ISO22301：2019SS08信息安全应急处置预案5.28

拟定拟定审核会签签名批准生效日期文件状态：□受控□非受控持有人（单位）网络信息安全应急处置作业指导书修订日期版次修订日期版次页码描述1.目的置合理的应急处置机制，提高公司计算机网络信息安全事件处置能力。2.适用范围务器、网站、局域网、ERP系统、comms系统等网络中断与系统崩溃，适用本预案。3.术语和定义无4.职责4.1分管信息中心的公司领导负责计算机网络应急处置工作的决策指挥协调和监督。4.2信息中心负责系统数据运行中心机房的环境设备网络和数据安全,负责公司网站局域网ERP系统等网络信息安全。妥善处置由于自然灾害、人为或病毒破坏、网络中站、局域网ERP系统、comms系统被攻击等网络信息安全事件。4.3各部门计算机网络信息安全应急处置工作由本部门主要负责人、分管负责人和兼有无法解决的计算机网络故障时及时与信息中心联系，确保网络和应用软件的平稳行。4.4各部门负责配合信息中心进行计算机网络应急处置工作。5.管理内容5.1信息安全事故分类及应急处置方法5.1.1自然灾害、网络中断、外电中断等原因出现的数据运行中心机房事故。房其他设备安全。生12小时内向分管信息中心的公司领导汇报并在24小时内协调部署数据运行中心机房的重建和恢复工作。应急处置完毕后，信息中心要针对事故发生的原因、应急措施数据和设备损毁情况，以及恢复和重建的措施、方案等写出详细的书面报告。5.1.2ERP系统、comms系统等网络事故。来源的网络连接，跟踪破坏来源的IP地址和其他信息，及时修复被破坏的信息，恢系统正常运行。具体按照灾害发生的性质分别采用如下方案：5.1.3病毒传播应及时断开传播源，隔离未被感染的系统和网络。判断病毒的性质、采用的端口所有应用程序，用杀毒软件进行查杀。也可进行手工杀毒。如:a)停进程，停止或挂起可疑的进程。b)删文件，根据杀毒软件提供的路径信息或自己查找的病毒路径，手工删除病文件。对于不能删除的文件，可以尝试在安全模式下删除。c)删服务，停止病毒程序的服务，然后删除注册表。5.1.4网络入侵设备。外网的，定位入侵的IP地址，及时关闭入侵的端口，限制入侵IP地址的访问在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源如IP地址、上网帐号等信息，同时断开对应的交换机端口。5.1.5信息被篡改要求一经发现马上断开相应的信息上网链接，并尽快恢复。a)公司网站信息被篡改。首先，及时修改恢复之前的数据。其次，采用技术手段送网页的正确性。保障业务的正常运营，维护企业信誉。b)comms系统前台信息被篡改。系统使用人员应查找用户操作日志，及时阻断用户继续误操作。并在最短的时间内还原成误操作前状态。c)comms系统后台信息被篡改。每次更新数据时，系统负责人员都需备份原来数据。后台信息被篡改后依据备份的数据在最短时间内恢复。信息化系统出现严重故障不能及时完成修复工作的或维修时间超过1小时的信息中心主管应及时向分管信息中心的公司领导汇报并告知相关单位出现问题的简要情及解决方案，同时通知相关单位的员工必要时转手工运作，直至故障修复。5.1.6软件系统遭破坏性攻击重要的软件系统平时必须存有备份与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份，并保存于安全地方。一旦软件遭到破坏性攻击，应立即向信息中心报告，并将该系统停止运行。检查信息系统的日志等资料，确定攻击来源并将有关情况向分管信息中心的公司领导汇报，再恢复软件系统和数据。5.1.7数据库安全向有关厂商请求紧急支援。5.1.8广域网外部线路中断应向信息中心报告信息中心安全相关负责人员接到报告后应迅速判断故障节点部门管辖范围，立即与电信维护部门联系，要求修复。5.1.9局域网中断的使用年限和运行状态，尽量做到在故障发生前更换设备。5.1.10设备安全行恢复的立即与设备提供商联系请求派维护人员前来维修如果设备一时不能修复应向分管信息中心的公司领导汇报。5.1.11况，做出相应的处理，不能处理的可以请示相关的专业人员。信息中心应于事故发生12小时内向分管公司领导汇报在24小时内完成数据运行中心机房和公司网站、局域网、ERP系统、comms系统的重建和恢复工作。应急处置完毕后信息中心要针对事故发生的原因应急措施数据损毁和网站被攻击的有关情况以及恢复和重建的措施、方案等写出详细的书面报告向分管信息中心的公司领导汇报。5.2各部门应急处置职责和流程5.2.1无法上网故障首先要通过网上邻居重新启动网络设备，如果问题还没有解决，应中断网络连接利用杀毒软件对整机进行扫描。如果故障无法自行排除，请及