信息系統(tǒng)集成安全應(yīng)急預(yù)案資料

1、 / 18文檔可目由編輯信息 系 統(tǒng)集 成安 全應(yīng) 急預(yù) 案（版本號VI. 0）文檔發(fā)布信息版本編號文檔描述信息作者審核批準(zhǔn)狀態(tài)狀態(tài)日期 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document .概述5編寫目的5編寫依據(jù)5適用范圍5.組織機(jī)構(gòu)與職責(zé)5應(yīng)急指揮中心6應(yīng)急工作組6.事件分類分級7事件分類7事件分級8.應(yīng)急響應(yīng)機(jī)制9突發(fā)事故9應(yīng)急啟動9事件報(bào)告10應(yīng)急處置10應(yīng)急結(jié)束11后期處置126.1后期觀察12調(diào)查與評估12總結(jié)與整改125.應(yīng)急保障措施（ 13 TOC o 1-5 h z 物資保障13人員保障13通信保障136應(yīng)急宣傳及演

2、練13應(yīng)急宣傳13應(yīng)急演練13 HYPERLINK l bookmark2 o Current Document 7.附件14.概述編寫目的為提高XX公司整體業(yè)務(wù)的安全性，提高處置網(wǎng)絡(luò)與信息安全突 發(fā)公共事件能力，加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作，形成科學(xué)、有效、 反應(yīng)迅速的應(yīng)急工作機(jī)制，確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn) 行安全和數(shù)據(jù)安全，最大限度地減輕業(yè)務(wù)系統(tǒng)突發(fā)網(wǎng)絡(luò)與信息安全故 障造成的危害。編寫依據(jù)國家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案重特大生產(chǎn)安全事故預(yù)防與應(yīng)急處理暫行規(guī)定信息安全事件分類分級指南適用范圍本預(yù)案適用于XX公司包含的所有業(yè)務(wù)系統(tǒng)，包括已建的系統(tǒng)、 未建的系統(tǒng)、通過信息安全等級保護(hù)的

3、系統(tǒng)、未通過信息安全等級保 護(hù)的系統(tǒng)，還有正在建設(shè)的系統(tǒng)。.組織機(jī)構(gòu)與職責(zé)為保障XX公司旗下業(yè)務(wù)系統(tǒng)在突發(fā)安全事件時能立即啟動應(yīng)急 方案，應(yīng)成立應(yīng)急處理組織機(jī)構(gòu)。機(jī)構(gòu)包括：應(yīng)急指揮中心、應(yīng)急工 作組，應(yīng)急工作組包括應(yīng)用故障小組、平臺故障小組、網(wǎng)絡(luò)故障小組、 程序故障小組、后勤保障小組。2.1應(yīng)急指揮中心XX公司應(yīng)急指揮中心（以下簡稱應(yīng)急指揮中心）是公司應(yīng)急管理 工作的決策指揮機(jī)構(gòu)，屬公司常設(shè)辦事機(jī)構(gòu)。指揮中心辦公地點(diǎn)設(shè)置 在XX公司本部，應(yīng)急指揮中心人員職位分配如下表所示。表2-1應(yīng)急指揮中心人員表職 位具體人員總指揮副總指揮聯(lián)系人成 員應(yīng)急指揮中心的主要職責(zé)：（1）審核、審定信息安全應(yīng)急預(yù)案

4、。（2）宣布進(jìn)入和解除應(yīng)急狀態(tài)，決定實(shí)施和終止應(yīng)急預(yù)案。（3）對突發(fā)事件等級為I級和II級的安全事件進(jìn)行決策，并統(tǒng) 一指揮應(yīng)急處置工作。（4）負(fù)責(zé)組織協(xié)調(diào)公司各部門進(jìn)行日常信息安全應(yīng)急演練。（5）負(fù)責(zé)組織協(xié)調(diào)公司各部門進(jìn)行日常信息安全的宣傳教育與 培訓(xùn)。2.2應(yīng)急工作組XX公司應(yīng)急工作小組（以下簡稱應(yīng)急工作小組）負(fù)責(zé)實(shí)施應(yīng)急指 揮中心部署的方案措施、落實(shí)日常信息安全各方面工作、處理突發(fā)網(wǎng) 絡(luò)安全事件。應(yīng)急工作小組的主要職責(zé)：（1）落實(shí)應(yīng)急指揮中心部署的各項(xiàng)任務(wù)。（2）負(fù)責(zé)應(yīng)急預(yù)案的編制工作。（3）網(wǎng)絡(luò)與信息安全事件發(fā)生后，應(yīng)急工作小組要詳細(xì)記錄應(yīng)急 過程所有措施，形成過程記錄表、結(jié)果報(bào)告，并做

