数据安全事件应急预案

PAGEXX银行数据安全事件应急预案总则为建立健全XX银行（以下简称“我行”）数据安全事件应急响应机制，提高应对数据安全事件的应急处置能力，预防和减少数据安全事件造成的损失和危害，全面提升我行的数据安全事件应急管理水平，促进我行业务健康有序发展，保障我行数据资产安全和用户合法权益，确保数据的保密性、完整性、可用性，根据我行总体应急预案的有关规定，制定本预案。本预案适用于XX银行总行、各分支机构。XX银行总行、各分支机构（以下简称“各单位”）应按本预案开展数据安全应急工作。我行应急工作总体原则如下：（一）坚持统一领导、分级负责；坚持统一指挥、密切协同、快速反应、科学处置；坚持预防为主，预防与应急相结合。（二）坚持谁主管谁负责、谁运营谁负责，谁接入谁负责，分工协作，内外联动，充分发挥各方面力量共同做好我行数据安全事件的预防和处置工作。本预案中描述的数据是指企业生产经营和内部管理信息、个人信息、个人金融信息、网络数据、重要数据、支付敏感信息等相关数据。数据安全事件是指针对个人信息、企业生产经营和内部管理信息、网络数据等我行数据资产的可用性被破坏、数据被泄露、数据被违规使用，造成或可能影响国家安全、社会稳定、公众利益受损、客户合法权益受侵害等危害，需要采取应急处置措施予以应对的突发事件。本预案适用于以下数据泄露安全事件场景：1.审计设备触发告警,系统用户数据出现大量导出或泄露记录；2.信息系统存在SQL注入、命令执行等可导致数据泄露的漏洞；3.API滥用出现大量数据泄露；4.监管机构通告信息系统存在数据泄露漏洞；5.内网机器对外部发送大量XX银行客户数据资料；6.管理员分析应用日志发现出现大量数据导出痕迹；7.重要系统或数据库数据被篡改事件；8.系统软硬件故障对数据可用性造成的影响。术语定义个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等用于支付鉴权的个人金融信息。个人信息主体，是指个人信息所标识或关联到的自然人。重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。重要信息系统，是指按照《XX银行信息系统应急预案》信息系统分级方法，4级以上的信息系统及支付结算类系统、信贷、财务、国结等系统。组织指挥体系及职责分工我行应急组织包括应急团队和外部组织两部分，其中应急团队包括应急领导小组、应急执行小组、技术保障小组、支持保障小组，分支行应急小组，负责在发生突发事件时,能够做到及时实施专项应急处置工作。外部组织包括监管机构、社会专业机构、安全机构和厂商。应急领导小组由总行行长任组长、总行副行长任副组长，风险管理部、信息科技部、业务管理部门、支持保障部门及各分行的负责人为应急领导小组成员，其职责是：（一）负责数据泄露突发事件的应急指挥、组织协调和过程控制；（二）明确数据泄露突发事件对外信息发布人，授权其在应急过程中统一对外信息发布口径；（三）宣布重大应急响应状态的降级或解除；（四）向董事会报告应急处置进展情况和总结报告。应急执行小组由总行信息科技部、业务部门、风险管理部等派员组成，对应急领导小组负责，其职责是：（一）实施数据泄露突发事件的具体应急处置工作；（二）业务部门负责对数据泄露突发事件影响情况进行风险分析、业务影响评估，确定业务恢复目标及恢复策略；（三）信息科技部负责收集分析数据泄露安全事件应急处置过程的数据信息和日志，并执行技术应急响应和恢复；（四）风险管理部负责向监管单位报告突发事件；（五）向应急领导小组报告应急处置进展情况和事态发展情况。支持保障小组由办公室、人力资源部、财务管理部、法律合规部、安全保卫部等派员组成，对应急领导小组负责,其职责是：（一）提供应急所需人力和物力等资源保障；（二）做好对受影响客户的解释和安抚工作；（三）做好秩序维护、安全保障、法律咨询和支援等工作；（四）建立与相关外部机构的应急协调机制和应急联动机制；（五）其他为降低事件负面影响或损失提供的应急支持保障等。