26-计算机系统应急预案.docx

1、计算机系统应急预案第一章总则第一条 为妥善应对和处置计算机信息系统突发事件，保障信息系统的正常运行，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网安全保护管理办法等有关法规文件精神，结合自身实际，特制定本应急预案。第二条 以维护系统正常运行为目的，按照“预防为主，快速处置”的原则，进一步完善全管理机制，提高突发事件的应急处置能力。 第二章应急领导机构和职责第三条北京三得电子技术有限公司信息化工作领导小组（以下简称领导小组）为计算机信息系统事故处理应急领导机构，负责领导、统一协调、组织开展计算机信息系统应急管理工作，紧急处理计算机信息系统重大应急事件和隐患。北

2、京三得电子技术有限公司信息化工作领导小组（设在技术部）负责计算机信息系统事故应急处理的日常事务，主要工作是：1.承担计算机信息系统事故应急处理工作，负责全局相关部门的协调联络工作，负责向领导小组提出建议。 2.发生重大计算机信息系统突发事件时，负责启动本预案，下达应急保障任务，指挥全局应急保障行动，及时向相关部门报告有关情况。 3.负责实施各项应急措施，定期开展和部署应急预案的演练、培训工作。4.根据领导小组下达的命令和指示，负责组织指挥、协调应急保障行动，完成应急保障任务。 第三章应急措施与处理流程第四条 应急措施(三)建立健全重要数据及时备份和灾难性数据恢复机制。严格按照计算机信息网络安全

3、管理规定要求，认真做好日常数据备份工作，以防发生数据灾难时对信息系统进行恢复重建。(四)采取多层次的有害信息、恶意攻击防范与处理措施。各部门计算机管理人员为第一层防线，发现有害信息保留原始数据后及时删除;技术部为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息后，在及时处理的同时向领导小组汇报，必要时还应向政府信息化主管部门和公安网络监督部门报告。(五)网站、网页出现非法言论事件紧急处置措施 1.信息安全技术人员负责随时密切监视信息内容，发现在网上出现非法信息时，应立即向领导小组负责人报告；情况紧急的，在保留原始信息后，应先采取删除等处理措施，再按程序报告。2.信息安全技术人员应在接

4、到报告后立即赶到现场，做好必要记录，清理非法信息，妥善保存有关记录及日志，强化安全防范措施，并将网站网页重新投入使用。3.追查非法信息来源，并将有关情况向领导小组负责人汇报。 4.领导小组负责人召开会议，如认为事态严重，应立即向领导小组报告，并向政府信息化主管部门报告和公安部门报警。 (六)黑客攻击事件紧急处置措施 1.当信息安全技术人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并立即向领导小组负责人报告情况。2.信息安全技术人员对现场进行分析，并写出分析报告存档，必要时上报政府信息化主管部门和公安网络监管部门。 3

5、.恢复与重建被攻击或破坏的计算机信息系统。4.由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，并向政府信息化主管部门报告和公安网络监管部门报警。(七)病毒事件紧急处置措施 1.当信息安全技术人员发现有计算机被感染上病毒后，应立即将该机与网络隔离。2.信息安全技术人员对该计算机进行数据备份。3.启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清除工作。4.如果现行反病毒软件无法清除该病毒，应立即向领导小组负责人报告，并迅速联系有解决能力的软件厂商研究解决。5.由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，视情况向政府信息

6、化主管部门报备或向公安部门报警。 6.如果感染病毒的设备是主服务器，经领导小组负责人报领导小组同意，应立即告知领导做好相应的清查工作。 7.病毒清除，通过专业检测后，隔离的设备可重新投入使用。 (八)软件系统遭破坏性攻击的紧急处置措施 1.重要的软件系统日常维护时必须指定专人负责，将它们备份并保存于安全处。 2.一旦软件遭到破坏性攻击，信息安全技术人员应立即向领导小组负责人报告，并将该系统停止运行。3.信息安全技术人员检查信息系统的日志等资料，确定攻击来源，并将有关情况向领导小组负责人汇报，再恢复软件系统和数据。4.由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，视情况向政府信

