网络安全应急处置工作流程修订稿Word下载.docx

1、第三章编制依据第三条 国家通信保障应急预案、中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管理办法、信息安全应急响应计划规范、信息 安全技术信息安全事件分类分级指南第四章组织机构与职责第四条 公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统一领导。负责全中心系统信息安全应急工作的领导、决策和重大工作部署。第五条 由公司董事长担任领导小组组长，技术部负责人担任领导小组副组长，各部门主要负责人担任小组成员。第六条 应急领导小组下设应急响应工作小组，承担领导小组的日常工作，应急 响应工作小组办公室设在技术部。主要负责综合协调网络与信息安全保障工作，并根 据网络与信息安全事件的

2、发展态势和实际控制需要，具体负责现场应急处置工作。工 作小组应当经常召开会议，对近期发生的事故案例进行研究、分析，并积极开展应急 响应具体实施方案的研究、制定和修订完善。第五章预防与预警机制第七条 公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。第八条 信息监测及报告L应加强网络与信息安全监测、分析和预警工作。公司应每天定时利用自身监测 技术平分实时监测和汇总重要系统运行状态相关信息，如：路由器、交换机、小型 机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及 流量等日志信息，分析系统安全状况，及时获得相关信息。2.建立网络与信息安全事

3、件通报机制。发生网络与信息安全事件后应及时处理, 并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报 告。第九条 预警应急响应工作小组成员在发生网络与信息安全事件后，应当进行初步核实及情况 综合，快速研究分析可能造成损害的程度，提出初步行动对策，并视事件的严重程度 决定是否及时报各自应急响应执行负责人。应急响应执行负责人在接受严重事件的报告后，应及时发布应急响应指令，并视 事件严重程度向各自信息安全领导小组汇报。L预警范围：（1）易发生事故的设备和系统；（2）存在事故隐患的设备和系统；（3）重要业务使用的设备和系统；（4）发生事故后可能造成严重影响的设备和系统。2.预防

4、措施：（1）建立完善的管理制度，并认真实施；（2）设立专门机构或配备专人负责安全工作；（3）适时分析安全情况，制定、完善应急响应具体实施方案。第十条 预防机制积极推行信息系统安全等级保护，逐步实行网络与信息安全风险评估。基础信息 网络和重要信息系统建设要充分考虑抗毁性与故障恢复，制定并不断完善网络与信息 安全应急响应具体实施方案；及早发现事故隐患，采取有效措施防止事故发生，逐步 建立完善的监控系统，保证预警的信息传递准确、快捷、高效。第六章事件分类与分级第十一条 事件分类公司系统网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事 件、信息内容安全事件、设备设施故障、灾害性事件和其他信

5、息安全事件等7个基本 分类。有害程序事件：蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的 网络与信息安全事件。网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺 陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系 统当前运行造成潜在危害的网络与信息安全事件。信息破坏事件:通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、 泄漏、窃取等而导致的网络与信息安全事件。信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利 益的内容的安全事件，利用网络从事违法犯罪活动的情况，网络恐怖活动的嫌疑情况 和预警信息。设备设施故障：由

6、于信息系统自身故障或外围保障设施故障而导致的网络与信息 安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的网络 与信息安全事件。灾害性事件：由于不可抗力对信息系统造成物理破坏而导致的网络与信息安全事 件。其他信息安全事件：不能归为以上6个基本分类的网络与信息安全事件。第十二条 事件定级公司系统网络与信息安全事件级别分为四级：一级（特别重大）、二级（重大）、 三级（较大）和四级（一般）。一级（特别重大）：指能够导致特别严重影响或破坏的网络与信息安全事件。二级（重大）：指能够导致严重影响或破坏的网络与信息安全事件。三级（较大）：指能够导致相对严重影响或破坏的网络与信息安全事件。

7、四级（一般）：指能够导致较小影响或破坏的网络与信息安全事件。第七章应急响应的流程第十三条 在发生信息安全事件时，启动下列应急响应流程，应急响应流程下图所不O1、事件分析事件分析主要完成如下工作：1）在发生信息安全事件后，应急响应工作小组对事件进行确认。2）确认为信息安全事件后，根据应急处理事件分类规则对事件进行定性、定级 和上报。3）根据对事件的初步分析，确定应急处理方式，如果应急响应工作组以自身力 量无法处理的事件，由应急工作小组向上级领导或上级机关提出应急支援请求。应急响应流程图2、事件处理事件处理主要包括以下内容：1）泄密安全事件发生时，要及时的用口头或书面的形式向保密工作部门如实报 告

