网络与信息安全应急预案(正式版2016.4.5辅控班).doc

12国电湖南宝庆煤电有限公司网络与信息安全应急预案编制部门国电湖南宝庆煤电有限公司设备管理部颁布日期2016年01月03日修订日期201X年01月03日目录 1 总 则 . 1 1.1 编制目的 . 1 1.2 适用范围 . 1 1.3 工作原则 . 1 2 风险与资源分析 . 1 2.1 风险分析 . 1 2.2 资源分析 . 2 3 突发事件分级 . 2 3.1 一级事件 . 2 3.2 二级事件 . 2 4 组织机构及职责 . 3 4.1 应急机构设置 . 3 4.2 应急工作小组职责 . 3 5 预防与预警 . 4 5.1 预警分级 . 4 5.2 预警监测 . 4 5.3 预警发布与行动. 4 5.4 预警调整与解除. 5 6 应急响应与处置 . 6 6.1 应急响应分级 . 6 6.2 信息报告 . 8 6.3 响应程序 . 9 6.4 应急结束 . 11 6.5 信息发布 . 12 6.6 后期处置 . 12 7 应急保障 . 12 7.1 应急队伍 . 12 7.2 应急物资与装备. 12 7.3 通信与信息 . 13 7.4 其他 . 13 8 附则 . 13 8.1 应急培训 . 13 8.2 预案演练 . 13 8.3 预案备案 . 13 8.4 维护和更新 . 13 8.5 制定与解释 . 14 8.6 实施时间 . 14 1 总 则 1.1 编制目的 为保证湖南宝庆发电厂网络与信息系统的正常运转，减少因各类网络与信息突发事件造成的损失和影响，建立网络与信息系统紧急情况下有效的应急机制，结合湖南宝庆发电厂工作实际制定本预案。 1.2 适用范围 本预案适用于湖南宝庆发电厂网络与信息安全应急响应工作，当网络与信息系统发生突发事件达到级及以上响应标准时，启动本预案。 1.3 工作原则 （1）统一指挥，协调配合。在应急指挥机构的统一指挥、调配下，各应急力量快速就位快速开展网络与信息安全事故应急处置行动。督促相关部门遵照“统一领导、分级负责、各司其职、协调配合”的原则协同配合开展应急工作。 （2）快速行动，有序处置。发生网络与信息安全突发事件时，要按照处置优先、快速反应的机制，及时获取充分而准确的信息，跟踪研判，果断决策，充分利用现有网络与信息安全应急设施，整合内、外部的信息安全应急力量，充分依靠系统内外信息安全应急力量，形成信息安全应急工作合力。按照相关应急预案进行迅速处置，最大程度地减少危害和影响。 2 风险与资源分析 2.1 风险分析 湖南宝庆发电厂网络与信息系统存在计算机病毒、网络攻击、数据安全以及设备设施故障等风险，由此引起的网络系统、应用系统和数据系统突发事件包括： 1有害程序类突发事件：指受到有害程序的影响而导致的网络与信息安全突发事件。有害程序类事件包含（但不限于）计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击程序、网页内嵌恶意代码等事件。 2网络攻击类突发事件：指通过网络或其它技术手段利用配置缺陷、协议缺陷、程序缺陷等攻击网络与信息系统，造成网络与信息系统异常或不可用的网络与信息安全突发事件。网络攻击类事件包括（但不限于）拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰等事件。 3信息安全破坏类突发事件指通过网络或其它技术手段造成网络与信息系统中的信息被篡改、假冒、泄漏、窃取等而导致系统瘫痪、数据毁坏、数据泄漏的突发事件。信息安全破坏类事件包括信息篡改、信息假冒、信息泄漏、信息窃取、信息丢失等事件。 4系统故障类突发事件指网络与信息系统因自身或外围设备设施故障、以及人为误操作等导致的信息安全突发事件。系统故障类事件包括软硬件自身故障、外围保障设施故障、人为破坏事故、人为误操作事故和机房电源事故等。 5灾害破坏类突发事件指由于不可抗力对网络与信息系统造成物理破坏而导致的网络与信息安全突发事件。灾害类事件包括水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等导致的网络与信息安全突发事件。 