信息安全应急预案管理制度

-.z.*********信息平安应急预案管理制度编号：ISMS-L1-001*********二0二年二月目录第一章总则3第二章灾害性事件3第三章组织管理3第四章预防预警3第五章网络及信息系统的风险评估3第六章网络及信息系统平安策略的制定和实施3第七章应急处置3第八章后续工作3第九章应急保障3第十章宣传、培训和演习3第十一章附则3第一章总则第一条编制目的科学应对网络与信息平安突发事件，建立健全信息平安应急响应机制，有效预防、及时控制和最大限度的消除信息平安各类突发事件的危害和影响，从而最大限度地保障业务正常运营，维护*********〔以下简称"本公司〞〕和客户的利益。第二条适用范围本预案适用于以下具有重大影响的突发灾害性事件的应对处置工作：〔一〕自然灾害。发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流和海啸等自然灾害可能或者已对本公司网络及信息系统造成危害的。〔二〕平安事件。发生营业办公楼倒塌和大的交通运输、设备事故等平安事件可能或者已对本公司网络及信息系统造成危害的。〔三〕信息平安事件。发生网络攻击、信息泄露、病毒爆发、系统瘫痪等信息平安事件可能或者已经对本公司网络及信息系统造成危害的。第三条工作原则〔一〕防范为主，加强监控。宣传普及信息平安防范知识，结实树立"预防为主、常抓不懈〞的意识，经常性地做好应对信息平安突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及根底网络和重要信息系统的信息平安综合保障水平。加强对信息平安隐患的日常监测，发现和防范重大信息平安突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。第二章灾害性事件第四条针对网络与信息系统，较大和一般灾害性事件定义如下：根底网络、重要信息系统、重点瘫痪，导致对外联络、对外效劳或内部业务中断，可能造成一定业务影响、社会影响或经济损失的信息平安事件。第三章组织管理第五条本公司成立网络及信息平安领导小组。应急领导小组由总经理任组长，运营推广中心运营经理任副组长，技术研发中心、信息平安中心、风控管理部门以及发生特别重大或重大信息平安事件部门的主要负责人为成员。第六条信息平安中心负责网络及信息平安突发事件应急工作的组织实施，及时向总经理、运营经理报告重要情况和提供决策建议，催促落实应急处置措施，指导和协助有关部门做好网络及信息系统平安事件的预防预警、应急处置和恢复等工作。第四章预防预警第七条预防〔一〕积极推行信息平安等级保护，逐步实行信息平安风险评估。各根底信息网络和重要信息系统建立要充分考虑抗毁性与灾难恢复，制定完善信息平安应急处理预案。针对根底信息网络的突发性、大规模平安事件建立制度化、程序化的处理流程。〔二〕信息平安中心承当信息平安监测、分析和预警工作，进一步提高信息平安管理能力。〔三〕加强数据的平安防护，落实数据备份和数据保存制度。〔四〕针对灾害事故的应急处理，经常性地组织培训和模拟演练。第八条预警各部门根据收集到的信息判断即将发生或者可能发生灾害事件时，要立即向网络及信息平安领导小组汇报，网络及信息平安领导小组判断灾害事件的真实性，根据灾害事件等级和涉及、影响范围，以及突发事件总体应急预案规定，向总经理、运营经理报告，并根据有关规定向人民银行、金融办等有关政府部门报告，必要时经总经理批准发布相关风险提示信息。第五章网络及信息系统的风险评估第九条信息系统的平安风险是指由于系统存在脆弱性、人为或自然的威胁导致平安事件发生所造成的影响。信息系统平安风险评估主要是对信息系统所面临威胁的评估和信息系统脆弱性的评估。第十条信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体，信息系统所面临的威胁主要是来自以下几个方面：〔一〕通过网络进入信息系统的行为人；〔二〕通过物理方式接近信息系统的行为人；〔三〕系统缺陷造成的威胁；〔四〕病毒和恶意代码的威胁；〔五〕自然灾害的威胁。第十一条信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点，它由以下两个方面组成：〔一〕技术脆弱性：主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。〔二〕纽织脆弱性：由于信息系统管理组织的问题，导致信息系统被威胁因素所利用，造成对系统的不良影响。第十二条信息系统的平安风险评估要解决以下问题：〔一〕信息系统的平安需求是什么？〔二〕当前的状况能否满足信息系统平安运行要求？〔三〕系统所面临的威胁有那些？〔四〕这些威胁对信息系统业务的潜在影响如何？〔五〕系统中存在那些技术隐患以及在组织管理上存在那些薄弱环节？