信息系统应急预案.docx
《信息系统应急预案.docx》由会员分享,可在线阅读,更多相关《信息系统应急预案.docx(10页珍藏版)》请在冰点文库上搜索。
信息系统应急预案
信息系统应急预案
某某信息系统应急预案
本预案是信息技术部依据企业相关法规和政策,结合企业信息系统建设和运行情况,关键针对企业可能发生重大突发事件编制,包含总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障方法等,其中明确要求了在发生信息系统突发事件情况下,信息系统管理人员相关职能和工作方法,含有一定指导性和可操作性。
一、总则
(一)目标为科学应对信息系统突发事件,建立健全信息系统应急响应机制,有效预防、立即控制和最大程度地消除各类突发事件危害和影响,制订本应急预案。
(二)工作标准1.
统一领导碰到重大信息系统异常情况,应立即向相关领导汇报,方便于统一调度、降低损失。
2.
综合协调明确综合协调职能机构和人员,做到职能间相互衔接。
3.
关键突出应急处理关键放在运行着关键业务系统或可能造成严重事故后果关键信息系统上。
4.立即反应,主动应对出现信息系统故障时,信息系统维护人员应立即发觉、立即汇报、立即抢修、立即控制,主动对信息系统突发事件进行防范、监测、预警、汇报、响应。
5.
快速恢复信息系统管理人员在坚持快速恢复系统标准下,依据职责分工,加强团结协作,必需情况下和设备供给商和系统集成商共同寻求问题快速处理。
6.防范为主,加强监控常常性地做好应对信息系统突发事件思想准备、预案准备、机制准备和工作准备,提升基础设备和关键信息系统综合保障水平。
加强对信息系统应用日常监视,立即发觉信息系统突发性事件并采取有效方法,快速控制事件影响范围,努力争取将损失降到最低程度。
二、应急工作小组机构及职责在信息系统事件处理中,一个组织良好、职责明确、科学管理应急队伍是成功关键。
组织机构成立对于事件响应、决议、恢复,预防类似事件发生全部含相关键意义。
结合企业信息系统实际情况,将相关应急人员角色和职责进行了明确划分。
1.
应急处理领导小组立即掌握信息系统故障事件发展动态,向上级部门汇报事件动态;对相关事项做出重大决议;开启应急预案;组织和调度必需人、财、物等资。
(应急领导小组组员参见《重大突发事件预案处理和汇报制度》)。
2.
应急处理工作小组负责定时了解外部支持人员变动情况,立即更新其技术人员及联络方法等信息;快速响应信息系统发觉故障事件、业务部门对信息系统故障申告;实施信息系统故障诊疗、排查和恢复操作;定时经过设备监控软件、系统运行汇报等工具对信息系统使用情况进行分析^p,尽早发觉信息系统异常情况,排除信息系统隐患。
工作小组组长:
信息技术部责任人工作小组组员:
信息技术部技术支持室全体组员、信息技术部各室主任
3.
