1、某某信息系統應急預案本預案是信息技術部根據公司有關法規和政策， 結合公司信息系統建設和運行情況，重點針對公司可能發生的重大突發事件編制的， 包括總則、組織指揮體系及職責、預警和預防機制、應急處理程序、保障措施等，其中明確規定了在發生信息系統突發事件情況下， 信息系統管理人員的相關職能和工作方法， 具有一定的指導性和可操作性。一、總則（一）目的為科學應對信息系統突發事件， 建立健全信息系統的應急響應機制， 有效預防、及時控制和最大限度地消除各類突發事件的危害和影響，制訂本應急預案。（二）工作原則1. 統一領導遇到重大信息系統異常情況，應及時向有關領導報告， 以便于統一調度、 減少損失。2. 綜合

2、協調明確綜合協調的職能機構和人員，做到職能間的相互銜接。3. 重點突出應急處理的重點放在運行著重要業務系統或可能導致嚴重事故后果的關鍵信息系統上。4. 及時反應，積極應對出現信息系統故障時， 信息系統維護人員應及時發現、 及時報告、及時搶修、及時控制，積極對信息系統突發事件進行防范、監測、預警、報告、響應。5. 快速恢復信息系統管理人員在堅持快速恢復系統的原則下，根據職責分工， 加強團結協作，必要情況下與設備供應商以及系統集成商共同謀求問題的快速解決。6. 防范為主，加強監控經常性地做好應對信息系統突發事件的思想準備、 預案準備、機制準備和工作準備，提高基礎設備和重要信息系統的綜合保障水平。

3、加強對信息系統應用的日常監視，及時發現信息系統突發性事件并采取有效措施， 迅速控制事件影響范圍，力爭將損失降到最低程度。二、應急工作小組機構及職責在信息系統事件的處理中， 一個組織良好、 職責明確、 科學管理的應急隊伍是成功的關鍵。組織機構的成立對于事件的響應、決策、恢復，防止類似事件的發生都具有重要意義。結合公司信息系統的實際情況， 將有關應急人員的角色和職責進行了明確的劃分。1. 應急處理領導小組及時掌握信息系統故障事件的發展動態，向上級部門報告事件動態； 對有關事項做出重大決策；啟動應急預案；組織和調度必要的人、財、物等資源。（應急領導小組成員參見重大突發事件預案處理和報告制度）。2.

4、應急處理工作小組負責定期了解外部支持人員的變動情況， 及時更新其技術人員及聯系方式等信息；快速響應信息系統發現的故障事件、 業務部門對信息系統故障的申告； 執行信息系統故障的診斷、 排查和恢復操作； 定期通過設備監控軟件、 系統運行報告等工具對信息系統的使用情況進行分析， 盡早發現信息系統的異常狀況， 排除信息系統的隱患。工作小組組長：信息技術部負責人工作小組成員：信息技術部技術支持室全體成員、信息技術部各室主任3. 外部支持人員包括電信運營商、 設備供應商以及系統集成商。 負責事先向某某信息技術部提供緊急情況下的應急技術方案和應急技術支援體系；積極配合信息中心應急人員進行故障處理。名單：設備

5、供應商、系統集成商、電信運營商等三、預警和預防機制（一）信息系統監測及報告1. 信息系統的日常管理和維護信息系統的日常管理和維護應加強信息系統應用的監測、分析和預警工作。2. 建立信息系統故障事故報告制度發生信息系統故障時， 值班人員應當立即向應急處理小組領導報告， 并及時進行故障處理、調查核實、保存相關證據等。（二）預警在接到突發事件報告后， 應當經初步核實之后， 將有關情況及時向應急處理小組領導報告， 進一步進行情況綜合， 研究分析可能造成損害的程度， 提出初步行動對策。由上級領導視情況緊急程度召集協調會， 決策行動方案， 發布指示和實施命令等。（三）預警支持系統應建立和完善信息監測、 消

6、息傳遞和指揮決策支持系統， 保證突發事件處理過程中的資源共享、運轉正常、指揮有力。（四）預防機制各業務信息系統和重要信息系統建設要充分考慮抗毀性與災難恢復， 制定并不斷完善應急處理預案。 針對基礎信息信息系統的突發性、 大規模異常事件， 各相關部門建立制度化、程序化的處理流程。四、應急處理程序（一）信息系統突發事件分類分級的說明根據業務信息系統突發事件的發生原因、 性質和機理，業務信息系統突發事件主要分為以下三類 :1. 攻擊類事件：指信息系統因計算機病毒感染、非法入侵等導致業務中斷、系統宕機、信息系統癱瘓等情況。2. 故障類事件： 指信息系統因計算機軟硬件故障、 停電、人為誤操作等導致業務中

