第一章 总则
第一条 为科学应对校园内信息安全突发事件、建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,特制定本应急预案。
第二条 本制度适用于各部门。
第二章 组织机构与职责
第三条 设立信息安全应急指挥办公室(简称“应急指挥办公室”),应急指挥办公室主要成员由信息技术部技术人员组成,主要职责是:
(一)承担值守应急工作;
(二)收集、分析工作信息,及时上报重要信息;
(三)负责校园内部网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;
(四)组织制订、修订网络与信息安全突发事件相关的应急预案;
(五)负责组织协调网络与信息安全突发事件应急演练;
(六)负责对校园内部网络与信息安全突发事件的宣传教育与培训。
第四条 借助外部力量成立网络与信息安全专家顾问组,专家顾问组的职责:
(一)在网络与信息安全突发事件预防与应急处置时,提供咨询与建议,必要时参与值班;
(二)在制定网络与信息安全应急有关规定、预案、制度和项目建设的过程中提供参考意见;
(三)及时反映网络与信息安全应急工作中存在的问题与不足,并提出改进建议;
(四)对校园内部网络与信息安全突发事件发生和发展趋势、处置措施、恢复方案等进行研究、评估,并提出相关建议;
(五)参与网络与信息安全突发事件应急培训及相关教材编审等工作。
第三章 安全事件应急预案框架
第五条 应急指挥办公室根据需要,应编制信息安全事件应急预案,以指导安全事件的处理机制和流程。
第六条 安全事件应急预案框架的内容:
(一)启动应急预案的条件。描述启动每个计划前应遵循的过程;
(二)应急处理流程。描述危及业务操作的事故发生之后所要采取行动的应急程序;
(三)描述将基本业务活动或支持服务移到替代的临时地方,并在要求的时段内使业务过程回到运行状态的动作的回退程序;
(四)恢复和复原未完成时应遵循的临时操作程序;
(五)描述恢复正常业务操作的动作的恢复程序;
(六)规定如何及何时要检验该计划的维护时间表,以及维护该计划的过程;
(七)教育和培训活动,用来创建理解业务连续性过程,确保过程持续有效;
(八)各个人的职责,描述谁负责执行计划的哪个部分。若需要,应指定可替换的人;
(九)实行紧急的、回退和恢复程序所需的关键资产和资源。
第四章 应急响应程序
第七条 系统故障应急预案
(一)当发生系统故障事件时,发现人应及时通知信息技术部,同时根据情况及时上报网络信息安全保密领导小组办公室;
(二)信息技术部领导组织安全管理员、系统管理员及网络管理员等相关单位和人员及时分析事件发生源头,切断事件源头,控制事件范围,必要时停止系统运行;
(三)安全管理员应及时查看安全审计日志对异常事件发生源头、发生原因、影响范围做出判断,并提出补救措施;
(四)系统管理员立即停止发生问题的应用系统,对异常事件内容和范围予以确认;
(五)针对事件原因查找系统漏洞,提出系统安全策略调整方案,并报数据管理中心审批,《应急处置审批表》见附件2;
(六)审批通过后根据系统安全策略调整方案,对安全设备、应用系统等的安全控制策略做出相应调整,确认无误后恢复系统运行;
(七)安全管理员详细填写《系统异常事件处理记录》(附件1),并上报。
第八条 网络攻击应急预案
(一)网络管理员根据安全设备的报警和审计日志,确定攻击目标和攻击来源;
(二)通知系统管理员对攻击目标采取关闭或隔离措施,详细检查被攻击系统是否留有恶意代码,更改密码增强安全防范策略,必要是对系统和数据进行紧急备份;
(三)网络管理员对攻击来源进行隔离,分析原因,停止攻击行为,调整安全防范策略;
(五)网络管理员、系统管理员和安全管理员在对系统进行安全评估后,恢复系统上线运行;
(六)安全管理员详细填写《系统异常事件处理记录》(附件1),对于恶意攻击上报有关主管部门。
第九条 病毒爆发应急预案
(一)安全管理员根据安全设备和网络杀毒软件的报警和日志,分析攻击来源,对攻击来源和攻击区域及时采取隔离措施;
(二)对重要的网络服务器和业务应用系统紧急备份,防止因病毒造成数据丢失,必要时可暂停系统运行;
(三)及时通知防病毒厂商,上报病毒爆发情况并寻求技术支持;
