信息系统安全事件应急处置预案.doc

目 录1、 2、 3、 4、 5、 6、 7、 8、 9、目的 . 3 适用范围 . 3 定义和缩写 . 3 职责与权限 . 4 政策 . 6 工作程序 . 6 检查监督 . 16 支持文件 . 16 记录 . 16 1、 目的为规范公司信息安全事件的应急管理和应急响应程序，及时有效地实施应急处理工作，最大程度地减少信息安全事件对公司业务的影响，提高信息系统应急处理能力，特制定本预案。2、 适用范围本预案适用于公司信息安全事件的应急管理和应急处置工作。3、 定义和缩写3.1 信息安全事件：指由于信息系统处理能力不足、系统软硬件运行异常、病毒发作、黑客入侵、电力系统故障、网络与通讯系统故障等导致公司信息系统运行异常、需要采取应急处置措施应对的事件。分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本类别。3.1.1 有害程序事件：蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件；3.1.2 网络攻击事件：通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件；3.1.3 信息破坏事件：通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件；3.1.4 信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件；3.1.5 设备设施故障：由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件；3.1.6 灾害性事件：由于不可抗力对信息系统造成物理破坏而导致的信息安全事件；3.1.7 其他信息安全事件：不能归为以上6个基本分类的信息安全事件。3.2 处置信息安全事件的组织体系：由应急指挥中心及应急现场小组组成。应急指挥中心由公司维稳小组、维稳IT工作组及总部相关部门人员组成，应急现场小组由总部信息技术中心、分支机构相关人员组成。3.2.1 应急指挥中心：公司根据工作需要，成立公司处置信息安全事件应急指挥中心，统一指挥事件的处理工作。指挥长：公司维稳小组组长。副指挥长: 公司维稳IT工作组组长、副组长。成员：信息技术中心、总裁办公室、风险控制部、稽核监察部、私人客户部（含客户服务中心）、渠道管理部、运行管理部、经纪业务综合室、清算中心、股票销售交易部、理财发展部、理财运营部、财务部、法律合规部、市场部负责人。应急指挥中心下设应急指挥办公室，由总裁办公室和信息技术中心联合行使职责。应急指挥办公室主任由总裁办公室负责人兼任，信息技术中心负责人任副主任，成员由各部门指定人员组成。当应急指挥中心指挥长因故不能履行职责时，由公司维稳IT工作组组长、公司维稳市场工作组组长临时行使指挥长的职责。3.2.2 应急现场小组（1） 信息技术中心成立信息技术中心应急现场小组，应对突发的信息安全事件。信息技术中心负责人兼任应急现场小组长，信息技术中心员工及驻场安全保卫人员为现场小组成员；（2） 各分支机构成立应急现场小组，应对发生在分支机构现场的信息安全事件，分支机构负责人兼任应急现场小组长，分支机构电脑维护岗任应急现场副组长，分支机构员工及驻场安全保卫人员为现场小组成员。4、 职责与权限5、 政策5.1 统一领导，分级响应。在公司统一领导下，根据信息安全事件的不同情况进行分级、分地处置，建立职责明确、协调配合的应急预案和应急机制。5.2 安全第一，预防为主。平时加强风险防范意识，从规范工作程序入手，尽量避免发生人为因素造成的信息安全事件，做好常态下的风险评估、队伍建设、预案演练等工作。5.3 快速响应，全面、有效。加强日常监控，对信息系统异常情况及时响应，做到早发现，早处理，早报告，联系通畅，操作准确，处理有效。5.4 岗位职责明确。做到维护信息系统安稳运行和应急响应的各个岗位职责明确，人员到位，保证出现紧急情况时，应急预案的实施有条不紊、顺利高效。5.55.6 持续改进。定期评价应急管理工作，评估指标体系，根据需要，适时持续改进本预案。 6、 工作程序6.1 预防与预警机制预防机制 6.1.1（1） 详细预案编制各单位应结合本单位实际情况，制定全面、切实可行的具体应急处理详细步骤，规范应急处理的操作流程，提高应急处理能力。其中，中心机房的预案应涵盖中心机房交易主备机切换、网络系统、基础设施、冗余备份失效等方面的各种应急情况。包括交易和清算系统、三方存管系统、电力保障等突发事件应急处理的具体实施步骤、检验方法、实施时间等要素。