国有网络与信息安全事件应急模版.docx

1、网络与信息安全事件应急预案 有限公司二一二年一月 目 录 第一章 总 则 .204 第二章 组织指挥体系及职责 .205 第三章 预防及预警机制 .208 第四章 工作程序 .209 第五章 应急保障 .212 第六章 监督管理 .212 第七章 附 则 .213 附件一：网络与信息安全事件应急响应流程.214 附件二：网络与信息安全事件类型与等级划分.215 附件三：分项应急预案.217 附件四：网络与信息安全事件处理记录.221 附件五：应急处置联系人与联系方式.222 第一章 总 则 第一条 编制目的 为提高公司应对网络与信息安全事件的能力，形成科学、有序、反应迅速的应急工作机制，有效预

2、防、及时控制和最大限度地消除各类网络与信息安全突发事件带来的危害和影响，确保信息系统稳定运转和数据安全，特制定有限公司网络与信息安全事件应急预案（以下简称预案）。 第二条 编制依据 根据中华人民共和国突发事件应对法、中华人民共和国计算机信息系统安全保护条例、计算机病毒防治管理办法等法律法规，以及国家突发事件总体应急预案、网络与信息安全事件应急预案、信息安全技术信息安全事件分类分级指南(GB/Z20986-2007)、市突发公共事件总体应急预案、市网络与信息安全事件专项应急预案、中国股份有限公司总部网络与信息安全事件应急预案、关于成立有限公司信息化工作领导小组和信息化建设工作小组的通知（技201

3、1116号）等相关规定，并结合企业实际情况而制定。 第三条 适用范围 本预案适用于公司范围内发生和可能发生的网络与信息安全事件，指导应急处置工作。 第四条 工作原则 按照“统一指挥、密切协同、快速反应、科学处置”的要求，对网络与信息安全事件进行防范、监测、预警、报告、响应和控制。 一、 统一领导，分级处置。依照“谁主管谁负责、谁使用谁负责”及“条块结合”的工作思路，建立和完善安全责任制及联动工作机制。 二、 预防为主，加强日常信息化管理工作，做好网络和信息系统的监控，及时发现网络与信息系统异常。三、依规处置，协调应对，调动一切力量，快速恢复，控制网络和信息系统突发事件影响和危害范围。 四、充分

4、利用技术创新，注重突发事件的后期分析和评估，举一反三，避免事件再次发生。 第五条 事件类型与等级划分 一、 网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等类型，各事件类型含义见附件二。 二、 按照事件的严重性、敏感性、紧急程度和影响范围，划分为一级事件（特别重大）、二级事件（重大）、三级事件（一般），具体分级标准见附件二。 第二章 组织指挥体系及职责 第六条 组织机构 在公司信息化工作领导小组的统一领导下，成立公司网络与信息安全事件应急处置领导小组（以下简称“领导小组”）。领导小组设正、副组长各一名，可以根据突发事件等级成立业务、技

5、术、协调及调查评估等工作组。 组 长：总工程师 副组长：技术中心主任 小组成员：董事会监事会办公室主任、公司办公室（党委办公室）主任、企业发展部（法律事务部）部长、监察审计部部长、财务部部长、投资部部长、工程经济部部长、安全质量部部长、人力资源部（党委干部部）部长、工程管理部部长、党委工作部部长、市场营销部部长、国际业务部部长、社会事业管理中心主任、工会副主席、团委书记。 领导小组下设应急处置办公室，办公室设在技术中心，办公室主任由技术中心主任担任。工作组成员由技术中心信息化工作人员、业务信息系统相关部门维护人员、设备和系统供应商技术服务人员、网络运营商技术专家、社会事业管理中心及机关办公楼物

6、业管理人员等相关人员组成，各组设一名负责人，由领导小组统一领导。工作组人数视突发事件等级进行适当调整。根据各部门业务涉及信息化相关内容，成立以下日常网络与信息安全事件应急处置工作组。 1、 信息化基础设施应急处置工作组： 组长：技术中心主任 组员：技术中心3人、财务部1人、党委工作部1人、社会事业管理中心1人、设备和系统供应商技术服务人员、网络运营商技术专家、物业管理人员若干。 2、 综合项目管理信息系统应急处置工作组： 组长：工程管理部部长 组员：工程管理部3人、市场营销部1人、工程经济部1人、法律事务部1人、安全质量部2人、技术中心2人、系统供应商技术服务人员若干。 3、 物资管理和劳务管

