企业信息安全事件专项应急预案

XX 公司信息安全事件专项应急预案 目目 录录 1 1 总则总则 .1 2 2 目的目的 .1 3 3 安全事件类型及风险分析安全事件类型及风险分析 .1 3.1 机房安全事件 .1 3.2 网络中断事件 .2 3.3 数据库系统事件 .2 3.4 网络入侵事件 .2 3.5 病毒破坏事件 .2 3.6 重要存储介质失窃事件 .2 4 4 应急处置基本原则应急处置基本原则 .3 4.1 统一领导，分工协作 .3 4.2 明确责任，依法规范 .3 4.3 统筹安排，协调配合 .3 4.4 防范为主，加强监控 .4 4.5 快速处理，尽快恢复 .4 5 5 应急指挥机构及职责应急指挥机构及职责 .4 5.1 应急指挥领导小组 .4 5.2 应急处置小组 .5 5.3 专家组 .5 6 6 预警及信息报告预警及信息报告 .6 6.1 预防与预警 .6 6.2 应急事件报告 .6 6.3 信息报告程序 .7 6.3.1 报告程序及时限 .7 6.3.2 信息安全事件报告内容及要求 .7 6.3.3 警报等级及具体发布部门范围 .8 6.3.4 报告方式及人员 .8 7 7 应急响应和处置应急响应和处置 .8 7.1 响应分级 .8 7.1.1I 级事件 .8 7.1.2级事件.9 7.2 响应程序 .9 7.3 处置措施 .9 7.3.1 网络安全事件处置 .9 7.3.2 机房安全事件处置 .11 8 8 应急后期处置应急后期处置 .13 9 9 应急物资与装备保障应急物资与装备保障 .14 1010 应急预案管理应急预案管理 .14 1111 附则附则 .14 附录附录 1 1：信息安全事件应急通讯录 .16 附录附录 2 2：重大突发信息安全事件报告 .17 版本及修订历史版本及修订历史.18 - 1 - 1 1 总则总则 为建立健全 XX 公司信息安全事件应急工作机制，提高应 对信息安全事件的应急处置能力，维护基础信息网络、重要信 息系统和重要工业控制系统的安全，保障公司各项科研生产经 营活动安全、顺利开展，特制定本预案。 本预案适用于 XX 公司以及所属各部门、事业部、专业公 司的信息安全事件应急管理。 2 2 目的目的 2.1 及时掌控突发信息安全事件，及时协调各部门、各事 业部、各专业公司力量，将突发事件的危害影响降至最低点。 2.2 规范突发事件上报程序和报告文本。 3 3 安全事件类型及风险分析安全事件类型及风险分析 3.1 机房安全事件 指机房空调系统、电源系统、服务器设备、网络及消防等 出现重大突发事件，造成机房物理环境或设备的严重损害。主 要包括: 电气事件：电气设备漏电造成电击伤人，严重的引起火灾 事件； 火灾事件：机房火灾造成网络设备、服务器等设备损毁； 电力系统事件：长时间电力故障，备用 UPS 电源无法继续 - 2 - 供电，造成机房网络设备、服务器停止工作。 3.2 网络中断事件 指造成 XX 公司骨干网络中断 24 小时以上、公司国际互联 网中断 48 小时以上的网络事件。 3.3 数据库系统事件 数据库系统故障，造成数据损坏或丢失，导致应用系统无 法正常使用，公司重要数据泄露造成公司管理、经营的负面影 响和重大损失。 3.4 网络入侵事件 通过非授权方式侵入公司信息系统，对相关信息资产进行 非授权监听、调用、篡改、销毁等，造成公司管理、经营的负 面影响和重大损失。 3.5 病毒破坏事件 指病毒、非预期程序代码植入公司信息系统，造成重大破 坏。 3.6 重要存储介质失窃事件 指存储有公司重要数据、商业秘密等信息的各类存储介质 的遗失、失窃等，如纸质文件资料、硬盘、U 盘、光盘等。 - 3 - 4 4 应急处置基本原则应急处置基本原则 本预案应急处置遵循“依靠技术、加强管理、预防为主、快 速响应、及时恢复”的总原则。