ISO22301：2019SS08信息安全應(yīng)急處置預(yù)案5.28

擬定擬定審核會簽簽名批準(zhǔn)生效日期文件狀態(tài)：□受控□非受控持有人（單位）網(wǎng)絡(luò)信息安全應(yīng)急處置作業(yè)指導(dǎo)書修訂日期版次修訂日期版次頁碼描述1.目的置合理的應(yīng)急處置機制，提高公司計算機網(wǎng)絡(luò)信息安全事件處置能力。2.適用范圍務(wù)器、網(wǎng)站、局域網(wǎng)、ERP系統(tǒng)、comms系統(tǒng)等網(wǎng)絡(luò)中斷與系統(tǒng)崩潰，適用本預(yù)案。3.術(shù)語和定義無4.職責(zé)4.1分管信息中心的公司領(lǐng)導(dǎo)負(fù)責(zé)計算機網(wǎng)絡(luò)應(yīng)急處置工作的決策指揮協(xié)調(diào)和監(jiān)督。4.2信息中心負(fù)責(zé)系統(tǒng)數(shù)據(jù)運行中心機房的環(huán)境設(shè)備網(wǎng)絡(luò)和數(shù)據(jù)安全,負(fù)責(zé)公司網(wǎng)站局域網(wǎng)ERP系統(tǒng)等網(wǎng)絡(luò)信息安全。妥善處置由于自然災(zāi)害、人為或病毒破壞、網(wǎng)絡(luò)中站、局域網(wǎng)ERP系統(tǒng)、comms系統(tǒng)被攻擊等網(wǎng)絡(luò)信息安全事件。4.3各部門計算機網(wǎng)絡(luò)信息安全應(yīng)急處置工作由本部門主要負(fù)責(zé)人、分管負(fù)責(zé)人和兼有無法解決的計算機網(wǎng)絡(luò)故障時及時與信息中心聯(lián)系，確保網(wǎng)絡(luò)和應(yīng)用軟件的平穩(wěn)行。4.4各部門負(fù)責(zé)配合信息中心進(jìn)行計算機網(wǎng)絡(luò)應(yīng)急處置工作。5.管理內(nèi)容5.1信息安全事故分類及應(yīng)急處置方法5.1.1自然災(zāi)害、網(wǎng)絡(luò)中斷、外電中斷等原因出現(xiàn)的數(shù)據(jù)運行中心機房事故。房其他設(shè)備安全。生12小時內(nèi)向分管信息中心的公司領(lǐng)導(dǎo)匯報并在24小時內(nèi)協(xié)調(diào)部署數(shù)據(jù)運行中心機房的重建和恢復(fù)工作。應(yīng)急處置完畢后，信息中心要針對事故發(fā)生的原因、應(yīng)急措施數(shù)據(jù)和設(shè)備損毀情況，以及恢復(fù)和重建的措施、方案等寫出詳細(xì)的書面報告。5.1.2ERP系統(tǒng)、comms系統(tǒng)等網(wǎng)絡(luò)事故。來源的網(wǎng)絡(luò)連接，跟蹤破壞來源的IP地址和其他信息，及時修復(fù)被破壞的信息，恢系統(tǒng)正常運行。具體按照災(zāi)害發(fā)生的性質(zhì)分別采用如下方案：5.1.3病毒傳播應(yīng)及時斷開傳播源，隔離未被感染的系統(tǒng)和網(wǎng)絡(luò)。判斷病毒的性質(zhì)、采用的端口所有應(yīng)用程序，用殺毒軟件進(jìn)行查殺。也可進(jìn)行手工殺毒。如:a)停進(jìn)程，停止或掛起可疑的進(jìn)程。b)刪文件，根據(jù)殺毒軟件提供的路徑信息或自己查找的病毒路徑，手工刪除病文件。對于不能刪除的文件，可以嘗試在安全模式下刪除。c)刪服務(wù)，停止病毒程序的服務(wù)，然后刪除注冊表。5.1.4網(wǎng)絡(luò)入侵設(shè)備。外網(wǎng)的，定位入侵的IP地址，及時關(guān)閉入侵的端口，限制入侵IP地址的訪問在無法制止的情況下可以采用斷開網(wǎng)絡(luò)連接的方法。入侵來自內(nèi)網(wǎng)的，查清入侵來源如IP地址、上網(wǎng)帳號等信息，同時斷開對應(yīng)的交換機端口。