《网络与信息安全应急预案》由会员分享,可在线阅读,更多相关《网络与信息安全应急预案(11页珍藏版)》请在金锄头文库上搜索。
1、编号: CZSMK-YJ-1106-001版本:密级:XXXXX 公司网络与信息安全应急预案V1.0XXX 公司2011年6月目录一、总则2(一)编制目的 2(二)编制依据 2(三)适用X围3(四)工作原则 3二、组织机构3三、预警预防机制 3(一)信息系统概述错误!未定义书签。1、业务系统错误!未定义书签。2、XX 市 XXX 计算机信息网络拓扑图错误!未定义书签。3、设备配置表错误!未定义书签。(二)事件分类及分级3(三)监控与预警信息报送 3(四)预警响应4(五)预警解除4四、应急措施4(一)信息报告 4(二)先期处理 4(三)应急处理 41、电力系统故障的应急处理流程 42、消防系统应
2、急处理流程53、网络中断紧急处理流程54、黑客攻击的应急处理流程 55、大规模病毒(含恶意软件)攻击的应急处理56、软件系统故障的应急处理流程 67、数据库系统故障的应急处理流程 68、设备硬件故障的应急处理流程69、应急故障处理流程图 7(四)后期处理71、善后处理 72、调查和评估 7一、总则(一)编制目的建立健全的 XXX 公司网络与信息安全事件的预防和应急处理工作机制,提高对网络与信息安全事件能力,保障XXX公司网络和重要信息系统安全的运行,编制本预案。(二)编制依据依据中华人民XX国国家安全法、中华人民XX国电信条例中华人民XX国无 线电管理条例、中华人民XX国计算机信息系统安全保护
3、条例国家突发公共事件总体 应急预案、国家通信保障应急预案XX省网络与信息安全事件应急预案等(三)适用X围本预案适用于XX省XX市XXX信息系统发生网络与信息安全事件的预防和应急处理 工作。(四)工作原则统一领导,分级负责;以人为本,预防为主;依法规X,加强管理;依靠科技,资源整 合;快速反应,协同合作。二、组织机构(一)XX市XXX公司负责本地XXX系统网络与信息安全工作的组织、管理、协调 和实施工作,负责本地信息系统的监测、预警和应急处理。(二)联创开发二部,负责为XXX公司的网络与信息安全突发事件的监测、预警和 应急处理工作提供技术支持,并参与重要信息的研判、事件调查和总结评估工作。(三)
4、组建网络与信息安全事件专家处理小组,并与相关信息安全服务机构建立联络 机制,为应急处理工作提供决策建议和技术指导,必要时参与网络与信息安全事件的应急处 理。(四)组织机构图三、预警预防机制(一)事件分类及分级根据网路与信息安全突发事件的性质、机理和发生过程, XXX 公司网络与信息安全事 件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和 灾害性事件等。根据网路与信息安全突发事件的可控性、严重程度和影响 X 围,参照我省网络与信息 安全事件分级标准,XX市XXX网络与信息安全事件分为四级:I级(特别重大网络与信息 安全事件)、II级(重大网络与信息安全事件)、II
5、I级(较大网络与信息安全事件)、IV级(一 般网络与信息安全事件)。(二)监控与预警信息报送XXX 公司承担网路与信息安全监测工作。各部门发现网络与信息安全预警信息,应及 时通知技术部。技术部会进行处判,提出预警等级建议,遇到有可能造成严重后果的 I 至 III 级信息安全预警事件,还应按相关规定提报领导审查后发出预警。(三)预警响应 技术部安全员应保持24 小时通信畅通。接到预警信息后,应立即启动应急预案,进入 预警状态,加强值班值守工作,做好应急处理各项准备工作。(四)预警解除I 至 III 级预警解除后根据相关部门要求,经向领导请示同意以后,及时进行解除安全 事件预警。四、应急措施(一)
