1、XX 公司信息安全事件專項應急預案目錄1總則 . 12目的 . 13安全事件類型及風險分析 . 13.1機房安全事件 . 13.2網絡中斷事件 . 23.3數據庫系統事件 . 23.4網絡入侵事件 . 23.5病毒破壞事件 . 23.6重要存儲介質失竊事件 . 24應急處置基本原則 . 34.1統一領導，分工協作 . 34.2明確責任，依法規范 . 34.3統籌安排，協調配合 . 34.4防范為主，加強監控 . 44.5快速處理，盡快恢復 . 45應急指揮機構及職責 . 45.1應急指揮領導小組 . 45.2應急處置小組 . 55.3專家組 . 56預警及信息報告 . 66.1預防與預警 .

2、66.2應急事件報告 . 66.3信息報告程序 . 76.3.1報告程序及時限 . 76.3.2信息安全事件報告內容及要求 . 76.3.3警報等級及具體發布部門范圍 . 86.3.4報告方式及人員 . 87應急響應和處置 . 87.1響應分級 . 87.1.1I 級事件 . 87.1.2n級事件. 97.2響應程序 . 97.3處置措施 . 97.3.1網絡安全事件處置 . 97.3.2機房安全事件處置 . 118應急后期處置 . 139應急物資與裝備保障 . 1410應急預案管理 . 1411附則 . 14附錄 1：信息安全事件應急通訊錄 . 16附錄 2：重大突發信息安全事件報告 . 1

3、7版本及修訂歷史 . 181 總則為建立健全 XX 公司信息安全事件應急工作機制， 提高應對 信息安全事件的應急處置能力， 維護基礎信息網絡、 重要信息系 統和重要工業控制系統的安全， 保障公司各項科研生產經營活動 安全、順利開展，特制定本預案。本預案適用于 XX 公司以及所屬各部門、事業部、專業公司 的信息安全事件應急管理。2 目的2.1及時掌控突發信息安全事件，及時協調各部門、各事 業部、各專業公司力量，將突發事件的危害影響降至最低點。2.2 規范突發事件上報程序和報告文本。3 安全事件類型及風險分析3.1 機房安全事件指機房空調系統、電源系統、 服務器設備、 網絡及消防等出 現重大突發事

4、件， 造成機房物理環境或設備的嚴重損害。 主要包 括:電氣事件： 電氣設備漏電造成電擊傷人， 嚴重的引起火災事 件；火災事件：機房火災造成網絡設備、服務器等設備損毀； 電力系統事件：長時間電力故障，備用 UPS 電源無法繼續供電，造成機房網絡設備、服務器停止工作。3.2 網絡中斷事件指造成 XX 公司骨干網絡中斷 24 小時以上、公司國際互聯 網中斷 48 小時以上的網絡事件。3.3 數據庫系統事件數據庫系統故障， 造成數據損壞或丟失， 導致應用系統無法 正常使用， 公司重要數據泄露造成公司管理、 經營的負面影響和 重大損失。3.4 網絡入侵事件通過非授權方式侵入公司信息系統， 對相關信息資產

5、進行非 授權監聽、調用、篡改、銷毀等，造成公司管理、經營的負面影 響和重大損失。3.5 病毒破壞事件指病毒、非預期程序代碼植入公司信息系統， 造成重大破壞。3.6 重要存儲介質失竊事件指存儲有公司重要數據、 商業秘密等信息的各類存儲介質的 遺失、失竊等，如紙質文件資料、硬盤、U 盤、光盤等。4 應急處置基本原則本預案應急處置遵循“依靠技術、加強管理、預防為主、快 速響應、及時恢復”的總原則。另外應做到以下幾點：4.1 統一領導，分工協作a) 在 XX 公司統一領導下，明確各部門、各事業部、各專 業公司職責，督促相關部門遵照“統一領導、歸口負責、綜合 協調、各司其職”的原則，協同配合，有效地處置

6、突發事件和 應急情況。4.2 明確責任，依法規范XX 公司所屬各部門、各事業部、各專業公司，要按照“屬 地管理、分級響應、及時發現、 及時報告、 及時救治、 及時控制” 的要求， 依法對信息安全突發事件進行防范、 監測、預警、報告、 響應、指揮、協調和控制。4.3 統籌安排，協調配合統籌安排 XX 公司所屬各部門、各事業部、各專業公司應急 工作任務，充分利用公司現有的信息安全服務設施和技術力量。 各部門、各事業部、各專業公司應在明確職責的基礎上，加強協 調，密切配合，保障信息安全。4.4 防范為主，加強監控貫徹預防為主的思想， 樹立常備不懈的觀念， 宣傳普及信息 安全防范知識， 做好應對信息安

7、全突發事件的思想準備、 預案準 備、機制準備和工作準備， 提高公共防范意識以及基礎網絡和重 要信息系統的信息安全綜合保障水平。4.5 快速處理，盡快恢復突發重大信息安全事件時， 能夠及時發現和預警， 準確判斷 并及時采取有效措施， 迅速控制事件影響程度和范圍， 確保信息 系統盡快恢復正常， 盡可能減少突發事件給企業帶來的負面影響 和損失。5 應急指揮機構及職責5.1 應急指揮領導小組組 長：保密委主任副組長：信息中心主任，公共事業管理中心主任成 員：公司所屬各事業部、專業公司主管信息工作領導、 集團公司保密處、規劃運營部、辦公室相關領導職 責：履行應急值守、信息技術支持和綜合協調職責，發 揮運

