等级保护应急预案管理制度.docx
《等级保护应急预案管理制度.docx》由会员分享,可在线阅读,更多相关《等级保护应急预案管理制度.docx(8页珍藏版)》请在冰豆网上搜索。
等级保护应急预案管理制度
应急预案管理制度
文件编号:
编制:
审核:
批准:
版本:
V1.0
发布日期:
密级:
内部文档
XXXX单位
1.应急组织
1.1.组织结构
信息化领导小组下设信息化应急领导小组。
信息化应急领导小组下设业务组、技术组、检查组、宣传保障组等应急处理工作组,各工作组受应急处理领导小组的统一指挥。
1.2.信息化应急领导小组的组成和职责
信息化应急领导小组其成员包括:
组长:
(XXXX单位领导)
副组长:
成员:
下设领导小组办公室:
(技术部负责办理信息化应急领导小组的具体事宜。
)
主要负责人:
(应为信息化应急领导小组成员)
联络人:
主要职责:
(1)拟订或者组织拟订XXXX单位应对信息安全突发事件的工作规划和应急预案并组织实施。
(2)督促检查各处室应急预案的执行情况,并给予指导。
(3)督促技术部信息安全突发事件监测、预警工作情况,并给予指导。
(4)汇总有关信息安全突发事件的各种重要信息,进行综合分析,并提出建议。
(5)监督检查、协调指导技术部及各处室信息安全突发事件预防、应急准备、应急处置和事后恢复与重建工作。
(6)组织制订信息安全常识、应急知识的宣传培训计划和应急救援队伍的业务培训、演练计划,并督促落实。
1.3.各应急处理工作组的组成和职责
1.3.1.业务组
业务组由业务部门负责人和业务骨干组成,其中业务部门负责人任组长。
主要职责:
(1)在技术组的配合下,具体承担业务应急方案的制定、审查、培训和演练工作。
(2)应急事件发生后,根据指令立即到达应急处置办公现场,依据应急处理方案组织实施。
1.3.2.技术组
技术组设在技术部,成员由技术部负责人和技术骨干组成,其中技术部负责人担任组长。
主要职责:
(1)监控计算机网络系统运行状态,向信息化应急领导小组办公室及时报告异常情况;
(2)负责技术应急处理方案的制定、审查、培训和演练工作;
(3)分析确定异常状况的性质、影响范围和延续时间,提出进入紧急状态请求;
(4)在应急状态下,具体实施技术应急方案,排除技术故障,恢复系统正常运行;
(5)协助其它特别工作组完成系统复原后的数据恢复工作;
(6)总结、分析事故原因,向信息化应急领导小组办公室提出事故总结、分析及处理报告。
1.3.3.检查组
检查组由内部审计部负责人和业务骨干组成。
内部审计部负责人任组长,
主要职责:
(1)参与业务应急方案的审查工作,并对应急方案的培训和演练进行监督;
(2)应急事件发生后,负责组织应急处置方案实施的审计监察工作。
1.3.4.宣传、保障组
宣传、保障组由办公行政部和安全保卫部有关人员组成,办公行政部负责人任组长。
主要职责:
承担应急指挥小组交付的对外信息发布,系统内情况通报等事宜,应急状态下的人员后勤保障事宜和安全保卫工作。
1.4.信息安全事件分级
根据各种信息安全事件可能对生产系统的正常运行造成的影响程度、范围,我们将信息安全事件划分为三个级别:
重大信息安全事件、较大信息安全事件和一般信息安全事件。
(1)重大信息安全事件:
造成xxx级信息丢失或泄露,或者信息系统业务中断一天以上的信息安全事件。
导致造成重大信息安全事件的情况有:
1)自然灾害导致中心机房主要设施遭受毁灭性破坏,形成灾难性故障,持续一天以上不能修复;
2)中心机房或中心机房所在办公大楼遭遇重大火灾;
3)关键设备的重大故障引起的业务中断,如业务系统主机、存储设备、网络核心设备(交换机、路由器)两套热备的设备同时故障,持续一天以上无法修复;
4)严重的存储设备故障或数据库崩溃等原因,造成业务数据丢失;
5)遭受恶意攻击形成灾难性故障,业务数据被破坏;
6)市电供电系统停止一天以上,且UPS机组和发电机组工作异常。
7)技术部或信息系统xxx级数据、资料丢失或泄露;
8)......
