应急预案管理制度

应急预案管理制度
第一章 总则
第一条 为了提高深圳市乐的文化股份有限公司（以下简称“乐的文化”）网络及业务系统持续有效的运行能力，在加强日常维护工作的同时，必须建立和维护应急预案管理体系，特制订此制度。

第二条 本制度适用于乐的文化的所有信息系统。

第二章 应急组织和职责
第三条 信息安全领导小组会应结合各系统的实际人员和组织情况，明确相应的安全管理员和应急小组成员，并确定安全管理员以及应急小组的名单和各项职责。

第四条 应急预案的制定，应急的处理和响应等工作涉及的组织和人员包括：

信息安全领导小组会：主要负责全年应急工作的整体原则把控，是安全事故爆发时的决策层面；
信息安全领导小组会：制定有关应急处理工作的制度，并检查其落实情况；
信息安全应急响应工作组：制定具体的应急流程和应急措施，并组织应急响应工作；
应急小组：落实和安排相关应急工作的具体事项；
安全管理员：安全事件的发现和汇报人员，并记录和总结整个事件响应过程，做技术沉淀。
第五条 信息安全领导小组会负责安全事故的应急指挥和决策。

第三章 应急预案制定原则
第六条 各业务系统应急计划的制定必须由信息安全应急响应工作组和安全管理员共同制定，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。

第七条 安全应急预案的制定原则：

(一) 完整性原则：应急预案的制定必须完整，要覆盖应急处理的全方位与全过程，并涵盖实施应急的全部业务及相关机构、人员；

(二) 关键业务优先原则：在分析业务的优先等级、风险危害程度的基础上，优先保证重要业务应用的持续运作；

(三) 可操作性原则：应急措施必须明确、具体、切实、易行，操作对象与步骤必须有准确、详细的描述；

(四) 可恢复性原则：应急计划中确定的各项处理措施必须为应急后的系统恢复提供必需的数据与资料，符合系统恢复所必须的基本处理逻辑，以便对业务系统进行有效恢复，保证系统恢复后的正常运行；

(五) 责任明确原则：应急计划要明确各级领导、各业务部门、监管部门、信息部门及其他各部门所属人员的职责，以保证计划实施过程中责任的落实，并最大限度地降低风险。

第八条 各业务系统应急计划需要在评估、测试以及认证后，由信息安全领导小组进行批准，批准各系统应急计划可用，可以在紧急安全事件发生后启用。

第九条 各业务系统应急计划需要在批准后对计划中涉及的相关人员进行培训。

第十条 各业务系统应急计划需要定期组织相关的部门和人员进行演练，至少保证每年一次进行演练。

第十一条 各业务系统应急计划在演练后，应对计划进行评估，作出相应的修订和完善，对应急计划进行更新。

第四章 应急预案启动条件
第十二条 应急计划启动的基本条件为：

(一) 当各系统发生安全事件时，要及时启动应急计划中的组织人员和应急措施；

(二) 针对各业务系统，确认具备启动应急计划所必须的物质等后备支援条件，且启动应急计划可能带来的风险在可控制的范围之内。

第十三条 应急计划终止的基本条件为：

(一) 确认故障已排除，安全事件已解决，可恢复正常工作状态；

(二) 确认在应急计划实施过程中的业务已得到有效恢复。

第五章 应急措施
第十四条 由于各种业务系统存在多样性，安全事件的形式存在多样性，因此在选择应急措施的时候要严格确保业务系统的可用性，采用在最短的时间能够恢复系统的措施为优先应急措施。

第十五条 各业务系统应急计划中的应急措施须经过严格的评估与测试，确认其内容的可操作性、完整性和时效性。

第十六条 各业务系统的根据各自的特点需要定制各自的应急措施，但应急措施应至少包括以下内容：

(一) 预防和准备措施：预防和准备性措施是应急措施的重要内容，它可以降低系统的风险或降低系统发生故障时的破坏性，有利于尽快恢复系统的运行。主要有以下内容：

a) 设备冗余：根据风险分析结果，对可能导致安全故障的单点故障的设备，考虑采用设备冗余的措施，避免设备的单点故障；

b) 安全产品部署：根据风险评估结果，对存在的安全弱点进行分析，选用合适的控制措施，通过技术和管理的手段消除安全弱点。需要在各业务系统部署网络安全产品，提供防御和检测安全事件的作用，有效降低安全风险；

c) 日常运行维护：需要制定日常安全维护作业计划，加强日常运行维护管理，按照操作规程做好各业务系统的运行管理，确保各业务系统正常运行；

d) 数据备份措施：在进行数据备份时，应对备份的数据进行测试，确保数据的可靠、有效、便于恢复，同时，应根据具体系统，备份适当时间段和关键日期的数据，保证在发生系统故障导致数据破坏时，可以用于恢复或更换的系统，为有关的机构、需求者或接受者能简单、准确地恢复被破坏的记录，数据备份完成后应予以安全保护；

e) 资源准备措施：应急过程中，如何能够可靠获取和合理分配资源，需要有清醒的判断和详细的计划。首先是人力资源，应确定内部技术应急人员、操作人员和外部支持人员名单，明确其职责，落实可靠的联络和交通措施，确保能够按要求及时到位；同时，应保证系统在进行修复或更替时所需的测试、运行和恢复环境，包括系统的硬件、软件、接口和数据等。

