信息系统集成安全应急预案

第 1 页 共 15 页 信信 息息 系系 统统 集集 成成 安安 全全 应应 急急 预预 案案 版本号 版本号 V1 0V1 0 第 2 页 共 15 页 文档发布信息文档发布信息 版本编号版本编号文档描述信息文档描述信息作者作者审核审核批准批准状态状态状态日期状态日期 第 3 页 共 15 页 目目 录录 1 1 概述概述 1 1 1 11 1 编写目的编写目的 1 1 1 21 2 编写依据编写依据 1 1 1 31 3 适用范围适用范围 1 1 2 2 组织机构与职责组织机构与职责 1 1 2 12 1 应急指挥中心应急指挥中心 1 1 2 22 2 应急工作组应急工作组 2 2 3 3 事件分类分级事件分类分级 3 3 3 13 1 事件分类事件分类 3 3 3 23 2 事件分级事件分级 3 3 4 4 应急响应机制应急响应机制 4 4 4 14 1 突发事故突发事故 4 4 4 24 2 应急启动应急启动 5 5 4 34 3 事件报告事件报告 5 5 4 44 4 应急处置应急处置 5 5 4 54 5 应急结束应急结束 6 6 4 64 6 后期处置后期处置 7 7 4 6 14 6 1 后期观察后期观察 7 7 4 6 24 6 2 调查与评估调查与评估 7 7 4 6 34 6 3 总结与整改总结与整改 7 7 5 5 应急保障措施应急保障措施 8 8 5 15 1 物资保障物资保障 8 8 5 25 2 人员保障人员保障 8 8 5 35 3 通信保障通信保障 8 8 6 6 应急宣传及演练应急宣传及演练 8 8 6 16 1 应急宣传应急宣传 8 8 6 26 2 应急演练应急演练 8 8 7 7 附件附件 9 9 第 4 页 共 15 页 1 概述概述 1 1 编写目的编写目的 为提高 XX 公司整体业务的安全性 提高处置网络与信息安全突发公共事件 能力 加强网络与信息安全保障工作 形成科学 有效 反应迅速的应急工作 机制 确保重要计算机信息系统的实体安全 运行安全和数据安全 最大限度 地减轻业务系统突发网络与信息安全故障造成的危害 1 2 编写依据编写依据 国家网络与信息安全事件应急预案 重特大生产安全事故预防与应急处理暂行规定 信息安全事件分类分级指南 1 3 适用范围适用范围 本预案适用于 XX 公司包含的所有业务系统 包括已建的系统 未建的系统 通过信息安全等级保护的系统 未通过信息安全等级保护的系统 还有正在建 设的系统 2 组织机构与职责组织机构与职责 为保障 XX 公司旗下业务系统在突发安全事件时能立即启动应急方案 应成 立应急处理组织机构 机构包括 应急指挥中心 应急工作组 应急工作组包 括应用故障小组 平台故障小组 网络故障小组 程序故障小组 后勤保障小 组 2 1 应急指挥中心应急指挥中心 XX 公司应急指挥中心 以下简称应急指挥中心 是公司应急管理工作的决 第 5 页 共 15 页 策指挥机构 属公司常设办事机构 指挥中心办公地点设置在 XX 公司本部 应 急指挥中心人员职位分配如下表所示 表 2 1 应急指挥中心人员表 职职 位位具体人员具体人员 总 指 挥 副总指挥 联 系 人 成 员 应急指挥中心的主要职责 1 审核 审定信息安全应急预案 2 宣布进入和解除应急状态 决定实施和终止应急预案 3 对突发事件等级为 I 级和 II 级的安全事件进行决策 并统一指挥应 急处置工作 4 负责组织协调公司各部门进行日常信息安全应急演练 5 负责组织协调公司各部门进行日常信息安全的宣传教育与培训 2 2 应急工作组应急工作组 XX 公司应急工作小组 以下简称应急工作小组 负责实施应急指挥中心部 署的方案措施 落实日常信息安全各方面工作 处理突发网络安全事件 应急工作小组的主要职责 1 落实应急指挥中心部署的各项任务 2 负责应急预案的编制工作 3 网络与信息安全事件发生后 应急工作小组要详细记录应急过程所有 措施 形成过程记录表 结果报告 并做好信息通报工作 4 负责协助应急指挥中心进行日常信息安全应急演练 5 负责协助应急指挥中心进行日常信息安全应急宣传教育与培训 6 监督执行应急指挥中心下达的应急指令 重大应急决策和部署 协调 各方应急资源 组织各单位及故障处理小组进行应急处理 第 6 页 共 15 页 7 及时了解和掌握突发事件与应急处置工作情况 