国际标准化组织ISO将计算机系统安全定义为对数据处理系统建立和采用的技术和管理的安全保护,以及对计算机硬件、软件和数据的保护,使其免受意外和恶意原因造成的损坏、更改和泄露。 以下是为大家整理的关于数据安全事件应急预案的文章3篇 ,欢迎品鉴!
【篇1】数据安全事件应急预案
一、总则
(一)为预防和减少网络与信息安全突发事件的发生,控制、减轻和消除突发事件引起的危害及造成的损失,规范突发事件预防和应对活动,保护学院的网络与信息安全,防止重要信息泄密,保障网络业务与信息传输安全通畅的运行,提高应对重大事故的应急能力,把损失降到最低程度,特制定本预案。
(二)本预案依据《中华人民共和国网络安全法》(20_年)编制。
(三)本预案适用于苏州大学应用技术学院(以下简称学院)网络与信息系统安全事件的应对与处置工作。本预案所称网络与信息安全事件是指由于自然灾害、设备软硬件故障、人为失误、黑客攻击,以及敌对势力破坏等原因,对网络信息系统造成危害,对学院正常教学、管理工作和声誉造成不利影响的信息安全事件。
(四)学院网络一旦出现安全事件,学院信息系统运行受到威胁;将给教学、管理造成不可估量的损失。网络与信息安全事件主要由以下三个方面的影响因素引起:
1.网络安全防护体系风险
网络和信息技术发展日新月异,信息技术安全产品发展也很快,目前学院信息安全保障产品还不够完备。
2.操作系统固有缺陷
目前常用的操作系统都存在一定的安全漏洞,随着各种需求和应用的不断增加,网络和系统管理变得越来越复杂。
3.接入终端多样复杂
接入网络的终端,由不同厂家在不同年代生产,目前没有纳入统一的防病毒、系统补丁和更新程序管理,致使接入终端可能成为病毒或黑客攻击网络的切入点。
(五)根据网络与信息安全事件的起因、表现、结果等,网络与信息安全事件主要分为以下六类:
1.危害程序事件
蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的网络与信息安全事件。
2.网络攻击事件
通过网络或者其它技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力手段对信息系统实施攻击,并造成信息系统异常,或对信息系统当前运行造成潜在危害的信息安全事件。
3.信息破坏事件
通过网络或者其它技术手段,造成信息系统中的信息被篡改、假冒、泄露、窃取等而导致的信息安全事件。
4.设备设施故障事件
由于信息系统自身故障或外围保障措施故障而导致的网络与信息安全事件,以及人为地使用非技术手段有意或无意地造成信息系统破坏而导致的信息安全事件。
5.灾害性事件
由于不可抗力对网络和信息系统造成物理破坏而导致的信息安全事件。
6.其它事件
以上没有包括的其它信息安全事件。
(六)根据苏应的计算机基础网络与信息系统的实际业务情况,依据事件性质、严重程度、可控性、影响范围等因素,学院的网络与信息安全突发事件划分为以下四个级别:I级(特别严重)、II级(严重)、III级(一般)和IV级(轻微)。
1.I级(特别严重)突发事件
是指突然发生,将使特别重要的信息系统遭受严重损失,对学院教学、对外信息造成特别重大影响,学院必须统一协调、并向主管上级单位报告及调度各方面的资源和力量进行应急处置的突发事件。符合以下条件之一的为I级事件。
(1)面向学院的核心应用系统2个以上(含2个)遭到破坏性攻击而瘫痪。
(2)敌对分子或黑客利用信息网络进行有组织、大规模反动宣传和攻击活动,出现大量危害学院教学、管理机密等犯罪行为。
(3)其它造成特别严重社会影响或巨大经济损失的网络与信息安全事件。
2.II级(严重)突发事件
是指突然发生,将使重要的信息系统遭受严重损失,对学院教学、管理造成重大影响,学院必须统一协调、调度各方面的资源和力量进行应急处置的突发事件。符合以下条件之一的为II级事件:
(1)学院内、外网全部中断1小时以上(含1小时);各单位、二级学院均与中心网络的链路中断。
(2)面向学院的核心服务崩溃。
(3)直属学院的服务器、核心路由器、交换机等关键设备3个以上(含3个)损坏。
(4)受到外部潜在的重大网络安全隐患或可能遭受的网络病毒影响。
(5)涉及上级单位通报的网络信息安全事件。
3.III级(一般)突发事件
由单位(含二级学院)认定的有可能对本单位造成重大影响,但不会影响本单位以外的学院范围内的网络与信息安全事件。
4.IV级(轻微)突发事件
是指突然发生并未使信息系统遭受严重损失,但需要信息部门引起注意以免事件升级恶化。符合以下条件之一的为IV级事件。
(1)学院内、外网全部中断10分钟以内。
(2)各单位、二级学院均与中心网络的链路中断。
(3)面向学院的非核心服务异常停止。
(七)对于网络安全事件,必须遵守以下工作原则
1.积极防御,综合防范。立足安全防护,加强预警,抓好预防、监控、应急处理、应急保障和打击犯罪等环节,在法律、管理、技术、人才等方面,采取多种措施,充分发挥各方面的作用,共同构筑网络与信息安全保障体系。
2.明确责任。按照“谁主管谁负责”的原则,建立和完善安全责任制,协调管理机制和联动工作机制。
3.依靠科学,平战结合。加强技术储备,规范应急处置措施与操作流程,实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念,确保应急预案切实可行。
二、组织与职责
(一)学院网络安全与信息化工作领导小组为管理机构
本预案组织机构由学院网络安全与信息化工作领导小组(简称领导小组)构成。
领导小组办公室设在信息化建设管理中心,负责人任办公室主任。
