系统应急预案_系统应急预案资源

（三）信息内容安全事件利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件

（四）网络故障事件因电信、网络设备等原因造成大部分网络线路中断，用户无法访问信息系统的事件

（五）服务器故障事件因系统服务器故障而导致的信息系统无法运行的事件

（六）软件故障事件因系统软件或应用软件故障而导致的信息系统无法运行的事件

（七）灾害性事件因不可抗力对信息系统造成物理破坏而导致的事件

（八）其他突发时间不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件第二节分级根据有关规定并结合公司系统实际，制定系统突发时间分级标准，按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般（级）、较大（级）、重大（级）、特别重大（级）iv iii iii（-）一般（级）信息系统发生可能中断运行小时以内的故障；（-）较大（级）信息系统发生可能中断运行小时以上、小时以内的故障iv2

（三）重大（级）信息系统发生可能中断运行小时以上、小时以内的故障；iii212ii1224

（四）特别重大（级）信息系统发生可能中断运行小时以上的故障i24第四章组织机构与职责预防和处理信息系统突发事件工作协调小组（以下简称“应急小组”）负责信息系统应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统应急指令，发布信息系统应急故障级别、决策处理方案应急小组组长由运维安全部分管技术工作的领导担任，成员为运维安全部全体人员第五章监测及预警第一节监测要完善信息安全突发事件监测、预测、预警制度按照“早发现、早报告、早处理、早恢复”的原则，应急小组要加强对信息系统的日常监测工作监测的内容主要包括（-）网络通讯性能与流量；（-）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存储系统状态等；

（三）服务器操作系统、数据库审计记录；

（四）计算机漏洞公告、网络漏洞扫描报告；

（五）病毒公告、防病毒系统报告；

（六）其他可能影响信息系统的预警内容第二节预警预警信息分为外部预警信息和内部预警信息两类外部预警信息指信息系统外突发的可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报内部预警信息指信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件警报应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以分析，按照早发现、早报告、早处理的原则，对可能演变为严重事件的情况，部署相应的应对措施，通知相关部门做好预防和保障应急的各项准备工作，并及时报告领导（-）对于可能发生或已经发生的突发事件，应立即采取措施控制事态，在最短的时间内进行评估并判定事件等级当达到重大级别时应立即启动相应的专项预案，同时向应急小组通报情况（-）应急小组接到报告后，应及时对信息做出判断，并提出处理意见

（三）对于需要向有关部门或合作方做出通报的，由应急小组根据其可能造成的危害程度、紧急程度和发展态势，及时向领导通报预警信息由领导根据事件的危害性和紧急程度，统一发布、调整和解除预警信息第六章应急处置第一节应急响应应急小组对所发生的事件的性质、对公司影响的程度，会同相关部门在第一时间采取有效措施处理事件，尽可能减少事件所造成的损失第二节应急准备第一条确认应急请求为保证应急响应的各项资源能够得到最有效的利用，避免应急响应体系由于受到错误或虚假报警而受到干扰，在请求应急支援时应确保事件信息的可靠性第二条分析事态-记录与了解接到信息系统事件报警后，要先详细记录该事件的细节信息，了解事件造成的损失以及影响，并尽可能全面了解与事件有关的信息-事件分析事件确认后，根据掌握的信息，分析事件已经造成的损失和预计损失、事件的严重程度和扩散性等情况，根据实情，发送通知三准备启动应急处置流程四确定应急处理方式根据对事件的初步分析，确定应急处理方式，如果公司以自身力量无法处理的事件，可以向专家委员会提出应急支援请求第三节应急处置

一、公司网站、网页出现非法言论事件紧急处置措施发现在网页上出现非法信息时，应立即向应急小组报告；情况紧急的，在保留原始信息后，应先采取删除等处理措施，再按程序报告

1.应急小组人员应在接到报告后首先做好必要记录，清理非法信息，妥善保存有关记录及日志，并将网站网页重新投入使用

2.追查非法信息来源，并将有关情况向领导小组负责人汇报应急小组负责人按照事态严重程度，与相关部门负责人决定是否并向政府信息化主管部门报告和公安部门

3.报警

4.

二、黑客攻击事件紧急处置措施.恢复还没有得到或破坏机密数据的被入侵系统、先对系统当前状态做一个备份，用来做事后分析和证据，然后使用追捕软件来反向追踪攻击者，1再断开与他的网络连接，通过添加防火墙规则来阻止1IP、修改数据库管理员帐号名称和登录密码,重新为操作数据的用户建立新的帐户和密码,并且修改数据库的访问规则

2.恢复已经得到或删除了机密数据的被入侵系统，发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，应尽快断开与攻击源的网络连接断开与攻击源的连接后，应当立即分析数据损失2的范围和严重程度，了解哪些数据还没有被影响到，并立即将这些没有影响到的数据进行备份或隔离保护应急小组负责人按照事态严重程度，与相关负责人决定是否并向政府信息化主管部门报告和公安部门报警

三、病毒事件紧急处置措施

3.当应急小组人员发现有计算机被感染上病毒后，应立即将该机与网络隔离应急小组人员对该计算机进行数据备份

1.启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清

2.除工作

3.如果现行反病毒软件无法清除该病毒，应立即向领导小组负责人报告，并迅速联系有解决能力的软件厂商研究解决

4.病毒清除，通过检测后，隔离的设备可重新投入使用

四、软件系统遭破坏性攻击的紧急处置措施

5.重要的软件系统日常维护时必须将它们备份并保存于安全处一旦软件遭到破坏性攻击，应急小组人员应立即向领导小组办公室负责人报告，若有保证业务连续性需求，

1.先将备份恢复至新机器，并切换服务，将被攻击系统停止运行若没有业务连续性需求，则立即将被攻击系

2.统停止运行应急小组人员检查信息系统的日志等资料，确定攻击来源，并将有关情况向领导小组负责人汇报，再恢复软件系统和数据

3.

