网约车信息安全应急预案.docx

信息安全应急预案版本变更记录版本号修订人审核人批准人生效日期备注V1.0新建1目的为做好应对网络与信息安全事件的各项准备工作，提高应急处理能力，制定本预案。2合用范围合用于本公司信息中心。3规范性应用文档根据以下相关法规、规定、文件精神，制定本预案。凡是不注日期的引用文件，其最新版本(包括所有的修改单)合用于本文件。中华人民共和国计算机信息系统安全保护条例计算机病毒防治管理办法计算机信息网络国际联网管理暂行规定4事件分类分级4.1事件分类网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等。(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件；(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件；(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件；(4)信息内容安全事件是指通过网络传播法律法规禁止信息、，组织非法串联、煽动集会游行或者炒作敏感问题并危害国家安全、社会稳定和公众利益的事件；(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障；(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。4.2事件分级网络与信息安全事件分为三级：重大(I级)、严重(II级)、一般(III级)。(1)符合下列情形之一的，为重大网络与信息安全事件(I级)：信息系统中断运行2小时以上、影响到本公司多个部门；信息系统中的数据丢失或者被窃取、篡改、假冒，对本公司安全和稳定构成特殊严重威胁或者导致50万元人民币以上的经济损失。(2)符合下列情形之一且未达到重大网络与信息安全事件(I级)的，为严重网络与信息安全事件(级)：信息系统中断运行造成严重影响的；信息系统中的数据丢失或者被窃取、篡改、假冒，对本公司和稳定造成较严重威胁，或者导致1万元人民币以上的经济损失。(3)除上述情形外，对本公司安全、秩序、建设、利益构成一定威胁、造成一定影响的网络与信息安全事件，为普通网络与信息安全事件(I级)。4.3信息通报/上报的方式事件信息的通报/上报可以通过电话、电子邮件、短信等方式进行。在使用相关通报/上报方式时，必须依照附录一人员联系方式中登记的电话确认对方收到。5组织机构与职责5.1组织机构公司成立信息安全领导小组统筹协调信息安全管理工作，下设信息中心，信息中心设置系统管理员、网络管理员、安全管理员、安全宣传员、安全审计员分管信息安全相关事宜，详见信息安全组织机构和职责。组织机构框架图如下:信息安全领导小组5.2职责5.2.1信息安全领导小组信息安全领导小组是网络与信息安全工作的领导与决策机构。(1)负责领导与决策信息安全事件的处置工作；(2)负责向上级信息安全管理机构沟通与汇报事件的处置情况;(3)审核特殊重大安全事件处置方案；(4)协调重要资源，协助信息中心完成事件的应急处置；(5)审阅信息安全事件处置单。522信息中心信息中心主要负责组织与指挥信息安全事件的应急处置工作。(1)网络与各个系统的安全值守；(2)安全事件发现、记录现场情况；(3)针对信息安全事件的影响进行评估；(4)组织人员、制定方案，针对安全事件执行应急处置与根除操作；(5)检查与确认安全事件的处置效果；(6)事后提交信息安全事件处置单；(7)组织与指挥信息安全事件的处置工作；(8)确定信息安全事件分级；(9)向信息安全领导小组汇报安全事件的处置情况。6应急响应6.1基本响应网络与信息安全事件发生后，事发部门需即将启动相关应急预案,实施处置并及时报送信息中心。事发部门需按照以下要求进行执行：(1)控制事态发展，防控蔓延。事发部门先期处置，采取各种技术措施，及时控制事态发展，最大限度地防止事件蔓延；(2)快速判断事件性质和危害程度。尽快分析事件发生原因，根据网络与信息系统运行和承载业务情况，初步判断事件的影响、危害和可能波及的范围，提出应对措施建议；(3)及时报告信息。事发部门在先期处置的同时要按照预案要求，及时向上级主管部门报告事件信息；(4)做好事件发生、发展、处置的记录和证据留存。6.2.1 I级响应I级响应由信息中心在信息安全领导小组的统一领导下，开展应急处置工作。(1)启动指挥体系。信息中心组织相应专业技术人员研究对策，提出处置方案建议，为领导决策提供支撑。(2)掌握事件动态。事件影响部门及时将事态发展变化情况和处置发展情况及时上报信息中心，信息中心组织全面了解本公司内的基础网络和信息系统受到事件波及或者影响的情况，并及时汇总上报信息安全领导小组。(3)处置实施控制事态防止蔓延。根据信息中心的部署组织事发部门及应急队伍，采取各种技术措施、管控手段，最大限度地阻挠和控制事态发展，全面启动预警机制，及时催促、指导网络与信息系统运营使用管理部门有针对性地加强防范，防止事件进一步蔓延；做好处置消除隐患。信息中心现场指挥应急技术力量、事发部门尽快分析事件发生原因、特点、发展趋势，快速制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。6.2.2 II级响应信息中心启动级响应，统一指挥、协调、组织应急处置工作。