关于数据安全事件应急预案【四篇】
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。以下是小编整理的关于数据安全事件应急预案【四篇】,仅供参考,大家一起来看看吧。
数据安全事件应急预案1
为切实做好网络突发事件的防范和应急处理工作,进一步提高预防和控制网络突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保我公司网络与信息安全,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神,结合我公司实际情况,特制定此应急预案。
一、指导思想
认真落实“预防为主,积极处理”的宗旨,牢固安全意识,提高防范和处理能力,一切以维护正常的工作秩序和营造绿色健康的网络环境为中心,进一步完善网络管理机制,提高突发事件的应急能力。
二、组织领导及职责
成立信息化领导小组
主要职责:部署工作,安排、检查落实网络安全具体事宜。信息化管理员负责具体执行。
三、应急措施及要求
1.各处室要加强对本部门人员进行及时、全面地教育和引导,提高安全防范意识。
2.信息化管理员严格执行网络安全管理制度,规范办公室上网,落实上网电脑专人专用和日志留存。
3.建立健全重要数据及时备份和灾难性数据恢复机制。
4.采取多层次的有害信息、恶意攻击防范与处理措施。信息化管理员负责对所有信息进行监视及信息审核,发现有害信息及时处理。
5.切实做计算机好网络设备的防火、防盗、防雷和防非法信号接入。
6.所有涉密计算机一律不允许接入互联网,做到专网、专机、专人、专用,做好物理隔离。连接互联网的计算机绝对不能存储涉及国家秘密、工作秘密、商业秘密的文件。
四、网络安全事件应急处理措施
(一)当人为、病毒破坏或设备损坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1.网站、网页出现非法言论事件紧急处置措施
(1)网站、网页由信息化管理员负责随时密切监视信息内容。
(2)发现在网上出现内容被篡改或非法信息时,信息化管理员做好必要记录,清理非法信息,妥善保存有关记录及日志或审计记录,必要时中断服务器网线连接。
(3)追查非法信息来源,并将有关情况向信息化领导小组汇报。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
2.黑客攻击事件紧急处置措施
(1)当发现黑客正在进行攻击时或者已经被攻击时,首先将被攻击的服务器等设备从网络中隔离出来,保护现场。
(2)信息化管理员对现场进行分析,并做好记录。
(3)恢复与重建被攻击或破坏的系统。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
3.病毒事件紧急处置措施
(1)当发现计算机被感染上病毒后,立即将该机从网络上隔离出来。
(2)对该机的硬盘进行数据备份。
(3)启用反病毒软件对该机进行杀毒处理,同时通过病毒检测软件对其它计算机进行病毒扫描和清除工作。
(4)如果现行反病毒软件无法清除该病毒,应立即向信息化领导小组报告,并迅速联系有关产品研究解决。
(5)若情况严重,立即向市政府信息化办公室和公安部门报警。
4.软件系统遭到破坏性攻击的紧急处置措施
(1)重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。
(2)一旦软件遭到破坏性攻击,立即将该系统停止运行。
(3)检查信息系统的日志等资料,确定攻击来源,并将有关情况向信息化领导小组汇报,再恢复软件系统和数据。
(4)若事态严重,立即向市政府信息化办公室和公安部门报警。
5.数据库安全紧急处置措施
(1)对于重要的信息系统,主要数据库系统数据要进行备份。
(2)一旦数据库崩溃,信息化管理员应对主机进行维修并做数据恢复。
(3)如果系统崩溃无法恢复,应立即向有关厂商请求紧急支援。
6.广域网外部线路中断紧急处置措施
(1)判断故障节点,查明故障原因。
(2)如属我方管辖范围,由信息化管理员予以恢复。
