网络与信息系统安全防范应急专项预案.doc

网络和信息安全事件应急预案 为确保我企业信息系统安全，加强和完善网络和信息安全应急管理方法，层层落实责任，有效预防、立即控制和最大程度地消除信息安全突发事件危害和影响，确保信息系统和网络通畅运行，结合实际，特制订本应急预案。 一、总则 （一）工作目标 保障信息正当性、完整性、正确性，保障网络、计算机、相关配套设备设施及系统运行环境安全，其中关键维护铁路局办公网络信息系统、多元投资集团办公网络信息系统信息安全。 （二）编制依据 依据《中国计算机信息系统安全保护条例》、《互联网信息服务管理措施》、《计算机网络信息安全保密制度》《涉密存放介质保密管理要求》、计算机网络保密要求“五条禁令，十个不得”等相关法规、要求、文件精神，制订本预案。 （三）基础标准 1、预防为主。依据《计算机信息安全管理要求》要求，建立、健全计算机信息安全管理制度，有效预防网络和信息安全事故发生。 2、分级负责。根据“谁主管谁负责，谁运行谁负责”标准，建立和完善安全责任制。各部门应主动支持和帮助应急处理工作。 3、果断处理。一旦发生网络和信息安全事故，应快速反应，立即开启应急处理预案，尽最大力量降低损失，立即恢复网络和系统运行。 （四）适用范围 本预案适适用于企业所属各单位，企业各部门。 二、组织体系 成立网络和信息安全领导组，为我企业网络和信息安全应急处理组织协调机构。 1．网络和信息安全应急领导组组长由主管领导担任， 组员由各部门责任人及相关人员组成。负责网络和信息安全应急响应工作整体计划、组织协调和决议指挥。 2．网络和信息安全应急领导组下设办公室。由部门主任担任检验组长。 职责： （1）负责和处理应急领导小组日常工作，检验督促应急领导组决定事项落实。 （2）负责网络和信息安全应急预案管理，指导督促关键信息系统应急预案修订和完善，检验落实预案实施情况。 （3）指导全企业应对网络和信息安全突发公共事件预案演练、宣传培训、督促应急保障体系建设。 三、预防预警 1. 信息监测和汇报。 （1）根据“早发觉、早汇报、早处理”标准，加强对企业属各单位、各部门相关信息搜集、分析判定和连续监测。当发生网络和信息安全突发公共事件时，按要求立即向应急领导小组汇报，首次汇报最迟不得超出1小时，重大和尤其重大网络和信息安全突发公共事件实施态势进程汇报和日汇报制度。汇报内容关键包含信息起源、影响范围、事件性质、事件发展趋势和采取方法等。 （2）建立网络和信息安全汇报制度。 发觉下列情况时应立即向应急领导小组汇报： 利用网络从事违法犯罪活动情况； 网络或信息系统通信和资源使用异常，网络和信息系统瘫痪，应用服务中止或数据篡改，丢失等情况； 网络恐怖活动嫌疑情况和预警信息； 其它影响网络和信息安全信息。 2. 预警处理和公布。 （1）对于可能发生或已经发生网络和信息安全突发公共事件，立即采取方法控制事态，并向应急领导小组汇报情况。 （2）应急领导小组接到汇报后，应快速召开应急领导小组会议，研究确定网络和信息安全突发公共事件等级，依据具体情况开启对应应急预案，并向相关部门进行汇报。 四、应急预案 （一）网站、网页出现非法言论时应急预案 1、网站、网页由负责网站维护管理员随时监控信息内容。 2、发觉在网上出现非法信息时，网站管理员立即向信息安全领导小组通报情况，并作好统计。清理非法信息，采取必需安全防范方法，将网站、网页重新投入使用；情况紧急，应先立即采取删除等处理方法，再按程序汇报。 3、网站管理员应妥善保留相关统计、日志或审计统计，将相关情况向安全领导小组汇报，并立即追查非法信息起源。 4、事态严重，立即向上级领导汇报。 （二）黑客攻击或软件系统遭破坏性攻击时应急预案 1、关键软件系统平时必需存有备份，和软件系统相对应数据必需有多日备份，并将它们保留于安全处。 2、当管理员经过入侵监测系统发觉有黑客正在进行攻击时，应立即向局信息安全领导小组日常应急办公室汇报。软件遭破坏性攻击（包含严重病毒）时要将系统停止运行。 3、管理员首先要将被攻击（或病毒感染）服务器等设备从网络中隔离出来，保护现场，并同时向信息安全领导小组汇报情况。 4、日常应急办公室负责恢复和重建被攻击或被破坏系统，恢复系统数据，并立即追查非法信息起源。 5、事态严重，立即向上级领导汇报。 （三）数据库发生故障时应急预案 1、关键数据库系统应定时进行数据库备份。 2、一旦数据库瓦解，管理员应立即进行数据及系统修复，修复困难，可向县信息产业中心汇报情况，以取得对应技术支持。 3、在此情况下无法修复，应向信息安全领导组汇报，在取得许可情况下，可立即向软硬件提供商请求支援。 