〔六〕这些问题产生的原因是什么？〔七〕结合实际情况应采取那些对策解决这些问题？第十三条信息系统平安风险评估工作由信息平安中心牵头，由参与信息系统建立和使用的各部门派遣专人参加。信息系统平安评估的结果及其对策要及时上报给总经理。信息平安中心负责落实平安策略的制定和实施。第六章网络及信息系统平安策略的制定和实施第十四条网络及信息系统平安策略的制定和实施包括两个方面的内容：〔一〕网络及信息系统平安管理策略；〔二〕网络及信息系统平安运行策略。第十五条网络及信息系统平安管理策略规定了针对信息系统的组织管理和技术管理的平安保护策略，主要包括如下几个方面：〔一〕信息系统组织策略；〔二〕平安贯彻策略；〔三〕人员平安策略；〔四〕物理和环境平安策略。第十六条信息平安中心负责制定网络及信息系统平安管理策略，并形成公司管理文件下发给各部门。第十七条网络及信息系统平安运行策略规定了信息系统平安运行中的平安保护策略，主要包括如下几个方面：〔一〕信息系统控制策略。包含：强口令设置管理、身份认证管理、外网控制。〔二〕网络边界平安策略。包括网络控制，网络入侵检测。网络控制主要任务是保证网络资源不被非法使用和非法。网络入侵检测通过捕获网络数据包，分析是否存在入侵行为，实时发现攻击行为，并立即预警，为动态网络平安防御提供良好的根底设备支持。本策略由信息平安中心负责实施。〔三〕网络系统平安策略。主要包括线路冗余，网络设备冗余，效劳器的高可用性。线路冗余是为了保证网络系统承载的各项应用系统不受线路故障的影响仍能正常、连续运行的重要措施。网络设备冗余主要是对网络核心交换机、路由器等网络设备实行设备冗余，保证在设备发生故障的情况下能够及时切换，将系统的损失降至最低。效劳器的高可用性主要是采用双机热备份或互备措施，对计算要求高的可采用群集或负载均衡技术。本策略由信息平安中心实施。〔四〕计算机系统平台平安策略。它包括计算机防病毒体系的建立，信息系统的审计，主机入侵检测和系统加固。防病毒体系的建立主要是指在整个信息系统中安装能够统一的、实时更新病毒库并制定统一杀毒策略的网络版防病毒软件。信息系统的审计主要是通过网络平安审计系统、平安设备审计系统、操作系统审计系统实现对系统平安的监管。本策略由信息平安中心负责实施。第七章应急处置第十八条信息报告〔一〕报告程序和时限要求1、发生特别重大灾害性事件应在2小时内报告信息平安中心，同时按规定向地方政府、金融办派出机构等有关单位报告。2、发生重大灾害事件不得晚于接报后6小时或事发后12小时报告信息平安中心，同时应向地方政府、金融办派出机构等有关单位报告。3、发生较大和一般灾害性事件不得晚于接报后8小时或事发后16小时报告信息平安中心。〔二〕报告方式和内容1、可根据具体情况分别采取、、电子、派人汇报等方式。发生特别重大灾害事件或重大灾害事件，可先报告或当面汇报，然后再书面报告。2、灾害报告的内容主要包括灾害性事件发生的地点和时间、灾害类型、灾害的规模、可能的引发因素、开展趋势和拟采取或已经采取的措施等。第十九条信息收集事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。第二十条应急处理〔一〕一般应急处理措施1、事件发生单位和现场应急处理工作组应初步检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、效劳、数据的完整性、**性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。2、事件发生单位和现场应急处理工作组应抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭效劳或关闭所有的系统，从网络上断开相关系统的物理，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接收系统；实行特殊"防卫状态〞平安戒备；还击攻击者的系统等。3、在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底去除。与此同时，执法部门和其他相关机构对攻击源进展准确定位并采取适宜的措施将其中断。清理系统、恢复数据、程序、效劳。把所有被攻破的系统和网络设备彻底复原到正常的任务状态。恢复工作应十分小心，防止出现操作失误而导致数据丧失。另外，恢复工作中如果涉及到**数据，需要额外按照**系统的恢复要求。如果攻击者获得了超级用户的权，一次完整的恢复应强制性地修改所有的口令〔二〕在发生影响人身平安的自然灾害、平安事件等情况下的紧急处置措施1、公司收到自然灾害即将发生的通知后，应第一时间按照灾害发生情况准备应急预案。2、信息平安中心协助公司其他人员进展重要电子资料的备份工作。