重大风险应急处理办法.doc

1、重大风险应急与灾备制度1、目的（一） 为增强xx有限公司安全服务中心应对紧急安全事件的能力，规范安全服务应急响应流程，保障用户在遭受到紧急状况时的资产损失降低到最小，并在规范的流程下进行修复，保障业务的连续性和问题的可追踪性。（二） 为了规范公司重要数据备份清单的建立、备份的职责、备份的检查、以及系统受到破坏后的恢复工作，合理防范计算机及信息系统使用过程中的风险，特制定本制度。2、事件分类（一） 物理安全事件：指计算机设备、设施（含网络）以及其它媒体遭到人为的或自然灾害引起的物理上的危害。（二） 逻辑安全事件：指信息的完整性、保密性和可用性方面遭到破坏，从而导致涉及的网络、（三） 操作系统、数

2、据库、应用系统、人员管理等方面正常业务运行受到影响。3、定义（一） 应急管理是应对于特重大事故灾害的危险问题提出的。应急管理是指政府及其他公共机构在突发事件的事前预防、事发应对、事中处置和善后恢复过程中，通过建立必要的应对机制，采取一系列必要措施，应用科学、技术、规划与管理等手段，保障公众生命、健康和财产安全；促进社会和谐健康发展的有关活动。危险包括人的危险、物的危险和责任危险三大类。（二） 灾难恢复，指自然或人为灾害后，重新启用信息系统的数据、硬件及软件设备，恢复正常商业运作的过程。灾难恢复规划是涵盖面更广的业务连续规划的一部分,其核心即对企业或机构的灾难性风险做出评估、防范，特别是对关键性

3、业务数据、流程予以及时记录、备份、保护。（三） 数据备份是容灾的基础，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。4、有关的具体应急预案4.1机房漏水应急预案 发生机房漏水时，第一目击者应立即报告网络与信息安全事件应急小组。 若空调系统出现渗漏水，系统管理员应立即安排停用故障空调,清除机房积水，并及时联系设备供应方处理，必要情况下可临时用电扇对服务器进行降温。 若为墙体或窗户渗漏水，系统管理员应立即采取有效措施确保机房安全，同时安排通知网络应急小组，及时清除积水，维修墙体或窗户，消除渗漏水隐患。4.2设备发生被盗或人

4、为损害事件应急预案 发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告网络与信息安全事件应急小组，同时保护好现场。 网络与信息安全事件应急小组接报后，通知安保人员及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。 事发单位和当事人应当积极配合公安部门进行调查，并将有关情况向网络与信息安全事件应急小组汇报。 网络与信息安全事件应急小组安排系统管理员、事发部门及时恢复网络正常运行，并对事件进行调查。系统管理员和事发部门应在调查结束后一日内书面报告网络与信息安全事件应急小组。4.3通信网络故障应急预案 发生通信线路中断、路由故障、流量异常、域名系

5、统故障后，操作员应及时通知本单位信息系统管理员，经初步判断后及时上报网络与信息安全事件应急小组。系统管理员接报告后，应及时查清通信网络故障位置，隔离故障区域，并通知相关通信网络运营商查清原因；同时及时组织相关技术人员检测故障区域，逐步恢复故障区与服务器的网络联接，恢复通信网络，保证正常运转。 事态或后果严重的，网络与信息安全事件应急小组应及时报告厅信息中心和相关业务部门。 应急处置结束后，系统管理员和事发单位应将故障分析报告，在调查结束后一日内书面报告网络与信息安全事件应急小组。4.4不良信息和网络病毒事件应急预案 发现不良信息或网络病毒时，信息系统管理员应立即断开网线，终止不良信息或网络病毒

6、传播，并报告网络与信息安全事件应急小组。 系统管理员应采取隔离网络等措施，及时杀毒或清除不良信息，并追查不良信息来源。处置结束后, 系统管理员和事发部门应将事发经过、造成影响、处置结果在调查工作结束后一日内书面报告网络与信息安全事件应急小组。4.5服务器软件系统故障应急预案 发生服务器软件系统故障后，系统管理员应立即组织启动备份服务器系统，由备份服务器接管业务应用，并及时报告网络与信息安全事件应急小组和厅信息中心；同时安排将故障服务器脱离网络，保存系统状态不变，取出系统镜像备份磁盘，保持原始数据。 系统管理员应在确认安全的情况下，重新启动故障服务器系统；重启系统成功，则检查数据丢失情况，利用备

