进出口企业信息系统应急预案（AEO认证文件）.docx

《进出口企业信息系统应急预案（AEO认证文件）.docx》由会员分享，可在线阅读，更多相关《进出口企业信息系统应急预案（AEO认证文件）.docx（8页珍藏版）》请在第一文库网上搜索。

1、文件变更记录版本生效日期变更内容变更人1.02020-11-12. 12021-4-27文件签收记录序号签收日期签收人签字1234567891011进出口企业信息系统应急预案（AEO认证文件）1 .目的为妥善应对和处置公司（分公司）信息系统突发事件，保障公司业务的正常运行，特制定本应急预案。本应急预案目的在于维护公司信息系统正常运行，进一步完善信息系统管理机制，提高突发事件的应急处置能力。2 .适用范围适用对象：研发部（针对公司自研信息系统）、第三方信息系统使用部门，业务范围：适用于预防及处置计算机信息系统突发事件。3 .职责和权限3.1 应急处理领导小组3.1.1 负责领导、统一协调、组织开

2、展公司计算机信息系统应急管理工作，紧急处理计算机信息系统重大应急事件和隐患。3.1. 2发生重大计算机信息系统突发事件时，负责启动本预案，下达应急任务。领导小组组长:公司董事长副组长:研发部经理小组成员：研发部全体成员及各部门负责人。3. 2研发部3.2.1负责快速响应信息系统发现的故障事件、业务部门对信息系统故障的申告；执行信息系统故障的诊断、排查和恢复操作；定期通过设备监控软件、系统运行报告等工具对信息系统的使用情况进行分析，尽早发现信息系统的异常状况，排除信息系统的隐患。3. 2.2负责实施各项应急措施，定期开展和部署应急预案的培训工作。3.2.3根据领导小组下达的命令和指示，负责组织指

3、挥、协调应急行动，完成应急任务。3.3第三方信息系统使用部门3.3. 1协助处理公司第三方信息系统应急工作。3 . 3.2将信息系统突发事件上报给系统提供商，监督系统提供商处理工作及验证处理工作。4 .名词解释本预案所称信息系统突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏等原因，信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏等现象，造成不良影响以及造成一定程度直接或间接经济损失的事件。5 .信息系统监测及报告5.1 信息系统的日常管理和维护信息系统的日常管理和维护应加强信息系统应用的监测、分析和预警工作。5 . 2建立信息系统故障事故报告制度发生信息系统故障

4、时，相应业务人员应当立即向研发部报告，并及时保存相关证据。研发部成员在初步核实后，应立即将故障综合情况、研究分析可能造成损害的程度及初步行动对策向应急处理领导小组组长汇报，由组长视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等6 .应急措施与工作程序6.1 信息系统突发事件分类分级的说明6.1.1 根据业务信息系统突发事件的发生原因、性质，业务信息系统突发事件主要分为以下两类：a）攻击类事件：指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、信息系统瘫痪等情况。b）故障类事件：指信息系统因计算机软硬件故障、停电、人为误操作等导致业务中断、系统宕机、信息系统瘫痪等情况。6

5、.1.2 按照突发事件的性质、严重程度、可控性和影响范围，将其分为一般故障、严重故障、重大故障、特级故障四级。a） 一般故障：信息系统中单个功能故障，但未影响业务系统运行，也未造成公司经济损失的突发事件。b）严重故障：信息系统中单个功能故障，该功能影响主要业务流程，可能造成公司较大经济损失的突发事件。c）重大故障：信息系统中多个功能故障，系统无法运行，可能造成公司巨大经济损失的突发事件。d）特级故障：特指发生不可预见的灾难性事故，如火灾、水灾和地震等。6.2信息系统应急预案启动根据以上定义的故障分级，当信息系统事件的要素满足启动应急预案要求时，进入相应的应急启动流程。6. 2.1应急处理领导小

6、组成员从业务人员的故障申告、信息系统监控报告的故障告警中得知信息系统异常事件后，应在第一时间处理事件。7. 2. 2应急处理领导小组针对信息系统事件做出初步的分析判断。若是在最短时间内可以自行解决的信息系统问题，及时按照有关操作规程进行故障处理，并向领导小组组长报备；否则，应急处理领导小组将故障大致定性，及时告知领导小组组长和受影响的相关部门，并采取措施避免事件影响范围的扩大。8. 2. 3研发部在得到应急处理领导小组的授权后启动相应的应急预案。9. 2.4研发部采取有力措施进行故障处理，及时恢复自研信息系统的正常工作状态。第三方信息系统使用部门及时将故障上报给系统提供商，监督系统提供商进行故

7、障处理及后续验证处理。10. 2.5应急处理领导小组通知业务部门信息系统恢复正常，重大事件形成文字资料，以书面形式存档。11. .6总结整个处理过程中出现的问题，并及时改进应急预案。7 .保障措施7.1 应急演练为提高信息系统突发事件应急响应水平，研发部和相关部门应定期或不定期组织应急预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。7.2 人员培训为确保本应急预案有效运行，应定期或不定期地举办不同层次、不同类型的技术讲座或研讨会，以便不同岗位的应急人员能全面熟悉并熟练掌握突发事件的应急

8、处理知识和技能。7.3 3硬件资源保障为了在信息系统设备发生故障时能够尽量降低业务系统的受影响程度，需为相应的核心业务信息系统提供必要的备份设备，并且配备与现有设备兼容的设备，确保相似或兼容的设备可以在应急情况下调配使用。7.4 4技术支持保障建立预警与应急处理的技术平台，进一步提高信息系统突发事件的发现和分析能力，从技术上逐步实现发现、预警、处理、通报等多个环节和不同的业务信息系统、系统以及相关部门之间应急处理的联动机制。7.5 公众信息交流在应急预案修订、演练的前后，应利用各种信息渠道进行宣传，并不定期的利用各种活动，宣传信息系统等突发事件的应急处理规程及其预防措施等应急常识。8 .分类突

9、发事件应急处理措8.1 黑客攻击时的紧急处置措施8.1.1 当有关人员发现业务系统有异常操作记录，或通过入侵监测系统发现有黑客正在进行攻击时，应立即向信息系统研发人员通报情况。8.1.2 信息系统研发人员应在三十分钟内响应，并首先应将被攻击的服务器等设备从信息系统中隔离出来，并同时向应急处理领导小组通报情况。8.1.3 信息系统研发人员负责被攻击或破坏系统的恢复与重建工作。遇到以下方面分别处理：恢复还没有得到或破坏机密数据的被入侵系统a）先对系统当前状态做一个备份，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，再断开与他的网络连接，通过添加防火墙规则来阻止。b）修改数据库管理员帐

10、号名称和登录密码，重新为操作数据的用户建立新的帐户和密码，并且修改数据库的访问规则。 恢复已经得到或删除了机密数据的被入侵系统a）发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，应尽快断开与攻击源的网络连接。b）断开与攻击源的连接后，应当立即分析数据损失的范围和严重程度，了解哪些数据还没有被影响到，并立即将这些没有影响到的数据进行备份或隔离保护。8.L 4信息系统研发人员会同相关支持人员追查非法信息来源。8.1.5信息系统研发人员组织相关支持人员会商后，向应急处理领导小组组长汇报有关情况。8. 1.6应急处理领导小组组长组织应急处理领导小组召开会议，如认为事态严重，则立

11、即向公安部门或上级机关报警。8. 2病毒安全紧急处置措施当发现有计算机被感染上病毒后，发现人员应立即向信息系统研发人员报告，将该机从信息系统上隔离开来。信息系统研发人员在接到通知后，应在三十分钟内响应，对设备进行数据备份，用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。如果现行反病毒软件无法清除该病毒，应立即向应急处理领导小组报告，并迅速联系有关产品商研究解决。应急处理领导小组组员经会商，认为情况严重的，应立即向组长汇报；认为情况极为严重的,应立即向公安部门或上级机关报告。如果感染病毒的设备是服务器，经领导小组同意，应立即告知各相关部门做好相应的清查工作。

12、8. 3软件系统遭破坏性攻击的紧急处置措施重要的业务系统必须存有备份，与业务系统相对应的数据必须有多日的备份，并将他们保存在安全处。一旦信息系统遭到破坏性攻击，发现人员应立即向信息系统研发人员报告，并将该系统停止运行。信息系统研发人员检查日志等资料，确定攻击来源。应急处理领导小组认为情况严重的，应立即向小组组长汇报；领导小组若认为情况极为严重的,应立即向公安部门或上级机关报告。8. 4数据库安全紧急处置措施主要数据库应至少要准备两个以上数据库备份，平时一个备份放在本地，另一个备份放在另一个安全的场所。一旦数据库崩溃，发现人员应立即向应急处理领导小组报告并由应急处理领导小组启动备用系统。在备用系

13、统运行期间，技术人员应对主机系统进行修复和数据恢复，如果系统崩溃且无法恢复，技术人员应立即向领导小组负责人汇报，并联系有解决能力的厂商请求紧急支援。8.5公司网站、网页出现非法言论事件紧急处置措公司行政人员负责查看公司网页信息，发现在网页上出现非法信息时，应立即向领导小组负责人报告。信息安全管理人员应在接到报告后首先做好必要记录，清理非法信息，妥善保存有关记录及日志，强化安全防范措施，并将网站网页重新投入使用。追查非法信息来源，并将有关情况向领导小组负责人汇报。领导小组负责人按照事态严重程度，决定是否并向政府信息化主管部门报告和公安部门报警。8 . 6设备安全紧急处置措施服务器、存储设备等关键设备损坏后，工作人员应立即向信息系统研发人员报告。信息系统研发人员立即查明原因。如果能够自行恢复，应立即用备件替换受损部件；如果不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修；如果设备一时不能修复，应向应急领导小组汇报，并告之相关部门，暂缓使用受影响的业务系统。8.7关键人员不在岗的紧急处置措施对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。一旦发生关键人员不在岗的情况，首先应向应急处理领导小组汇报情况，经小组组长批准后，由备用人员上岗操作。9 .参考文件/关联文件信息安全应急演练记录