11/2011/20XX公司信息安全事件專項應急預案目錄TOC\o"1-5"\h\z1總則12目的13安全事件類型及風險分析13.1機房安全事件13.2網絡中斷事件23.3數據庫系統事件23.4網絡入侵事件23.5病毒破壞事件23.6重要存儲介質失竊事件24應急處置基本原則34.1統一領導，分工協作34.2明確責任，依法規范34.3統籌安排，協調配合34.4防范為主，加強監控44.5快速處理，盡快恢復45應急指揮機構及職責45.1應急指揮領導小組45.2應急處置小組55.3專家組56預警及信息報告66.1預防與預警66.2應急事件報告66.3信息報告程序76.3.1報告程序及時限76.3.2信息安全事件報告內容及要求76.3.3警報等級及具體發布部門范圍86.3.4報告方式及人員87應急響應和處置87.1響應分級87.1.11級事件87.1.2II級事件97.2響應程序97.3處置措施97.3.1網絡安全事件處置97.3.2機房安全事件處置118應急后期處置139應急物資與裝備保障1410應急預案管理1411附則14附錄1：信息安全事件應急通訊錄16附錄2：重大突發信息安全事件報告17版本及修訂歷史181總則為建立健全XX公司信息安全事件應急工作機制，提高應對信息安全事件的應急處置能力，維護基礎信息網絡、重要信息系統和重要工業控制系統的安全，保障公司各項科研生產經營活動安全、順利開展，特制定本預案。本預案適用于XX公司以及所屬各部門、事業部、專業公司的信息安全事件應急管理。2目的及時掌控突發信息安全事件，及時協調各部門、各事業部、各專業公司力量，將突發事件的危害影響降至最低點。規范突發事件上報程序和報告文本。安全事件類型及風險分析機房安全事件指機房空調系統、電源系統、服務器設備、網絡及消防等出現重大突發事件，造成機房物理環境或設備的嚴重損害。主要包括:電氣事件：電氣設備漏電造成電擊傷人，嚴重的引起火災事件；火災事件：機房火災造成網絡設備、服務器等設備損毀；電力系統事件：長時間電力故障，備用UPS電源無法繼續供電，造成機房網絡設備、服務器停止工作。網絡中斷事件指造成XX公司骨干網絡中斷24小時以上、公司國際互聯網中斷48小時以上的網絡事件。數據庫系統事件數據庫系統故障，造成數據損壞或丟失，導致應用系統無法正常使用，公司重要數據泄露造成公司管理、經營的負面影響和重大損失。網絡入侵事件通過非授權方式侵入公司信息系統，對相關信息資產進行非授權監聽、調用、篡改、銷毀等，造成公司管理、經營的負面影響和重大損失。病毒破壞事件指病毒、非預期程序代碼植入公司信息系統，造成重大破壞。重要存儲介質失竊事件指存儲有公司重要數據、商業秘密等信息的各類存儲介質的遺失、失竊等，如紙質文件資料、硬盤、U盤、光盤等。應急處置基本原則本預案應急處置遵循“依靠技術、加強管理、預防為主、快速響應、及時恢復”的總原則。另外應做到以下幾點：統一領導，分工協作在XX公司統一領導下，明確各部門、各事業部、各專業公司職責，督促相關部門遵照“統一領導、歸口負責、綜合協調、各司其職”的原則，協同配合，有效地處置突發事件和應急情況。明確責任，依法規范XX公司所屬各部門、各事業部、各專業公司，要按照“屬地管理、分級響應、及時發現、及時報告、及時救治、及時控制”的要求，依法對信息安全突發事件進行防范、監測、預警、報告、響應、指揮、協調和控制。統籌安排，協調配合統籌安排XX公司所屬各部門、各事業部、各專業公司應急工作任務，充分利用公司現有的信息安全服務設施和技術力量。各部門、各事業部、各專業公司應在明確職責的基礎上，加強協調，密切配合，保障信息安全。防范為主，加強監控貫徹預防為主的思想，樹立常備不懈的觀念，宣傳普及信息安全防范知識，做好應對信息安全突發事件的思想準備、預案準備、機制準備和工作準備，提高公共防范意識以及基礎網絡和重要信息系統的信息安全綜合保障水平。快速處理，盡快恢復突發重大信息安全事件時，能夠及時發現和預警，準確判斷并及時采取有效措施，迅速控制事件影響程度和范圍，確保信息系統盡快恢復正常，盡可能減少突發事件給企業帶來的負面影響和損失。