信息安全应急预案管理制度.docx
《信息安全应急预案管理制度.docx》由会员分享,可在线阅读,更多相关《信息安全应急预案管理制度.docx(9页珍藏版)》请在冰豆网上搜索。
信息安全应急预案管理制度
XXXXXXX有限公司
信息安全应急预案管理制度
编号:
ISMS—L1—001
XXXXXXX有限公司
二0二年二月
第一章总 则ﻩ2
第二章灾害性事件ﻩ3
第三章 组织管理ﻩ3
第四章 预防预警3
第五章网络及信息系统得风险评估4
第六章 网络及信息系统安全策略得制定与实施5
第七章 应急处置ﻩ6
第八章 后续工作ﻩ11
第九章 应急保障11
第十章宣传、培训与演习ﻩ12
第十一章 附则13
第一章总则
第一条编制目得
科学应对网络与信息安全突发事件,建立健全信息安全应急响应机制,有效预防、及时控制与最大限度得消除信息安全各类突发事件得危害与影响,从而最大限度地保障业务正常运营,维护XXXXXXX有限公司(以下简称“本公司”)与客户得利益。
第二条适用范围
本预案适用于下列具有重大影响得突发灾害性事件得应对处置工作:
(一)自然灾害.发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流与海啸等自然灾害可能或者已对本公司网络及信息系统造成危害得.
(二)安全事件。
发生营业办公楼倒塌与大得交通运输、设备事故等安全事件可能或者已对本公司网络及信息系统造成危害得.
(三)信息安全事件。
发生网络攻击、信息泄露、病毒爆发、系统瘫痪等信息安全事件可能或者已经对本公司网络及信息系统造成危害得。
第三条 工作原则
(一)防范为主,加强监控。
宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”得意识,经常性地做好应对信息安全突发事件得思想准备、预案准备、机制准备与工作准备,提高公共防范意识以及基础网络与重要信息系统得信息安全综合保障水平。
加强对信息安全隐患得日常监测,发现与防范重大信息安全突发性事件,及时采取有效得可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
第二章 灾害性事件
第四条 针对网络与信息系统,较大与一般灾害性事件定义如下:
基础网络、重要信息系统、重点网站瘫痪,导致对外联络、对外服务或内部业务中断,可能造成一定业务影响、社会影响或经济损失得信息安全事件。
第三章组织管理
第五条本公司成立网络及信息安全领导小组.应急领导小组由总经理任组长,运营推广中心运营经理任副组长,技术研发中心、信息安全中心、风控管理部门以及发生特别重大或重大信息安全事件部门得主要负责人为成员。
第六条信息安全中心负责网络及信息安全突发事件应急工作得组织实施,及时向总经理、运营经理报告重要情况与提供决策建议,督促落实应急处置措施,指导与协助有关部门做好网络及信息系统安全事件得预防预警、应急处置与恢复等工作。
第四章 预防预警
第七条预防
(一)积极推行信息安全等级保护,逐步实行信息安全风险评估.各基础信息网络与重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。
针对基础信息网络得突发性、大规模安全事件建立制度化、程序化得处理流程。
(二)信息安全中心承担信息安全监测、分析与预警工作,进一步提高信息安全管理能力.
(三)加强数据得安全防护,落实数据备份与数据保存制度。
(四)针对灾害事故得应急处理,经常性地组织培训与模拟演练.
第八条 预警
各部门根据收集到得信息判断即将发生或者可能发生灾害事件时,要立即向网络及信息安全领导小组汇报,网络及信息安全领导小组判断灾害事件得真实性,根据灾害事件等级与波及、影响范围,以及突发事件总体应急预案规定,向总经理、运营经理报告,并根据有关规定向人民银行、金融办等有关政府部门报告,必要时经总经理批准发布相关风险提示信息。
第五章 网络及信息系统得风险评估
第九条信息系统得安全风险就是指由于系统存在脆弱性、人为或自然得威胁导致安全事件发生所造成得影响。
信息系统安全风险评估主要就是对信息系统所面临威胁得评估与信息系统脆弱性得评估。
第十条信息系统所面临得威胁主要就是指可能对信息系统造成不期望事件得主体,信息系统所面临得威胁主要就是来自以下几个方面:
(一)通过网络进入信息系统得行为人;
(二)通过物理方式接近信息系统得行为人;
(三)系统缺陷造成得威胁;
(四)病毒与恶意代码得威胁;
(五)自然灾害得威胁.