5、好信息通報(bào)工作。（4）負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急演練。（5）負(fù)責(zé)協(xié)助應(yīng)急指揮中心進(jìn)行日常信息安全應(yīng)急宣傳教育與 培訓(xùn)。（6）監(jiān)督執(zhí)行應(yīng)急指揮中心下達(dá)的應(yīng)急指令、重大應(yīng)急決策和部 署，協(xié)調(diào)各方應(yīng)急資源，組織各單位及故障處理小組進(jìn)行應(yīng)急處理。（7）及時了解和掌握突發(fā)事件與應(yīng)急處置工作情況，向應(yīng)急指揮 中心報(bào)告應(yīng)急處置過程中發(fā)現(xiàn)的重大問題，并協(xié)調(diào)解決。（8）負(fù)責(zé)突發(fā)事件調(diào)查、總結(jié)應(yīng)急處理經(jīng)驗(yàn)和教訓(xùn)等后期處置工 作。.事件分類分級事件分類網(wǎng)絡(luò)與信息安全事件分為有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破 壞事件、信息內(nèi)容安全事件、設(shè)備設(shè)施故障和災(zāi)害性事件等。（1）有害程序事件分為計(jì)算機(jī)病毒事件、蠕

6、蟲事件、特洛伊木 馬事件、僵尸網(wǎng)絡(luò)事件、混合程序攻擊事件、網(wǎng)頁內(nèi)嵌惡意代碼事件 和其他有害程序事件。（2）網(wǎng)絡(luò)攻擊事件分為拒絕服務(wù)攻擊事件、后門攻擊事件、漏 洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件和其他網(wǎng) 絡(luò)攻擊事件。（3）信息破壞事件分為信息篡改事件、信息假冒事件、信息泄 露事件、信息竊取事件、信息丟失事件和其他信息破壞事件。（4）信息內(nèi)容安全事件是指通過網(wǎng)絡(luò)傳播法律法規(guī)禁止信息， 組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會 穩(wěn)定和公眾利益的事件。（5）設(shè)備設(shè)施故障分為軟硬件自身故障、外圍保障設(shè)施故障、 人為破壞事故和其他設(shè)備設(shè)施故障。（6）災(zāi)害性事件是指由自

7、然災(zāi)害等其他突發(fā)事件導(dǎo)致的網(wǎng)絡(luò)與 信息安全事件。事件分級根據(jù)系統(tǒng)故障對服務(wù)的對象和公司生產(chǎn)、經(jīng)營和管理的影響范 圍、程度、可能產(chǎn)生的后果和損失等因素，將網(wǎng)絡(luò)與信息安全故障分 為重大（I級）、較大（II級）、一般（in級）三個等級。（1）符合下列情形之一的，為重大網(wǎng)絡(luò)與信息安全事件（I級）：信息系統(tǒng)中斷運(yùn)行30分鐘以上、影響人數(shù)10萬人以上。信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和 社會穩(wěn)定構(gòu)成嚴(yán)重威脅，或?qū)е?億元人民幣以上的經(jīng)濟(jì)損失。其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威 脅、造成嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（2）符合下列情形之一且未達(dá)到重大網(wǎng)絡(luò)與信息安全事件

