数据安全事件应急预案

秦风学

  数据安全事件应急预案 篇1

  第一章总则

  为建立健全公司数据安全事件应急响应机制,提高应对数据安全事件的应急处置能力,预防和减少数据安全事件造成的损失和危害,全面提升公司的数据安全事件应急管理水平,保障公司数据资产安全和用户合法权益,特制定本预案。

  第二章应急响应组织机构

  一、公司成立数据安全事件应急响应领导小组,组织构成与职责如下:

  (一)数据安全事件应急响应领导小组组长由公司信息安全负责人担任,组长的职责主要有:

  (1)负责公司应急响应的整体协调、指挥和领导工作。

  (2)监督公司总体应急管理流程的有效执行。

  (3)负责公司应急响应处置总体决策。

  (4)负责公司数据安全应急事件的上报。

  (二)由信息安全部门负责人担任安全应急响应技术专家,职责主要有:

  (1)对重大数据安全事件进行评估,提出启动应急响应的建议。

  (2)研究分析数据安全事件的相关情况及发展趋势,为应急响应提供咨询或提出建议。

  (3)分析数据安全事件原因及造成的危害,为应急响应实施提供建议支持。

  (三)由信息安全部门安全技术人员组成应急响应安全技术小组,其职责主要有:

  (1)分析应急响应需求(如风险评估、业务影响分析等)。

  (2)编制应急预案文档。

  (3)实施应急响应,如应急事件的.分析排查、溯源等。

  (4)进行应急预案测试、培训、演练等。

  (5)总结应急响应工作,提交应急响应总结报告。

  (四)由运维部门技术人员担任应急响应恢复人员,主要职责有:

  (1)进行业务系统的灾难恢复。

  (2)系统备份与恢复的日常管理。

  (3)参与应急预案的测试、培训、演练等。

  (4)数据安全事件发生时的损失控制和损害评估。

  第三章数据安全事件应急处置

  二、数据安全事件处理:

  (一)数据泄露事件

  数据泄露事件,系统由于受到外部攻击或者内部人员故意泄密等原因,造成的数据泄露事件。

  (1)紧急措施:当发现有数据泄露时,应报告数据安全事件应急响应领导小组,由应急响应领导小组组织协调人员进行检查,及时防止数据泄露范围扩大影响。

  (2)抑制处理:由应急响应日常运行部门组织协调人员排查系统及数据库、应用系统等相关日志,及时下线或切断相关业务系统外联网络,并保留证据,必要时公安机关介入。

  (3)根除:应急响应领导小组组织协调相关部门、厂商工作人员对业务系统和相关日志进行检查,分析事件原因,并进行总结。

  (二)数据篡改事件

  数据篡改事件,如业务系统不具有数据完整性保护能力,无法确保重要数据不被篡改,从而可能导致的重要数据被篡改的安全事件。

  (1)紧急措施:发现核心数据库数据或业务系统大规模被篡改后,应立即报送数据安全事件应急响应领导小组,由应急响应领导小组指定数据库管理员或运维人员进行检查确认,同时启动应急预案,暂停相关业务服务,并通知相关业务处室。

  (2)抑制处理:使用备份数据恢复数据后重新启动服务,并立即追查原因。如属外部攻击原因的,应立即通过日志等分析攻击来源,必要时请公安机关介入。

  (3)根除:总结经验教训,分析具体原因,加固核心数据库系统安全,并报领导小组。

  (三)数据丢失事件

  数据丢失事件,比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。

  (1)紧急措施:当发现数据丢失时,应立即报告数据安全事件应急响应领导小组,由应急领导响应小组统一指挥,组织协调相关部门进行检查,排查数据丢失影响范围,评估对业务的影响。

  (2)抑制处理:应急响应领导小组立即组织协相关业务部门、数据安全工程师等进行解决,从最近的有效备份中恢复数据及业务系统服务。

  (3)根除:总结经验,分析具体原因,加固涉敏数据安全处理,并报告应急领导小组。

  三、敏感数据泄露事件应急响应距离:

  敏感数据包括:用户个人信息相关数据、用户服务内容相关数据、企业运营管理相关数据等,当发生数据泄露事件时,各系统应组织人员对事件进行确认,评估事实与事件影响范围,并启动应急处置措施。

  (一)敏感数据泄露事件应急流程如下:

  (二)应急工具:

  数据备份还原工具、数据恢复工具、日志分析工具、数据库审计系统等。

  (三)应急步骤:

  (1)应急启动,当发现黑客通过网络攻击窃取企业核心信息、内部员工或合作伙伴人员利用职务之便窃取企业机密信息、监控部门发现企业数据泄露等情况时,启动应急预案。

  (2)数据泄露确认,当发现数据泄露时,立即组织人员核实数据泄露情况,确认数据泄露影响范围,并定位数据库IP、关联业务等,根据泄密的用户信息判断哪些业务的用户信息被泄露。

