网络与信息化安全应急预案及管理办法.docx

1、网络与信息化安全应急预案及管理办法修订记录修订日期版次修订页次修订內容摘要2018-4-25A0/第一次发行制定审核核准 1.目的: 为提高公司处理信息网络突发事件的能力，形成科学、有效、反应迅速的应急工作机制，确保公司网络安全，信息系统的实体安全、运行安全和数据安全，最大限度地减少网络与信息安全突发事件的危害，特制定本预案。2.范围:本预案适用与公司可能发生的网络与信息安全突发事件。3.职责:3.1分管信息工作的负责人负责编制与信息安全突发事件的危害演练报告，并任公司内部演练的总指挥。3.2公司信息部负责人(含网络、信息系统管理员或负责人)：1）负责编制、修订所辖范围内信息网络突发事件应急预

2、案并将关联内容给相关人员培训。2）及时组织专业技术人员对公司内信息网络突发事件进行应急处置；负责调查和处置信息网络突发事件，及时上报并按照相关规定作好善后工作。3）负责组建内部信息网络安全应急救援队伍并组织培训和演练；4）定期安排存储设施、系统进行检查问题等，并说明处理结果；5）负责组织演练并提供指导性意见。 4.定义:（无）5.应急预案及管理方法： 5.1信息网络突发事件分类及分级1）信息网络突发事件分类a)关键设备或系统的故障；b)自然灾害（水、火、电等）造成的物理破坏；c)人为失误造成的安全事件；d)电脑病毒等恶意代码危害；e)人为的恶意攻击；f)其他各类突发事件等2）信息网络突发事件分

3、级根据网络与信息安全突发事件的可控性、严重程度和影响范围，参照网络与信息安全事件分级标准，公司网络与信息安全事件分为四级：a)I级（特别重大网络与信息安全事件）b)II级（重大网络与信息安全事件）c)III级（较大网络与信息安全事件）d)IV级（一般网络与信息安全事件）5.3预防及预警机制1）信息网络突发事件安全预防措施包括分析安全风险，准备应急处置措施，建立网络和信息系统的监测体系，控制有害信息的传播，减少可能造成的损失。2）应急准备和预警响应a)公司工作人员明确职责和管理范围，根据实际情况，安排应急值班，确保到岗到人，联络畅通，处理及时准确。b)公司全体员工有义务监测网路与信息安全。各部门

4、发现网络与信息安全预警信息，应及时通知。专业技术人员会进行处判，提出预警等级建议，遇到有可能造成严重后果的I至III级信息安全预警事件，还应按相关规定提报领导审查后发出预警。c)专业技术人员加强值班值守工作。接到预警信息后，应立即启动应急预案，进入预警状态，做好应急处理各项准备工作。3）具体措施a)建立安全、可靠、稳定运行的机房环境，防火、防盗、防雷电、防水、防静电、防尘；建立备份电源系统；加强所有人员防火、防盗等基本技能培训。b)实行实时监视和监测，采用授权认证方式避免非法接入和虚假路由信息。c)重要系统采用可靠、稳定硬件，落实数据备份机制，遵守安全操作规范；安装有效的防病毒软件，及时更新升

5、级扫描引擎；加强对局域网内所有用户和信息系统管理员的安全技术培训。d)安装具有入侵检测功能的硬件防火墙及上网行为管理，监测恶意攻击、病毒等非法侵入，控制有害信息经过网络的传播，建立网关控制、内容过滤等控制手段。4）预警解除I至III级预警解除后，及时向领导汇报及跟进后继工作。5.4应急措施1)信息报告 发生网络与信息安全事件后，发现者立即通知专业技术人员和信息安全组。专业技术人员和有关单位进行研判后，保存证据，检查影响范围和危害程度，提出应急处理建议，报相关部门领导同意后启动应急预案。遇到有可能造成严重后果的I至III级信息安全事件，还应按相关规定及时上报公司领导。2)先期处理当发生网路与信息

6、安全突发事件时，专业技术人员相关工作人员做好先期应急处理工作，采取措施控制事态，必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据突发事件发展事态，专业技术人员信息安全组应组织设备厂商、系统开发商等应急支援力量，保存证据，做好应急处理工作。3)应急预案及管理方法(一)消防系统应急处理预案(1)当出现火情、火灾时，发现人员应迅速切断电源，利用就近灭火器进行灭火 并在最短时间内通知专业技术人员及分管相关领。若火情严重时，应迅速拨打119电话报警，并尽可能采取一些简单可行的方法做初步的处理，如：科学使用周围的灭火器材或采用其他灭火措施、手段。在灭火的同时，立即疏散灾情范围的工作人员。进展情况随