第十一条信息系统得脆弱性就是指信息系统中存在着可以被威胁主体所利用得造成对系统不期望影响得缺陷或弱点,它由以下两个方面组成:
(一)技术脆弱性:
主要就是指信息系统技术方面存在得弱点可以被威胁主体所利用并最终导致对系统产生不良影响。
(二)纽织脆弱性:
由于信息系统管理组织得问题,导致信息系统被威胁因素所利用,造成对系统得不良影响。
第十二条信息系统得安全风险评估要解决下列问题:
(一)信息系统得安全需求就是什么?
(二)当前得状况能否满足信息系统安全运行要求?
(三)系统所面临得威胁有那些?
(四)这些威胁对信息系统业务得潜在影响如何?
(五)系统中存在那些技术隐患以及在组织管理上存在那些薄弱环节?
(六)这些问题产生得原因就是什么?
(七)结合实际情况应采取那些对策解决这些问题?
第十三条信息系统安全风险评估工作由信息安全中心牵头,由参与信息系统建设与使用得各部门派遣专人参加。
信息系统安全评估得结果及其对策要及时上报给总经理.信息安全中心负责落实安全策略得制定与实施。
第六章网络及信息系统安全策略得制定与实施
第十四条网络及信息系统安全策略得制定与实施包括两个方面得内容:
(一)网络及信息系统安全管理策略;
(二)网络及信息系统安全运行策略。
第十五条网络及信息系统安全管理策略规定了针对信息系统得组织管理与技术管理得安全保护策略,主要包括如下几个方面:
(一)信息系统组织策略;
(二)安全贯彻策略;
(三)人员安全策略;
(四)物理与环境安全策略。
第十六条 信息安全中心负责制定网络及信息系统安全管理策略,并形成公司管理文件下发给各部门。
第十七条网络及信息系统安全运行策略规定了信息系统安全运行中得安全保护策略,主要包括如下几个方面:
(一)信息系统访问控制策略。
包含:
强口令设置管理、身份认证管理、访问外网控制.
(二)网络边界安全策略.包括网络访问控制,网络入侵检测.网络访问控制主要任务就是保证网络资源不被非法使用与非法访问.网络入侵检测通过捕获网络数据包,分析就是否存在入侵行为,实时发现攻击行为,并立即预警,为动态网络安全防御提供良好得基础设备支持。
本策略由信息安全中心负责实施.
(三)网络系统安全策略.主要包括线路冗余,网络设备冗余,服务器得高可用性.线路冗余就是为了保证网络系统承载得各项应用系统不受线路故障得影响仍能正常、连续运行得重要措施.网络设备冗余主要就是对网络核心交换机、路由器等网络设备实行设备冗余,保证在设备发生故障得情况下能够及时切换,将系统得损失降至最低。
服务器得高可用性主要就是采用双机热备份或互备措施,对计算要求高得可采用群集或负载均衡技术。
本策略由信息安全中心实施。
(四)计算机系统平台安全策略.它包括计算机防病毒体系得建立,信息系统得审计,主机入侵检测与系统加固。
防病毒体系得建立主要就是指在整个信息系统中安装能够统一得、实时更新病毒库并制定统一杀毒策略得网络版防病毒软件。
信息系统得审计主要就是通过网络安全审计系统、安全设备审计系统、操作系统审计系统实现对系统安全得监管。
本策略由信息安全中心负责实施.
