企业信息安全事件专项应急预案.docx

1、企业信息安全事件专项应急预案 XX公司信息安全事件专项应急预案 1总则为建立健全XX公司信息安全事件应急工作机制，提高应对信息安全事件的应急处置能力，维护基础信息网络、重要信息系统和重要工业控制系统的安全，保障公司各项科研生产经营活动安全、顺利开展，特制定本预案。本预案适用于XX公司以及所属各部门、事业部、专业公司的信息安全事件应急管理。2目的2.1及时掌控突发信息安全事件，及时协调各部门、各事业部、各专业公司力量，将突发事件的危害影响降至最低点。2.2规范突发事件上报程序和报告文本。3安全事件类型及风险分析3.1机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件，

2、造成机房物理环境或设备的严重损害。主要包括:电气事件：电气设备漏电造成电击伤人，严重的引起火灾事件；火灾事件：机房火灾造成网络设备、服务器等设备损毁；电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造成机房网络设备、服务器停止工作。3.2网络中断事件 指造成XX公司骨干网络中断24小时以上、公司国际互联网中断48小时以上的网络事件。 3.3数据库系统事件 数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。3.4网络入侵事件通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监听、调用、篡改、销毁等，造成公司管理、

3、经营的负面影响和重大损失。3.5病毒破坏事件指病毒、非预期程序代码植入公司信息系统，造成重大破坏。3.6重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等，如纸质文件资料、硬盘、U盘、光盘等。4应急处置基本原则本预案应急处置遵循“依靠技术、加强管理、预防为主、快速响应、及时恢复”的总原则。另外应做到以下几点： 4.1统一领导，分工协作a)在XX公司统一领导下，明确各部门、各事业部、各专业公司职责，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则，协同配合，有效地处置突发事件和应急情况。4.2明确责任，依法规范XX公司所属各部门、各事业部、各专业

4、公司，要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。4.3统筹安排，协调配合统筹安排XX公司所属各部门、各事业部、各专业公司应急工作任务，充分利用公司现有的信息安全服务设施和技术力量。各部门、各事业部、各专业公司应在明确职责的基础上，加强协调，密切配合，保障信息安全。 4.4防范为主，加强监控 贯彻预防为主的思想，树立常备不懈的观念，宣传普及信息安全防范知识，做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。

5、4.5快速处理，尽快恢复 突发重大信息安全事件时，能够及时发现和预警，准确判断并及时采取有效措施，迅速控制事件影响程度和范围，确保信息系统尽快恢复正常，尽可能减少突发事件给企业带来的负面影响和损失。 5应急指挥机构及职责5.1应急指挥领导小组 组 长：保密委主任副组长：信息中心主任，公共事业管理中心主任成 员：公司所属各事业部、专业公司主管信息工作领导、集团公司保密处、规划运营部、办公室相关领导职 责：履行应急值守、信息技术支持和综合协调职责，发挥运转枢纽作用；组织、协调突发信息安全事件的处置和善后工作；对突发信息安全事件进行事件调查，并组织事后评估。5.2应急处置小组 应急处置小组为两级：一

6、级是公司本部；二级是各事业部、专业公司。a)公司本部组 长：信息中心主任 组 员：信息中心全体人员，保密处、办公室相关人员，管理中心电力、消防、保卫等相关人员职 责：负责公司本部网络、二级单位主干网络安全事件、本部机房安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系统安全事件等的处置。 b)各事业部、专业公司组 长：各事业部、专业公司信息安全负责人 组 员：各事业部、专业公司相关人员 职 责：负责本单位信息安全事件处置工作。 5.3专家组 由有关专家和厂商专业技术人员分别组成应急处置技术专家组，为信息安全事件应急管理提供决策建议和技术支持，参加突发信息安全事件的应急处置和事件恢复

7、工作。 6预警及信息报告6.1预防与预警a)危险源监控 根据信息安全风险辨识结果，公司各部门、各事业部、专业公司要加强对危险源的监控，定期对机房空调、电源、网络、服务器等设备进行巡检，可通过软件等方法对网络运行情况进行监控，信息系统维护人员加强对各信息系统、数据库运行情况监控。b)预警行动 单位任何人员发现信息安全相关情况时，应立即报告本部门负责人，并力所能及地采取相应应急措施。本部门负责人接到报告后，及时启动部门现场处置方案，视情况可到现场进行查看，并根据现场处置结果判定是否需要应急预警。如果需要，应报告公司应急指挥领导小组组长，组长通知应急处置小组成员做好应急所需物资、设备、人员等准备。6

8、.2应急事件报告突发事件信息报告分为首报、续报和终报。a)首报信息内容：突发事件发生时间、地点、事件、可能造成的伤亡和影响情况；抢险救援情况。b)续报信息内容：事发单位基本情况，事件起因和性质、基本过程影响范围、事件发展趋势、处置情况，请求事项和工作建议。c)终报信息内容：事件基本情况，原因分析，处置过程，形成结果，责任划分与处理、教训与预防措施。6.3信息报告程序 6.3.1报告程序及时限 信息安全突发事件逐级上报程序及时限要求：现场相关发现人员立即报告部门负责人部门负责人通知相关人员开展现场处置，并立即报告应急处置小组组长应急处置小组报告公司应急指挥领导小组组长应急指挥领导小组报告地方政府