另外应做到以下几点： 4.1 统一领导，分工协作 a) 在 XX 公司统一领导下，明确各部门、各事业部、各专 业公司职责，督促相关部门遵照“统一领导、归口负责、综合协 调、各司其职”的原则，协同配合，有效地处置突发事件和应急 情况。 4.2 明确责任，依法规范 XX 公司所属各部门、各事业部、各专业公司，要按照“属 地管理、分级响应、及时发现、及时报告、及时救治、及时控 制”的要求，依法对信息安全突发事件进行防范、监测、预警、 报告、响应、指挥、协调和控制。 4.3 统筹安排，协调配合 统筹安排 XX 公司所属各部门、各事业部、各专业公司应 急工作任务，充分利用公司现有的信息安全服务设施和技术力 量。各部门、各事业部、各专业公司应在明确职责的基础上， 加强协调，密切配合，保障信息安全。 - 4 - 4.4 防范为主，加强监控 贯彻预防为主的思想，树立常备不懈的观念，宣传普及信 息安全防范知识，做好应对信息安全突发事件的思想准备、预 案准备、机制准备和工作准备，提高公共防范意识以及基础网 络和重要信息系统的信息安全综合保障水平。 4.5 快速处理，尽快恢复 突发重大信息安全事件时，能够及时发现和预警，准确判 断并及时采取有效措施，迅速控制事件影响程度和范围，确保 信息系统尽快恢复正常，尽可能减少突发事件给企业带来的负 面影响和损失。 5 5 应急指挥机构及职责应急指挥机构及职责 5.1 应急指挥领导小组 组 长：保密委主任 副组长：信息中心主任，公共事业管理中心主任 成 员：公司所属各事业部、专业公司主管信息工作领导、 集团公司保密处、规划运营部、办公室相关领导 职 责：履行应急值守、信息技术支持和综合协调职责， 发挥运转枢纽作用；组织、协调突发信息安全事件的处置和善 后工作；对突发信息安全事件进行事件调查，并组织事后评估。 - 5 - 5.2 应急处置小组 应急处置小组为两级：一级是公司本部；二级是各事业部、 专业公司。 a) 公司本部 组 长：信息中心主任 组 员：信息中心全体人员，保密处、办公室相关人员， 管理中心电力、消防、保卫等相关人员 职 责：负责公司本部网络、二级单位主干网络安全事件、 本部机房安全事件、网络入侵、重大病毒破坏、数据库安全事 件、集团级应用系统安全事件等的处置。 b) 各事业部、专业公司 组 长：各事业部、专业公司信息安全负责人 组 员：各事业部、专业公司相关人员 职 责：负责本单位信息安全事件处置工作。 5.3 专家组 由有关专家和厂商专业技术人员分别组成应急处置技术专 家组，为信息安全事件应急管理提供决策建议和技术支持，参 加突发信息安全事件的应急处置和事件恢复工作。 - 6 - 6 6 预警及信息报告预警及信息报告 6.1 预防与预警 a) 危险源监控 根据信息安全风险辨识结果，公司各部门、各事业部、专 业公司要加强对危险源的监控，定期对机房空调、电源、网络、 服务器等设备进行巡检，可通过软件等方法对网络运行情况进 行监控，信息系统维护人员加强对各信息系统、数据库运行情 况监控。 b) 预警行动 单位任何人员发现信息安全相关情况时，应立即报告本部 门负责人，并力所能及地采取相应应急措施。 本部门负责人接到报告后，及时启动部门现场处置方案， 视情况可到现场进行查看，并根据现场处置结果判定是否需要 应急预警。如果需要，应报告公司应急指挥领导小组组长，组 长通知应急处置小组成员做好应急所需物资、设备、人员等准 备。 6.2 应急事件报告 突发事件信息报告分为首报、续报和终报。 a) 首报信息内容：突发事件发生时间、地点、事件、可能 造成的伤亡和影响情况；抢险救援情况。 b) 续报信息内容：事发单位基本情况，事件起因和性质、 - 7 - 基本过程影响范围、事件发展趋势、处置情况，请求事项和工 作建议。 