2023年新能源集控中心数据安全应急演练方案

新能源集控中心数据安全应急演练方案2023.09一.演练单位人员及场景说明（一）演练参加单位及人员本次演练单位及人员分别为：集控中心领导、集控中心信息管理部、集控中心系统部。（二）演练场景场景一：业务系统虚拟机因人为进行误删除，对虚拟机进行恢复的场景。场景二：业务系统关键文件因病毒入侵或人为误删除，对关键文件进行恢复。场景三：对需要快速恢复的业务进行快速挂载，直接从备份平台进行启动。二.组织机构（一）应急指挥组组长：集控中心领导（中心主任）成员：集控中心信息管理部高级主管、集控中心系统部主管。职责：1.负责本应急预案的制定，并定期组织演练，监督检查各部门及参演厂站在本预案中履行职责情况。负责批准演练的启动与终止进行决策，对演练的组织、指挥、协调及各项工作的检查、指导。2.根据数据安全事件报告立即按本预案规定的程序，组织各专业应急小组人员赶赴现场进行数据安全事件处理，组织现场抢救，使损失降到最低限。3.根据设备、系统的变化及时组织对本方案的内容进行相应修改，并及时上报上级主管部门备案。4.负责组织对演练效果进行评价，及时组织对演练方案进行修编、对暴露问题闭环整改;5.按照演练脚本要求，模拟可能发生的情况，采取相应的响应行动，处理突发数据安全事件。（二）数据安全应急组组长：集控中心信息管理部高级主管成员：集控中心信息管理部网安值班人员、集控中心系统部工控人员。职责：1.在数据安全事件发生后，保持冷静的头脑，保障网络畅通，避免重大的数据安全事件，尽快恢复信息系统的稳定运行。2.在数据安全事件发生后，按照要求和规范，有效对受影响的系统进行止损和恢复措施，缩小受影响范围，精准排查受影响系统和设备。保障新能源集控中心系统数据安全，避免重大的数据安全事件，尽快恢复信息系统和相关设备的稳定运行。3.数据安全事件处理期间，要求各岗位尽职尽责，根据情况对设备采取相应保护、恢复措施，通过受故障点快速跟踪恢复，及时整改并分析其原因，对可能产生的不良影响提出数据安全事件处理方案。（三）数据安全保障组组长：集控中心信息管理部主管成员：集控中心信息管理部和系统部网络管理员。职责：1.在数据安全事件发生后，受攻击所在单位或厂站人员第一时间赶到现场，对网络值班人员进行技术支持和指导，保障操作的规范性和安全性。2.数据安全事件处理期间，监督预案的正确落实情况，对可能产生的不良影响提出技术方案。三.运行方式通过新能源集控中心数据资产监控平台值班员收到业务系统断线告警，发现有一业务系统因为人为误操作业务系统虚拟机被整个删除。集控中心立刻组织信息管理部、系统部进行排查，信息系统和数据丢失，立即启动应急预案。四.演练内容新能源集控中心数据资产监控平台监测分公司业务系统出现断线的情况，并在云平台中没有发现该业务系统虚拟机运行，查看日志发现已经被删除。集控中心立刻组织信息管理部、系统部进行排查，信息系统和数据均丢失，立即启动应急预案，对业务系统虚拟机进行恢复。五.演练设备准备1.数据资产监控平台、模拟业务系统整个丢失、演练专用网络地址、恢复业务系统虚拟机、快速挂在业务系统等。2．创建演练钉钉群，各地准备好联网钉钉终端，并具备连麦功能。3.以上物资材料由参加演练组准备。六.总体演练要点1.遵循“安全第一，预防为主，综合治理”的方针，坚持防御和救援相结合的原则。统一领导、分工负责、加强联动、快速响应，要具备科学性、真实性，真正达到演练目的。2.参加演练人员成员必须遵守演练全过程的各项规定和要求。3.参加演练人员对所负责的设备参数、构造、特性、系统连接管路与线路要掌握清楚。4.通过本次演练，检验公司系统各厂站数据安全事件应急指挥系统应急响应能力，提高系统员工遇到数据安全事件时的应急处理能力。不断总结暴露出的问题和不足，按期完成整改，优化演练方案。七.演练步骤场景交代：宣布演练开始【XX:00网安值班员(XXX)汇报总指挥(XXX)】报告集控应急指挥，参加新能源集控中心2022年数据安全联合应急演练人员已全部到位，请指示。【XX:01总指挥(XXX)宣布】新能源集控中心2022年数据安全联合应急演练现在开始。【XX:02网安值班员(XXX)发现】数据资产监控平台有异常资产离线告警信息。【XX:03网安值班员(XXX)汇报网安应急指挥(XXX)】报告集控应急指挥，数据资产监控平台有异常资产离线告警信息，显示为测试业务系统受到离线，请指示。【XX:04网安应急指挥(XXX)回复网安值班员(XXX)】请立刻通知信息人员查明离线业务设备基本情况和原因。【XX:05网安值班员(XXX)回复网安应急指挥(XXX)】收到，马上通知。【XX:06网安值班员(XXX)通知网安应急处置(XXX)】系统部应急指挥，我们通过数据资产监控平台发现有异常资产离线告警信息，显示为测试业务系统异常离线，请立刻排查。【XX:07网安应急处置(XXX)回复网安值班员(XXX)】收到，马上组织人员开展排查。(同步执行：通知数据安全应急处置人员检查受攻击事件的原因。)【XX:08网安处置员(XXX)汇报网安应急指挥(XXX)】数据安全应急指挥，经排查影响的业务系统为测试业务系统【XX:09网安应急指挥(XXX)汇报总指挥(XXX)】汇报总指挥、副总指挥，我们通过数据资产监控平台发现有异常资产离线告警信息，显示为业务系统异常离线，可能业务系统已经离线，不排除有人为误删除，现需要扩大排查范围，请指示。(同步执行：了解情况后立即向总指挥汇报。)【XX:10总指挥(XXX)宣布】我宣布：由信息部牵头、系统部配合，立即启动集控中心数据安全应急预案。【XX:11副总指挥(谢金记)宣布】各小组立刻按照集控中心数据安全应急预案，尽快恢复误删除的业务系统，保障关键信息系统的安全。【XX:11网安应急处置(XXX)回令总指挥(XXX)】收到，马上进行业务系统恢复操作。【XX:20网安应急处置(XXX)回令总指挥(XXX)】数据恢复完毕。【XX:23总指挥(XXX)回复网安应急处置(XXX)】收到，今天，我们完成了一场数据安全的常规联合演练，体现了日常数据安全工作监管的重要性，特别是关键信息系统的操作行为要提前给集控中心相关部门报备。【XX:26总指挥(XXX)宣布】今天的演练很成功，能暴露