信息安全应急预案管理办法的管理标准.docx
《信息安全应急预案管理办法的管理标准.docx》由会员分享,可在线阅读,更多相关《信息安全应急预案管理办法的管理标准.docx(4页珍藏版)》请在冰豆网上搜索。
为规范
XXXX
(以下简称“公司”)信息系统突发安全事件应急预案(以下
简称应急预案)
的制定和管理工作,
建立健全应急预案体系,
增强各类应急预案
的实效性、
科学性和可操作性,
提高保障信息安全和处置突发信息安全事件的能
力,根据《中华人民共和国突发事件应对法》等法律法规,结合信息通信分公司
的实际情况,制定本办法。
本办法适用于公司指导应急预案的编制、评审、备案、批准、发布、修订,
以及宣传、培训和演练等工作。
2
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引
用文件,
其随后所有的修改单
(不包括勘误的内容)
或修订版均不适用于本标准,
使用本标准的相关部门、
单位及人员要研究是否可使用这些文件的最新版本。
凡
是不注日期的引用文件,其最新版本适用于本标准。
中华人民共和国计算机信息系统安全保护条例
中华人民共和国无线电管理条例
中办发
[2003]27
号
中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强网络与信息安全保障工作的意见》的通知
3
术语和定义
下列术语和定义适用于本标准
信息安全突发事件
是指由于自然或者人为的原因,
对省电网各级部门、
直属企事业单位的网络
及信息系统造成危害,或对社会造成负面影响的突发事件。
应急预案
是指为控制、
减轻和消除信息系统突发安全事件引起的各种社会危害,
为规
范各类紧急应对活动而预先制定的方案。
预案编制
应急预案的应急场景编制
公司需针对各自管理的信息系统理出主要的应急场景,
并分别对不同的场景
编写应急子预案。
场景至少包括:
重要设备故障、重要业务系统故障、主要网络
攻击事件及病毒事件等。
应急预案的编制应满足以下总体要求:
符合国家相关法律,国家、省相关法规、标准的规定;
结合本地区、本部门、本单位的安全生产实际情况和危险性分析情况;
保持与上级和同级应急预案的衔接;
有明确、具体的事故预防措施和应急程序,并与其应急能力相适应;
明确的应急保障措施,并能满足本地区、本部门、本单位的应急工作要求;
预案基本要素齐全、完整,预案附件提供的信息准确;
简洁规范,通俗易懂,好记管用。
应急预案应包括以下基本内容:
总则,包括指导思想、编制目的、编制依据、适用范围和工作原则等;
应急组织机构,包括领导机构、工作机构、联动机构、现场指挥机构、专家
库等;
预防与预警机制,包括预测预警系统、预警分级指标、预警发布及解除、预
警响应措施等;
应急响应,包括预案启动条件、事件通告、先期处置、分级响应、应急结束
等;
后期处置,包括信息系统重建、应急响应评估与总结、信息发布等;
应急保障,包括人力保障、物质条件保障、技术支撑保障等;
监督管理,包括宣传教育、培训、演练、责任与奖惩等;
附则,包括名词术语和预案解释等;
附件,包括组织结构关系图、工作流程图、联系人清单表和呼叫树、信息安
全事件报告表等。
3.6
评审备案
各类预案均需组织专家评审,评审通过后报上级主管机构审批。
公司的应急预案统一报省公司信息部备案。
各项信息安全应急预案原则上每二年至少修订一次。
并根据需要及时进行修
订。
3.7
演练培训
生技部负责组织编制应急预案演练指南,
提出规范各类突发事件应急预案演
练的组织与实施的方法,指导相关应急预案演练活动。
应急预案制定单位应当依照有关法律法规和本办法,
制定应急演练规划并报
本级应急管理机构。
适时组织有关单位开展针对各种突发事件应急管理活动的桌
面演练、专项演练和综合性演练。
应急预案应每两年至少演练一次
.
应急演练组织单位应开展演练评估工作,
总结分析应急预案存在的问题。
应急预案应列入应急知识宣教培训内容,
其中涉及公众生命安全保障的部分
应作为重点。
应急预案制定单位应制作有关应急预案宣传普及材料,
并向公众免
费发放。
4
附
则
本标准由信息技术部负责解释。