(二)领导小组的工作职责
1.负责网络与信息安全事件现场应急指挥工作,确定现场应急处置方案,协调现场应急资源调配工作。
2.负责学院网络与信息安全事件应急工作的领导和应对方案的决策。
三、预防和预警
(一)推进信息系统安全保护等级制度,开展信息安全风险评估工作:
1.技术方面
采用安装防火墙、入侵监测、计算机杀毒软件等措施,建立身份认证和授权管理机制,对主机、网络设备、安全设备与软件和网络边界进行必要配置,对重要数据定期进行备份。
2.管理方面
健全信息安全管理制度,落实信息安全等级保护措施,开展信息安全风险评估。
(二)发生学院级及以上网络与信息安全事件时,应立即启动应急预案进行应急处理,并向领导小组报告。接到报告后,应急领导小组启动预警程序。
(三)发生网络安全事件按以下预警程序进行:
1.立即向领导小组办公室主任报告,由办公室主任预判安全事件等级,II级以上(含II级)的向领导小组汇报,并落实领导指令;II级以下的,需要根据实际情况书面方式汇报给主任。
2.通知有关成员及相关单位做好应急准备。
3.及时收集和掌握事件发展动态及现场应对情况。
4.组织相关人员和专家分析、判断网络与信息安全事件的紧急程度和发展态势,提供应急处置指导意见和技术支持。
5.根据事态变化,适时通报预警信息。
6.网络与信息安全事件解除时,及时宣布、告知预警解除。
7.II级以下网络与信息安全事件发展到II级及以上时,按相应等级启动网络与信息安全事件响应程序。
(四)预警解除
当网络与信息安全事件处置结束,经过评估确认危险已经消除,领导小组可适时下达预警解除指令。
四、应急响应
信息报送à响应程序à应急状态解除à恢复与重建à总结、评估和改进
(一)发生网络与信息安全事件时,第一时间向领导小组办公室报告并定级。
(二)填写《网络安全事项登记表》à领导小组响应与审核(依据事件级别上报相关部门及领导审核)à事件处理及按时上报进度:
1.填写《网络安全事项登记表》
填写事件主题、事件描述、事件级别、事件发生时间,签字并提交给领导小组审核确认。
2.网络与信息安全领导小组响应与审核
需依据事件等级做相应响应与审核:
I级事件:领导小组审核确认,并向主管单位及公安机关报告并保留证据。
II级事件:领导小组审核确认,协调各相关资源及时处理并需现场处理人每小时汇报进展。
III级事件:各部门负责人及领导小组办公室主任审核确认。
IV级事件:信息部领导及领导小组办公室主任审核确认。
(1)安排有关人员赴现场,协调应急处置工作。
(2)根据事态进展,及时对应急救援方案的调整做出决策。
(3)现场处理人员需及时上报信息给领导小组并及时落实有关指令。
3.现场响应与处理
完善《网络安全事项登记表》,填写事件原因,短期处理办法及长期处理办法;I级、II级事件需每小时向领导小组汇报事件处理进度,III级、IV级事件处理完成后需由部门负责人及领导小组办公室主任确认并审核。
(三)应急状态解除
网络与信息安全事件应急处理结束,相关危险因素消除后,由领导小组组长下达应急状态解除指令并完善《网络安全事项登记表》,填写解除时间,相关人员确认并审核。
(四)恢复与重建
1.应急处置工作结束后,相关单位做好有关突发事件中损失情况的统计、汇总,对处置情况进行总结,不断改进网络与信息安全事件的应急保障工作,并开展恢复与重建工作。
2.尽快恢复信息系统、恢复数据、程序。
3.经领导小组评估同意后,方可恢复系运行。
4.应急响应结束后,对发生信息安全事件的网络或系统进行风险评估,及时发现可能存在的安全隐患和安全风险。
(五)总结、评估和改进
由信息管理部对应急事件进行总结、评估并提出改进方案,上报网络安全领导小组备案。
五、应急保障
(一)对涉密信息建立严格的信息保障措施。
(二)学院中心机房需配备核心网络、应用系统或重大风险系统的容灾备份。
(三)学院需建立应急保障队伍。
(四)组织开展应急运作机制、应急处理技术、预警和控制等研究。
本预案由信息化建设管理中心组织制订并负责解释,自发布之日起实行。
附件1:领导小组成员(详见苏大应(20_)9号通知)
附件2:《网络安全事项登记表》
安全事项登记单
编号:
事件主题
事件描述
事件级别
开始时间
报告人
安全领导小组办公室负责人
事件原因
处理方法(短期)
处理方法(长期)
解除时间
处理人
系统管理单位负责人
【篇2】数据安全事件应急预案
第一章总则
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章组织指挥和职责任务
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第三章处置措施和处置程序
第七条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,信息中心按照岗位职责的要求,技术中心人员各司其责切实加强日常信息网络安全工作的检查、维护,定时升级系统补丁和杀毒软件,检查防火墙、IDS(入侵检测系统)的运行情况,及时消除隐患;
学校各单位切实落实部门网站管理工作职责、安全责任制,特别是对于开办网上论坛、留言板、聊天室、社区等交互式栏目网站的部门要落实关于信息发布审核、信息巡查和版主负责制度的情况,要设有防范措施和专人管理;
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的`基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序
