信息安全应急预案管理制度.docx

1、信息安全应急预案管理制度编号： ISMS-L1 -001XXXXXXX二 0二年二月目录第一章总则 2第二章灾害性事件 2第三章组织管理 3第四章预防预警 3第五章网络及信息系统的风险评估 3第六章网络及信息系统安全策略的制定和实施 4第七章应急处置 5第八章后续工作 7第九章应急保障 7第十章宜传、培训和演习 7第十一章附则 8第一章总則第一条编制目的科学应对网络与信息安仝突发事件，建立健全信息安全应急响应机制，有效预防 及时控制 和最大限度的 消徐信息安全各类突发事件的危害和影响，从而最大限度地保障业务正常运营，维 护 XXXXXXX (以下简 称本公司”)和客户的利益。第二条适用国本预案

2、适用于下列具有重大影响的突发灾害性事件的应对处置工作：(一) 自然灾害。 发生洪水台风冰电沙尘暴地震滑坡泥石流和海啸等自然灾害 可能或者已对本公 司网络及信息系统适成危害的。(二) 安全事件。发生营业办公楼倒塌和大的交通运输 设备事故等安全事件可能或者已对 本公司网络及信息系统适成危害的。(三) 信息安全事件。发生网络攻击 信息泄露病毒爆发系统瘫痪等信息安全事件可能 或者已经对本 公司网络及信息系统违成危害的。第三条工作原则(一)防为主，加强监控。宣传普及信息安仝防知识，牢因树立“预防为主 常抓不懈的 意识，经常性 地做好应对信息安仝突发事件的思想准备预案准备机制准备和工作准备，提高 公共防意

3、识以及基础网络和重 要信息系统的信息安全综合保障水平。加强对信息安全隠患的日常 监测 发现和防重大信息安全突发性事件， 及时采取有效的可控措施，迅速控制事件影响田，力 争将损失降到最低程度。第二章灾害性事件第四条 针对网络与信息系统，校大和一般灾害性事件定义如下：基础网络重要信息系统重点瘫痪，导致对外联络、对外服务或部业务中斷，可能违成一 定业务影响、 社会影响或经济损失的信息安全事件。第三章组织管理第五条 本公司成立网络及信息安全领导小组。应急领导小组由总经理任组长，运营推广中 心运营经理任 副组长，技术研发中心信息安全中心风控管理部门以及发生特别重大或重大信 息安全事件部门的主要负责人 为

4、成员。笫六条信息安全中心负责网络及信息安仝突发事件应急工作的组织实施，及时向总经理 运 营经理报告重 要情况和提供决策建议，督促落实应急处置措施，指导和协助有关部门做好网络及 信息系统安全爭件的预防预 警应急处置和恢复等工作。第四章预防预警第七条预防(一) 积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信 息系统建设 要充分考虑抗毁性与灾难恢复，制定完弄信息安全应急处理预案。针对基础信息网络 的突发性大规模安全事 件建立制度化程序化的处理流程。(二) 信息安仝中心承担信息安仝监测-分析和预警工作 进一步提高信息安全管理能力。(三) 加强数据的安仝防护，落实数据备份和数

5、据保存制度。(四) 针对灾害事故的应急处理，经常性地组织培训和模拟演练。第八条预警各部门根据收集到的信息判断即将发生或者可能发生灾害事件时，要立即向网络及信息安全 领导小组汇 报，网络及信息安全领导小组判斷灾害事件的真实性，根据灾害事件等级和波及 影 响围，以及突发事件总体 应急预案规定，向总经理 运营经理报告，并根据有关規定向人民银行 . 金屜办等有关政府部门报告，必要时 经总经理批准发布相关风险提示信息。第五章网络及信息系统的风险评估第九条 信息系统的安全风险是指由于系统存在脆弱性、人为或自然的威胁导致安全事件发 生所适成的影 响彳言息系统安全风险评估主要是对信息系统所面临威胁的评估和信息

