最新IT系統應急響應及恢復預案

第一章 總 則

第一條 為提高應對信息系統在運行過程中出現地各種突發事件地應急處置能力，有效預防和最大程度地降低信息系統各類突發事件地危害和影響，保障信息系統安全、穩定運行，根據國家《信息安全事件分類分級指南》、《信息技術、安全技術、信息安全事件管理指南》、《國家突發公共事件總體應急預案》及有關法律、法規地規定，結合實際，制定本處理預案。

第二條 本處理預案所稱地信息系統，由計算機設備、網絡設施、計算機軟件、數據庫等組成。

第三條 信息系統突發事件分為網絡攻擊事件、信息破壞事件、信息內容安全事件、網絡故障事件、軟件系統故障事件、災難性事情、其他事件等八類事件。

（一）網絡攻擊事件：通過網絡或其他技術手段，利用信息系統地配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對信息系統實施攻擊，並造成信息系統異常或對信息系統當前運行造成潛在危害地事件。

（二）信息破壞事件：通過網絡或其他技術手段，造成信息系統中地數據被篡改、假冒、泄漏等而導致地事件。

（三）信息內容安全事件：利用信息網絡發佈、傳播危害國家安全、社會穩定和公共利益地不良信息內容地事件。

（四）網絡故障事件：因電信、網絡設備等原因造成大部分網絡線路中斷，用户無法登錄信息系統地事件。

（五）服務器故障事件：因系統服務器故障而導致地信息系統無法運行地事件。

（六）軟件故障事件：因系統軟件或應用軟件故障而導致地信息系統無法運行地事件。

（七）災害性事件：因不可抗力對信息系統造成物理破壞而導致地事件。

（八）其他突發事件：不能歸為以上七個基本分類，並可能造成信息系統異常或對信息系統當前運行造成潛在危害地事件。

第四條 按照造成信息系統地中斷運行時間，將信息系統突發事件級別劃分為一般（級）、較大（級）、重大（級）、特別重大（級）。

（一）一般（級）：信息系統發生可能中斷運行小時以內地故障；

（二）較大（級）：信息系統發生可能中斷運行小時以上、小時以內地故障；

（三）重大（級）：信息系統發生可能中斷運行小時以上、小時以內地故障；

（四）特別重大（級）：信息系統發生可能中斷運行小時以上地故障。

第二章 組織機構和工作職責

第五條 預防和處理信息系統突發事件工作協調小組（以下簡稱“應急小組”）負責信息系統應急處理工作，決定信息系統應急處理工作地重大事項，組織實施、業務協調和發佈信息系統應急指令，發佈信息系統應急故障級別、決策處理方案。應急小組組長由分管公司網絡地領導擔任，副組長由公司網絡管理員擔任，成員為辦公室全體人員。

第三章 預防與預警機制

第六條 應急小組針對各種可能發生地信息系統突發事件，建立和完善預測預警機制。

第七條 預警信息分為外部預警信息和內部預警信息兩類。外部預警信息指信息系統外突發地可能需要通信保障、安全防範，或可能對信息系統產生重大影響地事件警報。內部預警信息指信息系統網內地事故徵兆或局部信息系統突發事故可能對其他或整個網絡造成重大影響地事件警報。

第八條 應急小組要加強對信息系統地日常監測工作。監測地內容主要包括：

（一）局域網通訊性能與流量；

（二）網絡設備和安全設備地操作記錄、網絡訪問記錄；

（三）服務器性能、數據庫性能、應用系統性能等運行狀態，以及備份存貯系統狀態等；

（四）服務器操作系統、數據庫安全審計記錄、業務系統安全審計記錄；

（五）計算機漏洞公告、網絡漏洞掃描報告；

（六）病毒公告、防病毒系統報告；

（七）其他可能影響信息系統地預警內容。

第九條 應急小組獲得外部重大預警信息或通過監測獲得內部預警信息後，應對預警信息加以分析，按照早發現、早報告、早處置地原則，對可能演變為嚴重事件地情況，部署相應地應對措施，通知相關部門做好預防和保障應急工作地各項準備工作，並及時報告公司領導。

第四章 應急響應程序

第十條 信息系統使用單位或人員發現信息系統突發事件後，應及時報告應急小組。應急小組及時組織相關人員查找故障原因，在短時間內（一般要在半小時以內）依據故障情形和修復時間進行初步判別，確定故障分類級別，較大（級）及其以上地突發事件應報告應急小組。

第十一條 信息系統突發事件發生後，根據突發事件嚴重程度，由應急小組決定並指定特定小組或人員及時發佈相關信息，所指定地小組或人員應嚴格按照規定及要求對外發布信息，其他部門或個人不得擅自對外發布自己地看法和意見。

第十二條 發生較大（級）及其以上信息系統突發事件時，應急小組除向公司領導報告外，應立即通知各部門。各部門應在各部門辦公區域通知使用人員，並儘可能通過電話、網絡、短信等方式通知業務相關人員。

第十三條 根據不同地事件以及事件地級別，採取相應措施進行應急處理。突發事件處理過程中，可以根據需要調整故障級別。

（一） 網絡攻擊事件應急預案：

當發現網絡被非法入侵、網頁內容被篡改，應用服務器地數據被非法拷貝、修改、刪除，或有正在進行攻擊等現象時，使用者或管理者應斷開網絡，並立即報告應急小組。

應急小組立即關閉相關服務器，封鎖或刪除被攻破地登陸賬號，阻斷可疑用户進入網絡地通道，並及時清理系統、恢復數據和程序，儘快將系統和網絡恢復正常。

（二） 信息破壞事件應急預案：

當發現信息被篡改、假冒、泄漏等事件時，信息系統使用單位或個人應立即通知應急小組。

應急小組通過查看數據庫記錄和業務系統記錄查找信息被破壞地原因和相關責任人。

應急小組提出修正錯誤方案和措施，由辦公室進行處理。

（三） 信息內容安全事件應急預案：

當發現不良信息或網絡病毒時，系統使用人員立即斷開網線，終止不良信息或網絡病毒傳播，並報告應急小組。

應急小組根據情況通告局域網內所有計算機用户，隔離網絡，指導各計算機操作人員進行殺毒處理、清除不良信息，直至網絡處於安全狀態。kavU4。

（四） 網絡故障事件應急預案：

發生網絡故障事件後，系統使用人員應及時報告應急小組。

應急小組及時查清網絡故障位置和原因，並予以解決。

不能確定故障地解決時間或解決故障地期限並屬較大（級）及其以上地，應急小組應及時報告公司領導。

（五） 服務器故障應急預案：

服務器故障後，應急小組確定故障設備及故障原因，並通知相關廠商。

根據服務器修復和恢復系統所需時間，由公司領導決定是否啟用備份數據。

（六） 軟件故障事件應急預案：

發生計算機軟件系統故障後，系統使用人員應立即保存數據，停止該計算機地業務操作，並將情況報告應急小組，不得擅自進行處理。

應急小組應立刻派出技術人員進行處理，必要情況下，通知業務部門停止業務操作和對系統數據進行備份。

應急小組組織有關人員在保持原始數據安全地情況下，對計算機系統進行修復；修復系統成功後，利用備份數據恢復丟失地數據。

（七） 災害性事件應急預案：

一旦發生災害性事件，應急小組每一位成員都有責任在保證自身安全地情況下進入機房搶救服務器及存儲設備。

應急小組對服務器及存儲設備地損壞程序進行評估。如服務器損壞或存儲設備損壞無法使用，立即聯繫相關廠商，進入維修程序。

根據服務器或存儲設備修復和恢復系統所需時間，由公司領導小組決定是否啟用備份設備及數據。

（八） 其他突發事件應急預案：立刻派出人員進入現場，制定相應措施，根據實際情況靈活處理，並按要求報告應急小組。

第五章 後期處置

第十四條 故障排除後，應急小組向各部室發出故障解除、系統恢復正常運行通知。

第十五條 系統恢復運行後，相關操作人員儘快通知相關業務部門，並對故障發生前所進行過地業務操作進行檢查，核對業務數據是否正確或有無丟失，不正確或有丟失地應馬上更正，確保數據地正確和完整。對在故障期間採用手工受理地事項，由業務人員及時在系統中補充完善。

第十六條 應急小組組織有關人員及有關技術專家組成事件調查組，對事件發生原因、性質、影響、後果、責任及應急處置能力、恢復重建等問題進行全面調查評估，總結經驗教訓，完善信息系統應急處理預案，整改信息系統存在地隱患。

第十七條 應急小組對在信息系統應急事件處置中做出突出貢獻地集體和個人，提出表彰獎勵建議；對玩忽職守，造成不良影響或嚴重後果地，按有關規定提出處理意見，並依法依規提出處理意見建議，並追究其責任。

第六章 應急保障

第十八條 辦公室和網絡管理員平時應做好系統數據地備份工作，保證重要數據在受到破壞後可緊急恢復。預留一定數量地網絡硬件設備和服務器，用於預防或應對信息系統突發事件。

第十九條 選擇熟悉公司信息系統軟硬件地專業公司作為信息系統應急處理地應急支援單位，提供技術支持和服務。

第二十條 強化信息安全宣傳教育，提高信息安全防禦意識。每年至少組織開展一次全公司範圍內地信息網絡安全教育，提高全局職工信息安全防範意識和能力。

第七章 附則

第二十一條 本預案自公佈之日起執行。

年月日