15计算机信息系统损害事件应急预案

XXXXX有限责任公司应急预案GYNY/YJYA016—2015计算机信息系统损害事件应急预案2015－04－02发布2015－04－02实施XXXXX有限责任公司发布计算机信息系统损害事件应急预案1总则1.1编制依据《计算机信息系统安全保护等级划分准则》GB17859。XXXXX有限责任公司《事件(故)总体应急预案》。1.2工作原则防范为主，加强监控。应广泛宣传计算机信息安全基本知识，提高对计算机信息系统的认识水平，切实落实信息安全防范措施，强化对网络系统的监控，减少安全事件可能带来的不良影响。果断处置。一旦发生网络与信息安全事故，应迅速反应，及时启动应急处置预案，尽最大力量减少损失，尽快恢复网络与系统运行。1.3适用范围本预案所称的计算机信息系统重大事件是指由于自然灾害、人为攻击或破坏以及病毒爆发等原因所引发，严重影响到我公司网络与信息系统的正常运行，造成业务中断、系统瘫痪、数据破坏或信息失窃等，从而在稳定生产或公众利益等方面造成严重影响以及造成一定程度直接和间接重大经济损失的事件。各级计算机信息系统安全事件报告、应急处理，均适用于本预案。2计算机信息系统损害事件类别、级别本专项预案的计算机信息系统损害事件系指在公司所属单位内，由于计算机信息系统遭受损害，已经造成或可能造成严重危害的事件。2.1突发事件的类别根据计算机信息系统的发生原因、性质和机理，计算机信息系统主要分为以下三类:a）攻击类事件：指网络系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、网络瘫痪等情况。b）故障类事件：指网络系统因计算机软硬件故障、人为误操作等导致业务中断、系统宕机、网络瘫痪等情况。c）灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致网络系统损毁，造成业务中断、系统宕机、网络瘫痪等情况。2.2突发事件的级别按照计算机信息系统损害事件的性质、严重程度、可控性和影响范围，将其分为一级、二级、三级。表1计算机信息系统事件等级划分三级二级一级发生在涉及重要部门网络与信息系统或者关系到子公司安全、生产和稳定的其他网络与信息系统受到冲击，计算机信息系统中的数据丢失或被窃取、篡改、假冒。指扩散性强，发生在涉及全公司的信息系统及电脑设备等。使得重要部门或公司部基础网络、重要信息系统、重点网站瘫痪，导致业务部分中断，计算机信息系统中的数据丢失或被窃取、篡改、假冒，对安全、生产和稳定构成较严重威胁指扩散性很强，造成全省公司的信息系统大面积瘫痪，使得重要部门或公司部基础网络、重要信息系统、重点网站瘫痪，导致大部分业务中断，计算机信息系统中的数据丢失或被窃取、篡改、假冒，对省公司安全、生产和稳定构成严重威胁。且对省公司的利益造成或可能造成严重损害、严重社会影响或者对省公司的安全造成损害，影响社会稳定，衍生其他重大安全事件。3组织机构与职责3.1组织机构XXXXX有限责任公司应急组织机构见图（应急组织机构框图）。公司应急指挥中心公司应急指挥中心公司应急指挥中心办公室公司现场应急指挥部专家组公司各部门应急抢险组治安警戒组疏散搜救组物资保障组通信保障组应急监测组医疗救护组后勤保障组宣传报道组善后处理组 3.2职责3.2.1公司应急指挥中心应急指挥中心是应急管理的最高指挥机构，全面负责公司突发事件的处置和救援工作，职责如下：a)审定应急处置指导方案；b)拟定现场应急指挥部人员名单，并指派现场指挥；c)随时掌握处置情况，当符合公司总体应急预案启动条件时，立即下令启动本专项预案；d)下达应急终止指令。3.2.2现场应急指挥部a)按照公司应急指挥中心指令，负责现场应急指挥工作；b)收集现场信息，核实现场情况，针对事态发展制定和调整现场应急抢险方案；c)负责整合调配现场应急资源；d)及时向公司应急指挥中心和地方政府汇报应急处置情况；e)协调地方政府应急救援工作；f)收集、整理应急处置过程的有关资料；g)核实应急终止条件并向公司应急指挥中心请示应急终止；h)负责现场应急工作总结；i)负责公司应急指挥中心交办的其它任务。3.2.3专家组a)提出应急处置方案建议，提供技术支持；b)参与制定应急处置方案；c)指导、监督、检查救援方案的落实。3.2.5各职能部门各职能部门（单位）按照公司应急指挥中心指令做好应急准备工作。4预测与预警公司应急指挥中心对发生或可能发生的重特大事件开展风险评估，做到早发现、早报告、早处置。4.1宣传培训大力宣传计算机信息系统的基本原理、安全事件的预防措施和应急处理的基本知识，提高本单位人员的计算机信息系统意识水平。定期或不定期地举办信息安全基础培训，使不同岗位的人员都能熟悉并掌握网络系统应急处理的知识和技能。通过不同层次、类型的培训或研讨，提高计算机信息系统水平，减少计算机信息系统事件数量。4.2安全措施定期了解信息系统目前可能存在的安全隐患和所面临的安全威胁，并针对本单位实际情况，从物理、网络、系统、应用和数据等多个层面实施计算机信息系统保障工作。定期对信息系统的运行状态、系统日志和安全日志等进行检查，对重要信息如网站、核心数据库等应每周进行运行检查，对重要数据要实时和定时进行备份，对核心网络设备定期检查和维护，确保及时发现计算机信息系统事件，减少安全事件所造成的损失。