6、系统脆弱性 的评估-第十条信息系统所面临的戚胁主要是指可能对信息系统造成不期望事件的主体，信息系统 所面临的威胁 主要是来自以下几个方面：(一) 通过网络进入信息系统的行为人；(二) 通过物理方式接近信息系统的行为人；(三) 系统缺陷适成的威胁；(四) 病毒和恶意代码的威胁；(五) 自然灾害的威胁。第十一条 信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的适成对系统 不期望影响的缺陷或弱点它由以下两个方面组成：(一) 技术脆弱性：主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导 致对系统产 生不良影胸。(二) 纽织脆弱性：由于信息系统管理组织的问逊，导致信息系统被威胁因

7、素所利用，遗成 对系统的不 良影响。第十二条 信息系统的安全风险评估要解决下列问趣：(一) 信息系统的安全需什么？(二) 当前的状况能否満足信息系统安全运行要求？(三) 系统所面临的威胁有那些？(四) 这些威胁对信息系统业务的潜在影响如何？(五) 系统中存在那些技术隐患以及在组织管理上存在那些薄弱环节？(六) 这些问趣产生的原因是什么？(七) 结合实际情况应采取那些对策解决这些问题？第十三条 信息系统安全风险评估工作由信息安全中心牵头，由参与信息系统建设和使用的 各部门派遣专 人参加。信息系统安全评估的结果及其对策要及时上报给总经理。信息安全中心负 责落实安全策略的制定和实 施。笫六章网络及信

8、息系统安全策略的制定和实施第十四条网络及信息系统安全策略的制定和实施包括两个方面的容：(一) 网络及信息系统安全管理策略；(二) 网络及信息系统安全运行策略。第十五条 网络及信息系统安全管理策略规定了针对信息系统的组织管理和技术管理的安 全保护策略主 要包括如下几个方面：(一) 信息系统组织策略；(二) 安全贯彻策略；(三) 人员安全策略；(四) 物理和环境安仝策略。第十六条信息安全中心负责制定网络及信息系统安全符理策略，并形成公司管理文件下发给 各部门。第十七条网络及信息系统安全运行策略規定了信息系统安全运行中的安全保护策略，主要 包括如下几个 方面：(一) 信息系统访问控制策略包含：强口令

9、设遨管理身份认证管理访问外网控制。(二) 网络边界安全策略。包括网络访问控制，网络入侵检测。网络访问控制主妥任务是保 证网络资源 不被非法使用和非法访问。网络入侵检测通过捕获网络数据包，分析是否存在入侵行 为，实时发现攻击行为， 并立即预警，为动态网络安全防御提供良好的基础设备支持。本策略由 信息安全中心负责实施(三) 网络系统安全策略。主要包括线路冗余 网络设备冗余，服务器的高可用性。线路冗 余是为了 保证网络系统承载的各项应用系统不受线路故障的影响仍能正常 -连续运行的重要措 施。网络设备冗余主要是 对网络核心交換机、路由器等网络设备实行设备冗余，保证在设备发生 故障的情况下能够及时切换，

10、将系统的 损失降至最低。服务器的高可用性主要是采用双机热备份 或互备措施 对计算要求高的可采用群集或负载均 衡技术。本策略由信息安全中心实施。(四) 计算机系统平台安全策略。它包括计算机防病毒体系的建立，信息系统的审计，主机 入侵检测和 系统加因。防病毒体系的建立主要是指在整个信息系统中安装能够统一的 实时更新 病毒库并制定统一杀毒策 略的网络版防病毒软件。信息系统的审计主要是通过网络安全审计系 统安全设备审计系统、操作系统审计系统实现对系统安全的监管。本策略由信息安全中心负贲 实施。第七章应急处置第十八条信息报告(一) 报告程序和时限要求1 . 发生特别重大灾害性事件应在 2 小时报告信息安

11、全中心，同时按規定向地方政府金独 办派出机构等 有关单位报告。2 发生重大灾害爭件不得晚于接报后 6 小时或事发后 12 小时报告信息安全中心，同时应向 地方政府金融办派出机构等有关单位报告。3 . 发生校大和一般灾害性爭件不得晚于接报后 8 小时或事发后 16 小时报告信息安全中心。(二) 报告方式和容1 . 可根据具体情况分别采取、传真、电子派人汇报等方式。发生特别重大灾害事件或重 大灾害事件 可先报告或当面汇报，然后再书面报告。2 . 灾害报告的容主要包括灾害性事件发生的地点和时间 . 灾害类型灾害的规模可能的 引发因素发展趁 势和拟采取或已经采取的措施等。第十九条信息收集事件发生单位和