7、时向专业技术人员及分管领导报告。 (2) 一旦机房发生火灾，应遵循以下原则：首先保证人员安全；其次保证关键设备安全；再保证一般设备安全；救火过程中应边救火，边报警。(二)机房漏水应急预案发生机房漏水时，第一目击者应立即通知专业技术人员机房管理人员和专业技术人员，机房管理人员接报后应立即前往事发地。若空调系统出现渗漏水，机房管理人员应立即通知后勤维修组进行处理,并及时清除机房积水。若墙体或窗户渗漏水，机房管理人员应立即采取有效措施确保机房安全，同时通知基建维修组，及时清除积水，维修墙体或窗户，消除渗漏水隐患。(三)电力系统故障的应急预案 （1）外电中断后，专业技术人员值班人员应立即检查中心机房U

8、PS电源是否正常供电，并查明中断原因，及时向专业技术人员报告。（2）如因楼内线路故障，要求后勤电力维修部门迅速恢复供电。（3）如因外部供电部门因素导致供电中断，要求后勤电力维修部门立即向供电部门联系，请供电部门迅速恢复供电。（4）如告知需要长时间停电，应作如下安排：预计停电2小时以内，由UPS供电；预计停电2小时以上4小时以内，关掉非关键设备，确保各主机、路由器、交换机供电。预计停电超过4小时，关掉所有机器设备。（5）电力系统恢复供电后，专业技术人员人员按照规定流程开启相关设备。(四)设备发生被盗或人为损害事件应急预案发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告专业技术人员，同时

9、保护好现场。专业技术人员接报后，通知安保部门、一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。事发部门和当事人应当积极配合相关部门进行调查，并将有关情况向现场领导小组汇报。专业技术人员协助事发部门及时恢复设备正常运行，并对事件进行调查。专业技术人员和事发部门应在调查结束后书面报告公司相关领导。(五)通信网络故障应急预案发生通信线路中断、路由故障、流量异常、域名系统故障后，网络管理员应及时通知网络组负责人。网络管理员应及时查清通信网络故障位置，隔离故障区域，并通知相关通信网络运营商查清原因；同时及时组织相关技术人员检测故障区域，逐步恢复故障区与服务器的网络联接

10、，恢复通信网络，保证正常运转。事态或后果严重的，应及时报告专业技术人员。应急处置结束后，网络管理员应将出具故障分析及处理结果报告以备查。(六)大规模病毒（含恶意软件）攻击应急预案（1）当发现有计算机被感染上病毒后，计算机使用人员应立即使用杀毒软件对计算机杀毒，并通知专业技术人员。专业技术人员人员应及时赶到现场并采取隔离网络等措施。（2）专业技术人员人员对该设备的硬盘进行数据备份。 （3）专业技术人员人员启用反病毒软件对该机进行杀毒处理，并对相关机器进行病毒扫描和清除工作。（4）如发现反病毒软件无法清除该病毒，应向专业技术人员领导汇报，专业技术人员组织相关信息人员研究解决。（5）情况较为严重的，

11、及时向有关分管领导报告。（6）处置结束后，出具网络病毒事件报告以备查。(七)软件信息系统故障应急预案（1）软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份；并将它们保存与安全处。（2）软件系统发生故障后，专业技术人员人员应立即向专业技术人员汇报，经确认后停止该系统的运行并切换至备份系统，保证业务正常进行。（3）系统管理员应根据相关信息系统业务连续性计划，立即检查出现故障的原因并尽快排除。如遇重大故障不能解决时，应立即联系软件开发部门或设备供应部门共同查找原因，了解故障程度，着手抢修。（4）凡超过2个小时还未修复完毕，严重影响了业务工作的正常进行，应通知相关业务部门采用其他方式尽

12、力完成业务工作，待系统修复后输入业务系统。 （5）如遇数据库损坏等重大事故时，应小心将备份文件还原，避免重要数据的丢失。（6）事态或后果严重的，及时报告公司领导。（7）处置结束后，系统管理员出具信息系统故障报告以备查。(八)服务器设备硬件故障的应急处理预案（1）小型机、服务器等关键设备损坏后，专业技术人员人员应立即向专业技术人员报告。（2）专业技术人员立即组织信息人员查明原因。联系维保单位更换受损部件。（3）如果设备一时不能修复，应向分管领导汇报，并告知各部门暂缓上传上报数据。（4）处置结束后，专业技术人员相关人员出具服务器设备硬件故障报告以备查(九)网络中断紧急处理流程（1）故障排查。网络中