6、信息报告 发生网络与信息安全事件后,技术部安全员立即部门负责人,并通知相关业务部门。技 术部和有关单位进行研判后,保存证据,检查影响X围和危害程度,提出应急处理建议, 报分管领导同意后启动应急预案。遇到有可能造成严重后果的I至III级信息安全事件,还 应按相关规定及时上报相关业务单位。(二)先期处理 当发生网路与信息安全突发事件时,相关工作人员做好先期应急处理工作,采取措施控制事态,必要时采用断网、关闭服务器等方式防止事态进一步扩大。根据突发事件发展事态, 技术部应组织设备厂商、系统开发商及安全服务商等应急支援力量,保存证据,做好应急处 理工作。(三)应急处理1、电力系统故障的应急处理流程(1
7、)外电中断后,技术部值班人员应立即检查中心机房UPS电源是否正常供电, 并查明中断原因,及时向技术部负责人报告。(2)如因楼内线路故障,要求物业管理部门迅速恢复供电。(3)如因供电部门因素导致供电中断,立即向供电部门联系,请供电部门迅速恢复 供电。( 4) 如告知需要长时间停电,应作如下安排: 预计停电1小时以内,由UPS供电; 预计停电1 小时以上2小时以内,关掉非关键设备,确保各主机、路由器、交换机供 电。 预计停电超过2 小时候,在设备运行1小时候关掉所有机器设备。(5) 电力系统恢复供电后,技术部管理人员按照规定流程开启相关设备。2、消防系统应急处理流程当出现火情、火灾时,发现人员应在
8、最短时间内通知信息部安全员,并通知技术部及分 管相关领导,通报物业管理部门。若火情严重时,应迅速拨打119报警,并尽可能采取一些 简单可行的方法做初步的处理,如:科学使用周围的灭火器材或采用其他灭火措施、手段。 在灭火的同时,立即疏散灾情X围的工作人员。进展情况随时向技术部及分管领导报告。3、网络中断紧急处理流程(1)故障排查。网络中断后,技术部技术人员要迅速判断故障节点,查明故障原因。(2)故障排除。 如属线路故障,应重新安装线路。 如属路由器、交换机等网络设备故障,技术部技术人员立即检修并调试通畅。如路由 器、交换机配置文件破坏,信息安全员应迅速按照要求重新配置,调试通畅。必要时,请有 关
9、技术单位协助调测畅通。 如需更换设备,应上报分管领导,经批准后马上更换故障设备,尽快恢复系统运行。 如发现属于外部线路的问题,应与线路运营商联系,敦促尽快恢复故障线路。 技术部无法及时修理时,应立即通知相关供应商及维护人员,在最短时间内安排修理。4、黑客攻击的应急处理流程(1)当发现网络上有黑客攻击行为时,应立即向信息安全员通报情况,并向分管领 导报告。(2)信息安全员应立即赶到现场,将被攻击的服务器等设备从网络中隔离出来,保 护现场。(3)如事态较为严重,经向分管领导请示后,立即向公安部门报警,配合公安部门 展开调查。(4)技术部技术人员做好被攻击或破坏系统的恢复与重建工作。(5)技术部负责
10、组织技术力量追查非法信息来源。(6)信息安全员将实施事件处理的过程和结果备案存档,必要时向分管领导汇报。5、大规模病毒(含恶意软件)攻击的应急处理(1)当发现有计算机被感染上病毒后,计算机使用人员应立即使用杀毒软件对计算 机杀毒,并通知技术部。技术部技术人员应及时将该机从网络上隔离开来,并及时赶到现场。(2) 技术人员对该设备的硬盘进行数据备份。(3) 技术人员启用反病毒软件对该机进行杀毒处理,并对相关机器进行病毒扫描和 清除工作。(4) 如发现反病毒软件无法清除该病毒,应向技术部领导汇报,有技术部组织相关 技术人员研究解决。(5) 情况较为严重的,还应及时向有关分管领导报告,并向公安部门报警
