信息系统应急预案管理制度，系统安全事件应急处理办法

为保证业务信息系统的连续性，必须有系统、有组织地作好应急预案的管理工作， 特制定本管理办法。本系统安全事件应急处理办法适用于发生在网络上的突发性事件应急工作。

第一章 目的

第一条 为保证重庆 XX 中学业务信息系统的连续性，必须有系统、有组织地作好应急预案的管理工作， 特制定本管理办法。

第二章 范围

第二条 适用于发生在重庆 XX 中学网络上的突发性事件应急工作。

第三章 原则

第三条 应急处置工作原则：统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。

第四章 管理细则

第四条 职责

应急预案组长：应急预案小组组长批准预案的实施与撤消及向上级相关部门的报告。

应急预案副组长：负责重庆 XX 中学范围内人力、物力资源协调、组织、指导应急预案的实施。

成员：负责各自部门内部人员的协调、在各自熟悉领域内统一接收组长指令，完成应急预案的实施。

第五条 信息安全应急预案是在对各部门的全部业务处理功能的严格调查基础上，针对每项关键业务流程，受信息系统可能发生不同程度突发事件的影响，准备和实施的一套信息安全应急预案，其基本价值在于：在信息系统突发事件出现之前就已经制定相应措施，做好一定准备；一旦信息系统安全事件发生，可以提供和实施这些替代方案，以最大限度地争取时间，减少损失。

第六条 统一应急预案框架

1、信息系统应急预案故障分类

根据网络与信息安全突发事件可控性、严重程度和影响范围的不同，分为以下四级：

• I 级（特别重大）：重庆 XX 中学网络与信息系统发生重庆 XX 中学性瘫痪，对重庆 XX 中学正常工作造成特别严重损害，且事态发展超出重庆 XX 中学控制能力的安全事件；
• II 级（重大）：重庆 XX 中学网络与信息系统发生大规模瘫痪，对重庆 XX 中学正常工作造成严重损害，事态发展超出重庆 XX 中学单一部门自身控制能力，需重庆 XX 中学各部门协同处置的安全事件；
• III 级（较大）：重庆 XX 中学某一区域的网络与信息系统瘫痪，对重庆 XX 中学正常工作造成一定损害，但网络安全办公室可自行处理的安全事件；
• IV 级（一般）：某一局部网络或信息系统受到一定程度损坏，对重庆 XX 中学某些工作有一定影响，但不危及重庆 XX 中学整体工作的安全事件。

2、信息系统应急预案的启动

当发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向网络安全办公室报告。网络安全办公室工作人员对各工作站提出的问题必须高度重视，做好记录，经核实后及时给各工作站反馈故障信息，同时召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复的，应尽快恢复工作；如故障原因不明、情况严重、不能在短期内排除的， 应立即报告领导，在网络不能运转的情况下由领导协调重庆 XX 中学各部门工作，以保障重庆 XX 中学工作的正常运转。但是否启动应急预案需要参照以下描述执行：

• 机房主服务器发生不可抗拒因素（不可预知的突发故障）导致重庆 XX 中学信息系统停止运行 15 分钟以上时。
• 突发供电系统大范围停电，供电系统不能及时修复， 并且备用电源亦不能提供电源，造成全部电脑不能运行。
• 遇地震、火灾、水灾等不可抗拒因素且对信息系统造成大面积影响，业务信息系统不能访问，或基础网络系统不能访问。

一旦发生上述情况之一，应迅速启动信息系统应急预案，但须遵守以下流程：网络安全办公室在第一时间汇报领导，如遇夜间或节假日有关使用部门立即上报总值班，总值班通知网络安全办公室人员，网络安全办公室人员到场后作出初步结论，汇报领导，由主管领导决定启动应急预案， 并通知相关责任人。网络安全办公室开展相应的处理，如发生不能自行处理的因素，立即通知签约的服务商、其他人员到场处理。

第七条 处置措施和处置程序

1、处置措施

处置的基本措施分灾害发生前与灾害发生后两种情况。

1. 灾害发生前，网络与信息安全主管部门及网络信息中心要预先对灾害预警预报体系进行建设，开展灾害调查， 编制灾害防治规划，建设专业监测网络，并规划建设灾害信息管理系统，及时处理灾害讯情信息。加强灾害险情巡查。网络安全办公室要充分发挥专业监测的作用，进行定期和不定期的检查，加强对灾害重点部位的监测和防范，发现有不良险情时，要及时处理并向工作领导小组报告。建立健全灾情速报制度，保障突发性灾害紧急信息报送渠道畅通。
2. 灾害发生后，立即启动应急预案，采取应急处置程序，判定灾害级别，并立即将灾情向工作小组报告，在处置过程中，应及时报告处置工作进展情况，直至处置工作结束。

