信息安全总体应急预案.docx

XXXXXX公司标准XXX.G020-XX信息安全总体应急预案2022-× 发布2022-×-×实施XXXXXX发布目录II1 .目的V2 .合用范围V3 .信息安全总体应急预案63.1 编制依据63.2 分类分级63.2.1 事件分类63.2.2 事件分级63.2.3 信息系统分类73.3 工作原则83.4 组织机构83.4.1 应急领导小组93.4.2 信息管理部（人员）93.4.3 应急工作组93.4.4 组织机构职责93.5 预测预警123.5.1 信息监测与报告123.5.2 预警处理与发布123.6 应急响应133.6.1 应急响应133.6.2 信息报告与处理133.6.3 应急处理143.6.4 扩大应急143.6.5 报告和总结153.6.6 应急结束153.6.7 善后处理153.6.8 调查评估153.7 保障措施163.7.1 通信与信息保障163.7.2 应急装备保障163.7.3 数据保障163.7.4 科技保障163.7.5 应急队伍保障163.7.6 交通运输保障163.7.7 经费保障163.7.8 治安保障173.8 监督管理173.8.1 宣传教育173.8.2 演练183.8.3 责任与奖惩184 .应急响应流程195 .相关表单文档215.1 主要设备配置清单215.2 主要设备厂商清单215.3 应急工作领导小组成员名单225.4 应急工作组成员名单225.5 相关机构和联系方式235.6 重大信息安全事故报告表235.7 重大信息安全事件处理结果报告表245.8 信息安全事件的分类表25为了保护XXXXXX信息网络系统的安全，促进信息化建设的顺利进行，保障XXXX信息化的应用和发展，根据公安部发布的计算机信息网络国际联网安全保护管理办法、国家XX专卖局发布的XX行业计算机信息网络安全保护规定，制定本规定。本标准由XXXXXX提出本标准由XXXXXX信息管理部归口本标准起草部门：信息管理部本标准主要起草人：XXX1.目的为有序高效地落实XXXXXX及各直属单位、下属XX集团和下属XX分厂信息系统突发事件发生时的应急处理工作，最大限度地减少信息安全突发事件对公司.业务、信息系统造成的损失和对服务客户的不良影响，提高公司各级单位信息系统的安全稳定运行水平，完善公司信息系统应急响应机制，建立公司信息系统应急体系，保障信息系统安全有效运行，维护系统承载业务的稳定和发展，特制定本预案。本预案为XXXX公司及各直属单位、下属XX集团和下属XX分厂的各类网络与信息系统应急体系的建立提供参照，各单位应力争通过标准规范的全过程应急管理，结合成熟和率先的技术，确保安全应急组织和措施落实到位，为各项业务的安全运行提供切实保障。2.合用范围本预案合用XXXX信息管理部、办公室、安保处以及第三方运维公司面临各级信息安全事件应急处理工作和具体响应工作。本预案启动后，其他网络与信息安全应急预案与本预案相冲突的，按照本预案执行。法律、法规和规章另有规定的从其规定。3.信息安全总体应急预案3.1 编制依据以国家和XXXXXX有关法律、法规、规章、相关政策为依据，开展公司信息安全总体应急预案的编制工作。合用性法规标准主要有： 国家通信保障应急预案 中华人民共和国计算机信息系统安全保护条例 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号） 国家XX公司维护稳定工作领导小组办公室关于制定XX行业突发公共事件应急预案的通知（国烟办保200462号） 国家XX公司办公室关于印发XX行业计算机网络和信息安全技术与管理规范的通知（国烟办200317号） 国家XX公司办公室关于印发XX行业计算机网络建设技术与管理规范的通知（国烟办综（2022）312号） 计算机信息系统安全保护等级划分与准则（GB178591999） 电子计算机机房设计规范（GB50174-93） 计算机场地安全要求（GB6650-86）3.2 分类分级3.2.1 事件分类依据分类参考要素，信息安全事件可分为环境灾害、常规事故、内容异常、网络或者系统异常和其他事件等5个第一层分类，在此基础上，信息安全事件又细分成若干个第二层和第三层分类，具体类别参见附表5.8信息安全事件的分类表。