应急预案管理制度
1、总则
1.1、目的
为保证XXXXX单位信息系统的安全稳定运行,正确、迅速和有效地处置可能发生的突发/重大信息安全事件,有系统、有组织地作好应急预案的管理工作,特制定本制度。
1.2、范围
本制度适应用于XXXXX单位信息系统应急预案的管理和指导性意见,各业务部门可根据自身业务的特点制定本部门范围内的应急预案执行细则。
1.3、职责
应急预案组长:网络安全与信息化管理部门主任
应急预案小组组长批准预案的实施与撤消及向上级相关部门的报告。
应急预案副组长:分管副主任
负责网络安全与信息化管理部门范围内人力、物力资源协调、组织、指导应急预案的实施。
成员:各部门负责人
负责各自部门内部人员的协调、在各自熟悉领域内统一接收组长的指令,完成应急预案的实施。
1.4、定义
信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上,针对每项关键业务流程,受信息系统可能发生不同程度突发事件的影响,准备和实施的一套信息安全应急预案,其基本价值在于:在信息系统突发事件出现之前就已经制定相应措施,做好一定准备;一旦信息系统安全事件发生,可以提供和实施这些替代方案,以最大限度地争取时间,减少损失。
2、管理细则
2.1、组织机构及职责
XXXXX单位是信息系统应急计划实施的指挥机构(下称应急领导小组)。由网络安全与信息化管理部门主任担任该领导小组组长,分管副主任担任副组长,各相关部门负责人任成员。
应急领导小组主要职能:
- 领导并监督本XXXXX单位计算机信息系统应急准备和应急执行,并提供行政及费用上的支持。
- 指挥和协调计算机信息系统应急处理工作,在应急程序启动期间,指挥调动本XXXXX单位所有应急资源。
- 定期对应急工作小组成员进行有针对性的培训及应急演练。
- 负责应急方案更新及修订的审定。
- 决定重大、较大的计算机信息系统网络及信息突发事件应急预案的启动,组织力量对突发事件进行处置。
应急领导小组下设应急工作小组,由技术部部长、科员及相关部门的人员组成,组长由技术部部长担任。
应急工作小组主要职责:
- 按照领导小组及相关规定的要求开展工作。
- 根据事件危害情况,向领导小组提供应急方案,供领导决策。
- 决定一般性突发事件的应急预案启动,组织力量对突发事件进行处置。在应急事件发生后根据实际情况全面或部分的接管应用系统操作,并及时向领导小组汇报工作进展情况。
2.2、应急工作原则
- 以人为本,减少危害。切实履行XXXXX单位的服务职能,把保护投保人合法权益和服务社会公众作为重要任务,最大限度地减少关键业务系统突发事件及其造成的损失和不良影响。
- 预防为主,依法规范。坚持预防与应急相结合,常态与非常态相结合,把预防危害性信息系统突发事件作为应急管理工作的基础和中心环节,防患于未然;完善工作机制,形成工作合力,将应急工作纳入规范化、制度化轨道,提高对信息系统突发事件全过程的综合管理和紧急处置能力。
- 统一领导,分级负责。在XXXXX单位的统一领导下,建立健全分类管理、分级负责、条块结合、属地为主的应急管理体制。实行在党委领导下的行政领导责任制,提高XXXXX单位各部门对处置重大信息系统突发事件实施统一指挥和协调的能力,加强部门之间的配合,充分发挥应急指挥机构的作用。
- 平战结合,协同应对。要做好应对信息系统突发事件的各项准备,将日常工作和应急处理工作结合起来,加强培训演练,提高快速反应能力。重视提高各级领导和办事人员的危机意识,依靠集体力量,形成统一指挥、功能齐全、反应灵敏、协同有序、运转高效的应急管理机制。
- 依靠科技,提高素质。要积极运用高新技术,改进和提高预警、预防和应急处置的技术与手段,充分发挥专家和专业人员的作用,提高应对信息系统突发事件的专业化水平和指挥能力,完善决策执行机制,避免发生次生、衍生事件。加强宣传和培训教育工作,提高XXXXX单位各部门应对各类信息系统突发事件的综合素质。
2.3、应急事件分类分级
2.3.1、事件分类
根据信息系统突发事件发生的原因、表现形式等性质,信息系统事件可分为七类:
- 有害程序事件:主要包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等。
- 网络攻击事件:主要包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等。
- 信息破坏事件:主要包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和信息破坏事件等。
- 信息内容安全事件:主要包括违反宪法和法律、行政法规的信息安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件; 组织串连、煽动集会游行的信息安全事件;其他信息内容安全事件等。