分支机构则按信息技术中心统一要求和规范进行制定。（2） 预防性维护测试信息技术中心和各分支机构按照信息技术中心统一制定的月、季度、年度的应急演练和预防性维护测试记录表单进行日常预防性维护工作，并做好书面的记录和总结。进行预防性维护测试时，主要检验备份设备以及切换流程是否正常和可操作，或者对可能导致风险的关键点进行设备检查，保证设备的正常进行。测试完毕后，各分支机构电脑维护岗将本月内进行的维护测试记录放在下个月初系统运行月报中上报信息技术中心。6.1.2 日常运行监测与预警机制在总部和各分支机构建立关键时点预警机制，不断完善监测指标。总部生产中心机房实行7×24小时值班制度，随时响应公司内的信息安全事件。交易期间主机、网络、交易系统安排专岗负责盘中监控，详细记录、统计系统运行状况，形成报表方便汇总、查询。网上交易采用智能图像化监控管理系统，监控服务器状态、用户并发、资源利用等情况，通过报警功能及时查找停止服务的站点；各分支机构电脑维护岗应特别注意特殊时间区，如上午9：15分至9：35分和下午12：55分至13：05分的系统监控工作。6.1.3 重要、敏感时期的预防和预警机制在重要、敏感时期，为维护市场稳定和加强信息系统安全工作，公司在上级主管部门的统一部署下，加强全体员工的法律意识和安全意识教育，制定重要、敏感时期的应急预案，做到发现问题及时处理，提高信息系统的应急处理能力；坚持重要、敏感时期的24小时值班制度，保证与上级主管部门、电信部门、关键设备服务商和当地公安机关的热线联系，积极做好各种风险防范工作。6.1.4 应急演练（1） 全系统应急演练：信息技术中心负责组织公司的全系统应急演习，编写测试预案。演习主要 模拟生产中心机房出现重大安全事件时，如中心机房通信、供电、关键设备发生重大故障；病毒与网络安全事件造成系统瘫痪，地震火灾造成灾难性故障等情况下，公司各部门协同作战、人员到位、应急处理的能力。应急演练结束后，信息技术中心将根据演练结果进行汇总，向全公司通报，并将总结发现的问题落实整改，对于分支机构的问题则监督进行整改；（2） 服务商应急响应：应急演练应包括服务商的应急响应测试，以正确评估特殊情况下服务商提 供服务能力和响应速度的可靠性；（3） 技术系统局部故障的恢复测试：定期对系统关键环节进行局部的故障恢复测试，保 证关键环节在出现故障时响应及时、准确、到位。6.2 信息安全事件的应急响应事件的分类与定级 6.2.1（1） 事件分类信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，详见信息安全事件分为一般、紧急、重大和灾难，共四级。 1） 一般：指能够导致较小影响或破坏的信息安全事件； 2） 紧急：指能够导致较严重影响或破坏的信息安全事件； 3） 重大：指能够导致严重影响或破坏的信息安全事件； 4） 灾难：指能够导致特别严重影响或破坏的信息安全事件。 （3） 事件的定级 1）交易系统中断事件的定级2） 其他种类信息安全文件（指上述类别中未包含的交易系统中断事件）的定级 其他种类的信息安全事件发生后，应急现场小组应立即对事件的影响及危害程度进行评估，并将技术系统恢复的情况、事件的影响范围及事态的发展及时向应急指挥中心报告，应急指挥中心对于可能造成重大（含）以上的信息安全事件的处置工作进行统一部署并启动相应的应急流程。3） 信息威胁事件的定级对于网络攻击、信息破坏等突发事件，如果事件造成交易中断，则按照交易系统中断事件的定级方法进行定级；没有造成交易中断、未对客户造成影响的，属于一般事件；对客户造成一定影响的则为紧急事件。对于信息内容的安全突发事件，未在社会上造成影响的事件，属于一般事件；造成影响的事件则升级为重大事件。（4） 级别升级信息系统突发事件发生后，依据事件影响时间和影响范围及程度的变化，按照上述定义进行事件级别升级。6.2.2 报告流程（1） 公司内报告流程信息安全事件突发后，应急现场小组应根据突发事件的严重程度，按照事件等级响应流程进行应急响应。1） 紧急（含）以下安全事件的响应流程当分支机构发现系统异常时，分支机构电脑维护岗立即电话报告中心机房值班人员，（中心机房7×24小时值班电话：0755-26418412和0755-26051126），并向分支机构负责人进行报告。中心机房值班人员在接到电话后，马上向信息技术中心负责人汇报，同时通知应急现场小组技术人员查找故障原因，并将故障报告给客户服务中心和事件可能影响到的业务主管部门。