某公司信息安全应急预案

某公司信息安全应急预案

目录

一•总则…5

二.目的…5

三.安全事件类型及风险分析…5

3.1机房安全事件…5

3.2网络中断事件…6

3.3数据库系统事件…6

3.4网络入侵事件…6

3.5病毒破坏事件…6

3.6重要存储介质失窃事件…6

四.应急处置基本原则…7

4.1统一领导，分工协作…7

4.2明确责任,依法规范…7

4.3统筹安排，协调配合…7

4.4防范为主，加强监控…8

4.5快速处理，尽快恢复…8

五.应急指挥机构及职责…8

5.1应急指挥领导小组…8

5.2应急处置小组…9

5.3专家组…9

六.预警及信息报告…10

6.1预防与预警…10

6.2应急事件报告…10

6.3信息报告程序…11

6.3.1报告程序及时限…11

6.3.2信息安全事件报告内容及要求…11

6.3.3警报等级及具体发布部门范围…11

6.3.4报告方式及人员…12

七.应急响应和处置…12

7.1事件响应分级…12

7.2响应程序…14

7.3处置措施…14

7.3.1网络安全事件处置…14

7.3.2机房安全事件处置…16

八.应急后期处置…18

九.应急物资与装备保障…19

十.应急预案管理…19

十一.附则…19

附录1:信息安全事件应急通讯录…21

附录2:重大突发信息安全事件报告（模板）…22

版本及修订历史…22

一.总则

电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造

成机房网络设备、服务器停止工作。

3.2网络中断事件

指造成XX公司骨干网络中断24小时以上、公司国际互联网中断

48小时以上的网络事件。

3.3数据库系统事件

数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使

用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。

3.4网络入侵事件

通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监

听、调用、篡改、销毁等，造成公司管理、经营的负面影响和重大损失。

3.5病毒破坏事件

指病毒、非预期程序代码植入公司信息系统，造成重大破坏。

3.6重要存储介质失窃事件

指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、

失窃等，如纸质文件资料、硬盘、u盘、光盘等。

四.应急处置基本原则

本预案应急处置遵循〃依靠技术、加强管理、预防为主、快速响应、

及时恢复〃的总原则。另外应做到以下几点：

4.1统一领导，分工协作

a）在XX公司统一领导下，明确各部门、各事业部、各专业公司职

责，督促相关部门遵照〃统一领导、归口负责、综合协调、各司其职〃

的原则，协同配合，有效地处置突发事件和应急情况。

4.2明确责任，依法规范

XX公司所属各部门、各事业部、各专业公司，要按照〃属地管理、

分级响应、及时发现、及时报告、及时救治、及时控制〃的要求，依法

对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调

和控制。

4.3统筹安排，协调配合

统筹安排XX公司所属各部门、各事业部、各专业公司应急工作任

务，充分利用公司现有的信息安全服务设施和技术力量。各部门、各事

业部、各专业公司应在明确职责的基础上，加强协调I密切配合，保障

信息安全。

4.4防范为主，加强监控

贯彻预防为主的思想，树立常备不懈的观念，宣传普及信息安全防

范知识，做好应对信息安全突发事件的思想准备、预案准备、机制准备

和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安

全综合保障水平。

4.5快速处理，尽快恢复

突发重大信息安全事件时，能够及时发现和预警，准确判断并及时

采取有效措施，迅速控制事件影响程度和范围，确保信息系统尽快恢复

正常，尽可能减少突发事件给企业带来的负面影响和损失。

五.应急指挥机构及职责

5.1应急指挥领导小组

组长：保密委主任

副组长：信息中心主任，公共事业管理中心主任

成员：公司所属各事业部、专业公司主管信息工作领导、集团公司

保密处、规划运营部、办公室相关领导

职责：履行应急值守、信息技术支持和综合协调职责，发挥运转枢

纽作用；组织、协调突发信息安全事件的处置和善后工作；对突发信息

安全事件进行事件调查，并组织事后评估。

5.2应急处置小组

应急处置小组为两级：一级是公司本部；二级是各事业部、专业公

司。

a）公司本部

组长：信息中心主任

组员：信息中心全体人员，保密处、办公室相关人员，管理中心电

力、消防、保卫等相关人员

职责：负责公司本部网络、二级单位主干网络安全事件、本部机房

安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系

统安全事件等的处置。

b）各事业部、专业公司

组长：各事业部、专业公司信息安全负责人

组员：各事业部、专业公司相关人员

职责：负责本单位信息安全事件处置工作。

5.3专家组

由有关专家和厂商专业技术人员分别组成应急处置技术专家组，为

信息安全事件应急管理提供决策建议和技术支持，参加突发信息安全事

件的应急处置和事件恢复工作。

六.预警及信息报告

6.1预防与预警

a）危险源监控

根据信息安全风险辨识结果，公司各部门、各事业部、专业公司要

加强对危险源的监控，定期对机房空调、电源、网络、服务器等设备进

