网络安全应急处置工作流程修订稿
发布时间:2021-04-16
网络安全应急处置工作流程WEIHUA system office room [WEIHUA 16H-WEIHUA WEIHUA8Q8- 文件名称 文件编号 编写部门 审批人
信息安全应急预案
版本号 编写人 发布时间
密级 内部
信息安全应急预案
第一章总则
第一条 为提高公司网络与信息系统处理突发事件的能力,形成科学、有效、反 应迅速的应急工作机制,减轻或消除突发事件的危害和影响,确保公司信息系统安全 运行,最大限度地减少网络与信息安全突发公共事件的危害,特制定本预案。
第二章适用范围
第二条
本预案适用于公司信息系统安全突发事件的应急响应。当发生重大信息
安全事件时,启动本预案。
第三章编制依据
第三条
《国家通信保障应急预案》、《中华人民共和国计算机信息系统安全保
护条例》、《计算机病毒防治管理办法》、《信息安全应急响应计划规范》、《信息 安全技术信息安全事件分类分级指南》
第四章组织机构与职责
第四条
公司信息系统网络与信息安全事件应急响应由公司信息安全领导小组统
一领导。负责全中心系统信息安全应急工作的领导、决策和重大工作部署。 第五条
由公司董事长担任领导小组组长,技术部负责人担任领导小组副组长,
各部门主要负责人担任小组成员。
第六条 应急领导小组下设应急响应工作小组,承担领导小组的日常工作,应急 响应工作小组办公室设在技术部。主要负责综合协调网络与信息安全保障工作,并根 据网络与信息安全事件的发展态势和实际控制需要,具体负责现场应急处置工作。工 作小组应当经常召开会议,对近期发生的事故案例进行研究、分析,并积极开展应急 响应具体实施方案的研究、制定和修订完善。
第五章预防与预警机制
第七条
公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安
全的预防和预警机制。 第八条
信息监测及报告
L应加强网络与信息安全监测、分析和预警工作。公司应每天定时利用自身监测
技术平分实时监测和汇总重要系统运行状态相关信息,如:路由器、交换机、小型 机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错及 流量等日志信息,分析系统安全状况,及时获得相关信息。
2.建立网络与信息安全事件通报机制。发生网络与信息安全事件后应及时处理, 并视严重程度向各自网络与信息安全事件的应急响应执行负责人、及上级主管部门报 告。 第九条 预警
应急响应工作小组成员在发生网络与信息安全事件后,应当进行初步核实及情况 综合,快速研究分析可能造成损害的程度,提出初步行动对策,并视事件的严重程度 决定是否及时报各自应急响应执行负责人。
应急响应执行负责人在接受严重事件的报告后,应及时发布应急响应指令,并视 事件严重程度向各自信息安全领导小组汇报。
L预警范围:
(1易发生事故的设备和系统; (2存在事故隐患的设备和系统; (3重要业务使用的设备和系统;
(4发生事故后可能造成严重影响的设备和系统。 2.预防措施:
(1建立完善的管理制度,并认真实施; (2设立专门机构或配备专人负责安全工作;
(3适时分析安全情况,制定、完善应急响应具体实施方案。
第十条 预防机制
积极推行信息系统安全等级保护,逐步实行网络与信息安全风险评估。基础信息 网络和重要信息系统建设要充分考虑抗毁性与故障恢复,制定并不断完善网络与信息 安全应急响应具体实施方案;及早发现事故隐患,采取有效措施防止事故发生,逐步 建立完善的监控系统,保证预警的信息传递准确、快捷、高效。
第六章事件分类与分级
第十一条
事件分类
公司系统网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事 件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本 分类。
有害程序事件:蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的 网络与信息安全事件。
网络攻击事件:通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺 陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系 统当前运行造成潜在危害的网络与信息安全事件。
