資料安全事件應急預案
資料安全事件應急預案
在學習、工作或生活中,保不準會發生突發事件,為了避免造成更嚴重的後果,常常需要預先準備應急預案。我們應該怎麼編制應急預案呢?以下是小編幫大家整理的資料安全事件應急預案,歡迎大家借鑑與參考,希望對大家有所幫助。
資料安全事件應急預案 篇1
第一章總則
為建立健全公司資料安全事件應急響應機制,提高應對資料安全事件的應急處置能力,預防和減少資料安全事件造成的損失和危害,全面提升公司的資料安全事件應急管理水平,保障公司資料資產安全和使用者合法權益,特制定本預案。
第二章應急響應組織機構
一、公司成立資料安全事件應急響應領導小組,組織構成與職責如下:
(一)資料安全事件應急響應領導小組組長由公司資訊保安負責人擔任,組長的職責主要有:
(1)負責公司應急響應的整體協調、指揮和領導工作。
(2)監督公司總體應急管理流程的有效執行。
(3)負責公司應急響應處置總體決策。
(4)負責公司資料安全應急事件的上報。
(二)由資訊保安部門負責人擔任安全應急響應技術專家,職責主要有:
(1)對重大資料安全事件進行評估,提出啟動應急響應的建議。
(2)研究分析資料安全事件的相關情況及發展趨勢,為應急響應提供諮詢或提出建議。
(3)分析資料安全事件原因及造成的危害,為應急響應實施提供建議支援。
(三)由資訊保安部門安全技術人員組成應急響應安全技術小組,其職責主要有:
(1)分析應急響應需求(如風險評估、業務影響分析等)。
(2)編制應急預案文件。
(3)實施應急響應,如應急事件的.分析排查、溯源等。
(4)進行應急預案測試、培訓、演練等。
(5)總結應急響應工作,提交應急響應總結報告。
(四)由運維部門技術人員擔任應急響應恢復人員,主要職責有:
(1)進行業務系統的災難恢復。
(2)系統備份與恢復的日常管理。
(3)參與應急預案的測試、培訓、演練等。
(4)資料安全事件發生時的損失控制和損害評估。
第三章資料安全事件應急處置
二、資料安全事件處理:
(一)資料洩露事件
資料洩露事件,系統由於受到外部攻擊或者內部人員故意洩密等原因,造成的資料洩露事件。
(1)緊急措施:當發現有資料洩露時,應報告資料安全事件應急響應領導小組,由應急響應領導小組組織協調人員進行檢查,及時防止資料洩露範圍擴大影響。
(2)抑制處理:由應急響應日常執行部門組織協調人員排查系統及資料庫、應用系統等相關日誌,及時下線或切斷相關業務系統外聯網路,並保留證據,必要時公安機關介入。
(3)根除:應急響應領導小組組織協調相關部門、廠商工作人員對業務系統和相關日誌進行檢查,分析事件原因,並進行總結。
(二)資料篡改事件
資料篡改事件,如業務系統不具有資料完整性保護能力,無法確保重要資料不被篡改,從而可能導致的重要資料被篡改的安全事件。
(1)緊急措施:發現核心資料庫資料或業務系統大規模被篡改後,應立即報送資料安全事件應急響應領導小組,由應急響應領導小組指定資料庫管理員或運維人員進行檢查確認,同時啟動應急預案,暫停相關業務服務,並通知相關業務處室。
(2)抑制處理:使用備份資料恢復資料後重新啟動服務,並立即追查原因。如屬外部攻擊原因的,應立即透過日誌等分析攻擊來源,必要時請公安機關介入。
(3)根除:總結經驗教訓,分析具體原因,加固核心資料庫系統安全,並報領導小組。
(三)資料丟失事件
資料丟失事件,比如業務系統資料庫或業務系統檔案、辦公檔案資料等被非法刪除。
(1)緊急措施:當發現數據丟失時,應立即報告資料安全事件應急響應領導小組,由應急領導響應小組統一指揮,組織協調相關部門進行檢查,排查資料丟失影響範圍,評估對業務的影響。
(2)抑制處理:應急響應領導小組立即組織協相關業務部門、資料安全工程師等進行解決,從最近的有效備份中恢復資料及業務系統服務。
(3)根除:總結經驗,分析具體原因,加固涉敏資料安全處理,並報告應急領導小組。
三、敏感資料洩露事件應急響應距離:
敏感資料包括:使用者個人資訊相關資料、使用者服務內容相關資料、企業運營管理相關資料等,當發生資料洩露事件時,各系統應組織人員對事件進行確認,評估事實與事件影響範圍,並啟動應急處置措施。
(一)敏感資料洩露事件應急流程如下:
(二)應急工具:
資料備份還原工具、資料恢復工具、日誌分析工具、資料庫審計系統等。
(三)應急步驟:
(1)應急啟動,當發現駭客透過網路攻擊竊取企業核心資訊、內部員工或合作伙伴人員利用職務之便竊取企業機密資訊、監控部門發現企業資料洩露等情況時,啟動應急預案。