外部支持人员包含电信运行商、设备供给商和系统集成商。
负责事先向某某信息技术部提供紧急情况下应急技术方案和应急技术支援体系;主动配合信息中心应急人员进行故障处理。
:
设备供给商、系统集成商、电信运行商等
三、预警和预防机制
(一)信息系统监测及汇报1.信息系统日常管理和维护信息系统日常管理和维护应加强信息系统应用监测、分析^p和预警工作。
2.建立信息系统故障事故汇报制度
发生信息系统故障时,值班人员应该立即向应急处理小组领导汇报,并立即进行故障处理、调查核实、保留相关证据等。
(二)预警在接到突发事件汇报后,应该经初步核实以后,将相关情况立即向应急处理小组领导汇报,深入进行情况综合,研究分析^p可能造成损害程度,提出初步行动对策。
由上级领导视情况紧急程度召集协调会,决议行动方案,公布指示和实施命令等。
(三)预警支持系统应建立和完善信息监测、消息传输和指挥决议支持系统,确保突发事件处理过程中资共享、运转正常、指挥有力。
(四)预防机制各业务信息系统和关键信息系统建设要充足考虑抗毁性和灾难恢复,制订并不停完善应急处理预案。
针对基础信息信息系统突发性、大规模异常事件,各相关部门建立制度化、程序化处理步骤。
四、应急处理程序
(一)信息系统突发事件分类分级说明依据业务信息系统突发事件发生原因、性质和机理,业务信息系统突发事件关键分为以下三类:
1.攻击类事件:
指信息系统因计算机病毒感染、非法入侵等造成业务中止、系统宕机、信息系统瘫痪等情况。
2.故障类事件:
指信息系统因计算机软硬件故障、停电、人为误操作等造成业务中止、系统宕机、信息系统瘫痪等情况。
3.灾难类事件:
指因爆炸、火灾、雷击、地震、台风等外力原因造成信息系统损毁,造成业务中止、系统宕机、信息系统瘫痪等情况。
根据突发事件性质、严重程度、可控性和影响范围,将其分为通常故障、严重故障、重大故障、特级故障四级。
1.通常故障信息系统中单个系统故障,但未影响业务系统运行,也未造成社会影响或经济损失突发事件。
2.严重故障信息系统中单个分企业节点故障造成分企业业务中止,可能造成较大业务影响或较大经济损失突发事件。
3.重大故障
信息系统中多个分企业节点或总企业骨干节点故障引发多个业务系统长时间中止,可能造成重大社会影响和巨大经济损失突发事件。
4.特级故障特指发生不可预见灾难性事故,如火灾、水灾和地震等。
(二)信息系统应急预案开启依据以上定义故障分级,当信息系统事件要素满足开启应急预案要求时,进入对应应急开启步骤。
(1)应急处理工作小组从业务人员或值班人员故障申告、信息系统监控汇报故障告警中得悉信息系统异常事件后,应在第一时间赶赴信息系统故障现场。
(2)应急处理工作小组针对信息系统事件做出初步分析^p判定。
若是电接触不好、物理连线松动或能在最短时间内自行处理信息系统问题,立即根据相关操作规程进行故障处理,并报领导小组立案;不然,应急处理工作小组将故障大致定性为设备故障、线路故障、软件故障等故障之一,立即通知领导小组和受影响相关部门,并采取方法避免事件影响范围扩大。
(3)应急处理工作小组向领导小组汇报,在领导小组授权后开启对应应急预案。
针对灾难事件和影响关键业务运行重大事件,还要立即向上级机关进行汇报。
(4)应急处理工作小组依据故障类型立即和外部支持人员取得联络。
其中,设备故障,可和设备供给商和集成商联络;软件故障,可和系统集成商联络,由系统集成商进行现场或远程技术支持;线路故障,可和电信运行商联络,三方亲密协作努力争取通信线路在短时间内恢复正常。
(5)应急处理工作小组在上级机构或外部支持人员配合下,充足利用应急预案资准备,采取有力方法进行故障处理,立即恢复信息系统正常工作状态。
(6)应急处理工作小组通知业务部门信息系统恢复正常,并向领导小组汇报故障处理基础情况。
重大事件形成文字资料,以书面形式向上级汇报。
(7)总结整个处理过程中出现问题,并立即改善应急预案。
(三)现场应急处理
(1)如碰到预知外界原因(如定时、定点停电)影响业务信息系统系统正常运行,将依据相关部门通知,提前安排技术人员到实地关闭信息系统设备并进行现场维护,直至外界原因消除。