(1)启动指挥体系信息中心组织网络与信息安全专家顾问组专家及专业技术人员研究对策，提出处置方案建议，为领导决策提供支撑。(2)掌握事件动态事件影响部门及时将事态发展变化情况和处置发展情况及时上报，信息中心组织全面了解本公司网络与信息系统运行情况，并及时上报信息安全领导小组。(3)处置实施控制事态防止蔓延。信息中心全力组织本部门的应急技术队伍及事发部门，采取各种技术措施、管理手段，最大限度地阻挠和控制事态发展，全面启动预警机制，及时催促、指导本公司网络与信息系统运营使用管理部门有针对性地加强防范，防止事件蔓延到其他信息系统；做好处置消除隐患。信息中心现场指挥应急技术力量、事发部门尽快分析事件发生原因、特点、发展趋势，快速制定具体的解决方案，组织实施处置，对业务连续性要求高的受破坏网络与信息系统要及时组织恢复。6.2.3 In级响应事件发生部门启动I级响应，按照像关预案进行应急处置，事件发生部门负责及时赶到现场，组织协调、指挥所属技术力量进行事件处置工作，必要时请求信息中心相关应急技术人员支援处置；事发部门负责将事件信息、处置发展情况及时向信息中心报告，根据需要，信息中心有关人员赶赴现场，指导、检查事发部门开展应急处置工作,协调相关专家、应急队伍参加应急救援。6.3应急处理流程图应急响应快速处置成功的关键是根据预设流程进行有条不紊的对已经发生的安全事件进行解决，以保证最大限度地减少安全事件造成的伤害，降低应急处置中的风险。具体的应急响应流程分为以下五个阶段：处置失败事件总结阶段63.1.1阶段说明各网络与应用系统通过阿里云安全服务进行监控和日志查看，确保及时发现信息安全事件。任何人在检测到信息安全事件或者估计有信息安全事件发生时，均需向信息中心报告。信息中心即将开展现场检查与评估，根据事件影响的范围，向信息安全领导小组的相关人员进行通报。6.3.12行动要点角色行动工作要点任何人员任何人在检测到信息安全事件或者估计有信息安全事件发生时，均拨打信息中心电话报告情况。立即报告，不允许延迟信息中心信息中心人员需即将开展现场检查与评估，内容包括：1.是否为信息安全事件；2初步确定事件影响的业务系统范围，确定事件的严重程度；3.根据事件影响的网络与信息系统范围，将现场情况与评估结果通知信息安全事件处置相关人员。事件分析如实上报，并如实记录信息安全事件处理记录表和电话通知记录单6.3.2 事件分析阶段6.3.2.1 阶段说明信息中心分析与评估事件的性质及影响范围。如果判断不是信息安全事件，信息中心则向信息安全领导小组汇报，预案结束。如果判断是信息安全事件，信息中心即将制定处置方案，并向信息安全领导小组汇报。63.2.2行动要点角色行动工作要点信息中心共同分析与评估事件的性质、影响范围；根据实际情况对信息安全事件初步提出分级建议，并填写信息安全事件处理记录表。分析、评估，如实填写信息安全事件处理记录表信息中心如果判断不是信息安全事件，信息中心则向信息安全领导小组汇报，预案结束。需要汇报对事件的现场检查情况、评估理由、评估结果、评估人，并如实记录。信息中心如果是信息安全事件，则制定事件处置方案，并填写信息安全事件处理记录表。制定处置方案信息中心如果判断是特殊重大安全事件与重大安全事件，需即将向信息安全领导小组汇报，并将处置方案报送信息安全领导小组审核。普通事件可开始应急处置。及时处理信息安全领导小组对特殊重大安全事件与重大安全事件的处置方案进行审核。对处置方案进行审核6.3.3 事件恢复阶段6.3.3.1 阶段说明在执行恢复方案之前，对关键业务信息执行备份和状态检查。执行恢复方案，并记录恢复过程，检查恢复效果，如果恢复不成功需要采集信息重新制定业务恢复方案。角色行动工作要点信息中心根据安全事件的处置方案，执行处置操作。严格按照预案执行信息中心检查处置成果，并填写信息安全事件处理检杳处置培果如比记录执行情况信息中心如果处置失败，则需要回到事件分析阶段。汇报处置结果信息中心如果处置成功，向信息安全领导小组汇报处置情况。系统巡检信息中心信息中心中的系统管理员针对各网络与业务检查系统健康情况。增加系统巡查密度信息中心密切注重系统状态，监控业务运行情况。如有异常，迅速报告6.3.4 事件根除阶段6.3.4.1 阶段说明业务恢复正常之后信息中心会同事发部门对事件进行根因分析，对业务系统进行再次检查；根据发现的问题与漏洞制定事件根除方案。63.4.2行动要点角色行动工作要点信息中心需要对事件进行根因分析，需要对业务系统进一步进行检查；根据发现的问题与漏洞制定事件根除方案。制定根除方案信息中心负责对根除方案执行过程，并填写信息安全事件处理记录表。执行根除方案信息中心向信息安全领导小组汇报根除处置情况。汇报根据处置情况6.3.5.1阶段说明事发部门会同信息中心对业务影响、范围、损失进行总结，对应急措施的有效性进行评估，对事件中根因进行分析，编写安全事件处置总结报告。信息中心向信息安全领导小组提交报告。信息中心应该根据事件发生的原理组织各业务系统管理人员对类似安全隐患的业务系统进行自查自检，必要时可采取紧急抑制手段避免同类安全事件的发生。63.5.2行动要点角色行动工作要点信息中心加强安全隐患的业务系统自查，改进应急措施手段加强系统巡检信息中心对业务影响、范围、损失进行总结，对应急措施的有效性进行评估，对事件中根因进行分析，编写信息安全事件报告。编写信息安全事怫告。信息中心