版本号 V1.0
修订人
审核人
批准人
生效日期 备注 新建
为做好应对网络与信息安全事件的各项准备工作, 提高应急处理
能力,制定本预案。
合用于本公司信息中心。
根据以下相关法规、规定、文件精神,制定本预案。凡是不注日
期的引用文件,其最新版本(包括所有的修改单)合用于本文件。
《中华人民共和国计算机信息系统安全保护条例》《计算机病毒防治管理办法》
《计算机信息网络国际联网管理暂行规定》
网络与信息安全事件分为有害程序事件、 网络攻击事件、 信息破
坏事件、信息内容安全事件、设备设施故障和灾害性事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木 马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件 和其他有害程序事件;
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏
洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网 络攻击事件;
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄 露事件、信息窃取事件、信息丢失事件和其他信息破坏事件;
(4)信息内容安全事件是指通过网络传播法律法规禁止信息, 组织非法串联、 煽动集会游行或者炒作敏感问题并危害国家安全、 社会 稳定和公众利益的事件;
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、 人为破坏事故和其他设备设施故障;
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与 信息安全事件。
网络与信息安全事件分为三级:重大(Ⅰ级)、严重(Ⅱ级)、一
般(Ⅲ级)。
(1)符合下列情形之一的,为重大网络与信息安全事件(Ⅰ级):
① 信息系统中断运行 2 小时以上、影响到本公司多个部门;
② 信息系统中的数据丢失或者被窃取、篡改、假冒,对本公司安
全和稳定构成特殊严重威胁, 或者导致 50 万元人民币以上的经济损失。
(2)符合下列情形之一且未达到重大网络与信息安全事件(Ⅰ 级)的,为严重网络与信息安全事件(Ⅱ级):
① 信息系统中断运行造成严重影响的;
② 信息系统中的数据丢失或者被窃取、篡改、假冒,对本公司和 稳定造成较严重威胁,或者导致 1 万元人民币以上的经济损失。
(3)除上述情形外,对本公司安全、秩序、建设、利益构成一 定威胁、 造成一定影响的网络与信息安全事件, 为普通网络与信息安 全事件(Ⅲ级)。
事件信息的通报/上报可以通过电话、电子邮件、短信等方式进
行。在使用相关通报/上报方式时,必须依照附录一人员联系方式中 登记的电话确认对方收到。
公司成立信息安全领导小组统筹协调信息安全管理工作, 下设信
息中心,信息中心设置系统管理员、网络管理员、安全管理员、安全 宣传员、安全审计员分管信息安全相关事宜,详见《信息安全组织机 构和职责》。
组织机构框架图如下:
信息安全领导小组是网络与信息安全工作的领导与决策机构。
(1)负责领导与决策信息安全事件的处置工作;
(2)负责向上级信息安全管理机构沟通与汇报事件的处置情况;
(3)审核特殊重大安全事件处置方案;
(4)协调重要资源,协助信息中心完成事件的应急处置;
(5)审阅《信息安全事件处置单》。
信息中心主要负责组织与指挥信息安全事件的应急处置工作。
(1)网络与各个系统的安全值守;
(2)安全事件发现、记录现场情况;
(3)针对信息安全事件的影响进行评估;
(4)组织人员、制定方案,针对安全事件执行应急处置与根除 操作;
(5)检查与确认安全事件的处置效果;
(6)事后提交《信息安全事件处置单》;
(7)组织与指挥信息安全事件的处置工作;
(8)确定信息安全事件分级;
(9)向信息安全领导小组汇报安全事件的处置情况。
网络与信息安全事件发生后, 事发部门需即将启动相关应急预案,
