一 總則

目的。爲規範世界杯官网應急響應工作內容和流程，提高自身的應急響應能力，完善應急響應機制，確保信息系統的安全和業務的連續性，依據《世界杯官网信息安全管理辦法》制定本管理制度。

對象。本管理制度的對象針對網絡與信息安全突發公共事件和可能導致網絡與信息安全突發公共事件。

範圍。本預案適用于本單位信息安全事件的應急響應工作。當發生重大信息安全事件時，啓動本預案。

要求。世界杯官网信息系统的應急響應預案安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。

二 應急響應策略

1.總體策略

（1）應急響應作爲信息系統故障或發生異常事件的最後一道防線，必須高度重視，從技術、管理等多方面加以應對和處置；

（2）發生異常事件時不慌亂，接受應急響應及處置領導小組的統一管理，嚴密有序的組織應對和處置；

（3）發生泄密事件時，須提高事件處置的等級，優先處理泄密事件；

（4）發生異常事件時，須按照“快速恢複，減少損失”的要求來進行處置，以最快的速度恢複至事件前的狀態，並將事件造成的不良影響降低至最低程度；

（5）按照PDCA模型處理應急響應事件，遵循“應急響應-知識查詢-問題排除-知識庫修複”的操作流程不斷豐富應急響應知識庫，爲全面運行和管理涉密信息系統提供理論支撐和最佳實踐經驗；

