信息安全事件应急预案.doc

有限公司 信息安全事件应急预案 预案版本 预案版本 1 001 00 版版 发布部门 发布部门 有限公司有限公司 突发事件应急管理委员会突发事件应急管理委员会 发布日期 发布日期 20092009 年年 3 3 月月 1 1 日日 I 目目 录录 第一章总 则 1 第一条编制目的 1 第二条编制依据 1 第三条适用范围 1 第四条与其他预案的关系 1 第五条工作原则 1 第二章单 位 概 况 1 第六条应急资源概况 1 第七条危险分析 2 第三章应 急 保 障 2 第八条机构与职责 2 第十条通信与信息 3 第十一条应急人员培训 3 第十二条预案演练 3 第十三条员工教育 3 第十四条互助协议 4 第四章应 急 响 应 4 第十五条接警与通知 4 第十六条指挥与控制 4 第十七条报告与公告 4 第十八条事态监测与评估 5 第十九条公共关系 5 第二十条应急人员安全 6 第二十一条抢险 6 第二十二条警戒与治安 8 II 第二十三条人群疏散与安置 8 第二十四条医疗与卫生 8 第二十五条现场恢复 8 第二十六条应急结束 8 第五章预 案 管 理 8 第二十七条备案 8 第二十八条维护和更新 8 第二十九条制订与解释部门 8 第三十条实施时间 8 第六章 专项应急处置预案 8 第三十一条现场预案 8 第七章 附 件 9 第三十二条信息安全事件应急响应程序 9 1 第一章第一章总总 则则 第一条第一条编制目的编制目的 为了保证 有限公司 简称公司 信息网络的安全 保障各种业务应用系统的持续 正常运转 防止和减少因各类信息安全事件造成的损失 建立紧急情况下有效的应急机制 根据公司的实际情况制定本预案 第二条第二条编制依据编制依据 本预案依据下列规章制度及预案编制 有限公司信息安全事件应急预案 有限公司突发事件应急管理规定 电有限公司突发事件总体应急预案 第三条第三条适用范围适用范围 本预案适用于公司发生的达到公司 I 级应急响应的信息安全事件 即在公司重要的信 息系统 FAM OA 网络等关键系统 发生故障已经 或预期 超过 72 小时不能恢复正常运行 时启动本预案 第四条第四条与其他预案的关系与其他预案的关系 本预案为 有限公司突发事件总体应急预案 简称 总体预案 的专项预 案 在 总体预案 的基础上制定 可以单独使用 也可以配合 总体预案 使用 第五条第五条工作原则工作原则 公司所属各部门在信息安全事件的预防与应急处理工作中 必须遵循 预防为主 统 一指挥 分级控制 反应迅速 响应高效 的基本原则 第二章第二章单单 位位 概概 况况 第六条第六条应急资源概况应急资源概况 公司及下属各部门的信息管理及维护人员 包括网络管理员 系统管理员等 技术服 务人员 保卫人员等都是信息安全事件应急处理的力量 设备制造 提供 厂家及其技术支 2 持服务人员 互助协议中的服务提供公司等 均可作为外部应急力量 公司及下属各部门的网络和服务器设备的备件 专业检测及维修工具 通信器材 交 通工具 防护装备等 均可作为应急的物资装备资源 第七条第七条危险分析危险分析 公司的信息安全事件风险主要如下 1 系统严重故障 2 OA 系统严重故障 3 广域网线路故障 4 网络关键设备故障 5 病毒大范围扩散 6 网络攻击事件 第三章第三章应应 急急 保保 障障 第八条第八条机构与职责机构与职责 1 公司综合部的应急职责 1 在信息安全突发事件发生时 负责组建应急指挥部 指挥 协调信息安全突发事件 应急工作 2 负责信息安全突发事件应急预案的编制和演练 3 指导其他部门信息安全突发事件的应急工作 4 保障公司在突发事件应急中通信畅通 5 负责向政府及上级报告 汇报 应急工作情况 6 负责突发事件应急信息的编辑和对外发布 7 负责接受公众对突发事件情况的咨询 8 负责协调与外部应急力量 政府部门的关系 9 负责组织开展突发事件应急知识和技能的教育培训工作 第九条第九条物资与装备物资与装备 用于信息系统监测与故障分析的软硬件包括人侵检测系统 漏洞扫描系统 蠕虫过滤 系统 Domino 系统管理与监测软件 备用的服务器硬件等 3 第十条第十条通信与信息通信与信息 在应急行动中 所有直接参与或者支持应急响应行动的部门都应当满足以下要求 1 应急行动中 保障应急通信畅通 2 使用移动电话或者便携式无线通信设备作为备用通信系统 第十一条第十一条 应急人员培训应急人员培训 针对潜在的信息安全事件可能造成的数据丢失 硬件损坏等风险 