1、网络与信息系统应急预案第一章总则第一条为科学应对网络与信息安全突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,从而最大限度地保障业务正常运营,维护公司和客户的利益,根据*金融租赁有限公司突发事件总体应急预案(以下简称总体应急预案)、*金融租赁有限公司灾害性事件应急预案等有关规定,结合公司实际情况,制定本预案。第二条本预案适用于下列具有重大影响的突发灾害性事件的应对处置工作:(一)自然灾害。发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流和海啸等自然灾害可能或者已对公司网络及信息系统造成危害的。(二)安全事件。发生营业办公楼倒塌和大的交
2、通运输、设备事故等安全事件可能或者已对公司网络及信息系统造成危害的。(三)信息安全事件。发生网络攻击、信息泄露、病毒爆发、系统瘫痪等信息安全事件可能或者已经对公司网络及信息系统造成危害的。第三条工作原则防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。第二章组织管理第四条公司成立网络及信息系
3、统安全事件应急领导小组。应急领导小组由总经理任组长,综合管理部门、计划财务部门、审计稽核部门以及发生信息安全事件部门的负责人为成员。第五条综合管理部门负责网络及信息安全突发事件应急工作的组织实施,及时向总经理报告重要情况和提供决策建议,督促落实应急处置措施,指导和协助有关部门做好网络及信息系统安全事件的预防预警、应急处置和恢复等工作。第三章预防预警第六条预防(一)积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件建立制度化、程序化的处理流程。(二)综合管理部门进行
4、信息安全监测、分析和预警工作,进一步提高信息安全监察执法能力,加大对计算机犯罪的打击力度。(三)加强数据的安全防护,落实数据备份和数据保存制度。(四)针对灾害事故的应急处理,经常性地组织培训和模拟演练。第七条预警各部门根据收集到的信息判断即将发生或者可能发生灾害事件时,要立即通过综合管理部门向网络及信息系统安全事件应急领导小组汇报,网络及信息系统安全事件应急领导小组判断灾害事件的真实性,根据灾害事件等级和波及、影响范围,以及突发事件总体应急预案规定,通过综合管理部门向总经理报告并按照有关规定向银监会、公共卫生等有关政府部门报告,或向社会公众发布相关风险提示信息。第四章网络及信息系统的风险评估第
5、八条信息系统的安全风险是指由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响。信息系统安全风险评估主要是对信息系统所面临威胁的评估和信息系统脆弱性的评估。第九条信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体,信息系统所面临的威胁主要是来自以下几个方面:(一)通过网络进入信息系统的行为人;(二)通过物理方式接近信息系统的行为人;(三)系统缺陷造成的威胁;(四)病毒和恶意代码的威胁;(五)自然灾害的威胁。第十条信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点,它由以下两个方面组成:(一)技术脆弱性:主要是指信息系统技术方面存在
6、的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。(二)组织脆弱性:由于信息系统管理组织的问题,导致信息系统被威胁因素所利用,造成对系统的不良影响。第十一条信息系统的安全风险评估要解决下列问题:(一)信息系统的安全需求是什么。(二)当前的状况能否满足信息系统安全运行要求。(三)系统所面临的威胁有哪些。(四)这些威胁对信息系统业务的潜在影响如何。(五)系统中存在哪些技术隐患以及在组织管理上存在哪些薄弱环节。(六)问题产生的原因是什么。(七)结合实际情况应采取那些对策解决问题。第十二条信息系统安全风险评估工作由综合管理部门牵头,由参与信息系统建设和使用的各部门派遣专人参加。信息系统安全评估的
7、结果及其对策应及时上报给总经理。综合管理部门负责落实安全策略的制定和实施。第五章网络及信息系统安全策略的制定和实施第十三条网络及信息系统安全策略的制定和实施包括两个方面的内容:(一)网络及信息系统安全管理策略;(二)网络及信息系统安全运行策略。第十四条网络及信息系统安全管理策略规定了针对信息系统的组织管理和技术管理的安全保护策略,主要包括如下几个方面:(一)信息系统组织策略;(二)安全贯彻策略;(三)人员安全策略;(四)物理和环境安全策略。第十五条综合管理部门负责制定网络及信息系统安全管理策略,并形成公司管理文件下发给各部门。第十六条网络及信息系统安全运行策略规定了信息系统安全运行中的安全保护