(二) 监控措施：

a) 对各系统的运行状况进行跟踪监控，对故障高发部位实施重点监控，及时发现险情或隐患；

b) 及时分析各系统的日志，及时发现可疑的安全事件；

c) 采用各种监控措施对已经发生的安全事件进行判断并追查踪迹。

(三) 安全技术措施：技术措施是指在发生安全事件的时候，根据安全事件的特点和状态分析，制定可能采用的技术措施，通常采用的技术措施包括：

a) 关闭主机系统的非业务端口；

b) 关闭网络系统的非业务端口；

c) 控制网络的访问等。

(四) 紧急恢复措施：紧急修复措施是指系统发生故障时，根据业务需要在规定的时间内尽快修复故障并恢复正常运行的措施。紧急修复措施应根据导致系统中断的原因和系统风险情况具体制定。通常采用的紧急修复措施包括：

a) 备份数据修复措施；

b) 备份系统启用措施；

c) 备份设备启用措施；

d) 备份网络启用措施。

(五) 部分替换和替换措施：部分替换和替换是指系统发生故障时，通过部分替换或替换系统的组成部分，维持系统的基本运行。部分替换和替换措施也以资源准备为前提，应与业务和操作人员确认业务和操作的流程和有关计算方法。

第六章 网站、网页出现非法言论时的紧急处置措施
第十七条 网站、网页由安全管理员负责随时密切监视信息内容。

第十八条 发现在网上出现非法信息时，安全管理员应及时通报相关情况;情况紧急的，应先及时采取删除等处理措施，再按程序报告。

第十九条 系统管理员接到通知后，第一时间做好必要记录，及时清理非法信息，强化安全防范措施，并将网站网页重新投入使用。

第二十条 将有关情况向信息安全领导小组会通报，妥善保存有关记录及日志或审计记录。

第二十一条 应急小组应组织力量追查非法信息来源。

第二十二条 安全管理员和系统管理员会商后，将有关情况向信息安全领导小组会汇报有关情况。

第二十三条 信息安全领导小组如认为情况严重，则立即向单位领导汇报。

第二十四条 如认为事态严重，则立即向公安部门网监部门报警。

第七章 黑客攻击时的紧急处置措施
第二十五条 当发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，安全管理员应通报情况。

第二十六条 系统管理员应及时响应，获取相关情况，及时向信息安全领导小组汇报，同时应将被攻击的服务器等设备从网络中隔离出来，保护入侵证据。

第二十七条 系统管理员负责被攻击或破坏系统的恢复与重建工作。

第二十八条 应急小组负责组织力量追查非法信息来源。

第二十九条 安全管理员将有关情况向信息安全领导小组会汇报有关情况。

第三十条 信息安全领导小组如认为情况严重，则立即向单位领导汇报。

第三十一条 如认为事态严重，则立即向公安部门或上级机关报警。

第八章 病毒安全紧急处置措施
第三十二条 当发现有计算机被感染上病毒后，应立即向安全管理员报告，并将该机从网络上隔离开来。

第三十三条 安全管理员接到通报后，应在十分钟内赶到现场。

第三十四条 对该设备的硬盘进行数据备份。

第三十五条 启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他机器进行病毒扫描和清除工作。

第三十六条 如果现行反病毒软件无法清除该病毒，应迅速联系有关产品厂商研究解决。

第三十七条 认为情况严重的，应立即向信息安全领导小组会汇报。

第三十八条 信息安全领导小组经会商后，认为情况极为严重的，应立即向公安部门报告。

第九章 软件系统遭破坏性攻击的紧急处置措施
第三十九条 重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份;并将它们保存于安全处。

第四十条 一旦软件遭到破坏性攻击，系统管理员收到安全管理员通知后，应将该系统停止运行。

第四十一条 系统管理员负责软件系统和数据的恢复。

第四十二条 检查日志等资料，确定攻击来源。

第四十三条 认为情况严重的，应立即向信息安全领导小组汇报。

第四十四条 信息安全领导小组认为情况极为严重的，应立即向公安部门报告。

第十章 数据库安全紧急处置措施
第四十五条 在有条件的区域，主要数据库系统应按双机热备设置，并至少要准备两个以上数据库备份，平时一个备份放在机房，另一个备份放在另一安全的建筑物中。