(2)如碰到不可抗力原因(如火灾)造成信息系统系统故障时,接到通知值班人员要快速抵达现场,果断切断相关设备配电柜电,主动参与消除不可抗力原因,并立即将情况上报应急处理工作小组领导。
(3)如碰到通常故障、严重故障和重大故障,影响信息系统正常运行,值班人员要快速、立即地赶到现场,进行对应突发事件应急处理。
五、保障方法
(一)应急演练为提升信息系统突发事件应急响应水平,信息技术部和相关部门应定时或不定时组织应急预案演练;检验应急预案各步骤之间通信、协调、指挥等是否符合快速、高效要求。
经过演练,深入明确应急响应各岗位责任,对预案中存在问题和不足立即补充、完善。
(二)人员培训为确保本应急预案有效运行,应定时或不定时地举行不一样层次、不一样类型技术讲座或研讨会,方便不一样岗位应急人员能全方面熟悉并熟练掌握突发事件应急处理知识和技能。
(三)硬件资保障为了在信息系统设备发生故障时能够尽可能降低业务系统受影响程度,须为对应关键业务信息系统提供必需备份设备和线缆等硬件资,而且配置和现有设备兼容设备,确保相同或兼容设备能够在应急情况下调配使用。
这些备份设备需预先采购并保留在专门位置。
(四)文档资料准备包含信息系统工程文档、维护手册、操作手册、设备配置参数、拓扑图和IP地址规范及分布情况等。
(五)技术支持保障建立预警和应急处理技术平台,深入提升信息系统突发事件发觉和分析^p能力,从技术上逐步实现发觉、预警、处理、通报等多个步骤和不一样业务信息系统、系统和相关部门之间应急处理联动机制。
(六)公众信息交流在应急预案修订、演练前后,应利用多种信息渠道进行宣传,并不定时利用多种活动,宣传信息系统等突发事件应急处理规程及其预防方法等应急常识。
六、分类突发事件应急处理方法
(一)黑客攻击时紧急处理方法1、当相关值班人员发觉业务系统或网站内容被纂改,或经过入侵监测系统发觉有黑客正在进行攻击时,应立即向信息系统管理技术人员通报情况。
2、信息系统管理技术人员应在三十分钟内响应,并首先应将被攻击服务器等设备从信息系统中隔离出来,保护现场,并同时向应急处理工作小组领导通报情况。
3、信息系统管理技术人员负责被攻击或破坏系统恢复和重建工作。
4、信息系统管理技术人员会同相关支持人员追查非法信息起。
5、信息系统管理技术人员组织相关支持人员会商后,向应急处理工作小组组长汇报相关情况。
6、应急处理工作小组组长如认为情况严重,应立即向应急处理领导小组组长汇报。
7、应急处理领导小组组长组织应急处理领导小组召开会议,如认为事态严重,则立即向公安部门或上级机关报警。
(二)病毒安全紧急处理方法
1、当发觉有计算机被感染上病毒后,应立即向信息系统管理技术人员汇报,将该机从信息系统上隔离开来。
2、信息系统管理技术人员在接到通知后,应在三十分钟内响应。
3、对该设备硬盘进行数据备份。
用反病毒软件对该机进行杀毒处理,同时经过病毒检测软件对其它机器进行病毒扫描和清除工作。
4、假如现行反病毒软件无法清除该病毒,应立即向应急处理工作小组组长汇报,并快速联络相关产品商研究处理。
5、应急处理工作小组经会商,认为情况严重,应立即向应急处理领导小组组长汇报。
6、应急处理领导小组经会商后,认为情况极为严重,应立即向公安部门或上级机关汇报。
7、假如感染病毒设备是中心服务器系统,经领导小组同意,应立即通知各相关部门做好对应清查工作。
(三)软件系统遭破坏性攻击紧急处理方法关键业务系统必需存有备份,和业务系统相对应数据必需有多日备份,并将她们保留在安全处。
1、一旦信息系统遭到破坏性攻击,应立即向信息系统管理技术人员、业务系统技术人员汇报,并将该系统停止运行。
2、信息系统管理技术人员检验日志等资料,确定攻击起。
4、由业务系统技术人员向应急处理工作小组组长汇报。
5、应急处理工作小组组长认为情况严重,应立即向应急处理领导小组汇报。
6、应急处理领导小组认为情况极为严重,应立即向公安部门或上级机关汇报。
(四)数据库安全紧急处理方法1、关键数据库应按双机热备设置,并最少要准备两个以上数据库备份,平时一个备份放在机房,另一个备份放在另一个安全场所。