实施处置并及时报送信息中心。事发部门需按照以下要求进行执行: (1)控制事态发展,防控蔓延。事发部门先期处置,采取各种技 术措施,及时控制事态发展,最大限度地防止事件蔓延;
(2)快速判断事件性质和危害程度。尽快分析事件发生原因,根 据网络与信息系统运行和承载业务情况, 初步判断事件的影响、 危害 和可能波及的范围,提出应对措施建议;
(3)及时报告信息。事发部门在先期处置的同时要按照预案要求, 及时向上级主管部门报告事件信息;
(4)做好事件发生、发展、处置的记录和证据留存。
Ⅰ级响应由信息中心在信息安全领导小组的统一领导下, 开展应 急处置工作。
(1)启动指挥体系。
信息中心组织相应专业技术人员研究对策,提出处置方案建议, 为领导决策提供支撑。
(2)掌握事件动态。
事件影响部门及时将事态发展变化情况和处置发展情况及时上 报信息中心, 信息中心组织全面了解本公司内的基础网络和信息系统 受到事件波及或者影响的情况,并及时汇总上报信息安全领导小组。
(3)处置实施
① 控制事态防止蔓延。根据信息中心的部署组织事发部门及应 急队伍,采取各种技术措施、管控手段,最大限度地阻挠和控制事态 发展,全面启动预警机制, 及时催促、指导网络与信息系统运营使用 管理部门有针对性地加强防范,防止事件进一步蔓延;
② 做好处置消除隐患。信息中心现场指挥应急技术力量、事发 部门尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决 方案, 组织实施处置, 对业务连续性要求高的受破坏网络与信息系统 要及时组织恢复。
信息中心启动Ⅱ级响应,统一指挥、协调、组织应急处置工作。
(1)启动指挥体系
信息中心组织网络与信息安全专家顾问组专家及专业技术人员 研究对策,提出处置方案建议,为领导决策提供支撑。
(2)掌握事件动态
事件影响部门及时将事态发展变化情况和处置发展情况及时上
报, 信息中心组织全面了解本公司网络与信息系统运行情况, 并及时 上报信息安全领导小组。 (3)处置实施
① 控制事态防止蔓延。信息中心全力组织本部门的应急技术队 伍及事发部门,采取各种技术措施、管理手段,最大限度地阻挠和控 制事态发展,全面启动预警机制,及时催促、指导本公司网络与信息 系统运营使用管理部门有针对性地加强防范, 防止事件蔓延到其他信 息系统;
② 做好处置消除隐患。信息中心现场指挥应急技术力量、事发 部门尽快分析事件发生原因、特点、发展趋势,快速制定具体的解决 方案, 组织实施处置, 对业务连续性要求高的受破坏网络与信息系统 要及时组织恢复。
事件发生部门启动Ⅲ级响应, 按照像关预案进行应急处置, 事件
发生部门负责及时赶到现场, 组织协调、 指挥所属技术力量进行事件 处置工作, 必要时请求信息中心相关应急技术人员支援处置; 事发部 门负责将事件信息、处置发展情况及时向信息中心报告,根据需要, 信息中心有关人员赶赴现场,指导、检查事发部门开展应急处置工作, 协调相关专家、应急队伍参加应急救援。
应急响应快速处置成功的关键是根据预设流程进行有条不紊的
对已经发生的安全事件进行解决, 以保证最大限度地减少安全事件造 成的伤害, 降低应急处置中的风险。 具体的应急响应流程分为以下五 个阶段:
发现与报告阶段 突发事件
事件分析阶段
处置 失败
事件处置阶段
非安全事件预 案结束
宣告预案 恢复
事件根除阶段
事件总结阶段
各网络与应用系统通过阿里云安全服务进行监控和日志查看, 确 保及时发现信息安全事件。
任何人在检测到信息安全事件或者估计有信息安全事件发生时, 均 需向信息中心报告。 信息中心即将开展现场检查与评估, 根据事件影 响的范围,向信息安全领导小组的相关人员进行通报。
立 即 报 告 , 不 允 许延迟
任何人在检测到信息安全事件或者估计 有信息安全事件发生时, 均拨打信息中心电 话报告情况。
信息中心人员需即将开展现场检查与 评估,内容包括:
1.是否为信息安全事件;
2.初 步确 定事件 影 响 的业 务 系统 范 围,确定事件的严重程度;