(3)如属于电信部门管辖范围,立即与电信维护部门联系,尽快恢复。
(4)如有必要,向信息化领导小组汇报。
7.局域网中断紧急处置措施
(1)配备相关备用设备,存放在指定位置。
(2)局域网中断后,判断事故节点,查明故障原因。
(3)如属线路故障,应重新安装线路。
(4)如属路由器、交换机等网络设备故障,应立即从指定位置将备用设备取出接上,并调试通畅。
(5)如属路由器、交换机配置文件破坏,应迅速按照要求重新配置,并调试通畅。
(6)如有必要,向信息化小组汇报。
(二)当发生自然灾害时,先保障人身安全,再保障数据安全,最后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
(三)当发生火灾时,若因用电等原因引起火灾,立即切断电源,拨打119报警,组织人员开启灭火器进行扑救。
(1)对于初起火灾,现场人员应立即实施扑救工作,使用灭火器扑救工作。
(2)火势较大时,应立即拨打119火灾报警电话和根据火灾情况启动有关消防设备,通知有关人员到场灭火。
(3)在保障人员安全的前提下,按上款保护数据及设备。
(四)当市电不正常时,采用UPS供电,供电时间视电池容量而定。若超过2小时,则关闭服务器、关闭云主机等设备,等市电供应正常后半小时再重新启动服务器。
(五)其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关专业的人员。
数据安全事件应急预案2
为进一步加强数据中心用电管理工作,提升数据中心应对突发市电失电事件的应急反应速度和处置能力,快速、高效处理停电事件,最大限度减少市电停电对数据中心运营带来的影响,确保数据中心基础设施安全、有效运营,特制订此预案。
应急处置预案启动条件:
全部市电停电且停电时间超过15分钟仍未恢复,全部市电停电,是指数据中心所属市电全部供电电源进线未事先声明的、非检修、突发性事故或遭人为破坏等原因导致停电。
应急方案执行原则如下:
1、沉着、冷静,紧密配合,团结协作。
2、当启动应急预案时,需及时通知进驻各业务单位做好启用网元应急方案的准备。
3、先联系确认停电原因与时间,再确定应采取的进一步方法与步骤。
4、先确认设备当前状态,再进行下一步操作。
5、在进行相关应急保障操作时,先进行操作,后接打问询电话进行解释、说明。
应急处理流程如下:
1、确认单路或全部市电停电。直流操作电源告警声响、一般照明灯熄灭、事故照明灯处于电池放电照明状态,或动环监控值班人员电话通知时,应立即检查各高压输入柜的电压表电压指示,确认是否处于单路或全部市电停电状态。
2、通讯联系。确认单路或全部市电停电后,值班人员应协同配合,按照应急预案采取应急措施。应急处置完毕后,应及时与本地区供电公司电话联系,通话时应问清停电的路由、原因、范围、预计停电时长,以及对方的姓名,以备日后记录和查询。及时通知应急保障小组成员及总协调人进行故障上报,通知数据中心入驻单位做好采取进一步措施的准备。
3、应急物资
(1)应急照明设备
(2)高低压配电系统结构图
(3)设备维护手册
(4)各种柜门钥匙
4、应急处置流程(以双路市电停电,高压油机单边送电,低压联络自投自复为例)
(1)确认双路停电,市电进线断路器跳闸。
(2)检查油机自启后并机是否成功。
(3)如并机不成功需排除故障,完成手动并机。
(4)油机并机成功,将单边高压油机进线断路器摇到合闸位,合高压油机进线断路器。
(5)将市电进线断路器摇出。
(6)高压操作结束,检查油机运行状态,记录相应数据,同时电话询问供电公司停电原因及时长。
(7)检查低压配电设备联动是否正常,设备是否运行正常。
(8)检查空调系统冷水机组、水泵及末端空调是否工作正常。
(9)检查油库油位,是否需要通知供油单位及时补充燃料。
数据安全事件应急预案3
第一章总则
第一条本预案所称突发性事件,是指自然因素或者人为活动引发的危害学校校园网网络设施及信息安全等有关的灾害。
第二条本预案的指导思想是湖北师范学院有关计算机网络及信息安全基本要求。
第三条本预案适用于湖北师范学院内所有个人和办公用计算机以及各研究所、实验室(中心)、教学机房、多媒体教室、电子阅览室等计算机和网络硬件、软件,以及学校门户网站和下属各部门网站内容发生突发性事件的应急处置。