2） 重大安全事件的响应流程当信息系统发生重大安全事件时，除执行紧急（含）以下安全事件的报告流程外，信息技术中心负责人须向公司维稳IT工作组组长报告，同时向应急指挥办公室报告；应急现场小组组织进行生产中心技术系统恢复工作的同时，针对技术系统恢复的情况、事件的影响范围及事件发展的态势，对可能升级的事件提前作好切换灾备中心的技术准备工作；应急现场小组应及时向应急指挥中心报告技术系统恢复的情况、事件的影响范围及事件发展的态势，应急指挥中心办公室召集应急指挥中心成员召开紧急会议，从业务影响层面决策事件一旦升级到灾难级别时是否进行灾备切换，决策结果应以书面形式保留；对于突发的重大安全事件，应急指挥办公室负责统一部署启动业务的应急处置、客户安抚、突发事件的信息发布工作。3） 灾难级安全事件的响应流程当发生整个生产中心不能正常运行的灾难故障时，信息技术中心负责人须在第一时间按汇报线向公司应急指挥中心报告技术系统的恢复情况、事件的影响范围及事件发展的态势，由应急指挥中心决策是否启用灾备中心；进行灾备切换时，应急现场小组按照灾备切换流程和应急处理详细步骤恢复既定范围内的业务运作、保障业务连续，各业务部门按照各自制定的灾备切换情况下的业务连续性计划执行。 信息安全事件应急报告线 员工报告流程:公司每名员工在发现信息系统的突发事件后，有责任第一时间向本部门的电脑技术支持人员报告，情况严重时可直接向本部门负责人报告。（2） 协作单位的信息通报总部和分支机构与设备及服务提供商、电信、电力建立和保持联络，签定有关应急处理的服务协议，以保证在信息安全突发事件发生时能及时通报准确情况并获得协作单位的支持，同时各单位负责及时维护相关协作单位联系方式，当发生变动时立即更正。（3） 信息上报要求1） 对公司总裁办的信息报送对于公司出现的重大（含）以上信息安全事件，应急现场小组应按公司要求将有关信息报告上报公司总裁办。2） 对监管部门的信息报送当公司信息系统出现较多投资者采用一种或多种委托方式超过30分钟无法进行正常交易、查询、转账或信息系统发生其他重大故障的，应立即通过电话或电子邮件向深证监局报告，并在2个工作日内提交书面报告；同时，在重要、敏感时期，按有关主管部门要求提交相关报告同时抄送公司总裁办。报告报送人为公司在监管部门备案的联系人。对于公司出现的重大（含）以上信息系统安全事件，由公司总裁办负责报送。（4） 信息发布按照客户解释单一接口原则，信息安全事件突发后，根据事件的严重程度，公司实行单一故障报告接口及解释出口，对于紧急（含）以下的安全事件，由生产中心机房报告给客户服务中心，由客户服务中心统一对公司客户进行解释。同时，分支机构负责按照客户解释单一接口原则的统一口径做好客户解释工作。对于重大（含）以上的信息安全事件，则由总裁办公室协调相关部门负责事件信息的内外通报。6.2.3 应急处理（1） 信息系统故障排查和恢复对于突发的信息安全事件，应急现场小组应遵循突发事件的等级及应急响应流程，快速组织技术人员，启动现场应急处理计划，按照应急处理的详细步骤，相互协调配合，及时、有效地处置信息安全突发事件，尽快恢复系统的正常运行。（2） 业务连续性计划启动对于在事件中受到影响的业务部门及所属分支机构，相关业务部门应启动业务连续性计划，直接参与或指导应急处置工作。6.2.4 应急处置后续工作流程（1） 加强监控工作应急现场小组应制定特别监控计划，在系统恢复运行后加强日常监控工作并做好记录。对于重大级别（含）以上应急事件，特别监控时间至少在1个星期以上；紧急（含）以上应急事件，特别监控时间至少在三个工作日以上。（2） 信息报告应急现场小组在应急处置结束后，应及时将处理信息上报应急现场小组长，由小组长根据事件的级别决定是否需要上报。如事后处理工作需持续一天以上时，应急现场小组应急处理人员需每日将处理进展情况及时向应急现场小组长报告。如系统恢复方案或计划需要重大变更时，按照公司及监管部门的相关要求及时报告，经审核同意后方可实施。对于分支机构的现场应急处置结束后，分支机构的电脑维护岗除按上述流程报告外，应及时向信息技术中心报告。6.2.5 应急响应总结与改进（1） 总结信息安全突发事件应急结束后，应急现场小组应做好事故分析与总结工作。分析总结事件发生现象、事件发生原因、事件影响范围、应急处置过程等，重大（含）以上突发事件应急结束后2个工作日内，向公司总裁办提交总结报告。（2） 持续改进制定信息安全事件应急管理的持续改进计划。信息技术中心应总结应急处置中的不足和问题，通过对应急预案定期评估、修订、演练，专项内部审计等方式，更新和持续改进应急预案，以确保应急预案的有效性。6.3 业务连续性管理业务连续性 6.3.1当承载公司各重要业务系统的IT运行平台局部或全部失效时，受影响的业务部门应按预先制定的业务连续性计划，保证业务的连续运转。