3.根据事件影响的网络与信息系统范 围, 将现场情况与评估结果通知信息安全事 件处置相关人员。
任何人员
事件分析 如实上报, 并如实 记录 《信息安全事 件处理记录表》 和 《 电 话 通 知 记 录 单》
信息中心
信息中心分析与评估事件的性质及影响范围。
如果判断不是信息安全事件, 信息中心则向信息安全领导小组汇
报,预案结束。
如果判断是信息安全事件, 信息中心即将制定处置方案, 并向信 息安全领导小组汇报。
行动
工作要点
角色
共同分析与评估事件的性质、影响范围;根据 分析、评估,如实 实际情况对信息安全事件初步提出分级建议, 填写 《信息安全事 并填写《信息安全事件处理记录表》。
信息中心
件处理记录表》 需 要 汇 报 对 事 件 的现场检查情况、 评估理由、 评估结 果、评估人,并如 实记录。 制定处置方案
信息中心
如果判断不是信息安全事件,信息中心则向信 息安全领导小组汇报,预案结束。
信息中心
如果是信息安全事件,则制定事件处置方案, 并填写《信息安全事件处理记录表》。 如果判断是特殊重大安全事件与重大安全事 件,需即将向信息安全领导小组汇报,并将处 置方案报送信息安全领导小组审核。 普通事件可开始应急处置。
对特殊重大安全事件与重大安全事件的处置 方案进行审核。
信息中心
及时处理
信 息 安 全 领导小组
对 处 置 方 案 进 行 审核
在执行恢复方案之前, 对关键业务信息执行备份和状态检查。 执 行恢复方案,并记录恢复过程,检查恢复效果,如果恢复不成功需要 采集信息重新制定业务恢复方案。
行动
角色
信息中心
工作要点 严 格 按 照 预 案 执 行 检查处置结果
根据安全事件的处置方案,执行处置操作。
信息中心
检查处置成果, 并填写 《信息安全事件处理 记录表》。
如 实 记 录 执 行 情 况
信息中心
如果处置失败,则需要回到事件分析阶段。 汇报处置结果
信息中心
如果处置成功, 向信息安全领导小组汇报处 置情况。
信息中心中的系统管理员针对各网络与业 务检查系统健康情况。
密切注重系统状态, 监控业务运行情况。 如 有异常,迅速报告
系统巡检
信息中心
增 加 系统 巡 查 密 度
信息中心
业务恢复正常之后信息中心会同事发部门对事件进行根因分析, 对业务系统进行再次检查; 根据发现的问题与漏洞制定事件根除方案。
角色 行动 工作要点
信息中心
统进一步进行检查;根据发现的问题与漏 洞制定事件根除方案。
负责对根除方案执行过程,并填写《信息
需要对事件进行根因分析,需要对业务系
制定根除方案
信息中心
信息中心
安全事件处理记录表》。
向信息安全领导小组汇报根除处置情况。
执行根除方案 汇 报 根 据 处 置 情 况
事发部门会同信息中心对业务影响、范围、损失进行总结,对应 急措施的有效性进行评估, 对事件中根因进行分析, 编写安全事件处 置总结报告。
信息中心向信息安全领导小组提交报告。
信息中心应该根据事件发生的原理组织各业务系统管理人员对 类似安全隐患的业务系统进行自查自检, 必要时可采取紧急抑制手段 避免同类安全事件的发生。
角色
行动
工作要点 加强系统巡检
信息中心
加强安全隐患的业务系统自查,改进应急措 施手段
对业务影响、范围、损失进行总结,对应急 分析,编写《信息安全事件报告》。 1.审核《信息安全事件报告》; 2.向信息安全领导小组汇报;
信息中心 措施的有效性进行评估,对事件中根因进行
编写 《信息安全事 件报告》。
信息中心
审计报告、汇报
信息安全 领导小组
审阅 《信息安全事 件报告》 ,提出改 进意见
审阅《信息安全事件报告》。
各相关部门和机构根据各自职责分工,及时采集、分析、汇总本
部门或者本系统网络与信息系统安全运行情况信息, 对安全风险及事件 信息及时报告信息中心。
倡导本公司员工参预网络与信息系统安全运行的监督和信息报 告,发现本公司网络与信息系统发生安全事件时,及时报告信息中心。
事件信息普通包括以下要素: 事件发生时间、 发生事故的信息系
统名称及运营使用管理部门、地点、原因、信息来源、事件类型及性 质、危害和损失程度、影响部门及业务、事件发展趋势、采取的处置 措施等。
