计算机应急管理流程.docx
《计算机应急管理流程.docx》由会员分享,可在线阅读,更多相关《计算机应急管理流程.docx(9页珍藏版)》请在冰豆网上搜索。
计算机应急管理流程
计算机应急管理流程
第一章总则
第一条为保障各项业务连续性,进一步明确IT应急管理程序、方式和责任,建立和健全统一指挥、功能齐全、反应灵敏、运转高效、责任明确的应急管理工作机制,使IT突发事件管理程序化、规范化、标准化,特制定《IT应急管理流程》。
第二条管理目标:
快速分析风险、预定预警等级、迅速通知和激活预案、控制风险蔓延、尽快恢复系统或为业务连续性计划提供IT保证。
第三条传阅范围:
各级计算机安全领导小组成员、IT应急工作小组成员、。
第四条本管理办法所称的IT突发事件是指:
在生产运行和管理中发生的,因自然灾害、软硬件设备故障、人为失误或者破坏导致重要生产系统对外服务中断、关键系统失效等重大或紧急事件。
第二章组织架构
第五条计算机安全领导小组(以下简称为计算机安全领导小组)为IT应急管理决策的最高领导机构.
第六条在IT系统进入紧急状态时,计算机安全领导小组自动转变为IT应急工作领导小组。
第七条为了确保应急管理机制有效运行,领导小组下设立IT应急工作小组,办公室在信息科技部,由信息科技部总经理担任组长,成员为技术骨干组成.
第三章ITIT应急小组职责
第八条IT应急工作领导小组职责:
贯彻执行上级和监管部门的信息安全方针政策,确定全辖IT系统重大事项,检查指导信息科技安全防范工作。
具体包括:
1.负责审定计算机信息安全突发事件应急预案;
2.IT应急工作领导小组在接到重大故障报告后,立即进入紧急状态,召开简要会议后,视具体情况启动相应的紧急应变程序;
3.指挥及协调各有关部门进入紧急应变状态,完成紧急应变组织架构的启动。
负责在发生突发事件时听取相关部门的情况汇报,并根据事件的严重程度,决定启动应急预案.在启动应急预案后,负责指挥、协调相关部门严格按照应急预案妥善处置应急事件;
4.及时向上级安全主管部门汇报故障情况、紧急应变计划的执行和进展情况,并请示进一步行动命令.在启动应急预案后,及时报告发生突变事件情况报;
5.负责在IT系统失效的情况下,发布启动业务手工应急处理预案。
第九条辖内各IT应急工作领导小组职责:
贯彻执行上级单位和监管部门的信息安全方针政策,确定所辖行IT系统重大事项,检查指导信息科技安全防范工作;当发生重大信息系统突发事件时,在应急领导小组的统一领导下,做好所辖行应急联动和处置工作。
具体包括:
1.负责审定所辖行计算机信息安全突发事件应急预案;
2.领导所辖行信息系统突发事件应急处置工作;
3.发生全辖性信息系统突发事件时,贯彻应急领导小组应急处置意见和措施,做好应急联动处置工作;
4.及时向IT应急工作领导小组汇报应急措施的执行和进展情况,并请示进一步行动命令。
第十条IT应急工作小组职责:
1.在计算机安全领导小组的领导下,负责组织相关人员制定、修订、完善、检查、实施IT系统应急预案;
2.配合业务部门制定应急预案的业务方案。
与业务部门共同制定、组织、实施、评估IT系统应急预案的演练方案;
3.审定、批准各业务子系统应急预案的实施细则;
4.根据突发事件性质和类别,响应或启动不同类别的应急预案。
在发生重大突发事件的时候,在第一时间向IT应急领导小组进行报告,并组织资源尝试对突发事件进行初步控制;
5.组织实施并指导应急预案的执行。
在接到计算机安全领导小组的指令后,立即组织启动IT系统应急预案,领导应急工作小组下设的各团队对突发事件进行控制,在确保人员安全的前提下,尽一切努力减少信息资产的损失;
6.负责阶段性向IT系统应急领导小组汇报应急预案处置过程情况,并提出后续的处置建议;
7.负责在接到撤离指令时,组织工作人员安全、有序的撤离;
8.负责在突发事件得到控制后,协调内外部资源重建IT基础设施,有序恢复生产;
9.组织日常的风险意识教育和演练工作;
10.对危机管理过程和应急管理效果进行后评价,对有关责任人提出处理意见,并上报计算机安全领导小组。
在突发事件得到控制后,配合事件调查和评估工作;
11.研究和制定应急事后恢复计划,督导突发事件后的业务恢复和重建工作。
第四章应急策略
第十一条应急总体目标:
充分利用现有资源和条件,协调和集中各方有效力量,尽快恢复生产运行,最大限度降低应急事件造成的损失和影响,保障业务连续开展.
