为保证XXXXX单位信息系统的安全稳定运行,正确、迅速和有效地处置可能发生的突发/重大信息安全事件,有系统、有组织地作好应急预案的管理工作,特制定本制度。
本制度适应用于XXXXX单位信息系统应急预案的管理和指导性意见,各业务部门可根据自身业务的特点制定本部门范围内的应急预案执行细则。
应急预案组长:网络安全与信息化管理部门主任
应急预案小组组长批准预案的实施与撤消及向上级相关部门的报告。
应急预案副组长:分管副主任
负责网络安全与信息化管理部门范围内人力、物力资源协调、组织、指导应急预案的实施。
成员:各部门负责人
负责各自部门内部人员的协调、在各自熟悉领域内统一接收组长的指令,完成应急预案的实施。
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
XXXXX单位是信息系统应急计划实施的指挥机构(下称应急领导小组)。由网络安全与信息化管理部门主任担任该领导小组组长,分管副主任担任副组长,各相关部门负责人任成员。
应急领导小组主要职能:
应急领导小组下设应急工作小组,由技术部部长、科员及相关部门的人员组成,组长由技术部部长担任。
应急工作小组主要职责:
根据信息系统突发事件发生的原因、表现形式等性质,信息系统事件可分为七类:
各类信息系统突发事件按照其性质、严重程度、可控性和影响范围等因素,一般分为四级: I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。
突发事件的处理是一个发展变化的过程,每隔30分钟需要对事件的影响程度和范围进行重新评估,按照上述事件分级的定义重新判定事件级别。
IV级(一般)
满足以下一个或多个标准的事件为IV级(一般级)事件:
在业务服务时段,造成或者可能造成10%及以下用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时相同业务操作时间低于5倍,同时整个系统操作时间超过正常处理5倍以下时间,并持续1小时以下的突发事件;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成较少损害的突发事件。
III级(较大)
满足以下一个或多个标准的事件为III级(较大级)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿30分钟以内的突发事件;
在业务服务时段,造成或者可能造成10%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续1小时以上、半天以内的现象的突发事件;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成损害的突发事件。
II级(重大):
满足以下一个或多个标准的事件为II级(重大)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿超过3小时以内的故障;
在业务服务时段,造成或者可能造成30%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续半天以上、1天以内的现象;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成重大损害的突发事件。
I级(特别重大):
满足以下一个或多个标准的事件为I级(特别重大)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿超过半天以上的故障;
在业务服务时段,造成或者可能造成50%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续1天以上的现象;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成特别重大损害的突发事件。
a)各类网络设备和服务器、计算机及其附属设备的型号、序列号等;
b)硬件设备供应商、生产厂商的电话、联系人、网址;
c)操作系统、关键业务应用软件开发商或供应商的电话、联系人;
d)网络拓朴图;
e)路由器、防火墙、入侵检测设备等设备的配置文档,服务器登陆用户及原始密码文档;
f)各类软件的技术文档及其他需要保存的文档。
a)正版操作系统启动盘、安装盘;
b)正版防病毒软件(注明安装及升级序列号);
c)数据库管理系统软件,数据库备份软件及最近完整的数据备份存储介质;
d)相关的设备驱动程序(含主板、显卡、网卡等)及更新到最新的服务器注册表文件;
e)备用网线,万用表、测网仪、螺丝刀等必要工具;
f)其它必备的应急工具。
a)定期检查服务器及重要网络设备。
b)及时更新服务器的防病毒软件病毒库。
c)定期对所有服务器进行漏洞扫描、补丁修复。
d)定时备份重要数据。
e)特殊时期实行值班制度。
a)预警信息分为外部预警信息和内部预警信息两类。外部预警信息指本单位外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指单位内计算机信息系统网络的中断或部分计算机系统崩溃对业务操作有影响的事件警报。
b)应急工作小组获得外部预警信息后,对预警信息加以分析,做好预防和网络保障应急准备工作,报备领导小组并通过OA或短信方式向各部门发送预警通告;通过监测或普通操作人员报告获得内部预警信息,分析后按照早发现、早报告、早处置的原则,解决可能演变为严重应急事件的情况。
事件的基本信息(故障发生的时间、故障点、故障情况)、事件的类型、表现出来的现象、涉及的网络,事件当前的状态及可能造成的后果,以及事件解决的建议和措施。
事件的基本信息(故障发生的时间、故障点、故障情况)、事件的类型、表现出来的现象、涉及的网络,事件当前的状态及可能造成的后果,以及事件解决的建议和措施。
判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。根据具体情况选择以下处置方式:
判断故障发生点和故障原因,迅速联系服务厂商尽快抢修故障设备,优先保证XXXXX单位主干网络和主要应用系统的运转。
a)通过UPS供电并保证主机房设备正常运行;
b)做好主机房设备及UPS电池剩余电量、温度动态监测及记录;
c)做好数据库、主存储等核心设备的保护性安全停机准备;
d)必要时先安全关闭外网所有设备和部分内网非关键设备,保证数据库、主存储等核心设备的电力供应并减少设备产热量;
e)保持与综合部的密切联系,确保市电供应稳定后首先恢复机房供电。
f)及时向XXXXX单位主管领导报告后备供电状态下系统运行的状况。
a)及时向XXXXX单位主管领导报告并提出关闭计算机信息系统的建议,并以有效的通讯方式向XXXXX单位各单位和社会群体发布紧急停机通知;
b)安全关闭内网核心设备:
①计划内停电:计划停电前15分钟开始,按应用服务器、数据库服务器、虚拟服务器、存储系统的顺序进行安全关机;
②上班时间异常停电:通过UPS供电并立刻按应用服务器、数据库服务器、虚拟服务器、存储系统的顺序进行安全关机;
③非上班时间异常停电:通过UPS供电并立刻通过VPN接入进行远程安全关机,关机顺序为:数据库服务器、应用服务器、虚拟服务器、存储系统的顺序进行安全关机;并就近派员进入机房进行有关设备的现场关机操作;
c)实时监测主机房内温度及UPS电池剩余电量并记录;
d)确认内网核心设备全部安全停机后,依次安全关闭XXXXX单位视频监控系统、其他内网设备、弱电系统其他设备和外网设备;
e)关闭UPS系统输出,并对UPS系统进行安全关闭操作;
f)保持与事务科的密切联系,确保因停电导致安防监控系统停止运转时主机房区域的物理安全,确保市电供应稳定后首先恢复机房供电并按正常开机程序恢复系统运行。
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
a)路由器、交换机、防火墙等硬件故障: 使用备份端口或备份硬件,并检查或配置相关内容,与供应商联系,尽早解决问题;
b)通信线路故障:关键业务使用应急通信线路,向受影响的单位发出通报,立即与线路供应商联系,在线路供应商承诺的时间内解决问题。
c)网络带宽阻塞:通过网管软件,判断阻塞原因及阻塞包发包点,再按情况逐个断网排查,直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式,找到原因并恢复正常后方能接入网络。
a)路由器、交换机、防火墙等硬件故障: 使用备份端口或备份硬件,并检查或配置相关内容,与供应商联系,尽早解决问题;
b)通信线路故障:用测线仪进行测试,用好的网线或接插件进行替代,关键业务使用应急通信线路,向受影响的部门发出通报,立即与布线系统供应商联系,在供应商承诺的时间内解决问题。
c)网络带宽阻塞:通过网管软件,判断阻塞原因及阻塞包发包点,再按情况逐个断网排查,直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式,找到原因并恢复正常后方能接入网络。
接到XXXXX单位内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我网络安全与信息化管理部门协查的外网不良信息事件,根据上网相关记录查找信息发布人。
可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
每次应急预案完成后对应急事件进行分析,形成总结报告。报告应包括事件发生时间、参与人员、采取的措施及效果、事件损失评估、经验教训等内容,并及时向上级有关部门报备。
本管理制度由XXXXX单位负责解释,自发布之日起实施。
(一)应急处置领导小组
姓名 | 性别 | 职务 | 工作分工 | 办公电话 | 手机 | |
(二)IT恢复组
姓名 | 性别 | 职务 | 工作分工 | 办公电话 | 手机 | |
(三)业务恢复组
姓名 | 性别 | 职务 | 工作分工 | 办公电话 | 手机 | |
(四)支持保障组
姓名 | 性别 | 职 务 | 工作分工 | 办公电话 | 手机 | |
(五)外部专家支持组
姓名 | 性别 | 职务 | 工作分工 | 办公电话 | 手机 | |
报告时间 | |
单位名称 | |
报告人 | |
联系电话 | |
通讯地址 | |
传真 | |
电子邮件 | |
发生重大信息安全事件的网络与信息系统名称及用途 | |
负责部门 | |
负责部门 | |
重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明): | |
初步判定的事故原因 | |
当前采取的应对措施 | |
本次重大信息安全事件的初步影响状况 | |
事件后果 | |
影响范围 | |
严重程度 | |
值班电话 | |
传真 |
原事件报告时 | |
备案编号 | |
单位名称 | |
联系人 | |
通讯地址 | |
联系电话 | |
电子邮件 | |
发生重大信息安全事件的网络与信息系统名称及用途 | |
负责部门 | |
负责部门 | |
负责人 | |
网络或信息系统名称及用途 | |
已采用的安全措施 | |
重大信息安全事件的补充描述及最后判定的事故原因 | |
对本次重大信息安全事件的事后影响状况 | |
事件后果 | |
影响范围 | |
严重程度 | |
本次重大信息安全事件的主要处理过程及结果 | |
针对此类事件应采取的保障网络与信息系统安全的措施和建议 | |
报告人签名 |
应急预案演练记录
演练名称 | 演练时间 | ||
组织人 | 演练地点 | ||
记录内容:
记录人: | |||
参加部门 | |||
演练结果 | |||
发现的问题 | |||
需要改进之处 |
应急预案修订记录表 | |
预案名称 | |
编制时间 | |
参与修订人员 | |
修订与增补原则 | |
主管领导签字 | |