2.2 资源分析 2.2.1 内部应急力量 湖南宝庆发电厂所属的网络与信息系统管理人员、系统管理员等是网络与信息安全事件应急处理的力量，国电集团系统内网络与信息专业人员可作为本网络与信息安全事件应急处理的内部应急力量。 2.2.2 外部应急力量 地方政府相关部门、软硬件制造商、供应商、系统集成商以及技术服务提供商，均可作为外部应急力量。 2.2.3 物资和装备资源 湖南宝庆发电厂所属硬件备件、软件介质、数据备份、专业检测及维修工具、消防工具、通讯器材、交通工具等均可作为应急的物资装备资源。 3 突发事件分级 3.1 一级事件 凡发生下列情况之一者评价为一级事件一次。 1发生网络攻击或有害程序破坏造成局域网全部瘫痪超过24个小时及以上。 2 违反网络与信息设备操作规程造成人身伤亡或经济损失价值为10万元及以上. 3.2 二级事件 凡发生下列情况之一者评价为二级事件一次。 1 发生网络攻击或有害程序破坏造成局域网部分瘫痪超过24个小时及以上。 2 交换机故障全停15分钟。 3 机房网络与服务器设备供电电源全部中断一次。4 组织机构及职责 4.1 应急机构设置 成立湖南宝庆发电厂信息安全小组当发生网络与信息安全事故需要启动本预案时由国电湖南发电厂信息安全小组负责相关事务处理并指定应急信息技术专责。 信息安全小组组长：总经理 副组长总工程师： 技术副总经理 成员：车间（部门）第一负责人、 通信网络负责人 4.2 应急工作小组职责 4.2.1 应急工作小组职责 湖南宝庆发电厂网络与信息安全应急小组的主要职责如下 1负责按照本预案指挥网络与信息安全应急处置工作。 2负责指导、协调网络与信息安全应急处置工作。 3负责向巴蜀电力公司报告网络与信息安全应急处置进展情况。 4当网络与信息安全涉及启动地方政府相关部门应急预案时配合地方政府相关部门相关应急机构开展应急处置工作。 4.2.2 应急处置工作内容 1与网络与信息安全事故的事发现场和事发单位部门，建立通信联络掌握相关人员的联系方式 2与应急办和其他相关部门建立通信联络。 3文件、资料等的打印、复印、递送。 4协调车辆保障应急人员、应急物资的运送。 5应急技术方案的处理工作。 6事故演习过程具体技术操作。 7接收事发单位部门报送的应急信息。 8向公司应急办公室报送应急信息。 9各类应急信息的收集、汇总和编辑。 10 记录应急指挥工作过程信息。 11 赶赴事发现场指导事发单位的应急处置工作。 12 协助事发单位调度外部应急力量和应急物资。 13 及时向上级应急机构或部门报告事发现场应急状况。 14 消除网络与信息安全事故的影响恢复网络与信息系统运行。15 负络与信息安全事故的调查处理。 16 向外包单位索赔。5 预防与预警 5.1 预警分级 湖南宝庆发电厂网络与信息安全事故分为一般、较大、重大和特别重大四个级别按照网络与信息安全事故的级别和发生的可能性网络与信息安全事故预警分为四个级别由高到低依次为红色预警、橙色预警、黄色预警、蓝色预警。 1特别重大的网络与信息安全事故即将发生或者发生的可能性增大时构成红色预警。 2重大的网络与信息安全事故即将发生或者发生的可能性增大时构成橙色预警。 3较大的网络与信息安全事故即将发生或者发生的可能性增大时构成黄色预警。 4一般的网络与信息安全事故即将发生或者发生的可能性增大时构成蓝色预警。 5.2 预警监测 1设备管理技术部负责全厂网络与信息安全事故风险监测工作，网络与信息安全事故风险监测的重点包括：计算机病毒、蠕虫、木马、恶意代码等入侵的风险，漏洞攻击、后门攻击、拒绝服务、网络窃听、网络钓鱼等网络攻击的风险，信息丢失、信息窃取、信息泄露、信息假冒等信息安全风险，利用网站发布或传播违法、违规等负面信息，机房设备故障、系统软硬件故障、人为破坏、误操作等系统故障风险，系统变更导致的不可预测风险，因系统业务量增加致使系统资源不够系统高压力状态下运行的业务风险。 2在风险监测中应通过多种方式获取预警支持信息，一般包括以下方式通过风险监测和风险分析获得的数据上级应急办公室、信息化管理部门传达的网络与信息安全事故预警信息地方政府相关部门发布的网络与信息安全事故预警信息等。 5.3 预警发布与行动 5.3.1 预警信息报告 通过对网络与信息安全事故预警支持信息的分析和评估认为构成预警的应立即将预警支持信息的分析和评估结果作为预警信息向厂应急办公室报告。