4、在取得对应技术支援也无法修复，应立即向上级领导汇报，在取得许可、并可在业务操作填补情况下，由信息安全岗人员利用最近备份数据进行恢复。 （四）设备安全发生故障时应急预案 1、小型机、服务器等关键设备损坏后，管理员应立即向上级领导汇报。 2、安全岗责任人员立即查明原因。 3、假如能够自行恢复，应立即用备件替换受损部件。 4、如属不能自行恢复，立即和设备提供商联络，请求派维护人员前来维修。 5、假如设备一时不能修复，应向上级领导汇报，并通知各部门，暂缓上传上报数据，直到故障排除设备恢复正常使用。 （五）内部局域网故障中止时应急预案 1、办公室平时应准备好网络备用设备，存放在指定位置。 2、局域网中止后，网络安全岗责任人员应立即判定故障节点，查明故障原因，并向日上级领导汇报。 3、如属线路故障，应重新安装线路。 4、如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。 5、如属路由器、交换机配置文件破坏，应快速根据要求重新配置，并调测通畅。 6、如有必需，应向上级领导汇报。 （六）广域网外部线路中止时应急预案 1、广域网线路中止后，管理员应向上级领导汇报。 2、管理员应快速判定故障节点，查明故障原因。 3、如属可即时恢复范围，由网络管理员立即给予恢复。 4、如属电信运行商管辖范围，应立即和电信运行商维护部门联络，要求立即修复。 5、假如恢复时间估计超出两小时, 应立即向上级领导汇报。经领导同意后，应通知各部门暂缓上传上报数据。 （七）外部电中止后应急预案 1、外部电中止后，值班室应立即向管理员汇报情况。 2、如因局内线路故障，由行政部通知维修人员快速恢复。 3、假如是局外部原因，由行政部立即和供电局联络，请供电局快速恢复供电；假如供电局通知需长时间停电，提前做好存档工作。 （八）机房发生火灾时应急预案 1、一旦机房发生火灾，应遵照下列标准：首先确保人员安全；其次确保关键设备、数据安全；三是确保通常设备安全。 2、人员灭火和疏散程序是：应首先切断全部电源，同时经过119电话报警。并从最近位置取出灭火器进行灭火，其它人员根据预先确定路线，快速从机房中有序撤出。 五、应急响应 1. 先期处理。 （1）当发生网络和信息安全突发公共事件时，值班人员应做好先期应急处理工作，立即采取方法控制事态，同时向行政部汇报。 （2）行政部在接到网络和信息安全突发公共事件发生或可能发生信息后，加强和相关方面联络，并做好开启本预案各项准备工作。 2. 应急指挥。 预案开启后，要抓紧搜集相关信息，掌握现场处理工作状态，分析事件发展态势，研究提出处理方案，统一指挥网络和信息应急处理工作。 3. 应急支援。 预案开启后，立即成立应急响应先遣小组，督促、指导和协调处理工作。依据事态发展和处理工作需要，立即增派专员小组，调动必需物资、设备，支援应急工作。 4. 信息处理。 （1）应对事件进行动态监测、评定，将事件性质、危害程度和损失情况及处理工作等情况，立即汇报领导，不得隐瞒、缓报、谎报。 （2）要明确信息采集、编辑、分析、审核、签发责任人，做好信息分析、汇报和公布工作。 5. 应急结束。 网络和信息安全突发公共事件经应急处理后，由事发部门向上级领导提出应急结束提议，经同意后实施。 五、后期处理 1. 善后处理。 在应急处理工作结束后，要快速采取方法，抓紧组织抢修受损基础设施，降低损失，立即恢复正常工作。 2. 调查评定。 在应急处理工作结束后，行政部应立即组织相关人员和专员组成事件调查组，对事件发生及其处理过程进行全方面调查，查清事件发生原因及财产损失情况，总结经验教训，写出调查评定汇报，并依据问责制相关要求，对相关责任人员作出处理。 六、保障方法 1. 数据保障。 关键信息系统均应建立备份系统和相关工作机制，确保关键数据在受到破坏后，可紧急恢复。 2. 应急队伍保障。 根据一专多能要求建立网络信息安全应急保障队伍。 3. 经费保障。 落实网络和信息系统突发公共事件应急处理资金。 七、监督管理 1. 宣传教育。 要充足利用多种传输媒介及有效形式，加强网络和信息安全突发公共事件应急和处理相关法律法规和政策宣传，开展预防、预警、自救、互救和减灾等知识宣讲活动，普及应抢救援基础知识，提升公众防范意识和应急处理能力。 要加强对网络和信息安全等方面知识培训，提升防范意识及技能，指定专员负责安全技术工作。并将网络和信息安全突发公共事件应急管理、工作步骤等列为培训内容，增强应急处理工作组织能力。 2.责任和奖惩。 网络和信息系统管理部门要认真落实落实预案各项要求和任务，建立监督检验和奖惩机制。