2、一旦数据库瓦解,应立即开启备用系统,并向应急处理工作小组组长汇报。
3、在备用系统运行期间,业务系统技术人员应对主机系统进行维修。
4、假如两套系统均瓦解,业务系统技术人员应立即向应急处理工作小组组长汇报,应急处理工作小组如认为情况严重,应立即向应急处理领导小组组长汇报。
同时通知相关科室部门暂缓使用业务系统和上传上报数据。
5、系统修复开启后,将第一个数据库备份取出,根据要求将其恢复到主机系统中。
6、如因第一个备份损坏,造成数据库无法恢复,则应取出第二套数据库加已恢复。
7、假如两个备份均无法恢复,应立即向应急处理工作小组组长汇报,并向相关厂商请求紧急支援。
(五)广域网外部线路中止紧急处理方法1、广域网主、备用线路中止一条后,网络管理员应立即开启备用线路接续工作,同时向应急处理工作小组组长汇报。
2、网络管理员应立即判定故障节点,查明故障原因。
3、如属我方管辖范围,由网络管理员立即给予修复。
4、如属运行商管辖范围,立即和运行商维护部门联络,要求恢复。
5、假如主、备用线路同时中止,网络管理员应在判定故障节点,查明故障原因后,立即研究恢复方法,并立即向应急处理工作小组组长汇报。
6、经应急处理领导小组同意后,应通知相关部门相关原因,并暂缓使用业务系统和上传上报数据。
(六)局域网中止紧急处理方法1、局域网中止后,网络管理员应立即判定故障节点,查明故障原因,并向应急处理工作小组组长汇报。
2、如属线路故障,应重新安装线路。
3、如属路由器、交换机等信息系统设备故障,应立即通知供给商进行保修。
5、如属路由器、交换机配置文件破坏,应快速根据要求重新配置,并调试通畅。
6、如有必需,应向应急处理领导小组汇报。
(七)设备安全紧急处理方法服务器、存放设备等关键设备损坏后,值班人员应立即向信息系统管理技术人员汇报。
1、信息系统管理技术人员立即查明原因。
2、假如能够自行恢复,应立即用备件替换受损部件。
3、如属不能自行恢复,立即和设备提供商联络,请求派维护人员前来维修。
4、假如设备一时不能修复,应向处理工作小组组长汇报,并告之相关部门,暂缓使用受影响业务系统。
(八)人员疏散和机房灭火预案1、一旦机房发生火灾,应遵照下列标准:
首先保人员安全;其次保关键设备、数据安全;
三是保通常设备安全。
2、人员疏散程序是:
机房值班人员立即按响火警警报,并经过119电话向公安消防请求支援,全部些人员戴上防毒面具,全部不参与灭火人员根据预定路线,快速从机房中有序撤出。
3、人员灭火程序是:
首先切断全部电,开启自动气体灭火装置,灭火值班人员戴好防毒面具,从指定位置取出气体灭火器进行灭火。
(九)供电中止后设备运行预案1、外电中止后,机房值班人员应立即检验是否启用了备用电。
2、机房值班人员应立即查明原因,并向信应急处理工作小组组长汇报。
3、如因内部线路故障,请办公室联络相关单位快速恢复。
4、假如是供电局原因,应立即和供电局联络,请供电局快速恢复供电。
5、假如供电局通知需长时间停电,应作以下安排。
(1)停电30分钟以内,由UPS供电;
(2)停电30分钟-1小时,关掉非关键设备,确保关键服务器、关键信息系统设备供电; (3)停电1小时以上,关闭全部设备,。
(十)关键人员不在岗紧急处理方法1、对于关键岗位平时应做好人员贮备,确保一项工作由两人能够操作。
2、一旦发生关键人员不在岗情况,首先应向应急处理工作小组组长汇报情况。
3、经处理工作小组组长同意后,由备用人员上岗操作。
4、假如备用人员无法上岗,请求上级单位或外部支持技术人员支援。
七、附则
(1)本预案所称信息系统突发事件,是指因为自然灾难、设备软硬件故障、内部人为失误或破坏等原因,信息系统正常运行受到严重影响,出现业务中止、系统破坏、数据破坏等现象,造成不良影响和造成一定程度直接或间接经济损失事件。
(2)本预案经过演练、实践检验,和依据应急力量变更、新技术、新资应用和应急事件发展趋势,立即进行修订和完善;所附组员、联络方法等发生改变时也随时修订。
(3)本预案自公布之日起实施。
升级会员 