3.2.2 事件分级信息安全事件分级的参考要素包括信息密级、公众影响和资产损失等三项。各参考要素分别说明如下：1）信息密级是衡量因信息失窃或者泄密所造成的信息安全事件中所涉及信息的重要程度的要素；2）公众影响是衡量信息安全事件所造成的负面影响范围和程度的要素;3）业务影响是衡量信息安全事件对事发单位、公司正常业务开展所造成的负面影响程度的要素；4）资产损失是衡量恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。根据突发信息安全事件所造成后果的严重程度，突发信息安全事件可划分为4个等级。各级别的突发信息安全事件具体描述如下：&I级（特殊重大）：本级突发信息安全事件对计算机系统或者网络系统所承载的业务、事发单位、公司利益以及社会公共利益有灾难性的影响或者破坏，对社会稳定和国家安全产生灾难性的危害，如丢失敏感信息、对国家安全造成重要影响、业务系统中断24小时以上或者资产损失达到IoOO万元以上的信息安全事件；&Il级（重大）：本级突发信息安全事件对计算机系统或者网络系统所承载的业务、事发单位、公司利益以及社会公共利益有极其严重的影响或者破坏，对社会稳定、国家安全造成严重危害，如丢失机密信息、对社会稳定造成重要影响、业务系统中断八小时以内或者者资产损失达到300万元以上的信息安全事件；&川级（较大）：本级突发信息安全事件对计算机系统或者网络系统所承载的业务、事发单位、公司利益以及社会公共利益有较为严重的影响或者破坏，对社会稳定、国家安全产生一定危害，如丢失工作秘密信息、对事发单位、公司正常工作和形象造成影响、业务系统中断四小时以内或者资产损失达到50万元以上的信息安全事件；&IV级（普通）：本级突发信息安全事件对计算机系统或者网络系统所承载的业务以及事发单位、公司利益有一定的影响或者破坏，或者基本没有影响和破坏，如丢失本公司的工作秘密、只对事发单位、公司部份人员的正常工作秩序造成影响、业务系统中断二小时以内或者资产损失仅在50万元以内的信息安全事件。3.2.3 信息系统分类公司信息系统原则上分生产经营决策系统、OA系统、ERP系统等关键业务管理信息系统，投资管理，人力资源等管理信息系统及相关的基础网络环境（网络系统、主机系统、数据系统、机房及通信、软硬件、物理环境）。根据信息系统的重要程度和影响范围对各类信息系统进行安全事件预定级：&对于生产经营决策系统等关键业务管理信息系统发生安全事件原则上定义不低于2级;&对于投资管理，人力资源等管理信息系统发生安全事件原则上定义不高于2级；曰对于基础网络环境，根据影响范围，参照分级标准定级。3.3 工作原则1）统一领导，协同作战。信息安全突发事件应急工作由信息安全应急领导小组统一领导和协调，相关部门遵照“统一领导、归口负责、综合协调、各司其职”的原则开展工作。2）明确责任，依法规范。各有关部门，按照“属地管理、分级响应、及时发现、及时报告、及时处置、及时控制”的要求，依法对网络与信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制。按照“谁主管、谁负责，谁运营、谁负责的原则，实行责任制和责任追究制。3）防范为主，加强监控。开展安全教育和培训工作，提高各单位的互联网网络安全防护意识和水平，积极做好日常安全工作，提高单位、各公司上下应对突发网络与信息安全事件的能力。加强对网络与信息安全隐患的日常监测，建立完善的信息系统安全监控和管理机制，保证对网络与信息安全事件做到快速觉察、快速反应、及时处理、及时恢复。4）整合资源，条块结合。充分利用现有的网络与信息安全基础设施，依靠各有关部门的网络与信息安全工作力量，进一步完善应急响应救援体系，形成区域网络与信息安全保障工作合力。5）以人为本、快速反应。把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。