8、（I級） 的，為較大網(wǎng)絡(luò)與信息安全事件（II級）：信息系統(tǒng)中斷運(yùn)行造成較嚴(yán)重影響的。信息系統(tǒng)中的數(shù)據(jù)丟失或被竊取、篡改、假冒，對國家安全和 社會穩(wěn)定構(gòu)成較嚴(yán)重威脅，或?qū)е?000萬元人民幣以上的經(jīng)濟(jì)損失。其他對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重 威脅、造成較嚴(yán)重影響的網(wǎng)絡(luò)與信息安全事件。（3）除上述情形外，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)和公眾 利益構(gòu)成一定威脅、造成一定影響的網(wǎng)絡(luò)與信息安全事件，為一般網(wǎng) 絡(luò)與信息安全事件（IV級）。.應(yīng)急響應(yīng)機(jī)制突發(fā)事故業(yè)務(wù)系統(tǒng)一旦突發(fā)下列情形之一，信息安全應(yīng)急方案即刻生效。（1）通道與網(wǎng)絡(luò)故障。（2）主機(jī)設(shè)備、操作系統(tǒng)、中間件和數(shù)據(jù)庫軟件故障。

9、（3）應(yīng)用服務(wù)故障。（4）應(yīng)用程序發(fā)布故障或應(yīng)用系統(tǒng)數(shù)據(jù)丟失。（5）數(shù)據(jù)轉(zhuǎn)接重大錯誤。（6）業(yè)務(wù)流程發(fā)生嚴(yán)重錯誤。（7）業(yè)務(wù)遷移重大故障。（8）機(jī)房電源、空調(diào)等重大環(huán)境故障。（9）大面積病毒爆發(fā)、蠕蟲、木馬程序、有害移動代碼等。（10）非法入侵，或有組織的攻擊。（11）自然災(zāi)害或人為錯誤操作導(dǎo)致數(shù)據(jù)嚴(yán)重破壞。（12）其他導(dǎo)致系統(tǒng)遷移失敗的原因。應(yīng)急啟動各應(yīng)急配合單位、部門須嚴(yán)格按照信息安全應(yīng)急預(yù)案的安排完成 相關(guān)準(zhǔn)備工作。應(yīng)急實(shí)施期間各工作檢查人，必須每日對各項(xiàng)工作完成情況進(jìn)行 檢查并簽字確認(rèn)，記錄未完成工作及原因；關(guān)鍵任務(wù)要按時間點(diǎn)進(jìn)行 檢查。發(fā)生突發(fā)事件后，事件發(fā)生單位立即向應(yīng)急工作組匯報(bào)

10、。應(yīng)急工作組接到II級營突發(fā)事件的應(yīng)急報(bào)告后，根據(jù)事件情況, 決定是否啟動應(yīng)急預(yù)案，并將結(jié)果上報(bào)應(yīng)急指揮中心。應(yīng)急工作組接到I級突發(fā)事件報(bào)告后，立即向公司應(yīng)急指揮中心 報(bào)告，公司應(yīng)急指揮中心根據(jù)事件情況進(jìn)行應(yīng)急處置決策，并啟動應(yīng) 急預(yù)案。 / 18文檔可自由儒4. 3事件報(bào)告發(fā)生突發(fā)事件時，由突發(fā)事件發(fā)現(xiàn)單位或人員直接向應(yīng)急工作組 及本單位領(lǐng)導(dǎo)匯報(bào)。報(bào)告分為緊急報(bào)告和詳細(xì)匯報(bào)。緊急報(bào)告是指事件發(fā)生后，各級 單位或部門向應(yīng)急工作組以口頭和應(yīng)急報(bào)告表（見附件）形式匯報(bào)事 件的簡要情況；詳細(xì)匯報(bào)是指由應(yīng)急處理機(jī)構(gòu)在事件處理暫告一段落 后，以書面形式提交的詳細(xì)報(bào)告。任何單位和個人均不得緩報(bào)、瞞報(bào)、謊報(bào)