技术保障小组由信息科技部负责人任组长，信息科技部各技术团队为成员，对应急领导小组负责，其职责是：（一）为数据泄露突发事件的应急处置提供全面的技术支持与保障工作；（二）建立与安全机构和厂商等相关外部机构的应急协调机制，并寻求技术支撑和协助。分支行应急小组由各分支机构成立以分支行行长为组长的应急小组，并在应急领导小组的统一指挥下开展应急处置工作。外部组织由监管机构及社会专业支持组成：（一）监管机构包括人民银行台州市中心支行、浙江省银保监局、台州银行分局、公安、网信等监管部门的信息科技监管部门；（二）社会专业支持主要包括电力、消防等部门；（三）相关安全设备厂商及服务机构。建立呼叫树机制，以便尽快将信息传达到内外部团队或组织。事件分级针对数据泄露安全事件分为四级：特别重大数据安全事件、重大数据安全事件、较大数据安全事件、一般数据安全事件。（一）特别重大数据安全事件（I级）符合下列情形之一的，为特别重大数据安全事件：1、重要信息系统出现数据泄露、非法使用等情况造成我行重大经济损失、极大影响我行业务经营，对我行声誉造成严重影响，对用户产生严重负面影响的；2、个人金融信息、支付敏感信息和4级数据丢失或被窃取，对社会稳定、公众利益和企业合法权益构成特别严重威胁；3、发生特别重大的公民个人信息泄露事件，造成五千条以上的用户信息泄露的；4、对外提供服务的网站类应用系统，其页面被篡改为反动信息、煽动性信息等造成严重政治影响的。（二）重大数据安全事件（II级）符合下列情形之一的，为特别重大数据安全事件：1、重要信息系统出现数据泄露、非法使用等情况造成我行经济损失、影响我行业务经营，对我行声誉造成影响，用户产生严重负面影响的；2、个人金融信息、支付敏感信息和3级数据丢失或被窃取，对社会稳定、公众利益和企业合法权益构成严重威胁；3、发生重大的公民个人信息泄露事件，造成五百条以上的用户信息泄露的。（三）较大数据安全事件（III级）符合下列情形之一的，为较大数据安全事件：1、信息系统出现数据泄露、非法使用等情况造成我行经济损失、影响我行业务经营，对我行声誉造成影响，用户产生严重负面影响的；2、2级数据丢失或被窃取，对社会稳定、公众利益和企业合法权益构成威胁；3、发生较大的公民个人信息泄露事件，造成五十条以上的用户信息泄露的。（四）一般数据安全事件（IV级）符合下列情形之一的，为特别一般数据安全事件：1、1级数据丢失或被窃取，对企业合法权益构成威胁；发生公民个人信息泄露事件，造成五十条以内的用户信息泄露的。监测与预警机制信息监测与报告（一）加强重点网站、信息系统、数据的安全监测，通过应用防火墙、入侵防御系统、数据库审计系统、数据防泄漏系统、安全态势感知系统、威胁情报系统等多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息，掌握违规操作账号和人员及敏感信息泄露数量规模，对发生突发事件的可能性及其可能造成的影响进行分析评估。（二）采取监测、记录网络运行状态、数据安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月，便于开展日志分析，及时发现潜在的安全隐患。（三）建立数据安全事件报告和通报制度，发生数据安全事件的单位或者部门应当在数据安全事件发生后，立即向应急领导小组或应急执行小组报告。对可能发生特别重大或重大突发事件的，应当立即向应急领导小组报告；对可能发生较大或一般突发事件的，应当立即向应急执行小组报告。预警（一）应急执行小组接到安全事件报告后,应当经初步核实后,将有关情况及时向应急领导小组报告，并进一步进行情况综合,研究分析可能造成损害的程度，提出初步行动对策或启动安全事件应急预案，对网络安全事件进行调查和评估，并采取技术措施和其他必要措施，消除安全隐患，防止危害扩大。（二）应急领导小组视情况召集协调会，决策行动方案，发布预警指示和命令。（三）发布预警信息时，应当包括事件级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布单位等，预警信息可通过公司邮件、短信、微信等多种形式。应急响应及处置事件判定当发现我行数据安全事件时，即刻向应急执行小组报告，说明数据安全事件具体情况。