信息化系统安全事件突发事件重大事件应急预案应急保障机制事件处理流程工作台流程.pdf

《信息化系统安全事件突发事件重大事件应急预案应急保障机制事件处理流程工作台流程.pdf》由会员分享，可在线阅读，更多相关《信息化系统安全事件突发事件重大事件应急预案应急保障机制事件处理流程工作台流程.pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ITSS 运维事件应急预案 1 大事件、安全事件及应急预案 为提高应对信息系统在运行过程中出现的各种突发事件的应急处置能力，有效预防和最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家信息安全事件分类分级指南、信息技术、安全技术、信息安全事件管理指南、国家突发公共事件总体应急预案及有关法律、法规的规定，结合道路运输事务中心实际，制定本处理预案。本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、数据中心等组成。1.1 应急保障内容 信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等

2、八类事件。（1）网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。（2）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏等而导致的事件。（3）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。（4）网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无法登录信息系统的事件。（5）服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。（6）软件故障事件：因系统软件或应用软件故障而导致

3、的信息系统无法运行的事件。（7）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。（8）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般（IV 级）、较大（III 级）、重大（II 级）、特别重大（I 级）。（1）特别重大突发事件（I 级）：30 分钟响应，24 小时-30 小时解决故障；（2）重大突发事件（II 级）：30 分钟内响应，12-24 小时解决故障；（3）较大突发事件（III 级）：30 分钟响应，6-12 小时解决故障；（4）一般故障（IV 级）：30

4、分钟内响应，6 小时内解决故障。1.2 应急保障方式 1.2.1 预测预警机制建立 应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。预警信息分为外部预警信息和内部预警信息两类。外部预警信息指信息系统外突发的可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报。内部预警信息指信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件警报。应急小组须加强对信息系统的日常监测工作。监测的内容主要包括：（1）局域网通讯性能与流量；（2）网络设备和安全设备的操作记录、网络访问记录；（3）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存贮

5、系统状态等；（4）服务器操作系统、数据库安全审计记录、业务系统安全审计记录；（5）计算机漏洞公告、网络漏洞扫描报告；（6）病毒公告、防病毒系统报告；（7）其他可能影响信息系统的预警内容。应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以分析，按照早发现、早报告、早处置的原则，对可能演变为严重事件的情况，部署相应的应对措施，通知相关部门做好预防和保障应急工作的各项准备工作，并及时报告领导。1.2.2 常规应急保障方式 1.2.2.1 排查与诊断 故障排查与诊断的流程包含以下内容：（1）现场负责人调度处置人员进行现场故障排查；（2）现场处置人员进行故障排查和诊断，必要时可寻

6、求组织其他人员以现场或远程方式进行支持，在此过程中可借助各类排查诊断分析工具，如应用软件、电子分析工具、故障排查知识库等；（3）现场处置人员将随时向现场负责人汇报故障排查情况、诊断信息、故障定位结果等；（4）将排查与诊断的过程与结果信息进行整理与归档。1.2.2.2 问题沟通与确认 处置过程中，现场负责人将及时与相关利益方进行沟通，沟通的内容主要包括系统故障点、造成故障的原因、排查诊断状况等。现场负责人将组织相关利益方对问题进行确认。问题确认过程不应延误处理与恢复工作的开展。1.2.2.3 处理与恢复 基于应急响应预案、配置管理数据库、知识库等进行故障处理和系统恢复，处理与恢复的原则包括：（1

7、）在满足事件级别处置时间要求的前提下，尽快恢复服务；（2）采用的方法、手段不会造成次生、衍生事件的发生。必要时可启用备品备件、灾备系统等。同时对过程及结果信息进行记录，并及时告知相关利益方。现场负责人将组织对处理与恢复的结果进行初步确认。1.2.2.4 事件升级 组织建立、审议应急事件升级的策略和程序，以控制应急事件升级的授权和实施。当实际处置时间超过事件级别处置时间要求时，将作为事件升级的参考要素。组织将对事件升级可能造成的影响进行评估，并在相关利益方之间达成一致。升级内容包含预案调整、人员调整、资金调整以及设备调整。事件升级的实施授权由现场负责人启动。同时对事件升级的过程和结果信息进行整理

