系统应急管理是为了提高信息系统突发事件的处置能力,加强信息系统突发事件应急管理,保证业务持续性。指对计算机系统产生或可能产生较大影响的突发性事件,严重影响或者可能严重影响业务安全稳定运行的紧急事件。
设立应急处置工作小组,全面负责信息系统相关突发事件应急管理,应急组织结构如下图所示:
应急处置工作最高负责人是信息系统突发事件应急响应工作最高领导,主要职责包括:
应急处置工作小组是系统应急日常管理机构,应急处置工作小组主要职责包括:
负责组织信息系统运行面临的安全风险进行分析,提出信息安全应急管理关键指标。
负责组织相关人员编制相关应急预案并组织演习、培训,对应急预案所需的关键技术方案组织审核和实施。
负责应急预案执行全过程的协调、监督,应急预案执行过程中一般性问题的决策。
应急处置工作小组下设应用系统支持小组、数据库支持小组、网络与基础设施支持小组、主机支持小组、外部供应商与专家支持五个专业小组,各专业支持小组主要职责包括:
各专业小组根据自身工作职责制定相应的应急预案,并根据管理要求对应急预案进行演练。
在信息系统突发事件发生后,各专业小组承担应急预案的执行和报告工作。
信息技术部门其他管理及相关工作人员必须坚守岗位,服从应急处置工作小组的有关安排,积极配合事件的处理,同时做好解释工作,及时妥善地处理好应急响应过程中可能引发的各类情况。
应急处置工作小组必要时可以协调包括相关设备供应商、软件服务商、网络运营商、外部专家等外部资源,进行必要的应急处理支持。
信息技术部门维护管理的信息系统中,在系统重要程度分类中属于核心业务系统、重要业务系统、重要基础系统的系统及机房环境基础设施应建立相应的系统应急预案。
应急处置工作小组组织每年进行一次系统风险梳理,识别信息系统所面临的威胁,评估突发事件发生的可能性和现有的控制机制,对事件发生的可能性、影响范围、影响程度、危害性等进行分析,为管理层提供包括可能的业务损失、信息系统恢复范围和指标、控制风险的新措施、恢复业务的技术手段、必须的资金保障等信息。应急预案应根据最新的风险梳理结果制定,要求覆盖所有影响重大的、发生可能性较高的风险,并通过应急演练验证预案的可行性,根据应急演练结果完善应急预案。应针对突发事件的原因、故障点,结合事件的分类和级别,制定详细的信息系统应急恢复操作步骤,以在事件发生时,按计划、有步骤地快速恢复系统,最大限度减少损失。应急恢复操作步骤应包括详细、可执行的处理流程和操作步骤,以及相应的应急联系人电话列表;应急恢复操作步骤必须形成文字,以书面文档形式保存。制定应急恢复操作步骤时,应尽可能评估和确定可能发生的技术事故类别和故障点,充分借鉴以往事故、故障应对步骤的经验,具体写出针对故障点的紧急处理流程和操作步骤,一个故障点可对应多个处理流程和多套并行处理步骤。每年应进行一次应急预案的重新评估和修订,如发生机构、人员、技术等较大变化,应及时调整和修订,应急预案应保留历史版本。
通知与启动为信息系统突发事件应急处理的最初行动,突发事件发生后或预计可能将要发生时,突发事件第一发现人应立即通知应急支持小组成员中系统对应的负责人,快速进入损害评估程序和工作。
接到突发事件报告人的通知后,应急支持小组中相应的系统负责人对事件进行初步判断,对故障和应急情况进行收集、分析、诊断。如符合应急预案的启动条件,系统负责人则按应急预案中定义的报告流程进行事件的报告,详细说明事件的原因、影响范围、潜在损失及预期恢复时间等内容,并给出是否启动应急预案的建议。系统负责人在突发事件报告中得到启动应急预案的许可后,立即进入应急处理恢复流程、执行应急恢复操作步骤。应急预案启动后,应按照预案要求进行突发事件实时报告。对于属于“人为破坏”类的突发事件,应同时向当地公安机关报案。
各级应急支持小组,在接到应急预案启动指令后,应根据应急恢复流程和操作步骤,进行有关技术系统服务恢复工作。
应急处置应以快速恢复业务为第一原则,故障具体原因查找在应急处置结束后进行。事件按既定应急预案进行应急处置后,如不能按时恢复或有扩大发展趋势时,应实施扩大应急行动。事件处理人员应对故障现象、故障原因、故障恢复和应急处理过程进行详细记录。应急支持小组人员必须记录和保存事件现场的数据、设备状态以及其它证据,作为事件后处理的依据。由于现场证据被毁导致事件后不能明确界定事件责任的,要追究相应处理人员的责任,由此带来的损失由该处理人员自行承担。
应急恢复处理完毕,信息系统恢复正常运行后,经应急处置工作小组同意,可确认应急处理结束。
应急恢复处理结束后,应急处置工作小组应组织相关人员及时进行总结,对应急响应过程、应急预案执行情况及处置结果进行评估,总结经验和教训,不断对应急预案进行修订、充实和完善,并加强培训和演练。应急恢复处理结束后,应急处置工作小组向管理层进行处理情况的时事后报告,报告内容至少包括:发生情况、影响程度、处置措施、目前状况、改进措施等。如需进行媒体信息披露,相关工作由媒体公关和法律事务人员按照危机公关进行,未经授权的其他任何人不允许向外界发布有关信息。
在应急预案修订、演练的前后,应急处置工作小组应开展宣传工作,不定期地利用各种安全活动向所有员工宣传信息安全的应急常识和法律法规知识。
针对应急预案,应急处置工作小组应定期或不定期地举办不同层次、不同类型的培训班或研讨会,以便不同岗位的应急人员都能全面熟悉并掌握应急预案体系、处理过程和技术技能。应急处置工作小组应对应急预案组织定期演练(每个预案每三年至少演练一次),以检验应急预案各环节之间的通信、协调、指挥是否符合快速、高效的要求。并通过演练,进一步明确各应急小组的职责,对预案中存在的问题和不足及时补充、完善。应急处置工作小组在应急演练过程中和过程过后,应详细记录演练各阶段的结果和发现的问题,以备后续总结、改进。应急处置工作小组在演练后应对演练结果组织参与人员进行总结,找出现有系统中的问题并进行整改,同时对应急预案进行优化完善。