企业信息安全事件专项应急预案

《企业信息安全事件专项应急预案》由会员分享，可在线阅读，更多相关《企业信息安全事件专项应急预案（20页珍藏版）》请在金锄头文库上搜索。

1、 XX公司信息安全事件专项应急预案目 录1总则12目的13安全事件类型及风险分析13.1机房安全事件13.2网络中断事件23.3数据库系统事件23.4网络入侵事件23.5病毒破坏事件23.6重要存储介质失窃事件24应急处置基本原则34.1统一领导，分工协作34.2明确责任，依法规范34.3统筹安排，协调配合34.4防范为主，加强监控44.5快速处理，尽快恢复45应急指挥机构及职责45.1应急指挥领导小组45.2应急处置小组55.3专家组56预警及信息报告66.1预防与预警66.2应急事件报告66.3信息报告程序76.3.1报告程序及时限76.3.2信息安全事件报告内容及要求76.3.3警报等级

2、及具体发布部门范围86.3.4报告方式及人员87应急响应和处置87.1响应分级87.1.1I级事件87.1.2级事件97.2响应程序97.3处置措施97.3.1网络安全事件处置97.3.2机房安全事件处置118应急后期处置139应急物资与装备保障1410应急预案管理1411附则14附录1：信息安全事件应急通讯录16附录2：重大突发信息安全事件报告17版本及修订历史181总则为建立健全XX公司信息安全事件应急工作机制，提高应对信息安全事件的应急处置能力，维护基础信息网络、重要信息系统和重要工业控制系统的安全，保障公司各项科研生产经营活动安全、顺利开展，特制定本预案。本预案适用于XX公司以及所属各

3、部门、事业部、专业公司的信息安全事件应急管理。2目的2.1及时掌控突发信息安全事件，及时协调各部门、各事业部、各专业公司力量，将突发事件的危害影响降至最低点。2.2规范突发事件上报程序和报告文本。3安全事件类型及风险分析3.1机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件，造成机房物理环境或设备的严重损害。主要包括:电气事件：电气设备漏电造成电击伤人，严重的引起火灾事件；火灾事件：机房火灾造成网络设备、服务器等设备损毁；电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造成机房网络设备、服务器停止工作。3.2网络中断事件 指造成XX公司骨干网络中断24小

4、时以上、公司国际互联网中断48小时以上的网络事件。 3.3数据库系统事件 数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。3.4网络入侵事件通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监听、调用、篡改、销毁等，造成公司管理、经营的负面影响和重大损失。3.5病毒破坏事件指病毒、非预期程序代码植入公司信息系统，造成重大破坏。3.6重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等，如纸质文件资料、硬盘、U盘、光盘等。4应急处置基本原则本预案应急处置遵循“依靠技术、加强管理、预防为主、

5、快速响应、及时恢复”的总原则。另外应做到以下几点： 4.1统一领导，分工协作a) 在XX公司统一领导下，明确各部门、各事业部、各专业公司职责，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则，协同配合，有效地处置突发事件和应急情况。4.2明确责任，依法规范XX公司所属各部门、各事业部、各专业公司，要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。4.3统筹安排，协调配合统筹安排XX公司所属各部门、各事业部、各专业公司应急工作任务，充分利用公司现有的信息安全服务设施和技术力量。各部

6、门、各事业部、各专业公司应在明确职责的基础上，加强协调，密切配合，保障信息安全。 4.4防范为主，加强监控 贯彻预防为主的思想，树立常备不懈的观念，宣传普及信息安全防范知识，做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。 4.5快速处理，尽快恢复 突发重大信息安全事件时，能够及时发现和预警，准确判断并及时采取有效措施，迅速控制事件影响程度和范围，确保信息系统尽快恢复正常，尽可能减少突发事件给企业带来的负面影响和损失。 5应急指挥机构及职责5.1应急指挥领导小组 组 长：保密委主任副组长：信息中心主任，公共事业

7、管理中心主任成 员：公司所属各事业部、专业公司主管信息工作领导、集团公司保密处、规划运营部、办公室相关领导职 责：履行应急值守、信息技术支持和综合协调职责，发挥运转枢纽作用；组织、协调突发信息安全事件的处置和善后工作；对突发信息安全事件进行事件调查，并组织事后评估。5.2应急处置小组 应急处置小组为两级：一级是公司本部；二级是各事业部、专业公司。a) 公司本部组 长：信息中心主任 组 员：信息中心全体人员，保密处、办公室相关人员，管理中心电力、消防、保卫等相关人员职 责：负责公司本部网络、二级单位主干网络安全事件、本部机房安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系统安全事件

8、等的处置。 b) 各事业部、专业公司组 长：各事业部、专业公司信息安全负责人 组 员：各事业部、专业公司相关人员 职 责：负责本单位信息安全事件处置工作。 5.3专家组 由有关专家和厂商专业技术人员分别组成应急处置技术专家组，为信息安全事件应急管理提供决策建议和技术支持，参加突发信息安全事件的应急处置和事件恢复工作。 6预警及信息报告6.1预防与预警a) 危险源监控 根据信息安全风险辨识结果，公司各部门、各事业部、专业公司要加强对危险源的监控，定期对机房空调、电源、网络、服务器等设备进行巡检，可通过软件等方法对网络运行情况进行监控，信息系统维护人员加强对各信息系统、数据库运行情况监控。b) 预