11、,配合公 安部门展开调查。6、软件系统故障的应急处理流程(1) 软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份;并 将它们保存与安全处。(2) 软件系统发生故障后,技术人员应立即向技术总监或总经理室汇报,经确认后 停止该系统的运行并切换至备份系统,保证业务正常进行。(3) 技术部及时组织本部门技术人员,并同时通知XX市研发人员等技术力量做好软件系统和有关数据的恢复工作。( 4)信息安全员检查日志等资料,确定故障原因。(5)技术部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报。7、数据库系统故障的应急处理流程( 1 )数据库系统每日必须存有备份,与软件系统
12、相对应的数据必须有多日的备份并将它们保存与安全处。(2) 数据库系统发生故障以后,技术人员立即向技术总监或总经理室汇报,经同意 后采用重启或其他手段尽快恢复数据库运行,保证业务不中断。(3) 技术部及时组织本地技术人员,并同时通知XX市研发人员等技术力量做好数 据库系统切换和有关数据的恢复工作。( 4)信息安全员检查日志等资料,确定故障原因。(5)技术部会同技术中心相关人员将实施处理的过程和结果备案存档,并向有关领导汇报。8、设备硬件故障的应急处理流程(1) 小型机、服务器等关键设备损坏后,技术人员应立即向技术部负责人报告。(2) 技术部负责人立即组织技术人员查明原因。联系维保单位更换受损部件
13、。(3) 如果设备一时不能修复,应向分管领导汇报,并告知各部门暂缓上传上报数据。9、应急故障处理流程图(四)后期处理1、 善后处理 应急处理工作结束后,技术部应迅速采取措施,抓紧组织抢修受损的基础设施,减少损 失,尽快恢复正常工作,统计各种数据,查明原因,对事件造成的损失和影响以及恢复重建 能力进行分析评估,真正制定恢复重建计划,迅速组织实施。2、 调查和评估 应急处理工作结束后,技术部,立即组织有关人员,专家组,会同技术中心成立事件调 查小组,对事件发生及其处理过程进行全面的调查,查清事件发生的原因及财产损失状况并 总结经验教训,写出调查评估报告。五、应急培训和演练1. 培训 应该对系统相关
14、的人员进行培训使他们知道如何以及何时使用应急计划中的控制手段 及恢复策略。对应急计划的培训至少每年举办一次;拥有计划规定职责的新雇员应该在被雇 用后接受短期培训。和应急计划相关的人员所接受的培训最终应该使得他们能够无需实际文 档的协助就能够执行相应的恢复规程。应急计划相关人员培训主要包括以下内容:计划的目的;团队之间的协调与沟通;汇报规程;个人职责。2. 演练 为保证应急行动的能力,应每年至少组织一次应急行动演练,以提高处理应急事件的能 力,检验物资器材的完好情况。应急响应演练按如下步骤进行:1)首先,由系统主管单位确定应急响应演练的目标和应急响应演练的X围;2)按系统主管单位的要求,信息安全
15、管理小组制定应急响应演练的方案,并调配应急 响应演练所需的各项资源,在必要时,由系统主管单位协调应急响应演练过程中涉及的部门和单位;3)信息安全管理小组组织相关部门和单位进行应急响应演练;4)系统主管单位对应急演练进行评估,并通报应急响应演练结果;5)系统主管单位总结经验,根据演练结果对应急预案的更新,并对本单位的应急工作 进行整改;在每次应急响应过程结束之后,信息安全管理小组应针对应急响应工作过程中遇到的问 题,分析应急响应预案的科学性和合理性,针对预案中的问题向系统主管单位提出修改建议。 系统主管单位组织人员对修改意见进行评估,修改后的预案应经评估通过后,发布实施。在上级应急计划或相关的法律标准修改后,本预案应进行调整与其保持一致。附件:网络与信息安全事件应急培训记录表网络与信息安全事件记录表日期件发生原因 处理办法处理结果 操作人员 审核人员BM处理办法
