第一章 总则
第一条 为规范公司信息系统应急处理程序,提高应急处理能力,完善应急处理机制,确保信息系统安全、稳定运行,特制定本预案。
第二条 信息系统应急处理应坚持“积极预防,严格控制,防控并重”的原则。在认真做好日常管理和监控的基础上,充分做好紧急情况下信息系统管理的应急准备,健全防控措施,完善处理机制,加强应急演练,确保在紧急情况下做出反应迅速,处置果断,保障到位。
第三条 当出现以下所列情况之一时,确认已达到应急情况标准,应迅速启动相应的应急处理程序。
1、信息系统服务器所处网络遭受病毒大面积攻击而瘫痪; 2、信息系统服务器控制权限被侵管;
3、软件程序被修改无法提供正常服务;
4、信息系统服务器数据库被恶意篡改或注入, 或系统页面出现非法言论时;
5、信息系统服务器等硬件损坏或失效;
6、上级确定的其它紧急情况。
第二章 应急处理机构及职责
第四条 为确保应急情况下应急机制的迅速启动和指挥顺畅,组织设立指挥组、行动组。 (一)指挥组
指挥组组长由公司信息安全管理领导小组组长担任,应急预案启动后,指挥组组长负责应急行动工作的总体组织指挥工作。行动组在指挥组的统一领导下开展工作。 主要职责:
1、研究布置应急行动有关具体事宜;
2、应急行动期间的总体组织指挥;中国红歌会
3、向集团汇报应急行动的进展情况和向国家有关部门通报相关情况; 4、负责与有关部门进行重大事项的工作协调;
5、负责应急行动其它的有关组织领导工作。
(二)行动组
行动组由公司信息安全管理办公室人员组成,组长由办公室主任担任。展开应急行动后,行动组根据指挥组的指挥开展相应的应急行动。
主要职责:
1、执行指挥组下达的应急指令;
2、负责应急行动物资器材的准备;
3、负责处理现场一切故障;
4、随时向指挥组汇报应急工作的进展情况;
5、负责联系相关厂商和技术人员,获取所需技术支持。
第三章 应急行动的基本程序和主要内容
第五条 当出现本预案中所列应急标准中任一情况时,应启动信息系统应急处理程序,第一受领人应立即通知指挥组组长,并采取初步的应急处理措施。组长接到通知后5分钟内通知所有成员,并同时上报相关部门。
第六条 指挥组根据事故现象,给行动组所有人员分配具体的应急工作。
第七条 行动组根据任务需要准备相应的设备、物资、器材等。
第八条 准备工作就绪后,应急小组应立即展开行动,根据任务需要在相应位置开展工作,通过合作,力求以最快的速度解决问题。
(一)遇到信息系统服务器所处网络遭受病毒大面积攻击而瘫痪的情况。行动组应参照以下程序来解决:大卫 布拉特
1、立即切断服务器网络连接;
2、如还可进入系统的,可尝试用升级至最新病毒库的杀毒软件进行病毒及木马查杀;如无法进入系统的,则准备启用备机系统,并请示指挥组是否需要证据保全;
3、如经病毒查杀后无法恢复最新数据的,则需进行数据恢复工作,并设置访问策略及相关安全措施,更新管理密码。在确认该信息系统服务器所处网络基本正常的前提下,重新恢复服务器网络连接;
4、如仍无法解决的,联系相关技术提供方协助解决, 并告知各下属单位,暂缓上传上报数据;
5、做好相关记录,并报上级集团。
(二)遇到信息系统服务器控制权限被侵管的情况。行动组应参照以下程序来解决:
1、切断服务器的网络连接;
2、尝试更改服务器管理权限和密码,如未能正常登陆系统更改的,则准备启用备机,并请示指挥组是否需要证据保全;
3、更改服务器管理权限和密码后,对系统进行全面杀毒,查杀木马及远程控制类程序;及时做好系统漏洞修补工作,在确认该信息系统控制权限基本正常的前提下,重新恢复服务器网络连接;
4、如仍无法解决的,联系相关技术提供方协助解决, 并告知各下属单位,暂缓上传上报数据;
5、做好相关记录,并报上级集团。
(三)遇到软件程序被修改无法提供正常服务的情况。行动组应参照以下程序来解决:
1、切断服务器的网络连接;