(四)获得处理建议后及时通过网站、电话等渠道公布并通知各部门网络安全员处理措施,控制病毒进一步传播、升级病毒库、清除病毒;
(五)分析病毒产生原因,传播途径,采取补救措施,纠正违规行为;
(六)安全管理员、系统管理员和网络管理员在对系统进行安全评估,确认病毒已得到控制或清除后,恢复系统上线运行;
(七)安全管理员详细填写《系统异常事件处理记录》(附件1),对于恶意制造或传播病毒的情况根据情况上报有关部门。
第十条 机房突发事件应急预案
(一)火警。值班人员要随时提高警惕,如发现机房内有异常气味,应仔细、认真地巡视机房各处,直到查清原因,确实无危险情况为止。 如发现机房内有烟雾,甚至火焰。首先切断电源(每个值班人员均应清楚电源开关位置并确保其畅通无阻)。对烟雾产生处,应检查原因,尽力扑灭。尤其应注意活动地板下的情况。对火情,一方面要尽快报警,同时要采取一切措施控制并扑灭火焰。火警电话:119 。
(二)水警。机房内如有水管破裂等严重水情时,要切断电源,然后设法排水,保护机房内各种设备的安全。对无法控制的严重水情,要立即报警。机房顶部漏水时,应设法用容器及塑料布保护机房各种设备不被淋湿。情况严重时应切断电源,并通知维修部门采取必要的措施。
(三)停电。网络系统因停电而启动暂停和恢复程序统一由系统管理员负责,如遇紧急情况需要由其他人启动,应得到系统管理员或信息技术部领导授权;接到停电通知后,系统管理员应提前一天通过有效方式发布通知公告,通知内容应包括网络暂停原因、暂停时间及恢复时间等事项;如遇重大故障或系统受到攻击,需停机进行维护时,系统管理员应及时通知业务主管部门。为保证系统暂停程序有足够的时间,系统暂停应在停电前一小时开始操作;系统恢复应在确认来电后半小时内启动;发现意外停电应及时通知安全保密管理员和系统管理员,并通知单位领导。询问信息技术部,确定停电原因和初步恢复时间,如无法及时恢复系统,系统管理员应及时正常地关闭重要的网络设备、服务器、UPS 和主电源。通知部门领导和重要部门,报告采取的措施及恢复供电和系统运行时间。确认供电恢复后,启动网络设备和服务器恢复系统运行。
第十一条 网络设备及应用服务器异常事件的应急预案
(一)信息技术部组织安全管理员、系统管理员、网络管理员对网络设备及应用服务器异常事件进行原因分析;
(二)及时发布信息对事件原因、处理措施及恢复时间进行通知公告;
(三)如属于硬件故障及时启用备用设备,并将故障设备报修;
(四)如属于软件故障根据故障程度进行紧急调试或启用最近一次备份进行数据恢复;
(五)系统管理员详细填写《系统异常事件处理记录》(附件1)。
第五章 应急预案审查管理
第十二条 应急指挥办公室定期对应急预案进行审查,根据实际情况,如演练过程中出现的问题等对内容进行更新,以便更贴合突发紧急事件的实际情况。
第六章 应急预案培训
第十三条 为确保应急预案有效运行,应急指挥办公室应定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握信息安全应急处理的知识和技能。
第七章 应急预案演练
第十四条 为提高信息安全突发事件应急响应水平,应急指挥办公室应每年至少组织一次预案演练;检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演练,进一步明确应急响应各岗位责任,对预案中存在的问题和不足及时补充和完善。
第八章 附则
第十五条 本制度的解释权归信息技术中心。
第十六条 本制度自发布之日起生效。
附件1
系统异常事件处理记录
序号 |
事件 类型 |
发生 原因 |
发生 时间 |
影响 范围 |
补救措施 |
最终结果 |
处理人 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件2
应急处置审批表
事发地点 |
|
发生时间 |
|
事发单位 |
|
报警时间 |
|
起 因 |
|
初定级别 |
|
影响范围 |
|
损失情况 |
|
协调小组会议或领导决定应急处置意见 |
核定事件级别 |
|
是否启动应急预案 |
|
总指挥 |
|
现场总指挥 |
|
是否发布预警或公告 |
|
处置意见 |
领导(签名) 月 日 时 分 |
是否应急扩大 |
领导(签名) 月 日 时 分 |
应急结束 |
领导(签名) 月 日 时 分 |
