2022企业信息安全应急预案

PAGE1PAGE公司信息安全应急预案目录TOC\o"1-3"\h\u19675公司信息安全应急预案 112148一、编制目的 313437二、编制依据 329076三、事件等级 47594四、适用范围 522405五、工作原则 530481六、公司信息系统危险性分析 623233（一）地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件； 611174（五）因应用系统设计缺陷造成应用数据错误或服务器系统崩溃。 615433七、组织机构及职责 623253（一）组织机构 616004（二）公司信息化应急事件处理委员会 6879（三）涉及业务部门 66904（四）涉及下属单位 716114（五）外包公司应急指挥领导小组 731474（六）外包公司维护组 722553八、运行机制 712893（一）预测与预警 77892（二）预警级别和发布 813907（三）应急响应 811546（四）技术处置方案 921805（五）应急结束 1011057（六）应急保障 1092441.通信与信息保障 10223742.应急装备保障 10303593.数据保障 11297674.经费保障 115662九、培训 11一、编制目的通过编制和实施信息安全应急预案，提高公司信息安全事件应急响应和处置能力，对于可能发生的各种信息安全事故或灾害，能够在第一时间做出快速反应并采取应对措施，及时恢复网络和信息系统运行，减少损失，降低负面影响。二、编制依据依据《XXXX公司信息安全应急预案管理办法》（大唐集团制〔2013〕15号）和《XXXX公司信息安全事件调查规程》（大唐集团制〔2013〕19号）的有关规定，制定本预案。三、事件等级本预案所称信息安全事件，依据其性质、危害程度、涉及范围、影响大小等情况，划分为4个等级，即：一级信息安全事件、二级信息安全事件、三级信息安全事件和四级信息安全事件，一级事件级别最高，四级事件级别最低。（一）一级信息安全事件：事件发生后，主要信息网络或信息系统硬软件损坏、崩溃或瘫痪，所有用户无法登陆系统或重要部门用户数据丢失，无法恢复，造成特别重大的信息损失，严重影响了公司信息数据的安全保密与正常管理秩序，需要组织公司本部及下属企业力量，调动各方面资源，进行应急处置的信息安全事件。一般至少需要3个工作日以上的恢复期。（二）二级信息安全事件：事件发生后，主要信息网络或信息系统受到重大破坏、部分设备或系统瘫痪，对重要要害部门或用户造成重大数据损失，但可以通过技术处理以手工方式对数据进行恢复，严重地影响了公司信息数据的安全保密与正常管理秩序，需要调动公司本部力量及外部资源开展应急处置的信息安全事件。一般至少需要2个工作日以上的恢复期。（三）三级信息安全事件：事件发生后，主要信息网络或信息系统出现较大故障，不能正常运行，未对重要用户造成数据损失，较长时间地造成大部分用户不能使用系统，需要动员相关部门力量和资源进行处置的信息安全事件。一般至少需要1个工作日以上的恢复期。（四）四级信息安全事件：事件发生后，部分设备或信息系统停止运行，影响了部分应用系统或部分单位用户的使用，动员自身力量可以处置的信息安全事件。一般至少需要半个工作日以上的恢复期。四、适用范围本预案适用范围：公司系统各企业。五、工作原则（一）加强预防原则。信息化主管部门要随时注意信息网络和系统的运行情况，以积极预防为首要任务，及早采取有效防范措施，尽可能防止突发信息安全事件的发生；平时注重积累经验，确保突发事件发生时能够快速并有效的反应。（二）快速反应原则。一旦发现重大异常，信息化主管部门要迅速报告相关领导，确定事件等级，并立即开展相关措施，防止信息安全事件进一步蔓延或扩大。（三）统一指挥原则。公司所属各单位必须统一服从信息化应急事件处理委员会的指挥。（四）严格考核原则。在处置信息安全事件的过程中，要坚持四不放过原则，对相关责任人进行考核。防止类似情况再次发生。（五）事后总结原则。信息化主管部门在事后需要对信息安全事件产生的原因进行分析，并对事件处理过程中的各个环节进行讨论，结合相关业务部门的意见形成总结报告。同时完善《信息安全应急预案库》（见附件）。六、公司信息系统危险性分析公司信息系统可能面临的危险包括：（一）地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件；（二）仪器设备被盗、机房存在重大安全隐患而造成的损失等严重突发事件；（三）服务器系统崩溃、交换机等设备瘫痪、网络中断、病毒和黑客入侵；（四）因停电、系统操作失误等因素导致相关系统无法使用等突发事件。（五）因应用系统设计缺陷造成应用数据错误或服务器系统崩溃。七、组织机构及职责（一）组织机构公司成立信息安全事件应急指挥机构，由公司信息化应急事件处理委员会、涉及业务部门代表、下属单位应急小组、外包公司应急指挥领导小组和外包公司维护组共同组成，负责公司系统重大突发事件的应急处理工作。