之前做售前时候简单写的一些东西,仅供参考,如有不对地方也希望各位大佬及时指正。个人版权,码字不易。
正文↓↓↓↓
一、总则
(一)编制目的
为进一步加强公司网络安全与信息安全管理,提高网络信息安全风险处理能力,确保网络运行安全与信息安全,预防和减少突发事件造成的危害与损失,根据国家对网络安全的有关规定以及公司实际情况制定了本预案。
(二)指导思想
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
(三)编制依据
依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术信息安全事件分类分级指南》( GB/Z 20986-2007)、《国家网络安全事件应急预案》等相关规定。
(四) 适用范围
本预案适用于公司及各子分公司发生的网络和信息安全突发事件和可能导致网络和信息安全突发事件的应急处理。
(五) 应急工作原则
1、报告原则:发生突发安全事件,第一时间向公司综合办公室负责人报告,同时积极进行处置,处置全程要及时汇报工作进展。
2、安全原则:处置安全事件时,要科学客观,首先保证人员安全,其次保证设备数据安全。
3、效率原则:处置突发事件要及时迅速,讲究方法,善于协调,争取在最短时间内解决问题。
4、协调配合原则:出现大规模故障后,根据工作需要,积极配合,协同处理,提高工作质量与效率。
二、组织体系及职责
成立公司网络信息安全领导小组,主要职责:统一领导网络与信息安全的应急工作,全面负责信息网络可能出现的各种突发事件处置工作。发生网络与信息安全突发事件时,启动本预案,组织应急处置。
领导组下设办公室,负责网络和信息安全的日常工作和组织协调。办公室设在综合办公室,主任由综合办公室主任担任,成员为公司机关各部门负责人。
三、预警与信息报告
公司要进一步完善网络信息安全突发事件的监测、预测和预警制度, 按照“早发现、早报告、早处置”的原则,加强对各类网络与信息安全突发事件和可能引起网络信息安全突发事件的有关信息的收集、分析、判断和持续监测。发现问题要及时处置、及早报告,报告内容包括信息来源、影响范围、事件性质、处理措施和处理结果。
四、事件分级
根据网络信息安全事件发生的原因和性质不同分为三级:
一般故障:指区域性网络安全事件,具体包括:局部网络瘫痪、个别设备死机、网站服务器停止工作等;
重大故障:指发生大规模或整体性网络瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等;
特大故障:指机房发生火灾或遭不可抗拒力破坏造成机房损毁及人员伤害等。
五、事件报告
(一)事件报告内容:事件发生时间和地点、发生事件的基础网络与信息系统名称、事件原因、信息来源、事件类型及性质、危害和损失程度、影响单位及业务、事件发展趋势、采取的处置措施等。
(二)对暂时无法判明破坏等级的事件,应立即将简要情况通过电话、传真等方式上报领导组,事件详细情况应在1小时内上报。
(三)对涉密的信息,参与涉密突发事件应急处置人员须遵守相关保密管理规定,做好保密工作。
六、应急响应
发生网络信息安全事件时,根据事件分级,一般故障两小时内解决,重大故障二十四小时内解决,特大故障四十八小时内解决。应急响应的方式分为以下几种:
(一)硬件故障
因自然灾害、供电不正常、人为因素等造成的服务器硬件损坏、丢失情况。发生此类问题,要在确保工作人员人身安全的情况下,进行处理。
(二)攻击、篡改类故障
网站和信息系统遭到网络攻击不能正常运作,或出现非法信息、页面被篡改。一旦发现网站和信息系统出现非法信息或页面被篡改,要第一时间对其进行删除,恢复相关信息及页面,必要时可对服务器进行关闭,待检测无故障后再开启服务。系统维护员要妥善保存有关记录及日志或审计记录,并立即追查非法信息来源,将有关情况进行上报。重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日的备份。
(三)病毒木马类故障
网站和信息系统服务器感染病毒木马时,容易对服务器上数据造成不可逆的破坏。发现服务器感染病毒木马,要立即对其进行查杀。如果由于病毒木马入侵服务器造成数据丢失或系统崩溃的,事后要及时联系相关单位进行数据恢复。
(四)系统类故障
具体指系统由于长时间运行或系统存在的bug造成网站和信息系统不能正常运行。发生此类问题,要及时对服务器进行重新启动,并联系相关单位进行服务器调试,以免影响工作。
(五)网站、网页出现非法言论
网站、网页由负责网站维护的管理员监控信息内容。发现在网上出现非法信息时,网站管理员应立即向网络信息安全领导小组通报情况,并作好记录。清理非法信息,采取必要的安全防范措施,将网站、网页重新投入使用;情况紧急的,应先及时采取删除等处理措施,再按程序报告。网站管理员应妥善保存有关记录,将有关情况向安全领导小组汇报,并及时追查非法信息来源。
(六)数据库发生故障
重要数据库系统应定时进行数据库备份。一旦数据库崩溃,管理员应立即进行数据及系统修复,修复困难的,可向软硬件提供商或专业人士请求技术支持。在取得相应技术支援也无法修复的,应及时向信息安全领导组报告,在征得许可、并可在业务操作弥补的情况下,由专业人员利用最近备份的数据进行恢复。
(七)机房发生火灾
一旦机房发生火灾,应遵循下列原则:首先保证人员安全;其次保证关键设备、数据安全;三是保证一般设备安全。
人员灭火和疏散的程序是:值班人员应首先切断所有电源,同时通过119电话报警。值班人员戴好防毒面具,从最近的位置取出灭火器进行灭火,其他人员按照预先确定的路线,迅速从机房中有序撤出。
七、后期处置
在应急处置工作结束后,应急工作小组要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。此外应急工作小组应立即组织有关人员和专家组成事件调查组,对事件发生及其处置过程进行全面的调查,查清事件发生的原因及损失情况,总结经验教训,写出调查评估报告,报应急领导小组。
八、 保障措施
(一)人员保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、懂技术的信息安全核心人才和管理队伍,提高信息安全防御意识。加强与信息安全服务厂商联系,增强社会应急支援能力。
(二)设备保障
为了在硬件设备发生故障时能够尽量降低业务系统的受影响程度,需为相应的核心业务硬件系统提供必要的备份设备、线缆等硬件资源,可以在应急情况下调配使用。
(三)财务保障
要利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、预案演练、物资保障等工作的开展。
(四)通讯保障
建立健全并落实信息系统突发事件信息收集、传递、处理、报送各个环节的工作制度,完善各部门已有的信息传输渠道,随时保持信息报送通畅,通讯设备完好。
(五)技术保障
建立应急处理的技术平台,进一步提高安全事件的发现和分析能力;从技术上逐步实现发现、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制;组织有关专家和安全厂商力量,开展应急运作机制、应急处理技术、控制等研究,推广和普及切合实际的应急技术。
九、附则
本预案由公司网络信息安全领导组制定,自印发之日起实施。