【文章內(nèi)容簡(jiǎn)介】 件。信息系統(tǒng)的審計(jì)主要是通過網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、安全設(shè)備審計(jì)系統(tǒng)、操作系統(tǒng)審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)系統(tǒng)安全的監(jiān)管。本策略由信息管理部負(fù)責(zé)實(shí)施。第七章應(yīng)急處置第十八條 信息報(bào)告（一）報(bào)告程序和時(shí)限要求發(fā)生特別重大災(zāi)害性事件應(yīng)在2小時(shí)內(nèi)報(bào)告信息管理部，同時(shí)按規(guī)定向地方政府、人民銀行和銀監(jiān)會(huì)派出機(jī)構(gòu)等有關(guān)單位報(bào)告。發(fā)生重大災(zāi)害事件不得晚于接報(bào)后6小時(shí)或事發(fā)后12小時(shí)報(bào)告信息管理部，同時(shí)應(yīng)向地方政府、人民銀行和銀監(jiān)會(huì)派出機(jī)構(gòu)等有關(guān)單位報(bào)告。發(fā)生較大和一般災(zāi)害性事件不得晚于接報(bào)后8小時(shí)或事發(fā)后16小時(shí)報(bào)告信息管理部。（二）報(bào)告方式和內(nèi)容可根據(jù)具體情況分別采取電話、傳真、電子郵件、派人匯報(bào)等方式。發(fā)生特別重大災(zāi)害事件或重大災(zāi)害事件，可先電話報(bào)告或當(dāng)面匯報(bào)，然后再書面報(bào)告。災(zāi)害報(bào)告的內(nèi)容主要包括災(zāi)害性事件發(fā)生的地點(diǎn)和時(shí)間、災(zāi)害類型、災(zāi)害的規(guī)模、可能的引發(fā)因素、發(fā)展趨勢(shì)和擬采取或已經(jīng)采取的措施等。第十九條 信息收集事件發(fā)生單位和現(xiàn)場(chǎng)應(yīng)急處理工作組應(yīng)按照操作手冊(cè)的要求最大可能收集事件相關(guān)信息，判別事件類別，確定事件來(lái)源，保護(hù)證據(jù)，以便縮短應(yīng)急響應(yīng)時(shí)間。第二十條 應(yīng)急處理（一）一般應(yīng)急處理措施事件發(fā)生單位和現(xiàn)場(chǎng)應(yīng)急處理工作組應(yīng)初步檢查威脅造成的結(jié)果，評(píng)估事件帶來(lái)的影響和損害：如檢查系統(tǒng)、服務(wù)、數(shù)據(jù)的完整性、保密性或可用性；檢查攻擊者是否侵入了系統(tǒng)；以后是否能再次隨意進(jìn)入；損失的程度；確定暴露出的主要危險(xiǎn)等。事件發(fā)生單位和現(xiàn)場(chǎng)應(yīng)急處理工作組應(yīng)抑制事件的影響進(jìn)一步擴(kuò)大，限制潛在的損失與破壞。可能的抑制策略一般包括：關(guān)閉服務(wù)或關(guān)閉所有的系統(tǒng)，從網(wǎng)絡(luò)上斷開相關(guān)系統(tǒng)的物理鏈接，修改防火墻和路由器的過濾規(guī)則；封鎖或刪除被攻破的登錄賬號(hào)，阻斷可疑用戶得以進(jìn)入網(wǎng)絡(luò)的通路；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級(jí)別；設(shè)置陷阱；啟用緊急事件下的接管系統(tǒng)；實(shí)行特殊“防衛(wèi)狀態(tài)”安全警戒；反擊攻擊者的系統(tǒng)等。在事件被抑制之后，通過對(duì)有關(guān)惡意代碼或行為的分析結(jié)果，找出事件根源，明確相應(yīng)的補(bǔ)救措施并徹底清除。與此同時(shí)，執(zhí)法部門和其他相關(guān)機(jī)構(gòu)對(duì)攻擊源進(jìn)行準(zhǔn)確定位并采取合適的措施將其中斷。清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)。把所有被攻破的系統(tǒng)和網(wǎng)絡(luò)設(shè)備徹底還原到正常的任務(wù)狀態(tài)?；謴?fù)工作應(yīng)十分小心，避免出現(xiàn)操作失誤而導(dǎo)致數(shù)據(jù)丟失。另外，恢復(fù)工作中如果涉及到機(jī)密數(shù)據(jù)，需要額外按照機(jī)密系統(tǒng)的恢復(fù)要求。如果攻擊者獲得了超級(jí)用戶的訪問權(quán)，一次完整的恢復(fù)應(yīng)強(qiáng)制性地修改所有的口令（二）在發(fā)生影響人身安全的自然災(zāi)害、安全事件等情況下的緊急處置措施公司收到自然災(zāi)害即將發(fā)生的通知后，應(yīng)第一時(shí)間按照災(zāi)害發(fā)生情況準(zhǔn)備應(yīng)急預(yù)案。