（6）每年適當增加應急響應的工作經費，保障應急處置的順利工作；

（7）應急培訓和演練須務實，不留死角。對培訓和演練須不斷進行總結和評估。

2.泄密事件處置策略

（1）堅持預防爲主的策略，最低程度減少泄密事件發生的可能性；

（2）發生泄密事件，首先要采取斷開網絡、改變或終止用戶權限等措施切斷泄密源頭，控制泄密範圍；

（3）發生泄密事件立即用口頭或書面的形式向保密工作部門如實報告；

（4）在對泄密事件處置過程中，防止發生再次泄密事件；

（5）在對系統的泄漏隱患或風險進行重新評估，確認安全後，系統方能重新運行，對事件類型、發生原因、影響範圍、補救措施和最終結果進行詳細紀錄；

（6）處置結束後，要針對本次泄密事件，進行認真總結和分析，防止今後在發生類似事件；

（7）若人爲事故，對泄密責任人須采取處罰措施。

3.數據故障恢複事件策略

（1）首先要判斷清楚故障原因，如分清是邏輯故障還是物理設備故障；

（2）如能簡單恢複，則不需要進行複雜恢複；

（3）確保恢複數據的可用性。在恢複之前，對數據進行可用性測試；

（4）恢複之後必須進行新的數據庫的備份；

（5）針對故障原因，調整數據備份和恢複策略；

（6）針對故障原因，針對硬件設備進行必要的調整和升級；

（7）若人爲事故，對相關責任人員進行教育和處罰。

4.系統故障恢複策略；

（1）分析判斷系統故障的准確原因，是操作不當還是軟件漏洞；

（2）故障原因能夠重現，應詳細記錄故障現象；

（3）分析系統故障原因是否與設置的策略有矛盾和沖突；

（4）系統重新安裝或升級之前做好數據備份以及測試工作，以防無法回退；

（5）系統重新安裝或升級之後須做好策略的調整工作；

（6）若人爲事故，對相關責任人員進行教育和處罰。

5.設備故障恢複策略；

（1）分析判斷是系統故障還是設備故障，若是設備故障，須定位故障設備；

（2）故障原因能夠重現，應詳細記錄故障現象；

（3）故障設備替換之前，須做好數據備份、策略備份；

（4）故障設備在維修之前須查看設備是否涉密，若涉密，則按涉密維修的流程處理；

（5）涉密故障設備在維修之前須先用數據清除等工具徹底清除保密數據；

（6）新設備重新安裝之後，須做好設備的安全策略設置；

（7）對關鍵設備實施冗余配置，提高其運行可靠性；

（8）若人爲事故，對相關責任人員進行教育和處罰。

6.系統運行策略

（1）定期進行數據備份；

（2）不得在系統內安裝非授權的軟件；

（3）不得在系統內接入非授權的設備；

（4）每天進行數據的監控和審計工作；

（5）定期開展信息安全檢查工作；

（6）各類信息或設備的訪問權限須嚴格控制。

（7）針對應用需要，不斷調整和優化詳細安全策略。

（8）定期對系統風險、威脅等進行風險評估。

三 基本原則

1.堅持預防爲主

提高世界杯官网的信息安全防護意識和水平，加強信息系統安全體系建設，按照涉密系統信息系統建設運行的特點和規律積極做好日常安全工作，開展安全教育和培訓工作，建立完善的安全管理、監督和審查制度，提高各部門應對突發信息安全事件的能力。

2.提高快速反應能力

建立信息安全預警和事件快速反應機制，建立高效的事件彙報渠道，強化人力、物力、財力儲備，增強應急處理能力。保證對信息安全事件做到早發現、早報告、早處理、早恢複等環節的緊密銜接，一旦出現影響信息系統的安全事件，快速反應，及時准確處置。

3.加強安全監管

在網絡安全监控系统的基础上，建立完善的信息系统安全监控和管理机制，对数据库服务器、业务系统、应用系统和网络状况进行持续和重点监控，及时发现信息安全隐患和事件迹象，进行安全预警并采取针对性的应对措施。

4.責任到人、制度保障

明確信息安全應急響應工作的角色和職責，保證各項工作責任到人，建立應急響應各項工作的處理流程，實現應急響應工作的規範化、制度化和流程化。

四 組織指揮和職責

世界杯官网成立網絡與信息安全應急響應小組，由張德超任組長，紀文傑任副組長，王學松,羅淮,高寒爲成員。應急響應小組的主要職責與任務是統一領導單位內信息網絡的安全應急工作，處置單位機關內信息網絡的突發事件。

五 應急響應的流程 

1.事件分析

事件分析主要完成如下工作：

（1）在發生信息安全事件後，應急響應小組對事件進行確認。

（2）確認爲信息安全事件後，根據應急處理事件分類規則對事件進行定性、定級和上報。

（3）根據對事件的初步分析，確定應急處理方式，如果應急響應小組以自身力量無法處理的事件，由信息安全領導小組提出應急支援請求。

2.事件處理

事件處理主要包括以下内容：

（1）泄密安全事件發生時，要及時的用口頭或書面的形式向保密工作部門如實報告並上報上級主管部門的保密機構，同時采取斷開網絡、改變或終止用戶權限等措施切斷泄密源頭，控制泄密範圍，並及時對系統隱患進行修補。在對系統的泄漏隱患或風險進行重新評估，確認安全後，系統方能重新運行，對事件類型、發生原因、影響範圍、補救措施和最終結果進行詳細紀錄。

（2）系統運行安全事件發生時，應分析是否存在針對該事件的特定系統預案，如果存在則啓動特定系統應急預案，如果涉及多個特定系統預案，應同時啓動所有涉及的特定系統預案。分析是否存在針對該事件的專題預案，如果存在則啓動專題預案，如果事件涉及多個專題預案，應同時啓動所有涉及的專題預案。

（3）如果沒有針對該事件的應急預案，應根據事件具體情況，采取抑制措施，抑制事件進一步擴散，並根除事件影響，恢複系統運行。

3.結束響應

（1）系统恢复运行后，应急响应小组对事件造成的损失、事件處理流程、应急预案进行评估，对响应流程、预案提出修改意见，撰写事件處理报告。应急响应小组应根据《应急响应管理制度》要求，确定是否需要上报该事件及其处理过程，需要上报的应及时准备相关材料，上报上级机关。

（2）對于蠕蟲、病毒等易造成大範圍傳播的信息安全事件，應及時向應急辦提交預警信息。

（3）應急響應流程結束。

六 不同事件的應急預案

當人爲、病毒破壞或設備損壞的災害發生時，具體按以下順序進行：判斷破壞的來源與性質，斷開影響安全與穩定的信息網絡設備，斷開與破壞來源的網絡物理連接，跟蹤並鎖定破壞來源的IP或其它網絡用戶信息，修複被破壞的信息，恢複信息系統。按照災害發生的性質分別采用以下方案：

1.網站、網頁出現非法言論事件緊急處置措施?

