第一篇:XXXX公司网络和信息系统应急预案
XXXX有限公司
网络与信息系统应急预案(暂行)
第一章总则
第一条 编制目的
科学应对网络与信息安全突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度的消除信息安全各类突发事件的危害和影响,从而最大限度地保障业务正常运营,维护XXXX有限公司(以下简称“本公司”)和客户的利益。
第二条 适用范围
本预案适用于下列具有重大影响的突发灾害性事件的应对处置工作:
(一)自然灾害。发生洪水、台风、冰雹、沙尘暴、地震、滑坡、泥石流和海啸等自然灾害可能或者已对本公司网络及信息系统造成危害的。
(二)安全事件。发生营业办公楼倒塌和大的交通运输、设备事故等安全事件可能或者已对本公司网络及信息系统造成危害的。
(三)信息安全事件。发生网络攻击、信息泄露、病毒
爆发、系统瘫痪等信息安全事件可能或者已经对本公司网络及信息系统造成危害的。
第三条 工作原则
(一)防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
第二章灾害性事件
第四条 针对网络与信息系统,较大和一般灾害性事件定义如下:
基础网络、重要信息系统、重点网站瘫痪,导致对外联络、对外服务或内部业务中断,可能造成一定业务影响、社会影响或经济损失的信息安全事件。
第三章组织管理
第五条 本公司成立网络及信息系统安全事件应急领导小组。应急领导小组由总裁任组长,分管副总裁任副组长,信息管理部、风险管理部门以及发生特别重大或重大信息安全事件部门的主要负责人为成员。
第六条信息管理部负责网络及信息安全突发事件应急工作的组织实施,及时向总裁、分管副总裁报告重要情况和提供决策建议,督促落实应急处置措施,指导和协助有关部门做好网络及信息系统安全事件的预防预警、应急处置和恢复等工作。
第四章预防预警
第七条 预防
(一)积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件建立制度化、程序化的处理流程。
(二)信息管理部承担信息安全监测、分析和预警工作,进一步提高信息安全管理能力。
(三)加强数据的安全防护,落实数据备份和数据保存制度。
(四)针对灾害事故的应急处理,经常性地组织培训和模拟演练。
第八条 预 警
各部门根据收集到的信息判断即将发生或者可能发生灾害事件时,要立即向网络及信息系统安全事件应急领导小组汇报,网络及信息系统安全事件应急领导小组判断灾害事件的真实性,根据灾害事件等级和波及、影响范围,以及突发事件总体应急预案规定,向总裁、分管副总裁报告,并根据有关规定向人民银行、银监会等有关政府部门报告,必要时经总裁批准发布相关风险提示信息。
第五章网络及信息系统的风险评估
第九条 信息系统的安全风险是指由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响。信息系统安全风险评估主要是对信息系统所面临威胁的评估和信息系统脆弱性的评估。
第十条 信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体,信息系统所面临的威胁主要是来自以下几个方面:
(一)通过网络进入信息系统的行为人;
(二)通过物理方式接近信息系统的行为人;
(三)系统缺陷造成的威胁;
(四)病毒和恶意代码的威胁;
(五)自然灾害的威胁。
第十一条 信息系统的脆弱性是指信息系统中存在着
可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点,它由以下两个方面组成:
(一)技术脆弱性:主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。
(二)纽织脆弱性:由于信息系统管理组织的问题,导致信息系统被威胁因素所利用,造成对系统的不良影响。
第十二条 信息系统的安全风险评估要解决下列问题:
(一)信息系统的安全需求是什么?
(二)当前的状况能否满足信息系统安全运行要求?
(三)系统所面临的威胁有那些?
(四)这些威胁对信息系统业务的潜在影响如何?
(五)系统中存在那些技术隐患以及在组织管理上存在那些薄弱环节?
(六)这些问题产生的原因是什么?
