《公司信息安全事件专项应急预案全套.docx》由会员分享,可在线阅读,更多相关《公司信息安全事件专项应急预案全套.docx(25页珍藏版)》请在课桌文档上搜索。
1、公司信息安全事件专项应急预案目录1总则12编制范围及依据13安全事件类型及风险分析13.1 机房安全事件.13.2 网络中断事件23.3 数据库系统事件23.4 网络入侵事件23.5 病毒破坏事件33.6 重要存储介质失窃事件34应急处置基本原则34.1 统一领导,分工协作34.3 统筹安排,协调配合44.4 防范为主,加强监控44.5 快速处理,尽快恢复45应急指挥机构及职责46预警及信息报告66.1 预防与预警66.2 应急事件报告86.3 信息报告程序96.3.1 报告程序及时限96.3.2 信息安全事件报告内容及要求96.3.3 偿报等级及具体发布部门范围963.4报告方式及人员107
2、应急响应和处置107.1响应分级107.1.211级事件117.2 响应程序117.3 处置措施117.3.1 网络安全事件处置117.3.2 机房安全事件处置138应急后期处置159应急物资与装备保障.1610应急预案管理.1611附则17附录1:信息安全事件应急通讯录18附录2:重大突发信息安全事件报告(模板).19版本及修订历史201总则为建立健全XX公司信息安全事件应急工作机制,提高应对信息安全事件的应急处置能力,维护基础信息网络、重要信息系统的安全,保障公司各项经营活动安全、顺利开展,特制定本预案。2编制范围及依据2.1 编制目的a)及时掌控突发信息安全事件,及时协调各部门力身,将突
3、发事件的危害影响降至最(氐点;b)明确各部门、岗位人员的具体职责范围;C)规范突发事件上报程序、报告文本,以及相关文件的管理方式;2.2 适用范围本预案适用于XX各公司、大区的信息安全事件应急管理.2.3 编制依据本预案根据中华人民共和国网络安全法、计算机信息网络国际联网安全保护管理办法编制。3安全事件类型及风险分析指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件,造成机房物理环境或设备的严重损害,甚至人身伤害等.主要包括:电气事件:电气设备漏电造成电击伤人,甚至引起火灾事件;火灾事件:机房火灾造成网络设备、服务器等设备损毁;电力系统事件:长时间电力故障,备用UPS电源无法继
4、续供电,造成机房网络设备、服务器停止工作。3.2 网络中断事件指造成XX公司骨干网络中断4小时以上、公司互联网中断8小时以上的网络事件.3.3 数据库系统事件数据库系统故障,造成数据损坏或丢失,导致应用系统无法正常使用,公司重要数据泄露造成公司管理、经营的负面影响和重大损失.3.4 网络入侵事件通过非授权方式侵入公司信息系统,对相关信息资产进行非授权监听、调用、篡改、销毁等,造成公司管理、经营的负面影响和重大损失。指病毒、非预期程序代码植入公司信息系统,造成重大破坏。3.6重要存储介质失窃事件指存储有公司重要数据、商业秘筋等信息的各类存储介质的遗失、失窃等,如纸质文件资料、硬盘、U盘、光盘等。
5、4应急处置基本原则本预案应急处置遵循依靠技术、加强管理、预防为主、快速响应、及时恢复的总原则.另外应做到以下几点:4.1 统T导,分工协作a)在应急指挥组统一领导下,明确各部门职责,督促相关部门遵照统一领导、归口负责、综合协调、各司其职的原则,协同配合,有效地处置突发事件和应急情况。4.2 明确责任,依法规范XX公司所属各部门,要按照属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。4.3 统筹安排,协调配合统筹安排XX公司所属各部门应急工作任务,充分利用公司现有的信息安全服务设施和技术力量.各部门应在
6、明确职责的基础上,加强协调,宓切配合,保障信息安全。4.4 防范为主,加强监控贯彻预防为主的思想,树立常备不懈的观念,宣传普及信息安全防范知识,做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。4.5 快速处理,尽快恢复突发重大信息安全事件时,能够及时发现和预警,准确判断并及时采取有助昔施,迅速控制事件影响程度和范围,确保信息系统尽快恢复正常,尽可能减少突发事件给企业带来的负面影响和损失。5应急机构及职责5.1 应急组织结构示意图5.2 应急指挥组小组职责:负责公司网络安全事件、机房安全事件、网络入侵、重大病毒破
7、坏、数据库安全事件、集团级应用系统安全事件等的处苣。履行应急值守、信息技术支持和综合协调职责,发挥运转枢纽作用组织、协调突发信息安全事件的处置和善后工作;对突发信息安全事件进行事件调直,并组织事后评估.人员组成:a)、应急指挥组:组长:副组长:职责范围:信息安全应急指挥小组,指挥指导实施小组,及时并准确的处理解决问题.5.3 各实施组机房安全组:网络中断组:数据库系统组:网络入侵组:病毒破坏组:重要存储介质失窃组:职责:负责进行日常系统维护、检查,以及机房管理工作,随时监督异常情况,并及时上报,及时处理力所能及的轻微故障、问题,在启动预案时根据应急指挥组的指示实施响应动作。6预警及信息报告6.
