公司信息安全事件专项应急预案全套

公司信息安全事件专项应急预案目录1总则...12编制范围及依据...13安全事件类型及风险分析...13.1机房安全事件...13.2网络中断事件...23.3数据库系统事件...23.4网络入侵事件...23.5病毒破坏事件...33.6重要存储介质失窃事件...34应急处置基本原则...34.1统一领导，分工协作...34.2明确责任，依法规范...34.3统筹安排，协调配合...44.4防范为主，加强监控...44.5快速处理，尽快恢复...45应急指挥机构及职责...46预警及信息报告...66.1预防与预警...66.2应急事件报告...86.3信息报告程序...96.3.1报告程序及时限...96.3.2信息安全事件报告内容及要求...96.3.3警报等级及具体发布部门范围...96.3.4报告方式及人员...107应急响应和处置...107.1响应分级...107.1.1I级事件...107.1.2Ⅱ级事件...117.2响应程序...117.3处置措施...117.3.1网络安全事件处置...117.3.2机房安全事件处置...138应急后期处置...159应急物资与装备保障...1610应急预案管理...1611附则...17附录1：信息安全事件应急通讯录...18附录2：重大突发信息安全事件报告（模板）...19版本及修订历史...201总则为建立健全XX公司信息安全事件应急工作机制，提高应对信息安全事件的应急处置能力，维护基础信息网络、重要信息系统的安全，保障公司各项经营活动安全、顺利开展，特制定本预案。2编制范围及依据2.1编制目的a)及时掌控突发信息安全事件，及时协调各部门力量，将突发事件的危害影响降至最低点；b)明确各部门、岗位人员的具体职责范围；c)规范突发事件上报程序、报告文本，以及相关文件的管理方式；2.2适用范围本预案适用于XX各公司、大区的信息安全事件应急管理。2.3编制依据本预案根据《中华人民共和国网络安全法》、《计算机信息网络国际联网安全保护管理办法》编制。3安全事件类型及风险分析3.1机房安全事件指机房空调系统、电源系统、服务器设备、网络及消防等出现重大突发事件，造成机房物理环境或设备的严重损害，甚至人身伤害等。主要包括:电气事件：电气设备漏电造成电击伤人，甚至引起火灾事件；火灾事件：机房火灾造成网络设备、服务器等设备损毁；电力系统事件：长时间电力故障，备用UPS电源无法继续供电，造成机房网络设备、服务器停止工作。3.2网络中断事件指造成XX公司骨干网络中断4小时以上、公司互联网中断8小时以上的网络事件。3.3数据库系统事件数据库系统故障，造成数据损坏或丢失，导致应用系统无法正常使用，公司重要数据泄露造成公司管理、经营的负面影响和重大损失。3.4网络入侵事件通过非授权方式侵入公司信息系统，对相关信息资产进行非授权监听、调用、篡改、销毁等，造成公司管理、经营的负面影响和重大损失。3.5病毒破坏事件指病毒、非预期程序代码植入公司信息系统，造成重大破坏。3.6重要存储介质失窃事件指存储有公司重要数据、商业秘密等信息的各类存储介质的遗失、失窃等，如纸质文件资料、硬盘、U盘、光盘等。4应急处置基本原则本预案应急处置遵循“依靠技术、加强管理、预防为主、快速响应、及时恢复”的总原则。另外应做到以下几点：4.1统一领导，分工协作a)在应急指挥组统一领导下，明确各部门职责，督促相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则，协同配合，有效地处置突发事件和应急情况。4.2明确责任，依法规范XX公司所属各部门，要按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、指挥、协调和控制。4.3统筹安排，协调配合统筹安排XX公司所属各部门应急工作任务，充分利用公司现有的信息安全服务设施和技术力量。各部门应在明确职责的基础上，加强协调，密切配合，保障信息安全。4.4防范为主，加强监控贯彻预防为主的思想，树立常备不懈的观念，宣传普及信息安全防范知识，做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。4.5快速处理，尽快恢复突发重大信息安全事件时，能够及时发现和预警，准确判断并及时采取有效措施，迅速控制事件影响程度和范围，确保信息系统尽快恢复正常，尽可能减少突发事件给企业带来的负面影响和损失。5应急机构及职责5.1应急组织结构示意图5.2应急指挥组小组职责：负责公司网络安全事件、机房安全事件、网络入侵、重大病毒破坏、数据库安全事件、集团级应用系统安全事件等的处置。履行应急值守、信息技术支持和综合协调职责，发挥运转枢纽作用；组织、协调突发信息安全事件的处置和善后工作；对突发信息安全事件进行事件调查，并组织事后评估。