(七)结合实际情况应采取那些对策解决这些问题? 第十三条 信息系统安全风险评估工作由信息管理部牵头,由参与信息系统建设和使用的各部门派遣专人参加。信息系统安全评估的结果及其对策要及时上报给总裁。信息管理部负责落实安全策略的制定和实施。
第六章网络及信息系统安全策略的制定和实施 第十四条 网络及信息系统安全策略的制定和实施包括两个方面的内容:
(一)网络及信息系统安全管理策略;
(二)网络及信息系统安全运行策略。
第十五条 网络及信息系统安全管理策略规定了针对信息系统的组织管理和技术管理的安全保护策略,主要包括如下几个方面:
(一)信息系统组织策略;
(二)安全贯彻策略;
(三)人员安全策略;
(四)物理和环境安全策略。
第十六条信息管理部负责制定网络及信息系统安全管理策略,并形成公司管理文件下发给各部门。
第十七条 网络及信息系统安全运行策略规定了信息系统安全运行中的安全保护策略,主要包括如下几个方面:
(一)信息系统访问控制策略。包含:强口令设置管理、身份认证管理、访问外网控制。
(二)网络边界安全策略。包括网络访问控制,网络入侵检测。网络访问控制主要任务是保证网络资源不被非法使用和非法访问。网络入侵检测通过捕获网络数据包,分析是否存在入侵行为,实时发现攻击行为,并立即预警,为动态
网络安全防御提供良好的基础设备支持。本策略由信息管理部负责实施。
(三)网络系统安全策略。主要包括线路冗余,网络设备冗余,服务器的高可用性。线路冗余是为了保证网络系统承载的各项应用系统不受线路故障的影响仍能正常、连续运行的重要措施。网络设备冗余主要是对网络核心交换机、路由器等网络设备实行设备冗余,保证在设备发生故障的情况下能够及时切换,将系统的损失降至最低。服务器的高可用性主要是采用双机热备份或互备措施,对计算要求高的可采用群集或负载均衡技术。本策略由信息管理部实施。
(四)计算机系统平台安全策略。它包括计算机防病毒体系的建立,信息系统的审计,主机入侵检测和系统加固。防病毒体系的建立主要是指在整个信息系统中安装能够统一的、实时更新病毒库并制定统一杀毒策略的网络版防病毒软件。信息系统的审计主要是通过网络安全审计系统、安全设备审计系统、操作系统审计系统实现对系统安全的监管。本策略由信息管理部负责实施。
第七章应急处置
第十八条 信息报告
(一)报告程序和时限要求
1、发生特别重大灾害性事件应在2小时内报告信息管
理部,同时按规定向地方政府、人民银行和银监会派出机构等有关单位报告。
2、发生重大灾害事件不得晚于接报后6小时或事发后12小时报告信息管理部,同时应向地方政府、人民银行和银监会派出机构等有关单位报告。
3、发生较大和一般灾害性事件不得晚于接报后8小时或事发后16小时报告信息管理部。
(二)报告方式和内容
1、可根据具体情况分别采取电话、传真、电子邮件、派人汇报等方式。发生特别重大灾害事件或重大灾害事件,可先电话报告或当面汇报,然后再书面报告。
2、灾害报告的内容主要包括灾害性事件发生的地点和时间、灾害类型、灾害的规模、可能的引发因素、发展趋势和拟采取或已经采取的措施等。
第十九条 信息收集
事件发生单位和现场应急处理工作组应按照操作手册的要求最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
第二十条 应急处理
(一)一般应急处理措施
1、事件发生单位和现场应急处理工作组应初步检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
2、事件发生单位和现场应急处理工作组应抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
3、在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及到机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令
(二)在发生影响人身安全的自然灾害、安全事件等情况下的紧急处置措施
1、公司收到自然灾害即将发生的通知后,应第一时间按照灾害发生情况准备应急预案。
2、信息管理部协助公司其他人员进行重要电子资料的备份工作。对于无法携带的设备,要切断设备电源。
3、如情况允许,信息管理部应迅速关闭机房设备电源。
4、如因为自然灾害原因导致电话、网络等系统中断服务,应及时通知公司信息管理部。
5、信息管理部应该在半小时内联系相关厂商进行问题排查,如短时间内无法恢复,应及时上报应急领导小组。
(三)网站、网页出现非法言论事件紧急处置措施
1、公司员工有义务留意网站、网页的信息内容。发现在网上出现非法信息时,相关人员应立即向信息管理部通报情况。
2、信息管理部应在接到通知后立即赶到现场,作好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,强化安全防范措施,并将网站网页重新投入使用。
3、追查非法信息来源,并将有关情况向本单位网络及信息系统安全事件应急领导小组汇报。
4、网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
(四)黑客攻击事件紧急处置措施
1、当有关值班人员发现网页内容被篡改,或通过入侵
检测系统发现有黑客正在进行攻击时,应立即向本单位通报情况
2、信息安全相关负责人应在接到通知后立即赶到现场,并首先将被攻击的股务器等设备从网络中隔离出来,保护现场,并将有关情况向本单位网络及信息系统安全事件应急领导小组汇报。
3、对现场进行分析,并写出分析报告存档。
4、恢复与重建被攻击或破坏系统
5、网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