8、1 防与预警a)危险源监控根据信息安全风睑辨识结果,公司各部门要加强对危险源的监控,定期对机房空调、电源、网络、服务器等设备进行巡检,可通过软件等方法对网络运行1青况进行监控,信息系统维护人员加强对各信息系统、机房安全事件:定期对机房空调、电源、网络、服务器等设备进行巡检,可通过软件等方法对网络运行情况进行监控,信息系统维护人员加强对各信息系统、数据库运行情况监控。网络中断事件:持续利用网络工具,监控XX网络系统状态,及各子公司之间的网络通信链路状态。在网络中断后及时的接收并响应事件,快速找到网络中断根源并排除.数据库系统事件:定期对数据库的运行状态,运行结果,运行效率进行查看,对数据库操作异
9、常的程序进行排查处理.定期对重要业务数据库备份.网络入侵事件:使用入侵检测,帮助系统对付网络攻击,查看各个设备及系统的安全日志,从计算机网络系统中的若干关键点收集信息,并分析信息,排查非授权登录,侵入系统事件。病毒破坏事件:业务系统安装防病毒软件,及时查杀、监控、处理病毒异常情况,不定期检直病毒软件直杀日志信息,对异常信息进行处理跟踪,防止病毒破坏业务系统的正常运行.重要存储介质失窃事件:1)设备使用存储介质:对应设备巡检规定,定期对设备存储介质进行状态直看。2)个人使用存储介质:个人使用存储介质应当妥善保管,如失窃事件发生,应调取公司内安防监控进行排查。b)预警行动信息中心任何人员发现信息安
10、全相关的异常情况时,应立即报告本部门负责人,并采取力所能及的应急措施。本部门负责人接到报告后,及时启动部门现场处置方案,视情况可到现场进行直看,并根据现场处置结果判定是否需要应急预警。如果需要,应报告公司应急处置小组组长,组长通知应急处置小组成员做好应急所需物资、设备、人员等准备.预警分级和处置:本预警分级根据事件严重性由高到低分为I级事件、II级事件、m级事件。预第I级事件范围:D公司网络持续性、间断性的连接、断开,网络接入十分不稳定.2)业务系领艮务器停止运行2小时.3)数据中心机房,有发生险情的趋势。4)重要业务、经营数据异常传输至其他储存介质。5)其他有趋势造成社会影响或经济损失的信息
11、安全事件。预警11级事件范围:预警In级事件范围:6.2 应急事件报告突发事件信息报告分为首报、续报和终报。a)首报信息内容:突发事件发生时间、地点、事件、可能造成的损失和影响情况。b)续报信息内容:事发基本情况,事件起因和性质、基本过程影响范围、事件发展趋势、处置情况,请求事项和工作建议.c)终报信息内容:事件基本情况,原因分析,处置过程,形成结果,责任划分与处理、教训与预防措施。6.3 信息报告程序6.3.1 报告程序及时限信息安全突发事件逐级上报程序及时限要求:现场相关发现人员立即报告部门负责人一部门负责人通知相关人员开展现场处置,并立即报告应急处置小组组长T应急处置小组报告公司管理层.
