信息安全应急预案管理制度.docx

信息安全应急预案管理制度 XXXXXXX有限公司信息安全应急预案管理制度 编号：ISMS-L1-001 XXXXXXX有限公司 二0二年二月 目录 第一章总则 (3) 第二章灾害性事件 (4) 第三章组织管理 (4) 第四章预防预警 (4) 第五章网络及信息系统的风险评估 (5) 第六章网络及信息系统安全策略的制定和实施 (6) 第七章应急处置 (8) 第八章后续工作 (12) 第九章应急保障 (13) 第十章宣传、培训和演习 (13) 第十一章附则 (14) 第一章总则 第一条编制目的 科学应对网络与信息安全突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响，从而最大限度地保障业务正常运营，维护XXXXXXX有限公司（以下简称“本公司”）和客户的利益。 第二条适用范围 本预案适用于下列具有重大影响的突发灾害性事件的应对处置工作： （一）自然灾害。发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流和海啸等自然灾害可能或者已对本公司网络及信息系统造成危害的。 （二）安全事件。发生营业办公楼倒塌和大的交通运输、设备事故等安全事件可能或者已对本公司网络及信息系统造成危害的。 （三）信息安全事件。发生网络攻击、信息泄露、病毒爆发、系统瘫痪等信息安全事件可能或者已经对本公司网络及信息系统造成危害的。 第三条工作原则 （一）防范为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。 第二章灾害性事件 第四条针对网络与信息系统，较大和一般灾害性事件定义如下： 基础网络、重要信息系统、重点网站瘫痪，导致对外联络、对外服务或内部业务中断，可能造成一定业务影响、社会影响或经济损失的信息安全事件。 第三章组织管理 第五条本公司成立网络及信息安全领导小组。应急领导小组由总经理任组长，运营推广中心运营经理任副组长，技术研发中心、信息安全中心、风控管理部门以及发生特别重大或重大信息安全事件部门的主要负责人为成员。 第六条信息安全中心负责网络及信息安全突发事件应急工作的组织实施，及时向总经理、运营经理报告重要情况和提供决策建议，督促落实应急处置措施，指导和协助有关部门做好网络及信息系统安全事件的预防预警、应急处置和恢复等工作。 第四章预防预警 第七条预防 （一）积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件建立制度化、程序化的处理流程。 （二）信息安全中心承担信息安全监测、分析和预警工作，进一步提高信息安全管理能力。 （三）加强数据的安全防护，落实数据备份和数据保存制度。 （四）针对灾害事故的应急处理，经常性地组织培训和模拟演练。 第八条预警 各部门根据收集到的信息判断即将发生或者可能发生灾害事件时，要立即向网络及信息安全领导小组汇报，网络及信息安全领导小组判断灾害事件的真实性，根据灾害事件等级和波及、影响范围，以及突发事件总体应急预案规定，向总经理、运营经理报告，并根据有关规定向人民银行、金融办等有关政府部门报告，必要时经总经理批准发布相关风险提示信息。 第五章网络及信息系统的风险评估 第九条信息系统的安全风险是指由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响。信息系统安全风险评估主要是对信息系统所面临威胁的评估和信息系统脆弱性的评估。 第十条信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体，信息系统所面临的威胁主要是来自以下几个方面： （一）通过网络进入信息系统的行为人； （二）通过物理方式接近信息系统的行为人； （三）系统缺陷造成的威胁； （四）病毒和恶意代码的威胁； （五）自然灾害的威胁。 第十一条信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点，它由以下两个方面组成： （一）技术脆弱性：主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。 （二）纽织脆弱性：由于信息系统管理组织的问题，导致信息系统被威胁因素所利用，造 成对系统的不良影响。 第十二条信息系统的安全风险评估要解决下列问题： （一）信息系统的安全需求是什么？ （二）当前的状况能否满足信息系统安全运行要求？ （三）系统所面临的威胁有那些？ （四）这些威胁对信息系统业务的潜在影响如何？ （五）系统中存在那些技术隐患以及在组织管理上存在那些薄弱环节？ （六）这些问题产生的原因是什么？ （七）结合实际情况应采取那些对策解决这些问题？ 第十三条信息系统安全风险评估工作由信息安全中心牵头，由参与信息系统建设和使用的各部门派遣专人参加。信息系统安全评估的结果及其对策要及时上报给总经理。信息安全中心负责落实安全策略的制定和实施。 第六章网络及信息系统安全策略的制定和实施第十四条网络及信息系统安全策略的制定和实施包括两个方面的内容： （一）网络及信息系统安全管理策略； （二）网络及信息系统安全运行策略。 第十五条网络及信息系统安全管理策略规定了针对信息系统的组织管理和技术管理的安全保护策略，主要包括如下几个方面： （一）信息系统组织策略； （二）安全贯彻策略； （三）人员安全策略； （四）物理和环境安全策略。 第十六条信息安全中心负责制定网络及信息系统安全管理策略，并形成公司管理文件下发给各部门。 第十七条网络及信息系统安全运行策略规定了信息系统安全运行中的安全保护策略，主要包括如下几个方面： （一）信息系统访问控制策略。包含：强口令设置管理、身份认证管理、访问外网控制。 （二）网络边界安全策略。包括网络访问控制，网络入侵检测。网络访问控制主要任务是保证网络资源不被非法使用和非法访问。网络入侵检测通过捕获网络数据包，分析是否存在入侵行为，实时发现攻击行为，并立即预警，为动态网络安全防御提供良好的基础设备支持。本策略由信息安全中心负责实施。 （三）网络系统安全策略。主要包括线路冗余，网络设备冗余，服务器的高可用性。线路冗余是为了保证网络系统承载的各项应用系统不受线路故障的影响仍能正常、连续运行的重要措施。