- 设备设施故障:主要包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等。
- 灾害性事件:主要包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息系统事件。
- 其他信息系统事件:是指不能归为以上6个基本分类的信息系统事件。
2.3.2、事件分级
各类信息系统突发事件按照其性质、严重程度、可控性和影响范围等因素,一般分为四级: I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。
突发事件的处理是一个发展变化的过程,每隔30分钟需要对事件的影响程度和范围进行重新评估,按照上述事件分级的定义重新判定事件级别。
IV级(一般)
满足以下一个或多个标准的事件为IV级(一般级)事件:
在业务服务时段,造成或者可能造成10%及以下用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时相同业务操作时间低于5倍,同时整个系统操作时间超过正常处理5倍以下时间,并持续1小时以下的突发事件;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成较少损害的突发事件。
III级(较大)
满足以下一个或多个标准的事件为III级(较大级)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿30分钟以内的突发事件;
在业务服务时段,造成或者可能造成10%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续1小时以上、半天以内的现象的突发事件;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成损害的突发事件。
II级(重大):
满足以下一个或多个标准的事件为II级(重大)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿超过3小时以内的故障;
在业务服务时段,造成或者可能造成30%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续半天以上、1天以内的现象;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成重大损害的突发事件。
I级(特别重大):
满足以下一个或多个标准的事件为I级(特别重大)事件:
在业务服务时段,造成或可能造成关键业务系统发生停顿超过半天以上的故障;
在业务服务时段,造成或者可能造成50%以上用户业务中断的突发事件;
在业务服务时段,造成或可能造成关键业务系统出现业务软件操作时间超过平时操作相同业务时间5倍以上,同时整个系统操作时间也超过正常处理时间5倍以上,并持续1天以上的现象;
造成或可能造成重要数据损毁、丢失、泄露,对公众利益造成特别重大损害的突发事件。
2.4、应急保障措施
- 网络安全与信息化管理部门应建立数据集中、统一、自动的备份和恢复机制,并做好备份系统的维护及保养工作。
- 技术储备与保障:领导小组在平时应加强技术储备与保障管理工作,建立与上级相关管理部门的日常联系和信息沟通机制,适时组织相关专家和机构分析当前网络安全,对网络应急预案及实施进行评估,开展现场研究,加强技术储备。
- 系统技术部应加强对工作人员安全使用计算机的宣传教育工作,全面提高网络使用人员的安全意识;定期或不定期地对领导小组和应急工作小组成员进行技术培训和应急演练,保证应急预案的有效实施,提高计算机信息系统应急的能力。
- 应急文档的备存
a)各类网络设备和服务器、计算机及其附属设备的型号、序列号等;
b)硬件设备供应商、生产厂商的电话、联系人、网址;
c)操作系统、关键业务应用软件开发商或供应商的电话、联系人;
d)网络拓朴图;
e)路由器、防火墙、入侵检测设备等设备的配置文档,服务器登陆用户及原始密码文档;
f)各类软件的技术文档及其他需要保存的文档。
- 应急设备及软件备存
a)正版操作系统启动盘、安装盘;
b)正版防病毒软件(注明安装及升级序列号);
c)数据库管理系统软件,数据库备份软件及最近完整的数据备份存储介质;
d)相关的设备驱动程序(含主板、显卡、网卡等)及更新到最新的服务器注册表文件;
e)备用网线,万用表、测网仪、螺丝刀等必要工具;
f)其它必备的应急工具。
2.5、预防预警机制
- 日常预防管理