11、或者授意他人緩報(bào)、瞞 報(bào)、謊報(bào)事件。事件報(bào)告的內(nèi)容和格式要求：（1）口頭報(bào)告的內(nèi)容主要包括事件發(fā)生的時間、概況、可能造 成的影響等情況。（2） 口頭報(bào)告后應(yīng)按照附件一格式用傳真方式報(bào)送應(yīng)急工作組, 要求內(nèi)容簡潔、清楚、準(zhǔn)確。應(yīng)急處置應(yīng)急故障處理流程主要包括系統(tǒng)運(yùn)行后的應(yīng)急故障處理。如果系統(tǒng)異常應(yīng)當(dāng)先由應(yīng)急故障處理領(lǐng)導(dǎo)小組進(jìn)行故障等級判 定，后由應(yīng)急工作組進(jìn)行故障類型判定及故障處理，以便在盡量短的 時間內(nèi)割接成功。當(dāng)突發(fā)事件發(fā)生時，首先由應(yīng)急工作組進(jìn)行事件等級判定；如果 是I級事件（重大事件）需要上報(bào)應(yīng)急指揮中心進(jìn)行應(yīng)急處理決策， 以確定具體的應(yīng)急措施；如果是II級事件（較大事件），則直接上 報(bào)

12、應(yīng)急指揮中心確定應(yīng)急措施；如果是HI級事件（一般事件），則 協(xié)調(diào)應(yīng)急小組進(jìn)行故障處理。其次，在事件等級判定完成后，應(yīng)急工 作組需要進(jìn)行故障類型的判定，并將判定結(jié)果交給各分類故障處理小 組進(jìn)行故障處理。如果是I級事件（重大事件），則由應(yīng)急指揮中心 將應(yīng)急措施通知分類故障處理小組即刻進(jìn)行處理。最后，由分類故障 處理小組完成故障排除工作。在正式上線運(yùn)行后，如果發(fā)現(xiàn)系統(tǒng)無法運(yùn)行，此時由應(yīng)急故障處 理領(lǐng)導(dǎo)小組進(jìn)行決策，可以啟用容災(zāi)中心數(shù)據(jù)庫和應(yīng)用服務(wù)，并修改 DNS配置接管生產(chǎn)中心的關(guān)鍵業(yè)務(wù)，在系統(tǒng)設(shè)備或系統(tǒng)軟件故障修復(fù) 后在將數(shù)據(jù)庫和應(yīng)用服務(wù)回切到生產(chǎn)中心。如果系統(tǒng)性能出現(xiàn)問題， 可以依次對網(wǎng)絡(luò)、程序

13、、配置、數(shù)據(jù)庫及應(yīng)用服務(wù)器問題逐步進(jìn)行排 除，相應(yīng)的措施包括優(yōu)化網(wǎng)絡(luò)、改進(jìn)程序代碼、修正配置、增加應(yīng)用 服務(wù)器分擔(dān)負(fù)荷、暫停部分非關(guān)鍵業(yè)務(wù)以減少業(yè)務(wù)總量、優(yōu)化數(shù)據(jù)庫 后臺操作腳本等。如果是系統(tǒng)缺陷，則需要修復(fù)缺陷。系統(tǒng)突發(fā)事件由II級發(fā)展為I級或發(fā)生I級突發(fā)事件后，應(yīng)急 工作組接到應(yīng)急報(bào)告后，立即上報(bào)公司應(yīng)急指揮中心，公司應(yīng)急指揮 中心啟動公司應(yīng)急預(yù)案，協(xié)調(diào)公司其他應(yīng)急資源支持應(yīng)急處理，支持 事件相關(guān)單位及時、有效地進(jìn)行處理，控制事件發(fā)展。信息網(wǎng)絡(luò)管理維護(hù)部門負(fù)責(zé)本單位所轄的廣域網(wǎng)及局域網(wǎng)的通 道、設(shè)備的穩(wěn)定運(yùn)行。當(dāng)發(fā)生病毒、非法入侵、網(wǎng)絡(luò)攻擊、有害信息 傳播、不符合規(guī)定的涉密信息傳播等事件時

14、，迅速調(diào)整網(wǎng)的發(fā)展。當(dāng) 發(fā)生外力破壞時迅速修復(fù)，并立即啟用備用通道，短時絡(luò)安全設(shè)備的 安全策略或隔離事件區(qū)域，查找源頭，采取有效措施，控制事件間內(nèi) 恢復(fù)通道正常。應(yīng)急結(jié)束在同時滿足下列條件下，應(yīng)急指揮中心可決定宣布解除應(yīng)急狀 態(tài)：（1）事件已得到有效控制，情況趨緩。（2）突發(fā)事件處理已經(jīng)結(jié)束，設(shè)備、系統(tǒng)已經(jīng)恢復(fù)運(yùn)行。應(yīng)急指揮中心應(yīng)及時向現(xiàn)場應(yīng)急工作組和參與應(yīng)急支援的有關(guān) 單位傳達(dá)解除應(yīng)急狀態(tài)響應(yīng)的指令，恢復(fù)正常生產(chǎn)工作秩序。上線割接完成后，系統(tǒng)穩(wěn)定運(yùn)行，轉(zhuǎn)入運(yùn)行維護(hù)階段。后期處置6.1后期觀察I級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注、監(jiān)測系統(tǒng)2周，確認(rèn) 無異?，F(xiàn)象。II級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密