12、a)一般网络中断、机房事件,应在60分钟内上报;b)网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报;c)如涉及机房火灾、触电或人身伤害的情况,应在10分钟内尽快上报;6.3.2 信息安全事件报告内容及要求a)事件发生部门、发生地点、发生时间;b)事件现场具体情况,周围环境情况;c)初步说明事件原因、当前状况等;d)已采取的措施。6.3.3 警报等级及具体发布部门范围需要采取I级应急响应的事件叁报为I级,需要采取11级应急响应的事件警报为11级。仅采取In级应急响应的事件,不发布警报。a)I级警报应发布到事件应急所有参与部门,并报告公司应急处置小组组长。b)口级
13、警报发布到事件应急部分参与部门,并报告公司应急处置小组组长。6.3.4 报告方式及人员报告人员的通讯、联络方式见附录1.7应急响应和处置7.1 响应分级本预案管理的事件根据风险或危害程度由高到低分为I级事件、11级事件、In级事件,以下所称以上”均包含本数。7.1.11 级事件符合下列条件之一的为I级事件:a)故障影响范围,达到大区及以上,影响业务涵盖集团所有生产业务;b)公司全网业务中断12小时以上;c)面向研发、生产的关键服务器(企业信息系统、工程平台等)瘫痪24小时以上;d)中心机房发生重大火灾,造成公司所有设备故障、全网络瘫痪等;e)涉密数据泄露造成公司经营管理的负面影响和重大损失;f
14、)其他造成特别严重社会影响或经济损失的信息安全事件。7.1.12 n级事件a)故障影响范围r达到部门级以上且并未达到大区级别,影响业务涵盖集团所有办公业务;b)公司全网业务中断8小时以上;c)面向研发、生产的关键服务器(企业信息系统、工程平台等)瘫痪16小时壮;d)中心机房发生较大火灾,造成公司部分设备故障、部分网络瘫痪等.e)涉密数据泄露造成公司经营管理的较大负面影响和较大损失;f)其他造成较大社会影响或经济损失的信息安全事件。7.1.13 In级事件A1a)故障影响范围为部门级以下,并不影响集团所有业务系统正常运行;b)公司全网业务中断4小时以上;c)面向研发、生产的关键服务器(企业信息系
15、统、工程平台等)瘫痪d)中心机房发生一般火灾,造成公司较少或没有设备故障、网络较少故障或没有网络不可达情况;f)其他造成较小社会影响或经济损失的信息安全事件。e)涉密:泄露造成公司经营管理的较少负面影响和较少损失;7.2 响应程序应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则,根据应急响应分级进行处理。启动:由预颦分级处理后,判断预警等级,超过预警范围,预警事件升级应急响应事件。应急指挥组根据实际情况判断事件等级,并制定处理方案并及时向实施组成员传达。执行:根据应急响应事件分级制定的处理方案,按照处理方案内容进行事件处理。处理完成后上报应急指挥组,结束完成响应事件,如事态难以控制,
16、则应及时向应急指挥组说明情况,联系其他部门甚至外部力量进行事故控制。7.3 处造措胞7.3.11 网络安全事件处置按照网络管理分工,相应的网络安全事件响应与处理时间,从发现到处理完毕,原则上不超过24小时。网络安全事件处理流程见下图:以下情况属于一般网络故障,原则上各分公司信息中心人员自行处理,公司总部网络由公司信息中心处理。a)分公司局域网网络故障;b)分公司办公室内的网络单点故障。如果分公司信息中心人员无法处理的网络故障,可上报公司信息中心给予技术支持和协调解决.7.3.12 机房安全事件处置(一)机房电源紧急处理流程a)如果由于市电中断报警,机房负责人应立即联系公司供电保障部门或其他相关
