应急处置工作制度
应急处置工作制度
第1章. 应急响应策略
一、总体策略
1.应急响应作为信息系统故障或发生异常事件的最后一道防线,必须高度重视,从技术、管理等多方面加以应对和处置;
2.发生异常事件时不慌乱,接受应急响应及处置领导小组的统一管理,严密有序的组织应对和处置;
3.发生泄密事件时,须提高事件处置的等级,优先处理泄密事件;
4.发生异常事件时,总体上须按照“快速恢复,减少损失”的要求来进行处置,以最快的速度恢复至事件前的状态,并将事件造成的不良影响降低至最低程度;
5.按照PDCA模型处理应急响应事件,遵循“应急响应-知识查询-问题排除-知识库修复”的操作流程不断丰富应急响应知识库,为全面运行和管理涉密信息系统提供理论支撑和最佳实践经验;
6.每年适当增加应急响应的工作经费,保障应急处置的顺利工作;
7.应急培训和演练须务实,不留死角。对培训和演练须不断进行总结和评估。
二、数据故障恢复事件策略
1.首要要判断清楚故障原因,如分清是逻辑故障还是物理设备故障;
2.如能简单恢复,则不需要进行复杂恢复;
3.确保恢复数据的可用性。在恢复之前,对数据进行可用性测试;
4.恢复之后必须进行新的数据库的备份;
5.针对故障原因,调整数据备份和恢复策略;
6.针对故障原因,针对硬件设备进行必要的调整和升级;
7.若人为事故,对相关责任人员进行教育和处罚。
三、系统故障恢复策略
1.分析判断系统故障的准确原因,是操作不当还是软件漏洞;
2.故障原因能够重现,应详细记录故障现象;
3.分析系统故障原因是否与设置的策略有矛盾和冲突;
4.系统重新安装或升级之前须做好数据备份;
5.系统重新安装或升级之前须做好测试工作,防止无法回退;
6.系统重新安装或升级之后须做好策略的调整工作;
7.若人为事故,对相关责任人员进行教育和处罚。
四、设备故障恢复策略
1.分析判断是系统故障还是设备故障,若是设备故障,须定位故障设备;
2.故障原因能够重现,应详细记录故障现象;
3.故障设备替换之前,须做好数据备份、策略备份;
4.故障设备在维修之前须查看设备是否涉密,若涉密,则按涉密维修的流程处理;
5.涉密故障设备在维修之前须先用数据清除等工具彻底清除保密数据;
6.新设备重新安装之后,须做好设备的安全策略设置;
7.对关键设备实施冗余配置,提高其运行可靠性;
8.若人为事故,对相关责任人员进行教育和处罚。
五、系统运行策略
1.定期进行数据备份;
2.不得在系统内安装非授权的软件;
3.不得在系统内接入非授权的设备;
4.每天进行数据的监控和审计工作;
5.定期开展信息安全检查工作;
6.各类信息或设备的访问权限须严格控制。
7.针对应用需要,不断调整和优化详细安全策略。
8.定期对系统风险、威胁等进行风险评估。
第2章. 应急响应预案
2.1. 总则
一、目的
为了规范本单位应急响应工作内容和工作流程,提高自身的应急响应能力,完善应急响应机制,确保信息系统的安全和业务的连续性,制定本应急预案。
二、适用范围
本预案适用于本单位信息安全事件的应急响应工作。
启动条件
当发生重大信息安全事件时,启动本预案。
三、基本原则
1.坚持预防为主
提高本单位的信息安全防护意识和水平,加强信息系统安全体系建设,按照涉密系统信息系统建设运行的特点和规律积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,提高各单位应对突发信息安全事件的能力。
2.提高快速反应能力
建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,强化人力、物力、财力储备,增强应急处理能力。保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。
3.加强安全监管
在网络安全监控系统的基础上,建立完善的信息系统安全监控和管理机制,对数据库服务器、业务系统、 应用系统和网络状况进行持续和重点监控,及时发现信息安全隐患和事件迹象,进行安全预警并采取针对性的应对措施。
4.责任到人、制度保障
明确信息安全应急响应工作的角色和职责,保证各项工作责任到人,建立应急响应各项工作的处理流程,实现应急响应工作的规范化、制度化和流程化。
2.2. 应急响应的机构及分工
信息安全应急响应及处置领导小组
组长:李秀英
成员:王琴、顾美芳、张艳
领导小组在应急响应工作中的主要职责:
1.负责审核和批准涉密信息系统应急响应总体规划、重大网络与信息安全事件报告;
2.负责统筹规划信息系统网络与信息安全应急基础设施建设;
3.对重大网络与信息安全事件的应急响应工作进行宏观决策和应急指挥;
4.协调重大网络与信息安全事件的调查处理;
5.必要时接受专家顾问组的咨询服务。
2.3. 应急响应的流程
在发生信息安全事件时,启动下列应急响应流程,应急响应流程下图所示。
一、事件分析
事件分析主要完成如下工作:
1.在发生信息安全事件后,应急响应工作组对事件进行确认。
2.确认为信息安全事件后,根据应急处理事件分类规则对事件进行定性、定级和上报。
3.根据对事件的初步分析,确定应急处理方式,如果应急响应工作组以自身力量无法处理的事件,由应急办向上级领导或上级机关提出应急支援请求。