13、断后，专业技术人员网络管理人员要迅速判断故障节点，查明故障原因。（2）故障排除。如属线路故障，应重新安装线路。如属路由器、交换机等网络设备故障，专业技术人员网络管理人员立即检修并调试通畅。如路由器、交换机配臵文件破坏，专业技术人员网络管理人员应迅速按照要求重新配臵，调试通畅。必要时，请有关厂家技术协助调测畅通。如需更换设备，应上报专业技术人员相关负责人，经批准后马上更换故障设备，尽快恢复系统运行。如发现属于外部线路的问题，立即与线路运营商联系，敦促尽快恢复故障线路。 专业技术人员网络管理人员无法及时修理时，应立即通知相关供应商及维护人员，在最短时间内安排修理。（3）处置结束后，专业技术人员网络

14、管理人员出具网络故障报告以备查(十)黑客攻击事件应急处理预案（1）当发现网络上有黑客攻击行为时，应立即向通报情况，专业技术人员人员立即报告专业技术人员。（2）专业技术人员人员应立即赶到现场，将被攻击的服务器等设备从网络中隔离出来，保护现场。（3）如事态较为严重，经向分管领导请示后，立即向公安部门报警，配合公安部门展开调查。（4）专业技术人员人员做好被攻击或破坏系统的恢复与重建工作。（5）专业技术人员负责组织技术力量追查非法信息来源。（6）专业技术人员人员将实施事件处理的过程和结果备案存档，必要时向分管领导汇报。(十一)核心设备硬件故障应急处理预案发生核心设备硬件故障后，专业技术人员应及时组织查

15、找并确定故障设备及故障原因，进行先期处置。若故障设备在短时间内无法修复，专业技术人员应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。专业技术人员应在故障排除后，在网络空闲时期，替换备用设备；若故障仍然存在，立即联系相关厂商，认真填写设备故障报告单备查。4事态后果严重的，及时报告公司领导。(十二)应急预案特别注意事项（1）在启动上述应急预案时，如果超过2个小时还未修复完毕，严重影响了业务工作的正常进行，应通知相关业务部门采用其他方式尽力完成业务工作，待系统修复后输入业务系统。(2)发生信息网络突发事件后，相关人员应在5分钟内向相关网络信息负责人报告，相关网络信息负责人采取

16、有效措施开展先期处置，恢复信息网络正常状态。发生重大事故（事件），无法迅速消除或恢复系统，影响较大时报公司相关领导并立即告之受影响的相关员工。5.5善后处置应急处置工作结束后，有关技术人员组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，根据应急处置中暴露出的管理、协调和技术问题，改进和完善预案，实施针对性演练，总结经验教训，整改存在隐患，组织恢复正常工作秩序。5.6应急保障1）通信保障。专业技术人员负责收集、建立信息网络突发事件应急处置工作，负责内部及其他相关部门的应急联络信息。2）装备保障。专业技术人员负责建立并保持电力、空调、机房等网络

17、安全运行基本环境，预留一定数量的信息网络硬件和软件设备，指定专人保管和维护。各业务部门针对本部门的业务特点，在做好设备、资料的预留备份。3）数据保障。重要信息系统均建立备份系统及信息系统业务连续性计划，保证重要数据在受到破坏后可紧急恢复。4）队伍保障。建立符合要求的网络与信息安全保障技术支持力量，对网络接入部门的网络与信息安全保障工作人员提供技术支持和培训服务。5.7监督管理 1)宣传教育和培训。将信息网络突发事件的应急管理、工作流程等列为培训内容， 增强应急处置能力。加强对信息网络突发事件的技术准备培训，提高技术人员的防范意识及技能。每年至少开展一次公司范围内的信息网络安全教育，提高信息安全防范意识和能力。2)预案演练。专业技术人员每年至少安排一次演练，建立应急预案定期演练制度。通过演练，发现和解决应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。 3)责任与奖惩 专业技术人员信息安全组不定期组织对各项制度、计划、方案、人员及物资等进行检查，对在信息网络突发事件应急处置中做出突出贡献的集体和个人，提出表彰奖励建议；对玩忽职守，造成不良影响或严重后果的，依据公司的相关规定提出处理意见，追究其责任。6.附则6.1本预案由专业技术人员制定。6.2公司根据实情况的变化，及时修订完善本预案6.3本预案由专业技术人员组织实施并负责解释。6.4本预案自发布之日起施行。