向应急指挥中心报告 应急处置过程中发现的重大问题 并协调解决 8 负责突发事件调查 总结应急处理经验和教训等后期处置工作 3 事件分类分级事件分类分级 3 1 事件分类事件分类 网络与信息安全事件分为有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障和灾害性事件等 1 有害程序事件分为计算机病毒事件 蠕虫事件 特洛伊木马事件 僵 尸网络事件 混合程序攻击事件 网页内嵌恶意代码事件和其他有害程序事件 2 网络攻击事件分为拒绝服务攻击事件 后门攻击事件 漏洞攻击事件 网络扫描窃听事件 网络钓鱼事件 干扰事件和其他网络攻击事件 3 信息破坏事件分为信息篡改事件 信息假冒事件 信息泄露事件 信 息窃取事件 信息丢失事件和其他信息破坏事件 4 信息内容安全事件是指通过网络传播法律法规禁止信息 组织非法串 联 煽动集会游行或炒作敏感问题并危害国家安全 社会稳定和公众利益的事 件 5 设备设施故障分为软硬件自身故障 外围保障设施故障 人为破坏事 故和其他设备设施故障 6 灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事 件 3 2 事件分级事件分级 根据系统故障对服务的对象和公司生产 经营和管理的影响范围 程度 可能产生的后果和损失等因素 将网络与信息安全故障分为重大 级 较大 级 一般 级 三个等级 1 符合下列情形之一的 为重大网络与信息安全事件 级 第 7 页 共 15 页 信息系统中断运行 30 分钟以上 影响人数 10 万人以上 信息系统中的数据丢失或被窃取 篡改 假冒 对国家安全和社会稳定 构成严重威胁 或导致 1 亿元人民币以上的经济损失 其他对国家安全 社会秩序 经济建设和公众利益构成严重威胁 造成 严重影响的网络与信息安全事件 2 符合下列情形之一且未达到重大网络与信息安全事件 级 的 为较 大网络与信息安全事件 级 信息系统中断运行造成较严重影响的 信息系统中的数据丢失或被窃取 篡改 假冒 对国家安全和社会稳定 构成较严重威胁 或导致 1000 万元人民币以上的经济损失 其他对国家安全 社会秩序 经济建设和公众利益构成较严重威胁 造 成较严重影响的网络与信息安全事件 3 除上述情形外 对国家安全 社会秩序 经济建设和公众利益构成一 定威胁 造成一定影响的网络与信息安全事件 为一般网络与信息安全事件 级 4 应急响应机制应急响应机制 4 1 突发事故突发事故 业务系统一旦突发下列情形之一 信息安全应急方案即刻生效 1 通道与网络故障 2 主机设备 操作系统 中间件和数据库软件故障 3 应用服务故障 4 应用程序发布故障或应用系统数据丢失 5 数据转接重大错误 6 业务流程发生严重错误 7 业务迁移重大故障 8 机房电源 空调等重大环境故障 9 大面积病毒爆发 蠕虫 木马程序 有害移动代码等 10 非法入侵 或有组织的攻击 第 8 页 共 15 页 11 自然灾害或人为错误操作导致数据严重破坏 12 其他导致系统迁移失败的原因 4 2 应急启动应急启动 各应急配合单位 部门须严格按照信息安全应急预案的安排完成相关准备 工作 应急实施期间各工作检查人 必须每日对各项工作完成情况进行检查并签 字确认 记录未完成工作及原因 关键任务要按时间点进行检查 发生突发事件后 事件发生单位立即向应急工作组汇报 应急工作组接到 II 级营突发事件的应急报告后 根据事件情况 决定是否 启动应急预案 并将结果上报应急指挥中心 应急工作组接到 I 级突发事件报告后 立即向公司应急指挥中心报告 公 司应急指挥中心根据事件情况进行应急处置决策 并启动应急预案 4 3 事件报告事件报告 发生突发事件时 由突发事件发现单位或人员直接向应急工作组及本单位 领导汇报 报告分为紧急报告和详细汇报 紧急报告是指事件发生后 各级单位或部 门向应急工作组以口头和应急报告表 见附件 形式汇报事件的简要情况 详 细汇报是指由应急处理机构在事件处理暂告一段落后 以书面形式提交的详细 报告 任何单位和个人均不得缓报 瞒报 谎报或者授意他人缓报 瞒报 谎报 事件 事件报告的内容和格式要求 1 口头报告的内容主要包括事件发生的时间 概况 可能造成的影响等 情况 2 口头报告后应按照附件一格式用传真方式报送应急工作组 要求内容 简洁 