2、处置程序

1. 发现情况：网络安全办公室要严格执行值班制度，做好信息系统安全的日常巡查及其日志保存工作，以保障最先发现灾害并及时处置此突发性事件。
2. 预案启动：一旦灾害发生，立即启动应急预案，进入应急预案的处置程序。
3. 应急处置方法：在灾害发生时，首先应区分灾害发生是否为自然灾害与人为破坏两种情况，根据这两种情况把应急处置方法分为两个流程。
   • 流程一：当发生的灾害为自然灾害时，应根据当时的实际情况，在保障人身安全的前提下，首先保障数据的安全，然后是设备安全。具体方法包括：硬盘的拔出与保存， 设备的断电与拆卸、搬迁等。
   • 流程二：当人为或病毒破坏的灾害发生时，具体按以下顺序进行：判断破坏的来源与性质，断开影响安全与稳定的信息网络设备，断开与破坏来源的网络物理连接，跟踪并锁定破坏来源的 IP 或其它网络用户信息，修复被破坏的信息，恢复信息系统。按照灾害发生的性质分别采用以下方案：
     • 病毒传播：针对这种现象，要及时断开传播源，判断病毒的性质、采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息以及防御方法。
     • 入侵：对于网络入侵，首先要判断入侵的来源，区分外网与内网。入侵来自外网的，定位入侵的 IP 地址，及时关闭入侵的端口，限制入侵地 IP 地址的访问，在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的，查清入侵来源，如 IP 地址、上网帐号等信息，同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
     • 信息被篡改：这种情况，要求一经发现马上断开相应的信息上网链接，并尽快恢复。
     • 网络故障：一旦发现，可根据相应工作流程尽快排除。其它没有列出的不确定因素造成的灾害，可根据总的安全原则，结合具体的情况，做出相应的处理。不能处理的可以请示相关的专业人员。
4. 情况报告：灾害发生时，一方面按照应急处置方法进行处置，同时需要判定灾害的级别，首先向网络与信息安全应急处置工作小组汇报，并及时报告处置工作进展情况，直至处置工作结束。情况报告内容包括：灾害发生的时间、地点，灾害的级别，灾害造成的后果，应急处置的过程、结果，灾害结束的时间，以后如何防范类似灾害发生的建议与方案等。
5. 发布预警：灾害发生时，可根据灾害的危害程度适当地发布预警， 特别是一些在其它地方已经出现，或在安全相关网站发布了预警而信息网络还没有出现相应的灾害，除了在技术上进行防范以外，还应当向网络信息用户发布预警，直至灾害警报解除。
6. 预案终止：经专家组鉴定，灾害险情或灾情已消除，或者得到有效控制后，由网络与信息安全应急处置工作小组宣布险情或灾情应急期结束，并予以公告，同时预案终止。

第八条 保障措施

灾害应急防治是一项长期的、持续的、跟踪式的、深层 次的和各阶段相互联系的工作，是有组织的科学与社会行为， 而不是随每次灾害的发生而开始和结束的活动。因此，必须 做好应急保障工作。

1. 人员保障：重视人员的建设与保障，确保在灾害发生前的人员值班， 灾害处置过程和灾后重建中的人员在岗与战斗力。
2. 技术保障：重视网络信息技术的建设和升级换代，在灾害发生前确保网络信息系统的强劲与安全，灾害处置过程中和灾后重建中的相关技术支撑。
3. 物资保障：根据近三年全国甚至全世界网络信息系统安全防治工 作所需经费情况，购买相应的应急设施。建立应急物资储备制度，保证应急抢险救灾队伍技术装备的及时更新，以确保灾害应急工作的顺利进行。
4. 训练和演练：加强网络信息用户的防灾、减灾知识的宣传普及，增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练，确保发灾后应急救助手段及时到位和有效。

第九条 III、IV 级故障的处置方法

III、IV 级故障的处置要根据网络与信息安全事件分类采取不同应急处置方式。

1、网络攻击事件处置

判断攻击的来源与性质，关闭影响安全与稳定的网络设 备和服务器设备，断开信息系统与攻击来源的网络物理连接， 跟踪并锁定攻击来源的 IP 地址或其它网络用户信息，修复被破坏的信息，恢复信息系统。根据具体情况选择以下处置 方式：

1. 病毒传播：及时寻找并断开传播源，判断病毒的类型、性质、可能的危害范围；为避免产生更大的损失，保护健康 的计算机，必要时可关闭相应的端口，甚至相应楼层的网络， 及时请有关技术人员协助，寻找并公布病毒攻击信息，以及 杀毒、防御方法。
2. 外部入侵：判断入侵的来源，区分外网与内网，评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的， 且评价威胁很小的外网入侵，定位入侵的 IP 地址，及时关闭入侵的端口，限制入侵的 IP 地址的访问。对于已经造成危害的，应立即采用断开网络连接的方法，避免造成更大损失和影响。
3. 内部入侵：查清入侵来源，如 IP 地址、所在办公室等信息，同时断开对应的交换机端口，针对入侵方法调整或 更新入侵检测设备。对于无法制止的多点入侵和造成损害的， 应及时关闭被入侵的服务器或相应设备。