二、事件处理
事件处理主要包括以下内容:
1.系统运行安全事件发生时,应分析是否存在针对该事件的特定系统预案,如果存在则启动特定系统应急预案,如果涉及多个特定系统预案,应同时启动所有涉及的特定系统预案。分析是否存在针对该事件的专题预案,如果存在则启动专题预案,如果事件涉及多个专题预案,应同时启动所有涉及的专题预案。
2.如果没有针对该事件的应急预案,应根据事件具体情况,采取抑制措施,抑制事件进一步扩散,并根除事件影响,恢复系统运行;
三、结束响应
系统恢复运行后,应急响应工作组对事件造成的损失、事件处理流程、应急预案进行评估,对响应流程、预案提出修改意见,撰写事件处理报告。应急响应工作组应根据《应急响应管理制度》要求,确定是否需要上报该事件及其处理过程,需要上报的应及时准备相关材料,上报上级机关。
对于蠕虫、病毒等易造成大范围传播的信息安全事件,应及时向应急办提交预警信息。
应急响应流程结束。
2.4. 应急处置演练制度
为保证应急行动的能力,应每年至少组织一次应急行动演练,以提高处理应急事件的能力,检验物资器材的完好情况。
应急响应演练按如下步骤进行:
1.由信息安全应急响应及处置领导小组确定应急响应演练的目标和应急响应演练的范围;
2.按信息安全应急响应及处置领导小组的要求,由应急办组织应急响应工作组制定应急响应演练的方案;
3.应急办调配应急响应演练所需的各项资源,并协调应急响应演练过程中涉及的部门和单位;
4.应急办组织并监督应急响应工作小组进行应急演练;
5.应急办对应急演练进行评估,并向领导小组报告演练结果;
6.信息安全应急响应及处置领导小组总结经验,根据演练结果对应急预案进行更新,并对本单位的应急工作整改。
在应急响应演练结束之后,应急响应工作组应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题向应急办提出修改建议。应急办组织对修改意见进行评估,修改后的预案应经评估通过后,上报领导小组,经批准后发布实施。
在上级机关预案或相关的法律标准修改后,本预案应进行调整与其保持一致。调整后,应急办应组织专家组对其评审,评审通过后上报领导小组,经批准后发布实施。
2.5. 应急响应总结制度
应急处置结束后,须进行以下工作:
一、召开应急事件总结会议。
二、分析异常事件发生的原因,形成信息安全事件原因分析报告。
三、有关人员编制安全事件处置报告。报告内容包括事件发生事件、地点,监测到时间的事件、地点,事件的处理过程,事件的处理方法,事件造成的影响,可吸取的经验报告。
四、对相关责任人员进行严肃的批评和教育,指出其工作中的缺陷,并让其提供总结报告。情节严重的,给予书面警告、除名等处罚措施。
五、针对发生的事件的起因,分析改进的措施和补救方法,从技术和管理上加以改进,坚决杜绝类似事件在今后发生。
六、技术改进措施:
1.针对脆弱性或漏洞,检查涉密信息系统的其他位置,找出并进行改进或加固;
2.改进应急方案内容,使应急方案满足今后的日常监测和应急需要;
3.增加可能出现故障设备的备份设备,增加单点设备的备份设备;
4.更换或升级经常出故障的产品。
5.对本次应急处理的处理方法进行归档,作为知识库进行保管。
七、管理改进措施:
1.修改相关制度和岗位工作任务和职责;
2.落实人员的岗位职责;
3.进一步做好系统的日常运维工作;
4.加强教育,培养人员的安全意识;
5.进一步加强安全检查,以检查促安全。
2.6. 保障措施
一、人员保障
人力资源的保障是应急保障措施中的一项重要工作内容。为了提高应急响应工作组的人员素质,应针对本单位的应急响应工作任务,制定并实施完善、高效、合理的人员培训和演练计划。
在应急响应工作中,各部门工作人员应服从应急办的统一协调和安排。
二、设备保障
为保证在发生信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作,应加强对这些工具及设备的日常维护调试,保证其随时处于可用状态。应急工作中涉及的关键设备包括:网络分析仪、数据恢复工具、流量监控设备。
另外,应急响应工作组还应注意跟踪最新的技术发展动态,收集、整理其他应急响应相关工具,包括文件完整性检测工具、木马/后门检测工具等等。对于病毒库、脆弱性评估系统插件库等应及时更新;根据工作需要,应急响应工作缺乏的设备或工具软件应及时采购。
三、技术资料保障
全面的技术资料是高效的应急响应工作的前提和基础,应急技术资料是网络和信息系统重要技术信息,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、主要设备厂商信息、设备使用人员的详细信息等。这些信息必须及时更新,以保证与实际系统的一致性。
各部门还应根据需要对系统进行风险评估,随时掌握系统安全状况和存在的残余风险。
四、经费保障
财务部门应在每年的财务预算中安排应急响应工作所需网络与信息安全专项经费。
五、后勤保障
在应急响应工作中,行政部门应做好充分的后勤保障工作,包括应急人员的饮食,交通工具和通信联络等等,确保应急响应工作的顺利开展。