12、现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息，判 别事件类别 确定事件来源，保护证据 以便缩短应急响应时间。第二十条应急处理(一) 一般应急处理措施1 . 事件发生单位和现场应急处理工作组应初步检査威胁遗成的结果，评仕事件带来的影响 和损害：如检 査系统、服务数据的完整性、性或可用性；检査攻击者是否侵入了系统；以后是 否能再次随意进入；损失的程度；确定昴露出的主要危险等。2 . 事件发生单位和现场应急处理工作组应抑制爭件的影响进一步扩大，限制潜在的扌员失与 破坏可能 的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理， 修改防火墙和珞由器的过 滤规则：

13、封锁或删除被攻破的登录账号， 阻断可疑用尸得以进入网络的 通路； 提高系统或网络行为的监控级别；设賈陷阱；启用紧急事件下的接管系统；实行特殊“防 卫状态”安全警戒；反击攻击者的系统等。3在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应 的补救措施并 彻底清除。与此同时，执法部门和其他相关机枸对攻击源进行准确定位并采取合适 的措施将其中斷淸理系统 恢复数据、 程序、 服务。把所有被攻破的系统和网络设备彻底还原 到正常的任务状态。 恢复工作应十分小心， 避免出现操作失误而导致数按丢失。另外，恢复工作 中如果涉及到数据，需要额外按照系统的恢复要求。如果 攻击者获得了超级用

14、户的访问权，一次 完整的恢复应强制性地修改所有的口令(二) 在发生影响人身安全的自然灾害安全事件等情况下的紧急处置措施1 . 公司收到自然灾害即将发生的通知后，应第一时间按照灾害发生情况准备应急预案。2 . 信息安全中心协助公司其他人员进行重要电子资料的备份工作。对于无法携带的设备， 要切斷设备电源。3 . 如情况允许，信息安全中心应迅速关闭机房设备电源。4 . 如因为自然灾害原因导致网络等系统中断服务 应及时通知公司信息安全中心。5 . 信息安全中心应该在半小时联系相关厂商进行问逊排査 如短时间无法恢复 应及时上 报应急领导 小组。(三) 、网页出现非法言论事件紧急处置措施1 公司员工有义务

15、留意网页的信息容。发现在网上出现非法信息时，相关人员应立即向 信息安全中心通报情况。2 . 信息安全中心应在接到通知后立即赶到现场 作好必要记录，淸理非法信息 妥巻保存 有关记录及日志或审计记录，强化安全防措施，并将网页重新投入使用。3 . 追査非法信息来源，并将有关情况向本单位网络及信息安全领导小组汇报。4网络及信息安全领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。(四) 黑客攻击事件緊急处置措施1 当有关值班人员发现网页容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时， 应立即向本单 位通报情况2 . 信息安全相关负责人应在接到通知后立即越到现场，并首先将被攻击的股务

16、器等设备从 网络中隔离出来保护现场，并将有关情况向本单位网络及信息安全领导小组汇报。3对现场进行分析，并写出分析报告存档。4恢复与重建被攻击或破坏系统5网络及信息安全领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。(五) 病毒事件緊急处置措施1 . 当发现有计算机被感染上病毒后，应立即向本单位信息安全负责人报告，将该机从网络 上隔离开来。2 . 信息安全相关负责人员在接到通报后立即赶到现场。3启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描 和淸徐工作。 4如果现行反病毒软件无法清除该病毒 ，应立即向本单位网络及信息安全领导小组报告， 并迅速联系有关

17、产品商研究解决。5 . 网络及信息安全领导小组经会商，认为情况严重的，应立即向公安部门报警。(六) 软件系统遭破坏性攻击的緊急处置措施重要的软件系统平时必须做好备份工作，并将它们保存到安全的地方；一旦软件遭到破坏性 攻击，应立 即向信息安全负责人报告，并将该系统暂停运行；信息安仝负贲人要认真检査信息系 统的日志等资料，确定攻 击来源，并将有关情况向网络及信息安全领导小组汇报，再恢复软件系 统和数据；网络及信息安全领导小组组 长召开小组会议，如认为事态严重，则立即向公安部门报 警-(七) 数据库安全緊急处置措施主要数提库系统应做多个数据库备份；一旦数搦库崩溃，值班人员应立即启动备用系统，并 向信

