低程度。二、應急工作小組機構及職責在信息系統(tǒng)事件的處理中，一個組織良好、職責明確、科學管理的應急隊伍是成功的關鍵。組織機構的成立對于事件的響應、決策、恢復，防止類似事件的發(fā)生都具有重要意義。結合公司信息系統(tǒng)的實際情況，將有關應急人員的角色和職責進行了明確的劃分。1. 應急處理領導小組及時掌握信息系統(tǒng)故障事件的發(fā)展動態(tài)，向上級部門報告事件動態(tài)；對有關事項做出重大決策；啟動應急預案；組織和調度必要的人、財、物等資源。（應急領導小組成員參見重大突發(fā)事件預案處理和報告制度）。2. 應急處理工作小組負責定期了解外部支持人

4、員的變動情況，及時更新其技術人員及聯系方式等信息；快速響應信息系統(tǒng)發(fā)現的故障事件、業(yè)務部門對信息系統(tǒng)故障的申告；執(zhí)行信息系統(tǒng)故障的診斷、排查和恢復操作；定期通過設備監(jiān)控軟件、系統(tǒng)運行報告等工具對信息系統(tǒng)的使用情況進行分析，盡早發(fā)現信息系統(tǒng)的異常狀況，排除信息系統(tǒng)的隱患。工作小組組長：信息技術部負責人工作小組成員：信息技術部技術支持室全體成員、信息技術部各室主任 3. 外部支持人員包括電信運營商、設備供應商以及系統(tǒng)集成商。負責事先向某某信息技術部提供緊急情況下的應急技術方案和應急技術支援體系；積極配合信息中心應急人員進行故障處理。名單：設備供應商、系統(tǒng)集成商、電信運營商等三、預警和預防機制（一）

5、信息系統(tǒng)監(jiān)測及報告1.信息系統(tǒng)的日常管理和維護信息系統(tǒng)的日常管理和維護應加強信息系統(tǒng)應用的監(jiān)測、分析和預警工作。2.建立信息系統(tǒng)故障事故報告制度發(fā)生信息系統(tǒng)故障時，值班人員應當立即向應急處理小組領導報告，并及時進行故障處理、調查核實、保存相關證據等。（二）預警在接到突發(fā)事件報告后，應當經初步核實之后，將有關情況及時向應急處理小組領導報告，進一步進行情況綜合，研究分析可能造成損害的程度，提出初步行動對策。由上級領導視情況緊急程度召集協(xié)調會，決策行動方案，發(fā)布指示和實施命令等。（三）預警支持系統(tǒng)應建立和完善信息監(jiān)測、消息傳遞和指揮決策支持系統(tǒng)，保證突發(fā)事件處理過程中的資源共享、運轉正常、指揮有力。

6、（四）預防機制各業(yè)務信息系統(tǒng)和重要信息系統(tǒng)建設要充分考慮抗毀性與災難恢復，制定并不斷完善應急處理預案。針對基礎信息信息系統(tǒng)的突發(fā)性、大規(guī)模異常事件，各相關部門建立制度化、程序化的處理流程。四、應急處理程序（一）信息系統(tǒng)突發(fā)事件分類分級的說明根據業(yè)務信息系統(tǒng)突發(fā)事件的發(fā)生原因、性質和機理，業(yè)務信息系統(tǒng)突發(fā)事件主要分為以下三類:1.攻擊類事件：指信息系統(tǒng)因計算機病毒感染、非法入侵等導致業(yè)務中斷、系統(tǒng)宕機、信息系統(tǒng)癱瘓等情況。2.故障類事件：指信息系統(tǒng)因計算機軟硬件故障、停電、人為誤操作等導致業(yè)務中斷、系統(tǒng)宕機、信息系統(tǒng)癱瘓等情況。3.災害類事件：指因爆炸、火災、雷擊、地震、臺風等外力因素導致信息系