8、与归档。现场负责人将向相关利益方通报事件升级信息，内容应包括：（1）事件升级的原因；（2）事件升级后的级别；（3）事件升级后与之对应的预案；（4）对升级事件处置过程及结果的报告要求，如：报告程序、报告对象、报告内容、报告频率等；（5）信息通报的范围和涉及的接受者。信息通报将选择适当的方式，如电话、邮件、传真、书面文件等形式。事件升级信息应作为处理与恢复的参考要素。1.2.2.5 持续服务 完成处理与恢复后，将组织运行维护人员提供持续性服务。组织将对持续性服务的效果进行评价。持续服务的评价结果，其作为应急事件关闭的输入。1.2.2.6 事件关闭（1）申请：组织将建立、审议事件关闭的策略和程序，以

9、控制事件关闭的授权和实施。将对应急事件处置的过程文档进行整理。事件关闭申请由相关的分组负责人提出，并提交相关文档资料。事件关闭申请和文档资料，其作为事件关闭核实的参考要素。（2）核实：现场负责人接到事件关闭申请后，将逐项核实报告内容，以判别应急事件处置过程和结果信息是否属实。（3）调查和取证：当应急事件涉及到责任认定、赔偿或诉讼时，将收集、保留和呈递证据。证据可能用于：1）内部问题分析；2）用作合同违约或其他纠纷的法律取证；3）与相关方谈判赔偿事宜。（4）关闭通报：组织建立、审议应急事件关闭通报制度。现场负责人将向相关利益方通报事件关闭信息，内容应包括：1）事件发生的原因、事件级别及影响范围；

10、2）事件对应的预案；3）事件的处置过程和方法；4）事件的调整升级情况；5）持续性服务情况；6）事件处置评价；7）事件关闭申请的处理意见；8）关闭通报的范围和涉及接受者。应急事件发生的原因、处置过程和方法记入知识库。1.2.3 紧急应急保障方式（1）病毒入侵应急处置 1）发现不良信息或网络病毒时，信息系统管理员应立即断开网线，终止不良信息或网络病毒传播，并报告指挥调度中心运维服务小组。2）运维服务小组应根据系统突发故障应急领导小组指令，采取隔离网络等措施，及时杀毒或清除不良信息，并追查不良信息来源。3）事态或后果严重的，及时向业主和相关领导汇报。4）处置结束后,运维服务小组应将事发经过、造成影响

11、、处置结果在调查工作结束后一日内书面报告系统突发故障用户。（2）恶意攻击应急处置 1）当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告系统突发故障应急领导小组。2）接报告后，系统突发故障应急领导小组应立即指令运维服务小组核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道。3）运维服务小组应及时清理系统，恢复数据、程序，恢复系统和网络正常；情况严重的，应向广州市萝岗区城市视频监控系统应急指挥办公室和相关领导汇报，并请求支援。

12、4）处置结束后，运维服务小组应将事发经过、处置结果等在调查工作结束后一日内报告系统突发故障应急领导小组。（3）网页篡改应急处置 1）当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。2）如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。3）通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。4）提出修正错误方案和措施，通知各业务部室进行处理 5）当发现不良信息或网络病毒时，系统使用人员立即断开网线，终止不良信息或网络病毒传播，并报告应急小组。6）根据情况通告局域网内所有计算机用

13、户，隔离网络，指导各计算机操作人员进行杀毒处理、清除不良信息，直至网络处于安全状态 1.2.4 软件紧急保障方式 软件系统及数据遭破坏性攻击常见故障事件列举如下：（1）系统应用不能正常运行（2）应用进程异常（3）系统应用无法启动（4）系统应用响应缓慢或无响应（5）业务访问异常报错（6）业务访问流量异常下降（7）业务访问成功率异常下降（8）用户无法登陆应用界面（9）用户连接应用异常报错（10）应用服务队列堵塞（11）应用出现大量繁忙，交易时间延长 （12）应用共享空间异常 （13）应用处理性能下降 （14）部分分行应用堵塞，无法连接总行 （15）某类特定交易成功率异常（16）某类特定交易流量异常