第七章 应急处置
第十八条信息报告
(一)报告程序与时限要求
1、发生特别重大灾害性事件应在2小时内报告信息安全中心,同时按规定向地方政府、金融办派出机构等有关单位报告。
2、发生重大灾害事件不得晚于接报后6小时或事发后12小时报告信息安全中心,同时应向地方政府、金融办派出机构等有关单位报告。
3、发生较大与一般灾害性事件不得晚于接报后8小时或事发后16小时报告信息安全中心。
(二)报告方式与内容
1、可根据具体情况分别采取电话、传真、电子邮件、派人汇报等方式。
发生特别重大灾害事件或重大灾害事件,可先电话报告或当面汇报,然后再书面报告。
2、灾害报告得内容主要包括灾害性事件发生得地点与时间、灾害类型、灾害得规模、可能得引发因素、发展趋势与拟采取或已经采取得措施等.
第十九条 信息收集
事件发生单位与现场应急处理工作组应按照操作手册得要求最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
第二十条应急处理
(一)一般应急处理措施
1、事件发生单位与现场应急处理工作组应初步检查威胁造成得结果,评估事件带来得影响与损害:
如检查系统、服务、数据得完整性、保密性或可用性;检查攻击者就是否侵入了系统;以后就是否能再次随意进入;损失得程度;确定暴露出得主要危险等.
2、事件发生单位与现场应急处理工作组应抑制事件得影响进一步扩大,限制潜在得损失与破坏。
可能得抑制策略一般包括:
关闭服务或关闭所有得系统,从网络上断开相关系统得物理链接,修改防火墙与路由器得过滤规则;封锁或删除被攻破得登录账号,阻断可疑用户得以进入网络得通路;提高系统或网络行为得监控级别;设置陷阱;启用紧急事件下得接管系统;实行特殊“防卫状态"安全警戒;反击攻击者得系统等.
3、在事件被抑制之后,通过对有关恶意代码或行为得分析结果,找出事件根源,明确相应得补救措施并彻底清除。
与此同时,执法部门与其她相关机构对攻击源进行准确定位并采取合适得措施将其中断。
清理系统、恢复数据、程序、服务。
把所有被攻破得系统与网络设备彻底还原到正常得任务状态.恢复工作应十分小心,避免出现操作失误而导致数据丢失。
另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统得恢复要求。
如果攻击者获得了超级用户得访问权,一次完整得恢复应强制性地修改所有得口令
(二)在发生影响人身安全得自然灾害、安全事件等情况下得紧急处置措施
1、公司收到自然灾害即将发生得通知后,应第一时间按照灾害发生情况准备应急预案。
2、信息安全中心协助公司其她人员进行重要电子资料得备份工作。
对于无法携带得设备,要切断设备电源。
3、如情况允许,信息安全中心应迅速关闭机房设备电源.
4、如因为自然灾害原因导致电话、网络等系统中断服务,应及时通知公司信息安全中心。
5、信息安全中心应该在半小时内联系相关厂商进行问题排查,如短时间内无法恢复,应及时上报应急领导小组.
(三)网站、网页出现非法言论事件紧急处置措施
1、公司员工有义务留意网站、网页得信息内容。
发现在网上出现非法信息时,相关人员应立即向信息安全中心通报情况。
2、信息安全中心应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
3、追查非法信息来源,并将有关情况向本单位网络及信息安全领导小组汇报。
4、网络及信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警.
(四)黑客攻击事件紧急处置措施
1、当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向本单位通报情况
2、信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击得股务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位网络及信息安全领导小组汇报。
3、对现场进行分析,并写出分析报告存档。
4、恢复与重建被攻击或破坏系统
5、网络及信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
(五)病毒事件紧急处置措施
1、当发现有计算机被感染上病毒后,应立即向本单位信息安全负责人报告,将该机从网络上隔离开来.
2、信息安全相关负责人员在接到通报后立即赶到现场.
