信息系统应急预案管理制度.docx
《信息系统应急预案管理制度.docx》由会员分享,可在线阅读,更多相关《信息系统应急预案管理制度.docx(11页珍藏版)》请在冰豆网上搜索。
信息系统应急预案管理制度
信息系统应急预案管理制
第一章总则
第一条为科学应对XX公司信息系统信息安全突发事件、建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,特制定本应急预案管理制度。
第二条本制度适用于XX公司。
第二章组织机构与职责
第三条设立信息系统信息安全应急工作组(简称“应急工作组”),应急工作组主要成员由公司领导、技术部技术人员组成,主要职责是:
(一)承担值守应急工作;
(二)收集、分析工作信息,及时上报重要信息;
(三)负责信息系统网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(四)组织制订、修订信息系统网络与信息安全突发事件相关的应急预案;
(五)负责组织协调信息系统网络与信息安全突发事件应急演练。
第三章应急保障
第四条相关部门及人员要按照职责进行分工和相关预案准备,切实做好应对网络与信息安全事件的人力、物力、财力等保障工作,保证应急救援工作和恢复重建工作的顺利进行。
第五条人员保障:
配备相应的应急力量或引进第三方应急服务,组建网络与信息安全事件应急响应专业队伍,培养骨干力量。
第六条经费保障:
应落实网络与信息安全事件应急管理工作专项经费预算。
应急处置和基础设施运维等应急管理经费预算,纳入毎年预算。
第七条物资保障:
应当做好网络信息系统设备储备工作,包括信息系统服务器、交换机、防火墙等关键设备的备份。
第四章安全事件应急预案框架
第八条系统应急工作组应根据需要编制信息安全事件应急预案,以指导安全事件的处理机制和流程。
第九条安全事件应急预案框架的内容:
(一)启动应急预案的条件,描述启动每个计划前应遵循的过程;
(二)应急处理流程,描述危及业务操作的事故发生之后所要采取行动的应急程序;
(三)描述将基本业务活动或支持服务移到替代的临时地方,并在要求的时段内使业务过程回到运行状态的动作的回退程序;
(四)恢复和复原未完成时应遵循的临时操作程序;
(五)描述恢复正常业务操作的动作的恢复程序;
(六)规定如何及何时要检验该计划的维护时间表,以及维护该计划的过程;
(七)实行紧急的、回退和恢复程序所需的关键资产和资源。
第五章应急响应程序
第十条系统故障应急预案
(一)当发生系统故障事件时,发现人应在5分钟内通知信息安全小组,由信息安全小组报告信息系统应急工作组,同时根据情况及时上报信息安全领导小组;
(二)系统应急工作组需组织技术部相关人员及时分析事件发生源头,切断事件源头,控制事件范围,必要时停止系统运行;
(三)信息安全小组应及时查看安全审计日志,对异常事件发生源头、发生原因、影响范围做出判断,并提出补救措施;
(四)技术部立即停止发生问题的应用系统,对异常事件内容和范围予以确认;
(五)针对事件原因查找系统漏洞,提出系统安全策略调整方案,并报系统应急工作组审批,《应急处置审批表》;
(六)审批通过后根据系统安全策略调整方案,对安全设备、应用系统等的安全控制策略做出相应调整,确认无误后恢复系统运行;
(七)信息安全组详细填写《系统异常事件处理记录》,并上报备案。
第十一条网络攻击应急预案
(一)信息安全小组根据安全设备的报警和审计日志,确定攻击目标和攻击来源;
(二)对攻击目标采取关闭或隔离措施,详细检查被攻击系统是否留有恶意代码,更改密码增强安全防范策略,必要是对系统和数据进行紧急备份;
(三)对攻击来源进行隔离,分析原因,停止攻击行为,调整安全防范策略;
(五)系统应急工作组在对系统进行安全评估后,恢复系统上线运行;
(六)信息安全小组详细填写《系统异常事件处理记录》,对于恶意攻击上报有关主管部门。
第十二条病毒爆发应急预案
(一)安全管理员根据安全设备和网络杀毒软件的报警和日志,分析攻击来源,对攻击来源和攻击区域及时采取隔离措施;
(二)对重要的网络服务器和业务应用系统紧急备份,防止因病毒造成数据丢失,必要时可暂停系统运行;
(三)及时通知防病毒厂商,上报病毒爆发情况并寻求技术支持;
(四)获得处理建议后及时控制病毒进一步传播、升级病毒库、清除病毒;
(五)分析病毒产生原因,传播途径,采取补救措施,纠正违规行为;
(六)安全管理员、系统管理员和网络管理员在对系统进行安全评估,确认病毒已得到控制或清除后,恢复系统上线运行;
(七)安全管理员详细填写《系统异常事件处理记录》,对于恶意制造或传播病毒的情况根据情况上报有关部门。
第十三条网络设备及应用服务器异常事件的应急预案