14、下降 解决方法：（1）发生应用软件系统故障后，系统使用人员应立即保存数据，停止该计算机的业务操作，并将情况报告应急小组，不得擅自进行处理。（2）将立刻派出技术人员进行处理，必要情况下，通知各业务部门停止业务操作和对系统数据进行备份。（3）组织有关人员在保持原始数据安全的情况下，对应用软件系统进行修复；修复系统成功后，利用备份数据恢复丢失的数据。1.2.5 外网中断紧急保障 外网中断常见故障事件列举如下：（1）外联节点网络异常中断（2）网络外联服务不可用（3）AP 与 DB 间网络异常或不可用（4）WEB 与 AP 间网络异常或不可用（5）网络端口流量异常升高/下降（6）防火墙连接数异常（7）I

15、P 地址异常或出现冲突（8）数据传输中出现异常丢包（9）病毒爆发，堵塞网络（10）网络被攻击，不可用（11）F5 服务异常或报错 解决办法：（1）发生网络故障时，首先检查机房设备情况，确定网络故障的原因。（2）确认原因后，首先启动备用线路和设备，保证网络的正常运行。然后联系网络维护人员，及时处理和排除故障。（3）当确认原因为短时间无法恢复，应该及时向负责领导汇报，并向业主相关部门汇报。然后再联系维护人员，及时处理故障。（4）当人为或病毒破坏的故障发生时，具体按以下顺序进行：判断破坏的来源及性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的物理网络连接，跟踪并锁定破坏的来源和其他网络用户信

16、息，修复被破坏的信息，恢复系统。（5）在确认安全的情况下，重新启动故障服务系统：若重启系统成功，则检查数据丢失情况利用备份数据恢复；若重启失败，立即联系公司相关部门，请求技术支持，做好技术处理。处置结束后，技术人员应将处理过程记录下来，以方便日后对此问题的处理。1.2.6 内网中断紧急保障 局域网中断原因分析及处置措施如下：（1）有故障时先查网卡 在局域网中，网络不通的现象是常有发生，一旦遇到类似这样的问题时，我们首先应该认真检查各连入网络的机器中，网卡设置是否正常。检查时，我们可以用鼠标依次打开“控制面板/系统/设备管理/网络适配器”设置窗口，在该窗口中检查一下有无中断号及 I/O 地址冲突

17、（最好将各台机器的中断设为相同，以便于对比），直到网络适配器的属性中出现“该设备运转正常”，并且在“网上邻居”中至少能找到自己，说明网卡的配置没有问题。（2）确认网线和网络设备工作正常 当我们检查网卡没有问题时，此时我们可以通过网上邻居来看看网络中的其他计算机，如果还不能看到网络中的其他机器，这种情况说明可能是由于网络连线中断的问题。网络连线故障通常包括网络线内部断裂，双绞线、RJ-45水晶头接触不良，或者是网络连接设备本身质量有问题，或是连接有问题。这时，我们可以使用测线仪来检测一下线路是否断裂，然后用替代的方法来测试一下网络设备的质量是否有问题。在网线和网卡本身都没有问题的情况下，我们再看

18、一看是不是软件设置方面的原因，例如如果中断号不正确也有可能导致故障出现。（3）检查驱动程序是否完好 对硬件进行了检查和确认后，再检查驱动程序本身是否损坏，如果没有损坏，看看安装是否正确。如果这些可以判断正常，设备也没有冲突，就是不能连入网络，这时候可以将网络适配器在系统配置中删除，然后重新启动计算机，系统就会检测到新硬件的存在，然后自动寻找驱动程序再进行安装。（4）正确对网卡进行设置 在确定网络介质没有问题，但还是不能接通的情况下，再返回网卡设置中。看看是否有设备资源冲突，有许多时候冲突也不是都有提示的。可能发生的设备资源冲突有:NE2000 兼容网卡和 COM2 有冲突，都使用 IRQ3，(