8、策略,主要包括如下几个方面:(一)信息系统访问控制策略。包含:强口令设置管理、身份认证管理、访问外网控制、用户身份及权限及时更新。(二)网络边界安全策略。包括网络访问控制,网络入侵检测。网络访问控制主要任务是保证网络资源不被非法使用和非法访问。网络入侵检测通过捕获网络数据包,分析是否存在入侵行为,实时发现攻击行为,并立即预警,为动态网络安全防御提供良好的基础设备支持。(三)网络系统安全策略。主要包括线路冗余,网络设备冗余,服务器的高可用性。线路冗余是为了保证网络系统承载的各项应用系统不受线路故障的影响仍能正常、连续运行的重要措施。网络设备冗余主要是对网络核心交换机、路由器等网络设备实行设备冗余
9、,保证在设备发生故障的情况下能够及时切换,将系统的损失降至最低。服务器的高可用性主要是采用双机热备份或互备措施,对计算要求高的可采用群集或负载均衡技术。(四)计算机系统平台安全策略。它包括计算机防病毒体系的建立,信息系统的审计,主机入侵检测和系统加固。防病毒体系的建立主要是指在整个信息系统中安装能够统一的、实时更新病毒库并制定统一杀毒策略的网络版防病毒软件。信息系统的审计主要是通过网络安全审计系统、安全设备审计系统、操作系统审计系统实现对系统安全的监管。网络及信息系统安全运行策略由综合管理部门负责实施,其他部门应给予配合。第六章应急处置第十七条信息报告(一)报告程序和时限要求1.结合灾害性事件
10、应急预案的规定,发生特别重大灾害性事件应在2小时内报告综合管理部门,由综合管理部门按规定向地方政府和银监会派出机构等有关单位报告。2.结合灾害性事件应急预案的规定,发生重大灾害事件不得晚于接报后6小时或事发后12小时报告综合管理部门,由综合管理部门按规定向地方政府和银监会派出机构等有关单位报告。3.结合灾害性事件应急预案的规定,发生较大和一般灾害性事件不得晚于接报后8小时或事发后16小时报告综合管理部门。(二)报告方式和内容1.可根据具体情况分别采取电话、传真、电子邮件、派人汇报等方式。发生特别重大灾害事件或重大灾害事件,可先电话报告或当面汇报,然后再书面报告。2.灾害报告的内容主要包括灾害性
11、事件发生的地点和时间、灾害类型、灾害的规模、可能的引发因素、发展趋势和拟采取或已经采取的措施等。第十八条信息收集公司各部门应最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。第十九条应急处理(一)一般应急处理措施1.事件发生部门应初步检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。2.事件发生部门应抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修
12、改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。3.在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,综合管理部门对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级
13、用户的访问权,一次完整的恢复应强制性地修改所有的口令。(二)网站、网页出现非法言论事件紧急处置措施1.网站、网页由相关部门的值班人员负责随时密切监视信息内容。2.发现在网上出现非法信息时,值班人员应立即向综合管理部门的信息安全负责人通报情况。3.信息安全负责人应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。4.追查非法信息来源,并将有关情况向网络及信息系统安全事件应急领导小组汇报。5.网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则由综合管理部门立即向公安部门报警。(三)黑客攻击事件紧急
14、处置措施1.当有关值班人员发现网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,应立即向信息安全负责人通报情况。2.信息安全负责人应在接到通知后立即赶到现场,并首先将被攻击的服务器等设备从网络中隔离出来,保护现场,并将有关情况向网络及信息系统安全事件应急领导小组汇报。3.对现场进行分析,并写出分析报告存档。4.恢复与重建被攻击或破坏系统。5.网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则由综合管理部门立即向公安部门报警。(四)病毒事件紧急处置措施1.当发现有计算机被感染上病毒后,应立即向信息安全负责人报告,将该机从网络上隔离开来。2.信息安全负责人在接到通报后