a)定期检查服务器及重要网络设备。
b)及时更新服务器的防病毒软件病毒库。
c)定期对所有服务器进行漏洞扫描、补丁修复。
d)定时备份重要数据。
e)特殊时期实行值班制度。
- 预警机制
a)预警信息分为外部预警信息和内部预警信息两类。外部预警信息指本单位外突发的可能破坏网络或者最新病毒等可能产生重大影响的事件警报;内部预警信息指单位内计算机信息系统网络的中断或部分计算机系统崩溃对业务操作有影响的事件警报。
b)应急工作小组获得外部预警信息后,对预警信息加以分析,做好预防和网络保障应急准备工作,报备领导小组并通过OA或短信方式向各部门发送预警通告;通过监测或普通操作人员报告获得内部预警信息,分析后按照早发现、早报告、早处置的原则,解决可能演变为严重应急事件的情况。
2.6、应急事件处理
2.6.1、确定事件类型
- 应急工作小组应及时判断事件的类型和紧急程度;
- 确定事件范围(多少地点发生事件),检查敏感信息失密情况及其程度,分析攻击来源及侵入点;
- 判断事件危害性及损失程度,分析人为原因、事件潜在危害性;
- 确定事件发生时间及延续时间;
- 判断需采用的手段及准备处理事件需要的必备资源;
- 根据损失程度及延续时间等情况确定等级,较大、特大信息险情需报领导小组,决策后启动相关应急预案。
2.6.2、事件报告方式
事件的基本信息(故障发生的时间、故障点、故障情况)、事件的类型、表现出来的现象、涉及的网络,事件当前的状态及可能造成的后果,以及事件解决的建议和措施。
2.6.3、事件报告内容
事件的基本信息(故障发生的时间、故障点、故障情况)、事件的类型、表现出来的现象、涉及的网络,事件当前的状态及可能造成的后果,以及事件解决的建议和措施。
2.6.4、事件重置方法
2.6.4.1、网络攻击事件处置
判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的IP地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。根据具体情况选择以下处置方式:
- 病毒传播:及时寻找并断开传播源,判断病毒的类型、性质、可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协助,寻找并公布病毒攻击信息,以及杀毒、防御方法。
- 外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的IP地址,及时关闭入侵的端口,限制入侵的IP地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。
- 内部入侵:查清入侵来源,如IP地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新入侵检测设备。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
2.6.4.2、设备故障事件处置
判断故障发生点和故障原因,迅速联系服务厂商尽快抢修故障设备,优先保证XXXXX单位主干网络和主要应用系统的运转。
2.6.4.3、供电系统断电处置
- 计划内停电或异常停电,明确停电时间≤30分钟:
a)通过UPS供电并保证主机房设备正常运行;
b)做好主机房设备及UPS电池剩余电量、温度动态监测及记录;
c)做好数据库、主存储等核心设备的保护性安全停机准备;
d)必要时先安全关闭外网所有设备和部分内网非关键设备,保证数据库、主存储等核心设备的电力供应并减少设备产热量;
e)保持与综合部的密切联系,确保市电供应稳定后首先恢复机房供电。
f)及时向XXXXX单位主管领导报告后备供电状态下系统运行的状况。
- 计划内停电或异常停电,明确停电时间>30分钟:
a)及时向XXXXX单位主管领导报告并提出关闭计算机信息系统的建议,并以有效的通讯方式向XXXXX单位各单位和社会群体发布紧急停机通知;
b)安全关闭内网核心设备:
①计划内停电:计划停电前15分钟开始,按应用服务器、数据库服务器、虚拟服务器、存储系统的顺序进行安全关机;
②上班时间异常停电:通过UPS供电并立刻按应用服务器、数据库服务器、虚拟服务器、存储系统的顺序进行安全关机;
③非上班时间异常停电:通过UPS供电并立刻通过VPN接入进行远程安全关机,关机顺序为:数据库服务器、应用服务器、虚拟服务器、存储系统的顺序进行安全关机;并就近派员进入机房进行有关设备的现场关机操作;
c)实时监测主机房内温度及UPS电池剩余电量并记录;
d)确认内网核心设备全部安全停机后,依次安全关闭XXXXX单位视频监控系统、其他内网设备、弱电系统其他设备和外网设备;