网络与信息安全突发公共事件发生时，要按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。6）依靠科学、平战结合。加强技术储备、规范应急处置措施与操作流程，实现网络与信息安全突发公共事件应急处置工作的科学化、程序化与规范化。树立常备不懈的观念，定期进行预案演练，确保应急预案切实可行。3.4 组织机构各直属单位、下属XX集团的应急响应工作机构是XXXXXX信息安全应急响应体系的组成部份，其负责本公司的信息安全应急响应工作，必要时可以由上级信息安全中心或者请求安全服务外包公司提供应急支援服务。XXXX公司应急响应工作机构包括应急工作领导小组、信息管理部和应急工作组。3.4.1 应急领导小组XXXX公司应急领导小组是全公司信息系统应急管理工作的领导机构。应急领导小组成员由XXXX公司及各直属单位、下属XX集团和下属XX分厂行政主管及业务、信息管理部、综合管理等部门负责人组成。见表5.3应急工作领导小组成员名单。3.4.2 信息管理部（人员）XXXX公司信息管理部是XXXX公司网络与信息安全的保障管理部门，具体负责公司信息系统的网络与信息安全应急工作。各直属单位、下属XX集团信息管理部是各单位网络与信息安全的保障管理部门，具体负责各单位、公司的网络与信息安全应急工作。下属XX分厂信息管理部是XX分厂网络与信息安全的保障管理部门，具体负责XX分厂的网络与信息安全应急工作。3.4.3 应急工作组XXXX公司及各直属单位、下属XX集团和下属XX分厂信息管理部根据系统承载业务、系统面临风险和应急处置的实际需要，组织单位相关业务、技术人员及外包服务现场支持人员建立业务处理与技术支持应急工作组。应急工作组根据具体对应的基础平台进行细分，区分为业务应用系统应急小组、网络及路由应急工作小组，主机及存储应急工作小组等。见表5.4应急工作组成员名单。3.4.4 组织机构职责3.4.4.1 应急领导小组职责应急领导小组负责所属单位应急响应工作的整体规划和决策指挥。XXXX公司应急领导小组1）负责贯彻落实国家、国家XX公司有关信息系统突发事件应急处理的法规、规定;2）接受国家XX公司网络与信息安全领导小组的领导；3）统一领导全公司突发事件的应急处置工作；4）负责应急预案的审批与发布；5）就公司应急处理工作请求国家XX公司有关部门提供应急支援；6）协调XXXX公司资源完成各类应急处理；7）研究信息系统重大应急决策和部署；8）宣布重大安全事件应急状态的进入和解除；9）负责向上级领导部门汇报重大事件处理情况；10）决定重大安全事件信息系统应急预案的实施和终止；11）统一领导XXXX公司信息系统各级突发事件的应急工作；12）研究决定XXXX公司对外有关信息系统突发事件的新闻发布。各直属单位、下属XX集团应急领导小组1）负责落实XXXX公司有关信息系统突发事件应急处理的规定；2）接受XXXX公司应急领导小组的领导；3）负责本地区、本单位突发事件的应急处置工作；4）发生重大安全事件，向XXXX公司应急领导小组报告；5）请求XXXX公司有关部门提供应急支援；6）协调本地区、本单位资源完成各类应急处理；7）研究信息系统重大应急决策和部署；8）宣布应急状态的进入和解除，决定信息系统应急预案的实施和终止；9）研究决定向XXXX公司应急领导小组上报有关信息系统突发事件的处理结果。XX分厂应急领导小组1）负责落实XXXX公司有关信息系统突发事件应急处理的规定；2）接受直属单位、下属XX集团应急领导小组的领导；3）负责本地区、本单位突发事件的应急处置工作；4）发生重大安全事件，根据事件级别向直属单位、下属XX集团、XXXX公司应急领导小组报告；5）请求市公司、XXXX公司有关部门提供应急支援；6）协调本地区、本单位资源完成各类应急处理；7）宣布应急状态的进入和解除，决定信息系统应急预案的实施和终止；8）研究决定向直属单位、下属XX集团、XXXX公司应急领导小组上报有关信息系统突发事件的处理结果。