信息管理部協(xié)助公司其他人員進(jìn)行重要電子資料的備份工作。對(duì)于無(wú)法攜帶的設(shè)備，要切斷設(shè)備電源。如情況允許，信息管理部應(yīng)迅速關(guān)閉機(jī)房設(shè)備電源。如因?yàn)樽匀粸?zāi)害原因?qū)е码娫挕⒕W(wǎng)絡(luò)等系統(tǒng)中斷服務(wù)，應(yīng)及時(shí)通知公司信息管理部。信息管理部應(yīng)該在半小時(shí)內(nèi)聯(lián)系相關(guān)廠商進(jìn)行問題排查，如短時(shí)間內(nèi)無(wú)法恢復(fù)，應(yīng)及時(shí)上報(bào)應(yīng)急領(lǐng)導(dǎo)小組。（三）網(wǎng)站、網(wǎng)頁(yè)出現(xiàn)非法言論事件緊急處置措施公司員工有義務(wù)留意網(wǎng)站、網(wǎng)頁(yè)的信息內(nèi)容。發(fā)現(xiàn)在網(wǎng)上出現(xiàn)非法信息時(shí)，相關(guān)人員應(yīng)立即向信息管理部通報(bào)情況。信息管理部應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，作好必要記錄，清理非法信息，妥善保存有關(guān)記錄及日志或?qū)徲?jì)記錄，強(qiáng)化安全防范措施，并將網(wǎng)站網(wǎng)頁(yè)重新投入使用。追查非法信息來(lái)源，并將有關(guān)情況向本單位網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長(zhǎng)召開小組會(huì)議，如認(rèn)為事態(tài)嚴(yán)重，則立即向公安部門報(bào)警。（四）黑客攻擊事件緊急處置措施當(dāng)有關(guān)值班人員發(fā)現(xiàn)網(wǎng)頁(yè)內(nèi)容被篡改，或通過入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)有黑客正在進(jìn)行攻擊時(shí)，應(yīng)立即向本單位通報(bào)情況信息安全相關(guān)負(fù)責(zé)人應(yīng)在接到通知后立即趕到現(xiàn)場(chǎng)，并首先將被攻擊的股務(wù)器等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái)，保護(hù)現(xiàn)場(chǎng)，并將有關(guān)情況向本單位網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)。對(duì)現(xiàn)場(chǎng)進(jìn)行分析，并寫出分析報(bào)告存檔。恢復(fù)與重建被攻擊或破壞系統(tǒng)網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長(zhǎng)召開小組會(huì)議，如認(rèn)為事態(tài)嚴(yán)重，則立即向公安部門報(bào)警。（五）病毒事件緊急處置措施當(dāng)發(fā)現(xiàn)有計(jì)算機(jī)被感染上病毒后，應(yīng)立即向本單位信息安全負(fù)責(zé)人報(bào)告，將該機(jī)從網(wǎng)絡(luò)上隔離開來(lái)。信息安全相關(guān)負(fù)責(zé)人員在接到通報(bào)后立即趕到現(xiàn)場(chǎng)。啟用反病毒軟件對(duì)該機(jī)進(jìn)行殺毒處理，同時(shí)通過病毒檢測(cè)軟件對(duì)其他機(jī)器進(jìn)行病毒掃描和清除工作。如果現(xiàn)行反病毒軟件無(wú)法清除該病毒，應(yīng)立即向本單位網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組報(bào)告，并迅速聯(lián)系有關(guān)產(chǎn)品商研究解決。網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組經(jīng)會(huì)商，認(rèn)為情況嚴(yán)重的，應(yīng)立即向公安部門報(bào)警。（六）軟件系統(tǒng)遭破壞性攻擊的緊急處置措施重要的軟件系統(tǒng)平時(shí)必須做好備份工作，并將它們保存到安全的地方；一旦軟件遭到破壞性攻擊，應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告，并將該系統(tǒng)暫停運(yùn)行；信息安全負(fù)責(zé)人要認(rèn)真檢查信息系統(tǒng)的日志等資料，確定攻擊來(lái)源，并將有關(guān)情況向網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組匯報(bào)，再恢復(fù)軟件系統(tǒng)和數(shù)據(jù)；網(wǎng)絡(luò)及信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組組長(zhǎng)召開小組會(huì)議，如認(rèn)為事態(tài)嚴(yán)重，則立即向公安部門報(bào)警。