2、请示指挥组是否需要证据保全。确认证据保全工序后,尝试使用备份无误的程序替换现有被修改的程序,如未能正常提供服务,则准备启用备机;
3、对系统进行全面杀毒,查杀木马及远程控制类程序;及时做好系统补漏工作,在确认该信息系统软件程序基本正常的前提下,重新恢复服务器网络连接;
opera 迅雷
4、如仍无法解决的,联系相关技术提供方协助解决, 并告知各下属单位,暂缓上传上报数据;
5、做好相关记录,并报上级集团。
(四)遇到信息系统服务器数据库被恶意篡改或注入, 或系统页面出现非法言论时。行动组应参照以下程序来解决:
1、负责人员应立即向指挥组组长通报情况;情况紧急的应先及时采取删除等处理措施,再按程序报告;
2、切断服务器的网络连接并保留数据库系统日志等相关证据;
3、从备份数据中恢复正确的数据;
4、检查数据库漏洞,安装数据库源码的最新补丁;
5、重新配置防火墙,修改管理员密码并检查网站源代码;
国家税务总局公告2017年第45号
6、查看网络访问日志,分析事件发生原因和源IP地址,及时做好系统补漏工作,并做好记录上报有关部门;
7、做好备机初始化工作,打上最新的补丁程序和安装杀毒软件、更新病毒库、导入历次备份的服务器数据;
8、重新恢复服务器网络连接;
9、如仍无法解决的,联系相关技术提供方协助解决,并告知各下属单位,暂缓上传上报数据;
10、做好相关记录,并报上级集团。
太赫兹时域光谱(五)遇到信息系统服务器等硬件损坏或失效时。行动组应参照以下程序来解决:
1、立即向相关部门汇报;
2、如果能够通过替换备件恢复,应立即用备件替换受损部件;
3、如果不能自行修复的,立即与设备提供商联系,请求派维修人员前来维修并启用备机;
4、如服务器硬件环境无法很快恢复,应向指挥组汇报,并告知各下属单位,暂缓上传上报数据。
第九条 应急行动结束应由指挥组组长确定,行动结束后,行动组应向指挥组上报行动的书面报告。
第四章 应急行动的基本制度
第十条 应急程序启动后,指挥组应安排相关人员进行24小时在事故现场值班。
第十一条 应急程序实施期间,所有成员在遇有重大情况和自身不能处理的事项应立即向上级领导请示汇报。
第十二条 为保证应急行动的能力,应定期组织应急行动演练,日常情况下每年至少组织一次应急行动的综合演练,遇有可预见的应急情况,应在事前组织演练,以提高处理应急事件的能力,检验物资器材的完好情况。
第五章 应急保障
济南铁路局第十三条 应急行动所需的物资器材应予以充分保障,以确保应急预案落到实处。应坚持对应急行动的设备器材进行定期维护保养,保证完好率达到95%以上,所需的物资应坚持定期补充和更换,始终保持其有效性。
第十四条 日常工作中需为应急行动做好的有关工作
(一)保证关键网络设备及服务器的备件。
(二)加强对信息系统的监控,发现问题及时报告相关领导,并采取初步的应急处理措施;通过对操作系统和网络服务安全漏洞的周期检测,发现安全隐患;要求值班人员监控入侵检测设备,记录攻击行为。
(三)记录厂商联系人的,出现问题后能及时得到厂商援助。
(四)信息系统的数据库、源程序和上传文件等要做到每周一次备份,确保关键数据安全。
(五)做好关键人员储备工作
1、对于关键岗位平时应做好人员储备,确保一项工作应有至少两人能操作;
2、一旦发生应急情况时,关键人员不在岗,首先应向值班领导汇报情况;
3、经值班领导批准后,由备用人员上岗操作;
第六章 后期处置
第十五条 在指挥组的领导下,配合有关部门,组织调查,查明原因和具体责任与财产损失等情况。
第十六条 依据原因及调查结果,由行动组做出事故调查报告。
第十七条 根据调查结果和有关法律、法规及站内规章制度,由相关部门共同研究,结果报有关领导决定。
第十八条 根据处理结果和领导的指示,由有关部门发文进行通报以警示。
第七章 附则
第十九条 本预案由xx集团有限公司信息安全管理领导小组办公室负责解释,并自发布之日起实施。