6.3.2 经纪业务业务连续性计划当集中交易系统出现信息安全突发事件时，经纪业务部门应根据事件的具体情况，立即采取信息系统突发事件业务应急处理措施，保证业务的继续开展。（1） 客户委托渠道的分流与客户现场交易场地的转移当某种委托渠道或行情系统出现突然中断时，根据业务连续性计划，对客户委托渠道进行分流，引导客户选用未中断的交易系统进行交易；对现场交易在短时间内不能恢复的情况，分支机构应根据客户需要安排转移客户到我公司同城其他分支机构进行交易。（2） 人工报盘当发生整个生产中心不能正常运行的灾难事件且启用灾难备份系统无效时，各业务部门应按照应急指挥中心统一部署，启动交易所场内人工报盘工作流程。6.3.3 清算业务系统业务连续性计划清算业务系统包括法人清算系统、TA系统、资金划付系统。当系统突发信息安全事件时，为保证业务的连续性，按照清算业务系统业务连续性计划采取应急处置措施。（1） 备份机制的启动法人清算系统或TA系统的服务器无法正常运行时，采用切换到备份服务器，在备份服务器上进行清算；若法人清算系统或TA系统通过数据接收平台无法接收到数据时，改为采用其他方式接收数据或邮件方式接收。（2） 通过划款凭证划拨资金由于技术故障或其他原因暂时无法使用IST、PROP系统划款时，与中国结算深圳、上海分公司联系，经同意后使用传真划款凭证方式进行资金的划拨。6.3.4 证券投资部业务连续性计划创元资产管理系统是证券投资部使用的业务系统平台。系统出现运行异常时，可通过现场热自助或网上交易渠道继续进行委托；若总部江苏大厦到生产中心机房的网络连接出现中断，采用到其他分支机构或者通过集中交易柜台方式继续委托；当公司交易系统出现灾难事件且启用灾难备份系统无效时，通过经纪业务部交易所场内红马甲进行人工委托和报盘。6.3.5 投资管理部业务连续性计划创元资产管理系统和恒生交易系统是投资管理部使用的业务系统平台。部门配有独立ups设备，在总部江苏大厦的供电系统出现故障时提供系统的电力保证；部门的交易室配备互联网的专用线路，当总部江苏大厦到生产中心机房的网络连接中断或者系统运行异常时，采用牛网的快速通道或网上交易方式继续委托；当公司交易系统出现灾难事件且启用灾难备份系统无效时，通过经纪业务部交易所场内红马甲进行人工委托和报盘。6.3.6 财务部业务连续性计划财务部日常使用的系统有金蝶财务系统和金手指系统，系统中断后采用如下措施保证业务的连续性：（1） 生产环境不可用时切换到备份环境继续使用；（2） 生产环境和备份环境都不可用时，采取临时搭建金蝶系统环境的方法，将备份的数据恢复到该环境中，在搭建的环境中继续工作。6.3.7 市场部业务连续性计划TRS系统是公司牛网网站日常维护及内容更新的主要工具，如果出现异常，通过信息技术中心协助采用手工更新数据库的方式；当公司内部网络失效、不能访问外网时，媒体发稿、刊登广告等工作通过制作光盘寄送方式实现，或使用无线上网卡，实现与外单位的网上沟通。6.3.8 总裁办公室业务连续性计划公司办公自动化系统中断后，总裁办将采取传统手工办文的方式处理文件流转；采用书面送达或传真形式解决电子邮件系统中断问题；各类通知公告、公司文件则采取邮寄方式、传真方式、电话联系方式，发放至公司各部室及分支机构。6.3.9 理财客户服务系统的连续性计划理财客户服务系统属查询系统，其主要功能为查询客户资料及产品持有情况，不具有交易功能。系统中断或通讯受阻时，理财运营部第一时间通知客户服务中心，对客户关于查询系统的咨询及投诉及时解释和沟通；一旦遇到给客户邮寄对账单时间系统中断，部门联系信息技术中心协助手工导出数据；对于系统提供的其他统计分析功能，系统中断后部门从其他地方取得数据手工进行计算分析。6.4 保障措施应急人员保障 6.4.1信息技术中心应通过建立健全内部安全保障制度，加强信息安全人才培养，明确责任人和职责，细化应急处理措施和流程，提高信息安全防御意识，确保突发事件发生时应急人员的及时到位，增强应急处理能力。6.4.2 技术支撑保障信息技术中心加强日常监控系统平台的建设，从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制，提高安全事件的发现和解决能力。6.4.3 物质条件保障总裁办公室及各有关部门制定预防或应对信息安全事件应急处理工作的物资保障流程，提供必要的交通运输保障。 7、 检查监督7.1 由公司信息技术中心监督8、 支持文件8.1号）9、 记录无 关于部署维护资本市场稳定、加强信息系统安全工作的通知 （招证发2008134