5.3.2 预警信息发布 湖南宝庆发电厂应急办公室负责网络与信息安全事故预警的发布和预警响应范围的确定。 1应急办公室有权发布针对本单位内部的蓝色预警、黄色预警、橙色预警和红色预警。 2应急办公室在发布网络与信息安全事故预警时，应明确预警的响应范围和公开程度或保密要求。 3应急办公室在发布网络与信息安全事故预警后，应通过公文、传真、电话、短信、电子邮件等多种方式将预警尽快传达到相关部门和人员。5.3.3 预警行动 1在网络与信息安全事故预警发布后，预警响应范围内的单位部门应配合厂信息安全小组，针对可能发生的网络与信息安全事故，及时采取有效的防范和应对措施，控制网络与信息安全事故风险，避免网络与信息安全事故发生，可以根据具体情况采取以下措施，内存及系统病毒、木马、蠕虫、恶意代码查杀清除，安装必要的系统安全补丁关闭不必要端口，检查是否存在系统后门，做好重要数据安全保障及备份工作、定期更换用户密码、安全信息专人专管，准备常用备品备件、实时监控系统资源情况、规范人工操作、限制操作员权限、严格管理超级管理员权限，避免不必要的系统变更并对必要变更做好记录及回退准备，重启相应高负载业务或系统资源不足的设备 2在网络与信息安全事故预警发布后，预警响应范围内的各级信息化管理部门，应对网络与信息安全事故风险进行持续监测，为预警响应行动、预警级别与范围调整和预警解除提供支持信息。 5.4 预警调整与解除 在网络与信息安全事故预警发布后，预警响应范围内的各信息化相关部门，应对网络与信息安全事故风险进行持续监测，为预警响应行动、预警级别与范围调整和预警解除提供支持信息并根据风险变化及时报告厂应急办公室。厂应急办公室在获取网络与信息安全事故预警级别与范围调整、预警解除信息后经分析和确认及时调整预警级别和预警响应范围直至预警状态结束。 5.4.1 预警解除 当网络与信息安全事故发生的风险已经消除或被有效控制或者突发事件已经发生厂应急办应按具体情况对已经发布的预警予以解除。 1能够充分确认网络与信息安全事故风险已经全部消除或被有效控制或者预警响应范围内的部门单位或场所全部解除预警状态时解除预警。 2当预警的突发事件已经在预警响应范围内的某一部门、单位或场所发生时该部门、单位或场所的预警状态自动解除。6 应急响应与处置 6.1 应急响应分级 6.1.1 应急响应分级标准 6.1.1.1 网络与信息安全事故分级 按照网络与信息安全事故的严重程度网络与信息安全事故分为一般网络与信息安全事故、较大网络与信息安全事故、重大网络与信息安全事故和特别重大网络与信息安全事故四个级别。 1一般网络与信息安全事故因故障，导致单位内部主要应用系统服务不可用或服务质量严重劣化，累计时长已经或预期达24小时时间或应用系统因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化，时长已经或预期达6小时因故障导致单位外部广域网访问中断或服务质量严重劣化，时长已经或预期达12小时因故障导致内部主要应用系统丢失数据累计已经或预期达10工作日数据。 2较大网络与信息安全事故因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化，累计时长已经或预期达36小时时间或应用系统因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化，时长已经或预期达12小时因故障导致单位外部广域网访问中断或服务质量严重劣化，时长已经或预期达24小时因故障导致内部主要应用系统丢失数据累计已经或预期达20工作日数据。 3重大网络与信息安全事故因故障导致单位内部主要应用系统服务不可用或服务质量严重劣化，累计时长已经或预期达48小时时间或应用系统因故障导致一半及以上办公用户内部网络访问中断或服务质量严重劣化，时长已经或预期达24小时因故障导致单位外部广域网访问中断或服务质量严重劣化，时长已经或预期达48小时因故障导致内部主要应用系统丢失，数据累计已经或预期达30工作日数据单位内部主要应用系统重要、机密数据泄密或被篡改对单位造成一定负面影响或产生一定威胁。 