应急执行小组应根据“第三章事件分级”标准研究判定数据安全事件等级。预案启动（1）判定为Ⅰ级和Ⅱ级事件的，应急执行小组组长应即刻向应急领导小组汇报。由应急领导小组组长指示下达应急预案启动指令，同时即刻组织协调应急团队开展应急处置工作。其中，涉及特别重大或重大数据泄露事件的，应按相关要求同时上报监管部门和公安机关等网络安全主管部门。（2）判定为Ⅲ级和Ⅳ级事件的，由应急执行小组组长或副组长下达应急预案启动指令，迅速组织协调相关人员开展应急处置工作，并即刻上报应急领导小组。应急指挥（1）Ⅰ级和Ⅱ级事件，应由应急领导小组组长担任总指挥。应急领导小组负责组织、协调应急工作小组做好具体应急处置工作。必要时，由应急领导小组与网信部门、公安机关和银保监等网络安全主管部门积极沟通。由支持保障组和技术保障小组联系协调第三方安全专家作为应急处置技术顾问。（2）Ⅲ级和Ⅳ级事件，由应急工作小组组长担任总指挥。应急工作小组负责组织、协调，并做好具体应急处置工作。信息发布应急预案启动后，应急领导小组确定新闻发布人，授权其再应急过程中统一对外信息发布口径。应急处置（一）数据安全应急处置过程根据不同事件类型采取应急响应流程开展应急处置措施，具体参见“应急响应实施流程”。（二）依据《中华人民共和国网络安全发》规定，如数据安全事件中涉及犯罪情形的，除做好相应的应急处理外，还应保护好案发现场，同时向公安机关报案。应急整体流程应急整体流程图如下所示：数据安全应急响应流程图如下：（一）准备阶段建立必要的安全保障平台，逐步实现对我行数据业务相关平台系统运行和数据业务运营的安全监控和防护。我行数据安全相关人员应认真落实数据安全日常监测机制，对可能引发数据安全事件的行为进行预警，并及时向数据安全管理责任部门上报。1、事件发现数据安全事件报告来源主要有：a、传统媒体、网络媒体、外部预警平台披露我公司存在敏感数据泄露；b、监管机构、公安部等上级单位对我行发出数据泄露告警；c、我行监测系统、审计平台对用户高频访问、违规下载等行为发出告警，经审计核实存在异常；d、接到数据安全事件的人员应该详细记录当时的时间、发生可疑问题的信息系统、设备、具体表现。2、判断和处置a、单位内部报送在数据安全事件发生后，现场人员初步判断数据安全事件级别，立刻向其部门领导报告，使其能够确定事态的严重程度和下一步将要采取的行动。在评估完成后，应通知应急执行小组。可以通过各种方法完成通知，包括电话、短信、微信和电子邮件等。建议以电话的形式通知，具体可以参考呼叫树。应急执行小组接到处置请求后，立即召集技术保障组人员进行评审、协商，预断事件的影响范围及事件，并启动应急预案，快速做出正确有效的应急响应方式（包括现场应急响应和远程应急响应）。如涉及I级和II级的安全事件，应立即上报应急领导小组启动应急预案。数据安全事件发生后，应将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的需要，应将相关信息准确通报给相关设备设施及服务提供商（包括电力等），以获得适当的应急响应支持。对外信息通报应符合组织的对外信息发布策略。b、上级部门报送一旦发生本预案规定的数据安全事件，应当立即通过电话等方式向上级部门报告，不得迟报、谎报、瞒报、漏报。c、对外公开披露数据安全事件发生后，公司应根据相关法律法规要求及公司相关规定，并结合事件的严重程度，由综合部及时通过新闻媒体等渠道对外公开发布相关信息。同时公司内其他部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。（二）检测阶段由技术保障组开展如下工作：a、发现数据泄露告警或其他信渠道，包括但不限于WAF、IPS等系统告警、数据库审计系统异常告警、态势感知系统、DLP数据防泄漏系统、暗网情报等。b、收集和查看泄露数据属于什么类型数据，泄露数据规模，判断数据从哪个系统泄露。可通过调取网络检测设备，查看相关网络连接进程，判断数据泄露的时间范围，并判断是否数据仍在泄露中。