江西师范大学信息安全应急响应制度
作者:    更新日期:2017-05-29    访问次数:

 

第一章 总则
第一条为加强江西师范大学在发生严重和重大信息安全事件时的应急响应能力,提高网络及业务系统持续有效的运行能力,制定本制度。
第二条本制度适用于江西师范大学各学院、处(室、部、馆),各直属单位,规范信息系统的应急响应管理。
第三条应急处理领导小组:
应急处理领导小组是应急处理实施的指挥机构。指挥和协调计算机系统应急处理工作,在应急程序启动期间,指挥和协调应急处理过程,并向上级部门汇报情况。
组长:丁晖
成员:黄保文 黄再霖 伍复康 李 伟 张朝光李建亮 郭 斌
第四条值班巡检小组:
职责:根据日常值班制度对网络和信息系统进行巡检和监控,发现问题时及时根据预案启动应急流程。
由各学院、处(室、部、馆),各直属单位安全管理员、网络管理员、系统管理员、终端维护员、机房管理员、介质管理员、数据库管理员、应用管理员组成。
第五条应急处理小组:
职责:执行应急处理措施,向应急领导小组汇报处理过程和结果,并填写应急处理记录。
组长:郭斌
由徐高翔、陈洪涛负责指导,各学院、处(室、部、馆),各直属单位安全管理员、网络管理员、系统管理员、终端维护员、机房管理员、介质管理员、数据库管理员、应用管理员组成。
第六条系统运维小组:
职责:在非应急状态下负责系统的功能更新、安全加固,并根据环境配置变化及时更新应急处置手册并进行培训。
由各学院、处(室、部、馆),各直属单位安全管理员、网络管理员、系统管理员、终端维护员、机房管理员、介质管理员、数据库管理员、应用管理员组成。
第四章 应急事件及分类等级
根据事件的特点及事件发生造成的影响,将应急事件分为三级:A级为重大应急事件、B级为较大应急事件、C级为一般应急事件。
类型
主要指征
应急事件级别
安全入侵
网页文字和图片被篡改
A
服务器被检测出木马程序
A
DNS劫持
A
网络攻击
A
巡检中发现系统账号或日志记录异常
B
 
 
 
应用系统故障
无法正常访问系统
B
巡检过程中发现系统内存、CPU、磁盘空间利用率异常
B
服务器指示灯报警
C
监控平台未发现服务器设备
B
服务器设备加电后无法正常开机
B
巡检过程中发现服务器其他硬件故障
B
 
网络故障
与系统有关的网络数据包流量异常
B
网络中断
B
 
其他故障
紧急情况造成停机、机房断电、火警
A
计划外的设备检修、网络调试
C
 
第七条安全事件信息来源主要有以下两类:
1、监控系统,日志审计监测到的网络与信息安全事件信息。
2、由一般信息安全事件处置流程认定或升级后的信息安全事件。
第八条应急信息处理可按以下程序进行:
(一)确定事件类型
(二)事件报告
根据事件的类型向应急处理领导小组汇报情况。
(三)事件的处理
根据不同类型事件进行处理。
1.A类事件:
1)值班人员立即上报应急处理领导小组,此后每小时报告一次进展,并采取紧急措施备份可疑文件,保护现场,断开连接,同时通知应急处理小组进入现场。
2)应急处理小组通过分析日志,检查现场方式排查原因并制定恢复方案,经领导小组同意后实施。
3)完成恢复工作后,经请示应急处理领导小组同意后,重新接入网络启用应用服务。
4)故障解决后连续监测1小时。
2.B类事件:
1)值班人员通知应急处理小组,经应急处理人员核实后,安排处理,并向应急处理领导小组报告,此后每2小时报告一次进展。
2)应急人员视情况请示进入现场处理。
3)向应急处理领导小组通报处理过程和结果。
4)故障解决后连续监测1小时。
3.C类事件:
1)值班人员通知应急小组,经应急人员核实后,安排处理,并向应急处理领导小组通报。
2)应急人员根据应急处理领导小组的协调安排进场维护,此后每4小时报告一次进展。
3)现场处置。
4)每4小时向应急处理领导小组通报一次处理过程和结果。
第九条    每次事件处理完,要对事件进行分析和评估,形成报告。报告应包括事件发生时间、参与人员、采取的措施和效果、事件损失评估、经验教训等内容。
第十条    各业务系统必须制定详细的业务应急保障计划,向运维管理小组提交和备案。
第十一条各业务系统应急措施的制定要严格确保业务系统的可用性,采用在最短的时间能够恢复系统的措施为优先应急措施。
第十二条各业务系统应遵循《安全事件应急响应流程》,处置突发安全事件。
第十三条运维管理小组要按照职责分工和相关预案,切实做好应对信息安全事件的人力、物力、财力等保障工作,保证应急响应工作和恢复重建工作的顺利进行。
第十四条信息系统所属单位应牵头组织制定应急预案,并定期培训、审查、修改完善和定期演练,以确保应急预案的可操作性和适用性。应急预案的培训应至少每年举办一次。
第十五条应根据不同的应急恢复内容,确定演练的周期。
第十六条与本制度相关的其他文件及表单包括:
1、《安全事件报告》
第十七条本制度自发布之日起执行。
第十八条本制度的解释和修改权属于信息安全领导小组。
第十九条信息安全领导小组每年统一检查和评估本制度,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本制度进行检查和更新。