第四十六条 一旦数据库崩溃，应立即启动备用系统。

第四十七条 在备用系统运行期间，系统管理员应对主机系统进行维修。

第四十八条 如果两套系统均崩溃，系统管理员应立即向软硬件提供商请求支援，同时通知各相关单位。

第四十九条 系 统修复启动后，将第一个数据库备份取出，按照要求将其恢复到主机系统中。

第五十条 如因第一个备份损坏，导致数据库无法恢复，则应取出第二套数据库备份加以恢复。

第五十一条 如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

第十一章 广域网外部线路中断紧急处置措施
第五十二条 信息部相关负责人员接到线路中断报告后，应迅速判断故障节点，查明故障原因。

第五十三条 如属我方管辖范围，由网络管理员立即予以恢复。

第五十四条 如属电信部门管辖范围，立即与电信维护部门联系，要求修复。

第十二章 局域网中断紧急处置措施
第五十五条 信息部平时应准备好网络备用设备，存放在指定的位置。

第五十六条 局域网中断后，信息部相关负责人员应立即判断故障节点，查明故障原因，并向信息部领导汇报。

第五十七条 如属线路故障，应重新安装线路。

第五十八条 如属路由器、交换机等网络设备故障，应立即从指定位置将备用设备取出接上，并调试通畅。

第五十九条 如属路由器、交换机配置文件破坏，应迅速按照要求重新配置，并调测通畅。

第六十条 如有必要，应向信息安全领导小组汇报。

第十三章 设备安全紧急处置措施
第六十一条 小型机、服务器等关键设备损坏后，信息部相关负责人员立即查明原因。

第六十二条 如果能够自行恢复，应立即用备件替换受损部件。

第六十三条 如属不能自行恢复的，立即与设备提供商联系，请求派维护人员前来维修。

第六十四条 如果设备一时不能修复，应将有关情况通报有关部门及人员。

第十四章 关键人员不在岗的紧急处置措施
第六十五条 对于关键岗位平时应做好人员储备，确保一项工作有两人能够操作。

第六十六条 一旦发生关键人员不在岗的情况，首先应向信息部领导汇报情况。

第六十七条 经信息部领导批准后，指派备用人员上岗操作。

第十五章 应急保障措施
第六十八条 确保人员能够胜任应急处置工作，在人员保障方面应达到以下要求：

（1）确保应急处置人员具备应急工作必要的技术资质，定期组织人员培训以满足应急处置的要求，并定期进行应急演练，保证应急处置人员的熟练度。

（2）确保主、备岗机制的落实。

（3）确保主、备岗人员定期进行互换。

第六十九条 由信息部负责与各部门协调沟通并建立有效的物质保障机制，确保在应急响应过程中不会因物质缺乏而导致应急处置中断或延长应急处置时间。

第七十条 建立有效的技术保障机制，确保在应急响应过程中不会因技术能力缺乏而导致应急处置中断或延长应急处置时间。在技术保障方面应达到以下要求：

（1）建立应急事件预警沟通联络机制，确保及时发现应急事件，并及时通知有关人员启动应急响应。

（2）明确相关厂商的技术支持服务水平，确保应急处置过程中相关厂商能够提供及时有效的技术支持。

第七十一条 应采取必要的通讯保障措施，确保应急响应通讯及时有效。在通讯保障方面应达到以下要求：

（1）适时更新各级应急管理机构联络人和联络方式。

（2）建立多种通讯渠道，避免单一通讯风险，并明确各通讯渠道使用的优先顺序。

第十五章 应急教育和培训
第七十二条 定期对应急预案进行培训，形成应急预案培训记录表。

第七十三条 定期对应急预案进行测试和演练，确保其有效性，形成应急预案演练记录表。

第七十四条 应急执行小组应制定年度信息系统应急演练计划，明确演练的时间、内容、依据、目的、负责人和相关配合机构等要素。演练计划应涵盖对应急预案各环节的检验，验证应急预案的有效性、应急资源的完备性及应急人员的适应性，每年至少应组织一次应急演练。

第七十五条 应急执行小组在应急演练的过程中，对可能存在较大风险的演练，应在实施演练前将应急演练方案和计划报应急领导小组审批。

第七十六条 应急演练结束后，应急执行小组应组织编写应急演练情况总结报告，重大应急演练的总结报告应报告应急领导小组审阅。总结报告内容包括但不限于：应急演练目的、总体方案、参与人员、准备工作、主要过程和关键时间点记录、存在的问题、后续改进措施及实施计划、演练结论等。

第七十七条 应急执行小组应根据演练总结报告提出的改进措施进行整改，并及时完善相应的应急预案。

第十六章 附则
第七十八条 本制度所对应的门店，店长作为第一责任人执行和负责。

第七十九条 本制度由信息部负责解释并督促执行。

第八十条 本制度自印发之日起实行。