(一)发现情况
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章附则
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
【篇3】数据安全事件应急预案
为切实做好网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我公司网络与信息安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合我公司实际情况,特制定此应急预案。
一、指导思想
认真落实“预防为主,积极处理”的宗旨,牢固安全意识,提高防范和处理能力,一切以维护正常的工作秩序和营造绿色健康的网络环境为中心,进一步完善网络管理机制,提高突发事件的应急能力。
二、组织领导及职责
成立信息化领导小组
主要职责:部署工作,安排、检查落实网络安全具体事宜。信息化管理员负责具体执行。
三、应急措施及要求
1.各处室要加强对本部门人员进行及时、全面地教育和引导,提高安全防范意识。
2.信息化管理员严格执行网络安全管理制度,规范办公室上网,落实上网电脑专人专用和日志留存。
3.建立健全重要数据及时备份和灾难性数据恢复机制。
4.采取多层次的有害信息、恶意攻击防范与处理措施。信息化管理员负责对所有信息进行监视及信息审核,发现有害信息及时处理。
5.切实做计算机好网络设备的防火、防盗、防雷和防非法信号接入。
6.所有涉密计算机一律不允许接入互联网,做到专网、专机、专人、专用,做好物理隔离。连接互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。
四、网络安全事件应急处理措施
(一)当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由信息化管理员负责随时密切监视信息内容。
(2)发现在网上出现内容被篡改或非法信息时,信息化管理员做好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,必要时中断服务器网线连接。
(3)追查非法信息来源,并将有关情况向信息化领导小组汇报。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
2.黑客攻击事件紧急处置措施
(1)当发现黑客正在进行攻击时或者已经被攻击时,首先将被攻击的服务器等设备从网络中隔离出来,保护现场。
(2)信息化管理员对现场进行分析,并做好记录。
(3)恢复与重建被攻击或破坏的系统。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
3.病毒事件紧急处置措施
(1)当发现计算机被感染上病毒后,立即将该机从网络上隔离出来。
(2)对该机的硬盘进行数据备份。
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其它计算机进行病毒扫描和清除工作。
(4)如果现行反病毒软件无法清除该病毒,应立即向信息化领导小组报告,并迅速联系有关产品研究解决。
(5)若情况严重,立即向市政府信息化办公室和公安部门报警。
4.软件系统遭到破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,立即将该系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向信息化领导小组汇报,再恢复软件系统和数据。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
5.数据库安全紧急处置措施
(1)对于重要的信息系统,主要数据库系统数据要进行备份。
(2)一旦数据库崩溃,信息化管理员应对主机进行维修并做数据恢复。
(3)如果系统崩溃无法恢复,应立即向有关厂商请求紧急支援。
6.广域网外部线路中断紧急处置措施
(1)判断故障节点,查明故障原因。
(2)如属我方管辖范围,由信息化管理员予以恢复。
(3)如属于电信部门管辖范围,立即与电信维护部门联系,尽快恢复。
(4)如有必要,向信息化领导小组汇报。
7.局域网中断紧急处置措施
(1)配备相关备用设备,存放在指定位置。
(2)局域网中断后,判断事故节点,查明故障原因。
(3)如属线路故障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
(6)如有必要,向信息化小组汇报。
(二)当发生自然灾害时,先保障人身安全,再保障数据安全,最后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(三)当发生火灾时,若因用电等原因引起火灾,立即切断电源,拨打119报警,组织人员开启灭火器进行扑救。
(1)对于初起火灾,现场人员应立即实施扑救工作,使用灭火器扑救工作。
(2)火势较大时,应立即拨打119火灾报警电话和根据火灾情况启动有关消防设备,通知有关人员到场灭火。
(3)在保障人员安全的前提下,按上款保护数据及设备。
(四)当市电不正常时,采用UPS供电,供电时间视电池容量而定。若超过2小时,则关闭服务器、关闭云主机等设备,等市电供应正常后半小时再重新启动服务器。
(五)其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关专业的人员。