3.4.4.2 信息管理部（人员）职责XXXX公司、各直属单位、下属XX集团和下属XX分厂（人员）在信息系统应急工作中的主要职责：1）落实应急领导小组部署的各项任务；2）统一领导所属信息系统川级、IV级突发事件的应急工作；3）监督执行应急领导小组下达的应急指令、重大应急决策和部署，协调各方资源，组织应急处置；4）组织制定公司信息系统应急工作相关制度、标准、规范和预案，定期组织评估和复核，并监督、检查贯彻执行情况；5）及时了解和掌握信息系统突发事件与应急处置工作情况，向应急领导小组报告应急处置过程中发现的重大问题，并协调解决；6）按公司相关规定参预、配合信息系统事件调查、总结应急处理经验和教训等后期处置工作；根据应急领导小组的要求向上级单位的应急领导小组汇报应急处置情况。3.4.4.3 应急工作组职责应急工作组的主要职责1）由XXXX公司信息管理部、直属单位、下属XX集团信息管理部人员以及第三方受邀服务专家，根据各自的专业特长组成相应专业的应急小组，在特定信息安全事件发生时承担相应的应急任务，控制事件范围、进行事件恢复；2）承担领导赋予的其它工作；3）执行信息管理部下达的应急处置工作任务；4）执行信息管理部下达的应急处置保障任务；5）提供技术支持、协助事件调查。344.4应急资源准备准备信息安全应急响应时所需的各项资源，保证在发生应急安全事件时这些资源能够及时投入使用。各重要网络与信息系统在建设时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。同时，完善表5.1主要设备配置清单、表5.2主要设备厂商清单、表5.5相关机构和联系方式并实时更新。3.4.4.5应急响应培训及演练组织本公司人员的应急响应培训和应急响应演练工作。应急响应培训的对象范围很广，特别是针对物理安全事件的应急响应培训，甚至包括公司内的所有人员。应急响应培训可以与常规的信息安全培训结合进行，不得低于每半年一次。但每当应急预案更新时，均必须及时开展新的应急响应培训。应急响应演练能够摹拟各种可能发生的信息安全事件，用于检验实际的应急响应能力，同时也可达到锻炼队伍、提高人员安全意识的目的。应急响应演练工作应以应急预案为基础，定期进行，不得低于每年一次。应急响应小组应分析应急响应演练的结果，对应急预案做出必要修改。3.5 预测预警预防预警是应急响应迅速启动的关键。各单位利用自身的安全监控设备和工具，并结合社会其它信息源（如安全厂商的公告、各类应急响应机构的公告等），及时发现信息安全威胁或者事件发生的迹象和趋势，分析导致信息安全事件的根源，为信息安全应急响应工作提供支持。3.5.1 信息监测与报告XXXX及各直属单位、下属XX集团要进一步完善网络与信息安全突发公共事件监测、预测、预警制度。落实责任制，制定信息通报制度。按照“早发现、早报告、早处理、早恢复''的原则，加强对各类网络与信息安全突发公共事件和可能引起突发公共事件的有关信息的采集、分析判断和持续监测。当发生网络与信息安全突发公共事件时，事发单位在按规定向有关部门报告的同时，应按安全事件报送的规定及时报告。3.5.2 预警处理与发布应急工作组接到信息安全突发事件报告后，在经初步核实后，将有关情况及时向应急领导小组报告。在进一步综合情况，研究分析可能造成伤害程度的基础上，提出初步行动对策，视情况召集协调会，发布指示和命令。1）对于可能发生或者已经发生的网络与信息安全突发公共事件，事发单位信息管理部应即将采取措施控制事态，并在最短的时间内进行风险评估，判定事件等级并在本系统内发布预警。必要时应启动相应的专项预案，同时向应急工作领导小组通报情况。2）应急工作领导小组接到报告后，应及时对信息作出判断，提出处理意见。对发生和可能发生的网络与信息安全突发公共事件时，应迅速召开应急工作小组会议，研究确定网络与信息安全突发公共事件的等级，决定启动应急预案，同时确定应急指挥人员，并向上级相关部门进行通报。3）对需要向社会发布预警的网络与信息安全突发公共事件，由应急工作领导小组根据其可能造成的危害程度、紧急程度和发展态势，及时向上级主管部份通报预警信息。由上级主管部门根据网络与信息安全事件的管理权限、危害性和紧急程度，统一发布、调整和解除预警信息，对严重、特殊严重或者可能衍生其他安全事件的预警信息，应按照政府的决定由授权部门发布。3.6 应急响应3.6.1 应急响应根据网络与信息安全事件的可控性、严重程度和影响范围，应急响应级别分为四级：I级、II级、HI级和IV级，分别应对特殊重大、重大、较大和普通网络与信息安全事件。发生IV级网络信息安全事件后，应急工作组启动相应预案，并负责应急处理工作；发生川级网络信息安全事件后，应急工作领导小组启动相应预案，并由应急工作组负责应急处理工作；发生I、Il级的信息安全突发事件后，上报国家局主管部门启动相应预案，并由国家局主管部门安全协调小组负责应急处理工作。3.6.2 信息报告与处理为保证应急响应的各项资源能够得到最有效的利用，避免应急响应体系由于受到错误或者虚假报警而受到干扰，各直属单位、下属XX集团在报告信息安全事件或者请求应急支援时应确保事件信息的可靠性，XXXX信息管理部在对各直属单位、下属XX集团提供应急支援前，也应确认信息安全事件的真实性，必要时可要求请求方提供尽可能详细的信息，见表5.6重大信息安全事故报告表。信息处理可按以下程序进行：1）记录与了解。接到网络与信息安全事件报警后，要先详细记录该事件的细节信息，了解事件造成的损失、影响以及现场操纵情况，并尽可能全面了解与事件有关的信息。2）事件确认与判断。在汇总相关信息的基础上，及时判断事件性质，并根据判定结果，开展下一步的工作。a）属于网络与信息安全事件的，对该次事件做进一步的事件验证，确认属于网络与信息安全事件的，应进入事件分析流程。b）属于误报的，值班人员应对该事件进行记录和处理。c）对于与网络和信息安全无关的事件，值班人员也应做好记录，并将事件转交给相关主管机构处理。3）事件分析。事件确认后，根据掌握的信息，分析事件已经造成的损失和估计损失、事件的严重程度和扩散性等情况。4）确定应急处理方式。根据对事件的初步分析，确定应急处理方式，如果以自身力量无法处理的事件，在向上级部门报告事件的同时，提出应急支援请求。3.6.3 应急处理应急工作领导小组接到报告后，应及时对信息作出判断，提出处理意见。对发生和可能发生的网络与信息安全突发公共事件，应迅速召开应急工作小组会议，研究确定网络与信息安全突发公共事件的等级，决定启动应急预案，同时指派应急响应小组负责信息安全事件的应急响应事件处理工作。初步确定应急处理方式，事件发生单位和现场应急处理工作组尽最大可能采集事件相关信息，甄别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。如果以自身力量无法处理的事件，应提出应急支援请求，协调派出应急响应小组进行网络与信息安全应急支援。3.6.4 扩大应急经应急处置后，事态难以控制或者有扩大发展趋势时，应实施扩大应急行动。实施应急处置和紧急支援的各级单位，要及时增加应急处置力量，加大技术、装备、物资、资金等保障力度，加强工作协调，努力控制事态扩大发展。3.6.5 报告和总结网络与信息安全突发公共事件经应急处置后，得到有效控制，应急响应小组对事件造成的损失、事件处理流程、应急预案进行评估，对响应流程、预案提出修改意见，回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到表5.7重大信息安全事件处理结果报告表中。应急响应小组应根据国家相关要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报相关部门。3.6.6 应急结束根据信息安全事件的处置发展情况和应急响应小组意见，公司应急工作领导小组组织相关部门及专家组对信息安全事件处置情况进行综合评估。3.6.7 善后处理在应急处置工作结束后，事发的单位要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。统计各种数据，查明原因，对事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，并迅速组织实施。有关主管部门要提供必要的人员和技术、物资和装备以及资金等支持，并将善后处置的有关情况报应急工作领导小组。积极鼓励和利用社会资源进行救济援助，充分发动社会各方面的力量，积极开展自救互助。要加强监督力度，确保政府、社会救助资金和物资的公开、公正和合理使用。3.6.8 调查评估在应急处置工作结束后，应急工作领导小组应即将组织有关人员和专家组成事件调查组，在有关部门和单位的配合下，对事件发生及其处置过程进行全面的调查，查清事件发生的原因及财产损失情况，总结经验教训，写出调查评估报告，报应急工作领导小组，并根据问责制的有关规定，对有关责任人员作出处理。特殊重大网络与信息安全突发公共事件的调查评估报告，应经应急工作领导小组审核后，报上级部门，必要时采取新闻发布会的形式向社会公众通报。3.7 保障措施3.7.1 通信与信息保障XXXX及各直属单位、下属XX集团在整合各职能部门专业通信网的基础上，加强应急通信装备准备，建立备份系统和紧急保障措施，形成跨部门、多手段、多路由，有线和无线相结合的反应快速、灵便机动、稳定可靠的通信系统。3.7.2 应急装备保障各重要网络与信息系统在建设系统时应事先预留一定的应急设备，建立信息网络硬件、软件、应急救援设备等应急物资库。在网络与信息安全事件发生时，由应急工作领导小组负责统一调用。3.7.3 数据保障重要信息系统均应建立异地容灾备份系统和相关工作机制，保证重要数据在受到破坏后，可紧急恢复。各容灾备份系统应具有一定兼容性，在特殊情况下各系统间可互为备份。3.7.4 科技保障XXXX及各直属单位、下属XX集团要积极开展网络与信息安全领域的科学研究，建立健全网络与信息安全应急技术支撑平台，提高网络与信息安全科技水平，发挥企业在网络与信息安全领域的研发作用。应急工作领导小组等专业工作机构应当建立应急处置管理、应急预案管理、应急演练环境、灾难备份等数据系统，为网络与信息安全事件的处置提供科技支撑。3.7.5 应急队伍保障按照一专多能的要求建立网络信息安全应急保障队伍。由应急工作领导小组选择若干经国家有关部门资质认可的，管理规范、服务能力较强的企业作为各单位网络与信息安全的社会应急支援，提供技术支持与服务；必要时能够有效调动机关团体、企事业单位等保障力量，进行技术支援。3.7.6 交通运输保障各重要信息系统的主管部门均应确定信息安全事件应急交通工具，确保应急期间人员、物资、信息传递的需要，并根据应急处置工作需要，由应急工作领导小组调配。3.7.7 经费保障XXXX及各直属单位、下属XX集团负责落实网络与信息安全事件应急管理工作的日常运作、应急处置和基础设施运维等应急管理经费预算。应列入各单位年度财政预算。XXXX及各直属单位、下属XX集团财政和审计部门要对网络与信息安全事件应急经费的使用进行监管和评估。3.7.8 治安保障本预案启动后，当信息安全事件造成或者可能造成严重社会治安问题时，请求XX公安机关根据有关预案，指导和支持现场治安保障工作，统一协调和指挥，做好治安应急保障工作。3.8 监督管理3.8.1 宣传教育XXXX及各直属单位、下属XX集团要充分利用各种传播媒介及有效的形式，加强网络与信息安全突发公共事件应急和处置的有关法律、法规和政策的宣传，开展预防、预警、自救、互救和减灾等知识的宣讲活动，普及应急救援的基本知识，提高公众防范意识和应急处置能力。各单位要制定相应的教育材料，普遍开展信息安全教育，及时向社会和公众发布有关信息网络突发公共事件应急预案、报警电话等。各单位要加强对网络与信息安全等方面的知识培训，提高防范意识及技能，指定专人负责安全技术工作。并将网络与信息安全突发公共事件的应急管理、工作流程等列为行政管理干部的培训内容，增强应急处置工作的组织能力。应急响应培训用于确保整个应急响应体系内的所有人员具备了对信息安全事件的意识和知识，确保所有人员了解了公司应急响应的策略和应急预案，并能够熟练执行应急预案。应急响应培训应建立在日常安全培训的基础上，或者作为日常安全培训的一部份，主要培训有关应急准备和应急响应的各项知识、技术、技能和经验。