信息破坏事件:通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、 泄漏、窃取等而导致的网络与信息安全事件。
信息内容安全事件:利用信息网络发布、传播危害国家安全、社会稳定和公共利 益的内容的安全事件,利用网络从事违法犯罪活动的情况,网络恐怖活动的嫌疑情况 和预警信息。
设备设施故障:由于信息系统自身故障或外围保障设施故障而导致的网络与信息 安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的网络 与信息安全事件。
灾害性事件:由于不可抗力对信息系统造成物理破坏而导致的网络与信息安全事 件。 其他信息安全事件:不能归为以上6个基本分类的网络与信息安全事件。 第十二条
事件定级
公司系统网络与信息安全事件级别分为四级:一级(特别重大)、二级(重大)、 三级(较大)和四级(一般)。
一级(特别重大):指能够导致特别严重影响或破坏的网络与信息安全事件。 二级(重大):指能够导致严重影响或破坏的网络与信息安全事件。 三级(较大):指能够导致相对严重影响或破坏的网络与信息安全事件。 四级(一般):指能够导致较小影响或破坏的网络与信息安全事件。
第七章应急响应的流程
第十三条 不O 在发生信息安全事件时,启动下列应急响应流程,应急响应流程下图所
1、事件分析
事件分析主要完成如下工作:
1)在发生信息安全事件后,应急响应工作小组对事件进行确认。
2)确认为信息安全事件后,根据应急处理事件分类规则对事件进行定性、定级
和上报。
3)根据对事件的初步分析,确定应急处理方式,如果应急响应工作组以自身力
量无法处理的事件,由应急工作小组向上级领导或上级机关提出应急支援请求。
应急响应流程图
2、事件处理
事件处理主要包括以下内容:
1)泄密安全事件发生时,要及时的用口头或书面的形式向保密工作部门如实报
告并上报上级主管部门的保密机构,同时采取断开网络、改变或终止用户权限等措施 切断泄密源头,控制泄密范围,并及时对系统隐患进行修补。在对系统的泄漏隐患或 风险进行重新评估,确认安全后,系统方能重新运行,对事件类型、发生原因、影响 范围、补救措施和最终结果进行详细纪录。
2)系统运行安全事件发生时,应分析是否存在针对该事件的特定系统预案,如
果存在则启动特定系统应急预案.如果涉及多个特定系统预案,应同时启动所有涉及 的特定系统预案。分析是否存在针对该事件的专题预案,如果存在则启动专题预案, 如果事件涉及多个专题预案,应同时启动所有涉及的专题预案。
3如果没有针对该事件的应急预案.应根据事件具体情况,采取抑制措施,抑
制事件进
一步扩散,并根除事件影响,恢复系统运行;
3、结束响应
系统恢复运行后,应急响应工作组对事件造成的损失、事件处理流程、应急预案 进行评估,对响应流程、预案提出修改意见,撰写事件处理报告。应急响应工作组应 根据《信息安全应急预案》要求,确定是否需要上报该事件及其处理过程,需要上报 的应及时准备相关材料,上报上级机关。
对于蠕虫、病毒等易造成大范围传播的信息安全事件,应及时向应急工作小组提 交预警信息。
应急响应流程结束。 第十四条
应急处置演练制度
为保证应急行动的能力,应每年至少组织一次应急行动演练,以提高处理应急事 件的能力,检验物资器材的完好情况。
应急响应演练按如下步骤进行:
(1由信息安全应急响应领导小组确定应急响应演练的目标和应急响应演练的范 围; (2按信息安全应急响应领导小组的要求,由应急响应工作小组制定应急响应演练 的方案; (3应急响应工作小组调配应急响应演练所需的各项资源,并协调应急响应演练过
程中涉及的部门和单位;
(4应急响应工作小组组织进行应急演练;
(5信息安全应急响应领导小组总结经验,根据演练结果对应急预案进行更新,并
对本单位的应急工作整改。
在应急响应演练结束之后,应急响应工作小组应针对应急响应工作过程中遇到的 问题,分析应急响应预案的科学性和合理性,针对预案中的问题向应急工作小组提出 修改建议。应急工作小组组织对修改意见进行评估,修改后的预案应经评估通过后,
上报领导小组,
经批准后发布实施。
在上级机关预案或相关的法律标准修改后,本预案应进行调整与其保持一致。调 整后,应急工作小组应组织专家组对其评审,评审通过后上报领导小组,经批准后发 