7、理信息系统应急处置工作组： 组长：工程管理部部长 组员：工程管理部2人（物资管理和劳务管理各1人）、系统供应商技术服务人员若干。 4、 人力资源管理信息系统应急处置工作组： 组长：人力资源部部长 组员：人力资源部2人、系统供应商技术服务人员若干。 5、 财务管理信息系统应急处置工作组： 组长：财务部部长 组员：财务部2人（财务信息和资金管理各1人）、系统供应商技术服务人员若干。 6、办公管理和档案资料管理信息系统应急处置工作组：组长：公司办公室主任 组员：公司办公室2人、技术中心1人、工程管理部1人、财务部1 人、系统供应商技术服务人员若干。 7、 企业门户网站应急处置工作组： 组长：党委工作

8、部部长 组员：党委工作部1人、技术中心1人、系统供应商技术服务人员若干。 8、 后勤保障工作组： 组长：社会事业管理中心主任 组员：社会事业管理中心1人、物业管理人员若干。 9、 调查评估工作组： 组长：监察审计部部长 组员：监察审计部1人、应急事件处置主责部门1人。 第七条 工作职责 公司网络与信息安全事件应急处置领导小组职责： 一、 负责编制、修订公司网络与信息安全事件应急预案； 二、 组织与协调公司内部各部门之间、公司与网络运营商之间的网络与信息安全事件应急工作； 三、 根据事件分级制定响应工作流程，及时组织对所辖范围内网络与信息安全事件进行应急处置、善后工作和事后评估； 四、 组建网络

9、与信息安全事件应急处置队伍，组织培训演练。 应急处置办公室负责信息收集、事件研判、报告领导小组、布置预案、响应工作等日常工作。应急处置工作组负责本部门主责的业务信息系统的信息收集和研判处置。 第三章 预防及预警机制 第八条 风险源的识别与分析 公司每年将组织检查分析网络与信息系统的风险，记录、分析、识别出各种风险源，并及时报告，采取措施。随着信息技术的变化和发展，及时更新病毒库，分析识别以木马、病毒、漏洞为主体的风险源，控制来自内、外部网络的攻击，有效保护数据安全。 第九条 预防机制 一、 加强网络与信息系统的实时监控，对告警信息早发现、早报告、综合分析并进行评估； 二、 加强对核心网络配置信

10、息和信息系统数据的备份工作； 三、 做好安全信息的记录和处理，每月对网络和信息系统进行安全审计和漏洞扫描； 四、 提高员工的责任意识，发现问题及时报告，迅速控制网络与信息安全事件，防止处理拖延； 五、 建立网络与信息安全事件应急处置工作的学习交流机制，交流经验，提高应急处理能力。 第十条 预警机制 对于可能发生的网络与信息安全事件建立预警处理机制，识别鉴定安全信息，提前预警，明确影响范围，理顺信息传递渠道，加强监督与管理，落实责任制，实现全过程监控。 一、 对来自国家安全部门或上级部门的告警信息、日常状况监测与分析数据、员工反馈的相关信息，预示网络与信息安全事件可能或即将发生时，领导小组应急处

11、置办公室应及时核实，确认预警，启动预警工作。 二、 进入预警状态后，应及时采取以下措施： 按照规定发布网络与信息安全事件预警公告； 立即对预警事件进行重点监控，随时掌握事态进展情况； 协调相关技术人员，研究制定现场处置方案，组织实施； 针对安全事件可能造成的影响，及时报告有关部门，做好处置准备。 第十一条 应急准备 为保证网络与信息安全事件的及时应对，领导小组应根据实际情况，制定应急值班计划，确保到岗到人，做到联络畅通，信息准确，处理及时。 一、 建立安全可靠、稳定运行的机房环境，做好应急用电准备，强化防火、防盗等突发事件应对技能培训； 二、 网络和信息系统须采用稳定可靠的硬件设备，做好数据备