（七）數(shù)據(jù)庫(kù)安全緊急處置措施主要數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)做多個(gè)數(shù)據(jù)庫(kù)備份；一旦數(shù)據(jù)庫(kù)崩潰，值班人員應(yīng)立即啟動(dòng)備用系統(tǒng)，并向信息安全負(fù)責(zé)入報(bào)告；在備用系統(tǒng)運(yùn)行期間，信息安全工作人員應(yīng)對(duì)主機(jī)系統(tǒng)進(jìn)行維修并作數(shù)據(jù)恢復(fù)。（八）電話網(wǎng)及城域網(wǎng)外部線路中斷緊急處置措施電話網(wǎng)及城域網(wǎng)線路中斷后，值班人員應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告。信息安全相關(guān)負(fù)責(zé)人員接到報(bào)告后，應(yīng)迅速判斷故障節(jié)點(diǎn)，查明故障原因。如屬我方管轄范圍，由信息安全工作人員立即予以恢復(fù)。如屬電信部門管轄范圍，立即與電信維護(hù)部門聯(lián)系，要求修復(fù)。（九）設(shè)備安全緊急處置措施如果服務(wù)器等關(guān)鍵設(shè)備損壞后，值班人員應(yīng)立即向信息安全負(fù)責(zé)人報(bào)告。信息安全相關(guān)負(fù)責(zé)人員要立即查明原因。如果能夠自行恢復(fù)，應(yīng)立即用備件替換受損部件。如屬不能自行恢復(fù)的，立即與設(shè)備提供商聯(lián)系，請(qǐng)求派維護(hù)人員前來(lái)維修。如果設(shè)備一時(shí)不能修復(fù)，應(yīng)向本單位信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組報(bào)告。第二十一條 應(yīng)急結(jié)束突發(fā)災(zāi)害性事件應(yīng)急處置工作基本完成，事件危害被基本消除，經(jīng)信息系統(tǒng)安全事件應(yīng)急領(lǐng)導(dǎo)小組研究或總裁批準(zhǔn)后，終止應(yīng)急狀態(tài)。應(yīng)急處置工作結(jié)束后，應(yīng)將情況及時(shí)通知參與事件處置的各部門。第八章后續(xù)工作第二十二條 善后處置應(yīng)急結(jié)束后要組織力量開展災(zāi)害性事件損害核定工作，及時(shí)處理現(xiàn)場(chǎng)，對(duì)事件情況、恢復(fù)能力等做出評(píng)估，制定事后恢復(fù)計(jì)劃并實(shí)施。凡發(fā)生水災(zāi)、地震等重大自然災(zāi)害及安全事件，要迅速通知保險(xiǎn)經(jīng)紀(jì)公司、保險(xiǎn)公司對(duì)本公司財(cái)產(chǎn)損失進(jìn)行勘察、核準(zhǔn)，以開展保險(xiǎn)受理、賠付工作，盡量減少本公司資產(chǎn)損失。第二十三條 評(píng)估分析在災(zāi)害性事件處置結(jié)束后，信息管理部對(duì)事件的起因、影響、責(zé)任、應(yīng)急預(yù)案和措施的有效性等進(jìn)行全面評(píng)估，總結(jié)經(jīng)驗(yàn)教訓(xùn)，制定改進(jìn)措施，并在15日內(nèi)向總裁提交總結(jié)報(bào)告。第二十四條 問責(zé)與處罰在調(diào)查評(píng)估的基礎(chǔ)上，應(yīng)按照管理權(quán)限和組織程序，對(duì)事件責(zé)任人員實(shí)行問責(zé)與處罰。對(duì)在預(yù)防和處置災(zāi)害性事件工作中，由于不按規(guī)定制定應(yīng)急預(yù)案或及時(shí)報(bào)告、及時(shí)處置，或處置失當(dāng)并造成嚴(yán)重后果的，要依照有關(guān)規(guī)定給予相應(yīng)的黨紀(jì)、政紀(jì)處分乃至移送司法機(jī)關(guān)處理等處罰。第二十五條 獎(jiǎng)勵(lì)與表彰對(duì)在預(yù)防和處置災(zāi)害性事件工作中作出突出貢獻(xiàn)的集體和個(gè)人，可予以表彰獎(jiǎng)勵(lì)；對(duì)因參與應(yīng)急處理工作致病、致殘、死亡的人員，可按有關(guān)規(guī)定給予相應(yīng)的補(bǔ)助和撫恤。第九章應(yīng)急保障第二十六條 技術(shù)支撐保障信息管理部自行逐步建立預(yù)警與應(yīng)急處理的技術(shù)平臺(tái)，進(jìn)一步提高安全事件的發(fā)現(xiàn)和分