信息系统应急预案管理制度.docx

1、信息系统应急预案管理制度信息系统应急预案管理制第一章总则第一条 为科学应对XX公司信息系统信息安全突发事件、建立 健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除 信息安全各类突发事件的危害和影响，特制定本应急预案管理制度。第二条 本制度适用于XX公司。第二章组织机构与职责第三条设立信息系统信息安全应急工作组（简称“应急工作 组”），应急工作组主要成员由公司领导、技术部技术人员组成，主 要职责是：（一） 承担值守应急工作；（二） 收集、分析工作信息，及时上报重要信息；（三） 负责信息系统网络与信息安全的监测预警和风险评估控 制、隐患排查整改工作；（四） 组织制订、修订信息系统网络与

2、信息安全突发事件相关的 应急预案；（五） 负责组织协调信息系统网络与信息安全突发事件应急演 练。第三章应急保障第四条相关部门及人员要按照职责进行分工和相关预案准备， 切实做好应对网络与信息安全事件的人力、物力、财力等保障工作， 保证应急救援工作和恢复重建工作的顺利进行。第五条人员保障：配备相应的应急力量或引进第三方应急服 务，组建网络与信息安全事件应急响应专业队伍，培养骨干力量。第六条经费保障：应落实网络与信息安全事件应急管理工作专 项经费预算。应急处置和基础设施运维等应急管理经费预算，纳入毎 年预算。第七条 物资保障：应当做好网络信息系统设备储备工作，包括 信息系统服务器、交换机、防火墙等关

3、键设备的备份。第四章安全事件应急预案框架第八条系统应急工作组应根据需要编制信息安全事件应急预 案，以指导安全事件的处理机制和流程。第九条 安全事件应急预案框架的内容：（一） 启动应急预案的条件，描述启动每个计划前应遵循的过程;（二） 应急处理流程，描述危及业务操作的事故发生之后所要采 取行动的应急程序；（三） 描述将基本业务活动或支持服务移到替代的临时地方，并 在要求的时段内使业务过程回到运行状态的动作的回退程序；（四） 恢复和复原未完成时应遵循的临时操作程序；（五） 描述恢复正常业务操作的动作的恢复程序；（六） 规定如何及何时要检验该计划的维护时间表，以及维护该 计划的过程；（七） 实行紧急

4、的、回退和恢复程序所需的关键资产和资源。第五章应急响应程序第十条系统故障应急预案（一）当发生系统故障事件时，发现人应在5分钟内通知信息安 全小组，由信息安全小组报告信息系统应急工作组，同时根据情况及 时上报信息安全领导小组；（二） 系统应急工作组需组织技术部相关人员及时分析事件发生 源头，切断事件源头，控制事件范围，必要时停止系统运行；（三） 信息安全小组应及时查看安全审计日志，对异常事件发生 源头、发生原因、影响范围做出判断，并提出补救措施；（四） 技术部立即停止发生问题的应用系统，对异常事件内容和 范围予以确认；（五） 针对事件原因查找系统漏洞，提出系统安全策略调整方案, 并报系统应急工作

5、组审批，应急处置审批表;（六） 审批通过后根据系统安全策略调整方案，对安全设备、应 用系统等的安全控制策略做出相应调整，确认无误后恢复系统运行；（七） 信息安全组详细填写系统异常事件处理记录，并上报 备案。第十一条 网络攻击应急预案（一） 信息安全小组根据安全设备的报警和审计日志，确定攻击 目标和攻击来源；（二） 对攻击目标采取关闭或隔离措施，详细检查被攻击系统是 否留有恶意代码，更改密码增强安全防范策略，必要是对系统和数据 进行紧急备份；（三） 对攻击来源进行隔离，分析原因，停止攻击行为，调整安 全防范策略；（五） 系统应急工作组在对系统进行安全评估后，恢复系统上线 运行；（六） 信息安全小

6、组详细填写系统异常事件处理记录，对于 恶意攻击上报有关主管部门。第十二条 病毒爆发应急预案（一） 安全管理员根据安全设备和网络杀毒软件的报警和日志， 分析攻击来源，对攻击来源和攻击区域及时采取隔离措施；（二） 对重要的网络服务器和业务应用系统紧急备份，防止因病 毒造成数据丢失，必要时可暂停系统运行；（三） 及时通知防病毒厂商，上报病毒爆发情况并寻求技术支持;（四） 获得处理建议后及时控制病毒进一步传播、升级病毒库、 清除病毒；（五） 分析病毒产生原因，传播途径，采取补救措施，纠正违规 行为；（六） 安全管理员、系统管理员和网络管理员在对系统进行安全 评估，确认病毒已得到控制或清除后，恢复系统上