17、单位,确认断电原因、时间等。如果在短时间内无法恢复供电,应及时通知财务、办公等应用系统负责人,作好应急关机准备;b)接到UPS报警,首先报告机房负责人,认定故障原因,必要时上报公司信息中心负责人;c)如UPS出现故障,但务器和网络设备等仍通过UPS旁路供电,正常运行,则机房负责人密切监视市电情况,并报告运维管理部负责人,由运维管理部通知UPS服务提供商对UPS进行紧急修复处理;d)问题排除后,对机房内设备逐一检直,确认无误后,填写设备巡检记录;e)按问题的分级,填写问题记录日志表,并上报相关领导。(二)机房网络故障处理流程a)指定的防病毒系统与补丁更新,负责服务器系统的网络畅通,负责硬件状态的
18、监控;b)系统网络人员发现服务器出现问题,第一时间通知应用负责人,反之,应用负责人发现问题,及时通知系统网络负责人,协同查找故障原因,共同解决;c)如果是硬件问题,首先立即启用备份服务器,然后由系统网络负费人立即联系服务器提供商,彻底解决问题;d)如果是病毒或网络攻击造成艮务停止,系统网络与应用负责人共同解决问题;e)如果是应用系统故障且无法处理,应立即向系统维护商请求紧急支援,或启用备用系统.f)问题解决后,填写问题记录日志表,并按问题的级别上报相关领导。(三)机房消防处理流程a)当机房发现烟、焦糊味等,立即定位问题所在,进行必要的断电与隔离,并及时通知机房负责人与运维管理部负责人;b)如果
19、问题不严重,通过断电与隔离消除了危险,通知相应的应用或设备负责人,处理善后工作,进行设备及系统的检直,并及时填写问题记录日志表与设备巡检记录c)如果发生火灾,当火情较小时,使用机房内的干粉灭火器;如果火情较严重,立即报119,通知公司安保部门切断机房市电开关(开关位苜要清楚)和UPS电源输出开关,机房内人员撤离,关闭机房大门,以免火势其延。(四)数据信息安全事件在进行事件上报的同时,本着一经发现立即响应,将影响降到副氐的原则,事件处理流程如下:a)事件一经发现,应立即通知应用系统管理员、操作系统管理员、库管理员到达现场分析查找原因,准备进行故障恢复。如果属于网络原因,应立即通知网络管理员。应由
20、操作系统管理员、数据库管理员、应用管理员共同参照各应用系统故障恢复指南,立即切换到备份机或异地备份系统,同时恢复最近时间内的应用系统与数据的完全备份,进行原应用系统环境的重建。如发生的数据安全事件,造成,去失和数据意外毁坏已无法恢复,应由业务部门立即组织相关部门对数据进行补录.C)当发现公司涉密数据通过网络途径传播,及时向信息中心通报,信息中心切断信息泄露点与网络的物理链接并登记信息损失,确定信息泄露原因,由于人为原因造成的,交公司行政管理部处理;由于信息系统本身造成的,联系系统供应商解决。d)当发生数据安全事件时,须在事件确认24小时内,由事件发现人及时以书面形式向本公司领导汇报,中、高级的
21、数据安全事件要上报公司信息安全事件应急处置小组。8应急后期处置包括对信息安全事件的总结和证据收集一获取信息安全事件分析和解决的知识应被用户降低将来事件发生的可能性或影响;应定义和应用识S1.k收集、获取和保存信息的程序,这些信息可以作为证据;总结内容应包括:a)应急事件的基本情况,包括事件发生时间、地点、波及范围、人员情况、损失和事件发生的原因等;b)应急事件处置过程;c)处置过程中动用的应急资源;d)处置过程遇到的问题、取得的经验和吸取的教训;e)对预案的改进建议等。9应息物资与装备保障为有效应对信息安全事件,根据信息安全事件特点,应急人员应配备笔记本电脑、各种型号连接线,测线仪,万用表及其它必要设备等。10应急预案管理应急预案由运维管理部统一管理,运维管理部负责人主要负责,应急指挥组成员组成评定小组预案更新评定小组,当前预案版本信息如下,历史修订信息见附表。应急预案文档管理文件号负贡人保管方式保管期限更新频率更新修订YJ-2018-01电子文档、5年1次/预警、应急响应事件:网纸质年络安全事件潦程n附则本预案自发布之日起实施.本预案由公司信息中心负责解释.附录1:XX信息安全事件应急通讯录附录2:重大突发信息安全事件报告(模板)附录1:信息安全事件应急通讯录附录2:重大突发信息安全事件报告(模板)版本及修订历史备注版本号修订拧审核者批准者生效日期OO