7、份数据恢复；若重启失败，立即联系相关厂商和上级单位，请求技术支援，作好技术处理。 事态或后果严重的，网络与信息安全事件应急小组及时报告信息中心。 处置结束后, 系统管理员应将事发经过、处置结果等在调查工作结束后一日内报告网络与信息安全事件应急小组。4.6 黑客攻击事件应急预案 当发现网络被非法入侵、网页内容被篡改，应用服务器上的数据被非法拷贝、修改、删除，或通过入侵检测系统发现有黑客正在进行攻击时，使用者或管理者应断开网络，并立即报告网络与信息安全事件应急小组。 接报告后，网络与信息安全事件应急小组应立即指令系统管理员核实情况，关闭服务器或系统，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络

8、的通道。 系统管理员应及时清理系统，恢复数据、程序，恢复系统和网络正常；情况严重的，应上报厅信息中心，并请求支援。 处置结束后, 系统管理员应将事发经过、处置结果等在调查工作结束后一日内报告网络与信息安全事件应急小组。4.7核心设备硬件故障应急预案 发生核心设备硬件故障后，系统管理员应及时报告网络与信息安全事件应急小组，并组织查找、确定故障设备及故障原因，进行先期处置。 若故障设备在短时间内无法修复，系统管理员应启动备份设备，保持系统正常运行；将故障设备脱离网络，进行故障排除工作。 系统管理员应在故障排除后，在网络空闲时期，替换备用设备；若故障仍然存在，立即联系相关厂商， 认真填写设备故障报告

9、单备查。 事态或后果严重的，及时报告厅信息中心。4.8业务数据损坏应急预案 发生业务数据损坏时，系统管理员应及时报告网络与信息安全事件应急小组，检查、备份业务系统当前数据。系统管理员负责调用备份服务器备份数据，若备份数据损坏，调用异地备份数据。 业务数据损坏事件超过2小时后，系统管理员应及时报告网络与信息安全事件应急小组，及时通知业务部门以手工方式开展业务。系统管理员应待业务数据系统恢复后，检查历史数据和当前数据的差别，由相关系统业务员补录数据；重新备份数据，并写出故障分析报告，在调查工作结束后一日内报告网络与信息安全事件应急小组。4.9 雷击事故应急预案 遇雷暴天气或接上级部门雷暴气象预警，

10、系统管理员应及时报告网络与信息安全事件应急小组，经请示同意后关闭所有服务器，切断电源，暂停内部计算机网络工作，并及时通知厅信息中心 雷暴天气结束后，系统管理员报经网络与信息安全事件应急小组同意，及时开通服务器，恢复内部计算机网络工作，并通知厅信息中心，对设备和数据进行检查。出现故障的，事发单位应将故障情况及时报告厅信息中心。因雷击造成损失的，系统管理员应汇同保险公司、计财处等相关部门进行核实、报损，并在调查工作结束后一日内书面报告网络与信息安全事件应急小组。必要时，报告厅信息中心。5、关键控制点（一） 在与重要硬件设备或软件系统供应商签订的采购合同中，应有相关备份与灾害恢复的技术支持条款。（二

11、） 各部门应建立相应的重要信息备份清单，在此基础上形成公司重要信息备份清单，并定期更新。 6、组织与职责（一） 基于河南ABC有限公司安全服务中心组织架构的特点，主要以服务部门经理为主要领导，以应急响应小组为主要攻坚力量，其它顾问和工程师则辅助应急响应小组完成应急响应流程。（二） 应急响应规范的修订，以应急响应小组提议，高级顾问协助服务部门经理进行统一修订。（三） 安全服务中心必须每年统一检查和评估此流程，并做出适当更新。在内外部环境需求发生重大变化时，也将对本流程进行检查和更新。（四） 应急响应小组主要职责：在启动应急响应之后，进行现场的问题处理，跟踪记录。（五） 高级安全顾问主要职责：在应

12、急响应过程中处理需要一些额外的高级支持时，提供技术支持，并进行应急响应规范的修订与商议。（六） 安全顾问主要职责：协助应急响应小组进行问题追踪。（七） 安全服务工程师主要职责：主要负责应急响应的前期记录，协助应急响应小组进行简单的修复和加固工作。7、应急响应处理流程（一） 服务台在接受到信息安全事件时，进行分类统计，如出现紧急响应事件应及时通知服务部门经理，由部门经理启动应急响应。在收到客户直接请求应急响应支持流程时，亦可直接启动应急响应。（二） 应急响应启动后，服务部门经理指派应急响应小组组长，负责此次应急响应事件。应急响应小组在收到服务台基本的事件介绍资料后，快速的做出反应，准备好相关工具

