应急响应管理制度Word格式.docx
《应急响应管理制度Word格式.docx》由会员分享,可在线阅读,更多相关《应急响应管理制度Word格式.docx(11页珍藏版)》请在冰豆网上搜索。
2原则
本制度的制订严格遵循“积极预防、及时发现、快速反应、确保恢复”的要求,其主要原则是:
1)指导性原则:
本制度的制订是根据应急安全所涉及的各方面出发,从总体要求上进行阐述,对各系统建立应急计划、应急措施具有指导性。
2)完整性原则:
本制度的制订是从应急处理的全过程的角度出发,从人员、组织、计划以及措施等方面进行阐述。
3)可操作性原则:
本制度的制订根据总纲中的要求进行了更具体的要求,切实确保各系统的应急计划和应急措施具备可操作性。
3主要内容
本制度的主要内容是从应急的整体过程出发,分别阐述了应急处理和响应涉及的组织人员以及工作职责,安全事件的划分,应急计划的制订和执行,应急措施的要求以及整个应急响应流程。
4总体要求
本制度的总体要求是根据沈阳生态所信息安全方针的要求进行设计和总结,主要包括以下内容:
1)沈阳生态所要结合实际人员和组织情况,规定应急小组成员,并制定应急小组的各项职责。
2)沈阳生态所各业务系统需要结合系统的重要性、系统受损后的各种影响程度划分本系统的安全事件等级,为启动响应的应急响应措施进行准备。
3)沈阳生态所各业务系统必须制定详细的业务应急计划。
4)业务系统应急措施的制定要严格确保业务系统的可用性,采用在最短的时间能够恢复系统的措施为优先应急措施。
5)业务系统应制定详细的应急响应流程,整个流程包括安全事件发现、报告、事件分析、协调、处理、总结和奖惩等内容。
5组织和职责
1)沈阳生态所应急制度的制定、处理和响应等工作涉及的组织和人员包括:
●信息安全领导小组:
主要负责单位全年应急工作的整体原则把控,是重大安全事件爆发时的决策层面;
●信息安全领导小组办公室:
主要是落实和安排单位应急工作的具体事项,是重大安全事件发生时的管理协调层面;
●系统信息安全管理人员:
应急工作和安全事件的发现和汇报人员。
2)根据应急工作的具体要求需要有以上人员组成临时的应急响应小组,需要在各种安全事件中承担不同的工作单位信息安全领导小组、信息安全工作组的负责人共同组成,主要负责重大安全事件的应急指挥和决策。
3)单位应急技术小组是由单位信息安全专职技术人员和信息安全管理员共同组成,主要负责安全事件中技术问题的处理和解决。
4)快速反应通道是指沈阳生态所的应急响应组织、各业务系统产品厂商、集成商以及专业的安全厂商,主要负责具体设备、系统以及安全问题的处理和解决。
6安全事件
根据沈阳生态所安全故障中的规定和要求,本应急规范从安全事件给业务系统和网络所带来的安全风险出发,分析对业务系统造成的损害等因素,划分不同的安全事件等级。
这些因素具体包括以下内容:
●人员的生命安全;
●业务可用性;
●保护敏感信息;
●保护网络与信息资产,使遭受的损失降至最小;
●业务关键程度;
●允许中断时间。
通过对于以上因素的分析,可以把沈阳生态所的安全事件分为以下三级:
重大安全事件:
由于信息安全问题对关键业务造成直接影响,并导致全网瘫痪、业务中断数小时以上的事件,称为重大安全事件;
严重安全事件:
由于信息安全问题对重要业务造成直接影响,并导致网络与业务中断,称为严重安全事件。
一般安全事件:
由于信息安全问题对重要业务造成间接影响,一般业务造成直接影响,并导致网络与业务遭受严重影响的事件,称为一般安全事件。
7应急计划
7.1应急计划的制定
1
2
3
4
5
6
7
7.1
7.1.1制定原则
●完整性原则:
应急计划的制定必须完整,要覆盖应急处理的全方位与全过程,并涵盖实施应急的全部业务品种及相关机构、人员。
●关键业务优先原则:
在分析业务的优先等级、风险危害程度的基础上,优先保证重要业务应用的持续运作。
●可操作性原则:
应急措施必须明确、具体、切实、易行,操作对象与步骤必须有准确、详细的描述。
●经济与时效性原则:
应急措施的选用要考虑成本与时效,必须把有限的资源用于关键业务的核心环节。
充分考虑业务系统的时效性影响。
●可恢复性原则:
应急计划中确定的各项处理措施必须为应急后的系统恢复提供必需的数据与资料,符合系统恢复所必须的基本处理逻辑,以便对业务系统进行有效恢复,保证系统恢复后的正常运行。
●责任明确原则:
应急计划要明确各级领导、各业务部门、监管部门、技术部门及其他各部门所属人员的职责,以保证计划实施过程中责任的落实,并最大限度地降低风险。
●可稽核性原则:
有明确的实现标志和检查标准,使应急计划能够接受检查与验证。
●适应性原则:
应急计划应根据各系统的变化和业务的变化进行适时修订。
7.1.2制定组织
各业务系统应急计划的制定必须由信息安全领导小组办公室的信息安全专业技术人员和系统安全管理员共同制定。
7.2应急计划的主要内容
在保证应急计划能够完整有效的执行并对安全事件的应急恢复有直接的指导和操作内容,各系统的应急计划的主要内容至少包括应急响应组织和人员、各业务系统安全事件的具体定义、应急响应措施、应急响应流程等详细内容。
分别要求如下:
1)应急响应组织
各业务系统的应急响应组织应根据本规范中组织和职责的规定详细定义各系统的组织成员和职责,至少包括对于应急技术小组的组成成员和职责进行详细定义。
2)安全事件的定义
各业务系统要根据本规范中安全事件的制定原则,结合各系统的特点,定义各系统的安全事件,并划分本系统的安全事件级别。
3)应急响应措施
各业务系统要根据本规范中应急措施的内容,制定各业务系统应包括的应急技术。
4)应急响应流程
各业务系统要根据本规范中第七章应急响应中的内容,制定各业务系统的应急响应流程。
7.3应急计划的测试与认证
应急计划的测试是应急有效的关键要素,每一个措施都应得到测试,以确保各个应急(恢复)措施的正确性和应急计划的有效性。
各业务系统应急计划中的应急措施须经过单位应急技术小组严格的评估与测试,并由单位应急指挥中心的专家级成员对应急计划进行认证,确认其内容的可操作性、完整性和时效性,并给出指导性意见。
7.4应急计划的批准
各业务系统应急计划需要在评估、测试以及认证后,由信息安全领导小组办公室进行批准,批准各系统应急计划可用,可以在紧急安全事件发生后启用。
7.5应急计划的培训
各业务系统应急计划需要在沈阳生态所信息安全工作组批准后对计划中涉及的相关人员进行培训。
7.6应急计划的演练
各业务系统应急计划需要定期组织相关的部门和人员进行演练,至少保证每年一次进行演练。
7.7应急计划的更新
各业务系统应急计划在演练后,单位应急指挥中心应对计划进行评估,作出相应的修订和完善,对应急计划进行更新。
7.8应急计划启用和终止
7.8.1应急计划启动的基本条件
1当各系统发生重大安全事件的时候,要及时启动应急计划中的组织人员和应急措施;
2针对各业务系统,单位应急指挥中心确认具备启动应急计划所必须的物质等后备支援条件,且启动应急计划可能带来的风险在可控制的范围之内。
7.8.2应急计划终止的基本条件
沈阳生态所应急技术小组确认故障已排除,安全事件已解决,可恢复正常工作状态;
沈阳生态所应急技术小组确认在应急计划实施过程中的业务已得到有效恢复。
8应急措施
应急措施是应计划的核心内容,应急措施应根据不同的安全事件等级进行分析,针对不同的风险级别,给出不同的技术应急措施。
