IT信息系统应急专项预案.docx

1、计算机信息系统事故处理应急预案1 目标为妥善应对和处理XXXX股份计算机信息系统突发事件，保障XXXX股份业务正常运行，依据中国计算机信息系统安全保护条例、中国计算机信息网络国际联网安全保护管理措施等相关法规文件精神，结合企业实际情况，特制订本应急预案。目标在于维护XXXX股份信息系统正常运行，深入完善信息系统管理机制，提升突发事件应急处理能力。2 适用范围适用对象：XXXX技术部业务范围：适适用于预防及处理计算机信息系统突发事件。3 职责及权限角色职责及权限领导小组1. 负责领导、统一协调、组织开展企业计算机信息系统应急管理工作，紧急处理计算机信息系统重大应急事件和隐患。2. 发生重大计算机

2、信息系统突发事件时，负责开启本预案，下达应急任务。网络维护部门、软件维护部门1. 负担计算机信息系统事故应急处理工作2. 负责实施各项应急方法，定时开展和布署应急预案培训工作。3. 依据领导小组下达命令和指示，负责组织指挥、协调应急行动，完成应急任务。稽核部门1. 负责监督处理工作及验证处理工作。4 应急方法和工作程序4.1 应急方法 一、企业网站、网页出现非法言论事件紧急处理方法1.企业行政人员负责查看企业网页信息，发觉在网页上出现非法信息时，应立即向领导小组办公室责任人汇报；情况紧急，在保留原始信息后，应先采取删除等处理方法，再按程序汇报。2.信息安全技术人员应在接到汇报后首先做好必需统计

3、，清理非法信息，妥善保留相关统计及日志，强化安全防范方法，并将网站网页重新投入使用。3.追查非法信息起源，并将相关情况向领导小组责任人汇报。 4.领导小组办公室责任人根据事态严重程度，决定是否并向政府信息化主管部门汇报和公安部门报警。二、黑客攻击事件紧急处理方法1. 恢复还没有得到或破坏机密数据被入侵系统（1）、先对系统目前状态做一个备份，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，再断开和她网络连接，经过添加防火墙规则来阻止。 （2）、修改数据库管理员帐号名称和登录密码，重新为操作数据用户建立新帐户和密码，而且修改数据库访问规则。2. 恢复已经得到或删除了机密数据被入侵系统发

4、觉系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分机密数据，应立即断开和攻击源网络连接。断开和攻击源连接后，应该立即分析数据损失范围和严重程度，了解哪些数据还没有被影响到，并立即将这些没有影响到数据进行备份或隔离保护。3.领导小组办公室责任人根据事态严重程度，决定是否并向政府信息化主管部门汇报和公安部门报警。三、病毒事件紧急处理方法1.当信息安全技术人员发觉有计算机被感染上病毒后，应立即将该机和网络隔离。假如短时间内无法处理完成，需要开启备用设备。2.信息安全技术人员对该计算机进行数据备份。3.启用反病毒软件对该机进行杀毒处理，同时经过病毒检测软件对其它该网络中计算机进行病毒扫描和清除

5、工作。4.假如现行反病毒软件无法清除该病毒，应立即向领导小组责任人汇报，并快速联络有处理能力软件厂商研究处理。5.病毒清除，经过专业检测后，隔离设备可重新投入使用。四、软件系统遭破坏性攻击紧急处理方法1.关键软件系统日常维护时必需指定专员负责，将它们备份并保留于安全处。2.一旦软件遭到破坏性攻击，信息安全技术人员应立即向领导小组办公室责任人汇报，并将该系统停止运行。3.信息安全技术人员检验信息系统日志等资料，确定攻击起源，并将相关情况向领导小组办公室责任人汇报，再恢复软件系统和数据。五、数据库安全紧急处理方法1.关键数据库系统应按要求做好数据库备份。 2.一旦数据库瓦解，信息安全技术人员应立即

6、开启备用系统，并向领导小组负责责人汇报。3.在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。4.假如系统瓦解而无法恢复，技术员应立即向领导小组办公室责任人汇报，并联络有处理能力厂商请求紧急支援。六、广域网外部线路中止紧急处理方法1.信息安全技术人员接到汇报后，应快速判定故障节点，查明故障原因。2.如属企业内部网络原因造成，应立即处理。3.如因为网络接入商造成，应立即联络网络供给商并令其立即处理。七、局域网中止紧急处理方法1.信息化管理机构应指定人员负责对网络设备日常管理工作。2.局域网中止后，信息安全技术人员应立即判定故障节点，查明故障原因，并向领导小组办公室责任人汇报，

7、同时做好故障统计。3.如属路由器、交换机等网络设备故障，信息安全技术人员应立即更换故障设备，并调试通畅。4.如属路由器、交换机配置文件破坏，信息安全技术人员应快速根据要求重新配置，并调测通畅。八、设备安全紧急处理方法1.服务器等关键设备损坏后，信息安全技术人员立即查明原因。2.假如短时间内无法处理，应该立即启用备用设备，确保业务连续性。3.假如能够自行修复，应立即用备件替换受损部件。 4.如属不能自行修复，立即和设备提供商联络，要求派维护人员立即前来维修。出现应急事故依据应急方法实施应急响应确定和验证统计4.2 工作程序。 5 验证依据应急问题发觉路径不一样，分别由部门总经理、内审员、分管副总对纠正和预防方法实施进行确定，并对方法实施情况进行监控和验证，直至方法项关闭。监控、验证内容关键包含以下多个方面：1. 各项方法是否全部落实；2. 是否达成预期效果；3. 相关统计是否保留；4. 包含用户，是否最终使用户满意。5. 每十二个月由ISO9000标准和ISO27001标准外部审核人员对应急处理情况进行检验。