行巡检，可通过软件等方法对网络运行情况进行监控,信息系统维护人

员加强对各信息系统、数据库运行情况监控。

b）预警行动

单位任何人员发现信息安全相关情况时，应立即报告本部门负责人,

并力所能及地采取相应应急措施。

本部门负责人接到报告后，及时启动部门现场处置方案，视情况可

到现场进行查看，并根据现场处置结果判定是否需要应急预警。如果需

要，应报告公司应急指挥领导小组组长，组长通知应急处置小组成员做

好应急所需物资、设备、人员等准备。

6.2应急事件报告

突发事件信息报告分为首报、续报和终报。

a）首报信息内容：突发事件发生时间、地点、事件、可能造成的伤

亡和影响情况；抢险救援情况。

b）续报信息内容：事发单位基本情况，事件起因和性质、基本过程

'影响范围、事件发展趋势、处置情况，请求事项和工作建议。

c）终报信息内容：事件基本情况，原因分析，处置过程，形成结果，

责任划分与处理、教训与预防措施。

6.3信息报告程序

6.3.1报告程序及时限

信息安全突发事件逐级上报程序及时限要求：现场相关发现人员立

即报告部门负责人一部门负责人通知相关人员开展现场处置，并立即报

告应急处置小组组长T应急处置小组报告公司应急指挥领导小组组长

一应急指挥领导小组报告地方政府/警务部门（必要时）。

a）一般网络中断、机房事件，应在60分钟内上报；

b）网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质

失窃等应在30分钟内上报；

c）特殊情况，如出现人员伤亡情况，应按公司《突发公共事件总体

应急预案》的要求报告。

6.3.2信息安全事件报告内容及要求

a）事件发生部门/单位、发生地点、发生时间；

b）事件现场具体位置和路线，周围环境情况；

c）初步说明事件原因、当前状况等；

d）已采取的措施。

6.3.3警报等级及具体发布部门范围

需要采取I级应急响应的事件警报为I级，需要采取口级应急响应

的事件警报为口级。仅采取m级应急响应的事件，不发布警报。

a）I级警报应发布到事件应急所有参与部门，并报告公司应急指

挥领导小组组长。

b）n级警报发布到事件应急部分参与部门，并报告公司应急指挥

领导小组组长。

6.3.4报告方式及人员

报告人员的通讯、联络方式见附录L

七.应急响应和处置

7.1事件响应分级

网络与信息安全事件分为四级：特别重大（I级）、重大（口级）、较大

（m级）、一般（iv级）。

Q）符合下列情形之一的,为特别重大网络与信息安全事件（I级）：

①信息系统中断运行2小时以上、影响人数100万人以上。

②信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社

会稳定构成特别严重威胁，或导致10亿元人民币以上的经济损失。

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重

威胁、造成特别严重影响的网络与信息安全事件。

（2）符合下列情形之一且未达到特别重大网络与信息安全事件（I级）

的，为重大网络与信息安全事件（口级）：

①信息系统中断运行30分钟以上、影响人数10万人以上。

②信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社

会稳定构成严重威胁，或导致1亿元人民币以上的经济损失。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、

造成严重影响的网络与信息安全事件。

（3）符合下列情形之一且未达到重大网络与信息安全事件（n级）的，

为较大网络与信息安全事件（m级）：

①信息系统中断运行造成较严重影响的。

②信息系统中的数据丢失或被窃取、篡改、假冒，对国家安全和社

会稳定构成较严重威胁，或导致1000万元人民币以上的经济损失。

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威

胁、造成较严重影响的网络与信息安全事件。

（4）除上述情形外，对国家安全、社会秩序、经济建设和公众利益构

成一定威胁、造成一定影响的网络与信息安全事件，为一般网络与信息

安全事件（IV级）。

7.2响应程序

应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则

具体执行公司总体应急预案有关规定和要求。

7.3处置措施

7.3.1网络安全事件处置

按照网络管理分工，相应的网络安全事件响应与处理时间，从发现

到处理完毕，原则上不超过24小时。网络安全事件处理流程见下图：

网络安全事件处理流程图

以下情况属于一般网络故障，原则上各事业部、专业公司信息部门

自行处理，公司本部各部门由公司信息中心处理。

a）本单位局域网网络故障；

b）本单位办公室内的网络单点故障。如果二级单位本身无法处理

的网络故障，可上报公司信息中心给予技术支持和协调解决。

7.3・2机房安全事件处置

（-）机房电源紧急处理流程

a）如果由于市电中断报警，机房负责人应立即联系公司供电保障

部门或其他相关单位，确认断电原因、时间等。如果在短时间内无法恢

复供电，应及时通知财务、办公等应用系统负责人，作好应急关机准备；

b）接至UUPS报警，首先报告机房负责人，认定故障原因，必要时

上报公司主管信息化工作的领导；

c）如UPS出现故障，但服务器和网络设备等仍通过UPS旁路供

电，正常运行，则机房负责人密切监视市电情况，并报告信息中心负责

人，由信息中心通知UPS服务提供商，对UPS进行紧急修复处理;