应急响应培训的重点是应急预案，使所有人员了解各自在应急响应工作中的职责，明确发生信息安全事件时应采取的行动步骤。可针对不同角色的人员设置不同的培训内容，例如安全管理员应接受有关安全工具使用的培训，安全分析员应接受最新的入侵技术及攻击特征识别的培训。应急响应培训应定期更新，并通过实际的应急响应演练过程，匡助所有人员不断更新应急响应相关的知识和技能，同时有助于促进人员的安全意识和应急响应的熟练程度，提高突发事件时应急响应的效率。应强调培训效果的反馈机制和培训计划的更新机制，通过考核、应急响应演练等及时发现培训计划中存在的问题，依据这些反馈结果调整培训的课程设置、培训的时间计划以及培训的重点。由于关键岗位的人力资源同样需要备份，对于各关键岗位均必须培训多个能胜任该岗位应急工作的人员，保证人员的连续性。3.8.2 演练建立应急预案定期演练机制。通过演练，发现应急工作体系和工作机制存在的问题，不断完善应急预案，提高应急处置能力。应急响应演练是摹拟突发信息安全事件，XXXX及各直属单位、下属XX集团有关部门和人员按照应急预案所进行的一系列活动和措施。每隔一定时间，或者更新应急预案后，或者遇有可预见的安全事件时，要开展应急响应演练，以检验应急预案的正确性，不断加强人员的应急安全意识和应急响应的熟练程度。应急响应演练以应急预案为基础，在每次演练前应首先确定演练的目标和范围，制定详细、严谨的应急响应演练方案，避免对正常业务造成不必要影响。应急响应演练的范围可视具体情况而定，小至一个XX集团的一个部门，大至整个XXXXXXo各直属单位和下属XX集团的应急响应演练由本单位自行组织，向XXXX信息管理部上报演练计划，演练完成后，向XXXX信息管理部提交应急响应演练记录。应急响应演练过程中如需涉及上级主管部门或者其他相关部门，应事先做好协调沟通工作，避免由于协调工作不到位而导致对这些部门的正常工作的干扰。如果应急响应演练过程涉及到社会网络服务机构，需要事先与其进行商议，并明确服务范围、服务级别及相关费用等事项。在每次应急响应过程结束之后，应针对应急响应工作过程中遇到的问题，分析应急响应预案的科学性和合理性，针对预案中的问题进行修改。修改后的预案应经评估通过后，发布实施。3.8.3 责任与奖惩XXXX及各直属单位、下属XX集团重要网络与信息系统的主管部门要认真贯彻落实预案的各项要求与任务，建立监督检查和奖惩机制。应急工作领导小组将不定期进行检查，对各项制度、计划、方案、人员、物资等进行实地验证，并以演练的评定结果作为是否有效落实预案的依据。对未有效落实预案各项规定的单位和部门进行指导改正。对下列情况可以经应急工作组评估审核，报应急工作领导小组批准后予以奖励。在应急行动中做出特殊贡献的先进单位（公司）和集体；在应急行动中提出重要建议方案，节约大量应急资源或者避免重大损失的人员；在应急行动第一线做出重大成绩的现场作业人员。在发生重大信息安全事件后，有关责任单位、责任人有瞒报、缓报、漏报和其它失职、溺职行为的，信息安全应急工作组将予以通报批评；对造成严重不良后果的，将视情节由有关主管部门追究责任领导和责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。4.应急响应流程在发生信息安全事件时，启动下列应急响应流程，应急响应流程如图1所示。图1应急响应流程事件处理基本流程主要包括以下内容：1)确认阶段：确定应急处理方式。(1)应急工作组接受异常事件报告后，分析是否存在信息安全事件。(2)如存在信息安全事件，对事件进行定级，同时上报给应急领导小组。2）遏制阶段：及时采取行动遏制事件发展。抑制事件的影响进一步扩大，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略普通包括：关闭服务或者关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或者删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或者网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态''安全警戒，反击攻击者的系统等。