(五)病毒事件紧急处置措施
1、当发现有计算机被感染上病毒后,应立即向本单位信息安全负责人报告,将该机从网络上隔离开来。
2、信息安全相关负责人员在接到通报后立即赶到现场。
3、启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。
4、如果现行反病毒软件无法清除该病毒,应立即向本单位网络及信息系统安全事件应急领导小组报告,并迅速联系有关产品商研究解决。
5、网络及信息系统安全事件应急领导小组经会商,认为情况严重的,应立即向公安部门报警。
(六)软件系统遭破坏性攻击的紧急处置措施
重要的软件系统平时必须做好备份工作,并将它们保存到安全的地方;一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并将该系统暂停运行;信息安全负责人要认真检查信息系统的日志等资料,确定攻击来源,并将有关情况向网络及信息系统安全事件应急领导小组汇报,再恢复软件系统和数据;网络及信息系统安全事件应急领导小组组长召开小组会议,如认为事态严重,则立即向公安部门报警。
(七)数据库安全紧急处置措施
主要数据库系统应做多个数据库备份;一旦数据库崩溃,值班人员应立即启动备用系统,并向信息安全负责入报告;在备用系统运行期间,信息安全工作人员应对主机系统进行维修并作数据恢复。
(八)电话网及城域网外部线路中断紧急处置措施
1、电话网及城域网线路中断后,值班人员应立即向信息安全负责人报告。
2、信息安全相关负责人员接到报告后,应迅速判断故障节点,查明故障原因。
3、如属我方管辖范围,由信息安全工作人员立即予以恢复。
4、如属电信部门管辖范围,立即与电信维护部门联系,要求修复。
(九)设备安全紧急处置措施
如果服务器等关键设备损坏后,值班人员应立即向信息安全负责人报告。信息安全相关负责人员要立即查明原因。如果能够自行恢复,应立即用备件替换受损部件。如属不能自行恢复的,立即与设备提供商联系,请求派维护人员前来维修。如果设备一时不能修复,应向本单位信息系统安全事件应急领导小组报告。
第二十一条 应急结束
突发灾害性事件应急处置工作基本完成,事件危害被基本消除,经信息系统安全事件应急领导小组研究或总裁批准后,终止应急状态。
应急处置工作结束后,应将情况及时通知参与事件处置的各部门。
第八章后续工作
第二十二条 善后处置
应急结束后要组织力量开展灾害性事件损害核定工作,及时处理现场,对事件情况、恢复能力等做出评估,制定事后恢复计划并实施。凡发生水灾、地震等重大自然灾害及安全事件,要迅速通知保险经纪公司、保险公司对本公司财产损失进行勘察、核准,以开展保险受理、赔付工作,尽量减少本公司资产损失。
第二十三条 评估分析
在灾害性事件处置结束后,信息管理部对事件的起因、影响、责任、应急预案和措施的有效性等进行全面评估,总结经验教训,制定改进措施,并在15日内向总裁提交总结报告。
第二十四条 问责与处罚
在调查评估的基础上,应按照管理权限和组织程序,对事件责任人员实行问责与处罚。对在预防和处置灾害性事件工作中,由于不按规定制定应急预案或及时报告、及时处置,或处置失当并造成严重后果的,要依照有关规定给予相应的党纪、政纪处分乃至移送司法机关处理等处罚。
第二十五条 奖励与表彰
对在预防和处置灾害性事件工作中作出突出贡献的集体和个人,可予以表彰奖励;对因参与应急处理工作致病、致残、死亡的人员,可按有关规定给予相应的补助和抚恤。
第九章应急保障
第二十六条 技术支撑保障
信息管理部自行逐步建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
第二十七条 应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全公司信息安全防御意识。
第二十八条 物资条件保障
安排公司信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
第二十九条 技术储备保障
信息系统安全事件应急领导小组组织相关人员,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
第十章宣传、培训和演习
第三十条 公众信息交流
信息管理部在应急预案修订、演练的前后,应利用公司各种方式开展宣传;不定期地利用各种安全活动向公司员工宣传信息安全应急法律、法规和预防、应急的常识。
第三十一条 人员培训
为确保信息安全应急预案有效运行,信息系统安全事件应急领导小组定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
第三十二条 应急演习
为提高信息安全突发事件应急响应水平,信息系统安全事件应急领导小组定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
第十一章附则
第三十三条 本预案自印发之日起执行。
第二篇:网络信息系统应急预案
网络信息系统应急预案
一、总则
(一)目的
为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。全局信息安全突发事件应急工作由省局统一领导和协调,相关部门按照“统一领导、归口负责、综合协调、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁运营、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合我局所属信息安全工作力量。充分依靠局各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、预警和预防机制
