应急响应管理制度第一章总则第一条为科学应对山西汽运集团云易网络科技有限公司自研的信息系统(以下简称“信息系统”)信息安全突发事件、建立健全信息安全应急响应机制,有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响,特制定本应急预案管理制度。第二条本制度适用于山西汽运集团云易网络科技有限公司及其指定的信息系统运维单位。第二章组织机构与职责第三条设立信息系统信息安全应急工作组(简称“应急工作组”),应急工作组主要成员由总经理、信息安全管理部门以及信息系统运维单位技术人员组成,主要职责是:(一)承担值守应急工作;(二)收集、分析工作信息,及时上报重要信息;(三)负责信息系统网络与信息安全的监测预警和风险评估控制、隐患排查整改工作;(四)组织制订、修订信息系统网络与信息安全突发事件相关的应急预案;(五)负责组织协调信息系统网络与信息安全突发事件应急演练。第三章应急保障第四条相关单位要按照职责分工和相关预案,切实做好应对网络与信息安全事件的人力、物力、财力等保障工作,保证应急救援工作和恢复重建工作的顺利进行。第五条人员保障:各单位根据实际情况,配备相应的应急力量或引进社会化应急服务,组建网络与信息安全事件应急响应专业队伍,培养骨干力量。第六条经费保障:相关单位应落实网络与信息安全事件应急管理工作专项经费预算。应急处置和基础设施运维等应急管理经费预算,纳入财政预算。各级财政和审计部门要对网络与信息安全事件应急经费的使用进行监管和评估。第七条物资保障:相关单位应当根据自己的实际需要做好网络信息系统设备储备工作。包括奖励信息系统服务器、交换机、防火墙等关键设备的备份。第四章安全事件应急预案框架第八条应急工作组应根据需要编制信息安全事件应急预案,以指导安全事件的处理机制和流程。第九条安全事件应急预案框架的内容:(一)启动应急预案的条件,描述启动每个计划前应遵循的过程;(二)应急处理流程,描述危及业务操作的事故发生之后所要采取行动的应急程序;(三)描述将基本业务活动或支持服务移到替代的临时地方,并在要求的时段内使业务过程回到运行状态的动作的回退程序;(四)恢复和复原未完成时应遵循的临时操作程序;(五)描述恢复正常业务操作的动作的恢复程序;(六)规定如何及何时要检验该计划的维护时间表,以及维护该计划的过程;(七)实行紧急的、回退和恢复程序所需的关键资产和资源。第五章应急响应程序第十条系统故障应急预案(一)当发生系统故障事件时,发现人应在5分钟内通知值班室,由值班室报告信息系统同时根据情况及时上报信息安全领导小组;(二)应急工作组组织安全管理员、系统管理员及网络管理员等相关单位和人员及时分析事件发生源头,切断事件源头,控制事件范围,必要时停止系统运行;(三)安全管理员应及时查看安全审计日志,对异常事件发生源头、发生原因、影响范围做出判断,并提出补救措施;(四)系统管理员立即停止发生问题的应用系统,对异常事件内容和范围予以确认;(五)针对事件原因查找系统漏洞,提出系统安全策略调整方案,并报应急工作组审批;(六)审批通过后根据系统安全策略调整方案,对安全设备、应用系统等的安全控制策略做出相应调整,确认无误后恢复系统运行;(七)安全管理员详细填写《系统异常事件处理记录》,并上报。第十一条网络攻击应急预案(一)网络管理员根据安全设备的报警和审计日志,确定攻击目标和攻击来源;(二)通知系统管理员对攻击目标采取关闭或隔离措施,详细检查被攻击系统是否留有恶意代码,更改密码增强安全防范策略,必要是对系统和数据进行紧急备份;(三)网络管理员对攻击来源进行隔离,分析原因,停止攻击行为,调整安全防范策略;(五)网络管理员、系统管理员和安全管理员在对系统进行安全评估后,恢复系统上线运行;(六)安全管理员详细填写《系统异常事件处理记录》,对于恶意攻击上报有关主管部门。第十二条病毒爆发应急预案(一)安全管理员根据安全设备和网络杀毒软件的报警和日志,分析攻击来源,对攻击来源和攻击区域及时采取隔离措施;二)对重...