定期或不定期组织预案演练，进一步明确应急响应各岗位责任，检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求，对预案中存在的问题和不足及时补充、完善。4.3预警公司应急指挥中心应根据预测结果，进行以下预警：a)当事件符合公司总体应急预案启动条件时，公司应急指挥中心应立即启动本专项预案；b)未达到本专项预案启动条件，但对公司有影响时，指令网管中心进入预警状态。4.4预警解除应急终止或上级、地方政府宣布应急解除，应急指挥中心办公室按照应急指挥中心指令，宣布预警解除。5应急报告5.1报告程序各单位（部门）计算机信息系统发生损害事件，各单位（部门）立即向公司应急指挥中心办公室报告，特殊情况也可向网管中心报告。5.2报告内容5.2.1各单位（部门）计算机信息系统发生损害事件应立即报告，报告包括但不限于以下内容：a)单位名称、发生时间、地点和部位；b)事件简要情况；c)已采取的应急措施。5.2.2在处理过程中，各单位应尽快了解事态进展情况，并随时向应急指挥中心办公室报告，报告应包括但不限于以下内容要求。表2计算机重特大信息系统损害事件应急报告表单位名称报告人联系电话通信地址传真电子邮件发生事件的信息系统基本信息名称及用途硬件及型号操作系统数据库应用软件系统安全测评□是，已经通过安全测评□是，但未通过安全测评□否，未经过安全测评发生事件的网络基本信息网络概况：IP地址段：网络结构：主要网络设备:其他：负责部门 负责人重大信息事件的简要描述(如以前出现过类似情况也应加以说明)初步判定的事件原因当前采取的应对措施本次事件的初步影响状况事件后果□业务中断□系统破坏□数据丢失□其他影响范围□公司部□大面积□整个信息系统□其他严重程度□一级□二级□三级6应急准备公司各职能部门、子公司及相关基层单位、承包商按照本预案规定的职责做好应急准备工作。7应急处置当事件符合公司总体应急预案启动条件时，公司应急指挥中心应立即按照公司总体应急预案规定的程序下达启动本专项预案的指令，并进行下列应急处置工作。7.1应急上报当发生计算机系统损害时，应急指挥中心应立即向公司应急指挥中心办公室报告。7.2应急行动7.2.1现场应急指挥部应做好以下工作：a)迅速收集现场信息，核实现场情况，组织制定现场应急处置方案并负责实施；b)协调现场内外部应急资源，统一指挥应急行动；c)在应急处置中，出现异常及时向应急指挥中心办公室汇报、请示并落实指令；d)根据现场方案需要，请求应急指挥中心协调组织其他应急资源；e)按照应急指挥中心指令，负责现场新闻发布工作；f)核实应急终止条件并向应急指挥中心请示应急终止；g)收集、整理应急处置过程有关资料；7.2.2应急指挥中心办公室7.2.2.1行政综合部应做好以下工作：a)按照应急指挥中心指令，向公司信息安全协调小组管理办公室等单位及部门报告和求援；b)完成应急指挥中心交办的其他任务。7.2.2.2生产技术部应做好以下工作：a)跟踪并详细了解计算机信息系统损害事件的发展动态及处置情况，及时向应急指挥中心汇报、请示并落实指令；b)按照应急指挥中心指令，通知专家到达指定地点；c)完成应急指挥中心交办的其他任务。7.2.3网管中心网管中心应做好以下工作：a)跟踪并详细了解计算机信息系统遭到大规模攻击或不可抗力影响的处置情况，及时向应急指挥中心办公室汇报、请示并落实指令；b)派出现场应急指挥部的组成人员，参与现场应急处置工作；c)按照应急指挥中心指令，向公安部门报案并协助查案，配合修复和恢复工作；d)按照应急指挥中心指令，向对口的主管部门报告和求援；e)完成应急指挥中心交办的其他任务。7.2.4其他职能部门其他职能部门按照应急指挥中心指令做好生产管理等信息资料的收集工作。7.3应急处置措施（1）网站、网页出现非法言论时的紧急处置措施1）网站、网页由办公室指定专人负责随时密切监视信息内容。2）发现网上出现非法信息时，监控责任人应立即向信息股报告情况，及时采取删除信息或关闭网站等处理措施。4）妥善保存有关记录及日志或审查记录。5）办公室和信息股共同追查非法信息来源。6）及时将有关情况向领导小组汇报。（2）黑客攻击时的紧急处置措施1）当责任人发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向信息股报告。2）相关人员尽快赶到现场，立即关闭网站。3）由关人员负责恢复或重建被攻击和被破坏的系统。4）应追查非法信息来源。5）如认为情况严重，应立即向领导小组汇报。7）领导小组认为情况极为严重的，应立即向公安部门或上级机关报告。（3）设备安全紧急处置措施1）小型机、服务器、路由器、交换机等关键设备损坏后，值班人员应立即向信息股报告。2）相关人员应立即查明原因。3）如能自行恢复，应立即用备件替换受损部件。4）如属不能自行恢复的，应立即与设备供应厂商联系，请求技术人员前来维修。5）如果设备一时不能修复，应向领导小组汇报。（4）人员疏散与机房灭火预案1）一旦机房发生火灾，应遵循下列原则：首先保人员安全；其次保关键设备、数据安全；三是保一般设备安全。2）人员疏散的程序是：机房值班人员立即按响火警警报，并通119电话向公安消防请求支援，所有不参与灭火的人员按照预先确定的线路，迅速从机房中有序撤出。3）灭火的程序是：首先切断所有电源，启动灭火系统，灭火值班人员戴好防毒面具，从指定位置取出泡沫灭火器进行灭火8应急终止应急处置后，经应急指挥中心和现场应急协调指挥小组对事故现场确认，并同时满足下列条件后，应急指挥中心可以下达应急