c) 终报信息内容：事件基本情况，原因分析，处置过程， 形成结果，责任划分与处理、教训与预防措施。 6.3 信息报告程序 6.3.1 报告程序及时限 信息安全突发事件逐级上报程序及时限要求：现场相关发 现人员立即报告部门负责人部门负责人通知相关人员开展现 场处置，并立即报告应急处置小组组长应急处置小组报告公 司应急指挥领导小组组长应急指挥领导小组报告地方政府/警 务部门（必要时） 。 a) 一般网络中断、机房事件，应在 60 分钟内上报； b) 网络入侵、数据库系统事件、重大病毒危害事件、重要 存储介质失窃等应在 30 分钟内上报； c) 特殊情况，如出现人员伤亡情况，应按公司突发公共 事件总体应急预案的要求报告。 6.3.2 信息安全事件报告内容及要求 a） 事件发生部门/单位、发生地点、发生时间； b） 事件现场具体位置和路线，周围环境情况； c） 初步说明事件原因、当前状况等； d） 已采取的措施。 - 8 - 6.3.3 警报等级及具体发布部门范围 需要采取级应急响应的事件警报为级，需要采取级应急 响应的事件警报为级。仅采取级应急响应的事件，不发布警 报。 a） 级警报应发布到事件应急所有参与部门，并报告公司 应急指挥领导小组组长。 b） 级警报发布到事件应急部分参与部门，并报告公司应 急指挥领导小组组长。 6.3.4 报告方式及人员 报告人员的通讯、联络方式见附录 1。 7 7 应急响应和处置应急响应和处置 7.1 响应分级 本预案管理的事件由高到低分为级事件、级事件，以下 所称“以上”均包含本数。 7.1.1I 级事件 符合下列条件之一的为 I 级事件： a） 公司全网业务中断； b） 面向研发、生产的关键服务器（企业信息系统、工程 平台等）瘫痪 24 小时以上； c） 中心机房发生火灾； - 9 - d） 涉密数据泄露造成公司经营管理的负面影响和重大损 失； e） 其他造成特别严重社会影响或巨大经济损失的信息安 全事件。 7.1.2级事件 其它事件或由子公司内部认定的突发信息安全事件。 7.2 响应程序 应急指挥原则、应急行动检查、应急物资调配、扩大应急 响应原则具体执行公司总体应急预案有关规定和要求。 7.3 处置措施 7.3.1 网络安全事件处置 按照网络管理分工，相应的网络安全事件响应与处理时间， 从发现到处理完毕，原则上不超过 24 小时。网络安全事件处理 流程见下图： - 10 - 高 日常监控 监控网络运行状况， 记录网络运行日志 设备或网管 软件告警 网络故障 预判故障级别 低 分公司及事业部信息部 门处理/其它部门公司 信息中心处理 上报公司信息中心 是否解决？ 否是 是 与上一级公司信 息部门有关？ 否 联系上一级公司 信息部门处理 公司信息中心处理 是否解决？ 否 是 联系专家组协同处 理，联合进行解决 是否解决？ 否 是 专家组论证，采取 更换设备或网络升 级等处理方式 填写故障记 录和故障处 理报告 网络安全事件处理流程图 以下情况属于一般网络故障，原则上各事业部、专业公司 信息部门自行处理，公司本部各部门由公司信息中心处理。 a） 本单位局域网网络故障 ； b） 本单位办公室内的网络单点故障。如果二级单位本身 - 11 - 无法处理的网络故障，可上报公司信息中心给予技术支持和协 调解决。 7.3.2 机房安全事件处置 (一) 机房电源紧急处理流程 a） 如果由于市电中断报警，机房负责人应立即联系公司 供电保障部门或其他相关单位，确认断电原因、时间等。