(一)预警
省保障中心接到信息安全突发事件报告后,在经初步核实后,将有关情况及时向上级主管部门报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据应急委的决策实施行动方案,发布指示和命令。
(二)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
三、应急处理程序
(一)级别的确定
根据《信息系统安全等级保护定级报告》确定信息安全事件等级。
(二)预案启动
根据网络信息安全事件等级的不同,相关部门启动相应预案,并负责应急处理工作。
(三)现场应急处理
事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息,判别事件类别,确定事件来源,保护证据,以便缩短应急响应时间。
检查威胁造成的结果,评估事件带来的影响和损害:如检查系统、服务、数据的完整性、保密性或可用性;检查攻击者是否侵入了系统;以后是否能再次随意进入;损失的程度;确定暴露出的主要危险等。
抑制事件的影响进一步扩大,限制潜在的损失与破坏。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统的物理链接,修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号,阻断可疑用户得以进入网络的通路;提高系统或网络行为的监控级别;设置陷阱;启用紧急事件下的接管系统;实行特殊“防卫状态”安全警戒;反击攻击者的系统等。
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。
清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心,避免出现操作失误而导致数据丢失。另外,恢复工作中如果涉及机密数据,需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权,一次完整的恢复应强制性地修改所有的口令。
(四)报告和总结
回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后将处理结果报上级主管部门备案。
(五)应急行动结束
根据信息安全事件的处置进展情况和现场应急处理工作组意见,省局组织相关部门及专家组对信息安全事件处置情况进行综合评估,并提出应急行动结束建议,报相关部门审批。应急行动是否结束,相关主管部门决定。
四、保障措施
(一)技术支撑保障
省局建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高全社会信息安全防御意识。大力发展信息安全服务业,增强社会应急支援能力。
(三)物资条件保障
安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
省局组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
五、宣传、培训和演习
(一)公众信息交流
省局在应急预案修订、演练的前后,应利用各种新闻媒介开展宣传;不定期地利用各种安全活动向社会大众宣传信息安全应急法律、法规和预防、应急的常识。
(二)人员培训
为确保信息安全应急预案有效运行,定期或不定期举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
(三)应急演习
为提高信息安全突发事件应急响应水平,定期或不定期组织预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。计算机系统或网络系统。依据计算机系统和网络系统的特点,信息安全事件的客体可分为信息系统、信息内容和网络基础设施三大类。
第三篇:网络信息系统应急预案
网络信息系统应急预案
一、总则
(一)制定目的为科学应对网络与信息安全(以下简称信息安全)突发事件,建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,制订本应急预案。
(二)工作原则
1.统一领导,协同配合。支队信息安全突发事件应急工作由安全管理小组负责人统一领导和协调,相关部门按照“统一领导、综合协调、分级管理、各司其职”的原则协同配合,具体实施。
2.明确责任,依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求,依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责,谁使用、谁负责”的原则,实行责任分工制和责任追究制。
3.条块结合,整合资源。充分利用现有信息安全应急支援服务设施,整合信息安全工作力量。充分依靠各有关部门在地方的信息安全工作力量,进一步完善应急响应服务体系,形成局域信息安全保障工作合力。
4.防范为主,加强监控。宣传普及信息安全防范知识,牢固树立“预防为主、常抓不懈”的意识,经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及时采取有效的可控措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、预警和预防机制
(一)预警
在信息安全突发事件发生后,应及时将有关情况向上级主管部门报告。在进一步综合情况,研究分析可能造成损害程度的基础上,提出初步行动对策,视情况召集协调会,并根据所研究出的决策实施行动方案,发布指示和命令。
(二)预防机制