e)关闭UPS系统输出,并对UPS系统进行安全关闭操作;
f)保持与事务科的密切联系,确保因停电导致安防监控系统停止运转时主机房区域的物理安全,确保市电供应稳定后首先恢复机房供电并按正常开机程序恢复系统运行。
2.6.4.4、灾害性事件处置
根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
2.6.4.5、网络中断事件处置
- 广域网无法使用
a)路由器、交换机、防火墙等硬件故障: 使用备份端口或备份硬件,并检查或配置相关内容,与供应商联系,尽早解决问题;
b)通信线路故障:关键业务使用应急通信线路,向受影响的单位发出通报,立即与线路供应商联系,在线路供应商承诺的时间内解决问题。
c)网络带宽阻塞:通过网管软件,判断阻塞原因及阻塞包发包点,再按情况逐个断网排查,直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式,找到原因并恢复正常后方能接入网络。
- 局域网无法使用
a)路由器、交换机、防火墙等硬件故障: 使用备份端口或备份硬件,并检查或配置相关内容,与供应商联系,尽早解决问题;
b)通信线路故障:用测线仪进行测试,用好的网线或接插件进行替代,关键业务使用应急通信线路,向受影响的部门发出通报,立即与布线系统供应商联系,在供应商承诺的时间内解决问题。
c)网络带宽阻塞:通过网管软件,判断阻塞原因及阻塞包发包点,再按情况逐个断网排查,直至网络恢复正常。对已断网计算机进行系统补丁升级、查毒等方式,找到原因并恢复正常后方能接入网络。
2.6.4.6、数据库故障事件处置
- 记录故障情况;
- 检查数据库服务是否启动,若未起,则重启数据库服务;
- 检查文件系统,若有问题则在备份重要数据块或数据文件后用原有备份通过专业备份恢复软件进行修复;
- 与数据库运维供应商联系,取得技术支持;
- 必要时重装并恢复数据库;
- 分析原因,编写报告,详述事件过程及处理步骤。
2.6.4.7、应用系统故障事件处置
- 记录故障情况;
- 服务器问题:启用备用服务器,通过热备服务器进行双机热备恢复(包括数据服务配置)。提供故障服务器型号、序列号并与服务器供应商联系,取得技术支持,检查服务器软件,将原有数据信息存盘并实施用户数据备分后移支正常服务器上使用,并与软件供应商联系,尽早解决问题。
- 磁盘陈列(存储介质)设备问题:用同规格的备用硬盘进行替换,其他故障要及时与供应商联系修复;
- 检查虚拟机或中间件服务是否启动,若未起,则重启虚拟机或中间件服务;
- 检查数据库能否正常提供数据访问和服务,如有问题第二十四条处理;
- 检查文件系统,若有问题则在备份重要模块或应用系统文件后用原有备份通过专业备份恢复软件进行修复;
- 与应用系统供应商或开发商联系,取得技术支持;
- 必要时重装虚拟机或中间件并恢复应用系统;
- 分析原因,编写报告,详述事件过程及处理步骤。
2.6.4.8、信息内容安全事件处置
接到XXXXX单位内网站出现不良信息的报案后,应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录查找信息发布人并做好善后处理;对公安机关要求我网络安全与信息化管理部门协查的外网不良信息事件,根据上网相关记录查找信息发布人。
2.6.4.9、其它不确定安全事件处置
可根据总的安全原则,结合具体情况,做出相应处理。不能处理的及时咨询信息安全公司或顾问。
2.7、事件后期恢复及评估
- 清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到涉密数据,需要额外遵照涉密系统的恢复要求。
- 备份硬件设备或配件代替使用后,应及时将损坏设备进行维修或者更新。
- 检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性,检查攻击者是否侵入了系统,以后是否能再次随意进入,损失的程度,确定暴露出的主要危险等。
2.8、总结报告
每次应急预案完成后对应急事件进行分析,形成总结报告。报告应包括事件发生时间、参与人员、采取的措施及效果、事件损失评估、经验教训等内容,并及时向上级有关部门报备。
2.9、应急预案演练
- 应急演练遵循“统一规划、分类指导、归口管理、分级实施”的指导思想,坚持“积极预防,严格控制,防控并重”的原则。各部门人员要切实提高认识,进一步重视应急演练工作。加强应急演练,把工作落到实处,确保在紧急情况下做到反应迅速,处置果断,保障到位。