如果 在短时间内无法恢复供电，应及时通知财务、办公等应用系统 负责人，作好应急关机准备； b） 接到 UPS 报警，首先报告机房负责人，认定故障原因， 必要时上报公司主管信息化工作的领导； c） 如 UPS 出现故障，但服务器和网络设备等仍通过 UPS 旁路供电，正常运行，则机房负责人密切监视市电情况， 并报告信息中心负责人，由信息中心通知 UPS 服务提供商，对 UPS 进行紧急修复处理； d） 问题排除后，对机房内设备逐一检查，确认无误后， 填写设备巡检记录； e） 按问题的分级，填写问题记录日志表，并上报相关领 导。 (一) 机房网络故障处理流程 a） 指定的防病毒系统）与补丁更新，负责服务器系统的 网络畅通，负责硬件状态的监控； b） 系统网络人员发现服务器出现问题，第一时间通知应 - 12 - 用负责人，反之，应用负责人发现问题，及时通知系统网络负 责人，协同查找故障原因，共同解决； c） 如果是硬件问题，首先立即启用备份服务器，然后由 系统网络负责人立即联系服务器提供商，彻底解决问题； d） 如果是病毒或网络攻击造成服务停止，系统网络与应 用负责人共同解决问题； e） 如果是应用系统故障且无法处理，应立即向系统维护 商请求紧急支援，或启用备用系统。 f） 问题解决后，填写问题记录日志表，并按问题的级别 上报相关领导。 (一) 机房消防处理流程 a） 当机房发现烟、焦糊味等，立即定位问题所在，进行 必要的断电与隔离，并及时通知机房负责人与信息中心负责人； b） 如果问题不严重，通过断电与隔离消除了危险，通知 相应的应用或设备负责人，处理善后工作，进行设备及系统的 检查，并及时填写问题记录日志表与设备巡检记录 c） 如果发生火灾，当火情较小时，使用机房内的二氧化 碳灭火器；如果火情较严重，立即报 119，通知公司安保部门 切断机房市电开关（开关位置要清楚）和 UPS 电源输出开关， 机房内人员撤离，关闭机房大门，以免火势蔓延。 (一) 数据信息安全事件 - 13 - 在进行事件上报的同时，本着一经发现立即响应，将影响 降到最低的原则，事件处理流程如下： a） 事件一经发现，应立即通知应用系统管理员、操作系 统管理员、数据库管理员到达现场分析查找原因，准备进行故 障恢复。如果属于网络原因，应立即通知网络管理员。应由操 作系统管理员、数据库管理员、应用管理员共同参照各应用系 统故障恢复指南，立即切换到备份机或异地备份系统，同时恢 复最近时间内的应用系统与数据的完全备份，进行原应用系统 环境的重建。 b） 如发生的数据安全事件，造成数据丢失和数据意外毁 坏已无法恢复，应由业务部门立即组织相关部门对数据进行补 录。 c） 当发现公司涉密数据通过网络途径传播，及时向信息 中心和保密处通报，信息中心切断信息泄露点与网络的物理链 接，并登记信息损失,确定信息泄露原因，由于人为原因造成的， 交公司保密处处理；由于信息系统本身造成的，联系系统供应 商解决。 d） 当发生数据安全事件时，须在事件确认 24 小时内，由 事件发现人及时以书面形式向本单位领导汇报，中、高级的数 据安全事件要上报公司信息安全事件应急领导小组，必要时上 报上一级公司信息安全管理部门。 - 14 - 8 8 应急后期处置应急后期处置 包括对信息安全事件的总结和证据收集获取信息安全 事件分析和解决的知识应被用户降低将来事件发生的可能性或 影响；应定义和应用识别、收集、获取和保存信息的程序，这 些信息可以作为证据； 总结内容应包括： a） 应急事件的基本情况，包括事件发生时间、地点、波 及范围、人员情况、损失和事件发生的原因等； b） 应急事件处置过程； c） 处置过程中动用的应急资源； d） 处置过程遇到的问题、取得的经验和吸取的教训； e）对预案的改进建议等。 9 9 应急物资与装备保障应急物资与装备保障 为有效应对信息安全事件，根据信息安全事件特点，应急 人员应配备笔记本电脑、各种型号连接线，测线仪，万用表及 其它必要设备等。 1010 应急预案管理应急预案管理