19、Realtek RT8029)PCI Ethernet 网卡和显示卡都“喜欢”IRQ10。为了解决这种设备的冲突，我们可以按照如下操作步骤来进行设置:首先在设置窗口中将 COM2 屏蔽，并强行将网卡中断设为 3;如果遇到 PCI 接口的网卡和显卡发生冲突时，我们可以采用不分配 IRQ 给显示卡的办法来解决，就是将CMOS 中的 Assign IRQ for VGA 一项设置为“Disable”。（5）禁用网卡的 PnP 功能 有的网卡虽然支持 PnP 功能，但安装好后发现并不能好好地工作，甚至不能工作。为此，我们可以采用屏蔽网卡的 PnP 功能的方法来解决这一故障。要想禁用网卡的 PnP 功能

20、，就必须运行网卡的设置程序(一般在驱动程序包中)。在启动设置程序后，进入设置菜单。禁用网卡的 PnP 功能，并将可以设置的IRQ 一项修改为一个固定的值。保存该设置并退出设置程序，这样如果没有其他的设备占用该 IRQ，可以保证不会出现 IRQ 冲突。另外，如果要安装 Windows 操作系统，必须保证操作系统不会将对应的中断类型作为具有 PnP 功能的 IRQ 进行处理，所以要在“CMOS”中将该中断的类型由“PCI/ISA PnP”修改为“Legacy ISA”。使用该方法可以解决大多数 PnP网卡的设备冲突，但不一定对所有的 PCI 网卡都有效，因为有些网卡的设置程序根本就不提供禁用 Pn

21、P 功能选项。（6）合理设置服务器的硬盘 使用局域网办公的用户，经常会使用网络来打印材料和访问文件。由于某种原因，网络访问的速度可能会不正常，这时我们往往会错误地认为导致网速降低的原因可能是网络中的某些设备发生了瓶颈，例如网卡、交换机、集线器等，其实对网速影响最大的还是服务器硬盘的速度。因此正确地配置好局域网中服务器的硬盘，将对整个局域网中的网络性能有很大的改善。通常，我们在设置硬盘时需要考虑以下几个因素:服务器中的硬盘应尽量选择转速快，容量大的那种，因为硬盘转速快，通过网络访问服务器上的数据的速度也越快;服务器中的硬盘接口最好是 SCSI 型号的，因为该接口比 IDE 或 EIDE 接口传输

22、数据时速度要快，它采用并行传输数据的模式来发送和接受数据的;如果条件允许的话，我们可以给网络服务器安装硬盘阵列卡，因为硬盘阵列卡能较大幅度地提升硬盘的读写性能和安全性;当然在这里大家还要注意的是，在同一 SCSI 通道，不要将低速 SCSI 设备（如 CD）与硬盘共用，否则硬盘的 SCSI 接口高速传输数据的性能将得不到发挥。（7）按规则进行连线 连接局域网中的每台计算机都是用双绞线来实现的，但是并不是用双绞线把两台计算机简单地相互连接起来，就能实现通信目的的，我们必须按照一定的连线规则来进行连线。双绞线的连接距离不能超过 100 米，如果需要连接超过 100 米的两台计算机时，必须使用转换设

23、备。在连接转换设备和交换机时，我们还必须进行跳线。这是因为以太网中，一般是使用两对双绞线，排列在 1、2、3、6 的位置，如果使用的不是两对线，而是将原配对使用的线分开使用，就会产生较大的串扰，对网络性能造成较大影响。10M 网络环境这种情况不明显，100M 的网络环境下如果流量大或者距离长，网络就会无法联通。（8）严格执行接地要求 由于在局域网中，传输的都是一些弱信号，如果操作稍有不当或者没有按照网络设备的具体操作要求来办的话，就可能在连网中出现干扰信息，严重的能导致整个网络不通;特别是一些网络转接设备，由于涉及到远程线路，它对接地的要求非常严格，否则该网络设备将达不到规定的连接速率，从而在

