网络安全系统应急处置工作流程文档格式.docx

网络安全系统应急处置工作流程文档格式.docx

《网络安全系统应急处置工作流程文档格式.docx》由会员分享，可在线阅读，更多相关《网络安全系统应急处置工作流程文档格式.docx（12页珍藏版）》请在冰豆网上搜索。

主要负责综合协调网络与信息安全保障工作，并根据网络与信息安全事件的开展态势和实际控制需要，具体负责现场应急处置工作。

工作小组应当经常召开会议，对近期发生的事故案例进展研究、分析，并积极开展应急响应具体实施方案的研究、制定和修订完善。

第五章预防与预警机制

第七条公司应从制度建立、技术实现、业务管理等方面建立健全网络与信息安全的预防和预警机制。

第八条信息监测与报告

1.应加强网络与信息安全监测、分析和预警工作。

公司应每天定时利用自身监测技术平台实时监测和汇总重要系统运行状态相关信息，如：

路由器、交换机、小型机、存储设备、安全设备、应用系统、数据库系统、机房系统的访问、运行、报错与流量等日志信息，分析系统安全状况，与时获得相关信息。

2.建立网络与信息安全事件通报机制。

发生网络与信息安全事件后应与时处理，并视严重程度向各自网络与信息安全事件的应急响应执行负责人、与上级主管部门报告。

第九条预警

应急响应工作小组成员在发生网络与信息安全事件后，应当进展初步核实与情况综合，快速研究分析可能造成损害的程度，提出初步行动对策，并视事件的严重程度决定是否与时报各自应急响应执行负责人。

应急响应执行负责人在承受严重事件的报告后，应与时发布应急响应指令，并视事件严重程度向各自信息安全领导小组汇报。

1.预警X围：

（1）易发生事故的设备和系统；

（2）存在事故隐患的设备和系统；

（3）重要业务使用的设备和系统；

（4）发生事故后可能造成严重影响的设备和系统。

2.预防措施：

（1）建立完善的管理制度，并认真实施；

（2）设立专门机构或配备专人负责安全工作；

（3）适时分析安全情况，制定、完善应急响应具体实施方案。

第十条预防机制

积极推行信息系统安全等级保护，逐步实行网络与信息安全风险评估。

根底信息网络和重要信息系统建设要充分考虑抗毁性与故障恢复，制定并不断完善网络与信息安全应急响应具体实施方案；

与早发现事故隐患，采取有效措施防止事故发生，逐步建立完善的监控系统，保证预警的信息传递准确、快捷、高效。

第六章事件分类与分级

第十一条事件分类

公司系统网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个根本分类。

有害程序事件：

蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的网络与信息安全事件。

网络攻击事件：

通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的网络与信息安全事件。

信息破坏事件:

通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网络与信息安全事件。

信息内容安全事件：

利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件，利用网络从事某某犯罪活动的情况，网络恐怖活动的嫌疑情况和预警信息。

设备设施故障：

由于信息系统自身故障或外围保障设施故障而导致的网络与信息安全事件，以与人为的使用非技术手段有意或无意的造成信息系统破坏而导致的网络与信息安全事件。

灾害性事件：

由于不可抗力对信息系统造成物理破坏而导致的网络与信息安全事件。

其他信息安全事件：

不能归为以上6个根本分类的网络与信息安全事件。

第十二条事件定级

公司系统网络与信息安全事件级别分为四级：

一级（特别重大）、二级（重大）、三级（较大）和四级（一般）。

一级（特别重大）：

指能够导致特别严重影响或破坏的网络与信息安全事件。

二级（重大）：

指能够导致严重影响或破坏的网络与信息安全事件。

三级（较大）：

指能够导致相对严重影响或破坏的网络与信息安全事件。

四级（一般）：

指能够导致较小影响或破坏的网络与信息安全事件。

第七章应急响应的流程

第十三条在发生信息安全事件时，启动如下应急响应流程，应急响应流程如下图所示。

1、事件分析

事件分析主要完成如下工作：

1〕在发生信息安全事件后，应急响应工作小组对事件进展确认。

2〕确认为信息安全事件后，根据应急处理事件分类规如此对事件进展定性、定级和上报。

3〕根据对事件的初步分析，确定应急处理方式，如果应急响应工作组以自身力量无法处理的事件，由应急工作小组向上级领导或上级机关提出应急支援请求。

应急响应流程图

2、事件处理

事件处理主要包括以下内容：

1〕泄密安全事件发生时，要与时的用口头或书面的形式向某某工作部门如实报告并上报上级主管部门的某某机构，同时采取断开网络、改变或终止用户权限等措施切断泄密源头，控制泄密X围，并与时对系统隐患进展修补。

在对系统的泄漏隐患或风险进展重新评估，确认安全后，系统方能重新运行，对事件类型、发生原因、影响X围、补救措施和最终结果进展详细纪录。

2〕系统运行安全事件发生时，应分析是否存在针对该事件的特定系统预案，如果存在如此启动特定系统应急预案，如果涉与多个特定系统预案，应同时启动所有涉与的特定系统预案。