第十二条应急预案策略:
1.应急预案应覆盖所运维的重要生产系统,应急恢复应先外后内、优先面向关键应用和服务,特别是7×24小时业务和柜面业务。
2.应急预案要求具有良好的可操作性,应急处理步骤简明、清晰、完整,确保在应急状态下有预案、可有效操作、恢复时间最短。
第五章应急预警
第十三条为加强预防性监控工作,逐步建立全方位、完整的监控体系,确保能提前发现故障隐患,提前采取措施,有效降低故障处理时间,提高业务可用性。
在无法全面实施自动化监控阶段,积极采取人工手段,定期监控系统运行状况,争取故障的早发现、早处置,确保信息安全。
第十四条实施IT系统应急预案分为预警阶段、启动阶段、恢复阶段和重建阶段。
第十五条预警阶段是应急预案的第一反应期,本阶段包括通知、预警等级分析和报告、预警发布、预警解除等。
1.通知
1)在突发性灾难事件即将发生或发生时,知情人应在第一时间通知信息科技部总经理室或IT应急工作小组可以联系到的成员,IT应急工作小组及时对事件现状进行判断并进行适当的后续步骤
2)以下事件可视为紧急事件:
a)主机房发生灾难性事件;
b)主机房配电柜发生故障,供电中断;
c)主机房市电供应中断,发电机出现故障,无法提供备用电源;
d)主机房双主UPS同时发生故障,使用旁路对主机房进行供电;
e)主机房外联通讯中断;
f)核心路由器同时发生故障;
g)核心交换机同时发生故障;
h)核心存储服务器发生故障;
i)重要应用系统发生严重故障(卡系统前置,核心业务系统前置,客服务平台系统,加密机,NAS存储等);
j)重大计算机案件;
k)其它严重事故等.
3)根据需要,通知信息内容可包括:
a)发生或者即将要发生的紧急事件的性质;
b)人员安全和设施的受损程度;
c)已知的资源状态和已通知到的人员或组织;
d)系统的受损程度;
e)事件的影响范围;
f)其它损坏的潜在可能;
g)要更换的项目(如软硬件、固件和其它材料等);
h)已做出的响应和恢复细节;
i)预期的破坏持续时间.
4)通知的方式主要以固定电话和移动电话为主,邮件、短信、传真等方式为辅,联系电话见附录《信息科技部通讯录》。
2.预警等级分析和报告
1)根据某某单位IT系统应急处理的要求,预警等级划分按照事件可预见的影响程度和可控制的程度划分,由高到低依次分为1级到5级,其中1、2、3级分别用红、橙、黄三种颜色区分,需对外发布预警公告;4级、5级预警等级需对内发布预警公告。
2)如下表所示:
级别
颜色标识
影响时间
影响行/业务
报告范围
等级描述
1级
红色
大于6h
全部
报领导
灾难,电力中断,通讯中断,重大案件或社会事件
2级
橙色
3-6h
全部
报领导
系统瘫痪,主干网络中断
3级
黄色
2-3h
全辖
A类业务
报领导
系统重大故障,网络中断
4级
1-2h
全辖或部分行
A类业务
报领导
系统重大故障,网络中断
5级
1h以内
全辖或部分行
A、B类业务
报分管领导
系统重大故障,网络中断
a)业务影响等级划分。
根据业务影响等级划分及机构战略权重,业务影响等级可划分为:
I.应用系统影响等级:
根据应用系统对社会、对市场、对资产的影响度、敏感度等要素,将应用系统信息安全等级分为两类:
核心业务产;B类:
其他业务。
II.经营机构影响等级:
分为全辖和部分地区两类。
b)确定破坏性影响及中断时间。
IT紧急事件发生后,应急工作小组应立即组织对系统进行分析、评估,并将评估结果准确上报IT应急工作领导小组.