网络与信息安全事件的信息发布工作, 须遵守相关法律法规及相
关规定。
网络与信息安全事件发生后, 需要发布信息时, 在本公司突发公 共事件信息发布工作协调小组的领导下, 指派专人负责信息发布工作, 起草发布稿和情况报告,及时、准确、客观报导事件信息,正确引导 舆论导向。
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由 事
发部门负责组织制定恢复、 整改或者重建方案, 报告相关主管部门审 核实施。
由信息中心经理组织本部门相关专业人员, 作为本公司网络与信 息安全应急队伍,负责网络与信息安全事件的应急救援及支援工作。
本公司网络与信息安全应急队伍承担以下主要职责:
(1)按照本公司信息安全领导小组及信息中心经理的指令,开 展应急救援;
(2)承办网络与信息安全事件应急处置培训工作;
(3)负责抢险队伍设备、器材及相关软硬件的日常管理和维护 工作;
(4)负责网络与信息安全社会应急力量的联系和组织工作;
(5)负责做好网络与信息安全事件应急演练工作;
(6)根据事发部门应急支援请求,提供应急救援服务;
(7)承办本公司信息安全领导小组及信息中心交办的其他事项。
依托优秀信息安全企业建立本公司网络与信息安全事件应急处 置社会网络, 发挥社会力量和人材在本公司网络与信息安全事件应对 工作中积极作用,提高本市网络与信息安全事件应对能力和水平。
信息中心负责本公司网络与信息安全应急合作机制建设。
本公司信息中心的安全宣传员制定应对网络与信息安全事件的 宣传教育规划, 组织有关部门、专家、应急队伍编制本公司员工预防、 应对信息安全事件宣传资料,组织开展宣传教育活动。
各部门充分利用各种传播媒介及其他有效的宣传形式, 加强网络 与信息安全事件预防和处臵的有关法律、 法规和政策的宣传, 开展网 络与信息安全基本知识和技能的宣讲活动。
本公司信息中心组织开展信息安全法规标准、信息安全预案编制、 风险评估、事件分析处置、 容灾备份等方面的专业技术培训。每年至 少一次对系统相关人员进行应急演练培训,并记录培训内容。
本公司信息中心每年至少组织一次预案演练, 摹拟处置重大或者较 大网络与信息安全事件,提高实战能力,检验和完善预案。对事件、 地点、参预人员、演练过程等进行记录。
每次应急演练后, 根据应急演练情况对应急预案进行审查。 对应 急预案中存在的不足或者需要修改的地方,及时对应急预案进行修订。
本公司网络与信息安全事件应急预案为部门预案, 由本公司信息
中心根据本预案要求, 负责制定和修订, 依据处置网络与信息安全事 件分工,由信息中心负责起草和解释。
(1)信息安全领导小组成员
部门 董事长 CEO 运营中心 研发中心 硬件中心 资源支持中心
姓名
角色 组长 成员 成员 成员 成员 成员
联系方式
(2)信息中心成员
部门 部门经理 部门成员 部门成员 部门成员 部门成员 部门成员
姓名 角色 经理 系统管理员 网络管理员 安全管理员 安全宣传员 安全审计员
联系方式
(3) 应急专家组 (安全公司信息安全专家、外聘信息安全专家或者单位信息安全专家相关人员)
单位 姓名 角色 联系方式
(1) 信息安全事件处理记录表
服务编号:
故障类型
□网络攻击/□灾害事件/□内容安全/ □信息破坏/□有害程序/□设备故障/□其他:
安全应急事件描述:
简单对事件进行描述(影响的业务系统、业务范围、发现事件等)
报告人 报告时间 年 月 日 所在部门 报告人电话
检测范围:
描述检查的范围
检测方案:
依照检测方案进行服务器系统测试、系统漏洞测试、网络安全事件检测、抓包测试和 拒绝服务事件检测
检测情况及结果:
描述检查到的情况与结果
服务工程师
服务时间
年 月 日
业务恢复方案:
过程及结果:
服务工程师
服务时间
年月日
根除方案:
通过恢复手段业务运行已恢复
根除过程及结果:
服务工程师 XXX 服务时间 年 月 日
(2)电话通知记录表
日期 时间 致电人 号码 工作要求
因篇幅问题不能全部显示,请点此查看更多更全内容