24、联网的过程中产生各种莫名其妙的故障现象，给我们的工作带来很大的麻烦。（9）使用质量好、速度快的新式网卡 在局域网中，计算机与计算机之间不能通信是很常见的事情，引起的故障原因可能有很多。统计表明，局域网中出现的故障大部分与网卡有关，或者是网卡没有正确安装好，或者是网络线接触不良，也有可能是网卡比较旧，不能被计算机正确识别，另外也有的网卡安装在服务器中，经受不住大容量数据的冲击，最终报废等。1.3 应急资源配置 应急资源配置主要根据ITSS信息技术服务 运行维护 第三部分：应急响应规范划分的级别等级要求的响应和解决时间配置不同的资源，事件划分等级如下：特别重大突发事件（I 级）：30 分钟响应，2

25、4 小时-30 小时解决故障；重大突发事件（II 级）：30 分钟内响应，12-24 小时解决故障；较大突发事件（III 级）：30 分钟响应，6-12 小时解决故障；其他故障（IV 级）：30 分钟内响应，6 小时内解决故障。应急资源配置主要是按照各类应急预案资源需求，以及应急处置过程中的资源实际情况进行合理调配使用。为了能够满足应急情况下的资源及时调配，我公司非常重视应急资源的日常管理，主要包括物资管理、机构与队伍管理、专家管理、知识库管理、社会应急物资管理、信息资源管理、调拨管理等功能。图 应急资源管理 1.3.1 物资管理（1）应急物资管理 应急资源库管理 可实现应急资源库信息的添加、

26、修改、删除。物资储备管理 物资类别管理：可实现物资分类标准的添加、修改、删除。物资编号管理：可实现物资编号分类规则的添加、修改、删除。物资储备信息管理：可实现各类应急资源库中储备的各类应急物资基本信息的添加、修改、删除、查询。（2）应急装备库管理 应急装备库管理 应急装备库信息管理：可实现应急装备库信息的添加、修改、删除。装备储备管理 可实现各类应急装备库中储备的各类应急物资基本信息的添加、修改、删除、查询。（3）应急队伍管理 组织机构管理 可实现各类应急队伍所在组织机构信息的添加、修改、删除管理。人员管理 可实现各类专业队伍人员信息的添加、修改、删除、查询管理。1.3.2 机构与队伍管理 组

27、织机构管理 可实现各类应急队伍所在组织机构信息的添加、修改、删除管理。队伍人员管理 可实现各类专业队伍人员信息的添加、修改、删除、查询管理。1.3.3 专家管理 应急专家管理是日常管理人员对专家信息的维护，包括新增、修改、删除基本操作。可实现应急专家信息的添加、修改、查询管理，生成应急专家通讯录。1.3.4 知识库管理 知识库管理主要包含法律法规库以及案例库管理。1.法律法规库 可对协调联动和应急相关的法律法规、政策规定、标准规范进行统一管理，形成应急知识库，在突发事件处置时可自动调取与事件有关的知识库内容作为处置参考。提供知识库文件的录入、编辑、删除、查询等功能。2.案例库管理 处置结束的突

28、发事件在归档后自动进入案例库，可通过事件类型、时间、标题等条件进行案例库查询，可对处置案例内容进行查看，可将有参考价值的处置案例设置为典型案例。1.3.5 社会应急资源管理（1）采购管理 采购管理实现供应商管理、询价管理、采购申请、采购审核、采购入库等。（2）社会队伍征用管理 社会队伍征用管理包括征用协议管理、征用信息管理、征用补偿管理等。1.3.6 信息资源管理 信息资源管理主要实现数字化预案、数字化案例、专家信息管理、联动单位信息管理等。（1）数字化预案 可实现预案的数字化管理，包括添加、修改、删除、查询等操作。（2）数字化案例 可实现历史典型路段、典型公路抢通处置案例的数字化管理，并可实