7、斷、系統宕機、信息系統癱瘓等情況。3. 災害類事件：指因爆炸、火災、雷擊、地震、臺風等外力因素導致信息系統損毀，造成業務中斷、系統宕機、信息系統癱瘓等情況。按照突發事件的性質、嚴重程度、可控性和影響范圍，將其分為一般故障、嚴重故障、重大故障、特級故障四級。1. 一般故障信息系統中單個系統故障， 但未影響業務系統運行， 也未造成社會影響或經濟損失的突發事件。2. 嚴重故障信息系統中單個分公司節點故障導致分公司業務中斷，可能造成較大業務影響或較大經濟損失的突發事件。3. 重大故障信息系統中多個分公司節點或總公司骨干節點故障引起的多個業務系統長時間中斷，可能造成重大社會影響和巨大經濟損失的突發事件。

8、4. 特級故障特指發生不可預見的災難性事故，如火災、水災和地震等。（二）信息系統應急預案啟動根據以上定義的故障分級，當信息系統事件的要素滿足啟動應急預案要求時，進入相應的應急啟動流程。（1）應急處理工作小組從業務人員或值班人員的故障申告、信息系統監控報告的故障告警中得知信息系統異常事件后， 應在第一時間趕赴信息系統故障現場。（2）應急處理工作小組針對信息系統事件做出初步的分析判斷。若是電源接觸不好、物理連線松動或者能在最短時間內自行解決的信息系統問題， 及時按照有關操作規程進行故障處理， 并報領導小組備案； 否則，應急處理工作小組將故障大致定性為設備故障、 線路故障、軟件故障等故障之一， 及時

9、告知領導小組和受影響的相關部門，并采取措施避免事件影響范圍的擴大。（3）應急處理工作小組向領導小組報告，在領導小組的授權后啟動相應的應急預案。針對災難事件和影響重要業務運行的重大事件，還要及時向上級機關進行報告。（4）應急處理工作小組根據故障類型及時與外部支持人員取得聯系。 其中，設備故障的，可與設備供應商和集成商聯系； 軟件故障的，可與系統集成商聯系，由系統集成商進行現場或遠程技術支持； 線路故障的， 可與電信運營商聯系， 三方密切協作力求通信線路在短時間內恢復正常。（5）應急處理工作小組在上級機構或外部支持人員的配合下，充分利用應急預案的資源準備， 采取有力措施進行故障處理， 及時恢復信息

10、系統的正常工作狀態。（6）應急處理工作小組通知業務部門信息系統恢復正常，并向領導小組報告故障處理的基本情況。重大事件形成文字資料，以書面形式向上級報告。（7）總結整個處理過程中出現的問題，并及時改進應急預案。（三）現場應急處理（1）如遇到預知外界因素（如定時、定點停電）影響業務信息系統系統的正常運行，將根據有關部門的通知， 提前安排技術人員到實地關閉信息系統設備并進行現場維護，直至外界因素消除。（2）如遇到不可抗力因素（如火災）造成的信息系統系統故障時，接到通知的值班人員要快速到達現場， 果斷切斷相關設備配電柜的電源， 積極參與消除不可抗力因素，并及時將情況上報應急處理工作小組領導。（3）如遇

11、到一般故障、嚴重故障和重大故障，影響信息系統的正常運行，值班人員要迅速、及時地趕到現場，進行相應突發事件的應急處理。五、保障措施（一）應急演練為提高信息系統突發事件應急響應水平， 信息技術部和相關部門應定期或不定期組織應急預案演練； 檢驗應急預案各環節之間的通信、 協調、指揮等是否符合快速、高效的要求。通過演習，進一步明確應急響應各崗位責任，對預案中存在的問題和不足及時補充、完善。（二）人員培訓為確保本應急預案有效運行， 應定期或不定期地舉辦不同層次、 不同類型的技術講座或研討會， 以便不同崗位的應急人員能全面熟悉并熟練掌握突發事件的應急處理知識和技能。（三）硬件資源保障為了在信息系統設備發生

12、故障時能夠盡量降低業務系統的受影響程度， 須為相應的核心業務信息系統提供必要的備份設備與線纜等硬件資源， 并且配備與現有設備兼容的設備， 確保相似或兼容的設備可以在應急情況下調配使用。 這些備份設備需預先采購并保存在專門位置。（四）文檔資料準備包括信息系統工程文檔、維護手冊、操作手冊、設備配置參數、拓撲圖以及 IP 地址規范及分布情況等。（五）技術支持保障建立預警與應急處理的技術平臺， 進一步提高信息系統突發事件的發現和分析能力，從技術上逐步實現發現、預警、處理、通報等多個環節和不同的業務信息系統、系統以及相關部門之間應急處理的聯動機制。（六）公眾信息交流在應急預案修訂、 演練的前后， 應利用

13、各種信息渠道進行宣傳， 并不定期的利用各種活動，宣傳信息系統等突發事件的應急處理規程及其預防措施等應急常識。六、分類突發事件應急處理措施（一）黑客攻擊時的緊急處置措施1、當有關值班人員發現業務系統或網站內容被纂改，或通過入侵監測系統發現有黑客正在進行攻擊時，應立即向信息系統管理技術人員通報情況。2、信息系統管理技術人員應在三十分鐘內響應，并首先應將被攻擊的服務器等設備從信息系統中隔離出來，保護現場，并同時向應急處理工作小組領導通報情況。3、信息系統管理技術人員負責被攻擊或破壞系統的恢復與重建工作。4、信息系統管理技術人員會同相關支持人員追查非法信息來源。5、信息系統管理技術人員組織相關支持人員