應急指揮機構及職責應急指揮領導小組組長：保密委主任副組長：信息中心主任，公共事業管理中心主任成員：公司所屬各事業部、專業公司主管信息工作領導、集團公司保密處、規劃運營部、辦公室相關領導職責：履行應急值守、信息技術支持和綜合協調職責，發揮運轉樞紐作用；組織、協調突發信息安全事件的處置和善后工作；對突發信息安全事件進行事件調查，并組織事后評估。應急處置小組應急處置小組為兩級：一級是公司本部；二級是各事業部、專業公司。公司本部組長：信息中心主任組員：信息中心全體人員，保密處、辦公室相關人員，管理中心電力、消防、保衛等相關人員職責：負責公司本部網絡、二級單位主干網絡安全事件、本部機房安全事件、網絡入侵、重大病毒破壞、數據庫安全事件、集團級應用系統安全事件等的處置。各事業部、專業公司組長：各事業部、專業公司信息安全負責人組員：各事業部、專業公司相關人員職責：負責本單位信息安全事件處置工作。專家組由有關專家和廠商專業技術人員分別組成應急處置技術專家組，為信息安全事件應急管理提供決策建議和技術支持，參加突發信息安全事件的應急處置和事件恢復工作。預警及信息報告預防與預警危險源監控根據信息安全風險辨識結果，公司各部門、各事業部、專業公司要加強對危險源的監控，定期對機房空調、電源、網絡、服務器等設備進行巡檢，可通過軟件等方法對網絡運行情況進行監控，信息系統維護人員加強對各信息系統、數據庫運行情況監控。預警行動單位任何人員發現信息安全相關情況時，應立即報告本部門負責人，并力所能及地采取相應應急措施。本部門負責人接到報告后，及時啟動部門現場處置方案，視情況可到現場進行查看，并根據現場處置結果判定是否需要應急預警。如果需要，應報告公司應急指揮領導小組組長，組長通知應急處置小組成員做好應急所需物資、設備、人員等準備。應急事件報告突發事件信息報告分為首報、續報和終報。首報信息內容：突發事件發生時間、地點、事件、可能造成的傷亡和影響情況；搶險救援情況。續報信息內容：事發單位基本情況，事件起因和性質、基本過程\影響范圍、事件發展趨勢、處置情況，請求事項和工作建議。終報信息內容：事件基本情況，原因分析，處置過程，形成結果，責任劃分與處理、教訓與預防措施。信息報告程序報告程序及時限信息安全突發事件逐級上報程序及時限要求：現場相關發現人員立即報告部門負責人-部門負責人通知相關人員開展現場處置，并立即報告應急處置小組組長-應急處置小組報告公司應急指揮領導小組組長-應急指揮領導小組報告地方政府/警務部門(必要時)。一般網絡中斷、機房事件，應在60分鐘內上報；網絡入侵、數據庫系統事件、重大病毒危害事件、重要存儲介質失竊等應在30分鐘內上報；特殊情況，如出現人員傷亡情況，應按公司《突發公共事件總體應急預案》的要求報告。信息安全事件報告內容及要求事件發生部門/單位、發生地點、發生時間；事件現場具體位置和路線，周圍環境情況；初步說明事件原因、當前狀況等；已采取的措施。警報等級及具體發布部門范圍需要采取I級應急響應的事件警報為I級，需要采取II級應急響應的事件警報為II級。僅采取III級應急響應的事件，不發布警報。a)I級警報應發布到事件應急所有參與部門，并報告公司應急指揮領導小組組長。b)II級警報發布到事件應急部分參與部門，并報告公司應急指揮領導小組組長。報告方式及人員報告人員的通訊、聯絡方式見附錄1。應急響應和處置響應分級本預案管理的事件由高到低分為I級事件、II級事件，以下所稱“以上”均包含本數。7.1.1I級事件符合下列條件之一的為I級事件：公司全網業務中斷；面向研發、生產的關鍵服務器(企業信息系統、工程平臺等)癱瘓24小時以上；中心機房發生火災；涉密數據泄露造成公司經營管理的負面影響和重大損失；其他造成特別嚴重社會影響或巨大經濟損失的信息安全事件。11級事件其它事件或由子公司內部認定的突發信息安全事件。響應程序應急指揮原則、應急行動檢查、應急物資調配、擴大應急響應原則具體執行公司總體應急預案有關規定和要求。處置措施網絡安全事件處置按照網絡管理分工，相應的網絡安全事件響應與處理時間，從發現到處理完畢，原則上不超過24小時。網絡安全事件處理流程見下圖：

