ISO27001网络和信息安全应急预案.docx

IS027001网络和信息安全应急预 案网络与信息安全事件应急预案文件状态：文档编号保密等级内部公开【1草稿【1修改稿作者最后完成日期【V 1正式发布审核人最后审核日期批准人最后批准日期修改记录日期 版本作者/修改者修订类型 描述1.2适用范围2组织及职责3内容3.1 预防预警3.1.1 预防措施3.1.2 应急准备3.1.3 敏感时期信息系统安全特别保障措施3.1.4 预警监测与信息报送3.1.5 预警信息处置3.2 事件通报和处置3.2.1 事件通报3.2.2 事件处置3.3 后期处置3.3.1 后续工作3.4 宣传、培训和演练3.4.1 宣传教育3.4.2 培训3.4.3 演练3.5 预案管理4附则4.1 本规定由本XX信息技术部负责解释及修改。4.2 本规定自颁布之日起实施。5附件5.1 附件1 :网络与信息安全事件处置工作领导小组成员名单5.2 附件2 :网络与信息安全事件应急处置工作流程5.3 附件3 :突发事件应急主要成员通讯录5.4 附件4 :网络与信息安全事件-对外报告部门联系电话5.5 附件5 :网络与信息安全事件情况通报书5.6 附件6 :网络与信息安全事件情况报告书1总则1.1 目的依据中华人民共和国突发事件应对法、XXXXX突发事件 应急预案，建立健全XXXXX （以下简称"XX"）网络与信息 安全事件应急工作机制，提高XX应对网络与信息安全事件的应 急处置能力，预防和减少网络与信息安全事件造成的损失和危害, 保持XX健康发展，维护国家金融安全和社会稳定，保护投资者 合法权益。1.2 适用范围本预案适用于XX网络与信息安全事件应急处置工作。XX及各 部门、各分支机构应执行本预案的有关规定。2组织及职责根据XX突发事件应急预案，网络与信息安全事件应急处置的职 责规定。应急指挥与决策机构： 网络与信息安全事件应急工作领导小组负责领导、组织、协调和指挥XX网络与信息安全应急工作，各小组成员职责请详见附件1 ,领导小组下设办公室，具体职能由信息技术部和相应部门承 担。1）组织协调相关部门和营业部开展网络与信息安全应急工作和 信息安全情况检查报送工作；2）申请XXIT治理委员会组织、管理、实施XX信息化工作应急 处置技术升级；3）在信息安全管理部门的指挥（或指导）下，对XX特别重大的网 络与信息安全事件进行应急处置和事件调查；4）组织对XX重大网络与信息安全事件的应急处置和事件调查, 提出处理意见，并报IT治理委员会审批；5）联系证券行业网络与信息安全管理部门、监管机构和国家有 关安全机构。在相关部门的指导下，对XX网络与信息安全事件 进行情况通报和应急处置；6）负责本预案的宣传、培训和演练工作。XX各相关部门的职责1） XX相关部门清算部、行政管理部、稽核审核部、风险控制部和合规管理部在各自职责范围内负责对所涉及网络与信息安全事件的应急处置、事件调查和责任认定，并积极采取应对措施妥善处置网络与信息 安全事件。3内容3.1 预防预警3.1.1 预防措施XX各部门应建立预警工作机制，定期进行风险评估，对风险点 要建立管理台帐，针对存在的风险隐患要制定整改、监测措施, 防止网络与信息安全事件的发生。3.1.2 应急准备XX各部门应制定完善的应急预案，做好应对网络与信息安全事 件的各项准备。1）系统管理员、网络管理员、数据库管理员、安全管理员等关 键岗位必须有主、备岗，并熟练掌握应急预案，确保能够有效应 对网络与信息安全事件。2）在XX自身力量不足以满足应急要求的情况下，应与相关单 位签订通信、电力设备、软硬件产品等的应急处理及服务保障协 议。对协议的执行情况要进行定期检查和评估，确保服务保障措 施落实到位，确保在应急处置中相关单位能提供及时有效的技术 支持。3）事先储备一定数量的通信、消防、应急照明等应急设备或物 资和其他重要设备配件。准备应急处置专项资金，确保应急处置 中能及时采购应急设备或物资。4）指定通报联络人，明确联络方式。XX的通报联络人为信息技 术负责人及其备岗。通报联络方式至少包括应急值守电话与传真。 XX应将通报联络人及其联络方式及时通知辖区卫生局等相关单 位。XX信息技术部门应根据各部门提供的通报联络人信息，编制本 部门应急联络手册。通报联络人和联络方式发生变化时必须及时 通知相关单位。XX实行7x24小时联络制度，通报联络人必须保持应急值守电 话可用。3.1.3 敏感时期信息系统安全特别保障措施XX在收到启动敏感时期报告的通知后，应根据要求每日以敏感 时期信息安全报告的形式向相应部门上报本XX信息系统运行状 况。无异常情况的，要进行平安运行报告。敏感时期XX分管信息技术的领导、信息技术部门的负责人不能 离岗，通报联络人要保持通信联络通畅。应增加对信息系统的巡 检巡查频度。除非确有必要，原则上不应在敏感时期对重要信息 系统进行改动或升级。3.1.4 预警监测与信息报送预警信息是指可能导致本XX发生较大网络与信息安全事件的情 况。如大规模病毒爆发、信息系统遭受破坏、信息系统存在重大 安全隐患等。预警信息通过日常监测，现场、非现场检查，风险评估，IT审计， 有关单位报告等方式获悉。XX应建立科学的预警体系 严格执行信息系统24小时监控制度， 如无人监控的情况下，须开启自动监控系统和自动报警系统。发 现有苗头的警情时，应尽快加以核实，迅速上报。预警信息的报 送路径与本预案规定的网络与信息安全事件的报送路径相同。报 送预警信息的部门在及时上报的同时，应立即采取必要的防范措 施，实施前期控制，及时报告相关情况。3.1.5 预警信息处置XX网络与信息安全事件应急工作领导小组在接到有关部门上报 的预警信息后，应迅速组织人员对预警信息进行评估、分析风险 的严重性和可能导致的后果，按相关网络与信息安全事件应急预 案的要求进行报告。XX网络与信息安全事件应急工作领导小组在接到国家信息安全 管理部门及监管部门的预警、解除预警的信息后，应立即通知相 关部门采取相应的措施。3.2 事件通报和处置3.2.1 事件通报3.2.2 LlXX各部门的事件通报各部门在网络与信息安全事件发生后，应立即根据本预案中规定 的通报流程要求（附件2 ）,在规定的时间内上报事件情况，首 先通过电话报告事件情况（受话人要做好电话记录），随即填写 网络与信息安全事件情况报告书（附件4）并传真上报。I XX其他信息系统和HIS系统发生网络与信息安全事件后，应 立即报告信息技术部，原则上若30分钟内仍然没有解决问题， 信息技术部应立即将事件情况上报XX网络与信息安全事件应急 工作领导小组，由XX上报辖区卫生局，并每隔30分钟至少上 报一次，直至系统恢复正常运行；如有重要情况应立即报告。涉 及到网络犯罪的事件，应同时报送当地公安网监部门。I持续报告 持续报告时XX及相关部门应填写网络与信息安全事件情况报 告书（附件5）,内容包括事件发生时间、地点、简要经过、影 响范围初步评估、影响程度初步评估、影响人数初步评估、经济 损失初步评估、后果初步判断、原因初步判断、事件性质初步判 断、已采取的措施及效果、需要有关部门和单位协助处置的有关 事宜、报告单位、签发人和报告时间、联系人与联系方式、其它 与本事件有关的内容。各单位应保证报告要素完备、及时、准确，不得瞒报、缓报、谎 报网络与信息安全事件的情况。接报单位应保证及时接收、准确 记录上报信息。3.2.3 事件处置3.2.2.1事件处置一般原则DXX各部门发生网络与信息安全事件后，应立即启动本部门应 急预案，迅速采取应急措施，尽快恢复受破坏网络和系统的正常 运行。在应急处置结束前，各有关单位和部门应保证专人24小 时值班。2） XX相关部门根据各自职责，指导、督促和支持XX各部门开 展应急处置工作，并视情况从技术部门中抽调相应人员，协助当 事单位进行应急处置。3）各有关单位和部门应急处置人员应保持联系方式畅通，及时 通报事态发展变化情况和事件处置进展情况。4）当事单位要做好受影响公众的解释、疏导工作，及时采取适 当方式加强正面舆论引导，防止因公众遭受损失衍生大规模群体 性事件。必要时，请求公安机关协助维护现场秩序。5）当事单位应在必要时向新闻媒体说明事件情况，做好事实说 明和正面宣传。6）当事单位应做好应急处置的相关记录，保留有关证据，如涉 及网络入侵、攻击，可取得当地公安网监部门的支持，积极稳妥 地进行应急处置。3.2.2.2事件处置方案在事件应急处理过程中，除遵循前述一般规定外，应根据实际情 况和本节的要求各自做好相应的处理工作。本节中未做明确规定 的，由领导小组组长视情况临时决定。3.3 后期处置3.3.1 后续工作网络与信息安全事件应急处置结束、系统恢复正常运行后，各部 门应尽快消除事件造成的影响，恢复正常工作。3.3.2 事件分析总结XX各有关部门应做好网络与信息安全事件的分析与总结工作。D XX的网络与信息安全事件分析总结报告XX在事件应急处置结束、系统恢复正常运行后12小时内，将事 件分析总结上报辖区证监局和行业协会，涉及远程接入交易所系 统的故障，应同时上报有关交易所。HIS系统事故和其它在30分钟内未能恢复系统正常运行的网络 与信息安全事件，技术部在事件应急处置结束、系统恢复正常运 行后24小时内，将事件分析总结上报领导小组。XX负责向监管 部门上报。2）事件总结报告内容应包括但不限于：I事件概况，包括事件发生时间、地点、事件经过、事件影响范 围、影响程度、影响人数、经济损失和导致的后果等。I应急处置过程，包括事件上报过程、采取的措施及效果。I事件发生的主要原因分析、事件性质、结论。暂时无法确定事 件原因的，应给出事件的初步原因，并组织力量尽快查找原因, 在找到事件原因后再提交事件总结补充报告。3.4 宣传.培训和演练3.41宣传教育各部门应充分利用各种传播媒介及其它有效的宣传形式，加强网 络与信息安全事件应急处置的法律、法规和政策的宣传，开展网 络与信息安全基本知识和技能的宣传活动，提高投资者防范意识 和应急处置能力，增强投资者对个人信息的保密意识。3.4.1 培训I各部门要将网络与信息安全事件的应急知识等列为管理人员和 相关人员的培训内容，加强网络与信息安全特别是网络与信息安 全应急预案的培训，提高防范意识及技能。3.4.2 演练XX每半年至少组织一次对本预案的演练，模拟处置网络与信息 安全事件，组织有关部门参加提高实战能力，检验和完善预案， 并将演练情况按有关规定报领导小组。XX将演练情况报辖区证 监局。3.5 预案管理 本预案原则上每年评估一次，并根据实际情况适时修订。修订工 作由领导小组负责。XX各部门应结合本预案制定、修订本部门网络与信息安全事件 相关的应急预案，做好预案之间的衔接。应急预案向辖区证监局 报备。4附则4.1 本规定由本XX信息技术部负责解释及修改。4.2 本规定自颁布之日起实施。5附件1 .网络与信息安全事件处置工作领导小组成员名单2 .网络与信息安全事件应急处置工作流程3 .突发事件应急主要成员通讯录4 .网络与信息安全事件-对外报告部分联系电话5 .网络与信息安全事件情况通报书6 .网络与信息安全事件情况报告书