积极推行信息安全等级保护,逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件,各相关部门建立制度化、程序化的处理流程。
三、应急处理程序
(一)按照国家有关规定保护现场、相应的日志文件及可以保护的重要数据,通知有关单位并及时初步上报有关部门所发生的情况。
(二)联系上级单位应急小组,协调是否采取网络隔离措施,同时获得必要的技术支持。
(三)对所发生的安全事件进行分析,通过行政和技术手段排出存在的隐患;
(四)对系统进行恢复和加固处理,及时恢复网络通讯和信息服务。
(五)密切监测本单位网络及信息系统情况,确保运行状态稳定。
(六)将安全事件处理结果上报有关部门。
四、保障措施
(一)技术支撑保障
建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力:从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
(二)应急队伍保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍。
(三)物资条件保障
安排信息化建设专项资金用于预防或应对信息安全突发事件,提供必要的经费保障,强化信息安全应急处理工作的物资保障条件。
(四)技术储备保障
组织有关专家和科研力量,开展应急运作机制、应急处理技术、预警和控制等研究,组织参加相关培训,推广和普及新的应急技术。
第四篇:xxxx公司信息系统应急预案
xxxx有限公司信息系统应急预案
本预案是信息技术部根据公司有关法规和政策,结合公司信息系统建设和运行情况,重点针对公司可能发生的重大突发事件编制的,包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施等,其中明确规定了在发生信息系统突发事件情况下,信息系统管理人员的相关职能和工作方法,具有一定的指导性和可操作性。
一、总则
(一)目的
为科学应对信息系统突发事件,建立健全信息系统的应急响应机制,有效预防、及时控制和最大限度地消除各类突发事件的危害和影响,制订本应急预案。
(二)工作原则 1.统一领导
遇到重大信息系统异常情况,应及时向有关领导报告,以便于统一调度、减少损失。2.重点突出
应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键信息系统上。
3.及时反应,积极应对
出现信息系统故障时,信息系统维护人员应及时发现、及时报告、及时抢修、及时控制,积极对信息系统突发事件进行防范、监测、预警、报告、响应。
4.快速恢复
信息系统管理人员在坚持快速恢复系统的原则下,根据职责分工,加强团结协作,必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。
5.防范为主,加强监控
经常性地做好应对信息系统突发事件的思想准备、预案准备、机制准备和工作准备,提高基础设备和重要信息系统的综合保障水平。加强对信息系统应用的日常监视,及时发现信息系统突发性事件并采取有效措施,迅速控制事件影响范围,力争将损失降到最低程度。
二、应急工作小组机构及职责
在信息系统事件的处理中,一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复,防止类似事件的发生都具有重要意义。
结合公司信息系统的实际情况,将有关应急人员的角色和职责进行了明确的划分。1.应急处理领导小组
及时掌握信息系统故障事件的发展动态,向上级部门报告事件动态;对有关事项做出重大决策;启动应急预案;组织和调度必要的人、财、物等资源。
应急处理领导小组组长:总经理
应急处理领导小组成员:副总经理、各部门部长
2.应急处理工作小组
负责定期了解外部支持人员的变动情况,及时更新其技术人员及联系方式等信息;快速响应信息系统发现的故障事件、业务部门对信息系统故障的申告;执行信息系统故障的诊断、排查和恢复操作;定期通过设备监控软件、系统运行报告等工具对信息系统的使用情况进行分析,尽早发现信息系统的异常状况,排除信息系统的隐患。
工作小组组长:信息技术部负责人 工作小组成员:信息技术部全体成员 3.外部支持人员
包括电信运营商、设备供应商以及系统集成商。负责事先向信息技术部提供紧急情况下的应急技术方案和应急技术支援体系;积极配合信息技术部应急人员进行故障处理。
三、预警和预防机制
(一)信息系统监测及报告 1.信息系统的日常管理和维护
信息系统的日常管理和维护应加强信息系统应用的监测、分析和预警工作。2.建立信息系统故障事故报告制度
发生信息系统故障时,值班人员应当立即向应急处理小组领导报告,并及时进行故障处理、调查核实、保存相关证据等。
(二)预警
在接到突发事件报告后,应当经初步核实之后,将有关情况及时向应急处理小组领导报告,进一步进行情况综合,研究分析可能造成损害的程度,提出初步行动对策。由上级领导视情况紧急程度召集协调会,决策行动方案,发布指示和实施命令等。
(三)预防机制 各业务信息系统和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定并不断完善应急处理预案。针对基础信息信息系统的突发性、大规模异常事件,各相关部门建立制度化、程序化的处理流程。
四、应急处理程序
(一)信息系统突发事件分类分级的说明
根据业务信息系统突发事件的发生原因、性质和机理,业务信息系统突发事件主要分为以下三类: 1.攻击类事件:指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、信息系统瘫痪等情况。
2.故障类事件:指信息系统因计算机软硬件故障、停电、人为误操作等导致业务中断、系统宕机、信息系统瘫痪等情况。