第四条应急处置工作原则:统一领导、统一指挥、各司其职、整体作战、发挥优势、保障安全。
第二章组织指挥和职责任务
第五条学校成立网络与信息安全应急处置工作小组,工作小组的主要职责与任务是统一领导全校信息网络的灾害应急工作,在校领导组织指挥下,全面负责学校信息网络可能出现的各种突发事件处置工作,协调解决灾害处置工作中的重大问题等。
第六条现代信息技术中心(以下简称“信息中心”)负责日常信息网络安全事件的具体处理,其中信息中心是信息网络安全事件处置控制中心,负责服务器端和网络层面的安全事件处置,并为各部门、院(系)做好部门办公用机和个人用机的安全处置提供技术指导。
第三章处置措施和处置程序
第七条处置措施
处置的基本措施分灾害发生前与灾害发生后两种情况。
(一)灾害发生前,信息中心按照岗位职责的要求,技术中心人员各司其责切实加强日常信息网络安全工作的检查、维护,定时升级系统补丁和杀毒软件,检查防火墙、IDS(入侵检测系统)的运行情况,及时消除隐患;
学校各单位切实落实部门网站管理工作职责、安全责任制,特别是对于开办网上论坛、留言板、聊天室、社区等交互式栏目网站的部门要落实关于信息发布审核、信息巡查和版主负责制度的情况,要设有防范措施和专人管理;
加强信息网络安全常识普及,使教职工掌握信息网络安全常识,并具备一定防范处理突发事件的`基本知识。
建立健全灾情速报制度,保障突发性灾害紧急信息报送渠道畅通。属于重大灾害的,在向工作领导小组报告的同时,还应向黄石市公安局网络监察部门报告。
(二)灾害发生后,立即启动应急预案,采取应急处置程序,判定灾害级别,并立即将灾情向工作小组报告,在处置过程中,应及时报告处置工作进展情况,直至处置工作结束。
第八条处置程序
(一)发现情况
现代信息技术中心要严格执行值班制度,做好校园网信息系统安全的日常巡查及其日志保存工作,以保障最先发现灾害并及时处置此突发性事件。
(二)预案启动
一旦灾害发生,立即启动应急预案,进入应急预案的处置程序。
(三)应急处置方法
在灾害发生时,首先应区分灾害发生是否为自然灾害与人为破坏两种情况,根据这两种情况把应急处置方法分为两个流程。
流程一:当发生的灾害为自然灾害时,应根据当时的实际情况,在保障人身安全的前提下,首先保障数据的安全,然后是设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
流程二:当人为或病毒破坏的灾害发生时,具体按以下顺序进行:判断破坏的来源与性质,断开影响安全与稳定的信息网络设备,断开与破坏来源的网络物理连接,跟踪并锁定破坏来源的IP或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照灾害发生的性质分别采用以下方案:
1、病毒传播:针对这种现象,要及时断开传播源,判断病毒的性质、采用的端口,然后关闭相应的端口,在网上公布病毒攻击信息以及防御方法。
2、入侵:对于网络入侵,首先要判断入侵的来源,区分外网与内网。入侵来自外网的,定位入侵的IP地址,及时关闭入侵的端口,限制入侵地IP地址的访问,在无法制止的情况下可以采用断开网络连接的方法。入侵来自内网的,查清入侵来源,如IP地址、上网帐号等信息,同时断开对应的交换机端口。然后针对入侵方法建设或更新入侵检测设备。
3、信息被篡改:这种情况,要求一经发现马上断开相应的信息上网链接,并尽快恢复。
4、网络故障:一旦发现,可根据相应工作流程尽快排除。
5、其它没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体的情况,做出相应的处理。不能处理的可以请示相关的专业人员。
(四)情况报告
灾害发生时,一方面按照应急处置方法进行处置,同时需要判定灾害的级别,首先向学校网络与信息安全应急处置工作小组汇报。在重大灾害发生时,可以同时向市公安局网络监察部门汇报。中、小型级别的灾害,可以只向学校的网络与信息安全应急处置工作小组汇报,并及时报告处置工作进展情况,直至处置工作结束。情况报告内容包括:灾害发生的时间、地点,灾害的级别,灾害造成的后果,应急处置的过程、结果,灾害结束的时间,以后如何防范类似灾害发生的建议与方案等。