c、确定数据泄露性质和影响范围：判断数据泄露是人为操作，还是系统存在后门程序向外传输数据。对数据泄露可能的对象包括内部人员、第三方人员、后门程序进行分析，收集数据泄露相关资料，核实数据已流传到什么平台，及时上报应急执行小组或技术保障小组，方便应急执行小组或应急领导小组协调第三方进行阻断和删除敏感外泄数据。d、确定安全事件的应急处理实施方案并跟踪评估时间是否升级。（三）抑制和根除阶段抑制根除是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断。抑制阶段主要是针对前面检测阶段发现的数据泄露对象，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。1、工作流程a、应急处理方案获得授权；b、技术保障和业务恢复人员共同测试应急处理方案验证效果；c、技术保障和业务恢复人员共同测试应急处理方案是否影响系统运行，数据泄露是否得到阻断；d、当实施应急处理方案失败的情况下，采取应变和回退措施，并返回到检测阶段。2、可能出现事件的解决方法a、第三方平台含有我行运营管理相关数据应急执行小组或应急领导小组协调第三方平台阻断和删除其平台上保存我行运营管理相关数据。b、内部人员账号泄露或违规操作关闭违法违规人员的vpn、服务器、数据库等账号，约谈当事人，及时阻断数据外泄路径。c、后门或其他数据导出立刻下线相关系统、切断数据传输通道。只有在后续恢复阶段对系统安全进行全面排查，修复加固后方可重新部署上线。（四）恢复阶段本部分的主要内容是将系统恢复到正常的任务状态。在系统遭到入侵导致，攻击者一定会对入侵的系统进行更改。同时，攻击者还会想尽各种办法新建部分高权限账号，方便进行数据下载导出，从而达到自己获取敏感数据的目的。本阶段主要将入侵者新建账号清除或关闭，必要时重置硬盘，重新部署应用系统。1、恢复阶段流程a、根据应急处理方案中列明所有系统变化，并恢复所有系统，删除泄露人员账号，实施安全加固；b、若发现存在应急处理方案中未列明的系统漏洞，则备份重要数据，低级格式化磁盘；c、启动重装系统，并在重装系统后严格按照系统的初始化安全策略安装和加固。恢复阶段流程图如下：2、恢复操作说明a、删除违规账号b、进行安全加固c、恢复操作系统（五）总结阶段1、媒体沟通数据安全事件处置过程中及完成后，根据数据安全事件的严重程度，综合指挥组应及时安排综合部向新闻媒体发布事件处置相关信息，并应严格按照公司相关规定和要求对外发布信息。与媒体或客户沟通时，要从维护客户关系、履行告知义务、维护客户合法权益出发，运用公共关系策略、方法，加强与客户、媒体的沟通，适时向公众发布信息，消除或降低危机所造成的负面影响。针对社会公众、媒体、股东、客户等相关各方的答复预案，在数据安全事件发生时，及时、准确披露信息，防止因信息不对称可能产生的负面影响。应急结束数据安全事件经应急处置后，事件得以完全解决，业务完全恢复正常运行；或事态影响下降到可接受范围内，业务主要功能恢复正常运行，按“谁启动、谁结束”的原则，由应急领导小组或应急执行小组下达应急结束指令。事件调查和报告（一）数据安全事件报告线路与时限1、当发生特别重大数据安全事件（I级）时，应立即向直接管辖部门或单位负责人报告，须在事发后立即和每1小时向分行领导小组或应急领导小组汇报，启动应急预案并指挥应急工作，同时向所在地监管机构报告。至突发事件处理完毕前，每1小时向行领导、董事会、监管机构汇报。事发后12小时提交《数据安全事件应急处置报告》。2、当发生重大数据安全事件（II级）时，应立即向直接管辖部门或单位负责人报告，须在事发后立即和每2小时向分行领导小组或应急领导小组汇报，启动应急预案并指挥应急工作，同时向所在地监管机构报告。至突发事件处理完毕前，每2小时向行领导、董事会、监管机构汇报。事发后1个月内提交《数据安全事件应急处置报告》。3、当发生重大数据安全事件（III级）和一般数据安全事件（IV级）时，应立即向直接管辖部门或单位负责人报告，须在事发后立即和每4小时向分行领导小组或应急领导小组汇报，启动应急预案并指挥应急工作，同时向所在地监管机构报告。