9、/警务部门（必要时）。a)一般网络中断、机房事件，应在60分钟内上报；b)网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报；c)特殊情况，如出现人员伤亡情况，应按公司突发公共事件总体应急预案的要求报告。6.3.2信息安全事件报告内容及要求a）事件发生部门/单位、发生地点、发生时间； b）事件现场具体位置和路线，周围环境情况； c）初步说明事件原因、当前状况等； d）已采取的措施。 6.3.3警报等级及具体发布部门范围需要采取级应急响应的事件警报为级，需要采取级应急响应的事件警报为级。仅采取级应急响应的事件，不发布警报。a）级警报应发布到事件应急所有参与部门，并报

10、告公司应急指挥领导小组组长。b）级警报发布到事件应急部分参与部门，并报告公司应急指挥领导小组组长。6.3.4报告方式及人员报告人员的通讯、联络方式见附录1。7应急响应和处置 7.1响应分级 本预案管理的事件由高到低分为级事件、级事件，以下所称“以上”均包含本数。7.1.1I级事件 符合下列条件之一的为I级事件： a）公司全网业务中断；b）面向研发、生产的关键服务器（企业信息系统、工程平台等）瘫痪24小时以上； c）中心机房发生火灾； d）涉密数据泄露造成公司经营管理的负面影响和重大损失；e）其他造成特别严重社会影响或巨大经济损失的信息安全事件。7.1.2级事件 其它事件或由子公司内部认定的突发

11、信息安全事件。 7.2响应程序 应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则具体执行公司总体应急预案有关规定和要求。 7.3处置措施 7.3.1网络安全事件处置 按照网络管理分工，相应的网络安全事件响应与处理时间，从发现到处理完毕，原则上不超过24小时。网络安全事件处理流程见下图：网络安全事件处理流程图以下情况属于一般网络故障，原则上各事业部、专业公司信息部门自行处理，公司本部各部门由公司信息中心处理。 a）本单位局域网网络故障 ；b）本单位办公室内的网络单点故障。如果二级单位本身无法处理的网络故障，可上报公司信息中心给予技术支持和协调解决。 7.3.2机房安全事件处置 (一)机

12、房电源紧急处理流程 a）如果由于市电中断报警，机房负责人应立即联系公司供电保障部门或其他相关单位，确认断电原因、时间等。如果在短时间内无法恢复供电，应及时通知财务、办公等应用系统负责人，作好应急关机准备； b）接到UPS报警，首先报告机房负责人，认定故障原因，必要时上报公司主管信息化工作的领导； c）如UPS出现故障，但服务器和网络设备等仍通过UPS旁路供电，正常运行，则机房负责人密切监视市电情况，并报告信息中心负责人，由信息中心通知UPS服务提供商，对UPS进行紧急修复处理； d）问题排除后，对机房内设备逐一检查，确认无误后，填写设备巡检记录； e）按问题的分级，填写问题记录日志表，并上报相

13、关领导。(二)机房网络故障处理流程 a）指定的防病毒系统）与补丁更新，负责服务器系统的网络畅通，负责硬件状态的监控； b）系统网络人员发现服务器出现问题，第一时间通知应用负责人，反之，应用负责人发现问题，及时通知系统网络负责人，协同查找故障原因，共同解决； c）如果是硬件问题，首先立即启用备份服务器，然后由系统网络负责人立即联系服务器提供商，彻底解决问题； d）如果是病毒或网络攻击造成服务停止，系统网络与应用负责人共同解决问题； e）如果是应用系统故障且无法处理，应立即向系统维护商请求紧急支援，或启用备用系统。 f）问题解决后，填写问题记录日志表，并按问题的级别上报相关领导。 (三)机房消防处

14、理流程 a）当机房发现烟、焦糊味等，立即定位问题所在，进行必要的断电与隔离，并及时通知机房负责人与信息中心负责人； b）如果问题不严重，通过断电与隔离消除了危险，通知相应的应用或设备负责人，处理善后工作，进行设备及系统的检查，并及时填写问题记录日志表与设备巡检记录c）如果发生火灾，当火情较小时，使用机房内的二氧化碳灭火器；如果火情较严重，立即报119，通知公司安保部门切断机房市电开关（开关位置要清楚）和UPS电源输出开关，机房内人员撤离，关闭机房大门，以免火势蔓延。 (四)数据信息安全事件 在进行事件上报的同时，本着一经发现立即响应，将影响降到最低的原则，事件处理流程如下： a）事件一经发现，

15、应立即通知应用系统管理员、操作系统管理员、数据库管理员到达现场分析查找原因，准备进行故障恢复。如果属于网络原因，应立即通知网络管理员。应由操作系统管理员、数据库管理员、应用管理员共同参照各应用系统故障恢复指南，立即切换到备份机或异地备份系统，同时恢复最近时间内的应用系统与数据的完全备份，进行原应用系统环境的重建。 b）如发生的数据安全事件，造成数据丢失和数据意外毁坏已无法恢复，应由业务部门立即组织相关部门对数据进行补录。 c）当发现公司涉密数据通过网络途径传播，及时向信息中心和保密处通报，信息中心切断信息泄露点与网络的物理链接，并登记信息损失,确定信息泄露原因，由于人为原因造成的，交公司保密处处理；由于信息系统本身造成的，联系系统供应商解决。 d）当发生数据安全事件时，须在事件确认24小时内，由事件发现人及时以书面形式向本单位领导汇报，中、高级的数据安全事件要上报公司信息安全事件应急领导小组，必要时上报上一级公司信息安全管理部门。8应急后期处置包括对信息安全事件的总结和证据收集获取信息安全事件分析和解决的知识应被用户降低将来事件发生的可能性或影响；应定义和应用识别、收集、获取和保存信息的程序，这些信息可以作为证据；总