(五)发布预警
灾害发生时,可根据灾害的危害程度适当地发布预警,特别是一些在其它地方已经出现,或在安全相关网站发布了预警而学校信息网络还没有出现相应的灾害,除了在技术上进行防范以外,还应当向网络信息用户发布预警,直至灾害警报解除。
(六)预案终止
经专家组鉴定,灾害险情或灾情已消除,或者得到有效控制后,由学校的网络与信息安全应急处置工作小组宣布险情或灾情应急期结束,并予以公告,同时预案终止。
第四章保障措施
灾害应急防治是一项长期的、持续的、跟踪式的、深层次的和各阶段相互联系的工作,是有组织的科学与社会行为,必须做好应急保障工作。
第九条人员保障
重视人员的建设与保障,确保在灾害发生前的人员值班,灾害处置过程和灾后重建中的人员在岗与战斗力。
第十条技术保障
重视网络信息技术的建设和升级换代,在灾害发生前确保网络信息系统的强劲与安全,灾害处置过程中和灾后重建中的相关技术支撑。
第十一条物资保障
建立应急物资储备制度,保证应急抢险救灾队伍技术装备的及时更新,以确保灾害应急工作的顺利进行。
第十二条训练和演练
加强全校网络信息用户的防灾、减灾知识的宣传普及,增强这些用户的防灾意识和自救互救能力。有针对性地开展应急抢险救灾演练,确保发灾后应急救助手段及时到位和有效。
第五章附则
第十三条本预案由现代信息技术中心负责解释。
第十四条本预案自发布之日起施行。
数据安全事件应急预案4
第一章总则
为建立健全公司数据安全事件应急响应机制,提高应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,全面提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合法权益,特制定本预案。
第二章应急响应组织机构
一、公司成立数据安全事件应急响应领导小组,组织构成与职责如下:
(一)数据安全事件应急响应领导小组组长由公司信息安全负责人担任,组长的职责主要有:
(1)负责公司应急响应的整体协调、指挥和领导工作。
(2)监督公司总体应急管理流程的有效执行。
(3)负责公司应急响应处置总体决策。
(4)负责公司数据安全应急事件的上报。
(二)由信息安全部门负责人担任安全应急响应技术专家,职责主要有:
(1)对重大数据安全事件进行评估,提出启动应急响应的建议。
(2)研究分析数据安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议。
(3)分析数据安全事件原因及造成的危害,为应急响应实施提供建议支持。
(三)由信息安全部门安全技术人员组成应急响应安全技术小组,其职责主要有:
(1)分析应急响应需求(如风险评估、业务影响分析等)。
(2)编制应急预案文档。
(3)实施应急响应,如应急事件的.分析排查、溯源等。
(4)进行应急预案测试、培训、演练等。
(5)总结应急响应工作,提交应急响应总结报告。
(四)由运维部门技术人员担任应急响应恢复人员,主要职责有:
(1)进行业务系统的灾难恢复。
(2)系统备份与恢复的日常管理。
(3)参与应急预案的测试、培训、演练等。
(4)数据安全事件发生时的损失控制和损害评估。
第三章数据安全事件应急处置
二、数据安全事件处理:
(一)数据泄露事件
数据泄露事件,系统由于受到外部攻击或者内部人员故意泄密等原因,造成的数据泄露事件。
(1)紧急措施:当发现有数据泄露时,应报告数据安全事件应急响应领导小组,由应急响应领导小组组织协调人员进行检查,及时防止数据泄露范围扩大影响。
(2)抑制处理:由应急响应日常运行部门组织协调人员排查系统及数据库、应用系统等相关日志,及时下线或切断相关业务系统外联网络,并保留证据,必要时公安机关介入。
(3)根除:应急响应领导小组组织协调相关部门、厂商工作人员对业务系统和相关日志进行检查,分析事件原因,并进行总结。
(二)数据篡改事件
数据篡改事件,如业务系统不具有数据完整性保护能力,无法确保重要数据不被篡改,从而可能导致的重要数据被篡改的安全事件。
