大型集团数据安全应急预案.docx

项目编号:大型集团数据安全文档信息文档名称XXX集团XXX有限公司数据安全应急预案文档版本发布日期编写人文档摘要修订记录日期版本说明修订人目录1 .引言52 .总则52.1编写依据52.2适用范围72.3基本原则72.4发布与生效73 .组织与职责71. 1应急保障领导小组83. 2应急保障领导办公室94. 3应急响应技术保障部门105. 4应急响应实施小组104 .数据安全事件分级121. 1特别重大数据安全事件（一级）124. 2重大数据安全事件（二级）135. 3较大数据安全事件（三级）146. 4一般数据安全事件（四级）145 .应急预案的制订与演练155. 1准备工作151 .1.1设计原则165 .1.2策略内容建议165.2制定应急预案175.3应急预案的管理与维护181 .4应急预案的演练195 .5应急教育和培训196 .应急响应实施206.1日常监测216. 2事件监测221. 2.1信息通报226. 2.2信息上报227. 2.3信息披露226. 3预警分级237. 4应急启动238. 5应急处置248.1.1 一级应急响应248.1.2 二级应急响应248.1.3 三级、四级应急响应256.6媒体沟通266.7结束响应266 .8应急响应总结267 .应急处理流程及措施277. 1应急准备287.2网页内容篡改291. 2.1应急流程292. 2.2应急工具307. 2.3应急步骤307.3非法入侵窃取数据327.3.1应急流程327.3.2应急工具327.3.3应急步骤337.4员工泄露敏感数据361. 4.1应急流程367. 4.2应急工具378. 4.3应急步骤377. 5权限失控导致数据泄露401. 5.1应急流程402. 5.2应急工具417. 5.3应急步躲417.6数据维护及处置不当造成数据泄露447.6.I应急流程447.6.2应急工具457.6.3应急步歌457.7信息发布不规范造成数据泄露477.7.1应急流程477.7.2应急工具487.7.3应急步膝488.应急保障518.1人力保障518.2技术保障518.3物质保障528.4资金保障53附件1：数据安全事件记录表格541 .引言为建立健全XXXXXX数据安全事件应急响应机制，提高应对数据安全事件的应急处置能力，预防和减少数据安全事件造成的损失和危害，全面提升公司的数据安全事件应急管理水平，促进大数据业务健康有序发展，保障公司数据资产安全和用户合法权益,满足上级单位要求企业建立数据安全应急响应制度的重点考核要求，特制定本预案。本预案作为XXXXXX数据安全事件应急处置流程规范，主要参照XXX数据安全事件应急响应实施指南、XXX网络安全突发事件应急预案、XXX大数据安全管理要求及XXX大数据安全运营要求中的应急响应相关要求，提出相应的实施方法规范。预案内容主要包括应急响应的组织架构、数据安全事件的分级、应急预案的制订与演练、应急响应实施、事件处置及应急事例以及应急保障等。本预案主要为XXXXXX数据安全事件的安全防范、应急处置、应急报告等工作提供依据。本应急预案的解释权和修改权归XXX集团XXX有限公司信息安全管理部。2 .总则3 .1编写依据本预案主要参照了以下国际规范制度及指南：信息技术系统应急规划指南，NISTSP800-34；计算机安全事件处理指南，NISTSP800-61；网络安全事件恢复指南，NISTSP800-184o本预案主要参照了以下国家规范制度及指南：中华人民共和国网络安全法，2017年6月1日起施行；国家网络安全事件应急预案，2017年1月10日起施行；公共互联网网络安全突发事件应急预案，2017年11月14日起施行；国家突发公共事件总体应急预案,2006年1月8日起实施;突发事件应急预案管理办法，2013年10月25日起施行;公共互联网网络安全威胁监测与处置办法，2018年1月1日起施行；国家通信保障应急预案，2011年12月10日修订；信息安全技术信息安全事件分类分级指南，GB/Z20986-2007；信息安全技术信息安全风险评估规范，GB/T20984-2007；信息技术安全技术信息安全事件管理指南，GB/Z20985-2007；信息安全技术信息系统灾难恢复规范，GB/T20988-2007；信息安全技术信息安全应急响应计划规范，GBT24363-2009o同时，参照了以下公司内部规范制度及指南：XXX数据安全事件应急响应实施指南，2019年实施；XXX网络安全突发事件应急预案，2019年实施；XXX业务支撑网安全事件管理办法，2009年实施；XXX网络与信息安全事件应急处置流程，2012年实施；XXX互联网网络安全应急处理预案，2008年实施；XXX重特大事件期间的信息安全保障应急预案，2012年实施;XXX安全事件管理办法，2008年实施；XXXXXX公司业务支撑网重要信息系统数据泄露事件专项应急预案，2017年实施；UXXXXX公司业务支撑网安全事件应急预案,2017年实施。2.2 适用范围本应急预案适用于XXXXXX省公司各部门、各地市分公司（以下简称各单位），为各单位开展数据安全事件应急处置，提供必要的指导性说明。本应急预案所称数据安全事件，是指针对用户个人信息、集团客户信息、业务平台数据、网络运行数据等公司数据资产的可用性被破坏、数据被泄露、数据被违规使用，数据被滥用，数据被篡改，数据被损毁等。