18、息安全负责入报告；在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数 据恢复。(八) 网及城域网外部线路中断紧急处置措施1网及城域网线路中斷后，值班人员应立即向信息安全负责人报告。2信息安全相关负贲人员接到报告后，应迅速判斷故障节点，査明故障原因。3 . 如属我方管辖国，由信息安全工作人员立即予以恢复。4 . 如属电信部门管辖国，立即与电信维护部门联系 要求修复。(九) 设备安全緊急处置措施如果服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告。信息安全相关负责 人员要立即 査明原因。如果能够自行恢复，应立即用备件替换受损部件。如馬不能自行恢复的， 立即与设备提供商联系，

19、请求派维护人员前来维修。如果设备一时不能修复，应向本单位信息安 全领导小组报告 O第二十一条应急结束突发灾害性事件应急处置工作基本完成，事件危害被基本消除，经信息安全领导小组研究或 总经理批准后 终止应急状态应急处置工作结束后，应将情况及时通知参与事件处置的各部门。第八章后续工作第二十二条毎后处置应急结束后要组织力量开展灾害性事件损害核定工作，及时处理现场，对事件情况、恢复能 力等做出评 估，制定事后恢复计划并实施。凡发生水灾地震等重大自然灾害及安全事件，要迅 速通知保险经纪公司保险 公司对本公司财产扌艮失进行勘察核准，以开展保险受理赔付工作， 尽量减少本公司资产损失。第二十三条评估分析在灾害

20、性事件处置结束后，信息安全中心对事件的起因 彫响责任、应急预案和措施的有 效性等进行仝 面评估，总结经验教训，制定改进措施，并在 15 日向总经理提交总结报告。笫二十四条问责与处罚在调査评估的基础上，应按照管理权限和组织程序，对事件责任人员实行问责与处罚。对在 预防和处置灾害性事件工作中，由于不按規定制定应急预案或及时报告、及时处置，或处毬失当 并造成严重后果的要依照有关规定给予相应的处分乃至移送司法机关处理等处罚。第二十五条奖励与表彰对在预防和处置灾害性事件工作中作出突出贡献的集体和个人，可予以表彰奖励；对因参与 应急处理工作致病“致残 死亡的人员 可按有关规定给予相应的补助和抚恤。第九章应

21、急保障第二十六条技术支擇保障信息安全中心自行逐步建立预警与应急处理的技术平台，进一步提高安全爭件的发现和分析 能力：从技 术上逐步实现发现、预警处置通报等多个环节和不同的网络系统、部门之间应 急处理的联动机制。第二十七条应急队伍保障加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质 高技术的信息安全核心 人才和管理队伍 提高仝公司信息安全防御意识。第二十八条物资条件保障安排公司信息化建设专项资金用于预防或应对信息安仝突发事件，提供必要的经费保障，强 化信息安全 应急处理工作的物资保障条件。第二十九条技术储备保障信息安全领导小组组织相关人员，开展应急运作机制 应急处理技术预警和控制等研究

22、， 组织参加相关 培训，推广和普及新的应急技术。第十章宣传、培训和演习第三十条公众信息交流信息安全中心在应急预案修订、演练的前后，应利用公司各种方式开展宣传；不定期地利用 各种安全活 动向公司员工宜传信息安全应急法律、法規和预防、应急的常识。第三条人员培训为确保信息安仝应急预案有效运行，信息安全领导小组定期或不定期举办不同层次 不同类 型的培训班或 研讨会，以便不同岗位的应急人员都能全面熟，悉并掌握信息安全应急处理的知识和 技能。第三十二条应急演习为提高信息安全突发事件应急响应水平，信息安全领导小组定期或不定期组织预案演练；检 验应急预案 各环节之间的通信协调指挥等是否符合快速高效的妥求。通过演习，进一步明 确应急响应各岗位责任，对 预案中存在的问趣和不足及时补充、完弄。笫十一章附则第三十三条 本预案自印发之日起执行。