信息安全应急处置预案Word下载.docx
《信息安全应急处置预案Word下载.docx》由会员分享,可在线阅读,更多相关《信息安全应急处置预案Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
2、组织指挥体系及职责
(1)成立信息安全应急响应领导组
组长:
矿长
副组长:
总工程师
成员:
生产副矿长、安全副矿长、通风副矿长、机电副矿长、技术副总工程师、机电副总工程师、通风副总工程师、安全生产监控中心、通风科、调度指挥中心、机电科、综合服务队、技术科、地测科、综合科等部门负责人。
(2)成立信息安全应急响应处置小组
安全生产监控中心主任
安全生产监控中心副主任
成员:
安全生产监控中心成员
(3)职责
1、信息安全应急响应领导组职责
1)研究提出信息安全应急机处置机制的规划,检查、指导、督促信息安全应急处置机制的建立健全。
2)指导督促重要信息系统应急预案的修订和完善。
3)统筹协调组织信息安全突发事件应对工作,建立健全跨部门联动处置机制。
4)如信息安全突发事件属于Ⅰ级、Ⅱ级的,向集团公司有关部门负责人通报并协调配合处理。
5)检查应对信息安全突发事件的预案演练、宣传培训。
6)审核煤矿信息安全应急响应的重大事宜。
7)确定信息安全应急响应等级。
8)审核并批准应急响应计划的执行。
9)审核并批准恢复计划。
10)审核经费预算。
2、信息安全应急响应处置小组职责
1)应急计划的执行。
2)信息安全事件的损害评估。
3)信息系统业务功能的恢复。
4)应急响应的需求分析。
5)编制和管理应急响应计划文档。
6)尽可能将突发事件的影响范围和损失降到最低。
7)及时收集突发事件相关信息和分析重要信息并第一时间报告应急响应领导组。
8)向领导组提出启动本预案的建议。
9)事后对信息安全事故进行总结并存档。
10)组织应急响应计划的教育、培训和演练。
3、业务部门职责
业务部门在信息安全事件的处置、演习从开始直至结束应积极响应信息安全应急处置领导组的指挥与调度,并提供所需要的人员和物资。
3、信息系统监测、预警和预防机制
(一)信息系统监测与报告
1.要进一步完善信息安全突发事件监测、预测、预警制度。
按照“早发现、早报告、早处置”的原则,加强对各类信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。
当发生信息安全突发事件时,第一时间向有关部门和矿领导汇报,汇报内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施等。
2.建立24小时值班制度,避免因信息安全突发事件发生后,必要的信息通报与指挥协调通信渠道中断。
3.每周应总结信息安全自查工作情况:
(1)恶意人士利用本矿网络从事信息违法犯罪活动的情况。
(2)网络或信息系统通信和资源使用异常,网络和信息系统瘫痪、应用服务中断或数据篡改、丢失等情况。
(3)网络恐怖活动的嫌疑情况和预警信息。
(4)网络安全状况、安全形势分析预测等信息。
(5)其他影响网络与信息安全的信息。
(二)预警响应
Ⅰ级(特别重大)预警响应
(1)应急响应领导组组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
(2)应急响应领导组人员实行24小时值班,相关人员保持通信联络畅通。
加强信息安全事件监测和事态发展信息搜集工作,组织指导应急响应处置队伍、信息系统使用部门开展应急处置或准备、风险评估和控制工作,重要情况报应急响应领导组。
(3)信息安全应急响应处置小组进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
Ⅱ级预警响应
(1)应急处置领导组机构启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)信息系统使用部门部门及时将事态发展情况报应急响应领导组。
领导组密切关注事态发展,有关重大事项及时通报相关省(区、市)和部门。
(3)信息安全应急响应处置队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
Ⅲ预警响应
(1)应急处置领导小组机构启动相应应急预案,指导组织开展预警响应。
预警解除
预警发布部门根据实际情况,确定是否解除预警,及时发布预警解除信息。
4、预警处理与发布
1.对于可能发生或已经发生的信息网络安全突发事件,系统管理员应立即采取措施控制事态,并在2小时内进行风险评估,判定事件等级并发布预警。
必要时应启动相应的预案,同时向信息安全领导组汇报。
2.领导组接到汇报后应立即组织现场救援,查明事件状态及原因,技术人员应及时对信息进行技术分析、研判,根据问题的性质、危害程度,提出安全警报级别。
五、先期处置
1.当发生信息网络安全突发事件时,及时做好先期应急处置工作并立即采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大,同时向信息安全领导组通报。
2.信息安全领导小组在接到信息网络安全突发事件发生或可能发生的信息后,应加强与有关方面的联系,掌握最新发展态势。
对有可能演变为Ⅲ级信息网络安全突发事件,技术人员提出建议方案,并作好启动本预案的各项准备工作。
信息安全领导小组根据网络与信息安全突发事件发展态势,视情况决定现场指导、组织设备厂商或系统集成商应急支援力量,做好应急处置工作。
对有可能演变为Ⅱ级或I级的信息网络安全突发事件,要根据集团公司的要求,上报集团公司有关部门,赶赴现场指挥、组织应急支援力量,积极做好应急处置工作。
六、应急处置
(一)应急指挥
1.本预案启动后,领导小组要迅速建立与现场通讯联系。
抓紧收集相关信息,掌握现场处置工作状态,分析事件发展趋势,研究提出处置方案,调集和配置应急处置所需要的人、财、物等资源,统一指挥信息安全应急处置工作。
2.需要成立现场指挥部的,立即在现场开设指挥部,并提供现场指挥运作的相关保障。
现场指挥部要根据事件性质迅速组建各类应急工作组,开展应急处置工作。
(二)应急处置
在信息安全事件发生时,技术人员应对事件进行动态监测、评估,及时将事件的性质、危害程度和损失情况及处置工作等情况及时报领小组,属于Ⅰ级、Ⅱ级信息安全事件的,同时报矿调度。
根据自然事件或人为破坏这两种情况把应急处置方法分为两个流程。
流程一:
当发生的信息安全事件为自然安全事件时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。
具体方法包括:
硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:
当人为或病毒破坏的信息安全事件发生时,具体按以下顺序进行:
判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。
按照信息安全事件发生的性质分别采用以下方案:
(1)病毒传播:
针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,公布病毒攻击信息以及防御方法。
(2)入侵:
对于网络入侵,首先要判断入侵的来源,区分外网与内网。
入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。
入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。
然后针对入侵方法建设或更新入侵检测设备。
(3)信息被篡改:
这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
(4)网络故障:
一旦发现,可根据相应工作流程尽快排除。
(5)其它没有列出的不确定因素造成的网络安全事件,可根据总的安全原则,结合具体的情况,做出相应的处理。
不能处理的可以请示相关的专业人员。
(三)事故扩大
经应急处置后,事态难以控制或有扩大发展趋势时,应实施扩大应急行动。
要迅速召开信息安全工作领导组会议,根据事态情况,研究采取有利于控制事态的非常措施,并向集团公司相关部门请求支援。
(四)应急结束
信息网络安全突发事件经应急处置后,得到有效控制,将各监测统计数据报信息安全工作领导组,提出应急结束的建议,经领导批准后实施。
(五)后期处置
在应急处置工作结束后,信息安全工作领导组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及财产损失状况和总结经验教训,写出调查评估报告。
7、应急保障
(一)机构和人员
各单位要落实信息安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。
(二)通信与信息保障
领导组成员和处置小组应保证电话24小时开机,以确保发生信息安全事故时能及时联系到位。
(三)应急装备保障
各重要信息系统在建设系统时应事先预留出一定的应急设备,做好信息网络硬件、软件、应急救援设备等应急物资储备工作,保持充足的备品备件,在网络与信息安全突发事件发生时,由领导小组负责统一调用。
(四)数据保障
重要信息系统建立容灾备份系统和相关工作机制,保证重要数据在受到破坏后,可紧急恢复。
(五)应急队伍保障
按照一专多能的要求建立信息安全应急保障队伍,由集团公司信息中心、获得国家有关部门资质认可的与有密切业务联系且服务能力较强的企业作为煤矿信息安全的社会应急支援单位,提供技术支持与服务。
(六)交通运输保障
确定信息安全突发事件应急交通工具,确保应急期间人员、物资、信息传递的需要,并根据应急处置工作需要,由领导小组统一调配。
(七)经费保障
网络信息系统突发公共事件应急处置资金,应列入年度工作经费预算,切实予以保障。
8、预防工作
(一)日常管理
各信息系统业务部门按职责做好信息安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全信息和网络安全通报机制,及时采取有效措施,减少和避免信息安全事件的发生及危害,提高应对信息安全事件的能力。
(二)演练
信息安全应急处置领导组协调有关部门定期组织演练,检验和完善预案,提高实战能力。
各信息系统业务部门每年至少组织一次预案演练,指定专门部门进行监督,并将演练情况报信息安全应急处置领导小组办公室。
(三)宣传
各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发信息安全事件预防和处置的有关法律、法规和政策的宣传,开展信息与网络安全基本知识和技能的宣传活动。
(四)培训
各部门要将信息安全事件的应急知识列为领导干部和有关人员的培训内容,定期组织人员培训,加强信息安全特别是信息安全和网络安全应急预案的培训,提高人员专业技术水平和防范意识。
(五)重要活动期间的预防措施
在国家重要活动、会议期间,煤矿各部门要加强信息安全和网络安全事件的防范和应急响应,确保信息系统安全。
应急办统筹协调信息安全保障工作,根据需要要求有关部门启动I级预警响应。
有关部门加强信息系统安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置信息安全事件隐患。
9、责任与奖惩
信息安全事件应急处置工作实行责任追究制。
集团公司对各单位信息安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。
集团公司对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报信息安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;
构成犯罪的,依法追究刑事责任。
十、附则
(一)、预案管理
本预案原则上每年评估一次,根据实际情况适时修订。
修订工作由信息安全应急处置办公室负责。
各部门要根据本预案制定或修订本部门信息安全事件应急预案。
(二)、预案解释
本预案由安全生产监控中心负责解释。
(4)、预案实施时间
本预案自印发之日起实施。
附件:
1.信息安全事件分类
2.名词术语
3.信息系统损失程度划分说明
附件1
信息安全事件分类
信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的信息安全事件。
附件2
名词术语
一、重要信息系统
所承载的业务影响煤矿正常生产经营、重要数据的实时上传、集团公司信息系统正常运转密切相关的信息系统,如:
煤矿安全监控系统、煤矿井下作业人员管理系统、煤矿执法网传输平台、煤矿监管平台等。
(参考依据:
《信息安全技术信息安全事件分类分级指南》(GB/Z20986-2007))
附件3
系统损失
系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
a)特别严重的系统损失:
造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
b)严重的系统损失:
造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
c)较大的系统损失:
造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
d)较小的系统损失:
造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小
升级会员 