1、 集團網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案1 范圍本制度規(guī)定了集團公司集團網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的處理事宜。本制度適用于集團公司全體員工及各類網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件。2 規(guī)范性引用文件及術(shù)語和定義2.1 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 2.2 術(shù)語和定義下列術(shù)語和定義適用于本制度。2.2.1 網(wǎng)絡(luò)與信息系統(tǒng)安全突發(fā)事件網(wǎng)絡(luò)與信息系統(tǒng)安全突發(fā)事件是指集團核心設(shè)備或關(guān)鍵信息系統(tǒng)故障、網(wǎng)絡(luò)運行環(huán)境出現(xiàn)重大變化，或遭受網(wǎng)絡(luò)攻擊，致使集團公司網(wǎng)絡(luò)及信息系統(tǒng)無法正常運營的事

2、件。3 職責3.1 應(yīng)急處置小組職責3.1.1 集團公司網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急處置小組由信息化分管領(lǐng)導(dǎo)擔任組長，信息部部長擔任副組長。成員包括：信息部、各業(yè)務(wù)部門、各軟件開發(fā)單位及網(wǎng)絡(luò)運維單位相關(guān)工作人員。3.1.2 負責編制、修訂網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案。3.1.3 及時組織專業(yè)技術(shù)人員對網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件進行應(yīng)急處置；負責調(diào)查和處置網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件，及時上報并按照相關(guān)規(guī)定作好善后工作。3.1.4 負責組織應(yīng)急培訓和演練。4 目的與管理原則4.1 集團公司網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案管理的目的是提高集團公司處理網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件的能力，形成科學、有效、反應(yīng)迅速的應(yīng)急

3、工作機制，確保重要計算機信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減少網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件對集團公司正常運營的影響。4.2 集團公司網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案管理的原則包括：預(yù)防為主原則。立足安全防護，加強預(yù)警，重點保護基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，從預(yù)防、監(jiān)控、應(yīng)急處理、應(yīng)急保障等環(huán)節(jié)，采取多種措施，共同構(gòu)筑網(wǎng)絡(luò)與信息系統(tǒng)保障體系；快速反應(yīng)原則。在網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件發(fā)生時，按照快速反應(yīng)機制，及時獲取充分而準確的信息，迅速處置，最大程度地減少危害和影響；分級負責原則。按照“誰使用誰負責”的原則，建立和完善安全責任制及聯(lián)動工作機制。根據(jù)部門職能，各司其職，加強協(xié)調(diào)與配合，形成合力

4、，共同履行應(yīng)急處置工作的管理職責。5 規(guī)范要求內(nèi)容5.1 應(yīng)急準備及措施 5.1.1 集團公司信息部和各軟件開發(fā)單位、運維單位明確職責和管理范圍，根據(jù)實際情況，安排應(yīng)急值班，確保到崗到人，聯(lián)絡(luò)暢通，處理及時準確。5.1.2 建立安全、可靠、穩(wěn)定運行的機房環(huán)境，防火、防盜、防雷電、防水、防靜電、防塵；建立備份電源系統(tǒng)；加強所有人員防火、防盜等基本技能培訓。5.1.3 實行實時監(jiān)視和監(jiān)測，采用認證方式避免非法接入和虛假路由信息。5.1.4 重要系統(tǒng)采用可靠、穩(wěn)定硬件，落實數(shù)據(jù)備份機制，遵守安全操作規(guī)范；安裝有效的防病毒軟件，及時更新升級掃描引擎。5.1.5 安裝反入侵檢測系統(tǒng)，監(jiān)測惡意攻擊、病毒等

5、非法侵入技術(shù)的發(fā)展，控制有害信息經(jīng)過網(wǎng)絡(luò)的傳播，建立網(wǎng)關(guān)控制、內(nèi)容過濾等控制手段。5.2 機房漏水應(yīng)急預(yù)案5.2.1 發(fā)生機房漏水時，第一目擊者應(yīng)立即通知信息部，并及時報告應(yīng)急處置小組組長。5.2.2 若空調(diào)系統(tǒng)出現(xiàn)滲漏水，信息部應(yīng)立即安排停用故障空調(diào)，清除機房積水，并及時聯(lián)系設(shè)備供應(yīng)方處理，同時啟動備用空調(diào)，必要情況下可臨時用電扇對服務(wù)器進行降溫。5.2.3 若為墻體滲漏水，信息部應(yīng)立即采取有效措施確保機房安全，同時安排通知物業(yè)，及時清除積水，維修墻體，消除滲漏水隱患。5.3 設(shè)備發(fā)生被盜或人為損害事件應(yīng)急預(yù)案5.3.1 發(fā)生設(shè)備被盜或人為損害設(shè)備情況時，使用者或管理者應(yīng)立即報告應(yīng)急處置小組

6、，同時保護好現(xiàn)場。5.3.2 應(yīng)急處置小組接報后，通知辦公室、物業(yè)及公安部門，一同核實審定現(xiàn)場情況，清點被盜物資或盤查人為損害情況，做好必要的影像記錄和文字記錄。5.3.3 事發(fā)單位和當事人應(yīng)當積極配合公安部門進行調(diào)查， 并將有關(guān)情況向應(yīng)急處置小組匯報。5.3.4 應(yīng)急處置小組安排信息部、事發(fā)單位及時恢復(fù)網(wǎng)絡(luò)正常運行，并對事件進行調(diào)查。信息部和事發(fā)單位應(yīng)在調(diào)查結(jié)束后一日內(nèi)書面報告應(yīng)急處置小組。5.4 機房長時間停電應(yīng)急預(yù)案5.4.1 接到停電通知后，如果停電時間在8小時以內(nèi)的，信息部聯(lián)系供電車，確保機房空調(diào)正常運轉(zhuǎn)，并檢查 UPS是否能正常工作。5.4.2 如果停電時間超過8小時，信息部應(yīng)及時

7、通過辦公系統(tǒng)、電話等發(fā)布相關(guān)信息，部署應(yīng)對具體措施，要求用戶在停電前停止業(yè)務(wù)、保存數(shù)據(jù)。5.5 網(wǎng)絡(luò)故障應(yīng)急預(yù)案5.5.1 發(fā)生通信線路中斷、路由故障、流量異常、域名系統(tǒng)故障后，操作員應(yīng)及時通知信息部負責人。5.5.2 信息部接報告后，應(yīng)及時查清通信網(wǎng)絡(luò)故障位置，通知相關(guān)通信網(wǎng)絡(luò)運營商查清原因；同時及時組織相關(guān)技術(shù)人員檢測故障區(qū)域，逐步恢復(fù)故障區(qū)與服務(wù)器的網(wǎng)絡(luò)聯(lián)接，恢復(fù)通信網(wǎng)絡(luò)，保證正常運轉(zhuǎn)。5.5.3 應(yīng)急處置結(jié)束后，信息部和事發(fā)單位應(yīng)將故障分析報告，在調(diào)查結(jié)束后一日內(nèi)書面報告應(yīng)急處置小組。5.6 不良信息和網(wǎng)絡(luò)病毒事件應(yīng)急預(yù)案5.6.1 發(fā)現(xiàn)不良信息或網(wǎng)絡(luò)病毒時，信息部網(wǎng)絡(luò)及硬件運維崗應(yīng)立

8、即斷開網(wǎng)線，終止不良信息或網(wǎng)絡(luò)病毒傳播，并報告應(yīng)急處置小組。5.6.2 信息部應(yīng)根據(jù)應(yīng)急處置小組指令，采取隔離網(wǎng)絡(luò)等措施， 及時殺毒或清除不良信息， 并追查不良信息來源。5.7 服務(wù)器軟件系統(tǒng)故障應(yīng)急預(yù)案5.7.1 發(fā)生服務(wù)器軟件系統(tǒng)故障后，信息部部長應(yīng)立即組織啟動備份服務(wù)器系統(tǒng)，由備份服務(wù)器接管業(yè)務(wù)應(yīng)用，并及時報告應(yīng)急處置小組； 同時安排相關(guān)責任人將故障服務(wù)器脫離網(wǎng)絡(luò)，保存系統(tǒng)狀態(tài)不變，取出系統(tǒng)鏡像備份磁盤，保持原始數(shù)據(jù)。5.7.2 信息部應(yīng)在確認安全的情況下，重新啟動故障服務(wù)器系統(tǒng)；重啟系統(tǒng)成功， 則檢查數(shù)據(jù)丟失情況， 利用備份數(shù)據(jù)恢復(fù)； 若重啟失敗，立即聯(lián)系相關(guān)廠商和上級單位，請求技術(shù)支

9、援，作好技術(shù)處理。5.7.3 事態(tài)或后果嚴重的，及時報告集團公司領(lǐng)導(dǎo)。5.7.4 處置結(jié)束后，信息部應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急處置小組。5.8 黑客攻擊事件應(yīng)急預(yù)案5.8.1 當發(fā)現(xiàn)網(wǎng)絡(luò)被非法入侵、網(wǎng)頁內(nèi)容被篡改，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法拷貝、修改、刪除，或通過入侵檢測系統(tǒng)發(fā)現(xiàn)有黑客正在進行攻擊時，使用者或管理者應(yīng)斷開網(wǎng)絡(luò)，并立即報告應(yīng)急處置小組。5.8.2 接報告后，應(yīng)急處置小組應(yīng)立即指令信息部核實情況，關(guān)閉服務(wù)器或系統(tǒng)，修改防火墻和路由器的過濾規(guī)則，封鎖或刪除被攻破的登陸帳號，阻斷可疑用戶進入網(wǎng)絡(luò)的通道。5.8.3 信息部應(yīng)及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)、程序，恢復(fù)系統(tǒng)

10、和網(wǎng)絡(luò)正常。5.8.4 處置結(jié)束后，信息部應(yīng)將事發(fā)經(jīng)過、處置結(jié)果等在調(diào)查工作結(jié)束后一日內(nèi)報告應(yīng)急處置小組。5.9 核心設(shè)備硬件故障應(yīng)急預(yù)案5.9.1 發(fā)生核心設(shè)備硬件故障后，信息部應(yīng)及時組織查找、確定故障設(shè)備及故障原因，進行先期處置。5.9.2 若故障設(shè)備在短時間內(nèi)無法修復(fù)，信息部應(yīng)啟動備份設(shè)備，保持系統(tǒng)正常運行；將故障設(shè)備脫離網(wǎng)絡(luò)，進行故障排除工作。5.9.3 信息部應(yīng)在故障排除后，在網(wǎng)絡(luò)空閑時期，替換備用設(shè)備；若故障仍然存在，立即聯(lián)系相關(guān)廠商，認真填寫設(shè)備故障報告單備查。5.10 業(yè)務(wù)數(shù)據(jù)損壞應(yīng)急預(yù)案5.10.1 發(fā)生業(yè)務(wù)數(shù)據(jù)損壞時，信息部應(yīng)及時檢查、備份業(yè)務(wù)系統(tǒng)當前數(shù)據(jù)。5.10.2 信

11、息部負責調(diào)用備份服務(wù)器備份數(shù)據(jù)，若備份數(shù)據(jù)損壞，則調(diào)用備份介質(zhì)中歷史備份數(shù)據(jù)，若備份介質(zhì)中數(shù)據(jù)仍不可用，則調(diào)用異地備份數(shù)據(jù)。5.10.3 業(yè)務(wù)數(shù)據(jù)損壞事件超過2小時后，信息部應(yīng)及時通知業(yè)務(wù)部門以手工方式開展業(yè)務(wù)。5.10.4 信息部應(yīng)待業(yè)務(wù)數(shù)據(jù)系統(tǒng)恢復(fù)后，檢查歷史數(shù)據(jù)和當前數(shù)據(jù)的差別，由相關(guān)系統(tǒng)業(yè)務(wù)員補錄數(shù)據(jù)；重新備份數(shù)據(jù)，并寫出故障分析報告。5.11 雷擊事故應(yīng)急預(yù)案5.11.1 遇雷暴天氣或接上級部門雷暴氣象預(yù)警，信息部應(yīng)及時報告應(yīng)急處置小組， 經(jīng)請示同意后關(guān)閉所有服務(wù)器，切斷電源，暫停內(nèi)部計算機網(wǎng)絡(luò)工作，并切斷電源。5.11.2 雷暴天氣結(jié)束后，信息部及時開通服務(wù)器，恢復(fù)內(nèi)部計算機網(wǎng)絡(luò)工

12、作，并通知各單位及時恢復(fù)設(shè)備正常工作，對設(shè)備和數(shù)據(jù)進行檢查。出現(xiàn)故障的，事發(fā)單位應(yīng)將故障情況及時報告信息部。5.11.3 因雷擊造成損失的，信息部應(yīng)會同相關(guān)部門進行核實、報損，并在調(diào)查工作結(jié)束后一日內(nèi)書面報告應(yīng)急處置小組。5.12 信息系統(tǒng)故障5.12.1 發(fā)生信息系統(tǒng)故障后，第一發(fā)現(xiàn)人報告信息部，信息部首先檢查單點登錄系統(tǒng)是否正常，如果正常，則交由開發(fā)該系統(tǒng)的軟件開發(fā)單位負責處理，如果不正常，則由單點登錄系統(tǒng)的運維單位負責處置。5.12.2 待系統(tǒng)恢復(fù)正常后，責任單位須提交書面報告給應(yīng)急處置小組。5.13 應(yīng)急保障5.13.1 通信保障：信息部負責收集、建立各相關(guān)部門、各相關(guān)開發(fā)公司、各運維

13、公司、各硬件供應(yīng)商的應(yīng)急聯(lián)絡(luò)信息。 信息部應(yīng)在重要部位醒目位置公布報警電話，應(yīng)急處置小組全體人員保證全天24小時通訊暢通。5.13.2 裝備保障：信息部負責建立并保持電力、空調(diào)、機房等網(wǎng)絡(luò)安全運行基本環(huán)境，預(yù)留一定數(shù)量的信息網(wǎng)絡(luò)硬件和軟件設(shè)備，指定專人保管和維護。5.13.3 數(shù)據(jù)保障：重要信息系統(tǒng)均建立備份系統(tǒng)， 保證重要數(shù)據(jù)在受到破壞后可緊急恢復(fù)。6 善后處置應(yīng)急處置工作結(jié)束后，信息部組織有關(guān)人員和技術(shù)專家組成事件調(diào)查組，對事件發(fā)生原因、性質(zhì)、影響、后果、責任及應(yīng)急處置能力、恢復(fù)重建等問題進行全面調(diào)查評估，根據(jù)應(yīng)急處置中暴露出的管理、協(xié)調(diào)和技術(shù)問題，改進和完善預(yù)案，實施針對性演練，總結(jié)經(jīng)驗教訓，整改存在隱患，組織恢復(fù)正常工作秩序。7 監(jiān)督檢查