  (3)应急处置:

  1)如有备份系统,应迅速切换到备用系统,并将在线设备脱网,作好安全审计及系统恢复的准备;

  2)若无备份系统,则请示应急领导小组组长将相关系统进行下线处理,防止数据进一步泄露。

  (4)事件排查分析:

  1)通过将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断

  2)进一步分析系统日志、数据库日志等,确定安全事件发生的原因、窃取过程及可能造成的影响。

  3)若发现是内部员工或支撑厂商人员造成数据泄露,必要情况下,立即组织人人员现场开展调查,通过分析内部员工或支撑厂商计算机的系统痕迹记录(浏览器痕迹、软件使用痕迹、U盘使用痕迹等),进一步收集和分析相关证据。

  4)日志分析外,还应分析数据收集链路、数据下载、数据分发等情况的审批记录,进一步分析处置措施,确认安全事件发生的原因、窃取过程及可能造成的影响。

  (5)风险消除:

  1)及时修复发现的安全漏洞

  2)对数据进行加密传输,根据数据敏感级别进行加密存储,并对前台敏感数据进行脱敏处理。

  3)定期开展数据安全流程制度落实情况安全检查及漏洞检查。

  4)定期组织内部员工、支撑厂商人员开展安全意识培训。

  5)定期开展安全合规检查和安全审计工作

  第四章安全事件应急保障

  四、应急响应保障是数据安全应急预案的重要组成部分,是保证数据安全事件发生后能够快速有效地实施应急预案的关键要素。

  (一)人力保障:人力保障由公司数据安全事件应急响应领导小组统一规划和管理。数据安全应急保障人员及联系方式,详见附件。

  (二)技术保障:公司通过建立应急响应安全技术小组来进行为应急响应技术保障,应急响应领导小组应依据应急响应的需要,制定数据安全事件技术应对表,全面考察和管理相关技术基础,选择合适的技术服务者,明确职责和沟通方式。定期开展数据安全相关技术研究,不断完善“事前可防范、事中可阻断、事后可追溯”的数据安全技术保障体系,开展对数据安全事件的预警、预测、预防和应急处理的技术研究,加强技术储备。

  (三)物质保障:包括通信保障、资金保障等,应急响应工作中产生的所有物质、资金需求由应急响应领导小组统一统筹提供。

  数据安全事件应急预案 篇2

  为进一步加强数据中心用电管理工作,提升数据中心应对突发市电失电事件的应急反应速度和处置能力,快速、高效处理停电事件,最大限度减少市电停电对数据中心运营带来的影响,确保数据中心基础设施安全、有效运营,特制订此预案。

  应急处置预案启动条件:

  全部市电停电且停电时间超过15分钟仍未恢复,全部市电停电,是指数据中心所属市电全部供电电源进线未事先声明的、非检修、突发性事故或遭人为破坏等原因导致停电。

  应急方案执行原则如下:

  1、沉着、冷静,紧密配合,团结协作。

  2、当启动应急预案时,需及时通知进驻各业务单位做好启用网元应急方案的准备。

  3、先联系确认停电原因与时间,再确定应采取的进一步方法与步骤。

  4、先确认设备当前状态,再进行下一步操作。

  5、在进行相关应急保障操作时,先进行操作,后接打问询电话进行解释、说明。

  应急处理流程如下:

  1、确认单路或全部市电停电。直流操作电源告警声响、一般照明灯熄灭、事故照明灯处于电池放电照明状态,或动环监控值班人员电话通知时,应立即检查各高压输入柜的电压表电压指示,确认是否处于单路或全部市电停电状态。

  2、通讯联系。确认单路或全部市电停电后,值班人员应协同配合,按照应急预案采取应急措施。应急处置完毕后,应及时与本地区供电公司电话联系,通话时应问清停电的路由、原因、范围、预计停电时长,以及对方的姓名,以备日后记录和查询。及时通知应急保障小组成员及总协调人进行故障上报,通知数据中心入驻单位做好采取进一步措施的准备。

  3、应急物资

  (1)应急照明设备

  (2)高低压配电系统结构图

  (3)设备维护手册

  (4)各种柜门钥匙

  4、应急处置流程(以双路市电停电,高压油机单边送电,低压联络自投自复为例)

  (1)确认双路停电,市电进线断路器跳闸。

  (2)检查油机自启后并机是否成功。

  (3)如并机不成功需排除故障,完成手动并机。

  (4)油机并机成功,将单边高压油机进线断路器摇到合闸位,合高压油机进线断路器。

  (5)将市电进线断路器摇出。

  (6)高压操作结束,检查油机运行状态,记录相应数据,同时电话询问供电公司停电原因及时长。

  (7)检查低压配电设备联动是否正常,设备是否运行正常。

  (8)检查空调系统冷水机组、水泵及末端空调是否工作正常。

  (9)检查油库油位,是否需要通知供油单位及时补充燃料。