c)评估内容可包括:
I.产生紧急事件或破坏的原因;
II.其它破坏或损坏的潜在可能性;
III.被紧急情况所影响的区域;
IV.物理基础设施状态;
V.IT设备的库存和功能状态;
VI.IT设备或数据的损害类型;
VII.要更换的项目;
VIII.估计恢复正常服务的时间;
d)损害评估是一个动态、持续的过程,在突发事件发生后的第一时间、处理及解决过程中需要不断进行阶段性评估,以作为事件处理和预警解除的依据。
e)根据损害或影响的评估结果,应迅速确定突发事件的预警等级,并依据应急领导组织架构的职能设置,按规定上报信息科技部、信息中心等安全主管部门。
3.预警发布
1)预警发布的原则
a)有利于对突发性IT系统风险的控制;
b)有利于稳定市场和客户,保护客户和投资人的利益;
c)有利于某某单位单位相关机构人员和设施的安全。
2)预警发布的渠道。
IT系统突发事件由IT系统应急领导小组指定专门部门和通道对外界统一发布,任何人员在XX的情况下不得对外发布任何相关信息。
4.预警的解除.灾难评估显示风险降低或风险消失,应及时启动预警降级和关闭程序,由警报发布机构以同样方式进行信息发布。
第十六条启动阶段
1.当IT应急工作小组根据事件的状况进行损害分析评估表明应急启动标准得到了满足后,及时上报IT应急工作领导小组。
领导下达启动指令后,即进入应急预案启动阶段。
2.应急预案启动后,各应急技术支持小组应按应急工作小组的命令,按照相关预案积极开展抢修工作。
3.相关处理人员应按本预案的领导组织结构,服从指挥,逐级负责。
在处理过程中遇到需要汇报情况时按预案要求的报告路线逐级汇报。
在无法找到汇报上级时方可越级汇报。
4.应急系统启动以后,应急工作小组需动态评估当前的状况,及时将最新事件动态和处理建议报告IT系统应急领导小组.
5.当IT系统在预定时间内无法有效恢复生产时,应急工作小组应向应急领导小组请求启动相关业务应急预案。
第十七条恢复和重建
1.恢复阶段
1)恢复流程。
恢复阶段的主要工作是落实各项应急措施,当整个系统无法运行时,按先后次序分别为:
a)电源;
b)硬件和网络系统;
c)操作系统;
d)数据库和中间件;
e)应用系统,按先外后内,外部业务中先24小时业务、柜面业务,后一般业务原则依次恢复。
2)恢复过程中的操作和验证。
在恢复过程中,应严格按照应急预案步骤和工作小组指令进行操作和复核,确保操作的正确性。
恢复完成后,应对系统及数据进行必要的技术验证和业务验证。
3)恢复过程中异常事件的处理。
在恢复过程中,如出现应急计划外的异常事件,应立即报告应急工作小组,由应急工作小组视情况进行协调处理或请示应急领导小组下达下一步工作要求。
2.重建阶段:
当业务系统恢复后,应由相关技术团队首先判断系统是否已经恢复到原正常状态,如果系统未被完全恢复,或恢复后的环境不能长时间提供生产运行,应采用构建新运行环境的方式实施系统重建.在系统恢复正常状态并完成测试前,应急系统保持运行。
重建工作主要包括:
a)确保有充足的基础设施支持,即电力、水、通讯、安全、环境控制、办公设备及其它供给等;
b)制订详细的恢复流程,安装系统硬件、软件和其它组件;
c)建立网络相关组件和接口;
d)进行全面的系统测试,确保功能的完整性;
e)对应急系统进行数据备份,同时进行应急系统与恢复系统数据同步;
f)启动恢复系统并关闭应急系统;
g)维护应急预案.