分析是否存在针对该事件的专题预案，如果存在如此启动专题预案，如果事件涉与多个专题预案，应同时启动所有涉与的专题预案。

3〕如果没有针对该事件的应急预案，应根据事件具体情况，采取抑制措施，抑制事件进一步扩散，并铲除事件影响，恢复系统运行；

3、完毕响应

系统恢复运行后，应急响应工作组对事件造成的损失、事件处理流程、应急预案进展评估，对响应流程、预案提出修改意见，撰写事件处理报告。

应急响应工作组应根据《信息安全应急预案》要求，确定是否需要上报该事件与其处理过程，需要上报的应与时准备相关材料，上报上级机关。

对于蠕虫、病毒等易造成大X围传播的信息安全事件，应与时向应急工作小组提交预警信息。

应急响应流程完毕。

第十四条应急处置演练制度

为保证应急行动的能力，应每年至少组织一次应急行动演练，以提高处理应急事件的能力，检验物资器材的完好情况。

应急响应演练按如下步骤进展：

〔1〕由信息安全应急响应领导小组确定应急响应演练的目标和应急响应演练的X围；

〔2〕按信息安全应急响应领导小组的要求，由应急响应工作小组制定应急响应演练的方案；

〔3〕应急响应工作小组调配应急响应演练所需的各项资源，并协调应急响应演练过程中涉与的部门和单位；

〔4〕应急响应工作小组组织进展应急演练；

〔5〕信息安全应急响应领导小组总结经验，根据演练结果对应急预案进展更新，并对本单位的应急工作整改。

在应急响应演练完毕之后，应急响应工作小组应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题向应急工作小组提出修改建议。

应急工作小组组织对修改意见进展评估，修改后的预案应经评估通过后，上报领导小组，经批准后发布实施。

在上级机关预案或相关的法律标准修改后，本预案应进展调整与其保持一致。

调整后，应急工作小组应组织专家组对其评审，评审通过后上报领导小组，经批准后发布实施。

第十五条应急响应总结制度

应急处置完毕后，须进展以下工作：

（1）召开应急事件总结会议。

（2）分析异常事件发生的原因，形成信息安全事件原因分析报告。

（3）有关人员编制安全事件处置报告。

报告内容包括事件发生事件、地点，监测到时间的事件、地点，事件的处理过程，事件的处理方法，事件造成的影响，可吸取的经验报告。

（4）对相关责任人员进展严肃的批评和教育，指出其工作中的缺陷，并让其提供总结报告。

情节严重的，给予书面警告、除名等处罚措施。

（5）针对发生的事件的起因，分析改良的措施和补救方法，从技术和管理上加以改良，坚决杜绝类似事件在今后发生。

（6）技术改良措施：

1〕针对脆弱性或漏洞，检查涉密信息系统的其他位置，找出并进展改良或加固；

2〕改良应急方案内容，使应急方案满足今后的日常监测和应急需要；

3〕增加可能出现故障设备的备份设备，增加单点设备的备份设备；

4〕更换或升级经常出故障的产品。

5〕对本次应急处理的处理方法进展归档，作为知识库进展保管。

（7）管理改良措施：

1〕修改相关制度和岗位工作任务和职责；

2〕落实人员的岗位职责；

3〕进一步做好系统的日常运维工作；

4〕加强教育，培养人员的安全意识；

5〕进一步加强安全检查，以检查促安全。

第八章持续改良

第十六条为了保证本文件的时效性、可有性，必须根据相关审核规定进展评审和修订，修订后重新发布。

第九章附如此

第十七条本规定由技术部制定并负责解释。

第十八条本规定自发布之日起施行。

附件1：

通信录

1、应急领导小组成员

某某

部门与职务

手机

备注

2：

应急工作小组

姓名

3：

相关机构和联系方式

机构名称

联系人

联系

信息安全服务商

电信运营商

其他机构

附件2：

泄密事件报告表

泄露国家秘密事件报告表

发生泄密事件部门

泄密事项的主要内容

发生〔现〕时间

发生〔现〕地点

当事人某某

当事人职务

泄密的方式

泄露密级与载体数〔份、件、项等〕

绝

密

机

秘

主要责任人根本情况：

泄密事件发生经过：

采取补救措施：

主管领导〔签字〕：

填报人：

年月日

附件3：

日常监测异常事件记录

日常监测异常事件记录表

记录人：

记录时间：

异常事件

名称

类型

[]系统运营事件[]泄密事件

详细描述

注：

相关日志等可作为附件粘贴在本记录表后面。

异常事件发现时间

异常事件发现途径

监测者

影响X围

和严重程度

异常事件造成的损害

已采取的应急措施

发现异常事件须详细记录，并迅速报告应急工作小组。

附件4：

事件定级表

信息安全事件定级表

事件描述

事件影响程度

事件经济损失

事件拟定

安全级别

级〔1-4级〕

处理事件需要的相关资源〔人员、设备、保障资源〕

应急工作小组意见

时间：

应急领导小组意见

附件5：

演练总结报告

应急演练总结报告

演练名称

______年度应急演练

演练时间

演练参与人员

演练负责人

演练目的

演练培训情况

演练内容

演练过程描述

演练结果

演练经验与

改良建议

报告人签字

应急领导小组

意见

不够可自行添页。

附件6：

信息安全事件处置报告

事件发生经过：

处理过程：

今后防止发生同类事件的改良建议：

技术建议：

管理建议：