14、會商后，向應急處理工作小組組長匯報有關情況。6、應急處理工作小組組長如認為情況嚴重，應立即向應急處理領導小組組長匯報。7、應急處理領導小組組長組織應急處理領導小組召開會議，如認為事態嚴重，則立即向公安部門或上級機關報警。（二）病毒安全緊急處置措施1、當發現有計算機被感染上病毒后，應立即向信息系統管理技術人員報告，將該機從信息系統上隔離開來。2、信息系統管理技術人員在接到通知后，應在三十分鐘內響應。3、對該設備的硬盤進行數據備份。用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作。4、如果現行反病毒軟件無法清除該病毒，應立即向應急處理工作小組組長報告，并迅速聯系

15、有關產品商研究解決。5、應急處理工作小組經會商，認為情況嚴重的，應立即向應急處理領導小組組長匯報。6、應急處理領導小組經會商后，認為情況極為嚴重的，應立即向公安部門或上級機關報告。7、如果感染病毒的設備是中心服務器系統，經領導小組同意，應立即告知各相關部門做好相應的清查工作。（三）軟件系統遭破壞性攻擊的緊急處置措施重要的業務系統必須存有備份，與業務系統相對應的數據必須有多日的備份，并將他們保存在安全處。1、一旦信息系統遭到破壞性攻擊，應立即向信息系統管理技術人員、業務系統技術人員報告，并將該系統停止運行。2、信息系統管理技術人員檢查日志等資料，確定攻擊來源。4、由業務系統技術人員向應急處理工作

16、小組組長匯報。5、應急處理工作小組組長認為情況嚴重的，應立即向應急處理領導小組匯報。6、應急處理領導小組認為情況極為嚴重的，應立即向公安部門或上級機關報告。（四）數據庫安全緊急處置措施1、主要數據庫應按雙機熱備設置，并至少要準備兩個以上數據庫備份，平時一個備份放在機房，另一個備份放在另一個安全的場所。2、一旦數據庫崩潰，應立即啟動備用系統，并向應急處理工作小組組長報告。3、在備用系統運行期間，業務系統技術人員應對主機系統進行維修。4、如果兩套系統均崩潰，業務系統技術人員應立即向應急處理工作小組組長報告，應急處理工作小組如認為情況嚴重，應立即向應急處理領導小組組長匯報。同時通知相關科室部門暫緩使

17、用業務系統和上傳上報數據。5、系統修復啟動后，將第一個數據庫備份取出，按照要求將其恢復到主機系統中。6、如因第一個備份損壞，導致數據庫無法恢復，則應取出第二套數據庫加已恢復。7、如果兩個備份均無法恢復，應立即向應急處理工作小組組長匯報，并向有關廠商請求緊急支援。（五）廣域網外部線路中斷緊急處置措施1、廣域網主、備用線路中斷一條后，網絡管理員應立即啟動備用線路接續工作，同時向應急處理工作小組組長報告。2、網絡管理員應盡快判斷故障節點，查明故障原因。3、如屬我方管轄范圍，由網絡管理員立即予以修復。4、如屬運營商管轄范圍，立即與運營商維護部門聯系，要求恢復。5、如果主、備用線路同時中斷，網絡管理員應

18、在判斷故障節點，查明故障原因后，盡快研究恢復措施，并立即向應急處理工作小組組長匯報。6、經應急處理領導小組同意后，應通知相關部門相關原因，并暫緩使用業務系統和上傳上報數據。（六）局域網中斷緊急處置措施1、局域網中斷后，網絡管理員應立即判斷故障節點，查明故障原因，并向應急處理工作小組組長匯報。2、如屬線路故障，應重新安裝線路。3、如屬路由器、 交換機等信息系統設備故障，應立即通知供應商進行保修。5、如屬路由器、交換機配置文件破壞，應迅速按照要求重新配置，并調試通暢。6、如有必要，應向應急處理領導小組匯報。（七）設備安全緊急處置措施服務器、存儲設備等關鍵設備損壞后， 值班人員應立即向信息系統管理技

19、術人員報告。1、信息系統管理技術人員立即查明原因。2、如果能夠自行恢復，應立即用備件替換受損部件。3、如屬不能自行恢復的，立即與設備提供商聯系，請求派維護人員前來維修。4、如果設備一時不能修復， 應向處理工作小組組長匯報，并告之相關部門，暫緩使用受影響的業務系統。（八）人員疏散與機房滅火預案1、一旦機房發生火災，應遵循下列原則：首先保人員安全；其次保關鍵設備、數據安全；三是保一般設備安全。2、人員疏散的程序是：機房值班人員立即按響火警警報，并通過119 電話向公安消防請求支援， 所有人員戴上防毒面具， 所有不參與滅火的人員按照預定的路線，迅速從機房中有序撤出。3、人員滅火的程序是：首先切斷所有電源，啟動自動氣體滅火裝置，滅火