8、并上报上级主管部门的保密机构，同时采取断开网络、改变或终止用户权限等措施 切断泄密源头，控制泄密范围,并及时对系统隐患进行修补。在对系统的泄漏隐患或 风险进行重新评估，确认安全后，系统方能重新运行，对事件类型、发生原因、影响 范围、补救措施和最终结果进行详细纪录。2）系统运行安全事件发生时，应分析是否存在针对该事件的特定系统预案，如 果存在则启动特定系统应急预案.如果涉及多个特定系统预案，应同时启动所有涉及 的特定系统预案。分析是否存在针对该事件的专题预案，如果存在则启动专题预案，如果事件涉及多个专题预案，应同时启动所有涉及的专题预案。3）如果没有针对该事件的应急预案.应根据事件具体情况，采取

9、抑制措施，抑 制事件进一步扩散，并根除事件影响，恢复系统运行；3、结束响应系统恢复运行后，应急响应工作组对事件造成的损失、事件处理流程、应急预案 进行评估，对响应流程、预案提出修改意见，撰写事件处理报告。应急响应工作组应 根据信息安全应急预案要求，确定是否需要上报该事件及其处理过程，需要上报 的应及时准备相关材料，上报上级机关。对于蠕虫、病毒等易造成大范围传播的信息安全事件，应及时向应急工作小组提 交预警信息。应急响应流程结束。第十四条 应急处置演练制度为保证应急行动的能力，应每年至少组织一次应急行动演练，以提高处理应急事 件的能力，检验物资器材的完好情况。应急响应演练按如下步骤进行：（1）由

10、信息安全应急响应领导小组确定应急响应演练的目标和应急响应演练的范 围；（2）按信息安全应急响应领导小组的要求，由应急响应工作小组制定应急响应演练 的方案；（3）应急响应工作小组调配应急响应演练所需的各项资源，并协调应急响应演练过 程中涉及的部门和单位；（4）应急响应工作小组组织进行应急演练；（5）信息安全应急响应领导小组总结经验，根据演练结果对应急预案进行更新，并 对本单位的应急工作整改。在应急响应演练结束之后，应急响应工作小组应针对应急响应工作过程中遇到的 问题,分析应急响应预案的科学性和合理性，针对预案中的问题向应急工作小组提出 修改建议。应急工作小组组织对修改意见进行评估，修改后的预案应

11、经评估通过后， 上报领导小组，经批准后发布实施。在上级机关预案或相关的法律标准修改后，本预案应进行调整与其保持一致。调 整后，应急工作小组应组织专家组对其评审，评审通过后上报领导小组，经批准后发 布实施。第十五条 应急响应总结制度应急处置结束后，须进行以下工作：（1）召开应急事件总结会议。（2）分析异常事件发生的原因，形成信息安全事件原因分析报告。（3）有关人员编制安全事件处置报告。报告内容包括事件发生事件、地点，监 测到时间的事件、地点，事件的处理过程，事件的处理方法，事件造成的 影响，可吸取的经验报告。（4）对相关责任人员进行严肃的批评和教育.指出其工作中的缺陷，并让其提 供总结报告。情节

12、严重的，给予书面警告、除名等处罚措施。（5）针对发生的事件的起因，分析改进的措施和补救方法，从技术和管理上加 以改进，坚决杜绝类似事件在今后发生。（6）技术改进措施：1）针对脆弱性或漏洞，检查涉密信息系统的其他位置，找出并进行改进或 加固；2）改进应急方案内容.使应急方案满足今后的曰常监测和应急需要； 3）增加可能出现故障设备的备份设备.增加单点设备的备份设备；4）更换或升级经常出故障的产品。5）对本次应急处理的处理方法进行归档，作为知识库进行保管。（7）管理改进措施：1）修改相关制度和岗位工作任务和职责；2）落实人员的岗位职责；3）进一步做好系统的曰常运维工作；4）加强教育，培养人员的安全意

13、识；5）进一步加强安全检查，以检查促安全。第八章持续改进第十六条 为了保证本文件的时效性、可有性，必须根据相关审核规定进行评审和修订，修订后重新发布。第九章附则第十七条 本规定由技术部制定并负责解释。第十八条 本规定自发布之日起施行。附件1 ：通信录1、应急领导小组成员名单姓名部门及职务电话手机邮件备注2：应急工作小组名单3：相关机构和联系方式机构名称联系人联系电话信息安全服务商电信运营商其他机构附件2：泄密事件报告表泄露国家秘密事件报告表发生泄密事件部门泄密事项的主要内容发生（现）时间发生（现）地点当事人姓名当事人职务泄密的方式泄露密级及载体数 （份、件、项等）绝 密机 密秘 密主要责任人基本情况：泄密事件发生经过：采取补救措施：主管领导（签字）填报人：年 月日附件3 ：日常监测异常事件记录日常监测异常事件记录表记录人： 记录时间：异常事件名称异常事件 类型系统运营事件 泄密事件详细描述注：相关日志等可作为附件粘贴在本记录表后面。异常事件发 现时间异常事件发 现途径异常事件 监测者异常事