(2)较大信息安全事件:
造成xxx级信息丢失或泄露,或者信息系统业务中断一天以内两个小时以上的信息安全事件。
导致较大信息安全事件的情况有:
1)主机系统两套设备同时发生故障;
2)网络系统故障:
◆主、备核心路由器、核心交换机同时发生故障;
◆通信线路中断;
3)磁盘阵列故障,破坏数据的完整性;
4)软件系统故障:
◆核心业务的数据库系统出现无法使用的故障;
◆操作系统软件故障,系统无法运行;
5)机房附属设备故障:
◆两台UPS同时故障;
◆空调故障,引起机房、主机温度、湿度异常,超过临界值;
◆消防系统出现故障,持续24小时不能修复;
◆市电供电系统出现异常故障超过两小时,或单路供电系统异常失效超过一天;
◆技术部或信息系统xxx级数据或资料丢失或泄露;
◆……
(3)一般信息安全事件:
造成非涉密信息丢失或泄露,或者信息系统业务中断两个小时以内的信息安全事件。
导致一般信息安全事件的情况有:
1)主机系统故障:
◆业务系统主机需切换到备份机;
◆数据库服务器需切换到备份机;
2)网络系统故障:
◆中心机房单台骨干交换机故障;
◆中心机房单台骨干路由器故障;
◆单条主干通信线路故障;
3)磁盘阵列故障:
◆磁盘阵列出现可修复性磁盘损坏(少数磁盘坏);
◆数据备份过程中发现磁带机故障,不能正常完成数据备份
4)机房附属设备故障:
◆外部电源线路停止供电超过UPS最大负载时间;
◆机房空调故障,引起机房、主机温度、湿度异常,超过临界值;
◆单台UPS故障而不能正常供电。
5)各种因素(疫情、离岗等)导致信息系统的关键岗位人员不能上岗。
6)技术部或信息系统非涉密信息丢失或泄露
7)。
。
。
。
。
。
1.5.启动应急预案的条件
当重大信息安全事件和较大信息安全事件发生时,经信息化应急领导小组批准,启动信息安全应急预案。
1.6.资源保障
1.6.1.应急队伍
应急队伍由XXXX单位领导、技术部、业务部门、内部审计部门等各相关部门和人员组成。
1.6.2.硬件配备
加强硬件设备的运行维护,配备了适当比例的备份设备,应用服务器、数据库服务器、核心交换机、核心防火墙均有备份设备。
机房采用备用UPS供电系统,在市电停电的情况下,可保证通信设备供电XX个小时。
1.6.3.软件与资料配备
(1)主机的系统软件定期维护、按时升级和打补丁,每次维护完成后要进行系统备份或作文字记录,同时加强日常系统维护检查和监控,发现系统运行异常,应查明原因,及时处理,防止系统崩溃。
(2)备份主机的操作系统、数据库系统及应用软件安装、配置以及其它相关设置,必须与相应系统完全一致,以保证一旦主生产系统崩溃时的应急切换。
并且主机类设备系统环境应与生产系统完全一致,其它设备参数设置应与生产环境在用设备一致,以确保出现故障时能迅速顺利切换。
(3)建立了适应安全需要的、版本齐全的操作系统、数据库软件、应用系统程序及数据资料库。
保持与运行系统一致的升级计划,定期检查资料库各类介质的有效性,防止应急过程中介质失效现象发生。
(4)备有各种技术应急预案、异常情况处理流程、应急物资清单和相关单位、部门及主管领导联系方式。
1.6.4.技术储备与保障
应急组织在平时应加强技术储备与保障管理工作,建立信息系统保障应急管理机构与专家的日常联系和信息沟通机制,认真听取专家意见和建议。
适时组织相关专家和机构分析当前通信网络安全形势,开展信息系统保障的现场研究,加强技术储备。
1.6.5.财务保障
根据财务情况制定财务保障。
1.7.应急处理方案体系
(1)技术应急处理预案
1)XXXX单位网络与信息系统安全应急预案:
网络通信系统、应用软件、供电故障处理预案;
2)主机系统、磁盘阵列、数据库、中间业务平台、机房附属设施技术方案。
3)XXX系统安全应急预案或应急处理方案