(一)系统应急工作组组织安全管理员、系统管理员、网络管理员对网络设备及应用服务器异常事件进行原因分析;
(二)及时发布信息对事件原因、处理措施及恢复时间进行通知公告;
(三)如属于硬件故障及时启用备用设备,并将故障设备报修;
(四)如属于软件故障,应根据故障程度进行紧急调试或启用最近一次备份进行数据恢复;
(五)系统管理员详细填写《系统异常事件处理记录》。
第六章应急预案审查管理
第十四条系统应急工作组定期每年对应急预案进行一次审查,根据实际情况,如演练过程中出现的问题等对内容进行更新,以便更贴合信息系统实际情况。
第七章应急预案培训
第十五条为确保应急预案有效运行,系统应急工作组应定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
第八章应急预案演练
第十六条为提髙信息安全突发事件应急响应水平,系统应急工作组应每年至少组织一次预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。
通过演练,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
第九章附则
第十七条本制度的解释权归技术部。
附件
附件1系统异常事件处理记录
系统异常事件处理记录
序号
S
发生原因
发生时间
影响范围
补救措施
最终结果
处理人
01
硬件故障
系件故息硬备信统设漳
单个主机
及时启用备用设备,并将故漳设备报修
恢复
02
网络故障
系部通路息外络线断信统网讯中
整个系
统
联系网络运营商进行解决。
恢复
03
系统故障
信息系统数据库故障
单个服务器数据管理
及时启用数据库备份和安全策略备份
恢复
04
病毒感染
毒软件
单台主机
季度自查,升级操作系统漏洞,安装防火墙,升级杀毒软件进行查杀。
恢复正常
05
网络攻击
DD0S攻击
单台服务器
进行防火墙安全配置。
阻止来自特定IP发起的攻击。
对异常流量进行引流,优化网站代码,避免sql注入等攻击手段
恢复正常
06
线路故障
通信线路故障
单个主机
及时找到故障原因,更换网线
恢复
07
攻
S
N二XI
D甘
攻络网击
数据库
数据库重新修改了帐号密码.
禁用Guest帐号。
删掉不必要的协议,关闭不必要的服务•进行杀毒和木马查杀。
恢复正常
附件2应急处置审批表
事发地点
XX公司
发生时间
起因
网络攻击
初定级别
一般
影响范围
单个数据库服务器
损失情况
系统运行缓慢,服务器有口动重启和死机,影响工作效率,导致网络中断。
协调小组会议或领导决定应急处置意见
核定事件级别
一般故障
是否启动应急预案
是
总指挥
现场总指挥
是否发布预警或公告
否
处置意见
升级操作系统和杀毒软件。
进行防火墙安全配置。
阻止來口特定IP发起的攻击。
对异常流量进行引流,优化网站代码,避免sql注入等攻击手段。
数据库重新修改了帐号密码•禁用Guest帐号。
删掉不必耍的协议,关闭不必要的服务,进行杀毒和木马查杀。
领导:
是否应急扩大
否
领导:
应急结束
系统恢复正常。
领导:
附件3应急处理流程
附件4应急管理培训登记表
培训登记表
记录顺序号:
01
No.
名
所属部门
培训教师
培训名称
培训地点
培训
日期
培训学时
与核
时间
是否合格
01
信息安全部
计算机网络安全技术培训
会议室
4
是
02
运维
部
计算机网络安全技术培训
会议
室
4
是
03
信息安全部
计算机网络安全技术培训
会议室
4
是
04
信息安全部
网站的保护方法和安全措施
会议室
3
是
05
运维
部
网站的保护方法和安全
措施
会议室
3
是
06
运维
部
网站的保护方法和安全
措施
会议室
3
是
07
信息安全部
提髙网络安全保护能力
会议室
3
是
08
运维
部
提髙网络安全保护能力
会议
室
3
是
09
运维
部
提髙网络安全保护能力
会议
室
3
是
附件5应急演练记录
预案演练/应急响应报告
编号:
01
部
称名案预
演练方案紧急状况
舸拟證昵財期盹模礴从QO应日呀人能突仃櫛“針殉瞬超妙徳杖5关全0魚図便各9恶个m时••者人目网方内対设妁酥界膚状速练点织加曲M幽朋友击月昭,5岛揪i^iL刃/乡诃氐漁实1攻2345r能
演练/响应经过及发现的问题
■一^9TX••采统定您期,盜撷。
络日仁从应2.况缺3.置数处
效果评价
0演练/响应达到预期效果,预案文件适宜
□演练/响应未达到预期效果,需启动预案文件修订
演练/响应部门:
信息安全部日期:
批
准
通过演练明确了流程,分工比较明确,各部门能紧密配合,演练发现的一些问题及时改进,要加强网络安全建设,提高人员网络安全意识,对重要数据进行备份,遇紧急事件能紧急恢复。
签名:
日期: