信息系統(tǒng)安全應(yīng)急預(yù)案信息系統(tǒng)安全應(yīng)急預(yù)案一、前言為了應(yīng)對(duì)突發(fā)事件發(fā)生的可能性，提高機(jī)構(gòu)或企業(yè)信息系統(tǒng)安全工作管理水平，規(guī)范安全應(yīng)急預(yù)案及處理流程，保障信息系統(tǒng)運(yùn)行的穩(wěn)定性和安全，現(xiàn)制定本信息系統(tǒng)安全應(yīng)急預(yù)案。二、應(yīng)急預(yù)案編制依據(jù)1.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》2.《中華人民共和國(guó)電信條例》3.《天津市信息安全管理規(guī)定》4.《天津市公共安全突發(fā)事件應(yīng)急預(yù)案管理辦法》5.《天津市信息安全技術(shù)保護(hù)措施實(shí)施規(guī)定》6.相關(guān)標(biāo)準(zhǔn)與規(guī)范三、適用范圍本應(yīng)急預(yù)案適用于機(jī)構(gòu)或企業(yè)信息系統(tǒng)安全管理工作，包括但不限于以下對(duì)象：1.本機(jī)構(gòu)所有的信息系統(tǒng)管理工作；2.位于本地的第三方與本機(jī)構(gòu)信息互聯(lián)的外部系統(tǒng)。四、預(yù)案內(nèi)容4.1應(yīng)急組織本機(jī)構(gòu)信息系統(tǒng)應(yīng)急組織點(diǎn)為機(jī)構(gòu)安全保衛(wèi)部，下設(shè)需求調(diào)查組、事件處置組、技術(shù)支持組等職能部門。4.2應(yīng)急預(yù)案的執(zhí)行過(guò)程發(fā)生信息系統(tǒng)安全事故后，機(jī)構(gòu)安全保衛(wèi)部門應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，相關(guān)職能部門按職責(zé)分工全面組織實(shí)施，組成事件處置小組進(jìn)行處理。4.3應(yīng)急預(yù)案的實(shí)施流程4.3.1信息系統(tǒng)安全事故的預(yù)警機(jī)構(gòu)的信息系統(tǒng)安全管理人員和安全保衛(wèi)人員需不斷注意網(wǎng)絡(luò)威脅和安全隱患。當(dāng)系統(tǒng)出現(xiàn)無(wú)法解釋的異?，F(xiàn)象或數(shù)據(jù)流量異常時(shí)，應(yīng)該立即提醒安全保衛(wèi)部門。4.3.2信息系統(tǒng)安全事故的鑒別安全保衛(wèi)部門負(fù)責(zé)對(duì)預(yù)警信息進(jìn)行監(jiān)測(cè)、鑒別，并根據(jù)事件的等級(jí)確定緊急程度。如果無(wú)法確定安全事件的類型或安全威脅的等級(jí)，需及時(shí)與相關(guān)廠商或技術(shù)服務(wù)商聯(lián)系。4.3.3信息系統(tǒng)安全事故的處置4.3.3.1需求調(diào)查組需求調(diào)查組是事件處置的第一步，負(fù)責(zé)對(duì)信息系統(tǒng)事件進(jìn)行初步調(diào)查、收集和分析，包括對(duì)系統(tǒng)的性能和基本運(yùn)行狀態(tài)進(jìn)行分析。調(diào)查組向事件處置小組提供調(diào)查結(jié)果和分析報(bào)告。4.3.3.2事件處置組事件處置組由網(wǎng)絡(luò)管理員和技術(shù)支持人員組成，主要負(fù)責(zé)對(duì)信息系統(tǒng)安全事件展開(kāi)全面控制和處置，包括起點(diǎn)探測(cè)、發(fā)現(xiàn)控制點(diǎn)和收集相關(guān)信息、協(xié)同、解決問(wèn)題以及做好各類記錄、匯報(bào)等工作。4.3.3.3技術(shù)支持組技術(shù)支持組由系統(tǒng)維護(hù)人員和技術(shù)工程師組成，主要負(fù)責(zé)系統(tǒng)技術(shù)支持、漏洞修補(bǔ)、安全加固等技術(shù)支持服務(wù)。4.3.4信息系統(tǒng)安全事故處理的收尾當(dāng)安全事件處理后，事件處置小組需要進(jìn)行總結(jié)。小組對(duì)處置過(guò)程進(jìn)行評(píng)估，把相關(guān)記錄和信息打包提交至機(jī)構(gòu)安全保衛(wèi)部，以備日后參考。4.4應(yīng)急預(yù)案的評(píng)估與有效性驗(yàn)證安全保衛(wèi)部門是本應(yīng)急預(yù)案的保管部門。除了在日常工作中定期召開(kāi)應(yīng)急預(yù)案演練和培訓(xùn)，還應(yīng)不定期對(duì)應(yīng)急預(yù)案進(jìn)行評(píng)估和有效性驗(yàn)證。五、應(yīng)急預(yù)案的修改和審批根據(jù)實(shí)際情況，應(yīng)急預(yù)案應(yīng)及時(shí)修改完善，修改前需做好必要的評(píng)估和論證工作，并報(bào)機(jī)構(gòu)領(lǐng)導(dǎo)審批后執(zhí)行。六、附錄6.1事件等級(jí)劃分應(yīng)急事件等級(jí)劃分標(biāo)準(zhǔn)一級(jí)安全事件受到攻擊威脅時(shí)，涉及機(jī)構(gòu)基本數(shù)據(jù)、功能等資料受到直接威脅，會(huì)對(duì)機(jī)構(gòu)本身發(fā)展、國(guó)家信息安全等產(chǎn)生嚴(yán)重危害二級(jí)安全事件受到攻擊威脅，機(jī)構(gòu)關(guān)鍵數(shù)據(jù)和網(wǎng)絡(luò)安全要素受到了威脅三級(jí)安全事件受到攻擊威脅，涉及機(jī)構(gòu)敏感信息受到威脅，可以對(duì)機(jī)構(gòu)經(jīng)營(yíng)產(chǎn)生影響四級(jí)安全事件意外事件，可能會(huì)影響機(jī)構(gòu)運(yùn)營(yíng)，涉及到機(jī)構(gòu)內(nèi)部信息安全政策的違法行為6.2措施與流程相關(guān)事件處理階段措施與流程1.預(yù)警和鑒別發(fā)現(xiàn)系統(tǒng)性能和運(yùn)行狀態(tài)的異常2.調(diào)查與分析確定事件的等級(jí)，并列出事件分析報(bào)告和計(jì)劃3.協(xié)調(diào)和控制對(duì)事件進(jìn)行全面協(xié)調(diào)和控制，并升級(jí)處理流程，以快速地控制事件的發(fā)生4.恢復(fù)與修復(fù)操作:啟動(dòng)清洗工具檢測(cè)數(shù)據(jù)的有效性，升級(jí)漏洞或補(bǔ)丁，