第六章后期处置
第十八条评估与总结
1.应急工作小组负责撰写技术分析报告,包括原因分析、处理情况记录等内容.
2.对应急事件的原因及全过程进行彻底调查,根据事件影响程度、过程记录、技术分析报告,对事件的性质、处理过程和改进措施进行评估,形成总结报告提交应急领导小组.
第十九条改进与完善。
应急工作小组实施改进措施,预防事件再次发生.对现有应急预案进行回顾,并组织修订、完善。
第二十条奖励与表彰。
对应急处置工作中贡献突出的人员,经应急领导小组研究,给予适当奖励与表彰。
第二十一条责任追究。
根据调查结果,如属责任事故,经应急领导小组研究,对事故相关责任人视情节严重程度,追究相应责任。
第七章应急预案的测试和评估
第二十二条应急预案的测试和评估
1.应急预案的测试是有效检验应急能力的一项关键环节.通过测试可以确定预案中存在的缺陷,保证应急计划的有效性。
各系统应急预案的测试应制订详细的测试计划,按照明确的测试目的和标准对选择的内容进行测试,使测试过程能够对应急预案的有效性进行评估。
2.各系统的测试评估情况应报IT应急工作小组。
第二十三条应急预案的演练
1.演练准备
1)应急预案的演练形式分为三种:
a)课堂演练:
课堂演练无需进行任何实际的恢复工作,由本部门相关人员对恢复流程进行遍历检查;
b)模拟演练:
模拟演练应有明确的演习目标和完整的计划脚本,并要求相关的机构和部门联合参与模拟;
c)实战演练:
实战演练应在模拟演练完成后,为了防止可能发生的演练风险,各项备用设施准备就绪的情况下,经上级部门同意后方可进行。
2)为了防止演练中可能出现的问题,为实战做必要的准备,减缓或者消除突发中断影响,应急预案演练应做好备份和回退准备。
2.演练计划
1)各系统应急预案根据本系统的实际情况,定期进行应急预案的演练。
当系统发生变化时,需对应急预案的相应部分进行修订和测试,并重新安排相应的演练.
2)IT应急工作小组每年初牵头制定全年应急演练计划,并按计划督促实施演练。
3.演练总结。
当应急演练完成后,IT应急工作小组应督促演练责任人准备好完整的演练材料并备案。
第二十四条应急预案的维护。
应急预案应定期进行检查和更新,并做出详细的记录。
原则上,应至少每年或者在应急预案中的关键因素发生重大变化时对该预案进行可行性和完整性方面的检查。
第八章应急预案的培训计划
第二十五条加强信息科技员工信息安全教育,提高员工风险防范意识,定期组织人员学习应急预案突发事件的安全常识,使员工在突发事件发生时能够采取正确的应对措施.
第二十六条培训是当突发事件发生后,相关人员能否有效执行应急预案的关键,IT应急工作小组应给予高度重视,每年都应对预案组织学习。
第九章应急计划管理
第二十七条应急计划的维护。
应急计划的维护范围主要包括:
信息系统应急计划、各类系统应急预案及操作手册、人员通讯录等.
第二十八条维护分工
1.总体的信息系统应急计划由信息安全管理团队负责制订与维护;其它各类应急预案及操作手册由各团队负责编写和维护。
2.人员通讯录由规划与资源管理团队负责维护。
第二十九条应急计划及手册的编制及管理要求
1.应急预案及操作手册应按照模版要求编写;
2.应急预案在前端管理与生产服务团队封存一份副本,供应急事件发生时由应急处理人员紧急调阅.
第三十条应急文档的管理.应急文档包括信息系统应急计划、各系统预案及操作手册、演练记录等文档,应按年度归档。
第十章附则
第三十一条适用范围:
本办法适用于全辖.
第三十二条本办法由IT应急小组负责解释,自发布之日生效.