（1）網站、網頁由信息所值班人員負責隨時密切監視信息內容；

（2）發現在網上出現內容被篡改或非法信息時，值班人員立即向本單位信息安全負責人通報情況；情況緊急的，首先中斷服務器網線連接，再按程序報告；?

（3）信息安全相關負責人應在接到通知後立即趕到現場，作好必要記錄，清理非法信息，妥善保存有關記錄及日志或審計記錄，強化安全防範措施，並將網站網頁重新投入使用；?

（4）追查非法信息來源，並將有關情況向本單位信息安全領導小組彙報；

（5）信息安全領導小組召開會議，如認爲事態嚴重，立即向公安部門報警。

2．黑客攻擊事件緊急處置措施??

（1）當發現黑客正在進行攻擊時或者已經被攻擊時，首先將被攻擊的服務器等設備從網絡中隔離出來，保護現場，並將有關情況向信息安全領導小組彙報；

（2）信息安全相關負責人應在接到通知後立即趕到現場，對現場進行分析，並做好記錄，必要時上報主管部門；??

（3）恢複與重建被攻擊或破壞系統；

（4）信息化領導小組召開會議，如認爲事態嚴重則立即公安部門報警。??

3.病毒事件緊急處置措施?

（1）當發現有計算機被感染上病毒後，應立即向信息安全負責任人報告，將該機從網絡上隔離開；

（2）信息安全相關負責人員在接到通報後立即趕到現場，對該設備的硬盤進行數據備份；

（3）啓用反病毒軟件對該機進行殺毒處理，同時通過病毒檢測軟件對其他機器進行病毒掃描和清除工作；

（4）如果現行反病毒軟件無法清除該病毒，應及時向信息安全領導小組報告，並迅速聯系有關産品商研究解決；

（5）信息安全領導小組開會研究，認爲情況嚴重的，立即向公安部門報警。

4.軟件系統遭到破壞性攻擊的緊急處置措施

（1）重要的軟件系統平時必須有備份，與軟件系統相對應的數據必須按容災備份規定的間隔按時進行備份，並將它們保存于安全處；

（2）一旦軟件遭到破壞性攻擊立即將該系統停止，並信息安全負責人報告。 

（3）檢查信息系統的日志等資料，確定攻擊來源，並將有關情況向信息安全領導小組彙報，再恢複軟件系統和數據；

（4）信息安全領導小組召開會議，如認爲事態嚴重，立即向公安部門報警

5.數據庫安全緊急處置措施

（1）對于重要的信息系統，主要數據庫系統應按雙機設備設置，並至少要准備兩個以上數據庫備份，一個備份放在機房，一個備份放在另一安全建築物中；

（2）若數據庫崩潰，值班人員立即啓動備用系統，向信息安全負責人報告；

（3）在備用系統運行期間，信息安全工作人員應對主機系統進行維修並作數據恢複；

（4）如果兩套系統均崩潰而無法恢複，應立即向有關廠商請求緊急支援

6.廣域網外部線路中斷緊急處置措施

（1）廣域網線路中斷後，值班人員應立即向信息安全負責人報告；

（2）信息安全相關負責人員接到報告後，應迅速判斷故障節點，查明故障原因，如書我方管轄範圍，應立即予以恢複，如屬電信部門管轄範圍，立即與電信維護部門聯系，要求恢複。

（3）如有必要，向信息安全領導小組彙報。

7.局域網中斷緊急處置措施

（1）設備管理部門平時應將准備好網絡設備放在指定的位置；

（2）局域网中断后，信息安全相关负责人应立即判断故障节点，查明故障原因并向網絡安全小组汇报；

（3）如屬線路故障，應重新安裝線路，如屬路由器、交換機等網絡設備故障，應立即從指定位置將備用設備去除接上，並調試通暢，如屬路由器、交換機配置文件破壞，應迅速按照要求重新配置，並調試通暢；