人员组成：a)、应急指挥组：组长：副组长：职责范围：信息安全应急指挥小组，指挥指导实施小组，及时并准确的处理解决问题。5.3各实施组机房安全组：网络中断组：数据库系统组：网络入侵组：病毒破坏组：重要存储介质失窃组：职责：负责进行日常系统维护、检查，以及机房管理工作，随时监督异常情况，并及时上报，及时处理力所能及的轻微故障、问题，在启动预案时根据应急指挥组的指示实施响应动作。6预警及信息报告6.1预防与预警a)危险源监控根据信息安全风险辨识结果，公司各部门要加强对危险源的监控，定期对机房空调、电源、网络、服务器等设备进行巡检，可通过软件等方法对网络运行情况进行监控，信息系统维护人员加强对各信息系统、数据库运行情况监控。机房安全事件：定期对机房空调、电源、网络、服务器等设备进行巡检，可通过软件等方法对网络运行情况进行监控，信息系统维护人员加强对各信息系统、数据库运行情况监控。网络中断事件：持续利用网络工具，监控XX网络系统状态，及各子公司之间的网络通信链路状态。在网络中断后及时的接收并响应事件，快速找到网络中断根源并排除。数据库系统事件：定期对数据库的运行状态，运行结果，运行效率进行查看，对数据库操作异常的程序进行排查处理。定期对重要业务数据库备份。网络入侵事件：使用入侵检测，帮助系统对付网络攻击，查看各个设备及系统的安全日志，从计算机网络系统中的若干关键点收集信息，并分析信息，排查非授权登录，侵入系统事件。病毒破坏事件：业务系统安装防病毒软件，及时查杀、监控、处理病毒异常情况，不定期检查病毒软件查杀日志信息，对异常信息进行处理跟踪，防止病毒破坏业务系统的正常运行。重要存储介质失窃事件：1)设备使用存储介质：对应设备巡检规定，定期对设备存储介质进行状态查看。2)个人使用存储介质：个人使用存储介质应当妥善保管，如失窃事件发生，应调取公司内安防监控进行排查。b)预警行动信息中心任何人员发现信息安全相关的异常情况时，应立即报告本部门负责人，并采取力所能及的应急措施。本部门负责人接到报告后，及时启动部门现场处置方案，视情况可到现场进行查看，并根据现场处置结果判定是否需要应急预警。如果需要，应报告公司应急处置小组组长，组长通知应急处置小组成员做好应急所需物资、设备、人员等准备。预警分级和处置：本预警分级根据事件严重性由高到低分为Ⅰ级事件、Ⅱ级事件、Ⅲ级事件。预警Ⅰ级事件范围：1)公司网络持续性、间断性的连接、断开，网络接入十分不稳定。2)业务系统服务器停止运行2小时。3)数据中心机房，有发生险情的趋势。4)重要业务、经营数据异常传输至其他储存介质。5)其他有趋势造成社会影响或经济损失的信息安全事件。预警Ⅱ级事件范围：预警Ⅲ级事件范围：6.2应急事件报告突发事件信息报告分为首报、续报和终报。a)首报信息内容：突发事件发生时间、地点、事件、可能造成的损失和影响情况。b)续报信息内容：事发基本情况，事件起因和性质、基本过程\影响范围、事件发展趋势、处置情况，请求事项和工作建议。c)终报信息内容：事件基本情况，原因分析，处置过程，形成结果，责任划分与处理、教训与预防措施。6.3信息报告程序6.3.1报告程序及时限信息安全突发事件逐级上报程序及时限要求：现场相关发现人员立即报告部门负责人→部门负责人通知相关人员开展现场处置，并立即报告应急处置小组组长→应急处置小组报告公司管理层。a)一般网络中断、机房事件，应在60分钟内上报；b)网络入侵、数据库系统事件、重大病毒危害事件、重要存储介质失窃等应在30分钟内上报；c)如涉及机房火灾、触电或人身伤害的情况，应在10分钟内尽快上报；6.3.2信息安全事件报告内容及要求a）事件发生部门、发生地点、发生时间；b）事件现场具体情况，周围环境情况；c）初步说明事件原因、当前状况等；d）已采取的措施。6.3.3警报等级及具体发布部门范围需要采取Ⅰ级应急响应的事件警报为Ⅰ级，需要采取Ⅱ级应急响应的事件警报为Ⅱ级。仅采取Ⅲ级应急响应的事件，不发布警报。a）Ⅰ级警报应发布到事件应急所有参与部门，并报告公司应急处置小组组长。b）Ⅱ级警报发布到事件应急部分参与部门，并报告公司应急处置小组组长。6.3.4报告方式及人员报告人员的通讯、联络方式见附录1。7应急响应和处置7.1响应分级本预案管理的事件根据风险或危害程度由高到低分为Ⅰ级事件、Ⅱ级事件、Ⅲ级事件，以下所称“以上”均包含本数。7.1.1I级事件符合下列条件之一的为I级事件：a）故障影响范围，达到大区及以上，影响业务涵盖集团所有生产业务；b）公司全网业务中断12小时以上；c）面向研发、生产的关键服务器（企业信息系统、工程平台等）瘫痪24小时以上；d）中心机房发生重大火灾，造成公司所有设备故障、全网络瘫痪等；e）涉密数据泄露造成公司经营管理的负面影响和重大损失；f）其他造成特别严重社会影响或经济损失的信息安全事件。