7、統(tǒng)損毀，造成業(yè)務中斷、系統(tǒng)宕機、信息系統(tǒng)癱瘓等情況。按照突發(fā)事件的性質、嚴重程度、可控性和影響范圍，將其分為一般故障、嚴重故障、重大故障、特級故障四級。1.一般故障信息系統(tǒng)中單個系統(tǒng)故障，但未影響業(yè)務系統(tǒng)運行，也未造成社會影響或經濟損失的突發(fā)事件。2.嚴重故障信息系統(tǒng)中單個分公司節(jié)點故障導致分公司業(yè)務中斷，可能造成較大業(yè)務影響或較大經濟損失的突發(fā)事件。3.重大故障信息系統(tǒng)中多個分公司節(jié)點或總公司骨干節(jié)點故障引起的多個業(yè)務系統(tǒng)長時間中斷，可能造成重大社會影響和巨大經濟損失的突發(fā)事件。4.特級故障特指發(fā)生不可預見的災難性事故，如火災、水災和地震等。（二）信息系統(tǒng)應急預案啟動根據以上定義的故障分級，

8、當信息系統(tǒng)事件的要素滿足啟動應急預案要求時，進入相應的應急啟動流程。（1）應急處理工作小組從業(yè)務人員或值班人員的故障申告、信息系統(tǒng)監(jiān)控報告的故障告警中得知信息系統(tǒng)異常事件后，應在第一時間趕赴信息系統(tǒng)故障現場。（2）應急處理工作小組針對信息系統(tǒng)事件做出初步的分析判斷。若是電源接觸不好、物理連線松動或者能在最短時間內自行解決的信息系統(tǒng)問題，及時按照有關操作規(guī)程進行故障處理，并報領導小組備案；否則，應急處理工作小組將故障大致定性為設備故障、線路故障、軟件故障等故障之一，及時告知領導小組和受影響的相關部門，并采取措施避免事件影響范圍的擴大。（3）應急處理工作小組向領導小組報告，在領導小組的授權后啟動相

9、應的應急預案。針對災難事件和影響重要業(yè)務運行的重大事件，還要及時向上級機關進行報告。（4）應急處理工作小組根據故障類型及時與外部支持人員取得聯系。其中，設備故障的，可與設備供應商和集成商聯系；軟件故障的，可與系統(tǒng)集成商聯系，由系統(tǒng)集成商進行現場或遠程技術支持；線路故障的，可與電信運營商聯系，三方密切協(xié)作力求通信線路在短時間內恢復正常。（5）應急處理工作小組在上級機構或外部支持人員的配合下，充分利用應急預案的資源準備，采取有力措施進行故障處理，及時恢復信息系統(tǒng)的正常工作狀態(tài)。（6）應急處理工作小組通知業(yè)務部門信息系統(tǒng)恢復正常，并向領導小組報告故障處理的基本情況。重大事件形成文字資料，以書面形式向

10、上級報告。（7）總結整個處理過程中出現的問題，并及時改進應急預案。（三）現場應急處理（1）如遇到預知外界因素（如定時、定點停電）影響業(yè)務信息系統(tǒng)系統(tǒng)的正常運行，將根據有關部門的通知，提前安排技術人員到實地關閉信息系統(tǒng)設備并進行現場維護，直至外界因素消除。（2）如遇到不可抗力因素（如火災）造成的信息系統(tǒng)系統(tǒng)故障時，接到通知的值班人員要快速到達現場，果斷切斷相關設備配電柜的電源，積極參與消除不可抗力因素，并及時將情況上報應急處理工作小組領導。（3）如遇到一般故障、嚴重故障和重大故障，影響信息系統(tǒng)的正常運行，值班人員要迅速、及時地趕到現場，進行相應突發(fā)事件的應急處理。五、保障措施（一）應急演練為提高

