企业信息安全事件专项应急预案.docx
《企业信息安全事件专项应急预案.docx》由会员分享,可在线阅读,更多相关《企业信息安全事件专项应急预案.docx(14页珍藏版)》请在冰豆网上搜索。
企业信息安全事件专项应急预案
XX公司信息安全事件专项应急预案
1总则
为建立健全XX公司信息安全事件应急工作机制,提高应对信息安全事件的应急处置能力,维护基础信息网络、重要信息系统和重要工业控制系统的安全,保障公司各项科研生产经营活动安全、顺利开展,特制定本预案。
本预案适用于XX公司以及所属各部门、事业部、专业公司的信息安全事件应急管理。
2目的
2.1及时掌控突发信息安全事件,及时协调各部门、各事业部、各专业公司力量,将突发事件的危害影响降至最低点。
2.2规范突发事件上报程序和报告文本。
3安全事件类型及风险分析
3.1机房安全事件
指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件,造成机房物理环境或设备的严重损害。
主要包括:
电气事件:
电气设备漏电造成电击伤人,严重的引起火灾事件;
火灾事件:
机房火灾造成网络设备、服务器等设备损毁;
电力系统事件:
长时间电力故障,备用UPS电源无法继续供电,造成机房网络设备、服务器停止工作。
3.2网络中断事件
指造成XX公司骨干网络中断24小时以上、公司国际互联网中断48小时以上的网络事件。
3.3数据库系统事件
数据库系统故障,造成数据损坏或丢失,导致应用系统无法正常使用,公司重要数据泄露造成公司管理、经营的负面影响和重大损失。
3.4网络入侵事件
通过非授权方式侵入公司信息系统,对相关信息资产进行非授权监听、调用、篡改、销毁等,造成公司管理、经营的负面影响和重大损失。
3.5病毒破坏事件
指病毒、非预期程序代码植入公司信息系统,造成重大破坏。
3.6重要存储介质失窃事件
指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等,如纸质文件资料、硬盘、U盘、光盘等。
4应急处置基本原则
本预案应急处置遵循“依靠技术、加强管理、预防为主、快速响应、及时恢复”的总原则。
另外应做到以下几点:
4.1统一领导,分工协作
a)在XX公司统一领导下,明确各部门、各事业部、各专业公司职责,督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则,协同配合,有效地处置突发事件和应急情况。
4.2明确责任,依法规范
XX公司所属各部门、各事业部、各专业公司,要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。
4.3统筹安排,协调配合
统筹安排XX公司所属各部门、各事业部、各专业公司应急工作任务,充分利用公司现有的信息安全服务设施和技术力量。
各部门、各事业部、各专业公司应在明确职责的基础上,加强协调,密切配合,保障信息安全。
4.4防范为主,加强监控
贯彻预防为主的思想,树立常备不懈的观念,宣传普及信息安全防范知识,做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。
4.5快速处理,尽快恢复
突发重大信息安全事件时,能够及时发现和预警,准确判断并及时采取有效措施,迅速控制事件影响程度和范围,确保信息系统尽快恢复正常,尽可能减少突发事件给企业带来的负面影响和损失。
5应急指挥机构及职责
5.1应急指挥领导小组
组长:
保密委主任
副组长:
信息中心主任,公共事业管理中心主任
成员:
公司所属各事业部、专业公司主管信息工作领导、集团公司保密处、规划运营部、办公室相关领导
职责:
履行应急值守、信息技术支持和综合协调职责,发挥运转枢纽作用;组织、协调突发信息安全事件的处置和善后工作;对突发信息安全事件进行事件调查,并组织事后评估。
5.2应急处置小组
应急处置小组为两级:
一级是公司本部;二级是各事业部、专业公司。
a)公司本部
组长:
信息中心主任
组员:
信息中心全体人员,保密处、办公室相关人员,管理中心电力、消防、保卫等相关人员
职责:
负责公司本部网络、二级单位主干网络安全事件、本部机房安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系统安全事件等的处置。
b)各事业部、专业公司
组长:
各事业部、专业公司信息安全负责人
组员:
各事业部、专业公司相关人员
职责:
负责本单位信息安全事件处置工作。
5.3专家组
