网络安全通用应急预案.docx

信息安全应急预案目录一. 总则3二. 目的3三.安全事件类型及风险分析31.1 机房安全事件31.2 网络中断事件41.3 数据库系统事件41.4 网络入侵事件41.5 病毒破坏事件41.6 重要存储介质失窃事件4四. 应急处置基本原则54.1 统一领导，分工协作54.2 明确责任，依法规范54.3 统筹安排，协调配合54.4 防范为主，加强监控64.5 快速处理，尽快恢复6五. 应急指挥机构及职责65.1 应急指挥领导小组65.2 应急处置小组75.3 专家组7六. 预警及信息报告86.1 预防与预警86.2 应急事件报告86.3 信息报告程序96.3.1报告程序及时限96. 3.2信息安全事件报告内容及要求97. 3.3警报等级及具体发布部门范围98. 3.4报告方式及人员10七. 应急响应和处置107.1 事件响应分级107.2 响应程序127.3 处置措施127.3.1 网络安全事件处置127.3.2 机房安全事件处置14八. 应急后期处置16九. 应急物资与装备保障17十.应急预案管理17十一.附则17附录1：信息安全事件应急通讯录19附录2：重大突发信息安全事件报告（模板）20版本及修订历史20一.总则为建立健全XX公司信息安全事件应急工作机制，提高应对信息安全事件的应急处置能力，维护基础信息网络、重要信息系统和重要工业控制系统的安全，保障公司各项科研生产经营活动安全、顺利开展，特制定本预案。本预案适用于XX公司以及所属各部门、事业部、专业公司的信息安全事件应急管理。二目的2.1 及时掌控突发信息安全事件，及时协调各部门、各事业部、各专业公司力量，将突发事件的危害影响降至最低点。2.2规范突发事件上报程序和报告文本。三.安全事件类型及风险分析3.1 机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件，造成机房物理环境或设备的严重损害。主要包括：电气事件：电气设备漏电造成电击伤人，严重的引起火灾事件；火灾事件：机房火灾造成网络设备、服务器等设备损毁;电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造成机房网络设备、服务器停止工作。3.2 网络中断事件指造成XX公司骨干网络中断24小时以上、公司国际互联网中断48小时以上的网络事件。3.3 数据库系统事件数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。3.4 网络入侵事件通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监听、调用、篡改、销毁等，造成公司管理、经营的负面影响和重大损失。3.5 病毒破坏事件指病毒、非预期程序代码植入公司信息系统，造成重大破坏。3.6 重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等，如纸质文件资料、硬盘、U盘、光盘等。四.应急处置基本原则本预案应急处置遵循“依靠技术、加强管理、预防为主、快速响应、及时恢复”的总原则。另外应做到以下几点：4.1 统一领导，分工协作a）在XX公司统一领导下，明确各部门、各事业部、各专业公司职责，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则，协同配合，有效地处置突发事件和应急情况。4.2 明确责任，依法规范XX公司所属各部门、各事业部、各专业公司，要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。4.3 统筹安排，协调配合统筹安排XX公司所属各部门、各事业部、各专业公司应急工作任务，充分利用公司现有的信息安全服务设施和技术力量。各部门、各事业部、各专业公司应在明确职责的基础上，加强协调,密切配合，保障信息安全。4.4 防范为主，加强监控贯彻预防为主的思想，树立常备不懈的观念，宣传普及信息安全防范知识，做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。4.5 快速处理，尽快恢复突发重大信息安全事件时，能够及时发现和预警，准确判断并及时采取有效措施，迅速控制事件影响程度和范围，确保信息系统尽快恢复正常，尽可能减少突发事件给企业带来的负面影响和损失。五.应急指挥机构及职责5.1 应急指挥领导小组组长：保密委主任副组长：信息中心主任，公共事业管理中心主任成员：公司所属各事业部、专业公司主管信息工作领导、集团公司保密处、规划运营部、办公室相关领导职责：履行应急值守、信息技术支持和综合协调职责，发挥运转枢纽作用；组织、协调突发信息安全事件的处置和善后工作；对突发信息安全事件进行事件调查，并组织事后评估。5.2 应急处置小组应急处置小组为两级：一级是公司本部；二级是各事业部、专业公司。a）公司本部组长：信息中心主任组员：信息中心全体人员，保密处、办公室相关人员，管理中心电力、消防、保卫等相关人员职责：负责公司本部网络、二级单位主干网络安全事件、本部机房安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系统安全事件等的处置。b）各事业部、专业公司组长：各事业部、专业公司信息安全负责人组员：各事业部、专业公司相关人员职责：负责本单位信息安全事件处置工作。5.3 专家组由有关专家和厂商专业技术人员分别组成应急处置技术专家组，为信息安全事件应急管理提供决策建议和技术支持，参加突发信息安全事件的应急处置和事件恢复工作。六.