对于无法携带的设备，要切断设备电源。3、如情况允许，信息平安中心应迅速关闭机房设备电源。4、如因为自然灾害原因导致、网络等系统中断效劳，应及时通知公司信息平安中心。5、信息平安中心应该在半小时内联系相关厂商进展问题排查，如短时间内无法恢复，应及时上报应急领导小组。〔三〕、网页出现非法言论事件紧急处置措施1、公司员工有义务留意、网页的信息内容。发现在网上出现非法信息时，相关人员应立即向信息平安中心通报情况。2、信息平安中心应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化平安防范措施，并将网页重新投入使用。3、追查非法信息来源，并将有关情况向本单位网络及信息平安领导小组汇报。4、网络及信息平安领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。〔四〕黑客攻击事件紧急处置措施1、当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进展攻击时，应立即向本单位通报情况2、信息平安相关负责人应在接到通知后立即赶到现场，并首先将被攻击的股务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位网络及信息平安领导小组汇报。3、对现场进展分析，并写出分析报告存档。4、恢复与重建被攻击或破坏系统5、网络及信息平安领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。〔五〕病毒事件紧急处置措施1、当发现有计算机被感染上病毒后，应立即向本单位信息平安负责人报告，将该机从网络上隔离开来。2、信息平安相关负责人员在接到通报后立即赶到现场。3、启用反病毒软件对该机进展杀毒处理，同时通过病毒检测软件对其他机器进展病毒扫描和去除工作。4、如果现行反病毒软件无法去除该病毒，应立即向本单位网络及信息平安领导小组报告，并迅速联系有关产品商研究解决。5、网络及信息平安领导小组经会商，认为情况严重的，应立即向公安部门报警。〔六〕软件系统遭破坏性攻击的紧急处置措施重要的软件系统平时必须做好备份工作，并将它们保存到平安的地方；一旦软件遭到破坏性攻击，应立即向信息平安负责人报告，并将该系统暂停运行；信息平安负责人要认真检查信息系统的日志等资料，确定攻击来源，并将有关情况向网络及信息平安领导小组汇报，再恢复软件系统和数据；网络及信息平安领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。〔七〕数据库平安紧急处置措施主要数据库系统应做多个数据库备份；一旦数据库崩溃，值班人员应立即启动备用系统，并向信息平安负责入报告；在备用系统运行期间，信息平安工作人员应对主机系统进展维修并作数据恢复。〔八〕网及城域网外部线路中断紧急处置措施1、网及城域网线路中断后，值班人员应立即向信息平安负责人报告。2、信息平安相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。3、如属我方管辖范围，由信息平安工作人员立即予以恢复。4、如属电信部门管辖范围，立即与电信维护部门联系，要求修复。〔九〕设备平安紧急处置措施如果效劳器等关键设备损坏后，值班人员应立即向信息平安负责人报告。信息平安相关负责人员要立即查明原因。如果能够自行恢复，应立即用备件替换受损部件。如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。如果设备一时不能修复，应向本单位信息平安领导小组报告。第二十一条应急完毕突发灾害性事件应急处置工作根本完成，事件危害被根本消除，经信息平安领导小组研究或总经理批准后，终止应急状态。应急处置工作完毕后，应将情况及时通知参与事件处置的各部门。第八章后续工作第二十二条善后处置应急完毕后要组织力量开展灾害性事件损害核定工作，及时处理现场，对事件情况、恢复能力等做出评估，制定事后恢复方案并实施。凡发生水灾、地震等重大自然灾害及平安事件，要迅速通知保险经纪公司、保险公司对本公司财产损失进展勘察、核准，以开展保险受理、赔付工作，尽量减少本公司资产损失。第二十三条评估分析在灾害性事件处置完毕后，信息平安中心对事件的起因、影响、责任、应急预案和措施的有效性等进展全面评估，总结经历教训，制定改良措施，并在15日内向总经理提交总结报告。第二十四条问责与处分在调查评估的根底上，应按照管理权限和组织程序，对事件责任人员实行问责与处分。对在预防和处置灾害性事件工作中，由于不按规定制定应急预案或及时报告、及时处置，或处置失当并造成严重后果的，要依照有关规定给予相应的处分乃至移送司法机关处理等处分。第二十五条奖励与表彰对在预防和处置灾害性事件工作中