清楚 准确 第 9 页 共 15 页 4 4 应急处置应急处置 应急故障处理流程主要包括系统运行后的应急故障处理 如果系统异常应当先由应急故障处理领导小组进行故障等级判定 后由应 急工作组进行故障类型判定及故障处理 以便在尽量短的时间内割接成功 当突发事件发生时 首先由应急工作组进行事件等级判定 如果是 I 级事 件 重大事件 需要上报应急指挥中心进行应急处理决策 以确定具体的应急 措施 如果是 II 级事件 较大事件 则直接上报应急指挥中心确定应急措施 如果是 III 级事件 一般事件 则协调应急小组进行故障处理 其次 在事件 等级判定完成后 应急工作组需要进行故障类型的判定 并将判定结果交给各 分类故障处理小组进行故障处理 如果是 I 级事件 重大事件 则由应急指 挥中心将应急措施通知分类故障处理小组即刻进行处理 最后 由分类故障处 理小组完成故障排除工作 在正式上线运行后 如果发现系统无法运行 此时由应急故障处理领导小 组进行决策 可以启用容灾中心数据库和应用服务 并修改 DNS 配置接管生产 中心的关键业务 在系统设备或系统软件故障修复后在将数据库和应用服务回 切到生产中心 如果系统性能出现问题 可以依次对网络 程序 配置 数据 库及应用服务器问题逐步进行排除 相应的措施包括优化网络 改进程序代码 修正配置 增加应用服务器分担负荷 暂停部分非关键业务以减少业务总量 优化数据库后台操作脚本等 如果是系统缺陷 则需要修复缺陷 系统突发事件由 II 级发展为 I 级或发生 I 级突发事件后 应急工作组接到应 急报告后 立即上报公司应急指挥中心 公司应急指挥中心启动公司应急预案 协调公司其他应急资源支持应急处理 支持事件相关单位及时 有效地进行处 理 控制事件发展 信息网络管理维护部门负责本单位所辖的广域网及局域网的通道 设备的 稳定运行 当发生病毒 非法入侵 网络攻击 有害信息传播 不符合规定的 涉密信息传播等事件时 迅速调整网的发展 当发生外力破坏时迅速修复 并 立即启用备用通道 短时络安全设备的安全策略或隔离事件区域 查找源头 采取有效措施 控制事件间内恢复通道正常 第 10 页 共 15 页 4 5 应急结束应急结束 在同时满足下列条件下 应急指挥中心可决定宣布解除应急状态 1 事件已得到有效控制 情况趋缓 2 突发事件处理已经结束 设备 系统已经恢复运行 应急指挥中心应及时向现场应急工作组和参与应急支援的有关单位传达解 除应急状态响应的指令 恢复正常生产工作秩序 上线割接完成后 系统稳定运行 转入运行维护阶段 4 6 后期处置后期处置 4 6 1 后期观察后期观察 I 级突发事件应急处理结束后应密切关注 监测系统 2 周 确认无异常现象 II 级突发事件应急处理结束后应密切关注 监测系统 1 周 确认无异常现 象 III 级突发事件应急处理结束后应密切关注 监测系统 2 天 确认无异常现 象 4 6 2 调查与评估调查与评估 突发事件应急处理结束后 严重影响到公司利益和客户利益的重大 较大 事件 应急工作组按照相关规定或要求 对事件产生的原因 影响进行调查和 评估 对责任进行认定 调查报告按公司规定报有关部门 4 6 3 总结与整改总结与整改 突发事件应急处理结束后 相关部门应组织研究事件发生的原因和特点 分析事件发展过程 总结应急处理过程中的经验和教训 进行应急处置知识积 累 进一步补充 完善和修订运行维护应急预案 第 11 页 共 15 页 突发事件应急处理结束后 相关单位应会同应急工作小组结合运行过程中 的异常和事件 综合分析营销辅助决策系统中存在的关键点和薄弱点 提出该 类事件的整改措施 制定整改实施方案并予以落实 整改措施和方案报公司营 销部备案 5 应急保障措施应急保障措施 5 1 物资保障物资保障 应急物资装备主要包括 车辆 备品备件 常用工具和常用工具软件 5 2 人员保障人员保障 应急处理组织机构应长期保持 相关领导及技术人员应定期组织会议 总 结近期工作 各部门要加强突发事件应急技术支持队伍的建设 保证业务和技术骨干人 员能够迅速到位 公司技术人员由指挥中心统一调配 集中管理 5 3 通信保障通信保障 应急期间 指挥 通信联络和信息交换的渠道主要有系统程控电话 外线 电话 手机 传真 电子邮件等方式 有关应急联系的手机应保持 24 小时开机 状态 6 应急宣传及演练应急宣传及演练 6