造成或可能影响国家安全、社会稳定、公司利益受损、客户合法权益受侵害等危害，需要采取应急处置措施予以应对的突发事件。2.3 基本原则坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合；坚持谁主管谁负责、谁运行谁负责，分工协作，内外联动，充分发挥各方面力量共同做好XXXXXX公司数据安全事件的预防和处置工作。2.4 发布与生效本预案从发布之日起生效。3.组织与职责参考GB/T24363-2009（信息安全技术信息安全应急响应计划规范)，基于公司整体突发事件应急管理机制，结合现有职责部门，XXXXXX建立了应急响应的组织架构，确保及时有效地实施专项应急处置工作。组织架构中包含如下小组或部门：应急保障领导小组、应急保障领导办公室、应急响应技术保障部门、应急响应实施小组。应急响应过程需要公司多部门协同工作，共同应对已发生的数据安全事件。各小组或部门间的相互关系如下图所示。外部组织或 1图3-1应急响应组织机构间的关系3.1 应急保障领导小组XXXXXX中心安全领导小组承担省公司级数据安全事件应急保障领导小组职责，指导开展全省的数据安全事件应急响应制度建设、安全策略制定、重大事件决策等。主要职责：(1)应急响应工作的启动和终止；对应急响应工作的支持,提供必要资源(人、财、物)等；(2)审核并批准应急响应策略、应急预案；批准和监督应急预案的执行;(3)应急预案定期评审和修订的启动；(4)负责组织内部和外部的协调工作；3 .2应急保障领导办公室XXXXXX中心安全领导小组办公室承担数据安全事件应急保障领导办公室工作职责。开展全省的数据安全事件应急响应制度建设、安全策略制定等，组织应急预案的测试、培训和演练，统一对上级有关单位或部门报告数据安全突发事件情况。1.人员组成组长：信息安全管理部总经理副组长：综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部分管副总经理。组员：综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部相关工作责任人。4 .主要职责：(1)负责与XXX公司应急保障领导小组的沟通协调，并向本省应急保障领导小组提出相关工作建议；(2)组织起草、修改XXXXXX数据安全应急处理预案及相关规定；组织应急预案的测试、培训和演练；执行应急预案的评审、修订任务；(3)按照XXXXXX应急保障领导小组下达的命令和指示，具体协调处理数据安全应急工作；(4)负责省公司各相关部门和各市分公司之间的现场指挥协调，接受XXX公司应急保障领导小组的指示，组织省公司各相关部门和各市分公司落实数据安全应急处理技术措施；(5)及时收集汇总省公司各相关部门和各市分公司上报/反馈的事件进展情况，向省应急保障领导小组报告并提出建议，并根据相关要求，向XXX公司应急保障领导小组上报相关安全事件处理信息；(6)承担与集团、省数据安全应急响应技术保障部门、省内其他互联网单位以及其他相关应急响应组织的联络，积极参与数据安全事件应急处理合作。3.3应急响应技术保障部门XXXXXX数据安全事件应急响应技术保障部门由网络部、信息技术部、市场部等相关技术部门组成。主要职责包括：(1)制定数据安全事件技术应对表、具体角色和职责分工细则、应急响应协同调度方案；调研和管理相关技术基础；(2)对重大数据安全事件进行评估，提出启动应急响应的建议；研究分析数据安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议；(3)分析数据安全事件原因及造成的危害，为应急响应实施提供建议支持，协调和配合各部门和各市分公司的应急技术处理及演练。(4)负责为数据安全应急处理工作提供技术支撑；利用技术手段，对数据安全事件进行监测，及时收集、核实、汇总、分析、上报有关数据安全信息；保持与CMCERT/CC、省内其他互联网单位以及其他相关应急响应组织的安全事件应急处理合作。3.4应急响应实施小组应急实施小组由综合办公室、市场经营部、政企客户部、品质管理部、网络部、信息技术部及各市分公司组成，主要职责包括：（一）综合办公室：与相关政府管理部门、新闻媒体保持联络和协作，提供法律事务支持。（二）市场经营部：1、实体营业厅、渠道管理；网厅、掌厅、便利店、八闽生活24小时营业厅等自建系统或应用，以及相关微信公众号等的应急处理；2、各类营销活动的数据安全管控，特别是涉敏数据流转管控;3、BOP、IBOP等账号封堵，及真实使用者溯源。（三）政企客户部1、集团产品、行业端口、MAS信息机等政企业务，MOP、ESOP等自建系统或应用，及相关微信公众号等的应急处理；拟定涉及集团客户感知的统一口径信息，做好签约集团客户的解释、疏导工作。2、各类营销活动的数据安全管控，特别是涉敏数据流转管控。（四）品质管理部：统一协调客户服务管理工作；牵头组织涉及客户感知的统一口径信息；梳理内部通道，接受与客户信息等数据安全有关的投诉；组织协调对客户的解释、疏导工作，维护企业良好形象。（五）网络部1、施工调度系统等自建系统或应用，以及相关微信公众号等的应急处理;2、数据流量，家宽等IP真实地址溯源及封堵。4.数据安全事件分级根据GB/T20986-2007（信息安全技术信息安全事件分类分级指南）和数据安全事件对国家安全、社会稳定、公众权益、公司利益和声誉的影响程度，并按照数据安全事件的影响范围及持续时间等因素，结合公司实