數(shù)據(jù)安全事件應(yīng)急預(yù)案

　　在學(xué)習(xí)、工作或是生活中，有時會突發(fā)一些難以預(yù)料的事件，為了降低事故造成的危害，常常要提前編制一份優(yōu)秀的應(yīng)急預(yù)案。那么你有了解過應(yīng)急預(yù)案嗎？下面是小編為大家收集的數(shù)據(jù)安全事件應(yīng)急預(yù)案，僅供參考，希望能夠幫助到大家。

數(shù)據(jù)安全事件應(yīng)急預(yù)案1

　　第一章總則

　　為建立健全公司數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，提高應(yīng)對數(shù)據(jù)安全事件的應(yīng)急處置能力，預(yù)防和減少數(shù)據(jù)安全事件造成的損失和危害，全面提升公司的數(shù)據(jù)安全事件應(yīng)急管理水平，保障公司數(shù)據(jù)資產(chǎn)安全和用戶合法權(quán)益，特制定本預(yù)案。

　　第二章應(yīng)急響應(yīng)組織機(jī)構(gòu)

　　一、公司成立數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，組織構(gòu)成與職責(zé)如下：

　�。ㄒ唬�數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組長由公司信息安全負(fù)責(zé)人擔(dān)任，組長的職責(zé)主要有：

　�。�1）負(fù)責(zé)公司應(yīng)急響應(yīng)的整體協(xié)調(diào)、指揮和領(lǐng)導(dǎo)工作。

　�。�2）監(jiān)督公司總體應(yīng)急管理流程的有效執(zhí)行。

　　（3）負(fù)責(zé)公司應(yīng)急響應(yīng)處置總體決策。

　　（4）負(fù)責(zé)公司數(shù)據(jù)安全應(yīng)急事件的上報。

　�。ǘ�）由信息安全部門負(fù)責(zé)人擔(dān)任安全應(yīng)急響應(yīng)技術(shù)專家，職責(zé)主要有：

　�。�1）對重大數(shù)據(jù)安全事件進(jìn)行評估，提出啟動應(yīng)急響應(yīng)的建議。

　�。�2）研究分析數(shù)據(jù)安全事件的`相關(guān)情況及發(fā)展趨勢，為應(yīng)急響應(yīng)提供咨詢或提出建議。

　�。�3）分析數(shù)據(jù)安全事件原因及造成的危害，為應(yīng)急響應(yīng)實(shí)施提供建議支持。

　　（三）由信息安全部門安全技術(shù)人員組成應(yīng)急響應(yīng)安全技術(shù)小組，其職責(zé)主要有：

　�。�1）分析應(yīng)急響應(yīng)需求（如風(fēng)險評估、業(yè)務(wù)影響分析等）。

　　（2）編制應(yīng)急預(yù)案文檔。

　�。�3）實(shí)施應(yīng)急響應(yīng)，如應(yīng)急事件的分析排查、溯源等。

　�。�4）進(jìn)行應(yīng)急預(yù)案測試、培訓(xùn)、演練等。

　�。�5）總結(jié)應(yīng)急響應(yīng)工作，提交應(yīng)急響應(yīng)總結(jié)報告。

　　（四）由運(yùn)維部門技術(shù)人員擔(dān)任應(yīng)急響應(yīng)恢復(fù)人員，主要職責(zé)有：

　　（1）進(jìn)行業(yè)務(wù)系統(tǒng)的災(zāi)難恢復(fù)。

　�。�2）系統(tǒng)備份與恢復(fù)的日常管理。

　�。�3）參與應(yīng)急預(yù)案的測試、培訓(xùn)、演練等。

　�。�4）數(shù)據(jù)安全事件發(fā)生時的損失控制和損害評估。

　　第三章數(shù)據(jù)安全事件應(yīng)急處置

　　二、數(shù)據(jù)安全事件處理：

　　（一）數(shù)據(jù)泄露事件

　　數(shù)據(jù)泄露事件，系統(tǒng)由于受到外部攻擊或者內(nèi)部人員故意泄密等原因，造成的數(shù)據(jù)泄露事件。

　�。�1）緊急措施：當(dāng)發(fā)現(xiàn)有數(shù)據(jù)泄露時，應(yīng)報告數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織協(xié)調(diào)人員進(jìn)行檢查，及時防止數(shù)據(jù)泄露范圍擴(kuò)大影響。

　�。�2）抑制處理：由應(yīng)急響應(yīng)日常運(yùn)行部門組織協(xié)調(diào)人員排查系統(tǒng)及數(shù)據(jù)庫、應(yīng)用系統(tǒng)等相關(guān)日志，及時下線或切斷相關(guān)業(yè)務(wù)系統(tǒng)外聯(lián)網(wǎng)絡(luò)，并保留證據(jù)，必要時公安機(jī)關(guān)介入。