对所有应急人员进 行相应的专业技能培训 包括参加第三方组织的技能培训 增强发现问题并及时处理问题 的能力 完善操作规范 保证应急人员具备相应的应急能力 第十二条第十二条 预案演预案演练练 本预案每三年进行一次全面演练 每两年至少进行一次组合演练或单项演练 演练结 束后 需要对演练的结果进行总结和评估 对本预案在演练中暴露的问题和不足应及时解 决 第十三条第十三条员工教育员工教育 对员工开展信息安全教育 使之认识到业务数据安全的重要性 加强员工的计算机操 作技能的培训 减少误操作 通过教育使公司员工在信息安全方面能做到如下几点 1 定期检查并升级所用计算机的防毒软件病毒库 2 根据系统提示 及时安装系统漏洞补丁程序 3 定期进行本机重要档案资料的备份工作 4 不随意安装或运行来历不明或可疑的程序 控件等 5 在发现计算机安全问题 如病毒扩散 系统长时间运行异常等 时及时报告 第十四条第十四条互助协议互助协议 公司根据实际情况需要与相关的 IT 服务咨询公司等签订互助协议 第四章第四章应应 急急 响响 应应 第十五条第十五条接警与通知接警与通知 1 信息安全事件接警电话 公司值班电话 4 综合部电话 2 值班人员在接到报警后 应做到迅速准确地询问以下信息 1 故障发生时间及故障描述 2 已采取的控制措施及其他应对措施 3 报告部门 联系人员及通信方式等 3 接到报警的值班人员必须告知报警人员向综合部再次报警 同时 必须将掌握的报 警信息立即通报给综合部 4 办公室接到事件通报后 对报警情况进行核实 通知本部门相关人员到位 开展事 件分析和判断工作 第十六条第十六条指挥与控制指挥与控制 综合部接到事件通报后 立即根据事件报告的详细信息 依据 公司的突发事件应 急管理规定 见第三十五条 确定该事件的响应级别 1 事件的响应级别为 级响应 1 公司不进行应急启动 由 有限公司进行应急处理 2 有限公司办公室启动本应急预案 3 组建应急指挥部 指定应急总指挥 相关的系统管理员以及文档记录员 联络员 就 位 4 系统管理员进行故障判断与分析 并检查备用系统状态 5 系统管理员确认主系统无法正常运行 启动备用系统 6 根据实际需要 联络员联系相关的专家组进行远程支持 电话 Email MSN 远程桌 面等形式 7 在远程支持无效的情况下 要求专家组尽快到现场进行技术支持 8 现场技术支持可能需要一定的技术支持费 需要由联络员协调好财务部门 做好设 备及技术服务费用的支付工作 9 需进行数据恢复工作时 请示应急总指挥 征得同意并签字后进行数据恢复 10 若出现硬件故障 进行报修工作 2 事件的响应级别为 级响应 1 公司信息处进入预备状态 为应急启动作出初步准备 将事件情况通知 公 司的主管领导 5 2 公司信息处与 有限公司应急指挥部门建立通信联系 密切关注事件应急 工作的进展 3 公司信息处按照日常工作流程参与事件处理工作 根据 有限公司应急指 挥部门的报告和请求 负责协调和调配其他有关单位的应急力量及应急装备 3 事件的响应级别为 I 级响应或发展为 I 级响应 1 公司信息处启动本应急预案 2 组建应急指挥部 指定应急总指挥 相关的系统管理员以及文档记录员 联络员 就 位 3 系统管理员进行故障判断与分析 并检查备用系统状态 4 系统管理员确认主系统无法正常运行 启动备用系统 5 根据实际需要 联络员联系相关的专家组进行远程支持 电话 Email MSN 远程桌 面等形式 6 在远程支持无效的情况下 要求专家组尽快到现场进行技术支持 7 现场技术支持可能需要一定的技术支持费 需要由联络员协调好财务部门 做好设 备及技术服务费用的支付工作 8 需进行数据恢复工作时 请示应急总指挥 征得同意并签字后进行数据恢复 9 若出现硬件故障 进行报修工作 第十七条第十七条报告与公告报告与公告 当发生达到 公司 I 级应急响应级别的紧急情况后 有限公司在 1 小时内向 公司突发事件应急管理委员会办公室报告 在 2 小时内向华电华电集团信息中心报告 事件应急结束后 在 48 小时内将事件应急工作情况总结后向 公司和华电集团信息中心 汇报 第十八条第十八条事态监测与评估事态监测与评估 由事件现场应急指挥部负责对信息安全事件的发展势态及影响及时进行动态的监测 并对监测信息作出初步评估 将各阶段的事态监测和初步评估的结果快速反馈给 公司 信息处 为整体的应急决策提供依据 第十九条第十九条公共关系公共关系 事件发生后 公司办公室负责接受新闻媒体采访 