12、份工作，遵守安全操作规范，采取安全可靠的防病毒措施，加强用户的安全技术培训； 三、 采用具有入侵检测功能的网关设备，监测恶意攻击、木马、病毒等非法侵入，建立网关控制、内容过滤等控制手段，防止有害信息经过网络传播； 四、 建立监测和追溯机制，避免非法接入和虚假路由信息等危害网络与信息安全。 第十二条 分项应急预案 按照相关性分类，对机房电源、空调、供水、消防系统等机房环境设施，信息化设备、软件、系统等故障，黑客攻击、设备被盗或人为损坏等安全突发事件制定分项应急预案，详见附件三。 第四章 工作程序 第十三条 响应处置程序 一、工作流程（详见附件一） 网络与信息安全事件发生后，应立即启动应急预案；

13、及时处置、控制事态发展，防控蔓延； 判断事件性质、影响、危害和可能波及的范围，提出应对措施和建议； 按事件响应级别，在处置的同时，依规及时上报； 做好事件发生、发展、处置的相关记录和证据留存。 二、分级响应 根据事件等级，一级、二级和三级分别由公司信息化工作领导小组、应急处置领导小组办公室、技术中心或业务部门组织应急处置工作，及时调集技术力量，研究对策，提出实施处置方案建议，掌握事件动态，控制事态，防止蔓延。 第十四条 信息报告一、报告原则 网络与信息安全事件的变化动态、应急措施、处置结果等信息应按照 “即现即报、核实准确、处报同步、追踪反馈”的要求，及时报送网络与信息安全事件应急处置领导小组

14、办公室。 二、 报告程序 网络与信息安全事件发生后，应立即报相关业务信息系统网络与信息安全事件应急处置工作组组长，同时进行初步核实，并做好详细记录。随后立即上报网络与信息安全事件应急处置领导小组办公室。一级事件由应急处置领导小组在1小时内上报公司信息化工作领导小组。 三、 报告方式与内容 网络与信息安全突发应急事件报告分为初报、续报和处理结果报告。初报从发现事件后15分钟内上报；续报在查清有关基本情况后随时上报；处理结果与评估报告在事件处理和评估完毕后立即上报。报告应采用口头、电话、网络、书面等适当方式，避免造成不利影响。 初报可用口头、电话直接报告，主要内容包括：事发时间、事发地点、事发原因

15、、现状、影响范围和程度等初步情况。 续报可以通过电话、书面或网络报告，在初报的基础上报告有关确切的数据，事发的原因、过程、进展情况及采取的应急措施等。 处理结果和事后评估报告采用书面报告，在初报和续报的基础上，报告处理事件的措施、过程和结果，事件潜在或间接影响、社会影响、处理后的遗留问题，参加处理工作的有关部门和工作内容，工作改进建议等。 第十五条 应急终止一、应急结束的条件： 事件已经得到控制，并恢复到安全状态； 造成事件的安全危害已经消除； 事件的应急处置行动已无继续的必要。 二、宣布应急结束 突发事件应急处置结束指令由网络与信息安全应急处置领导小组组长或被授权人下达。 第十六条 后期处置

16、和事后评估 网络与信息安全事件得到初步控制后，应及时推进后期处置工作，防微杜渐，避免事件再次发生。根据应急处置中暴露出的管理、协调和技术问题，改进和完善预案，总结经验教训，做好整改工作，恢复正常状态。 应急处置工作结束后，应急处置领导小组办公室应通知调查评估工作组，一周内对事件发生原因、性质、影响、后果、责任及恢复方案、应急处置能力、恢复整改、处理意见等问题进行全面调查和评估，做出事件评估报告。 评估报告内容包括以下要素：事件发生时间、地点、原因、事件类型及性质、危害和损失程度、影响范围及业务、采取的处置措施和工作改进建议等。 应急处置领导小组根据评估报告，对安全事件中瞒报、漏报、迟报信息及其

17、他失职行为的部门和个人，按公司有关规定追究责任。 第五章 应急保障 第十七条 通信保障 网络与信息安全事件应急处置领导小组办公室负责收集、发布并及时更新应急处置工作人员的联系方式，应急处置工作人员应确保24小时通讯畅通。 第十八条 设备保障 公司应预留一定数量的核心网络与信息系统的备品备件，并维持在可工作状态，对电力、空调等网络机房环境基础设施应考虑冗余能力。 第十九条 数据保障 信息化基础设施应急处置工作组应安排专职人员对核心网络配置建立备份制度；各信息系统应急处置工作组应安排部门专职人员对主责业务信息系统数据建立备份制度。保证重要数据在受到破坏后可紧急恢复。 第二十条 队伍保障 人力资源部