　�。�3）根除：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組組織協(xié)調(diào)相關(guān)部門、廠商工作人員對業(yè)務(wù)系統(tǒng)和相關(guān)日志進(jìn)行檢查，分析事件原因，并進(jìn)行總結(jié)。

　　（二）數(shù)據(jù)篡改事件

　　數(shù)據(jù)篡改事件，如業(yè)務(wù)系統(tǒng)不具有數(shù)據(jù)完整性保護(hù)能力，無法確保重要數(shù)據(jù)不被篡改，從而可能導(dǎo)致的重要數(shù)據(jù)被篡改的安全事件。

　�。�1）緊急措施：發(fā)現(xiàn)核心數(shù)據(jù)庫數(shù)據(jù)或業(yè)務(wù)系統(tǒng)大規(guī)模被篡改后，應(yīng)立即報送數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組指定數(shù)據(jù)庫管理員或運(yùn)維人員進(jìn)行檢查確認(rèn)，同時啟動應(yīng)急預(yù)案，暫停相關(guān)業(yè)務(wù)服務(wù)，并通知相關(guān)業(yè)務(wù)處室。

　　（2）抑制處理：使用備份數(shù)據(jù)恢復(fù)數(shù)據(jù)后重新啟動服務(wù)，并立即追查原因。如屬外部攻擊原因的，應(yīng)立即通過日志等分析攻擊來源，必要時請公安機(jī)關(guān)介入。

　　（3）根除：總結(jié)經(jīng)驗(yàn)教訓(xùn)，分析具體原因，加固核心數(shù)據(jù)庫系統(tǒng)安全，并報領(lǐng)導(dǎo)小組。

　�。ㄈ�）數(shù)據(jù)丟失事件

　　數(shù)據(jù)丟失事件，比如業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫或業(yè)務(wù)系統(tǒng)文件、辦公文件數(shù)據(jù)等被非法刪除。

　　（1）緊急措施：當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失時，應(yīng)立即報告數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組，由應(yīng)急領(lǐng)導(dǎo)響應(yīng)小組統(tǒng)一指揮，組織協(xié)調(diào)相關(guān)部門進(jìn)行檢查，排查數(shù)據(jù)丟失影響范圍，評估對業(yè)務(wù)的影響。

　�。�2）抑制處理：應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組立即組織協(xié)相關(guān)業(yè)務(wù)部門、數(shù)據(jù)安全工程師等進(jìn)行解決，從最近的有效備份中恢復(fù)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)服務(wù)。

　�。�3）根除：總結(jié)經(jīng)驗(yàn)，分析具體原因，加固涉敏數(shù)據(jù)安全處理，并報告應(yīng)急領(lǐng)導(dǎo)小組。

　　三、敏感數(shù)據(jù)泄露事件應(yīng)急響應(yīng)距離：敏感數(shù)據(jù)包括：用戶個人信息相關(guān)數(shù)據(jù)、用戶服務(wù)內(nèi)容相關(guān)數(shù)據(jù)、企業(yè)運(yùn)營管理相關(guān)數(shù)據(jù)等，當(dāng)發(fā)生數(shù)據(jù)泄露事件時，各系統(tǒng)應(yīng)組織人員對事件進(jìn)行確認(rèn)，評估事實(shí)與事件影響范圍，并啟動應(yīng)急處置措施。

　�。ㄒ唬┟舾袛�(shù)據(jù)泄露事件應(yīng)急流程如下：

　�。ǘ�）應(yīng)急工具：

　　數(shù)據(jù)備份還原工具、數(shù)據(jù)恢復(fù)工具、日志分析工具、數(shù)據(jù)庫審計系統(tǒng)等。

　　（三）應(yīng)急步驟：

　�。�1）應(yīng)急啟動，當(dāng)發(fā)現(xiàn)黑客通過網(wǎng)絡(luò)攻擊竊取企業(yè)核心信息、內(nèi)部員工或合作伙伴人員利用職務(wù)之便竊取企業(yè)機(jī)密信息、監(jiān)控部門發(fā)現(xiàn)企業(yè)數(shù)據(jù)泄露等情況時，啟動應(yīng)急預(yù)案。

　　（2）數(shù)據(jù)泄露確認(rèn)，當(dāng)發(fā)現(xiàn)數(shù)據(jù)泄露時，立即組織人員核實(shí)數(shù)據(jù)泄露情況，確認(rèn)數(shù)據(jù)泄露影響范圍，并定位數(shù)據(jù)庫IP、關(guān)聯(lián)業(yè)務(wù)等，根據(jù)泄密的用戶信息判斷哪些業(yè)務(wù)的用戶信息被泄露。