(2)資料洩露確認,當發現數據洩露時,立即組織人員核實資料洩露情況,確認資料洩露影響範圍,並定位資料庫IP、關聯業務等,根據洩密的使用者資訊判斷哪些業務的使用者資訊被洩露。
(3)應急處置:
1)如有備份系統,應迅速切換到備用系統,並將線上裝置脫網,作好安全審計及系統恢復的準備;
2)若無備份系統,則請示應急領導小組組長將相關係統進行下線處理,防止資料進一步洩露。
(4)事件排查分析:
1)透過將遭受攻擊的主機上系統日誌、應用日誌等匯出備份,並加以分析判斷
2)進一步分析系統日誌、資料庫日誌等,確定安全事件發生的原因、竊取過程及可能造成的影響。
3)若發現是內部員工或支撐廠商人員造成資料洩露,必要情況下,立即組織人人員現場開展調查,透過分析內部員工或支撐廠商計算機的系統痕跡記錄(瀏覽器痕跡、軟體使用痕跡、隨身碟使用痕跡等),進一步收集和分析相關證據。
4)日誌分析外,還應分析資料收集鏈路、資料下載、資料分發等情況的審批記錄,進一步分析處置措施,確認安全事件發生的原因、竊取過程及可能造成的影響。
(5)風險消除:
1)及時修復發現的安全漏洞
2)對資料進行加密傳輸,根據資料敏感級別進行加密儲存,並對前臺敏感資料進行脫敏處理。
3)定期開展資料安全流程制度落實情況安全檢查及漏洞檢查。
4)定期組織內部員工、支撐廠商人員開展安全意識培訓。
5)定期開展安全合規檢查和安全審計工作
第四章安全事件應急保障
四、應急響應保障是資料安全應急預案的重要組成部分,是保證資料安全事件發生後能夠快速有效地實施應急預案的關鍵要素。
(一)人力保障:人力保障由公司資料安全事件應急響應領導小組統一規劃和管理。資料安全應急保障人員及聯絡方式,詳見附件。
(二)技術保障:公司透過建立應急響應安全技術小組來進行為應急響應技術保障,應急響應領導小組應依據應急響應的需要,制定資料安全事件技術應對錶,全面考察和管理相關技術基礎,選擇合適的技術服務者,明確職責和溝通方式。定期開展資料安全相關技術研究,不斷完善“事前可防範、事中可阻斷、事後可追溯”的資料安全技術保障體系,開展對資料安全事件的預警、預測、預防和應急處理的技術研究,加強技術儲備。
(三)物質保障:包括通訊保障、資金保障等,應急響應工作中產生的所有物質、資金需求由應急響應領導小組統一統籌提供。
資料安全事件應急預案 篇2
為進一步加強資料中心用電管理工作,提升資料中心應對突發市電失電事件的應急反應速度和處置能力,快速、高效處理停電事件,最大限度減少市電停電對資料中心運營帶來的影響,確保資料中心基礎設施安全、有效運營,特制訂此預案。
應急處置預案啟動條件:
全部市電停電且停電時間超過15分鐘仍未恢復,全部市電停電,是指資料中心所屬市電全部供電電源進線未事先宣告的、非檢修、突發性事故或遭人為破壞等原因導致停電。
應急方案執行原則如下:
1、沉著、冷靜,緊密配合,團結協作。
2、當啟動應急預案時,需及時通知進駐各業務單位做好啟用網元應急方案的準備。
3、先聯絡確認停電原因與時間,再確定應採取的進一步方法與步驟。
4、先確認裝置當前狀態,再進行下一步操作。
5、在進行相關應急保障操作時,先進行操作,後接打問詢電話進行解釋、說明。
應急處理流程如下:
1、確認單路或全部市電停電。直流操作電源告警聲響、一般照明燈熄滅、事故照明燈處於電池放電照明狀態,或動環監控值班人員電話通知時,應立即檢查各高壓輸入櫃的電壓表電壓指示,確認是否處於單路或全部市電停電狀態。
2、通訊聯絡。確認單路或全部市電停電後,值班人員應協同配合,按照應急預案採取應急措施。應急處置完畢後,應及時與本地區供電公司電話聯絡,通話時應問清停電的路由、原因、範圍、預計停電時長,以及對方的姓名,以備日後記錄和查詢。及時通知應急保障小組成員及總協調人進行故障上報,通知資料中心入駐單位做好採取進一步措施的準備。
3、應急物資
(1)應急照明裝置
(2)高低壓配電系統結構圖
(3)裝置維護手冊
(4)各種櫃門鑰匙
4、應急處置流程(以雙路市電停電,高壓油機單邊送電,低壓聯絡自投自復為例)
(1)確認雙路停電,市電進線斷路器跳閘。
(2)檢查油機自啟後並機是否成功。
(3)如並機不成功需排除故障,完成手動並機。
(4)油機並機成功,將單邊高壓油機進線斷路器搖到合閘位,合高壓油機進線斷路器。
(5)將市電進線斷路器搖出。
(6)高壓操作結束,檢查油機執行狀態,記錄相應資料,同時電話詢問供電公司停電原因及時長。
(7)檢查低壓配電裝置聯動是否正常,裝置是否執行正常。
(8)檢查空調系統冷水機組、水泵及末端空調是否工作正常。
(9)檢查油庫油位,是否需要通知供油單位及時補充燃料。