由有关专家和厂商专业技术人员分别组成应急处置技术专家组,为信息安全事件应急管理提供决策建议和技术支持,参加突发信息安全事件的应急处置和事件恢复工作。
6预警及信息报告
6.1预防和预警
a)危险源监控
根据信息安全风险辨识结果,公司各部门、各事业部、专业公司要加强对危险源的监控,定期对机房空调、电源、网络、服务器等设备进行巡检,可通过软件等方法对网络运行情况进行监控,信息系统维护人员加强对各信息系统、数据库运行情况监控。
b)预警行动
单位任何人员发现信息安全相关情况时,应立即报告本部门负责人,并力所能及地采取相应应急措施。
本部门负责人接到报告后,及时启动部门现场处置方案,视情况可到现场进行查看,并根据现场处置结果判定是否需要应急预警。
如果需要,应报告公司应急指挥领导小组组长,组长通知应急处置小组成员做好应急所需物资、设备、人员等准备。
6.2应急事件报告
突发事件信息报告分为首报、续报和终报。
a)首报信息内容:
突发事件发生时间、地点、事件、可能造成的伤亡和影响情况;抢险救援情况。
b)续报信息内容:
事发单位基本情况,事件起因和性质、基本过程\影响范围、事件发展趋势、处置情况,请求事项和工作建议。
c)终报信息内容:
事件基本情况,原因分析,处置过程,形成结果,责任划分和处理、教训和预防措施。
6.3信息报告程序
6.3.1报告程序及时限
信息安全突发事件逐级上报程序及时限要求:
现场相关发现人员立即报告部门负责人→部门负责人通知相关人员开展现场处置,并立即报告应急处置小组组长→应急处置小组报告公司应急指挥领导小组组长→应急指挥领导小组报告地方政府/警务部门(必要时)。
a)一般网络中断、机房事件,应在60分钟内上报;
b)网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报;
c)特殊情况,如出现人员伤亡情况,应按公司《突发公共事件总体应急预案》的要求报告。
6.3.2信息安全事件报告内容及要求
a)事件发生部门/单位、发生地点、发生时间;
b)事件现场具体位置和路线,周围环境情况;
c)初步说明事件原因、当前状况等;
d)已采取的措施。
6.3.3警报等级及具体发布部门范围
需要采取Ⅰ级应急响应的事件警报为Ⅰ级,需要采取Ⅱ级应急响应的事件警报为Ⅱ级。
仅采取Ⅲ级应急响应的事件,不发布警报。
a)Ⅰ级警报应发布到事件应急所有参和部门,并报告公司应急指挥领导小组组长。
b)Ⅱ级警报发布到事件应急部分参和部门,并报告公司应急指挥领导小组组长。
6.3.4报告方式及人员
报告人员的通讯、联络方式见附录1。
7应急响应和处置
7.1响应分级
本预案管理的事件由高到低分为Ⅰ级事件、Ⅱ级事件,以下所称“以上”均包含本数。
7.1.1I级事件
符合下列条件之一的为I级事件:
a)公司全网业务中断;
b)面向研发、生产的关键服务器(企业信息系统、工程平台等)瘫痪24小时以上;
c)中心机房发生火灾;
d)涉密数据泄露造成公司经营管理的负面影响和重大损失;
e)其他造成特别严重社会影响或巨大经济损失的信息安全事件。
7.1.2Ⅱ级事件
其它事件或由子公司内部认定的突发信息安全事件。
7.2响应程序
应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则具体执行公司总体应急预案有关规定和要求。
7.3处置措施
7.3.1网络安全事件处置
按照网络管理分工,相应的网络安全事件响应和处理时间,从发现到处理完毕,原则上不超过24小时。
网络安全事件处理流程见下图:
网络安全事件处理流程图
以下情况属于一般网络故障,原则上各事业部、专业公司信息部门自行处理,公司本部各部门由公司信息中心处理。
a)本单位局域网网络故障;
b)本单位办公室内的网络单点故障。
如果二级单位本身无法处理的网络故障,可上报公司信息中心给予技术支持和协调解决。
7.3.2机房安全事件处置
(一)机房电源紧急处理流程
a)如果由于市电中断报警,机房负责人应立即联系公司供电保障部门或其他相关单位,确认断电原因、时间等。
如果在短时间内无法恢复供电,应及时通知财务、办公等应用系统负责人,作好应急关机准备;
b)接到UPS报警,首先报告机房负责人,认定故障原因,必要时上报公司主管信息化工作的领导;
c)如UPS出现故障,但服务器和网络设备等仍通过UPS旁路供电,正常运行,则机房负责人密切监视市电情况,并报告信息中心负责人,由信息中心通知UPS服务提供商,对UPS进行紧急修复处理;
d)问题排除后,对机房内设备逐一检查,确认无误后,填写设备巡检记录;
e)按问题的分级,填写问题记录日志表,并上报相关领导。
(二)机房网络故障处理流程