15、切關(guān)注、監(jiān)測系統(tǒng)1周，確認(rèn) 無異?，F(xiàn)象。in級突發(fā)事件應(yīng)急處理結(jié)束后應(yīng)密切關(guān)注、監(jiān)測系統(tǒng)2天，確 認(rèn)無異?，F(xiàn)象。4. 6.2調(diào)查與評估突發(fā)事件應(yīng)急處理結(jié)束后，嚴(yán)重影響到公司利益和客戶利益的重 大、較大事件，應(yīng)急工作組按照相關(guān)規(guī)定或要求，對事件產(chǎn)生的原因、 影響進(jìn)行調(diào)查和評估，對責(zé)任進(jìn)行認(rèn)定。調(diào)查報(bào)告按公司規(guī)定報(bào)有關(guān) 部門。4.6.3總結(jié)與整改突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)部門應(yīng)組織研究事件發(fā)生的原因 和特點(diǎn)、分析事件發(fā)展過程，總結(jié)應(yīng)急處理過程中的經(jīng)驗(yàn)和教訓(xùn)I,進(jìn) 行應(yīng)急處置知識積累，進(jìn)一步補(bǔ)充、完善和修訂運(yùn)行維護(hù)應(yīng)急預(yù)案。突發(fā)事件應(yīng)急處理結(jié)束后，相關(guān)單位應(yīng)會同應(yīng)急工作小組結(jié)合運(yùn) 行過程中的異常和

16、事件，綜合分析營銷輔助決策系統(tǒng)中存在的關(guān)鍵點(diǎn) 和薄弱點(diǎn)，提出該類事件的整改措施，制定整改實(shí)施方案并予以落實(shí), 整改措施和方案報(bào)公司營銷部備案。5.應(yīng)急保障措施物資保障應(yīng)急物資裝備主要包括：車輛、備品備件、常用工具和常用工具 軟件。人員保障應(yīng)急處理組織機(jī)構(gòu)應(yīng)長期保持，相關(guān)領(lǐng)導(dǎo)及技術(shù)人員應(yīng)定期組織 會議，總結(jié)近期工作。各部門要加強(qiáng)突發(fā)事件應(yīng)急技術(shù)支持隊(duì)伍的建設(shè)，保證業(yè)務(wù)和技 術(shù)骨干人員能夠迅速到位。公司技術(shù)人員由指揮中心統(tǒng)一調(diào)配，集中管理。通信保障應(yīng)急期間，指揮、通信聯(lián)絡(luò)和信息交換的渠道主要有系統(tǒng)程控電 話、外線電話、手機(jī)、傳真、電子郵件等方式，有關(guān)應(yīng)急聯(lián)系的手機(jī) 應(yīng)保持24小時開機(jī)狀態(tài)。6應(yīng)急宣傳及演練應(yīng)急宣傳應(yīng)急工作組將應(yīng)急預(yù)案發(fā)給相關(guān)部門、要求各部門加強(qiáng)學(xué)習(xí)，提 高相關(guān)工作人員的應(yīng)急意識。應(yīng)急演練針對關(guān)鍵業(yè)務(wù)進(jìn)行測試演練，對演練中出現(xiàn)的問題進(jìn)行及時修改，完善應(yīng)急措施。7.附件表1人員聯(lián)系表姓名電話（座機(jī)）電話（手機(jī)）郵件備注圖1應(yīng)急響應(yīng)流程進(jìn)程名稱A：.器V正常系統(tǒng)運(yùn)維-現(xiàn)場工作組接口廠商圖2事件等