信息安全应急预案手册

目的科学应对网络与信息安全突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响，从而最大限度地保障业务正常运营。适用情况适用于**公司园区，发生以下突发事件场景。自然灾害。发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流和海啸等自然灾害可能或者已对本公司网络及信息系统造成危害的。物理安全事件。发生楼宇倒塌、爆炸和大的交通运输、设备事故等安全事件可能或者已对本公司网络及信息系统造成危害的。2.4.信息安全事件。发生网络攻击、信息泄露、病毒爆发、系统瘫痪等信息安全事件可能或者已经对本公司网络及信息系统造成危害的。处理原则统一领导，分级协调，防范为主，加强监控；快速反应，协同合作。预防预警机制资讯科技部承担信息安全监测、分析和预警工作，进一步提高信息安全管理能力。加强数据的安全防护，落实数据备份和数据保存制度。针对突发事故的应急处理，组织培训和模拟演练。自然灾害、物理事件紧急处置公司收到自然灾害即将发生的通知后，应第一时间按照灾害发生情况准备应急预案。资讯科技部协助公司其他人员进行重要电子资料的备份工作。对于无法携带的设备，要切断设备电源。如情况允许，资讯科技部应迅速关闭机房设备电源。如因为自然灾害原因导致电话、网络等系统中断服务，应及时通知公司资讯科技部。资讯科技部应该在半小时内联系相关厂商进行问题排查，如短时间内无法恢复，应及时上报应急领导小组。信息安全事件应急处置事件报告和信息收集发生特别重大信息安全事件应在2小时内报告IT部主管，同时按规定向资讯科技部经理汇报。发生较大信息安全事件不得晚于接报后3小时或事发后报告给IT部主管。事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。应急处理工作组应初步检查威胁造成的结果，评估事件带来的影响和损害：应急处理工作组应抑制事件的影响进一步扩大，限制潜在的损失与破坏。病毒事件紧急处置当发现有计算机被感染上病毒后，应立即向本单位信息安全负责人报告，将该机从网络上隔离开来。信息安全相关负责人员在接到通报后立即赶到现场。启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，信息系统安全事件应急领导小组报告，并迅速联系有关产品商研究解决。网络及信息系统安全事件应急领导小组经会商，认为情况严重的，应立即向公安部门报警。一旦软件遭到破坏性攻击，应立即向信息安全负责人报告，并将该系统暂停运行；6.2.7.信息安全负责人要认真检查信息系统的日志等资料，确定攻击来源，并将有关情况向网络及信息系统安全事件应急领导小组汇报，再恢复软件系统和数据；6.2.8.网络及信息系统安全事件应急领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。数据库安全紧急处置主要数据库系统应做多个数据库备份；一旦数据库崩溃，值班人员应立即启动备用系统，并向信息安全负责入报告；在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。具体操作可参考《数据库容灾紧急处理方案》。电话网及城域网外部线路中断紧急处置电话网及城域网线路中断后，值班人员应立即向信息安全负责人报告。6.4.2.信息安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。如属我方管辖范围，由信息安全工作人员立即予以恢复。公司网络业务需至少两家不同网络运营商线路，故障如属电信部门管辖范围，立即与电信维护部门联系，要求修复并评估其恢复时间，如超过2个小时恢复的情况需应急切换到不同运营商线路临时恢复业务。网络攻击处置发生网络攻击事件后，立刻上报领导，紧急开展应急处理准备工作，并通知相关人员到现场；应急组应迅速对相关设备流量进行监测、分析、确定网络被攻击的程度和入侵来源与性质；入侵性质为网络攻击的，如果入侵源来自外网，定位入侵的IP地址，及时关闭入侵的端口，限制入侵IP地址的访问，在无法制止的情况下可以采用断开网络连接，并联系ISP运营商协助处理；网络攻击入侵源来自内网的，查清入侵源（如IP地址、电脑名称、上网帐号等）信息和入侵类型，网络管理员、系统管理员核实、评估情况后，采取关闭服务器或系统，封锁或删除攻击的登录帐号，阻断可疑用户进入网络的通道等措施；同时限制和断开对应的网络，然后根据入侵源反向追溯，查询入侵设备的类型和确认网络接入是否通过授权，相关违规交人事行政处理；入侵性质为病毒传播的，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，或者安装杀毒软件进行查杀，修补漏洞，修复和重做系统的方式解决，文件受损的，及时通过备份或数据恢复软件进行恢复，相关解决方案第一时间通过邮件或电话等方式公布病毒攻击信息以及防御解决方法。对该攻击事件的起因、经过、处置措施，事件的危害、后果总结成书面材料，上报领导，并利用各种技术手段做好取证工作。设备安全紧急处置如果服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复，应立即用备件替换受损部件。如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。如果设备一时不能修复，应向本单位信息系统安全事件应急领导小组报告。电力供应异常处置机房的电力供应是必不可少的一项，也是最容易出现问题的一项，为此，机房的电力线要有足够的截面容量，线槽架设尽量不交叉，供电线路应上配置稳压器及过压保护装置。机房应具备提供短期的电力供应能力，机房UPS应能最低满足1-2小时的备用电力供应。如出现UPS供电设备及供电保护装置损坏，，请求设备提供商派维护人员前来维修。如供电线路一时不能修复，应向本单位信息系统安全事件应急领导小组报告。相关文件：《数据库容灾紧急处理方案》 WI-B