预警及信息报告6.1 预防与预警a）危险源监控根据信息安全风险辨识结果，公司各部门、各事业部、专业公司要加强对危险源的监控，定期对机房空调、电源、网络、服务器等设备进行巡检，可通过软件等方法对网络运行情况进行监控，信息系统维护人员加强对各信息系统、数据库运行情况监控。b）预警行动单位任何人员发现信息安全相关情况时，应立即报告本部门负责人，并力所能及地采取相应应急措施。本部门负责人接到报告后，及时启动部门现场处置方案，视情况可到现场进行查看，并根据现场处置结果判定是否需要应急预警。如果需要，应报告公司应急指挥领导小组组长，组长通知应急处置小组成员做好应急所需物资、设备、人员等准备。6.2 应急事件报告突发事件信息报告分为首报、续报和终报。a）首报信息内容：突发事件发生时间、地点、事件、可能造成的伤亡和影响情况；抢险救援情况。b）续报信息内容：事发单位基本情况，事件起因和性质、基本过程影响范围、事件发展趋势、处置情况，请求事项和工作建议。c）终报信息内容：事件基本情况，原因分析，处置过程，形成结果，责任划分与处理、教训与预防措施。6.3 信息报告程序6.3.1报告程序及时限信息安全突发事件逐级上报程序及时限要求：现场相关发现人员立即报告部门负责人一部门负责人通知相关人员开展现场处置，并立即报告应急处置小组组长一应急处置小组报告公司应急指挥领导小组组长一应急指挥领导小组报告地方政府/警务部门（必要时）。a）一般网络中断、机房事件，应在60分钟内上报；b）网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报；c）特殊情况，如出现人员伤亡情况，应按公司突发公共事件总体应急预案的要求报告。6.3.2信息安全事件报告内容及要求a）事件发生部门/单位、发生地点、发生时间；b）事件现场具体位置和路线，周围环境情况；c）初步说明事件原因、当前状况等；d）已采取的措施。6.3.3警报等级及具体发布部门范围需要采取I级应急响应的事件警报为I级，需要采取11级应急响应的事件警报为II级。仅采取III级应急响应的事件，不发布警报。a） I级警报应发布到事件应急所有参与部门，并报告公司应急指挥领导小组组长。b） 11级警报发布到事件应急部分参与部门，并报告公司应急指挥领导小组组长。6.3.4报告方式及人员报告人员的通讯、联络方式见附录1。七.应急响应和处置7.1 事件响应分级网络与信息安全事件分为四级：特别重大（I级）、重大（II级）、较大（川级）、一般（IV级）。（1）符合下列情形之一的，为特别重大网络与信息安全事件（I级）：信息系统中断运行2小时以上、影响人数100万人以上。信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁，或导致10亿元人民币以上的经济损失。其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。（2）符合下列情形之一且未达到特别重大网络与信息安全事件（I级）的，为重大网络与信息安全事件（II级）：信息系统中断运行30分钟以上、影响人数10万人以上。信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁，或导致1亿元人民币以上的经济损失。其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。（3）符合下列情形之一且未达到重大网络与信息安全事件（II级）的，为较大网络与信息安全事件（III级）：信息系统中断运行造成较严重影响的。信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁，或导致1000万元人民币以上的经济损失。其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络与信息安全事件。（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件，为一般网络与信息安全事件（IV级）。7.2 响应程序应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则具体执行公司总体应急预案有关规定和要求。7.3 处置措施73.1 网络安全事件处置按照网络管理分工，相应的网络安全事件响应与处理时间，从发现到处理完毕，原则上不超过24小时。网络安全事件处理流程见下图：以下情况属于一般网络故障，原则上各事业部、专业公司信息部门自行处理，公司本部各部门由公司信息中心处理。a）本单位局域网网络故障；b）本单位办公室内的网络单点故障。如果二级单位本身无法处理的网络故障，可上报公司信息中心给予技术支持和协调解决。73.2 2机房安全事件处置（一）机房电源紧急处理流程a）如果由于市电中断报警，机房负责人应立即联系公司供电保障部门或其他相关单位，确认断电原因、时间等。如果在短时间内无法恢复供电，应及时通知财务、办公等应用系统负责人,作好应急关机准备；b）接到UPS报警，首先报告机房负责人，认定故障原因，必要时上报公司主管信息化工作的领导；c）如UPS出现故障，但服务器和网络设备等仍通过UPS旁路供电，正常运行，则机房负责人密切监视市电情况，并报告信息中心负责人，由信息中心通知UPS服务提供商，对UPS进行紧急修复处理；d）问题排除后，对机房内设备逐一检查，确认无误后，填写设备巡检记录；e）按问题的分级，填写问题记录日志表，并上报相关领导。（二）机房网络故障处理流程a）指定的防病毒系统）与补丁更新，负责服务器系统的网络畅通，负责硬件状态的监控；b）系统网络人员发现服务器出现问题，第一时间通知应用负责人，反之，应用负责人发现问题，及时通知系统网络负责人,协同查找故障原因，共同解决；c）如