（4）如有必要，向信息安全領導小組彙報。

8.設備安全緊急處置措施

（1）服務器等關鍵設備損壞後，值班人員應立即向信息安全小組彙報；

（2）信息安全相關負責人員立即查明原因，如果能夠自行恢複，應立即用備用部件替換受損部件，如屬不能自行恢複的。立即與設備提供商聯系，請求派維護人員前來維修；

（3）如果設備一時不能恢複，立即向信息安全領導小組彙報。

當發生的災害爲自然災害時，應根據當時的實際情況保障數據的安全，在保障人員人身安全的前提下，保障設備安全，如硬盤的拔出與保存，設備的斷電與拆卸、搬遷等。

當發生火災時，若因用電等原因引出火災，立即切斷電源，撥打119報警，組織人員開啓滅火器進行撲救：

1.對于初起火災，現場人員應立即實施撲救工作，使用滅火器實施撲救工作；

2.火勢較大時，應立即撥打119火災報警電話和根據火災情況啓動有關消防設備，通知有關人員到場滅火；

3.在保障人員安全的情況下，保護數據及設備。

七 應急處置演練制度

爲保證應急行動的能力，應每年至少組織一次應急行動演練，以提高處理應急事件的能力，檢驗物資器材的完好情況。

應急響應演練按如下步驟進行：

（1） 由信息安全工作小組確定應急響應演練的目標和應急響應演練的範圍；

（2）按信息安全工作小組要求，由應急響應小組制定應急響應演練的方案；

（3）信息安全工作小組調配應急響應演練所需的各項資源，並協調應急響應演練過程中涉及的部門和單位；

（4）信息安全工作小組組織並監督應急響應小組進行應急演練；

（5）信息安全工作小組對應急演練進行評估，並向信息安全領導小組報告演練結果；

（6）信息安全應急響應小組總結經驗，根據演練結果對應急預案進行更新，並對世界杯官网的應急工作整改。

（7）在应急响应演练结束之后，应急响应小组应针对应急响应工作过程中遇到的问题，分析應急響應預案的科学性和合理性，针对预案中的问题向应急办提出修改建议。信息安全工作小組组织对修改意见进行评估，修改后的预案应经评估通过后，上报信息安全领导小组，经批准后发布实施。

（8）在上級部門預案或相關的法律標准修改後，本預案應進行調整與其保持一致。調整後，信息安全工作小組對其評審，評審通過後上報信息安全領導小組，經批准後發布實施。

八 應急響應總結制度

應急處置結束後，須進行以下工作：

（1）召開應急事件總結會議。

（2）分析異常事件發生的原因，形成信息安全事件原因分析報告。

（3）有關人員編制安全事件處置報告。報告內容包括事件發生事件、地點，監測到時間的事件、地點，事件的處理過程，事件的處理方法，事件造成的影響，可吸取的經驗報告。

（4）對相關責任人員進行嚴肅的批評和教育，指出其工作中的缺陷，並讓其提供總結報告。情節嚴重的，給予書面警告、除名等處罰措施。

（5）針對發生的事件的起因，分析改進的措施和補救方法，從技術和管理上加以改進，堅決杜絕類似事件在今後發生。

（6）技術改進措施：

n 針對脆弱性或漏洞，檢查涉密信息系統的位置，找出並進行改進或加固；

n 改進應急方案內容，使應急方案滿足今後的日常監測和應急需要；

n 增加可能出現故障設備的備份設備，增加單點設備的備份設備；

n 更換或升級經常出故障的産品。

n 對本次應急處理的處理方法進行歸檔，作爲知識庫進行保管。

（7）管理改進措施：

n 修改相關制度和崗位工作任務和職責；

n 落實人員的崗位職責；

n 進一步做好系統的日常運維工作；

n 加強教育，培養人員的安全意識；

n 進一步加強安全檢查，以檢查促安全。

九 保障措施

1.人員保障

人力資源的保障是應急保障措施中的一項重要工作內容。爲了提高應急響應小組的人員素質，應針對本單位的應急響應工作任務，對系統相關的人員進行培訓，知道如何以及何時使用應急計劃中的控制手段及恢複策略，保證執行應急計劃應具有的能力。

在應急響應工作中，各部門工作人員應服從應急辦的統一協調和安排。

2.設備保障

爲保證在發生信息安全事件時應急工具及設備能夠立即投入使用，有效支持應急響應工作，應加強對這些工具及設備的日常維護，保證其隨時處于可用狀態。應急工作中涉及的關鍵設備包括：網絡分析儀、數據恢複工具、流量監控設備。

另外，應急響應小組還應注意跟蹤最新的技術發展動態，收集、整理其他應急響應相關工具，包括文件完整性檢測工具、木馬/後門檢測工具等等。對于病毒庫、脆弱性評估系統插件庫等應及時更新；根據工作需要，應急響應工作缺乏的設備或工具軟件應及時采購。

3.技術資料保障

全面的技術資料是高效的應急響應工作的前提和基礎，應急技術資料是網絡和信息系統重要技術信息，包括網絡拓撲結構、重要系統或設備的型號及配置（操作系統及版本號、應用軟件及版本號等）、主要設備廠商信息、設備使用人員的詳細信息等。這些信息必須及時更新，以保證與實際系統的一致性。

各部門還應根據需要對系統進行風險評估，隨時掌握系統安全狀況和存在的殘余風險。

4.經費保障

財務部門應在每年的財務預算中安排應急響應工作所需網絡與信息安全專項經費。

5.後勤保障

在应急响应工作中，行政部门应做好充分的後勤保障工作，包括应急人员的饮食，交通工具和通信联络等等，确保应急响应工作的顺利开展。

6.可持續保障

應針對計劃的正確性和完整性進行定期檢查，在計劃發生重大變化時應立即檢查；根據業務應用的重要程度的不同，不斷對計劃內容和規程進行評估和完善。

十 應急預案的審查

爲更好的處理安全事件以及可能發生的事件，應對應急預案進行定期的審查與更新。

1.評審方法?

應急預案評審采取形式評審和要素評審兩種方法。形式評審主要用于應急預案備案時的評審，要素評審用于應急預案評審工作。應急預案評審采用符合、基本符合、不符合三種意見進行判定。對于基本符合和不符合的項目，應給出具體修改意見或建議。

（1）形式評審

依據有關規範，對應急預案的層次結構、內容格式、語言文字、附件項目以及編制程序等內容進行審查，重點審查應急預案的規範性和編制程序。

（2）要素評審

依據國家有關法律法規和行業規章，從合法性、完整性、針對性、實用性、科學性、操作性和銜接性等方面對應急預案進行評審。爲細化評審，采用列表方式分別對應急預案的要素進行評審。評審時，將應急預案的要素內容與評審表中所列要素的內容進行對照，判斷是否符合有關要求，指出存在問題及不足。應急預案要素分爲關鍵要素和一般要素

①關鍵要素是指應急預案構成要素中必須規範的內容。包括風險分析、組織機構及職責、報告與處置和應急響應程序等要素。關鍵要素必須符合實際和有關規定。

②一般要素是指應急預案構成要素中可簡寫或省略的內容。包括應急預案中的編制目的、編制依據、適用範圍、工作原則等要素。

2.評審程序?

應急預案編制完成後，應對應急預案進行評審。?

（1）評審准備

成立應急預案評審工作組，成員包括信息安全小組成員、相關負責人及安全管理人員。

（2）組織評審

評審工作由應急預案評審工作組討論並提出會議評審意見。現場處置方案的評審，采取演練的方式對應急預案進行論證。

3.修訂完善。

應急預案編制組織者及參與者應認真組織分析研究評審意見，按照評審意見與實際情況對應急預案進行修訂和完善。

十一 附則

對違反本制度的人員，將按照世界杯官网有關規定進行處罰。

本制度由信息安全工作小組負責制定、解釋和修改。

本制度自發布之日起執行。

世界杯官网信息安全工作小組

2020年10月18日