3.灾害类事件:指因爆炸、火灾、雷击、地震、台风等外力因素导致信息系统损毁,造成业务中断、系统宕机、信息系统瘫痪等情况。
按照突发事件的性质、严重程度、可控性和影响范围,将其分为一般故障、严重故障、重大故障三级。
1.一般故障
信息系统中单个系统故障,但未影响业务系统运行,也未造成社会影响或经济损失的突发事件。
2.严重故障
信息系统出现故障导致公司业务中断,可能造成较大业务影响或较大经济损失的突发事件。
3.重大故障
特指发生不可预见的灾难性事故,如火灾、水灾和地震等。
(二)信息系统应急预案启动
根据以上定义的故障分级,当信息系统事件的要素满足启动应急预案要求时,进入相应的应急启动流程。
(1)应急处理工作小组从业务人员或值班人员的故障申告、信息系统监控报告的故障告警中得知信息系统异常事件后,应在第一时间赶赴信息系统故障现场。(2)应急处理工作小组针对信息系统事件做出初步的分析判断。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的信息系统问题,及时按照有关操作规程进行故障处理,并报领导小组备案;否则,应急处理工作小组将故障大致定性为设备故障、线路故障、软件故障等故障之一,及时告知领导小组和受影响的相关部门,并采取措施避免事件影响范围的扩大。
(3)应急处理工作小组向领导小组报告,在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件,还要及时向北京总部进行报告。
(4)应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中,设备故障的,可与设备供应商和集成商联系;软件故障的,可与系统集成商联系,由系统集成商进行现场或远程技术支持;线路故障的,可与电信运营商联系,三方密切协作力求通信线路在短时间内恢复正常。
(5)应急处理工作小组在上级机构或外部支持人员的配合下,充分利用应急预案的资源准备,采取有力措施进行故障处理,及时恢复信息系统的正常工作状态。
(6)应急处理工作小组通知业务部门信息系统恢复正常,并向领导小组报告故障处理的基本情况。重大事件形成文字资料,以书面形式向上级报告。
(7)总结整个处理过程中出现的问题,并及时改进应急预案。
(三)现场应急处理
(1)如遇到预知外界因素(如定时、定点停电)影响业务信息系统系统的正常运行,将根据有关部门的通知,提前安排技术人员到实地关闭信息系统设备并进行现场维护,直至外界因素消除。
(2)如遇到不可抗力因素(如火灾)造成的信息系统系统故障时,接到通知的值班人员要快速到达现场,果断切断相关设备配电柜的电源,积极参与消除不可抗力因素,并及时将情况上报应急处理工作小组领导。
(3)如遇到一般故障、严重故障和重大故障,影响信息系统的正常运行,值班人员要迅速、及时地赶到现场,进行相应突发事件的应急处理。
五、保障措施
(一)应急演练 为提高信息系统突发事件应急响应水平,信息技术部和相关部门应定期或不定期组织应急预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充、完善。
(二)人员培训
为确保本应急预案有效运行,应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会,以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急处理知识和技能。
(三)硬件资源保障
为了在信息系统设备发生故障时能够尽量降低业务系统的受影响程度,须为相应的核心业务信息系统提供必要的备份设备与线缆等硬件资源,并且配备与现有设备兼容的设备,确保相似或兼容的设备可以在应急情况下调配使用。这些备份设备需预先采购并保存在专门位臵。
(四)文档资料准备
包括信息系统工程文档、维护手册、操作手册、设备配臵参数、拓扑图以及IP地址规范及分布情况等。
(五)技术支持保障
建立预警与应急处理的技术平台,进一步提高信息系统突发事件的发现和分析能力,从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务信息系统、系统以及相关部门之间应急处理的联动机制。
(六)公众信息交流
在应急预案修订、演练的前后,应利用各种信息渠道进行宣传,并不定期的利用各种活动,宣传信息系统等突发事件的应急处理规程及其预防措施等应急常识。
六、附则
(1)本预案所称信息系统突发事件,是指由于自然灾害、设备软硬件故障、内部人为失误或破坏等原因,信息系统的正常运行受到严重影响,出现业务中断、系统破坏、数据破坏等现象,造成不良影响以及造成一定程度直接或间接经济损失的事件。
(2)本预案通过演习、实践检验,以及根据应急力量变更、新技术、新资源的应用和应急事件发展趋势,及时进行修订和完善;所附的成员、联系方式等发生变化时也随时修订。
(3)本预案自发布之日起实施。
第五篇:电力网络信息系统安全事故应急预案
日照旭日发电有限公司电力网络信息系统安全事故
应急预案 总则 1.1编制目的
高效、有序地处置电力网络信息系统安全突发事件,确保重要信息系统的实体安全、运行安全和数据安全,避免和减轻重大经济损失及政治影响,保障员工生命和企业财产安全,维护社会稳定。1.2编制依据
《中华人民共和国突发事件应对法》
《生产经营单位安全生产事故应急预案编制导则》 《电力企业专项应急预案编制导则》 1.3适用范围
适用于本企业电力网络信息系统安全突发事件的应急处置和应急救援工作。2 应急处置基本原则
遵循“安全第一,预防为主,综合治理”的方针,坚持防御和救援相结合的原则,统一领导、分工负责、加强联动、快速响应,最大限度的减少突发事件造成的损失。3 事故类型和危害程度分析 3.1事故风险的来源、特性
通过危险源辨识和风险评估,在过去的公司生产经营过程中,存在如下安全风险,可能会导致发生电力网络信息系统安全突发事件。3.1.1由于自然灾害引起的网络与信息系统安全事故。3.1.2由于事故灾难引起的网络与信息系统安全事故。3.1.3由于人为破坏引起的网络与信息系统安全事故。3.2事故类型、影响范围及后果
3.2.1自然灾害:指地震、台风、雷电、火灾、洪水等。
3.2.2事故灾难:指电力中断、网络损坏或是软件、硬件设备故障等。
3.2.3人为破坏:指人为破坏网络线路、通讯设施,黑客攻击,病毒攻击,恐怖袭击等。4 事件分级 按照事件性质、严重程度、可控性和影响范围等因素,电力网络信息系统安全突发事件一般分为四级Ⅰ级(特别重大)、Ⅱ级(重大)、Ⅲ级(较大)、Ⅳ级(一般),具体情况如下: 4.1Ⅰ级:电力网络信息系统瘫痪和失控造成风电公司或风电场负有责任的电网事故、特大或对风电公司产生严重负面影响的突发事件。
4.2 Ⅱ级:电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电公司产生重大负面影响的突发事件。
4.3 Ⅲ级:电力网络信息系统瘫痪和失控造成或可能造成一条集电线路或其中的单台机组被迫停止运行或对公司产生较大负面影响的突发事件。
4.4 Ⅳ级:造成或可能造成电力网络信息系统主要功能故障的突发事件。5 应急指挥机构及职责 5.1应急指挥机构 5.1.1应急指挥领导小组 组长:总经理 副组长:生产副总经理
成员:经理部经理、财经部经理、安生部经理、规划部经理。5.1.2应急处置工作
继保应急组 继保人员
信息应急组 信息中心人员
运行应急组 当值运行人员
后勤保障组 经理工作部人员
通讯保障组 运行信息人员
设备应急组 运行维护人员
安全保卫组 安监部人员、保卫人员 5.2 应急指挥机构的职责 5.2.1应急指挥领导小组职责:
(1)贯彻落实国家及国家电网公司有关安全生产事故应急工作的法律法规和要求。(2)接受国家电网公司和地方政府应急指挥机构的领导,请求和提供应急救援。(3)统一领导电力网络信息系统安全事故的预防和应急处置工作。
(4)组织制定电力网络信息系统安全事故应急预案管理制度等,并定期对其进行评估和修订。(5)发布电力网络信息系统安全事故应急预案的启动命令和终止命令。(6)统一指挥协调电力网络信息系统安全事故应急预案的实施工作。(7)发布电力网络信息系统安全事故的进展与处置情况。5.2.2运行应急组职责
(1)负责在应急指挥组的统一领导下,保证机组的安全运行。(2)值长负责向上级调度汇报事故情况和处理进展情况。(3)组织各应急小组采取有效措施保证机组的安全运行。5.2.3继保应急组职责
负责在“电力网络故障”后组织力量赶赴现场,组织电力网络系统检查分析及应急处理。
5.2.4信息应急组职责
负责信息设备检查分析及应急处理,确保信息设备安全运行。5.2.5后勤保障组职责
负责组织救护车辆,安排事故恢复所必需的生产车辆及提供救援人员食宿等后勤保障工作。
5.2.6通讯保障组职责
提供生产调度通信保障,包括固定电话、移动电话、载波通信、对讲机等,确保生产调度通讯畅通。5.2.7设备应急组职责
(1)按照专业分工尽快到达现场
(2)事故处理期间,要求各岗位尽责尽职,根据情况对设备采取相应保护、隔离措施,对可能产生的不良影响提出事故处理方案。5.2.8安全保卫保障组职责
(1)发生事故后维持现场秩序、现场警戒,划定警戒区域。(2)控制现场人员,无关人员不准出入现场。
(3)负责抢险现场安全隔离措施的检查,并督促相关部门执行到位。(4)组织实施事故恢复所必须采取的临时性措施。
(5)协助完成事故(发生原因、处理经过)调查报告的编写和上报工作。6 预防与预警 6.1风险监测 6.1.1电力网络应用功能监测
安全生产部当值运行人员负责,监测风电机组控制系统SCADA,SVC控制系统、自动控制装置、五防系统、电能量采集装置、继电保护、故障录波等运行是否正常,收集事件的类型、发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。6.1.2通讯监测
安全生产部当值运行人员负责,监视通讯机房内设备运行状况,收集事件的类型,发生时间、发生地点、事件的原因、性质、范围、严重程度、事件已经造成的影响和发展趋势、已采取的控制措施及效果,发现异常立即上报值长。6.1.3信息报告程序
风险监测所获得信息的报告程序:获得的信息人直接报告值长,值长按汇报程序通知本预案相关人员。6.2预警发布与预警行动
预警分为四级预警,具体分类如下:
Ⅰ级预警:发电厂电力网络信息系统异常影响调度中心电力网络正常运行。
Ⅱ级预警:两台及以上风电机组公用电力网络信息系统异常。Ⅲ级预警:单台机组电力网络信息系统异常。Ⅳ级预警:电力网络信息系统单个或多个功能异常。6.2.1预警的发布程序和相关要求
当发生电力网络信息系统异常时,发现人应立即汇报值长,值长启动预警行动,要求记录异常发生的时间、过程和处理经过。6.2.2预警发布后的应对程序和措施
当运行人员发现电力网络信息系统异常时,应联系相关单位询问相关系统运行状况,进行初步分析、判断和处理,必要时向调度申请退出异常的系统功能保证机组的安全运行。
检修人员根据异常情况对可能造成的危害和影响进行分析判断,查明异常原因进行处理。6.3预警结束
6.3.1 Ⅰ级结束预警的条件:设备异常原因明确,调度中心同意异常原因和处理方案,系统已恢复正常运行。
6.3.2 Ⅱ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.3 Ⅲ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。异常的风电机组已恢复正常运行。