7.1.2Ⅱ级事件a)故障影响范围，达到部门级以上且并未达到大区级别，影响业务涵盖集团所有办公业务；b)公司全网业务中断8小时以上；c)面向研发、生产的关键服务器（企业信息系统、工程平台等）瘫痪16小时以上；d)中心机房发生较大火灾，造成公司部分设备故障、部分网络瘫痪等。e)涉密数据泄露造成公司经营管理的较大负面影响和较大损失；f)其他造成较大社会影响或经济损失的信息安全事件。7.1.3Ⅲ级事件[A1]a）故障影响范围为部门级以下，并不影响集团所有业务系统正常运行；b）公司全网业务中断4小时以上；c）面向研发、生产的关键服务器（企业信息系统、工程平台等）瘫痪8小时以上；d）中心机房发生一般火灾，造成公司较少或没有设备故障、网络较少故障或没有网络不可达情况；e）涉密数据泄露造成公司经营管理的较少负面影响和较少损失；f）其他造成较小社会影响或经济损失的信息安全事件。7.2响应程序应急指挥原则、应急行动检查、应急物资调配、扩大应急响应原则，根据应急响应分级进行处理。启动：由预警分级处理后，判断预警等级，超过预警范围，预警事件升级应急响应事件。应急指挥组根据实际情况判断事件等级，并制定处理方案并及时向实施组成员传达。执行：根据应急响应事件分级制定的处理方案，按照处理方案内容进行事件处理。处理完成后上报应急指挥组，结束完成响应事件，如事态难以控制，则应及时向应急指挥组说明情况，联系其他部门甚至外部力量进行事故控制。7.3处置措施7.3.1网络安全事件处置按照网络管理分工，相应的网络安全事件响应与处理时间，从发现到处理完毕，原则上不超过24小时。网络安全事件处理流程见下图：以下情况属于一般网络故障，原则上各分公司信息中心人员自行处理，公司总部网络由公司信息中心处理。a）分公司局域网网络故障；b）分公司办公室内的网络单点故障。如果分公司信息中心人员无法处理的网络故障，可上报公司信息中心给予技术支持和协调解决。7.3.2机房安全事件处置(一)机房电源紧急处理流程a）如果由于市电中断报警，机房负责人应立即联系公司供电保障部门或其他相关单位，确认断电原因、时间等。如果在短时间内无法恢复供电，应及时通知财务、办公等应用系统负责人，作好应急关机准备；b）接到UPS报警，首先报告机房负责人，认定故障原因，必要时上报公司信息中心负责人；c）如UPS出现故障，但服务器和网络设备等仍通过UPS旁路供电，正常运行，则机房负责人密切监视市电情况，并报告运维管理部负责人，由运维管理部通知UPS服务提供商，对UPS进行紧急修复处理；d）问题排除后，对机房内设备逐一检查，确认无误后，填写设备巡检记录；e）按问题的分级，填写问题记录日志表，并上报相关领导。(二)机房网络故障处理流程a）指定的防病毒系统与补丁更新，负责服务器系统的网络畅通，负责硬件状态的监控；b）系统网络人员发现服务器出现问题，第一时间通知应用负责人，反之，应用负责人发现问题，及时通知系统网络负责人，协同查找故障原因，共同解决；c）如果是硬件问题，首先立即启用备份服务器，然后由系统网络负责人立即联系服务器提供商，彻底解决问题；d）如果是病毒或网络攻击造成服务停止，系统网络与应用负责人共同解决问题；e）如果是应用系统故障且无法处理，应立即向系统维护商请求紧急支援，或启用备用系统。f）问题解决后，填写问题记录日志表，并按问题的级别上报相关领导。(三)机房消防处理流程a）当机房发现烟、焦糊味等，立即定位问题所在，进行必要的断电与隔离，并及时通知机房负责人与运维管理部负责人；b）如果问题不严重，通过断电与隔离消除了危险，通知相应的应用或设备负责人，处理善后工作，进行设备及系统的检查，并及时填写问题记录日志表与设备巡检记录c）如果发生火灾，当火情较小时，使用机房内的干粉灭火器；如果火情较严重，立即报119，通知公司安保部门切断机房市电开关（开关位置要清楚）和UPS电源输出开关，机房内人员撤离，关闭机房大门，以免火势蔓延。(四)数据信息安全事件在进行事件上报的同时，本着一经发现立即响应，将影响降到最低的原则，事件处理流程如下：a）事件一经发现，应立即通知应用系统管理员、操作系统管理员、数据库管理员到达现场分析查找原因，准备进行故障恢复。如果属于网络原因，应立即通知网络管理员。应由操作系统管理员、数据库管理员、应用管理员共同参照各应用系统故障恢复指南，立即切换到备份机或异地备份系统，同时恢复最近时间内的应用系统与数据的完全备份，进行原应用系统环境的重建。b）如发生的数据安全事件，造成数据丢失和数据意外毁坏已无法恢复，应由业务部门立即组织相关部门对数据进行补录。c）当发现公司涉密数据通过网络途径传播，及时向信息中心通报，信息中心切断信息泄露点与网络的物理链接，并登记信息损失,确定信息泄露原因，由于人为原