15、立即赶到现场。3.启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。4.如果现行反病毒软件无法清除该病毒,应立即向网络及信息系统安全事件应急领导小组报告,并迅速联系有关产品商研究解决。5.网络及信息系统安全事件应急领导小组经会商,认为情况严重的,应由综合管理部门立即向公安部门报警。(五)软件系统遭破坏性攻击的紧急处置措施。重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向网络及信息系统安全事件应急领导
16、小组汇报,再恢复软件系统和数据;网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则由综合管理部立即向公安部门报警。(六)数据库安全紧急处置措施。主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责人报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。(七)电话网及城域网外部线路中断紧急处置措施1.电话网及城域网线路中断后,值班人员应立即向信息安全负责人报告。2.信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。3.如属公司管辖范围,由信息安全工作人员立即予以恢复。4.如属电信部门管辖范围,立即
17、与电信维护部门联系,要求修复。(八)设备安全紧急处置措施。如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如不能自行恢复,立即与设备提供商联系,请求派维护人员上门维修。如果设备一时不能修复,应向信息系统安全事件应急领导小组报告。第二十条应急结束。突发灾害性事件应急处置工作基本完成,事件危害被基本消除,经信息系统安全事件应急领导小组研究或总经理批准后,终止应急状态。应急处置工作结束后,应将情况及时通知参与事件处置的各部门,必要时还应通过广播电台、电视台和新闻媒体向社会发布应急结束消息。第七章善后工作第
18、二十一条善后处置。应急结束后要组织力量开展灾害性事件损害核定工作,及时处理现场,对事件情况、恢复能力等做出评估,制定事后恢复计划并实施。凡发生水灾、地震等重大自然灾害及安全事件,要迅速通知保险经纪公司、保险公司对公司财产损失进行勘察、核准,以开展保险受理、赔付工作,尽量减少公司资产损失。第二十二条评估分析。在灾害事件性处置结束后,综合管理部门对事件的起因、影响、责任、应急预案和措施的有效性等进行全面评估,总结经验教训,制定改进措施,并在15日内向总经理提交总结报告,其他部门应给予配合。第二十三条问责与处罚。在调查评估的基础上,应按照管理权限和组织程序,对事件责任人员实行问责与处罚。对在预防和处
19、置灾害性事件工作中,由于不按规定制定应急预案或及时报告、及时处置,或处置失当并造成严重后果的,要依照有关规定给予相应处分乃至移送司法机关处理等处罚。第二十四条奖励与表彰。对在预防和处置灾害性事件工作中作出突出贡献的集体和个人,可予以表彰奖励;对因参与应急处理工作致病、致残、死亡的人员,可按有关规定给予相应的补助和抚恤。第八章应急保障第二十五条技术支撑保障。综合管理部门应进一步提高安全事件的发现和分析能力,从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。第二十六条应急队伍保障。加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息
20、安全核心人才和管理队伍,提高全公司信息安全防御意识。第二十七条物资条件保障。安排公司信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。第二十八条技术储备保障。信息系统安全事件应急领导小组组织相关人员,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。第九章宣传、培训和演习第二十九条公众信息交流。综合管理部门在应急预案修订、演练的前后,应利用公司各种方式开展宣传;不定期地利用各种安全活动向公司员工宣传信息安全应急法律、法规和预防、应急的常识。第三十条人员培训。为确保信息安全应急预案有效运行,信息系统安全事件应急领导小组定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。第三十一条应急演习。为提高信息安全突发事件应急响应水平,综合管理部门定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。第十章附则第三十二条本预案由总经理办公会议通过,通过之日起执行。
浙ICP备2021020529号-1 | 浙B2-20240490 