9、警行动 单位任何人员发现信息安全相关情况时，应立即报告本部门负责人，并力所能及地采取相应应急措施。本部门负责人接到报告后，及时启动部门现场处置方案，视情况可到现场进行查看，并根据现场处置结果判定是否需要应急预警。如果需要，应报告公司应急指挥领导小组组长，组长通知应急处置小组成员做好应急所需物资、设备、人员等准备。6.2应急事件报告突发事件信息报告分为首报、续报和终报。a) 首报信息内容：突发事件发生时间、地点、事件、可能造成的伤亡和影响情况；抢险救援情况。b) 续报信息内容：事发单位基本情况，事件起因和性质、基本过程影响范围、事件发展趋势、处置情况，请求事项和工作建议。c) 终报信息内容：事件

10、基本情况，原因分析，处置过程，形成结果，责任划分与处理、教训与预防措施。6.3信息报告程序 6.3.1报告程序及时限 信息安全突发事件逐级上报程序及时限要求：现场相关发现人员立即报告部门负责人部门负责人通知相关人员开展现场处置，并立即报告应急处置小组组长应急处置小组报告公司应急指挥领导小组组长应急指挥领导小组报告地方政府/警务部门（必要时）。a) 一般网络中断、机房事件，应在60分钟内上报；b) 网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报；c) 特殊情况，如出现人员伤亡情况，应按公司突发公共事件总体应急预案的要求报告。6.3.2信息安全事件报告内容及要求a

11、） 事件发生部门/单位、发生地点、发生时间； b） 事件现场具体位置和路线，周围环境情况； c） 初步说明事件原因、当前状况等； d） 已采取的措施。 6.3.3警报等级及具体发布部门范围需要采取级应急响应的事件警报为级，需要采取级应急响应的事件警报为级。仅采取级应急响应的事件，不发布警报。a） 级警报应发布到事件应急所有参与部门，并报告公司应急指挥领导小组组长。b） 级警报发布到事件应急部分参与部门，并报告公司应急指挥领导小组组长。6.3.4报告方式及人员报告人员的通讯、联络方式见附录1。7应急响应和处置 7.1响应分级 本预案管理的事件由高到低分为级事件、级事件，以下所称“以上”均包含本数

12、。7.1.1I级事件 符合下列条件之一的为I级事件： a） 公司全网业务中断；b） 面向研发、生产的关键服务器（企业信息系统、工程平台等）瘫痪24小时以上； c） 中心机房发生火灾； d） 涉密数据泄露造成公司经营管理的负面影响和重大损失；e） 其他造成特别严重社会影响或巨大经济损失的信息安全事件。7.1.2级事件 其它事件或由子公司内部认定的突发信息安全事件。 7.2响应程序 应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则具体执行公司总体应急预案有关规定和要求。 7.3处置措施 7.3.1网络安全事件处置 按照网络管理分工，相应的网络安全事件响应与处理时间，从发现到处理完毕，原则

13、上不超过24小时。网络安全事件处理流程见下图：网络安全事件处理流程图以下情况属于一般网络故障，原则上各事业部、专业公司信息部门自行处理，公司本部各部门由公司信息中心处理。 a） 本单位局域网网络故障 ；b） 本单位办公室内的网络单点故障。如果二级单位本身无法处理的网络故障，可上报公司信息中心给予技术支持和协调解决。 7.3.2机房安全事件处置 (一) 机房电源紧急处理流程 a） 如果由于市电中断报警，机房负责人应立即联系公司供电保障部门或其他相关单位，确认断电原因、时间等。如果在短时间内无法恢复供电，应及时通知财务、办公等应用系统负责人，作好应急关机准备； b） 接到UPS报警，首先报告机房负

14、责人，认定故障原因，必要时上报公司主管信息化工作的领导； c） 如UPS出现故障，但服务器和网络设备等仍通过UPS旁路供电，正常运行，则机房负责人密切监视市电情况，并报告信息中心负责人，由信息中心通知UPS服务提供商，对UPS进行紧急修复处理； d） 问题排除后，对机房内设备逐一检查，确认无误后，填写设备巡检记录； e） 按问题的分级，填写问题记录日志表，并上报相关领导。(二) 机房网络故障处理流程 a） 指定的防病毒系统）与补丁更新，负责服务器系统的网络畅通，负责硬件状态的监控； b） 系统网络人员发现服务器出现问题，第一时间通知应用负责人，反之，应用负责人发现问题，及时通知系统网络负责人，

15、协同查找故障原因，共同解决； c） 如果是硬件问题，首先立即启用备份服务器，然后由系统网络负责人立即联系服务器提供商，彻底解决问题； d） 如果是病毒或网络攻击造成服务停止，系统网络与应用负责人共同解决问题； e） 如果是应用系统故障且无法处理，应立即向系统维护商请求紧急支援，或启用备用系统。 f） 问题解决后，填写问题记录日志表，并按问题的级别上报相关领导。 (三) 机房消防处理流程 a） 当机房发现烟、焦糊味等，立即定位问题所在，进行必要的断电与隔离，并及时通知机房负责人与信息中心负责人； b） 如果问题不严重，通过断电与隔离消除了危险，通知相应的应用或设备负责人，处理善后工作，进行设备及系统的检查，并及时填写问题记录日志表与设备巡检记录c） 如果发生火灾，当火情