3）根除阶段：彻底解决问题隐患。在事件被抑制之后，通过对有关事件或者行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。4）恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免浮现误操作导致数据的丢失。此外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。5.相关表单文档5.1主要设备配置清单设备名称设备编号设备类型设备厂商系统类型备注5.2主要设备厂商清单厂商名称联系人职务联系电话邮件5.3应急工作领导小组成员名单姓名部门及职务电话手机邮件备注5.4应急工作组成员名单姓名专项组名称电话手机邮件备注业务应用系统应急小组网络及路由应急工作小组主机及存储应急工作小组5.5相关机构和联系方式机构名称联系人联系电话邮件5.6重大信息安全事故报告表报告时间：年月日时分单位名称报告人联系电话通讯地址传真电子邮件发生重大信息安全事件的网络与信息系统名称及用途负责部门负责人重大信息安全事件的简要描述（如以前浮现过类似情况也应加以说明）初步判定的事故原因当前采取的确应对措施本次重大信息安全事件的初步影响状况、事件后果：口业务中断口系统破坏数据丢失口其他影响范围单台主机口台主机口整个信息系统口整个局域网口整个XX网络严重程度口极严重口很严重口严重口普通口不严重联系方式一值班电话：传真：5.7重大信息安全事件处理结果报告表报告时间：年月日时分备案编号：年月日第号总第号单位名称报告人联系电话通讯地址传真电子邮件发生重大信息安全事件的网络与信息系统名称及用途网络或者信息系统名称及用途操作系统口Sun系列口Irix口AiX口HP-UX口Windows口BSD系列口Unux数据库使用情况口无口OraCie口MSSQL口Informix口Sybase口MySQL系统是否经过安全测评口是，已经通过安全测评口是，但未通过安全测评口否，未经过安全测评已采用的安全措施口防火墙口入侵检测系统发生重大信息安全事件的网络或者信息系统基本信息重大信息安全事件的补充描述及最后判定的事故原因对本次重大信息安全事件的事后影响状况、事件后果口业务中断口系统破坏数据破坏口其他影响范围单台主机口台主机口整个信息系统口整个局域网口整个XX网络严重程度口极严重口很严重口严重口普通口不严重本次重大信息安全事件的主要处理过程与结果（必要时可附文字、图片等材料）-（可增页）针对此类事件应采取的保障网络与信息系统安全的措施和建议（可增页）报告人签章5.8信息安全事件的分类表第一层分类第二层分类第三层分类环境灾害自然灾害水灾地震灾害地质灾害气象灾害自然火灾其他自然灾害人为灾害人为火灾恐怖袭击战争其他人为灾害外围保障设施故障电力故障外围网络故障其他外围保障设施故障常规事故故意事故硬件窃取软件窃取数据窃取故意破坏硬件设备故意破坏软件故意破坏数据其他故意事故无意事故硬件设备遗失软件遗失数据遗失误操作破坏硬件误操作破坏软件误操作破坏数据其他无意事故软硬件自身故障软件自身故障硬件自身故障内容异常反动内容通过邮件传播反动信息网页被篡改为反动页面通过网页传播反动信息通过其他方式传播反动信息色情内容通过邮件传播色情信息网页被篡改为色情页面通过网页传播色情信息通过其他方式传播色情信息敏感内容通过邮件传播敏感信息通过网页传播敏感信息通过其他方式传播敏感信息其他异常内容垃圾邮件网页被篡改成异常信息通过网页传播其他异常信息通过其他方式传播异常信息网络或者系统J常计算机病毒传统计算机病毒邮件病毒脚本病毒蠕虫病毒木马程序其他计算机病毒*间接攻击扫描探测网络监听口令攻击网络社交攻击其他方式间接攻击直接攻击拒绝服务攻击后门攻击漏洞攻击其他方式直接攻击其他事件不能归为以上四个第一层分类的信息安全事件