4特别重大网络与信息安全事故因故障，导致单位内部所有主要应用系统服务不可用或服务质量严重劣化，累计时长已经或预期达72小时因故障导致内部网络系统中断或服务质量严重劣化，累计时长已经或预期达72小时因故障导致单位外部广域网访问中断或服务质量严重劣化，时长已经或预期达72小时单位内部主要应用系统重要、机密数据泄密或被篡改对单位造成明显的负面影响或重大威胁。6.1.1.2 网络与信息安全事故应急响应分级 湖南宝庆发电厂网络与信息安全事故应急响应按照事故级别和响应范围分为四级由低到高依次为级响应、级响应、级响应和级响应。 1已经或预期同时满足下列条件的应急响应为级响应 网络与信息安全事故为一般网络与信息安全事故的本单位网络与信息安全事故应急力量可以应对且不需要地方政府相关部门应急力量配合的。 2已经或预期同时满足下列条件的应急响应为级响应 网络与信息安全事故为较大网络与信息安全事故的，或者网络与信息安全事故为一般网络与信息安全事故，且超出级响应条件的本单位网络与信息安全事故的，应急力量可以单独应对的或者需要政府相关部门应急力量配合应对的。 3已经或预期同时满足下列条件的应急响应为级响应 网络与信息安全事故为重大或者特别重大网络与信息安全事故的，或者网络与信息安全事故为较大网络与信息安全事故，且超出级响应条件的或者网络与信息安全事故，为一般网络与信息安全事故且超出、级响应条件的本单位网络与信息安全事故的，应急力量无法单独应对必需要地方政府相关部门或其它外部应急力量配合的。 4已经或预期同时满足下列条件的应急响应为级响应 网络与信息安全事故为重大或者特别重大网络与信息安全事故，且超出级响应条件的或者网络与信息安全事故为较大网络与信息安全事故，且超出、级响应条件的或者网络与信息安全事故，为一般网络与信息安全事故且超出、级响应条件的本单位网络与信息安全事故的，应急力量无法单独应对必需要地方政府相关部门和云南电网公司系统的应急力量配合应对的。 6.1.2 网络与信息安全事故分级响应及处置主体 1满足级应急响应标准的网络与信息安全事故由事发单位部门启动事发现场的现场处置方案进行应急响应。 2满足级应急响应标准的网络与信息安全事故由事发单位部门根据本预案要求采取必要的应急措施并启动现场处置方案进行应急响应。 3满足级应急响应标准的网络与信息安全事故由湖南宝庆发电厂应急办批准启动网络与信息安全事故应急预案即本预案和现场处置方案进行应急响应。 4满足级应急响应标准的网络与信息安全事故由巴蜀电力公司统一指挥启动网络与信息安全事故应急预案即本预案和现场处置方案进行应急响应。 6.1.3 本预案启动程序 1湖南宝庆发电厂应急办在接到网络与信息安全事故初始信息后召集相关部门工作人员分析事故 2分析判断事故的应急响应级别当响应级别达到级及以上时向应急办申请启动本预案当响应级别未达到级持续关注事态发展 3应急办到预案启动申请后经研究决定是否批准该申请 4本预案启动申请被批准后信息安全小组负责网络与信息安全事故应急处置。 6.2 信息报告 6.2.1 应急电话 相关应急机构、部门、人员的联络方式见附件 1和湖南宝庆发电厂办公室印发的“通讯录”。 6.2.2 网络与信息安全事故初始事件分析 网络与信息安全事故初始信息一般包括以下内容 1事故的类型、发生时间、发生地点 2事故的原因、性质、范围、经初步判断的严重程度 3网络与信息系统故障的严重程度、典型症状 4网络与信息系统受损部件列表、具体情况描述 5事故发生单位部门已采取的控制措施及其他应对措施 6事故报告单位部门、联系人员及通讯方式。 6.2.3 网络与信息安全事故初始信息报告 1当网络与信息系统发生一般及以上级别网络与信息安全事故时应在事故发生后30分钟内向应急办公室报告网络与信息安全事故初始信息。 2应急办公室在接到一般及以上级别网络与信息安全事故初始信息报告后应对网络与信息安全事故初始信息进行确认经应急办相关人员批准在接到报告后40分钟内向巴蜀电力公司应急机构报告。 3在报告网络与信息安全事故初始信息时应做到及时、客观、真实不得迟报、谎报、瞒报、漏报。6.2.4 网络与信息安全事故应急信息 网络与信息安全事故应急信息是指，在网络与信息安全事故应急响应过程中与网络与信息安全事故和网络与信息安全事故，应急响应有关的数据和信息一般包括网络与信息安全事故最新概况、应急处置进展情况、应急资源调度情况、下一步应急工作部署等内容。 