- 为保证应急情况下应急机制的迅速启动和指挥顺畅,设立指挥组和技术组。指挥组由XXXXX单位领导组成,负责统筹指挥、组织实施应急突发事件工作;技术组由XXXXX单位相关人员组成,负责信息安全工作支持、保障、处理应急突发事件。各应急组织小组应注重统一指挥,做到分级负责,分层实施,分步联动,做到协调配合,各司其职,协同配合。
- 建立应急专项队伍。建立思想觉悟高、业务技术精、工作责任心强的技术队伍。XXXXX单位负责信息安全应急技术支持、保障实施工作,响应处理各类应急事件,确保XXXXX单位电子政务的安全、稳定运行。
- 各部门负责组织编制应急预案演练指南,提出规范各类突发事件应急预案演练的组织与实施的方法,指导相关应急预案演练活动。
- 定期对应急计划中各种安全事件的应急恢复方案进行演练和测试,确保应急恢复方案的可行性和可靠性,锻炼应急恢复人员的应急响应速度和熟练程度,每次应急恢复演练和测试均应当作详细的记录。日常情况下每年至少组织一次应急行动的综合演练,遇有可预见的应急情况,应在事前组织演练,熟悉应急处理和整个应急行动程序,明确自身职责,提高协同处理能力,保证应急工作协调、有效、迅速开展。
- 制订应急演练方案。结合实际情况,制定详细的应急演练规划及切实可行的应急处理方案。演练方案应包括信息安全、网站保障、网络安全、软件系统、数据库安全、设备设施保障等各项安全应急情况处理。
- 建立应急演练评估制度。应急演练结束后,开展演练评估工作,提交演练评估报告,信息安全领导小组开展演练评估工作,总结分析应急预案存在的问题及时汇总情况,总结分析存在问题,以提高处理应急事件的能力。
- 修订完善应急预案。通过举行应急演练,检验应急预案的科学性和可操作性,针对演练活动暴露出的问题和不足,结合实际情况,制订整改措施,修改完善应急预案。
- 建立健全应急培训制度。加强电子政务信息安全的培训,包括应急演练、应急预案的宣教培训,定期组织有关管理人员和专业队伍开展相关培训,以增强应急责任意识,提高应急处置能力。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
4、附录和附件
附件1:应急处置相关人员名单及联络方式
(一)应急处置领导小组
| 姓名 |
性别 |
职务 |
工作分工 |
办公电话 |
手机 |
|
(二)IT恢复组
| 姓名 |
性别 |
职务 |
工作分工 |
办公电话 |
手机 |
|
(三)业务恢复组
| 姓名 |
性别 |
职务 |
工作分工 |
办公电话 |
手机 |
|
(四)支持保障组
| 姓名 |
性别 |
职 务 |
工作分工 |
办公电话 |
手机 |
|
(五)外部专家支持组
| 姓名 |
性别 |
职务 |
工作分工 |
办公电话 |
手机 |
|
附件2:重大信息安全事件报告表
| 报告时间 |
|
| 单位名称 |
|
| 报告人 |
|
| 联系电话 |
|
| 通讯地址 |
|
| 传真 |
|
| 电子邮件 |
|
| 发生重大信息安全事件的网络与信息系统名称及用途 |
|
| 负责部门 |
|
| 负责部门 |
|
| 负责人 |
|
| 重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明): |
|
| 初步判定的事故原因 |
|
| 当前采取的应对措施 |
|
| 本次重大信息安全事件的初步影响状况 |
|
| 事件后果 |
|
| 影响范围 |
|
| 严重程度 |
|
| 值班电话 |
|
| 传真 |
附件3:重大信息安全事件处理结果报告表
| 原事件报告时 |
|
| 备案编号 |
|
| 单位名称 |
|
| 联系人 |
|
| 通讯地址 |
|
| 联系电话 |
|
| 电子邮件 |
|
| 发生重大信息安全事件的网络与信息系统名称及用途 |
|
| 负责部门 |
|
| 负责部门 |
|
| 负责人 |
|
| 网络或信息系统名称及用途 |
|
| 已采用的安全措施 |
|
| 重大信息安全事件的补充描述及最后判定的事故原因 |
|
| 对本次重大信息安全事件的事后影响状况 |
|
| 事件后果 |
|
| 影响范围 |
|
| 严重程度 |
|
| 本次重大信息安全事件的主要处理过程及结果 |
|
| 针对此类事件应采取的保障网络与信息系统安全的措施和建议 |
|
| 报告人签名 |
附件4:应急预案演练记录
应急预案演练记录
| 演练名称 |
演练时间 |
||
| 组织人 |
演练地点 |
||
| 记录内容:
记录人: |
|||
| 参加部门 |
|||
| 演练结果 |
|||
| 发现的问题 |
|||
| 需要改进之处 |
|||
附件5:应急预案修订记录表
| 应急预案修订记录表 |
|
| 预案名称 |
|
| 编制时间 |
|
| 参与修订人员 |
|
| 修订与增补原则 |
|
| 主管领导签字 |
|