18、应建立保障网络与信息系统安全运转的技术支持队伍，并加强培训。每年至少开展一次面向全企业员工的网络与信息安全教育。 第二十一条 预演保障 公司网络与信息安全事件应急处置领导小组负责每年安排一次应急演练，建立定期预案演练制度。通过演练，发现和解决应急工作中存在的问题，不断完善应急预案，提高应急处置能力。 第六章 监督管理 第二十二条 公司网络与信息安全事件应急处置领导小组将不定期组织检查公司的制度、计划、方案、人员及设备等状况，对在网络与信息安全事件应急处置中做出突出贡献的集体和个人，提出表彰奖励建议。对玩忽职守，造成不良影响或严重后果的，依法依规向公司信息化工作领导小组提出处理意见，按照公司有关

19、规定追究其责任。 第七章 附 则 第二十三条 本预案由公司技术中心负责解释。 第二十四条 本预案自发布之日起执行。 附件一： 网络与信息安全事件应急响应流程 附件二： 网络与信息安全事件类型与等级划分 一、网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。 有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。 信息破坏事件分为信息篡改事

20、件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。 信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。 设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。 灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。 二、按照事件的严重性、敏感性、紧急程度和影响范围，公司网络与信息安全事件划分为一级事件（特别重大）、二级事件（重大）、三级事件（一般）。 （一） 凡符合下列情形之一的，为一级(特别重大)事件： 严重影响公司业务，对社会、公司、成员企业影

21、响巨大，核心业务中断30分钟以上，预计2小时内无法恢复，需引起高度重视，并立即着手处理的重大突发事件。包括： 公司的局域网和企业专网全面瘫痪； 公司关键业务服务器故障，系统全面瘫痪； 公司中心机房供电系统或关键服务器等重要设备电源故障； 病毒攻击导致核心系统崩溃； 公司核心信息系统、应用系统的数据被篡改、假冒、泄漏、窃取； 有必要提升级别的二级突发事件。 （二） 凡符合下列情形之一的，为二级(重大)突发事件： 严重影响公司大部分部门或部分成员企业业务，对社会、公司、成员企业影响较大，对处理时效要求较高的业务已中断30分钟以上，预计2 小时内无法恢复，需引起高度重视，并迅速着手处理的紧急突发事件

22、。包括： 公司接入网络运营商互联网网络局部中断； 公司重要应用系统网络中断； 公司重要应用系统主服务器故障； 公司网络与信息系统服务器电源故障； 病毒攻击导致公司重要应用系统崩溃； 有必要提升级别的三级突发事件。 （三） 凡符合下列情形之一的，为三级(一般)突发事件： 影响部分公司业务，对处理时效要求不高的业务中断60分钟以上，预计4小时内无法恢复，需引起重视，并需尽快着手处理的突发事件，包括： 公司一般应用系统和其他辅助功能系统网络中断； 公司一般应用系统和其他辅助功能系统服务器故障； 公司一般应用系统和其他辅助功能系统服务器电源故障； 病毒攻击导致公司一般应用系统和其他辅助功能系统崩溃；

23、公司内部办公网及通讯网络中断。 附件三： 分项应急预案 一、 机房漏水应急预案 发生机房漏水时，第一目击者应立即通知技术中心，机房值班员接报后立即前往事发地； 若空调系统出现渗漏水，机房值班员立即通知社会事业管理中心和物业进行处理,并及时清除机房积水； 若墙体或窗户渗漏水，机房值班员立即采取有效措施确保机房安全，同时通知社会事业管理中心和物业及时清除积水，维修墙体或窗户，消除渗漏水隐患。 二、 机房长时间停电应急预案 接到长时间停电通知后，机房值班员及时部署应对具体措施，要求用户在停电前停止业务、保存数据； 机房值班员及时与物业联系,使用备用电源，并尽早恢复供电，保证信息系统正常运行。 三、