8、轉樞紐作用； 組織、 協調突發信息安全事件的處置和善后工 作；對突發信息安全事件進行事件調查，并組織事后評估。5.2 應急處置小組應急處置小組為兩級：一級是公司本部；二級是各事業部、 專業公司。a)公司本部組 長：信息中心主任組 員：信息中心全體人員，保密處、辦公室相關人員，管 理中心電力、消防、保衛等相關人員職 責：負責公司本部網絡、二級單位主干網絡安全事件、 本部機房安全事件、 網絡入侵、 重大病毒破壞、 數據庫安全事件、 集團級應用系統安全事件等的處置。b)各事業部、專業公司組 長：各事業部、專業公司信息安全負責人組 員：各事業部、專業公司相關人員職 責：負責本單位信息安全事件處置工作。

9、5.3 專家組由有關專家和廠商專業技術人員分別組成應急處置技術專 家組， 為信息安全事件應急管理提供決策建議和技術支持， 參加 突發信息安全事件的應急處置和事件恢復工作。6 預警及信息報告6.1 預防與預警a) 危險源監控 根據信息安全風險辨識結果，公司各部門、各事業部、專 業公司要加強對危險源的監控，定期對機房空調、電源、網 絡、服務器等設備進行巡檢，可通過軟件等方法對網絡運行情 況進行監控，信息系統維護人員加強對各信息系統、數據庫運 行情況監控。b) 預警行動 單位任何人員發現信息安全相關情況時， 應立即報告本部門 負責人，并力所能及地采取相應應急措施。本部門負責人接到報告后， 及時啟動部

10、門現場處置方案， 視 情況可到現場進行查看， 并根據現場處置結果判定是否需要應急 預警。如果需要，應報告公司應急指揮領導小組組長， 組長通知 應急處置小組成員做好應急所需物資、設備、人員等準備。6.2 應急事件報告突發事件信息報告分為首報、續報和終報。a) 首報信息內容：突發事件發生時間、地點、事件、可能 造成的傷亡和影響情況；搶險救援情況。b) 續報信息內容：事發單位基本情況，事件起因和性質、 基本過程 影響范圍、事件發展趨勢、處置情況，請求事項和工作建議。c)終報信息內容：事件基本情況，原因分析，處置過程， 形成結果，責任劃分與處理、教訓與預防措施。6.3 信息報告程序6.3.1報告程序及

11、時限信息安全突發事件逐級上報程序及時限要求： 現場相關發現人員立即報告部門負責人T部門負責人通知相關人員開展現場處置，并立即報告應急處置小組組長T應急處置小組報告公司應 急指揮領導小組組長T應急指揮領導小組報告地方政府/警務部門(必要時) 。a)一般網絡中斷、機房事件，應在 60 分鐘內上報；b)網絡入侵、數據庫系統事件、重大病毒危害事件、重要 存儲介質失竊等應在 30 分鐘內上報；c)特殊情況，如出現人員傷亡情況，應按公司突發公共 事件總體應急預案的要求報告。6.3.2信息安全事件報告內容及要求a)事件發生部門 /單位、發生地點、發生時間；b)事件現場具體位置和路線，周圍環境情況；c)初步說

12、明事件原因、當前狀況等；d)已采取的措施。6.3.3警報等級及具體發布部門范圍需要采取I級應急響應的事件警報為I級， 需要采取口級應 急響應的事件警報為口級。 僅采取川級應急響應的事件， 不發布 警報。a) I級警報應發布到事件應急所有參與部門，并報告公司 應急指揮領導小組組長。b) 口級警報發布到事件應急部分參與部門，并報告公司應 急指揮領導小組組長。6.3.4報告方式及人員報告人員的通訊、聯絡方式見附錄 1。7 應急響應和處置7.1 響應分級本預案管理的事件由高到低分為I級事件、級事件，以下所稱“以上”均包含本數。7.1.1I 級事件符合下列條件之一的為 I 級事件：a)公司全網業務中斷；

13、b)面向研發、生產的關鍵服務器(企業信息系統、工程平 臺等)癱瘓 24 小時以上；c)中心機房發生火災；d ) 涉密數據泄露造成公司經營管理的負面影響和重大損 失；e)其他造成特別嚴重社會影響或巨大經濟損失的信息安 全事件。7.1.2H級事件其它事件或由子公司內部認定的突發信息安全事件。7.2響應程序應急指揮原則、應急行動檢查、應急物資調配、擴大應急響 應原則具體執行公司總體應急預案有關規定和要求。7.3 處置措施7.3.1網絡安全事件處置按照網絡管理分工，相應的網絡安全事件響應與處理時間， 從發現到處理完畢，原則上不超過 24 小時。網絡安全事件處理 流程見下圖：網絡安全事件處理流程圖以下情