2、设备故障事件处置

判断故障发生点和故障原因，迅速联系服务厂商尽快抢修故障设备，优先保证主干网络和主要应用系统的运转。

3、供电系统断电处置

在通知供电系统进行检修的同时，随时观察注意 UPS 不间断电源的运行情况，停电时间接近 4 小时，必须停止服务器的运行。待电源恢复后，再按正常操作步骤恢复系统运行。

4、灾害性事件处置

根据实际情况，在保障人身安全的前提下，保障数据安全和设备安全。具体方法包括：硬盘的拔出与保存，设备的断电与拆卸、搬迁等。

5、信息内容安全事件处置

接到网站出现不良信息的报案后，应迅速屏蔽该网站的网络端口或拔掉网络连接线，阻止有害信息的传播，根据网站相关日志记录查找信息发布人并做好善后处理；对公安机关要求协查的外网不良信息事件，根据上网相关记录查找信息发布人。

6、其它不确定安全事件处置

可根据总的安全原则，结合具体情况，做出相应处理。 不能处理的及时咨询信息安全公司或顾问。

第十条 信息系统应急预案的撤消与恢复

1. 网络安全办公室确认重庆 XX 中学信息系统恢复正常。
2. 确认重庆 XX 中学秩序恢复正常。
3. 信息系统正常运行 10 分钟以上，网络安全办公室上报，由主管领导批准撤消“信息系统应急预案”。
4. 在“信息系统应急预案” 撤消后 24 小时内，信息中心整理有关故障经过，填报《信息系统应急响应报告》，上报信息安全领导小组和领导，必要时上报。

第十一条 信息系统应急预案的善后

信息系统恢复正常，信息系统应急预案撤销后，信息系统预案应急小组还需要开展以下善后工作：

1. 查找事件发生原因，总结经验教训；
2. 如事件由人为引起，追究相关人员责任，如触犯法律， 可直接报告公安机关处理；
3. 如事件因为管理疏忽引起，除追究当事人责任之外， 还需要追究相关主管领导责任；
4. 根据事件危害程度，在部门范围内或重庆 XX 中学范围内就信息安全事件处理情况进行通报；
5. 如有必要，在相关部门或重庆 XX 中学范围内开展教育培训，提高人员安全意识，杜绝类似事件发生。

第十二条 应急预案演练

1. 应定期对应急计划中各种安全事件的应急恢复方案进行演练和测试，确保应急恢复方案的可行性和可靠性，锻炼应急恢复人员的应急响应速度和熟练程度，每次应急恢复演练和测试均应当作详细的记录。
2. 各科室负责组织编制应急预案演练指南，提出规范各类突发事件应急预案演练的组织与实施的方法，指导相关应急预案演练活动。
3. 应急预案应每年至少演练一次，信息安全领导小组开展演练评估工作，总结分析应急预案存在的问题。
4. 应急预案应列入应急知识宣教培训内容，其中涉及公众生命安全保障的部分应作为重点。各科室应制作有关应急预案宣传普及材料，并向公众免费发放。

第十三条 应急资源保障

1. 资源保障是实现突发事件快速响应、高效处置的基础和先决条件，各科室应充分考虑日常与应急两个方面，范围包括人员、技术、联络协调、物资和资金保障等内容，涉及事前和事中环节。
2. 应建立应急人员保障机制，配备足够的应急保障人员，包括落实主备岗并定期进行互换，配备专职灾备管理人员等，并通过应急培训和演练，确保应急处置人员具备应急工作必要的技术资质，提高人员应急处置的熟练度。
3. 网络安全办公室应建立有效的技术保障机制，提高监测预警与应急处置的技术水平，应与通信运营商、重要设备服务商、系统集成服务商以及其他外包服务商签订服务水平协议,确保相关厂商应急处置过程中能够及时提供有效的 技术服务支持。
4. 各科室应建立应急物资和资金保障机制，储备一定数量应急设备或物资，建立应急响应专项资金预算，保证应急储备。

第十四条 附则

1. 在此统一应急预案框架下，各科室需要根据科室工作具体流程和特点制定本科室应急预案响应细则，并做好各方面储备。
2. 各科室应建立应急预案培训机制，就此统一应急预案框架和科室内部应急预案响应细则进行培训，至少每年要对科室信息应用人员进行一次应急预案培训。
3. 网络安全办公室对该统一应急预案框架应定期审查和根据实际情况更新，各科室对科室内部应急预案响应细则也应该根据业务信息系统变化定期进行审查和更新。