24、机房、弱电间火灾应急预案 当出现火情、火灾时，发现人员在最短时间内通知社会事业管理中心和技术中心。若火情严重，迅速拨打119电话报警，尽可能采取一些简单可行的方法作初步处理，如：使用周围的灭火器、水源（在允许用水灭火的场合）或采用其他灭火措施、手段，进展情况随时向领导小组报告； 机房出现火情并无法进行局部处理时，机房值班员在紧急报告领导小组的同时，立即疏散机房楼层内的员工。在自动灭火系统未启动时，按下紧急启动气体灭火装置按钮； 处置结束后,机房值班员将事发经过、影响、处置结果在调查工作结束后一日内书面报告领导小组。 四、 不良信息和网络病毒事件应急预案 发现不良信息或网络病毒时，网络管理员立即

25、断开网络，终止不良信息或网络病毒传播，并报告技术中心； 网络管理员根据领导指令，采取隔离网络等措施，及时杀毒或清除不良信息，并追查不良信息来源； 事态或后果严重的，网络管理员及时报告领导小组；领导小组视情况上报公司信息化工作领导小组； 处置结束后,网络管理员将事发经过、影响、处置结果在调查工作结束后一日内书面报告领导小组。 五、 通信网络故障应急预案 发生通信线路中断、路由故障、流量异常、域名系统故障后，网络管理员及时查清通信网络故障位置，隔离故障区域，并通知相关通信网络运营商解决，同时组织检测处理故障区域，逐步恢复通信网络，保证正常运转； 事态或后果严重的，网络管理员及时报告领导小组； 应急

26、处置结束后，网络管理员将故障分析报告，在调查结束后一日内书面报告领导小组。 六、 核心设备硬件故障应急预案 发生核心设备硬件故障后，网络管理员及时报告技术中心，并组织查找、确定故障设备及原因，进行先期处置； 若故障设备在短时间内无法修复，网络管理员应联系厂商或供应商，安装替代或备份设备，保持系统正常运行，将故障设备脱离网络，进行故障排除工作；在故障排除后，适时替换备用设备； 事态后果严重的，网络管理员及时报告领导小组；领导小组视情况上报公司信息化工作领导小组。 七、 服务器软件系统故障应急预案 发生服务器软件系统故障后，网络管理员立即组织检查出现故障的原因并尽快排除； 如遇重大故障不能解决时，

27、立即联系软件开发单位或设备供应单位共同查找原因，了解故障程度，着手抢修； 如果超过2个小时还未修复完毕，严重影响了业务工作的正常进行，通知相关业务单位采用其他方式尽力完成业务工作，待系统修复后转给业务系统； 如遇数据库损坏等重大事故时，小心将备份文件还原，避免重要数据的丢失； 事态或后果严重的，及时报告领导小组；领导小组视情况上报公司信息化工作领导小组； 处置结束后,网络管理员将事发经过、处置结果等在调查工作结束后一日内报告领导小组。 八、黑客攻击事件应急预案 当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管

28、理者应断开网络，并立即报告网络管理员； 接报告后，网络管理员核实情况，关闭服务器或系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录帐号，阻断可疑用户进入网络的通道； 网络管理员及时清理系统，恢复数据、程序，恢复系统和网络正常；情况严重的，应上报领导小组，并请求支援，领导小组视情况上报公司信息化工作领导小组； 处置结束后,网络管理员将事发经过、处置结果等在调查工作结束后一日内书面报告领导小组。 九、设备发生被盗或人为损害事件应急预案 发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告领导小组，同时保护好现场； 领导小组接报后，通知社会事业管理中心、技术中心及相关部门和物业一同核

29、实审定现场情况，清点被盗设备或盘查人为损害情况，做好必要的影像记录和文字记录，并按规定向公安机关报案； 事发部门和当事人应当积极配合相关部门进行调查，并将有关情况向领导小组汇报； 领导小组安排技术中心、事发部门及时恢复设备正常运行，并对事件进行调查；技术中心和事发部门应在调查结束后一日内书面报告领导小组，领导小组视情况上报公司信息化工作领导小组。 附件四：网络与信息安全事件处理记录 网络与信息安全事件应急处理单 事件编号 事件级别 事件名称 事件来源 上报单位 联 系 人 联系电话 传 真 移动电话 其他方式 电子邮件 事件描述（事件原因、发现时间、影响评估等） 处理要求（措施建议、反馈时间要求等） 事件处理过程（包括事件处理过程中涉及的人、单位及具体时间） 结论 经办人 年 月 日审核人 年 月 日备注