以下情況屬于一般網絡故障，原則上各事業部、專業公司信息部門自行處理，公司本部各部門由公司信息中心處理。本單位局域網網絡故障；本單位辦公室內的網絡單點故障。如果二級單位本身無法處理的網絡故障，可上報公司信息中心給予技術支持和協調解決。機房安全事件處置機房電源緊急處理流程如果由于市電中斷報警，機房負責人應立即聯系公司供電保障部門或其他相關單位，確認斷電原因、時間等。如果在短時間內無法恢復供電，應及時通知財務、辦公等應用系統負責人，作好應急關機準備；接到UPS報警，首先報告機房負責人，認定故障原因，必要時上報公司主管信息化工作的領導；如UPS出現故障，但服務器和網絡設備等仍通過UPS旁路供電，正常運行，則機房負責人密切監視市電情況，并報告信息中心負責人，由信息中心通知UPS服務提供商，對UPS進行緊急修復處理；問題排除后，對機房內設備逐一檢查，確認無誤后，填寫設備巡檢記錄；按問題的分級，填寫問題記錄日志表，并上報相關領導。機房網絡故障處理流程a)指定的防病毒系統)與補丁更新，負責服務器系統的網絡暢通，負責硬件狀態的監控；系統網絡人員發現服務器出現問題，第一時間通知應用負責人，反之，應用負責人發現問題，及時通知系統網絡負責人，協同查找故障原因，共同解決；如果是硬件問題，首先立即啟用備份服務器，然后由系統網絡負責人立即聯系服務器提供商，徹底解決問題；如果是病毒或網絡攻擊造成服務停止，系統網絡與應用負責人共同解決問題；如果是應用系統故障且無法處理，應立即向系統維護商請求緊急支援，或啟用備用系統。問題解決后，填寫問題記錄日志表，并按問題的級別上報相關領導。機房消防處理流程當機房發現煙、焦糊味等，立即定位問題所在，進行必要的斷電與隔離，并及時通知機房負責人與信息中心負責人；b)如果問題不嚴重，通過斷電與隔離消除了危險，通知相應的應用或設備負責人，處理善后工作，進行設備及系統的檢查，并及時填寫問題記錄日志表與設備巡檢記錄如果發生火災，當火情較小時，使用機房內的二氧化碳滅火器；如果火情較嚴重，立即報119，通知公司安保部門切斷機房市電開關(開關位置要清楚)和UPS電源輸出開關，機房內人員撤離，關閉機房大門，以免火勢蔓延。數據信息安全事件在進行事件上報的同時，本著一經發現立即響應，將影響降到最低的原則，事件處理流程如下：a)事件一經發現，應立即通知應用系統管理員、操作系統管理員、數據庫管理員到達現場分析查找原因，準備進行故障恢復。如果屬于網絡原因，應立即通知網絡管理員。應由操作系統管理員、數據庫管理員、應用管理員共同參照各應用系統故障恢復指南，立即切換到備份機或異地備份系統，同時恢復最近時間內的應用系統與數據的完全備份，進行原應用系統環境的重建。如發生的數據安全事件，造成數據丟失和數據意外毀壞已無法恢復，應由業務部門立即組織相關部門對數據進行補錄。當發現公司涉密數據通過網絡途徑傳播，及時向信息中心和保密處通報，信息中心切斷信息泄露點與網絡的物理鏈接，并登記信息損失,確定信息泄露原因，由于人為原因造成的，交公司保密處處理；由于信息系統本身造成的，聯系系統供應商解決。當發生數據安全事件時，須在事件確認24小時內，由事件發現人及時以書面形式向本單位領導匯報，中、高級的數據安全事件要上報公司信息安全事件應急領導小組，必要時上報上一級公司信息安全管理部門。8應急后期處置包括對信息安全事件的總結和證據收集——獲取信息安全事件分析和解決的知識應被用戶降低將來事件發生的可能性或影響；應定義和應用識別、收集、獲取和保存信息的程序，這些信息可以作為證據；總結內容應包括：a)應急事件的基本情況，包括事件發生時間、地點、波及范圍、人員情況、損失和事件發生的原因等；b)應急事件處置過程；處置過程中動用的應急資源；處置過程遇到的問題、取得的經驗和吸取的教訓；對預案的改進建議等。應急物資與裝備保障為有效應對信息安全事件，根據信息安全事件特點，應急人員應配備筆記本電腦、各種型號連接線，測線儀，萬用表及其它必要設備等。應急預案管理應急預案的宣傳教育、培訓、演練，以及預案的更新等，具參見第7.3.1條款網絡安全事件處理流程。服務器故障處理流程信息中心負責人指定專人負責系統的防病毒(安裝公司體執行公司綜合應急預案的規定和要求。附則本預案自發布之日起實施。本預案由公司信息中心負責解釋。附錄1：XX公司信息安全事件應急通訊錄附錄2：重大突發信