五、数据库紧急处置措施

六、应用服务紧急处理措施.重要的应用服务必须要有备份任务计划

1.一旦应用服务发生故障，应急小组人员应立即根据故障现象收集信息，尽快定位故障点

2.为保证业务连续性，先将发生故障的节点从集群剔除若为单机提供服务，先判断服务影响范围，以及预3计处理时长，并发送通告』攵集、保存并分析日志，排除故障

4.若故障确认无法恢复，可从备份恢复

5.测试后恢复服务5

七、广域网外部线路中断紧急处置措施应急小组人员接到告警后，应迅速切换备用线路判断故障节点，查明故障原因如属公司内部网络原因导致，应立即解决

1.如由于网络接入商导致，应立即联系网络供应商并令其尽快解决根据业务影响范围以及恢复故障时长及

2.时发送通知

3.

八、局域网中断紧急处置措施网络管理人员负责对网络设备的日常管理工作C局域网中断后，网络管理人员应立即判断故障节点，查明故障原因，并向领导小组办公室负责人汇报，同

1.时做好故障记录

2.如属路由器、交换机等网络设备故障，网络管理人员应立即更换故障设备，并调试通畅如属路由器、交换机配置文件破坏，网络管理人员应迅速按照要求重新配置，并调测通畅

3.

九、物理设备紧急处置措施

4.服务器等关键物理硬件设备损坏后，技术人员立即查明原因如果短时间内无法解决，应该立即启用备用设备，保证业务连续性

1.如果能够自行修复，应立即用备件替换受损部件

2.如属不能自行修复的，立即与设备提供商联系，要求派维护人员立即前来维修

3.

4.第四节报告和总结第一条报告和总结事件经应急处置后，得到有效控制，应急小组应对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程等形成书面文档文档内容要求涉及事件处理相关责任人、发生时间、地点、现象描述、影响范围、故障定级、故障恢复时间等信息回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中可对预案提出修改意见，完善预案第二条应急结束根据事件的处置进展情况，信息安全工作小组应组织相关部门及专家对信息安全事件处置情况进行综合评估和总结第三条工作程序出现应急事故匚］根据应急响应措施实行应急响应匚［应急处理确认与验证匚记录与总结第七章预防措施第一节宣传教育第一条公司要充分利用各种传播媒介及有效的形式，加强信息系统突发事件应急和处置的制度的宣传,开展预防、预警宣讲活动，提高员工应急处置能力第二条要制定相应的培训材料，及时向员工公布有关应急预案、报告部门、报告电话等第三条公司要加强对系统安全以及防攻击的知识培训，提高防范意识及技能，增强应急处置工作的能力可针对不同角色的人员设置不同的培训内容，对于各关键岗位均必须培训多个能胜任该岗位应急工作的人员，保证人员的连续性第二节演练第一条公司应建立应急预案定期演练制度通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力应急响应演练是模拟突发信息安全事件，各有关部门和人员按照应急预案所进行的一系列活动和措施每隔一定时间，或更新应急预案后，或遇有可预见的信息系统故障事件时，要开展应急响应演练，以检验应急预案的正确性，不断加强人员的应急安全意识和应急响应的熟练程度第二条应急响应演练以应急预案为基础，在每次演练前应首先确定演练的目标和范围，制定详细、严谨的应急响应演练方案，避免对正常业务造成不必要影响第三条应急响应演练过程中如需涉及上级主管部门或其他相关部门，应事先做好协调沟通工作，避免由于协调工作不到位而导致对这些部门的正常工作的干扰如果应急响应演练过程涉及到社会网络服务机构，需要事先与其进行协商，并明确服务范围、服务级别及相关费用等事项第四条在每次应急响应过程结束之后，应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题进行修改修改后的预案应经评估通过后,发布实施第八章保障措施第一节通信与信息保障应急小组定期核对应急工作通讯人员名单、联系方式，以及外部专家团队的联系方式等第二节应急装备保障在建设系统时应事先预留一定的应急设备，建立信息系统硬件、软件、应急救援设备等应急物资库在信息系统事件发生时，由应急小组负责统一调用第三节数据保障应建立相应的操作系统、应用软件、数据库等运行资源的可靠备份，并保证源代码、设计说明书、实施文档等规范入库，保证重要数据在受到破坏后，可紧急恢复第四节应急队伍保障按照一专多能的要求建立应急保障队伍必要时能够建立专家团队，进行技术支援第五节经费保障公司负责落实信息系统事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算应列入公司年度财政预算公司财政和审计部门要对信息系统事件应急经费的使用进行监管和评估第六节预案执行监督发生重大信息系统事件时应当按照规定及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报任何单位或个人发现有瞒报、缓报、谎报重大信息安全事件情况时，有权直接向公司领导、部门负责人举报应急行动结束后，信息安全工作小组对相关成员单位采取的应急行动的及时性、有效性进行评估第九章附件附件一应急小组人员名单人员部门及职务手机邮件备注附件二专家团队机构名称联系人联系电话邮件。