13、，以最快的速度赶往现场，进行问题处理。应急响应小组将在第一时间对问题做出反应，进行数据包截获分析等其他技术手段进行安全事件信息搜集，并通过相关工具及时遏制住问题扩大，并对重要资产进行及时的修护防范，及时保障服务的运行。（三） 现场不能完全解决问题的，进行事态控制后，由高级安全顾问协助，进行应急安全事件分析状态分析报告，并制定全面的检测和修复计划，进行事件的持续跟踪处理；现场问题直接解决，则由安全顾问协助应急响应小组出具应急响应报告，给出应急事件的原因分析，加固方案。（四） 安全服务工程师协助应急响应小组，对事件处理过程和问题进行跟踪记录，最终交付给服务台，并对一些后续问题给予持续处理。8、应急

14、检查要求任务编号检查点检查内容检查方法检查周期1安全事件检查记录表安全服务中心检查是否对安全事件记录的处理结果进行检查。阅读文档每月2安全事件分析处理表安全服务中心检查是否有事后分析报告，安全事件是否进行有效跟踪。阅读文档每月9、备份清单建立和维护（一） 各部门人员将需要备份的数据清单填到部门数据备份清单中，然后提交到电脑部，并确保每天下班前存放到电脑部指定的网络存储位置。电脑部汇总各部门上报的部门数据备份清单，并核对网络上的存储数据，形成公司数据备份清单。（二） 下列数据应包含在公司数据备份清单中：1. 信息系统（包括：ERP系统、工资系统、考勤系统、安保系统、饭卡系统等）；2. 邮件系统；

15、3. OA系统；4. 软件系统开发的相关代码和文档；5. 重要网络设备的配置数据和文档；6. 其他重要的数据。（三） 备份方式：电脑部负责根据数据的重要性及保存期限等情况，为各类数据设定适当的备份方式。备份方式有：服务器备份、在线备份、光盘备份。（四） 备份频率：凡是采用日备份的，应采用循环覆盖方法，以节约存储设备；但每月要保存一份月末的完整数据。具体规定如下：序号备份内容备份部门备份频率备份地点备注1信息系统数据库备份电脑部每天1次；公司服务器对新增内容进行备份2各部门电脑上的重要文档数据电脑部每天1次公司服务器3邮件数据电脑部每天1次万网服务器4其它重要数据各部门按需按需（五） 为了加大数

16、据备份的相对安全电脑部应定期（每年至少1次）通过光盘或其他存储设施做永久性备份。不同时期的各备份介质作好相应的编号及相关说明，并移交公司档案室存档。（六） 数据备份的保存：备份数据应妥善保存在安全可靠的地方，保存地点应能防火、防盗、防潮。（七） 数据备份的检查：1. 电脑部应定期（每年至少1次）检查各类备份资料的情况，及时更新或销毁过期的资料，并作好检查记录；2. 对损毁的备份资料，要及时与使用部门联系，共同研究补救措施和方法；3. 对于到达资料保存期限的备份资料，应在得到经营负责人批准后及时销毁。10、灾害恢复计划（一） 硬件的灾害恢复：1. 电脑部应保存公司所有计算机、服务器及其辅助设备清

17、单，具体可参见固定资产编号及台账管理制度。2. 电脑部应保留所有硬件的供应商目录及详细资料，一旦发生灾害，供应商在接到公司的通知后应在一定的时间内将设备配备到位。3. 在与信息系统供应商签定的采购合同中，必须有相关备份与灾害恢复与技术支持条款，并要求供应商出具安全保密承诺书。4. 计算机系统硬件受到破坏，使得系统无法正常工作时，各部门应及时将情况反馈给电脑部，并协助电脑部做好原因调查工作，属于设备供应商问题的，应追究设备供应商的赔偿责任。5. 同时，电脑部及时提出所需设备的采购申请，并将这些设备安装到公司事先指定备用办公地点或依据当时情况指定临时地点，以便尽快恢复正常业务。（二） 软件的灾害恢复：1. 公司信息系统及计算机所使用的软件及数据备份的保存按数据备份的要求进行，一旦发生系统灾害，负责系统管理的人员通过灾害发生前或其他信息系统所保存的各种备份介质，依据备份标记进行目的性的恢复。2. 对所有发生的硬件和软件灾害。必须对灾害发生及恢复情况进行书面记录，对于重大灾害，应立即报告分管副总和总经理。3. 公司应定期（每年至少1次）对公司信息系统的相关风险及所采取的风险管理实施是否充分、适当进行评估，该项工作由电脑部牵头，各部门相关人员参加。