（二）公司信息化应急事件处理委员会负责组织、协调和指挥公司信息安全事件的应急工作，总体调度相关部门、单位和外部资源，对应急工作处理进行重大决策，并对重大信息化安全事件进行通报与考核。（三）涉及业务部门负责支持和配合工作，代表业务部门对一、二级信息安全事件的影响进行评估，根据需要给予相关业务指导，并对恢复后的数据或系统进行检验。（四）涉及下属单位凡涉及到下属单位的一、二级信息安全事件，下属单位在接到相关通知后，应立即组织成立应急小组，听从公司信息化应急事件处理委员会的统一调度和安排，负责支持、配合、以及开展本单位应急自救工作。（五）外包公司应急指挥领导小组根据公司信息主管部门要求，积极组织公司相关人员和技术力量进行支持工作，指定部门经理一级人员担任技术支持负责人，具体负责调配后备技术支持人员，和外包公司维护组成员一起讨论应急措施及解决方案，督导方案实施。（六）外包公司维护组贯彻落实市应急指挥领导小组的指示和决定，及时向公司信息化应急事件处理委员会报告情况并提出建议；具体落实公司信息化应急事件处理委员会提出的各项措施、要求，监督各单位的落实；具体负责公司《信息安全应急预案库》的制定和修订工作，完善标准操作程序。八、运行机制（一）预测与预警按照早发现、早报告、早处置的原则，公司信息化主管部门督促外包公司负责对所服务范围内各种可能发生的危急事件的信息、常规监测数据等，定期开展跟踪监测、综合分析和风险评估。主要包括2个方面：一是通过各项定期工作实施监控，及时发现管理和技术漏洞,处理问题并记录入信息安全应急预案库，同时更新定期工作，落实问题责任主体；二是信息化主管部门加强监管，定期审核信息安全应急预案库，做好信息安全事件预防工作。（二）预警级别和发布信息安全事件发生后，根据其性质、等级和危害程度，逐级上报。一级、二级信息安全事件报公司信息化应急事件处理委员会的同时报外包公司应急指挥领导小组；三级信息安全事件报信息化主管部门领导；四级信息安全事件直接处理并填写故障记录。外包公司维护组根据应急指挥领导小组判定的故障级别，起草相关发布信息，经审批后发布给相关人员。事件信息发布内容包括危急事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和发布单位等。（三）应急响应1.一级信息安全事件：信息化主管部门迅速启动本级应急预案，组织自救，同时报公司信息化应急事件处理委员会和外包公司应急指挥领导小组寻求援助；根据公司信息化应急事件处理委员会指示，组织动员力量开展救助工作。2.二级信息安全事件：信息化主管部门紧急启动应急预案开展自救，迅速控制或切断反应途径，防止次生、衍生信息安全事件的连锁反应，同时，报公司信息化应急事件处理委员会和外包公司应急指挥领导小组；根据公司信息化应急事件处理委员会的指示，协调动员相关部门力量，共同协助开展应急救助工作。3.三级信息安全事件：信息化主管部门启动本级应急预案，动员内部力量，做好应急处置。4.四级信息安全事件：信息化主管部门报主管领导直接启动应急预案，争取在第一时间内恢复运行。（四）技术处置方案1.黑客攻击事件应急处置措施：隔离被攻击服务器或关闭网站；更改密码，改变安全策略；清查系统，防止黑客留下后门程序。2.病毒大规模爆发事件应急处置措施：锁定病毒源或病毒发作区域，并及时对病毒发作区域进行隔离，防止病毒扩散；启动查杀病毒系统。3.应用软件安全事件的应急处置措施：立即停止应用软件运行；联系应用软件开发商，研究解决问题。4.数据库(中心)安全事件应急处置措施：在数据库遭致破坏或损毁时，及时启动灾难性数据恢复机制，采用备份数据进行恢复，对已具备数据容灾条件的系统，应迅即启用容灾备份系统支持正常业务开展；在硬件损坏修复时，遵守数据安全完整第一原则，首先在保证存储介质不受损伤的情况下进行维修；在不可预知灾难中造成数据缺损丢失或系统在近期内无法恢复时，应紧急启动手工业务处理预案。在系统恢复过程期间，先采用手工处理相关业务。待数据库修复后，重新录入系统。5.信息失密、泄密事件应急处置措施：暂停涉密系统及有关设备运行；向相关管理部门报案。6.网络线路突然中断事件应急处置措施：判断故障节点，查明故障原因；启动备用线路或搭建临时线路；抢修线路。7.不可抗拒因素引发的一、二级信息安全事件（主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力导致的信息安全事件）应急处置措施：对网络与系统进行必要物理加固，增强对事故的抵抗能力；可以按先重要、后次要，先数据、后硬件的顺序将网络其它原因引发的一、二级信息安全事件应急处置措施，按照当时最先进的技术、救助方式和手段实施应急处置。（五）应急结束一、二级信息安全事件结束后，由公司信息化应急事件处理委员会宣布终止紧急状态，转入正常工作状态。三、四级信息安全事件结束后，由信息化主管部门领导宣布结束紧急状态,恢复正常工作。应急处置结束后，公司信息化主管部门和外包公司维护组所在公司要对信息安全事件组织调查，追究相关人员责任。同时，提出恢复方案和整改措施，修订应急预案。（六）应急保障1.通信与信息保障公司信息化主管部门联系电话：公司