6.3.4 Ⅳ级结束预警的条件:设备异常原因明确,系统已恢复正常运行。7 信息报告
7.1发生电力网络安全事故后,立即汇报值长。7.2值长汇报风场场长,并按规定向上级单位汇报。
7.3报告内容主要包括:报告单位、报告人,联系人、联系方式,报告时、地点和现场情况:事件的简要经过、人员伤亡和财产损失情况的初步估计;事件原因的初步分析,事件发生后已经采取的措施、效果及下一步工作方案;其他需要报告的事项。8 应急响应 8.1响应分级
按照电力网络安全事故的严重程度和影响范围,应急响应级别分为四级响应。8.1.1 Ⅰ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成公司负有责任的电网事故、特大或对风电分公司产生严重负面影响的突发事件。8.1.2 Ⅱ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成全风场对外停电的重大设备事故或对风电分公司产生重大负面影响的突发事件。8.1.3 Ⅲ级响应
由于电力网络信息系统瘫痪和失控造成或可能造成整条集电线路所有机组被迫停运或对风电分公司产生较大负面影响的突发事件。8.1.4 Ⅳ级响应
造成或可能造成电力网络信息系统主要功能故障。8.2 响应程序
8.2.1该预案由总经理宣布启动,8.2.2各岗位人员按照本预案处理。
8.2.3各应急小组人员及时进入现场进行应急处理。8.3 应急处置 8.3.1 Ⅰ级应急处置
(1)先期处置:运行应急组向调度中心申请退出与调度中心相关的自动功能系统,确保机组安全。
(2)应急处置:接受调度中心指挥,通讯应急小组向调度中心申请断开与调度中心的联络通道;运行应急小组应终止机组重大操作,确定机组负荷,积极与调度中心沟通升降负荷,保证电网稳定。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.2 Ⅱ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。发生全场停电时,启动全场停电应急预案。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.3 Ⅲ级应急处置
(1)先期处置:运行应急组确保停机机组安全停机,确保机组安全停机。在控制室之间设隔离带。
(2)应急处置:了解事件基本情况,对故障系统进行检查,检查与事件有关的仪表、自动装置、保护、故障录波器、遥测遥信、遥控和计算机等记录和动作情况,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.3.4 Ⅳ级应急处置
(1)先期处置:运行应急组退出故障系统。
(2)应急处置:了解事件基本情况,对故障系统进行检查,分析事件原因,对故障系统进行抢修或可靠隔离。
(3)扩大应急响应:经应急处置后,事态难以控制或有扩大发展趋势时,应急指挥领导小组研究决定下达扩大应急响应命令。8.4 应急结束
当故障消除时,机组运行稳定,事故现场已得到恢复后由总经理宣布本预案结束。9 后期处置 9.1后期处置内容
各单位生产人员在公共系统发生故障后,在人生安全不受危害的情况下要坚守本职岗位,使生产、生活秩序正常运行。9.2事故调查与应急评估
9.2.1按照国家法律法规、法规规定组成事故调查组进行事故调查。事故调查坚持实事求是、尊重科学的原则,客观、公正、准确及时地查清事故原因、发生经过、恢复情况、事故损失、事故责任等,提出防范措施和事故责任处理意见。
9.2.2组织或聘请有关专家对事件应急处置过程进行评估,并形成评估报告。评估内容的报告应包括:事故发生的经过、现场调查结果;事故发生的主要原因分析、责任认定等结论性意见;事故处理结果或初步处理意见;事故的经验教训、存在的问题与困难;改进工作的建议和应对措施等。9.3应急工作总结与评价
设备故障所涉及的相关单位应及时总结应急处置工作的经验和教训,对故障所做的技术分析以及各单位采取的整改措施开展技术交流,进一步完善和改进突发事件的应急处置、应急救援、事故抢修等的保障体系,提高整体应急处置能力。10 应急保障 10.1应急队伍
按照一专多能的要求,建立电力网络信息安全应急救援队伍,由安全生产部负责组建,经理工作部、财务经营部、规划发展部和维护单位相互配合。选择技术水平较高、熟悉现场设备系统、具有相关作业资质、管理协调能力较强、服务能力较强的人员,必要时能够有效调动华北电科院、生产厂家等保障力量,进行技术支援。10.2应急物资与装备
各重要电力网络信息系统的责任专业在建设系统时,应事先预留出一定的应急设备,建立信息网络硬件、软件、应急救援设备等应急物资库。电力网络信息安全突发事件发生后时,有应急指挥领导小组负责统一调用。10.3通信与信息
建立包括公司领导及各部门领导、专业负责人和电网调度等人员在内的通讯录,并保证主管以上岗位人员手机24小时联系畅通。事故情况下直接拨打值长电话,值长按汇报程序,通知本方案组相关人员。10.4 经费
应急处置资金列入本企业财政预算。10.5 其他 11 培训和演练
11.1为确保突发事件发生时相关人员能及时、正确应对,应加强员工教育,提高员工对危及事件的认识、分析、判断、处理的能力,力求险情发生后在预案实施过程中各级人员各尽其责,迅速投入到抢险工作中去,从而有效预防和减小影响和损失。
11.2应急领导小组、专业应急小组人员熟悉本预案内容,每年组织相关部门的员工对本预案进行学习。
11.3演练要求:每年组织一次演练,按照应急预案要求,根据实际情况进行模拟,由总指挥布置、安全生产部组织,各相关部门具体实施。