11、信息系統(tǒng)突發(fā)事件應急響應水平，信息技術部和相關部門應定期或不定期組織應急預案演練；檢驗應急預案各環(huán)節(jié)之間的通信、協(xié)調、指揮等是否符合快速、高效的要求。通過演習，進一步明確應急響應各崗位責任，對預案中存在的問題和不足及時補充、完善。（二）人員培訓為確保本應急預案有效運行，應定期或不定期地舉辦不同層次、不同類型的技術講座或研討會，以便不同崗位的應急人員能全面熟悉并熟練掌握突發(fā)事件的應急處理知識和技能。（三）硬件資源保障為了在信息系統(tǒng)設備發(fā)生故障時能夠盡量降低業(yè)務系統(tǒng)的受影響程度，須為相應的核心業(yè)務信息系統(tǒng)提供必要的備份設備與線纜等硬件資源，并且配備與現有設備兼容的設備，確保相似或兼容的設備可以在應

12、急情況下調配使用。這些備份設備需預先采購并保存在專門位置。（四）文檔資料準備包括信息系統(tǒng)工程文檔、維護手冊、操作手冊、設備配置參數、拓撲圖以及IP地址規(guī)范及分布情況等。（五）技術支持保障建立預警與應急處理的技術平臺，進一步提高信息系統(tǒng)突發(fā)事件的發(fā)現和分析能力，從技術上逐步實現發(fā)現、預警、處理、通報等多個環(huán)節(jié)和不同的業(yè)務信息系統(tǒng)、系統(tǒng)以及相關部門之間應急處理的聯動機制。（六）公眾信息交流在應急預案修訂、演練的前后，應利用各種信息渠道進行宣傳，并不定期的利用各種活動，宣傳信息系統(tǒng)等突發(fā)事件的應急處理規(guī)程及其預防措施等應急常識。六、分類突發(fā)事件應急處理措施（一）黑客攻擊時的緊急處置措施1、當有關值班

13、人員發(fā)現業(yè)務系統(tǒng)或網站內容被纂改，或通過入侵監(jiān)測系統(tǒng)發(fā)現有黑客正在進行攻擊時，應立即向信息系統(tǒng)管理技術人員通報情況。2、信息系統(tǒng)管理技術人員應在三十分鐘內響應，并首先應將被攻擊的服務器等設備從信息系統(tǒng)中隔離出來，保護現場，并同時向應急處理工作小組領導通報情況。3、信息系統(tǒng)管理技術人員負責被攻擊或破壞系統(tǒng)的恢復與重建工作。4、信息系統(tǒng)管理技術人員會同相關支持人員追查非法信息來源。5、信息系統(tǒng)管理技術人員組織相關支持人員會商后，向應急處理工作小組組長匯報有關情況。6、應急處理工作小組組長如認為情況嚴重，應立即向應急處理領導小組組長匯報。7、應急處理領導小組組長組織應急處理領導小組召開會議，如認為事

14、態(tài)嚴重，則立即向公安部門或上級機關報警。（二）病毒安全緊急處置措施1、當發(fā)現有計算機被感染上病毒后，應立即向信息系統(tǒng)管理技術人員報告，將該機從信息系統(tǒng)上隔離開來。2、信息系統(tǒng)管理技術人員在接到通知后，應在三十分鐘內響應。3、對該設備的硬盤進行數據備份。用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。4、如果現行反病毒軟件無法清除該病毒，應立即向應急處理工作小組組長報告，并迅速聯系有關產品商研究解決。5、應急處理工作小組經會商，認為情況嚴重的，應立即向應急處理領導小組組長匯報。6、應急處理領導小組經會商后，認為情況極為嚴重的，應立即向公安部門或上級機關報告。

