信息系统应急预案.doc

题目：信息系统应急预案管理程序编号GM-III-B008版本号00生效日期2015.07.20起草部门信息中心颁发部门总经理办公室一、目的：为了正确、有效和快速地处理信息系统突发事件，提高公司网络和系统的安全稳定运行水平，完善信息系统应急响应机制，特制定本程序。二、范围：本程序适用于我公司应对和处置信息系统突发事件的管理。三、责任：信息中心是网络与信息安全的保障管理部门，具体负责信息网络和系统的信息安全应急工作。四、内容：4.1总则4.1.1 应坚持“安全第一、预防为主”的方针，充分利用现有资源，制定科学的应急预案，定期组织开展应急培训和应急演练，提高对各种信息系统突发事件的应急响应和处置能力。4.1.2 信息中心负责组织开展事件预防、应急处置、恢复运行、事件通报等各项应急工作。包括应急预案制定、修订和应急处置。4.2 信息系统突发事件的定义及内容4.2.1 在信息系统运行过程中，由于受到各种突然因素的影响，发生信息系统服务中断，对生产、经营和管理可能产生严重影响的事件，定义为信息系统突发事件。4.2.2 信息系统突发事件包括网络、设备、系统故障；大面积病毒爆发、蠕虫、木马程序、有害移动代码；非法入侵、攻击等。4.3 应急处理流程4.3.1 应急响应信息中心接到信息系统突发事件的报告后，根据性质和严重性，视具体情况启动相应信息系统应急预案，做出应急响应。4.3.2 应急处理流程框架4.3.2.1当信息系统出现软硬件设备故障等事件时，应立即启用备品备件，恢复系统正常运行。4.3.2.2 当发生病毒、非法入侵、网络攻击、有害信息传播、不符合规定的涉密信息传播等事件时，迅速调整网络安全设备的安全策略或隔离事件区域，查找源头，采取有效措施，控制事件的发展。4.3.2.3 当出现自然灾害、人为非法破坏等重大突发事件，发生大规模的计算机病毒爆发、网络攻击、内部人员重大作案等重大网络与信息安全事件，由于重大技术故障导致信息网络与重要信息系统无法正常运行事件等情况时，应迅速上报公司领导，请求国家公安机关的应急支持。4.3.2.4 本着尽量减少损失的原则，将应急事件尽快隔离，在不影响正常生产、经营、管理秩序的情况下，保护现场。4.4 病毒引起网络堵塞事件应急预案4.4.1 防病毒系统正常运行环境服务器：安装正版杀毒软件，并每天及时更新。客户端：安装正版杀毒软件，并每天及时更新。客户端操作系统情况：升级至最高补丁版本。4.4.2 事件预想当计算机系统补丁未升到最高版本或未安装防病毒软件，或未正确连接上服务器，或病毒定义文件未更新到最新时，该计算机对本机和网络可能造成巨大冲击。服务器未正常工作也是安全隐患。4.4.3 防范措施防病毒体系的服务器能正常提供服务，与网络正常连接，客户端正确安装正版杀毒软件，并能实现与服务器的正常连接和升级。操作系统升级至最高补丁版本。4.4.4 事件预案4.4.4.1 事件描述信息网络内部发作，异常数据包增加，网络拥塞，时断时连。系统主机运行正常，但客户端不能正常连接。病毒名称和特性未知。4.4.4.2 预案处理要求重点保护重要系统和用户，及早查出病毒特性，提出处理对策，恢复正常运行，将损失降低为最小。按影响范围，向有关领导汇报，通知相关用户，通知相关人员到岗。记录事件处理经过，追查原因。4.4.4.3 事件处理预案(1) 事件报警与确认：信息中心部负责对防病毒体系和网络运行情况监测，及时发现并处理新病毒。(2) 了解所有重要系统运行情况，初步确定影响范围。对受严重影响（基本无法开展工作）的系统要马上通知公司领导。(3) 利用电话或网络发布病毒公告,通知各部门信息安全人员。(4) 重要系统及用户，中断非关键应用连接。(5) 系统升级：确认防病毒定义文件为最新更新。(6) 软件补丁：确认在线运行的软件补丁程序为最新。(7) 通过各种途径了解病毒信息。(8) 由网络管理员对网络运行状况进行实时测试。尽快定位故障源，并进行病毒分析，采取相应措施。(9) 逐步恢复非关键应用连接。(10) 安全审计及事件分析：通过系统日志、测试报告，分析事件原因。(11) 消除隐患、调整策略：根据事件处理结果，修正病毒防护系统策略，堵塞相应漏洞。(12) 信息中心评估损失，追究责任。4.5 后期处置4.5.1 信息系统突发事件应急处理结束后应密切关注，确认无异常现象。4.5.2 信息系统突发事件应急处理结束后，由信息中心组织成立调查组，对事件产生的原因、影响进行调查和评估，对责任进行认定，提出整改建议。4.5.3 信息系统突发事件应急处理结束后，信息中心应组织研究事件发生的原因和特点、分析事件发展过程，总结应急处理过程中的经验和教训，进行应急处置知识积累，进一步补充、完善和修订相关应急预案。4.6 宣传、培训和演练4.6.1 应加强应急工作的宣传和教育，提高各级人员对应急预案重要性的认识，加强各部门和公司之间的协调与配合。4.6.2 在应急预案编制完成和修订后，信息中心要组织对应急预案涉及的人员进行培训，通过培训使有关人员熟练掌握应急处理的程序和应急处理技能。4.6.3 应急预案在制定、修订后，信息中心要视情况组织相应的演练，通过演练验证应急预案的合理性，及时修订和完善。4.6.4 在做应急演练前要做好相关准备工作，合理安排、精细组织，确保演练工作的安全。4.6.5 要记录演练过程，对演练结果进行评估和总结。五、相关文件:无六、记录:信息安全应急演练的有关记录。修订历史： 版本号：00生效日期：2015.07.20内容：新制订文件。