(2)业务应急处理方案:
确定业务系统中断时,手工业务处理方案。
1.8.应急处理流程
信息安全事件的应急处理应遵循严格的审批制度,并按一定的操作流程执行,具体流程如下:
(1)故障上报。
技术部初步对故障情况诊断,确定故障类型及可能的处理时间,当判断为重大信息安全事件和较大信息安全事件发生时,技术部负责人应立即报告信息化应急领导小组。
(2)在接到应急响应请求后,信息化应急领导小组全体成员应在30分钟内全部到达事件现场;研究决定并宣布进入应急状态,启动应急预案。
(3)信息化应急领导小组现场研究指定一名现场指挥;一旦指定,全体运行值班人员和现场技术人员都要服从现场指挥的领导。
(4)技术组制定并实施完成现场处置技术方案。
按照预案优先的原则,优先执行技术应急处理预案,在无预案的情况下,技术方案由现场指挥集思广益,予以确定。
在实施技术应急预案时,记录方案实施的过程。
(5)宣传、保障组负责信息发布渠道的畅通、对外解释文稿的统一拟订、舆论疏导等方面,并且提供人员、备品备件、物资等方面保障措施,决定是否需要报告当地人民政府和公安机关,请求给予必要的帮助等项工作,正确引导舆论,减少负面影响,维护XXXX单位的形象。
(6)当信息化应急领导小组确定启动业务应急处理方案时,业务组负责具体实施业务应急处理方案,各应急处理组行使各自职权,协助组织实施业务应急方案。
1.9.系统恢复流程
(1)当信息系统恢复正常后,由业务组、技术组、检查组组成评估小组,进行检查评估。
(2)评估小组应将评估情况写出专题材料,报信息化应急领导小组,作为审批依据。
由信息化应急领导小组根据评估材料,决定是否恢复系统操作,发出解除应急状态通知。
(3)技术部启动各业务系统。
(4)业务部门接到中心通知后正常办理业务。
(5)由现场指挥组织,针对在应急处理工作中故障发生情况、处理过程、处理结果以及遇到的问题在24小时内汇总,形成信息安全事件处理结果报告,提交应急处理领导小组,并归档保存。
1.10.后期处置
1.10.1.情况汇报和经验总结
应急任务结束后,信息化应急领导小组应做好安全事件中各种设施损失情况的统计、汇总,及任务完成情况的总结与汇报,不断改进应急工作。
1.10.2.奖惩评定及表彰
为提高应急工作的效率和积极性,按照有关规定,对应急过程中表现突出的单位和个人给予表彰,对保障不力,给国家和企业造成损失的单位和个人进行惩处。
1.11.应急方案的培训和演练
(1)应加强对网络系统网络安全和信息系统保障应急的宣传教育工作,应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
(2)应每年一次对应急预案进行演练,由应急处理领导小组决定演练时机;
(3)在计算机系统发生重大变动及新的应用系统投产时,对应急预案进行培训和演练。
(4)应急演练按如下步骤进行:
1)确定应急响应演练的目标;
2)确定应急响应演练的范围;
3)制定应急响应演练的方案;
4)调配应急响应演练所需的各项资源;
5)协调应急响应演练过程中涉及的部门和单位;
6)组织进行应急响应演练;
7)评估并通报应急响应演练结果;
8)总结经验并提出对应急预案的更新建议及其它整改措施;
9)更新应急预案,实施整改工作。
1.12.应急工作监督检查制度
应急工作领导小组检查组应每年一次对信息系统应预案的实施、培训和演练情况进行监督和检查。
1.13.更新
(1)本预案由信息化应急领导小组负责更新;,
(2)预案坚持周期性的评审原则,每年一次,根据需要及时进行修改;。
(3)在每次应急响应过程结束之后,应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题进行修改;
(4)修改后的预案经评审通过后发布生效。