5.1.5信息被篡改要求一經(jīng)發(fā)現(xiàn)馬上斷開相應(yīng)的信息上網(wǎng)鏈接，并盡快恢復(fù)。a)公司網(wǎng)站信息被篡改。首先，及時修改恢復(fù)之前的數(shù)據(jù)。其次，采用技術(shù)手段送網(wǎng)頁的正確性。保障業(yè)務(wù)的正常運營，維護(hù)企業(yè)信譽。b)comms系統(tǒng)前臺信息被篡改。系統(tǒng)使用人員應(yīng)查找用戶操作日志，及時阻斷用戶繼續(xù)誤操作。并在最短的時間內(nèi)還原成誤操作前狀態(tài)。c)comms系統(tǒng)后臺信息被篡改。每次更新數(shù)據(jù)時，系統(tǒng)負(fù)責(zé)人員都需備份原來數(shù)據(jù)。后臺信息被篡改后依據(jù)備份的數(shù)據(jù)在最短時間內(nèi)恢復(fù)。信息化系統(tǒng)出現(xiàn)嚴(yán)重故障不能及時完成修復(fù)工作的或維修時間超過1小時的信息中心主管應(yīng)及時向分管信息中心的公司領(lǐng)導(dǎo)匯報并告知相關(guān)單位出現(xiàn)問題的簡要情及解決方案，同時通知相關(guān)單位的員工必要時轉(zhuǎn)手工運作，直至故障修復(fù)。5.1.6軟件系統(tǒng)遭破壞性攻擊重要的軟件系統(tǒng)平時必須存有備份與軟件系統(tǒng)相對應(yīng)的數(shù)據(jù)必須按本單位容災(zāi)備份規(guī)定的間隔按時進(jìn)行備份，并保存于安全地方。一旦軟件遭到破壞性攻擊，應(yīng)立即向信息中心報告，并將該系統(tǒng)停止運行。檢查信息系統(tǒng)的日志等資料，確定攻擊來源并將有關(guān)情況向分管信息中心的公司領(lǐng)導(dǎo)匯報，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)。5.1.7數(shù)據(jù)庫安全向有關(guān)廠商請求緊急支援。5.1.8廣域網(wǎng)外部線路中斷應(yīng)向信息中心報告信息中心安全相關(guān)負(fù)責(zé)人員接到報告后應(yīng)迅速判斷故障節(jié)點部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。5.1.9局域網(wǎng)中斷的使用年限和運行狀態(tài)，盡量做到在故障發(fā)生前更換設(shè)備。5.1.10設(shè)備安全行恢復(fù)的立即與設(shè)備提供商聯(lián)系請求派維護(hù)人員前來維修如果設(shè)備一時不能修復(fù)應(yīng)向分管信息中心的公司領(lǐng)導(dǎo)匯報。5.1.11況，做出相應(yīng)的處理，不能處理的可以請示相關(guān)的專業(yè)人員。信息中心應(yīng)于事故發(fā)生12小時內(nèi)向分管公司領(lǐng)導(dǎo)匯報在24小時內(nèi)完成數(shù)據(jù)運行中心機房和公司網(wǎng)站、局域網(wǎng)、ERP系統(tǒng)、comms系統(tǒng)的重建和恢復(fù)工作。應(yīng)急處置完畢后信息中心要針對事故發(fā)生的原因應(yīng)急措施數(shù)據(jù)損毀和網(wǎng)站被攻擊的有關(guān)情況以及恢復(fù)和重建的措施、方案等寫出詳細(xì)的書面報告向分管信息中心的公司領(lǐng)導(dǎo)匯報。5.2各部門應(yīng)急處置職責(zé)和流程5.2.1無法上網(wǎng)故障首先要通過網(wǎng)上鄰居重新啟動網(wǎng)絡(luò)設(shè)備，如果問題還沒有解決，應(yīng)中斷網(wǎng)絡(luò)連接利用殺毒軟件對整機進(jìn)行掃描。如果故障無法自行排除，請及