14、況屬于一般網絡故障，原則上各事業部、專業公司 信息部門自行處理，公司本部各部門由公司信息中心處理。a） 本單位局域網網絡故障；b） 本單位辦公室內的網絡單點故障。如果二級單位本身無法處理的網絡故障， 可上報公司信息中心給予技術支持和協調解 決。7.3.2機房安全事件處置(一 ) 機房電源緊急處理流程a) 如果由于市電中斷報警， 機房負責人應立即聯系公司供 電保障部門或其他相關單位， 確認斷電原因、 時間等。 如果在短 時間內無法恢復供電， 應及時通知財務、 辦公等應用系統負責人， 作好應急關機準備；b ) 接到 UPS 報警，首先報告機房負責人，認定故障原因， 必要時上報公司主管信息化工作的領

15、導；c)如 UPS 出現故障，但服務器和網絡設備等仍通過UPS旁路供電，正常運行，則機房負責人密切監視市電情況，并報告 信息中心負責人，由信息中心通知 UPS 服務提供商，對 UPS 進 行緊急修復處理；d ) 問題排除后，對機房內設備逐一檢查，確認無誤后，填 寫設備巡檢記錄；e) 按問題的分級， 填寫問題記錄日志表， 并上報相關領導。(二 ) 機房網絡故障處理流程a) 指定的防病毒系統) 與補丁更新， 負責服務器系統的網 絡暢通，負責硬件狀態的監控；b ) 系統網絡人員發現服務器出現問題， 第一時間通知應用 負責人， 反之，應用負責人發現問題， 及時通知系統網絡負責人，協同查找故障原因，共同

16、解決；c)如果是硬件問題， 首先立即啟用備份服務器， 然后由系 統網絡負責人立即聯系服務器提供商，徹底解決問題；d ) 如果是病毒或網絡攻擊造成服務停止， 系統網絡與應用 負責人共同解決問題；e) 如果是應用系統故障且無法處理， 應立即向系統維護商 請求緊急支援，或啟用備用系統。f ) 問題解決后， 填寫問題記錄日志表， 并按問題的級別上 報相關領導。(三 ) 機房消防處理流程a) 當機房發現煙、焦糊味等，立即定位問題所在，進行必 要的斷電與隔離，并及時通知機房負責人與信息中心負責人；b ) 如果問題不嚴重， 通過斷電與隔離消除了危險， 通知相 應的應用或設備負責人， 處理善后工作， 進行設備

17、及系統的檢查， 并及時填寫問題記錄日志表與設備巡檢記錄c)如果發生火災， 當火情較小時， 使用機房內的二氧化碳 滅火器； 如果火情較嚴重， 立即報 119 ，通知公司安保部門切斷 機房市電開關(開關位置要清楚)和 UPS 電源輸出開關，機房 內人員撤離，關閉機房大門，以免火勢蔓延。(四 ) 數據信息安全事件在進行事件上報的同時， 本著一經發現立即響應， 將影響降 到最低的原則，事件處理流程如下：事件發現人及時以書面形式向本單位領導匯報，中、高級的數據a)事件一經發現， 應立即通知應用系統管理員、 操作系統 管理員、 數據庫管理員到達現場分析查找原因， 準備進行故障恢 復。如果屬于網絡原因，應立

18、即通知網絡管理員。 應由操作系統 管理員、 數據庫管理員、 應用管理員共同參照各應用系統故障恢 復指南， 立即切換到備份機或異地備份系統， 同時恢復最近時間 內的應用系統與數據的完全備份，進行原應用系統環境的重建。b ) 如發生的數據安全事件， 造成數據丟失和數據意外毀壞 已無法恢復，應由業務部門立即組織相關部門對數據進行補錄。c)當發現公司涉密數據通過網絡途徑傳播， 及時向信息中心和保密處通報，信息中心切斷信息泄露點與網絡的物理鏈接， 并登記信息損失 ,確定信息泄露原因，由于人為原因造成的，交 公司保密處處理； 由于信息系統本身造成的， 聯系系統供應商解 決。d ) 當發生數據安全事件時，須

19、在事件確認 24 小時內，由安全事件要上報公司信息安全事件應急領導小組， 必要時上報上 一級公司信息安全管理部門8 應急后期處置包括對信息安全事件的總結和證據收集獲取信息安全 事件分析和解決的知識應被用戶降低將來事件發生的可能性或 影響；應定義和應用識別、收集、獲取和保存信息的程序，這些 信息可以作為證據；總結內容應包括：a) 應急事件的基本情況，包括事件發生時間、地點、波及 范圍、人員情況、損失和事件發生的原因等；b ) 應急事件處置過程；c) 處置過程中動用的應急資源；d ) 處置過程遇到的問題、取得的經驗和吸取的教訓；e) 對預案的改進建議等。9 應急物資與裝備保障為有效應對信息安全事件， 根據信息安全事件特點， 應急人 員應配備筆記本電腦、各種型號連接線，測線儀， 萬用表及其它 必要設備等。10 應急預案管理應急預案的宣傳教育、培訓、演練，以及預案的更新等，具參見第