1网络与信息安全事故最新概况。 2应急处置进展情况包括已开展的应急处置行动、已取得的应急成果、当前主要应急处置工作和政府部门的参与情况。 3应急资源调度情况包括应急人员调动情况、应急物资调配情况和应急资源需求情况。 4下一步应急工作部署包括应急处置进展情况预估和应急处置行动计划。 6.2.5 网络与信息安全事故应急信息报告 1在网络与信息安全事故级及以上应急响应过程中，由启动现场处置方案的应急指挥机构负责收集应急处置范围内的网络与信息安全事故，应急信息并负责向公司应急办应急信息。 2在网络与信息安全事故级及以上应急响应过程中，由应急办公室负责收集网络与信息安全事故，应急信息并负责向国电电力公司应急办相关成员报告经国电电力公司应急办领导批准负责按规定向上级应急办公室和地方地方政府相关部门报告应急信息。 6.3 响应程序 6.3.1 应急响应流程 本预案的应急响应可以分为应急启动、应急行动、应急响应扩大和应急结束四个过程 应急启动 1经湖南宝庆发电厂应急办领导批准由网络与信息安全事故应急小组启动本预案 2网络与信息安全事故应急办和各应急处置工作人员就位 3由通信联络工作组负责与事故现场建立通信联系。 6.3.2 应急行动 1指挥事故现场应急人员积极进行系统恢复 2由信息技术工作组负责收集、整理事故应急信息对事故的发展态势进行动态监测及时掌握应急处置状况 3做好系统备份恢复及相应回退准备工作。 6.3.3 应急响应扩大 1在应急处置过程中当网络或重要信息系统瘫痪影响的范围增加时应急办应及时增加应急力量投入2在应急处置过程中当事故发展为级应急响应时应急办公室应及时向上级主管部门和或公安部门汇报申请应急支援。 6.3.4 应急处置措施 1有害程序类突发事件 检查系统、服务、数据的完整性、可用性中断应用系统或企业服务从软件层面进行排查、系统升级、安全防御等操作尽快减少此类有害程序的破坏和影响。 断开网络避免传染更多主机 进行病毒类型诊断 通知其它部门进行该类型病毒的防范与检测 使用专业杀毒软件或工具按照专业流程进行病毒及木马查杀 追踪病毒传播途径制定该类型病毒防治规范 对有关恶意代码或行为的分析结果找出事件根源明确相应的补救措施并彻底清除。 2网络攻击类突发事件 在网络攻击中如拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听等首先如检查网络、系统、服务、数据的保密性或可用性损失的程度确定暴露出的主要危险等。 判断攻击类型与手段评估系统现状 定位攻击路径 在业务中断允许的时间范围内追查攻击者位置 在尽可能靠近攻击源的节点切断攻击源 继续对攻击者的位置与攻击手段进行分析并搜集原始资料 可能的话关闭问题服务系统漏洞升级 抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略，一般包括关闭服务或关闭所有的系统从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路提高系统或网络行为的监控级别，设置陷阱启用紧急事件下的接管系统实行特殊“防卫状态”安全警戒反击攻击者的系统等。 3信息安全破坏类突发事件 保护企业的信息安全应急指挥部门和其他相关人员将对攻击源进行定位并采取合适的措施将其中断。 定位攻击路径 在业务中断允许的时间范围内追查攻击者位置 在尽可能靠近攻击源的节点切断攻击源 判断攻击类型与手段评估系统现状 继续对攻击者的位置与攻击手段进行分析并搜集原始资料 系统漏洞升级 在出现信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件后应迅速定位问题的缘由如果攻击者获得了超级用户的访问权一次完整的恢复应强制性地修改所有的口令，如果出现了信息泄漏或窃取等应尽快减少信息的传播途径，最大限度的保护企业信息安全，如果出现了信息篡改或假冒通过信息和应用的备份回退至改前状态。 4负面信息安全类突发事件 出现负面信息安全类事件后应急指挥机构应迅速分析其负面影响通过各种方式澄清事实纠正错误信息同时排查其信息传播的渠道以备彻底解决此类事件。 