8
8.1选择原则
由于各种业务系统存在多样性,安全事件的形式存在多样性,因此在选择应急措施的时候要严格确保业务系统的可用性,采用在最短的时间能够恢复系统的措施为优先应急措施。
8.2应急措施
各业务系统的根据各自的特点需要定制各自的应急措施,但应急措施应至少包括以下内容:
8.2.1预防和准备措施
预防和准备性措施是应急措施的重要内容,它可以降低系统的风险或降低系统发生故障时的破坏性,有利于尽快恢复系统的运行。
主要有以下内容:
1)设备冗余
根据风险分析结果,对可能导致安全故障的单点故障的设备,考虑采用设备冗余的措施,避免设备的单点故障。
2)安全产品部署
根据风险评估结果,对存在的安全弱点进行分析,选用合适的控制措施,通过技术和管理的手段消除安全弱点。
需要在各业务系统部署网络安全产品,提供防御和检测安全事件的作用,有效降低安全风险。
3)日常运行维护
需要制定日常维护操作程序,加强日常运行维护管理,按照操作规程做好各业务系统的运行管理,确保各业务系统正常运行。
4)数据备份措施
在进行数据备份时,应对备份的数据进行测试,确保数据的可靠、有效、便于恢复,同时,应根据具体系统,备份适当时间段和关键日期的数据,保证在发生系统故障导致数据破坏时,可以用于恢复或更换的系统,为有关的机构、需求者或接受者能简单、准确地恢复被破坏的记录,数据备份完成后应予以安全保护。
5)资源准备措施
应急过程中,如何能够可靠获取和合理分配资源,需要有清醒的判断和详细的计划。
首先是人力资源,应确定内部技术应急人员、操作人员和外部支持人员名单,明确其职责,落实可靠的联络和交通措施,确保能够按要求及时到位;
同时,应保证系统在进行修复或更替时所需的测试、运行和恢复环境,包括系统的硬件、软件、接口和数据等。
8.2.2监控措施
1)对各系统的运行状况进行跟踪监控,对故障高发部位实施重点监控,及时发现险情或隐患;
2)及时分析各系统的日志,及时发现可疑的安全事件;
3)采用各种监控措施对已经发生的安全事件进行判断并追查踪迹。
8.2.3安全技术措施
技术措施是指在发生安全事件的时候,根据安全事件的特点和状态分析,制定可能采用技术措施,通常采用的技术措施包括:
1)关闭主机系统的非业务端口;
2)关闭网络系统的非业务端口;
3)控制网络的访问等。
8.2.4紧急恢复措施
紧急修复措施是指系统发生故障时,根据业务需要在规定的时间内尽快修复故障并恢复正常运行的措施。
紧急修复措施应根据导致系统中断的原因和系统风险情况具体制定。
通常采用的紧急修复措施包括:
1)备份数据修复措施;
2)备份系统启用措施;
3)备份设备启用措施;
4)备份网络启用措施。
8.2.5部分替换和替换措施
部分替换和替换是指系统故障时,通过部分替换或替换系统的组成部分,维持系统的基本运行。
部分替换和替换措施也以资源准备为前提,应与业务和操作人员确认业务和操作的流程和有关计算方法,同时,需要完成相应功能的软件开发工作,以保证更换后业务的持续进行。
部分替换或替换措施可分为全自动和半自动等方式,往往是“以低代高”、“以小替大”,应根据导致系统中断的原因和系统风险重估情况具体制定。
9应急响应流程
应急响应的关键是根据流程进行有条不紊的对已经发生的安全事件进行解决,本规范会根据事件的从发现到最终总结提出流程性要求,以保证最大限度地减少安全事件造成的损害。
具体的流程分为以下五个阶段:
1)安全事件的发现;
2)安全事件的报告;
3)安全事件的分析;
4)安全事件的处理;
5)安全事件的总结。
9
9.1安全事件的发现
1)各业务系统应建立监控措施和日志查看制度,采用必要的技术手段,确保及时发现安全事件