a)指定的防病毒系统)和补丁更新,负责服务器系统的网络畅通,负责硬件状态的监控;
b)系统网络人员发现服务器出现问题,第一时间通知应用负责人,反之,应用负责人发现问题,及时通知系统网络负责人,协同查找故障原因,共同解决;
c)如果是硬件问题,首先立即启用备份服务器,然后由系统网络负责人立即联系服务器提供商,彻底解决问题;
d)如果是病毒或网络攻击造成服务停止,系统网络和应用负责人共同解决问题;
e)如果是应用系统故障且无法处理,应立即向系统维护商请求紧急支援,或启用备用系统。
f)问题解决后,填写问题记录日志表,并按问题的级别上报相关领导。
(三)机房消防处理流程
a)当机房发现烟、焦糊味等,立即定位问题所在,进行必要的断电和隔离,并及时通知机房负责人和信息中心负责人;
b)如果问题不严重,通过断电和隔离消除了危险,通知相应的应用或设备负责人,处理善后工作,进行设备及系统的检查,并及时填写问题记录日志表和设备巡检记录
c)如果发生火灾,当火情较小时,使用机房内的二氧化碳灭火器;如果火情较严重,立即报119,通知公司安保部门切断机房市电开关(开关位置要清楚)和UPS电源输出开关,机房内人员撤离,关闭机房大门,以免火势蔓延。
(四)数据信息安全事件
在进行事件上报的同时,本着一经发现立即响应,将影响降到最低的原则,事件处理流程如下:
a)事件一经发现,应立即通知应用系统管理员、操作系统管理员、数据库管理员到达现场分析查找原因,准备进行故障恢复。
如果属于网络原因,应立即通知网络管理员。
应由操作系统管理员、数据库管理员、应用管理员共同参照各应用系统故障恢复指南,立即切换到备份机或异地备份系统,同时恢复最近时间内的应用系统和数据的完全备份,进行原应用系统环境的重建。
b)如发生的数据安全事件,造成数据丢失和数据意外毁坏已无法恢复,应由业务部门立即组织相关部门对数据进行补录。
c)当发现公司涉密数据通过网络途径传播,及时向信息中心和保密处通报,信息中心切断信息泄露点和网络的物理链接,并登记信息损失,确定信息泄露原因,由于人为原因造成的,交公司保密处处理;由于信息系统本身造成的,联系系统供应商解决。
d)当发生数据安全事件时,须在事件确认24小时内,由事件发现人及时以书面形式向本单位领导汇报,中、高级的数据安全事件要上报公司信息安全事件应急领导小组,必要时上报上一级公司信息安全管理部门。
8应急后期处置
包括对信息安全事件的总结和证据收集——获取信息安全事件分析和解决的知识应被用户降低将来事件发生的可能性或影响;应定义和应用识别、收集、获取和保存信息的程序,这些信息可以作为证据;
总结内容应包括:
a)应急事件的基本情况,包括事件发生时间、地点、波及范围、人员情况、损失和事件发生的原因等;
b)应急事件处置过程;
c)处置过程中动用的应急资源;
d)处置过程遇到的问题、取得的经验和吸取的教训;
e)对预案的改进建议等。
9应急物资和装备保障
为有效应对信息安全事件,根据信息安全事件特点,应急人员应配备笔记本电脑、各种型号连接线,测线仪,万用表及其它必要设备等。
10应急预案管理
应急预案的宣传教育、培训、演练,以及预案的更新等,具参见第7.3.1条款网络安全事件处理流程。
(五)服务器故障处理流程
g)信息中心负责人指定专人负责系统的防病毒(安装公司
体执行公司综合应急预案的规定和要求。
11附则
本预案自发布之日起实施。
本预案由公司信息中心负责解释。
附录1:
XX公司信息安全事件应急通讯录
附录2:
重大突发信息安全事件报告(模板)
附录1:
信息安全事件应急通讯录
信息安全事件应急通讯录
序号
单位
联系电话
备注
1
应急指挥领导小组组长
XX公司保密委主任
2
应急处置小组组长
XX公司信息中心主任
3
XX公司保密处
处长
4
XX公司办公室
主任
5
XX公司信息中心
信息安全管理员
6
XX公司规划运营部
主任
7
公共事业管理中心
主任
8
XX军品事业部综合管理部
主任
9
XX物流信息公司办公室
主任
10
XX一机办公室
主任
11
XX二机办公室
主任
12
XX电子办公室
主任
13
14
15
16
17
18
19
20
附录2:
重大突发信息安全事件报告(模板)
重大突发信息安全事件报告
【20XX】第期
报告单位:
签发人:
XX公司信息安全事件领导小组:
a)事件发生部门/单位、发生地点、发生时间;
b)事件现场具体位置和路线,周围环境情况;
c)初步说明事件原因、当前状况等;
d)已采取的措施。
年月日
抄送:
联系人:
联系电话:
版本及修订历史
版本号
修订者
审核者
批准者
生效日期
备注
00
升级会员 