7、息化主管部门报告或向公安部门报警。(九)数据库安全紧急处置措施1.主要数据库系统应按要求做好数据库备份。2.一旦数据库崩溃，信息安全技术人员应立即启动备用系统，并向领导小组负责人报告。 3.在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。4.如果系统崩溃而无法恢复，技术员应立即向领导小组负责人汇报，并请技术部派员解决或联系有解决能力的厂商请求紧急支援。 5.由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告。(十)广域网外部线路中断紧急处置措施1.信息安全技术人员接到报告后，应迅速判断故障节点，查明故障原因。 2.如属技术部门管辖范围，由信息安全技术人员立即予

8、以恢复。 3.如属政府信息办或线路提供部门管辖范围，立即与政府信息办或线路提供维护部门联系，要求修复。 4.线路中断，信息安全技术人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向领导小组负责人汇报，同时做好故障记录。 5. 由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，同时应向政府信息化主管部门汇报，并向线路提供部门发函通报。(十一)局域网中断紧急处置措施 1.信息化管理机构应指定人员负责对网络设备的日常管理工作。2.局域网中断后，信息安全技术人员应立即判断故障节点，查明故障原因，并向领导小组负责人汇报，同时做好故障记录。 3.如属线路故障，应与运营商联系维护

9、。 4.如属路由器、交换机等网络设备故障，信息安全技术人员应立即更换故障设备，并调试通畅。 5.如属路由器、交换机配置文件破坏，信息安全技术人员应迅速按照要求重新配置，并调测通畅。 6. 由领导小组负责人召开会议，如认为事态严重，则立即向领导小组报告，并视情况向政府信息化主管部门和公安信息安全部门汇报。(十二)设备安全紧急处置措施1.服务器等关键设备损坏后，信息安全技术人员立即查明原因。2.如果能够自行修复，应立即用备件替换受损部件。 3.如属不能自行修复的，立即与设备提供商联系，要求派维护人员立即前来维修。 4.如果设备一时不能修复，应立即向领导小组负责人汇报。 5.由领导小组负责人召开会议

10、，如认为事态严重，则立即向领导小组报告，由领导小组提出相关处理意见。(十三)节假日、举行重大活动和发生重大事件时，信息安全技术人员应对整个网络的运行进行监控并及时删除各类非法信息。(十四)信息安全技术人员应定时对本级计算机机房主机及其网络通信线路进行检查，时刻关注机器指示灯与工作状态。严禁任何人员在未经领导小组负责人同意下对主机的网络通信线路做出任何改动，坚决杜绝对其进行随意开关。 (十五)信息安全技术人员对网络设备进行配置后要及时进行保存，并将配置资料备份交本级信息化管理机构进行妥善管理，当网络交换设备发生故障后，应先关掉其电源并与上级部门进行联系进行设备更换。 (十六)电源管理。未经本级信

11、息化管理机构负责人同意不得随意关闭机房用机电源，如需对电源进行维修，应先告知相关管理人员关闭计算机。在计算机工作时，不得对电源线路做任何改动。各级干部职工不得违反不间断电源（UPS）的操作规程，在其上连接无关的用电设备。信息技术工作人员应随时注意不间断电源控制设备上的运行状况，如发现运行状况出现异常，应立即报告相关负责人。如遇突然停电，应及时通知相关管理人员，视情况对用电设备进行限制使用。 (十七)防火设施的管理。定期对灭火器材进行检查，保障正常使用。按照灭火器材上的使用时间，定期进行更换。发生火情时，应及时拨119进行求救并向相关领导报告。其它没有列出的不确定因素造成的灾害，可根据安全、稳定

12、、可靠、可行原则，结合具体的情况，做出相应的处理。不能自行解决的可以请求相关的专业人员协助处理。 第四章应急结束第五条 当突发危害和故障结束，或相关危险因素已基本得到控制或消除，即可结束应急响应。第六条 领导小组要认真总结应急响应工作，对实施预案中发生的问题进行研究改进，进一步完善预案措施，并在结束响应后3日内以书面形式向北京三得电子技术有限公司汇报。第七条 对出色完成应急任务、为应急工作做出重大贡献的个人，应急处理机构予以表彰奖励。第八条 对不按照本预案规定执行应急工作任务，或应急处理处置不力、玩忽职守、贻误工作、对应急工作造成危害的，根据情节轻重，对直接责任人及主要负责人给予相应的行政处分，对有关部门予以通报批评；构成犯罪的，由司法部门依法追究刑事责任。 第五章附则第九条 本预案由技术部负责解释。第十条 本预案自印发之日起实行。