网络设备冗余主要是对网络核心交换机、路由器等网络设备实行设备冗余，保证在设备发生故障的情况下能够及时切换，将系统的损失降至最低。服务器的高可用性主要是采用双机热备份或互备措施，对计算要求高的可采用群集或负载均衡技术。本策略由信息安全中心实施。 （四）计算机系统平台安全策略。它包括计算机防病毒体系的建立，信息系统的审计，主机入侵检测和系统加固。防病毒体系的建立主要是指在整个信息系统中安装能够统一的、实时更新病毒库并制定统一杀毒策略的网络版防病毒软件。信息系统的审计主要是通过网络安全审计系统、安全设备审计系统、操作系统审计系统实现对系统安全的监管。本策略由信息安全中心负责实施。 第七章应急处置 第十八条信息报告 （一）报告程序和时限要求 1、发生特别重大灾害性事件应在2小时内报告信息安全中心，同时按规定向地方政府、金融办派出机构等有关单位报告。 2、发生重大灾害事件不得晚于接报后6小时或事发后12小时报告信息安全中心，同时应向地方政府、金融办派出机构等有关单位报告。 3、发生较大和一般灾害性事件不得晚于接报后8小时或事发后16小时报告信息安全中心。 （二）报告方式和内容 1、可根据具体情况分别采取电话、传真、电子邮件、派人汇报等方式。发生特别重大灾害事件或重大灾害事件，可先电话报告或当面汇报，然后再书面报告。 2、灾害报告的内容主要包括灾害性事件发生的地点和时间、灾害类型、灾害的规模、可能的引发因素、发展趋势和拟采取或已经采取的措施等。 第十九条信息收集 事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。 第二十条应急处理 （一）一般应急处理措施 1、事件发生单位和现场应急处理工作组应初步检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。 2、事件发生单位和现场应急处理工作组应抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；启用紧急事件下的接管系统；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。 3、在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及到机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令 （二）在发生影响人身安全的自然灾害、安全事件等情况下的紧急处置措施 1、公司收到自然灾害即将发生的通知后，应第一时间按照灾害发生情况准备应急预案。 2、信息安全中心协助公司其他人员进行重要电子资料的备份工作。对于无法携带的设备，要切断设备电源。 3、如情况允许，信息安全中心应迅速关闭机房设备电源。 4、如因为自然灾害原因导致电话、网络等系统中断服务，应及时通知公司信息安全中心。 5、信息安全中心应该在半小时内联系相关厂商进行问题排查，如短时间内无法恢复，应及时上报应急领导小组。 （三）网站、网页出现非法言论事件紧急处置措施 1、公司员工有义务留意网站、网页的信息内容。发现在网上出现非法信息时，相关人员 应立即向信息安全中心通报情况。 2、信息安全中心应在接到通知后立即赶到现场，作好必要记录，清理非法信息，妥善保存有关记录及日志或审计记录，强化安全防范措施，并将网站网页重新投入使用。 3、追查非法信息来源，并将有关情况向本单位网络及信息安全领导小组汇报。 4、网络及信息安全领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。 （四）黑客攻击事件紧急处置措施 1、当有关值班人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应立即向本单位通报情况 2、信息安全相关负责人应在接到通知后立即赶到现场，并首先将被攻击的股务器等设备从网络中隔离出来，保护现场，并将有关情况向本单位网络及信息安全领导小组汇报。 3、对现场进行分析，并写出分析报告存档。 4、恢复与重建被攻击或破坏系统 5、网络及信息安全领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。 （五）病毒事件紧急处置措施 1、当发现有计算机被感染上病毒后，应立即向本单位信息安全负责人报告，将该机从网络上隔离开来。 2、信息安全相关负责人员在接到通报后立即赶到现场。 3、启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。 4、如果现行反病毒软件无法清除该病毒，应立即向本单位网络及信息安全领导小组报 告，并迅速联系有关产品商研究解决。 5、网络及信息安全领导小组经会商，认为情况严重的，应立即向公安部门报警。 （六）软件系统遭破坏性攻击的紧急处置措施 重要的软件系统平时必须做好备份工作，并将它们保存到安全的地方；一旦软件遭到破坏性攻击，应立即向信息安全负责人报告，并将该系统暂停运行；信息安全负责人要认真检查信息系统的日志等资料，确定攻击来源，并将有关情况向网络及信息安全领导小组汇报，再恢复软件系统和数据；网络及信息安全领导小组组长召开小组会议，如认为事态严重，则立即向公安部门报警。 （七）数据库安全紧急处置措施 主要数据库系统应做多个数据库备份；一旦数据库崩溃，值班人员应立即启动备用系统，并向信息安全负责入报告；在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。 （八）电话网及城域网外部线路中断紧急处置措施 1、电话网及城域网线路中断后，值班人员应立即向信息安全负责人报告。 2、信息安全相关负责人员接到报告后，应迅速判断故障节点，查明故障原因。 3、如属我方管辖范围，由信息安全工作人员立即予以恢复。 4、如属电信部门管辖范围，立即与电信维护部门联系，要求修复。 （九）设备安全紧急处置措施 如果服务器等关键设备损坏后，值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复，应立即用备件替换受损部件。如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。如果设备一时不能修复，应向本单位信息安全领导小组报告。