29、现历史案例的添加、修改、删除、查询。（3）专家信息管理 可实现应急专家信息的添加、修改、查询管理，生成应急专家通讯录。（4）联动单位信息管理 可实现应急组织体系内相关单位和个人通信方式的统一管理，包括信息的添加、修改、查询功能，生成联动单位通讯录。1.3.7 调拨管理 调拨管理实现调拨申请单管理、调拨审核管理、资源划拨管理等功能。（1）调拨申请单管理 调拨申请模板管理 包括两种：内部资源调拨申请、外部资源调拨申请。内部资源调拨模板管理：可实现各类应急资源调拨申请模板的添加、修改、删除。外部资源调拨模板管理：可实现各类应急资源调拨申请模板的添加、修改、删除。调拨申请单填写 可根据资源申请为内部还

30、是外部，选择调度申请单模板，并根据填写要求，完成调度申请单据的填写。调拨申请单提交 在调拨申请单填写完成后，根据各单位资源调拨申请审核制度，以系统内邮件方式，提交相应的人员，等待审核。（2）调拨审核管理 审核部门设置 可根据资源调拨制度，设定各部门自己的资源调拨申请审核部门和人员。在线审核 可实现在线审核，在多个审核部门或人员的情况下，当本级审核通过后，系统可自动通知上一级审核部门或人员，以便及时开展下一步审核工作。可实现各级审核部门和人员审核意见的自动记录。（3）资源划拨管理 调拨申请获准后，可实现划拨单的生成，并可根据需要，手动修改划拨的数量等信息。已有资源库的储备资源数量在划拨后自动减少

31、。1.4 应急保障计划 1.4.1 应急响应程序 信息系统使用单位或人员发现信息系统突发事件后，应及时报告应急小组。应急小组及时组织相关人员查找故障原因，在短时间内（一般要在半小时以内）依据故障情形和修复时间进行初步判别，确定故障分类级别，较大（III级）及其以上的突发事件应报告领导。信息系统突发事件发生后，根据突发事件严重程度，由领导决定并指定特定小组或人员及时向新闻媒体发布相关信息，所指定的小组或人员应严格按照领导规定及要求对外发布信息，其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。发生较大（III 级）及其以上信息系统突发事件时，应急小组除向领导报告外，应立即通知各业

32、务处室。各业务处室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏导工作。根据不同的事件以及事件的级别，采取相应措施进行应急处理。突发事件处理过程中，可以根据需要调整故障级别。（1）网络攻击事件应急预案：当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除，或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。（2）信息破坏事件应急预案：当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通

33、知应急小组。如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。应急小组提出修正错误方案和措施，通知各业务处室进行处理。（3）信息内容安全事件应急预案：当发现不良信息或网络病毒时，系统使用人员立即断开网线，终止不良信息或网络病毒传播，并报告应急小组。应急小组根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行杀毒处理、清除不良信息，直至网络处于安全状态。（4）网络故障事件应急预案：发生网络故障事件后，系统使用人员应及时报告应急小组。

34、应急小组及时查清网络故障位置和原因，并予以解决。不能确定故障的解决时间或解决故障的期限并属较大（III 级）及其以上的，应急小组应报告领导。（5）服务器故障应急预案：服务器故障后，应急小组确定故障设备及故障原因，并通知相关厂商。根据服务器修复和恢复系统所需时间，由领导决定是否启用备份设备。如启用备份设备，在服务器故障排除后，应急小组在确保不影响正常业务工作的前提下，利用网络空闲时期替换备用设备。如不启用备份设备，应急小组应积极配合相关厂商解决服务器故障事件。（6）软件故障事件应急预案：发生计算机软件系统故障后，系统使用人员应立即保存数据，停止该计算机的业务操作，并将情况报告应急小组，不得擅自进