d）问题排除后，对机房内设备逐一检查，确认无误后，填写设备

巡检记录；

e）按问题的分级，填写问题记录日志表，并上报相关领导。

（-）机房网络故障处理流程

a）指定的防病毒系统）与补丁更新，负责服务器系统的网络畅通，

负责硬件状态的监控；

b）系统网络人员发现报务器出现问题第一时间通知应用负责人，

反之，应用负责人发现问题，及时通知系统网络负责人，协同查找故障

原因，共同解决；

c）如果是硬件问题，首先立即启用备份服务器，然后由系统网络

负责人立即联系服务器提供商，彻底解决问题；

d）如果是病毒或网络攻击造成服务停止，系统网络与应用负责人

共同解决问题；

e）如果是应用系统故障且无法处理，应立即向系统维护商请求紧

急支援，或启用备用系统。

f）问题解决后，填写问题记录日志表，并按问题的级别上报相关

领导。

（三）机房消防处理流程

a）当机房发现烟、焦糊味等，立即定位问题所在，进行必要的断

电与隔离，并及时通知机房负责人与信息中心负责人；

b）如果问题不严重，通过断电与隔离消除了危险，通知相应的应

用或设备负责人，处理善后工作，进行设备及系统的检查，并及时填写

问题记录日志表与设备巡检记录

c）如果发生火灾，当火情较小时，使用机房内的二氧化碳灭火器；

如果火情较严重，立即报119，通知公司安保部门切断现房市电开关（开

关位置要清楚）和UPS电源输出开关，机房内人员撤离，关闭机房大

门，以免火势蔓延。

（四）数据信息安全事件

在进行事件上报的同时，本着一经发现立即响应，将影响降到最低

的原则，事件处理流程如下：

a）事件一经发现，应立即通知应用系统管理员、操作系统管理员、

数据库管理员到达现场分析查找原因，准备进行故障恢复。如果属于网

络原因，应立即通知网络管理员。应由操作系统管理员、数据库管理员、

应用管理员共同参照各应用系统故障恢复指南，立即切换到备份机或异

地备份系统，同时恢复最近时间内的应用系统与数据的完全备份，进行

原应用系统环境的重建。

b）如发生的数据安全事件，造成数据丢失和数据意外毁坏已无法

恢复，应由业务部门立即组织相关部门对数据进行补录。

c）当发现公司涉密数据通过网络途径传播，及时向信息中心和保

密处通报，信息中心切断信息泄露点与网络的物理链接，并登记信息损

失，确定信息泄露原因，由于人为原因造成的，交公司保密处处理；由于

信息系统本身造成的，联系系统供应商解决。

d）当发生数据安全事件时，须在事件确认24小时内,由事件发

现人及时以书面形式向本单位领导汇报，中、高级的数据安全事件要上

报公司信息安全事件应急领导小组，必要时上报上一级公司信息安全管

理部门。

八.应急后期处置

包括对信息安全事件的总结和证据收集——获取信息安全事件分析

和解决的知识应被用户降低将来事件发生的可能性或影响；应定义和应

用识别、收集、获取和保存信息的程序，这些信息可以作为证据；

总结内容应包括：

a）应急事件的基本情况，包括事件发生时间、地点、波及范围、

人员情况、损失和事件发生的原因等；

b）应急事件处置过程；

C）处置过程中动用的应急资源;

d）处置过程遇到的问题、取得的经验和吸取的教训；

e）对预案的改进建议等。

九.应急物资与装备保障

为有效应对信息安全事件，根据信息安全事件特点，应急人员应配

备笔记本电脑、各种型号连接线，测线仪，万用表及其它必要设备等。

十.应急预案管理

应急预案的宣传教育、培训、演练，以及预案的更新等，具参见第

7.3.1条款网络安全事件处理流程。

（五）服务器故障处理流程

g）信息中心负责人指定专人负责系统的防病毒（安装公司

体执行公司综合应急预案的规定和要求。

H■一・附则

本预案自发布之日起实施。

本预案由公司信息中心负责解释。

附录1:XX公司信息安全事件应急通讯录

附录2:重大突发信息安全事件报告（模板）

附录1:信息安全事件应急通讯录

信息安全事件应急通讯录

序号单位联系电话备注

1应急指挥领导小组组长XX公司保密委主任

2应急处置小组组长