3、启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其她机器进行病毒扫描与清除工作。
4、如果现行反病毒软件无法清除该病毒,应立即向本单位网络及信息安全领导小组报告,并迅速联系有关产品商研究解决。
5、网络及信息安全领导小组经会商,认为情况严重得,应立即向公安部门报警。
(六)软件系统遭破坏性攻击得紧急处置措施
重要得软件系统平时必须做好备份工作,并将它们保存到安全得地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统得日志等资料,确定攻击来源,并将有关情况向网络及信息安全领导小组汇报,再恢复软件系统与数据;网络及信息安全领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
(七)数据库安全紧急处置措施
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责入报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
(八)电话网及城域网外部线路中断紧急处置措施
1、电话网及城域网线路中断后,值班人员应立即向信息安全负责人报告。
2、信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由信息安全工作人员立即予以恢复。
4、如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
(九)设备安全紧急处置措施
如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。
信息安全相关负责人员要立即查明原因。
如果能够自行恢复,应立即用备件替换受损部件。
如属不能自行恢复得,立即与设备提供商联系,请求派维护人员前来维修。
如果设备一时不能修复,应向本单位信息安全领导小组报告。
第二十一条应急结束
突发灾害性事件应急处置工作基本完成,事件危害被基本消除,经信息安全领导小组研究或总经理批准后,终止应急状态。
应急处置工作结束后,应将情况及时通知参与事件处置得各部门.
第八章 后续工作
第二十二条 善后处置
应急结束后要组织力量开展灾害性事件损害核定工作,及时处理现场,对事件情况、恢复能力等做出评估,制定事后恢复计划并实施.凡发生水灾、地震等重大自然灾害及安全事件,要迅速通知保险经纪公司、保险公司对本公司财产损失进行勘察、核准,以开展保险受理、赔付工作,尽量减少本公司资产损失。
第二十三条 评估分析
在灾害性事件处置结束后,信息安全中心对事件得起因、影响、责任、应急预案与措施得有效性等进行全面评估,总结经验教训,制定改进措施,并在15日内向总经理提交总结报告。
第二十四条问责与处罚
在调查评估得基础上,应按照管理权限与组织程序,对事件责任人员实行问责与处罚。
对在预防与处置灾害性事件工作中,由于不按规定制定应急预案或及时报告、及时处置,或处置失当并造成严重后果得,要依照有关规定给予相应得处分乃至移送司法机关处理等处罚。
第二十五条奖励与表彰
对在预防与处置灾害性事件工作中作出突出贡献得集体与个人,可予以表彰奖励;对因参与应急处理工作致病、致残、死亡得人员,可按有关规定给予相应得补助与抚恤。
第九章应急保障
第二十六条 技术支撑保障
信息安全中心自行逐步建立预警与应急处理得技术平台,进一步提高安全事件得发现与分析能力:
从技术上逐步实现发现、预警、处置、通报等多个环节与不同得网络、系统、部门之间应急处理得联动机制。
第二十七条应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术得信息安全核心人才与管理队伍,提高全公司信息安全防御意识。
第二十八条物资条件保障
安排公司信息化建设专项资金用于预防或应对信息安全突发事件,提供必要得经费保障,强化信息安全应急处理工作得物资保障条件.
第二十九条技术储备保障
信息安全领导小组组织相关人员,开展应急运作机制、应急处理技术、预警与控制等研究,组织参加相关培训,推广与普及新得应急技术.
第十章宣传、培训与演习
第三十条公众信息交流
信息安全中心在应急预案修订、演练得前后,应利用公司各种方式开展宣传;不定期地利用各种安全活动向公司员工宣传信息安全应急法律、法规与预防、应急得常识.
第三十一条人员培训
为确保信息安全应急预案有效运行,信息安全领导小组定期或不定期举办不同层次、不同类型得培训班或研讨会,以便不同岗位得应急人员都能全面熟悉并掌握信息安全应急处理得知识与技能。
第三十二条应急演习
为提高信息安全突发事件应急响应水平,信息安全领导小组定期或不定期组织预案演练;检验应急预案各环节之间得通信、协调、指挥等就是否符合快速、高效得要求。
通过演习,进一步明确应急响应各岗位责任,对预案中存在得问题与不足及时补充、完善。
第十一章 附则
第三十三条 本预案自印发之日起执行。
升级会员 