　�。�3）應(yīng)急處置：

　　1）如有備份系統(tǒng)，應(yīng)迅速切換到備用系統(tǒng)，并將在線設(shè)備脫網(wǎng)，作好安全審計及系統(tǒng)恢復(fù)的準(zhǔn)備；

　　2）若無備份系統(tǒng)，則請示應(yīng)急領(lǐng)導(dǎo)小組組長將相關(guān)系統(tǒng)進(jìn)行下線處理，防止數(shù)據(jù)進(jìn)一步泄露。

　　（4）事件排查分析：

　　1）通過將遭受攻擊的主機(jī)上系統(tǒng)日志、應(yīng)用日志等導(dǎo)出備份，并加以分析判斷

　　2）進(jìn)一步分析系統(tǒng)日志、數(shù)據(jù)庫日志等，確定安全事件發(fā)生的原因、竊取過程及可能造成的影響。

　　3）若發(fā)現(xiàn)是內(nèi)部員工或支撐廠商人員造成數(shù)據(jù)泄露，必要情況下，立即組織人人員現(xiàn)場開展調(diào)查，通過分析內(nèi)部員工或支撐廠商計算機(jī)的系統(tǒng)痕跡記錄（瀏覽器痕跡、軟件使用痕跡、U盤使用痕跡等），進(jìn)一步收集和分析相關(guān)證據(jù)。

　　4）日志分析外，還應(yīng)分析數(shù)據(jù)收集鏈路、數(shù)據(jù)下載、數(shù)據(jù)分發(fā)等情況的審批記錄，進(jìn)一步分析處置措施，確認(rèn)安全事件發(fā)生的原因、竊取過程及可能造成的影響。

　�。�5）風(fēng)險消除：

　　1）及時修復(fù)發(fā)現(xiàn)的安全漏洞

　　2）對數(shù)據(jù)進(jìn)行加密傳輸，根據(jù)數(shù)據(jù)敏感級別進(jìn)行加密存儲，并對前臺敏感數(shù)據(jù)進(jìn)行脫敏處理。

　　3）定期開展數(shù)據(jù)安全流程制度落實(shí)情況安全檢查及漏洞檢查。

　　4）定期組織內(nèi)部員工、支撐廠商人員開展安全意識培訓(xùn)。

　　5）定期開展安全合規(guī)檢查和安全審計工作

　　第四章安全事件應(yīng)急保障

　　四、應(yīng)急響應(yīng)保障是數(shù)據(jù)安全應(yīng)急預(yù)案的重要組成部分，是保證數(shù)據(jù)安全事件發(fā)生后能夠快速有效地實(shí)施應(yīng)急預(yù)案的關(guān)鍵要素。

　　（一）人力保障：人力保障由公司數(shù)據(jù)安全事件應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組統(tǒng)一規(guī)劃和管理。數(shù)據(jù)安全應(yīng)急保障人員及聯(lián)系方式，詳見附件。

　�。ǘ�）技術(shù)保障：公司通過建立應(yīng)急響應(yīng)安全技術(shù)小組來進(jìn)行為應(yīng)急響應(yīng)技術(shù)保障，應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)依據(jù)應(yīng)急響應(yīng)的需要，制定數(shù)據(jù)安全事件技術(shù)應(yīng)對表，全面考察和管理相關(guān)技術(shù)基礎(chǔ)，選擇合適的技術(shù)服務(wù)者，明確職責(zé)和溝通方式。定期開展數(shù)據(jù)安全相關(guān)技術(shù)研究，不斷完善“事前可防范、事中可阻斷、事后可追溯”的數(shù)據(jù)安全技術(shù)保障體系，開展對數(shù)據(jù)安全事件的預(yù)警、預(yù)測、預(yù)防和應(yīng)急處理的技術(shù)研究，加強(qiáng)技術(shù)儲備。

　�。ㄈ�）物質(zhì)保障：包括通信保障、資金保障等，應(yīng)急響應(yīng)工作中產(chǎn)生的所有物質(zhì)、資金需求由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組統(tǒng)一統(tǒng)籌提供。

數(shù)據(jù)安全事件應(yīng)急預(yù)案2

　　為進(jìn)一步加強(qiáng)數(shù)據(jù)中心用電管理工作，提升數(shù)據(jù)中心應(yīng)對突發(fā)市電失電事件的應(yīng)急反應(yīng)速度和處置能力，快速、高效處理停電事件，最大限度減少市電停電對數(shù)據(jù)中心運(yùn)營帶來的影響，確保數(shù)據(jù)中心基礎(chǔ)設(shè)施安全、有效運(yùn)營，特制訂此預(yù)案。