7、线运行；（七） 安全管理员详细填写系统异常事件处理记录，对于恶 意制造或传播病毒的情况根据情况上报有关部门。第十三条 网络设备及应用服务器异常事件的应急预案（一） 系统应急工作组组织安全管理员、系统管理员、网络管理 员对网络设备及应用服务器异常事件进行原因分析；（二） 及时发布信息对事件原因、处理措施及恢复时间进行通知 公告；（三） 如属于硬件故障及时启用备用设备，并将故障设备报修；（四） 如属于软件故障，应根据故障程度进行紧急调试或启用最 近一次备份进行数据恢复；（五） 系统管理员详细填写系统异常事件处理记录。第六章应急预案审查管理第十四条 系统应急工作组定期每年对应急预案进行一次审 查，根

8、据实际情况，如演练过程中出现的问题等对内容进行更新，以 便更贴合信息系统实际情况。第七章应急预案培训第十五条为确保应急预案有效运行，系统应急工作组应定期 或不定期地举办不同层次、不同类型的培训班或研讨会，以便不同岗 位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。第八章应急预案演练第十六条 为提髙信息安全突发事件应急响应水平，系统应急 工作组应每年至少组织一次预案演练；检验应急预案各环节之间的通 信、协调、指挥等是否符合快速、高效的要求。通过演练，进一步明 确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。第九章附则第十七条本制度的解释权归技术部。附件附件1系统异常事件

9、处理记录系统异常事件处理记录序号S发生 原因发生 时间影响 范围补救措施最终结果处理人01硬件故 障系件故 息硬备 信统设漳单个主 机及时启用备用设 备，并将故漳设 备报修恢复02网络故 障系部通路 息外络线断 信统网讯中整个系统联系网络运营商 进行解决。恢复03系统故 障信息系 统数据 库故障单个服 务器数 据管理及时启用数据库 备份和安全策略 备份恢复04病毒感 染毒软件单台主 机季度自查，升级 操作系统漏洞， 安装防火墙，升 级杀毒软件进行 查杀。恢复正常05网络攻 击DD0S 攻 击单台服 务器进行防火墙安全 配置。阻止来自 特定IP发起的 攻击。对异常流 量进行引流，优 化网站代码，

10、避 免sql注入等攻 击手段恢复正常06线路故 障通信线 路故障单个主 机及时找到故障原 因，更换网线恢复07攻SN 二XID甘攻 络 网击数据库数据库重新修改 了帐号密码.禁用Guest帐 号。删掉不必要 的协议，关闭不 必要的服务进 行杀毒和木马查 杀。恢复正常附件2应急处置审批表事发地点XX公司发生时间起 因网络攻击初定级别一般影响范围单个数据库服务器损失情况系统运行缓慢，服务器有口动重启和死机，影响工作效率，导致 网络中断。协调小组会议或领导决定应急处置意见核定事件级别一般故障是否启动应急预 案是总指挥现场总指挥是否发布预警或 公告否处置意见升级操作系统和杀毒软件。进行防火墙安全配置。

11、阻止來口特定 IP发起的攻击。对异常流量进行引流，优化网站代码，避免sql 注入等攻击手段。数据库重新修改了帐号密码禁用Guest帐号。 删掉不必耍的协议，关闭不必要的服务，进行杀毒和木马查杀。领导：是否应急扩大否领导：应急结束系统恢复正常。领导：附件3应急处理流程附件4应急管理培训登记表培训登记表记录顺序号：01No.名所属 部门培训 教师培训名称培训 地点培训日期培训 学时与核时间是否 合格01信息 安全 部计算机网络安 全技术培训会议 室4是02运维部计算机网络安 全技术培训会议室4是03信息 安全 部计算机网络安 全技术培训会议 室4是04信息 安全 部网站的保护 方法和安全 措施会议

12、 室3是05运维部网站的保护 方法和安全措施会议 室3是06运维部网站的保护 方法和安全措施会议 室3是07信息 安全 部提髙网络安全 保护能力会议 室3是08运维部提髙网络安全 保护能力会议室3是09运维部提髙网络安全 保护能力会议室3是附件5应急演练记录预案演练/应急响应报告编号：01部称 名 案 预演练方案紧急状况舸拟證 昵 財 期 盹模礴 从QO应 日 呀 人能突仃 櫛“針殉瞬超妙徳 杖 5关全0魚図便各 9 恶个m 时 者人目网方内対设妁酥界膚状速 练点织加曲M幽朋友击月昭，5岛揪 iiL刃/乡诃氐漁实 1攻 2 3 4 5r能演练/响应经过及发现的问题 一9 TX 采 统 定您期 , 盜 撷。络 日 仁从应2.况缺3.置数处效果评价0演练/响应达到预期效果，预案文件适宜演练/响应未达到预期效果，需启动预案文件修订演练/响应部门：信息安全部 日期：批准通过演练明确了流程，分工比较明确，各部门能紧密配合，演练发现的一些问题及时改 进，要加强网络安全建设，提高人员网络安全意识，对重要数据进行备份，遇紧急事件 能紧急恢复。签名： 日期：