5系统故障类突发事件 出现硬件自身或外围设备设施故障，首先保障企业核心数据和应用的主机、服务器等硬件快速恢复。 根据相应的故障应急手册尽快恢复网络业务尽可能保留现场搜集现场情况 根据故障现象及现场情况定位故障原因 在人为破坏事故、人为误操作事故和机房电源事故引起硬件故障中迅速定位问题根源有针对性根据事故等级进行快速响应，完成应急处理措施。 无法短时间完成恢复的应及时启动备份和灾备应急措施。 6灾害破坏类突发事件 在水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等事故中在保证人身安全的情况下首先企业的核心数据信息备份介质以便之后的应急恢复。 在各类自然灾害面前，优先对重要应用系统和网络进行恢复和应急处理。 在此类灾害面前，一切的网络和信息安全事故应急均以人身安全为先之后才考虑企业信息的还原。 6.4 应急结束 当网络与信息安全事故应急处置满足下列条件之一时经应急办批准并宣布本预案的应急结束停止本预案 1本预案应对的网络与信息安全事故应急响应级别已降至级以下 2本预案应对的网络与信息安全事故势态受到有效控制事发单位部门已经能够独立应对不再需要本预案的支持 3本预案应对的网络与信息安全事故已经完成下列工作受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复。 判断攻击类型与手段评估系统现状 继续对攻击者的位置与攻击手段进行分析并搜集原始资料 系统漏洞升级 在出现信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件后应迅速定位问题的缘由，如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令，如果出现了信息泄漏或窃取等应尽快减少信息的传播途径，最大限度的保护企业信息安全，如果出现了信息篡改或假冒，通过信息和应用的备份回退至改前状态。 4负面信息安全类突发事件 出现负面信息安全类事件后应急指挥机构应迅速分析其负面影响通过各种方式澄清事实纠正错误信息，同时排查其信息传播的渠道以备彻底解决此类事件。 5系统故障类突发事件 出现硬件自身或外围设备设施故障，首先保障企业核心数据和应用的主机、服务器等硬件快速恢复。 根据相应的故障应急手册尽快恢复网络业务尽可能保留现场搜集现场情况 根据故障现象及现场情况定位故障原因 在人为破坏事故、人为误操作事故和机房电源事故引起硬件故障中迅速定位问题根源有针对性根据事故等级进行快速响应完成应急处理措施。无法短时间完成恢复的应及时启动备份和灾备应急措施。 6灾害破坏类突发事件 在水灾、台风、冰灾、火灾、雷击、地震、坍塌、恐怖袭击、战争等事故中在保证人身安全的情况下，首先企业的核心数据信息备份介质以便之后的应急恢复。 在各类自然灾害面前优先对重要应用系统和网络进行恢复和应急处理。 在此类灾害面前一切的网络和信息安全事故应急均以人身安全为先，之后才考虑企业信息的还原。 6.4 应急结束 当网络与信息安全事故应急处置满足下列条件之一时经应急办批准并宣布本预案的应急结束,停止本预案 1本预案应对的网络与信息安全事故应急响应级别已降至级以下 2本预案应对的网络与信息安全事故势态受到有效控制事发单位部门已经能够独立应对不再需要本预案的支持 3本预案应对的网络与信息安全事故已经完成下列工作，受影响业务已恢复、系统资源已恢复到正常状态、必要系统补丁安装后系统安全稳定运行、受损数据已通过备份恢复。6.5 信息发布 应急办负责网络与信息安全事故信息的对外发布，网络与信息安全事故信息发布必须经过严格审核和批准，保证发布信息的一致性避免出现矛盾信息。网络与信息安全事故信息发布流程及要求如下 1在网络与信息安全事故发生后需要对外发布，网络与信息安全事故初始信息的须经信息主管领导批准，由应急办公室组织上报及对外发布。 2各部门及员工未经授权不得上报和对外发布，散布网络与信息安全事故信息或发表对网络与信息安全事故的评论。 6.6 后期处置 6.6.1 恢复生产 网络与信息安全事故应急结束后，在公司应急办的指导下，由公司信息安全小组具体