(1)紧急措施:发现核心数据库数据或业务系统大规模被篡改后,应立即报送数据安全事件应急响应领导小组,由应急响应领导小组指定数据库管理员或运维人员进行检查确认,同时启动应急预案,暂停相关业务服务,并通知相关业务处室。
(2)抑制处理:使用备份数据恢复数据后重新启动服务,并立即追查原因。如属外部攻击原因的,应立即通过日志等分析攻击来源,必要时请公安机关介入。
(3)根除:总结经验教训,分析具体原因,加固核心数据库系统安全,并报领导小组。
(三)数据丢失事件
数据丢失事件,比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。
(1)紧急措施:当发现数据丢失时,应立即报告数据安全事件应急响应领导小组,由应急领导响应小组统一指挥,组织协调相关部门进行检查,排查数据丢失影响范围,评估对业务的影响。
(2)抑制处理:应急响应领导小组立即组织协相关业务部门、数据安全工程师等进行解决,从最近的有效备份中恢复数据及业务系统服务。
(3)根除:总结经验,分析具体原因,加固涉敏数据安全处理,并报告应急领导小组。
三、敏感数据泄露事件应急响应距离:
敏感数据包括:用户个人信息相关数据、用户服务内容相关数据、企业运营管理相关数据等,当发生数据泄露事件时,各系统应组织人员对事件进行确认,评估事实与事件影响范围,并启动应急处置措施。
(一)敏感数据泄露事件应急流程如下:
(二)应急工具:
数据备份还原工具、数据恢复工具、日志分析工具、数据库审计系统等。
(三)应急步骤:
(1)应急启动,当发现黑客通过网络攻击窃取企业核心信息、内部员工或合作伙伴人员利用职务之便窃取企业机密信息、监控部门发现企业数据泄露等情况时,启动应急预案。
(2)数据泄露确认,当发现数据泄露时,立即组织人员核实数据泄露情况,确认数据泄露影响范围,并定位数据库IP、关联业务等,根据泄密的用户信息判断哪些业务的用户信息被泄露。
(3)应急处置:
1)如有备份系统,应迅速切换到备用系统,并将在线设备脱网,作好安全审计及系统恢复的准备;
2)若无备份系统,则请示应急领导小组组长将相关系统进行下线处理,防止数据进一步泄露。
(4)事件排查分析:
1)通过将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断
2)进一步分析系统日志、数据库日志等,确定安全事件发生的原因、窃取过程及可能造成的影响。
3)若发现是内部员工或支撑厂商人员造成数据泄露,必要情况下,立即组织人人员现场开展调查,通过分析内部员工或支撑厂商计算机的系统痕迹记录(浏览器痕迹、软件使用痕迹、U盘使用痕迹等),进一步收集和分析相关证据。
4)日志分析外,还应分析数据收集链路、数据下载、数据分发等情况的审批记录,进一步分析处置措施,确认安全事件发生的原因、窃取过程及可能造成的影响。
(5)风险消除:
1)及时修复发现的安全漏洞
2)对数据进行加密传输,根据数据敏感级别进行加密存储,并对前台敏感数据进行脱敏处理。
3)定期开展数据安全流程制度落实情况安全检查及漏洞检查。
4)定期组织内部员工、支撑厂商人员开展安全意识培训。
5)定期开展安全合规检查和安全审计工作
第四章安全事件应急保障
四、应急响应保障是数据安全应急预案的重要组成部分,是保证数据安全事件发生后能够快速有效地实施应急预案的关键要素。
(一)人力保障:人力保障由公司数据安全事件应急响应领导小组统一规划和管理。数据安全应急保障人员及联系方式,详见附件。
(二)技术保障:公司通过建立应急响应安全技术小组来进行为应急响应技术保障,应急响应领导小组应依据应急响应的需要,制定数据安全事件技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。定期开展数据安全相关技术研究,不断完善“事前可防范、事中可阻断、事后可追溯”的数据安全技术保障体系,开展对数据安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。
(三)物质保障:包括通信保障、资金保障等,应急响应工作中产生的所有物质、资金需求由应急响应领导小组统一统筹提供。