15、7、如果感染病毒的設備是中心服務器系統(tǒng)，經領導小組同意，應立即告知各相關部門做好相應的清查工作。（三）軟件系統(tǒng)遭破壞性攻擊的緊急處置措施重要的業(yè)務系統(tǒng)必須存有備份，與業(yè)務系統(tǒng)相對應的數據必須有多日的備份，并將他們保存在安全處。1、一旦信息系統(tǒng)遭到破壞性攻擊，應立即向信息系統(tǒng)管理技術人員、業(yè)務系統(tǒng)技術人員報告，并將該系統(tǒng)停止運行。2、信息系統(tǒng)管理技術人員檢查日志等資料，確定攻擊來源。4、由業(yè)務系統(tǒng)技術人員向應急處理工作小組組長匯報。5、應急處理工作小組組長認為情況嚴重的，應立即向應急處理領導小組匯報。6、應急處理領導小組認為情況極為嚴重的，應立即向公安部門或上級機關報告。（四）數據庫安全緊急處置

16、措施1、主要數據庫應按雙機熱備設置，并至少要準備兩個以上數據庫備份，平時一個備份放在機房，另一個備份放在另一個安全的場所。2、一旦數據庫崩潰，應立即啟動備用系統(tǒng)，并向應急處理工作小組組長報告。3、在備用系統(tǒng)運行期間，業(yè)務系統(tǒng)技術人員應對主機系統(tǒng)進行維修。4、如果兩套系統(tǒng)均崩潰，業(yè)務系統(tǒng)技術人員應立即向應急處理工作小組組長報告，應急處理工作小組如認為情況嚴重，應立即向應急處理領導小組組長匯報。同時通知相關科室部門暫緩使用業(yè)務系統(tǒng)和上傳上報數據。5、系統(tǒng)修復啟動后，將第一個數據庫備份取出，按照要求將其恢復到主機系統(tǒng)中。6、如因第一個備份損壞，導致數據庫無法恢復，則應取出第二套數據庫加已恢復。7、如

17、果兩個備份均無法恢復，應立即向應急處理工作小組組長匯報，并向有關廠商請求緊急支援。（五）廣域網外部線路中斷緊急處置措施1、廣域網主、備用線路中斷一條后，網絡管理員應立即啟動備用線路接續(xù)工作，同時向應急處理工作小組組長報告。2、網絡管理員應盡快判斷故障節(jié)點，查明故障原因。3、如屬我方管轄范圍，由網絡管理員立即予以修復。4、如屬運營商管轄范圍，立即與運營商維護部門聯系，要求恢復。5、如果主、備用線路同時中斷，網絡管理員應在判斷故障節(jié)點，查明故障原因后，盡快研究恢復措施，并立即向應急處理工作小組組長匯報。6、經應急處理領導小組同意后，應通知相關部門相關原因，并暫緩使用業(yè)務系統(tǒng)和上傳上報數據。（六）局

18、域網中斷緊急處置措施1、局域網中斷后，網絡管理員應立即判斷故障節(jié)點，查明故障原因，并向應急處理工作小組組長匯報。2、如屬線路故障，應重新安裝線路。3、如屬路由器、交換機等信息系統(tǒng)設備故障，應立即通知供應商進行保修。5、如屬路由器、交換機配置文件破壞，應迅速按照要求重新配置，并調試通暢。6、如有必要，應向應急處理領導小組匯報。（七）設備安全緊急處置措施服務器、存儲設備等關鍵設備損壞后，值班人員應立即向信息系統(tǒng)管理技術人員報告。1、信息系統(tǒng)管理技術人員立即查明原因。2、如果能夠自行恢復，應立即用備件替換受損部件。3、如屬不能自行恢復的，立即與設備提供商聯系，請求派維護人員前來維修。4、如果設備一時不能修復，應向處理工作小組組長匯報，并告之相關部門，暫緩使用受影響的業(yè)務系統(tǒng)。（八）人員疏散與機房滅火預案1、一旦機房發(fā)生火災，應遵循下列原則：首先保人員安全；其次保關鍵設備、數據安全；三是保一般設備安全。2、人員疏散的程序是：機房值班人員立即按響火警警報，并通過119電話向公安消防請求支援，所有人員戴上防毒面具，所有不參與滅火的人員按照預定的路線，迅速從機房中有序撤出。3、人員滅火的程序是：首先切斷所有電源，啟動自動氣體滅火裝