至突发事件处理完毕前，每4小时向行领导、董事会、监管机构汇报。事发后1个月内提交《数据安全事件应急处置报告》。（二）报告形式与内容当出现数据安全突发事件后，应及时提交《数据安全事件应急处置报告》。内容应报告突发事件情况简述、突发事件原因分析、突发事件相关人员/责任及处罚情况、后续整改措施和落实推进计划等。后续工作（一）应急响应总结是应急处置之后应进行的工作，具体工作包括：1、分析和总结数据安全事件发生的原因；2、分析和总结数据安全事件的现象；3、评估系统平台及数据的损害程度；4、评估数据安全事件导致的损失；5、分析和总结应急处置记录；6、评审应急响应措施的效果和效率，并提出改进建议；7、评审应急预案的效果和效率，并提出改进建议。预防工作日常管理应急领导小组负责应急预案日常管理的统筹协调，组织各应急执行小组做好网络安全事件日常预防工作，落实网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免数据安全事件的发生及危害，提高应对数据安全事件的能力。宣传和培训（一）应急领导小组负责应急预案宣传和培训的统筹协调，组织各小组针对应急响应相关管理人员和技术人员做好宣传和培训工作。充分利用各种传播媒介及其他有效的宣传形式，如下发宣传手册、利用网络、宣传彩页、期刊、视频会议等手段开展应急预案的宣传。1、定期组织应急响应相关管理人员和技术人员的应急预案培训，同时在应急预案的首次制定颁布、修订等关键节点都要组织开展应急预案的不定期培训。尤其对于重要系统的专项应急预案在组织培训的基础上，应通过实际的应急响应演练过程，帮助相关人员不断更新应急响应的知识和技能，提高各类人员的应急工作熟练程度，提高突发事件发生时应急响应的效率，并认真做好培训效果的反馈和培训计划的更新。2、组织机关部门及人员进行应急预案普及宣传培训，加强数据安全事件预防和处置的有关法律、法规和政策的宣传，开展数据安全基本知识和技能的宣传活动，提高全体工作人员的应急意识和应急基本常识。应急演练应急领导小组负责应急演练统筹协调，组织各小组定期开展应急演练，检验和完善预案，提高实战能力，每年至少组织一次预案演练。演练完成后应详细记录应急演练情况，并填写《应急预案演练记录表》。在更新应急预案后或者遇到可预见的安全事件时，应及时开展应急响应演练，以检验应急预案的正确性，不断加强人员的应急安全意识和应急响应的熟练程度。管理和维护（一）应急领导小组负责应急预案管理和维护统筹协调，组织应急工作小组做好应急预案的维护工作，保证应急预案的有效性。（二）确保应急预案分发给所有应急相关人员，采用不同形式在多个地点进行保存，以确保预案在紧急情况下可用；预案在每次修订后，确保所有的拷贝统一更新，按照有关规定及时销毁旧版本；应急演练和数据安全事件发生后实际执行时，对实际执行过程进行详细记录，评估效果，对不足之处进行相应的修订；应定期评审和修订应急预案文档，保证应急预案准确性和有效性。重要活动期间的预防措施应急领导小组统筹协调重要活动期间数据安全保障工作，要求各应急工作小组在重要活动期间进一步加强数据安全监测和分析研判，加强数据安全事件的防范和应急响应，其中，核心网络和重要信息系统的重点岗位应保持24小时值班，及时发现和处置数据安全事件隐患。应急保障人力保障（一）应急领导小组明确应急保障工作组织体系和人员，明确领导责任，落实岗位责任制。（二）加强应急人才队伍建设，确保应急处置人员具备应急工作必要的技术能力，定期组织人员培训以满足应急工作的要求，并通过应急演练，保证应急处置人员的熟练度；建立长效的应急人员保障机制，包括设立专门的应急管理岗位。（三）建立应急技术专家队伍，为数据安全事件的预防和处置提供技术咨询和决策建议。应急响应专家队伍成员可由内部和外部对应急响应工作经验丰富或数据安全应急方面资深人员组成。物质保障应急领导小组统筹协调技术保障小组或支持保障小组具体落实物质保障工作，加强对数据安全应急装备、工具的储备，及时调整、升级软件硬件工具，不断增强应急技术支撑能力。物质保障需求由相关技术保障小组或支持保障小组提出，由采购