35、行处理。应急小组应立刻派出技术人员进行处理，必要情况下，通知各业务处室停止业务操作和对系统数据进行备份。应急小组组织有关人员在保持原始数据安全的情况下，对计算机系统进行修复；修复系统成功后，利用备份数据恢复丢失的数据。（7）灾害性事件应急预案：一旦发生灾害性事件，应急小组每一位成员都应有责任在第一时间进入机房抢救服务器及存储设备。应急小组对服务器及存储设备的损坏程序进行评估。如服务器损坏或存储设备损坏无法使用，立即联系相关厂商，进入维保服务程序。根据服务器或存储设备修复和恢复系统所需时间，由领导小组决定是否启用备份设备。（8）其他突发事件应急预案：应急小组立刻派出技术人员进入现场，制定相应措施

36、，根据实际情况灵活处理，并按要求报告领导小组。1.4.2 后期处置 故障排除后，应急小组向各部室发出故障解除、系统恢复正常运行通知。系统恢复运行后，相关操作人员尽快通知业务处室，并对故障发生前所进行过的业务操作进行检查，核对业务数据是否正确或有无丢失，不正确或有丢失的应马上更正或补录，确保数据的正确和完整。对在故障期间采用手工受理的事项，应及时在系统中补充完善。领导组织有关人员及有关技术专家组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估，总结经验教训，完善信息系统应急处理预案，整改信息系统存在的隐患。领导对在信息系统应急事件处置中做出突出贡

37、献的集体和个人，提出表彰奖励建议；对玩忽职守，造成不良影响或严重后果的，按有关规定提出处理意见，并依法依规提出处理意见建议，并追究其责任。1.5 应急组织机构 1.5.1 保障组织结构 将由 xxxx 市 xx 中心牵头，并与我司项目组成员一同成立预防和处理信息系统突发事件工作协调小组（以下简称“应急小组”）负责信息系统应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统应急指令，发布信息系统应急故障级别、决策处理方案。应急小组组长由道路运输事务中心分管信息技术工作的领导担任，成员为运政事务处全体人员及我司项目组成员。1.5.2 工作职责 根据本项目道路运输服务事

38、务中心信息化系统运维服务要求，应急保障工作职责包括如下内容：（1）通过完善的服务体系、服务流程与制度和人员的有效保障，加强对系统的主动监控和预防性维护，建立日常检查和软件故障应急处理机制，及早发现潜在问题，提高技术支持响应速度，有效缩短系统故障恢复时间，最大程度上减低故障对业务系统的影响，提高系统的可用性和安全性。加强信息安全的巡查和值守，实时发现和处理系统安全漏洞，保障业务系统安全稳定运行。（2）对综合管理与服务系统进行7X24 小时监控，及时排除各类问题及故障，定期对系统所涉及的基础软件和支撑中间件进行版本升级及安全加固；（3）发生安全事件或者出现异常情况时，迅速响应并应急处置信息系统的各

39、类故障。1.5.3 人员清单 应急小组组长由道路运输事务中心分管信息技术工作的领导担任，成员为运政事务处全体人员及我司项目组成员。采购方小组成员由值班领导和指挥中心应急值守人员排班确定；我公司应急小组成员由项目经理及驻场运维人员组成，人员名单如下：序号 姓名 职务 资格、职称认证 级别 备注 1.Xxxx 项目经理 系统规划与管理师、信息系统项目管理师 高级 项目负责人 2.Xxxx 驻场运维经理 系统集成项目管理工程师 中级 驻场运维管理人员 3.Xxxx 技术服务操作人员 信息处理技术员 初级 驻场运维工作人员 4.Xxxx 技术服务操作人员 信息系统管理 高级 驻场运维工作人员 5.Xxxx 技术服务操作人员 软件工程师（java）中级 驻场运维工作人员 6.Xxxx 技术服务操作人员 工程师、PMP 证书 中级 驻场运维工作人员