　　應(yīng)急處置預(yù)案啟動條件：

　　全部市電停電且停電時間超過15分鐘仍未恢復(fù)，全部市電停電，是指數(shù)據(jù)中心所屬市電全部供電電源進(jìn)線未事先聲明的'、非檢修、突發(fā)性事故或遭人為破壞等原因?qū)е峦ｋ姟?/p>

　　應(yīng)急方案執(zhí)行原則如下：

　　1、沉著、冷靜，緊密配合，團(tuán)結(jié)協(xié)作。

　　2、當(dāng)啟動應(yīng)急預(yù)案時，需及時通知進(jìn)駐各業(yè)務(wù)單位做好啟用網(wǎng)元應(yīng)急方案的準(zhǔn)備。

　　3、先聯(lián)系確認(rèn)停電原因與時間，再確定應(yīng)采取的進(jìn)一步方法與步驟。

　　4、先確認(rèn)設(shè)備當(dāng)前狀態(tài)，再進(jìn)行下一步操作。

　　5、在進(jìn)行相關(guān)應(yīng)急保障操作時，先進(jìn)行操作，后接打問詢電話進(jìn)行解釋、說明。

　　應(yīng)急處理流程如下：

　　1、確認(rèn)單路或全部市電停電。直流操作電源告警聲響、一般照明燈熄滅、事故照明燈處于電池放電照明狀態(tài)，或動環(huán)監(jiān)控值班人員電話通知時，應(yīng)立即檢查各高壓輸入柜的電壓表電壓指示，確認(rèn)是否處于單路或全部市電停電狀態(tài)。

　　2、通訊聯(lián)系。確認(rèn)單路或全部市電停電后，值班人員應(yīng)協(xié)同配合，按照應(yīng)急預(yù)案采取應(yīng)急措施。應(yīng)急處置完畢后，應(yīng)及時與本地區(qū)供電公司電話聯(lián)系，通話時應(yīng)問清停電的路由、原因、范圍、預(yù)計停電時長，以及對方的姓名，以備日后記錄和查詢。及時通知應(yīng)急保障小組成員及總協(xié)調(diào)人進(jìn)行故障上報，通知數(shù)據(jù)中心入駐單位做好采取進(jìn)一步措施的準(zhǔn)備。

　　3、應(yīng)急物資

　　（1）應(yīng)急照明設(shè)備

　�。�2）高低壓配電系統(tǒng)結(jié)構(gòu)圖

　�。�3）設(shè)備維護(hù)手冊

　�。�4）各種柜門鑰匙

　　4、應(yīng)急處置流程（以雙路市電停電，高壓油機(jī)單邊送電，低壓聯(lián)絡(luò)自投自復(fù)為例）

　　（1）確認(rèn)雙路停電，市電進(jìn)線斷路器跳閘。

　�。�2）檢查油機(jī)自啟后并機(jī)是否成功。

　�。�3）如并機(jī)不成功需排除故障，完成手動并機(jī)。

　　（4）油機(jī)并機(jī)成功，將單邊高壓油機(jī)進(jìn)線斷路器搖到合閘位，合高壓油機(jī)進(jìn)線斷路器。

　�。�5）將市電進(jìn)線斷路器搖出。

　�。�6）高壓操作結(jié)束，檢查油機(jī)運(yùn)行狀態(tài)，記錄相應(yīng)數(shù)據(jù)，同時電話詢問供電公司停電原因及時長。

　�。�7）檢查低壓配電設(shè)備聯(lián)動是否正常，設(shè)備是否運(yùn)行正常。

　�。�8）檢查空調(diào)系統(tǒng)冷水機(jī)組、水泵及末端空調(diào)是否工作正常。

　�。�9）檢查油庫油位，是否需要通知供油單位及時補(bǔ)充燃料。

【數(shù)據(jù)安全事件應(yīng)急預(yù)案】相關(guān)文章：

校園安全事件應(yīng)急預(yù)案03-24

學(xué)校安全事件應(yīng)急預(yù)案10-16

事件應(yīng)急預(yù)案03-03

事件應(yīng)急預(yù)案04-16

校園突發(fā)安全事件應(yīng)急預(yù)案11-23

網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案02-11

安全突發(fā)事件應(yīng)急預(yù)案02-10

消防安全事件的應(yīng)急預(yù)案11-02

消防安全事件應(yīng)急預(yù)案11-02

學(xué)校安全突發(fā)事件應(yīng)急預(yù)案11-24