接待受事件影响的相关方和安排公 6 众的咨询 负责事件信息的统一发布 公司各部门及员工未经授权不得对外发布事件信息 或发表对事件的评论 第二十条第二十条应急人员安全应急人员安全 在应急救援过程中要对应急人员自身的安全问题进行周密的考虑 防止人员触电事故 的发生 第二十一条第二十一条 抢险抢险 本预案抢险的主要任务是抢救故障系统的关键业务数据并尽快恢复故障系统的运行 具体的抢险工作由现场应急队伍 包括现场指挥 系统管理员 联络员 记录员等组成 负 责 具体方案的采用要在保证数据安全的基础上选取 根据不同的故障类型 进行相关的 处理 一 公司 OA 系统故障 1 检查确定是软件故障还是磁盘阵列等引起的硬件故障 2 若是软件故障 重新安装 OA 系统软件并使用原数据库恢复系统运行 3 若是由磁盘阵列等硬件引起的故障 启动备用服务器并使用备份数据库进行恢复 4 检查系统正常 二 广域网线路故障 1 首先检查负载均衡设备和路由器的状态 如负载均衡设备进行了链路切换 路由器 状态正常且内网口可以 PING 通 则说明极有可能是广域网线路故障 检查线路传输设备进 一步确认 2 自动或手动切换到备份链路并测试其连通性 如主 备用线路均中断则启用 VPN 连 接 3 立即与 信息处网络管理员和电信运营商联系 进行故障线路检查并配合进行故 障排除 公司网络管理员和电信运营商进一步确定故障点的范围 逐段进行测试直至排除 故障 4 故障解决后恢复到主电路并进行测试 最后 查明故障原因并填写故障报修单 注 明发生和恢复时间并进行原因分析 相关人员签字后归档 三 关键设备故障 1 中心网络设备故障 1 软件故障 由公司网络值班人员检测设备配置及路由情况 判断是否为软件故障 7 如配置文件丢失或非法更改 利用事先备份重新配置设备并进行测试 2 硬件故障 由公司网络值班人员检测设备状态 判断是否为硬件故障 如为板卡故 障 切换到备用板卡并进行配置和测试 故障板卡报修 如为主引擎故障 则紧急切换到 本部主交换机相应端口 紧急启用网桥并进行配置和测试 整机进行报修 2 接入路由器故障 1 由网络值班人员检测接人路由器设备状态 如确认为设备故障 可采用备用设备或 备份链路的方式 保证与公司本部的通信 2 采用备用设备 将备用设备投人运行 主设备报修 3 采用备份链路 自动或手动切换到备份链路 设备报修 设备修好后恢复到主用链 路 3 负载均衡故障 1 负载均衡为公司广域网关键设备 采用双机热备方式运行 一台设备出现故障 另 一台设备可以继续工作 2 如两台设备均出现故障 则通过更改配置 手动进行链路切换 3 信息处存有负载均衡备用机 用于设备出现故障时进行更换 4 防火墙故障 1 如防火墙出现故障 可以采用临时措施跳过防火墙 直接将路由器与核心交换机连 接 四 病毒大范围传播 1 及时断开传播源 判断病毒的性质 采用的端 H 然后关闭相应的端 H 2 更新杀毒软件和过滤网关病毒库 启用反病毒软件进行杀毒处理 在网上公布病毒 攻击信息及防御方法 通过病毒检测软件进行全网病毒扫描和清除工作 五 网络入侵事件 1 判断入侵的来源 区分外网与内网 2 入侵来自外网的 及时查找外部网络攻击源 定位人侵的 IP 地址 及时关闭入侵的 端 H 及时备份防火墙数据和日志 迅速断绝攻击源的攻击 根据导出现场数据及系统日 志 分析故障原因 3 入侵来自内网的 查清入侵来源 如 IP 地址 上网账号等信息 同时断开对应的交 换机端口 4 针对入侵方法更新入侵检测设备 8 5 恢复与重建被攻击或破坏系统 第二十二条第二十二条警戒与治安警戒与治安 第二十三条第二十三条人群疏散与安置人群疏散与安置 第二十四条第二十四条医疗与卫生医疗与卫生 第二十五条第二十五条现场恢复现场恢复 清理现场卫生 用完的工器具归位 对恢复运行的系统进行定时检查 第二十六条第二十六条应急结束应急结束 在充分评估危险和应急情况的基础上 经公司综合部批准 由应急总指挥宣布应急结 束 第五章第五章预预 案案 管管 理理 第二十七条第二十七条备案备案 本预案由 有限公司突发事件应急管理委员会办公室负责备案 第二十八条第二十八条维护和更新维护和更新 公司综合部负责修改 更新本预案 由公司突发事件应急管理委员会办公室牵头负责 对本预案每两年评审一次 并提出修订意见 第二十九条第二十九条制订与解释部门制订与解释部门 有限公司突发事件应急管理委员会办公室负责制定和解释本预案 第三十条第三十条实施时间实施时间 本预案自 2009