数据安全事件应急预案7273.pdf

数据安全事件应急预案

第一章总则

为建立健全公司数据安全事件应急响应机制，提高应对数据安全事件

的应急处置能力，预防和减少数据安全事件造成的损失和危害，全面提升

公司的数据安全事件应急管理水平，保障公司数据资产安全和用户合法权

益，特制定本预案。

第二章应急响应组织机构

一、公司成立数据安全事件应急响应领导小组，组织构成与职责如下：

（一）数据安全事件应急响应领导小组组长由公司信息安全负责人担

任，组长的职责主要有：

（1）负责公司应急响应的整体协调、指挥和领导工作。

（2）监督公司总体应急管理流程的有效执行。

（3）负责公司应急响应处置总体决策。

（4）负责公司数据安全应急事件的上报。

（二）由信息安全部门负责人担任安全应急响应技术专家，职责主要

有：

（1）对重大数据安全事件进行评估，提出启动应急响应的建议。

（3）分析数据安全事件原因及造成的危害，为应急响应实施提供建

议支持。

（三）由信息安全部门安全技术人员组成应急响应安全技术小组，其

职责主要有：

（1）分析应急响应需求（如风险评估、业务影响分析等）。

（2）编制应急预案文档。

（3）实施应急响应，如应急事件的.分析排查、溯源等。

（4）进行应急预案测试、培训、演练等。

（5）总结应急响应工作，提交应急响应总结报告。

（四）由运维部门技术人员担任应急响应恢复人员，主要职责有：

（1）进行业务系统的灾难恢复。

（2）系统备份与恢复的日常管理。

（3）参与应急预案的测试、培训、演练等。

（4）数据安全事件发生时的损失控制和损害评估。

第三章数据安全事件应急处置

二、数据安全事件处理：

（一）数据泄露事件

数据泄露事件，系统由于受到外部攻击或者内部人员故意泄密等原因，

造成的数据泄露事件。

（1）紧急措施：当发现有数据泄露时，应报告数据安全事件应急响

应领导小组，由应急响应领导小组组织协调人员进行检查，及时防止数据

泄露范围扩大影响。

（2）抑制处理：由应急响应日常运行部门组织协调人员排查系统及

数据库、应用系统等相关日志，及时下线或切断相关业务系统外联网络，

并保留证据，必要时公安机关介入。

（3）根除：应急响应领导小组组织协调相关部门、厂商工作人员对

业务系统和相关日志进行检查，分析事件原因，并进行总结。

（二）数据篡改事件

数据篡改事件，如业务系统不具有数据完整性保护能力，无法确保重

要数据不被篡改，从而可能导致的重要数据被篡改的安全事件。

（1）紧急措施：发现核心数据库数据或业务系统大规模被篡改后，

应立即报送数据安全事件应急响应领导小组，由应急响应领导小组指定数

据库管理员或运维人员进行检查确认，同时启动应急预案，暂停相关业务

服务，并通知相关业务处室。

（3）根除：总结经验教训，分析具体原因，加固核心数据库系统安

全，并报领导小组。

（三）数据丢失事件

数据丢失事件，比如业务系统数据库或业务系统文件、办公文件数据

等被非法删除。

（1）紧急措施：当发现数据丢失时，应立即报告数据安全事件应急

响应领导小组，由应急领导响应小组统一指挥，组织协调相关部门进行检

查，排查数据丢失影响范围，评估对业务的影响。

（2）抑制处理：应急响应领导小组立即组织协相关业务部门、数据

安全工程师等进行解决，从最近的有效备份中恢复数据及业务系统服务。

（3）根除：总结经验，分析具体原因，加固涉敏数据安全处理，并

报告应急领导小组。

三、敏感数据泄露事件应急响应距离：

敏感数据包括：用户个人信息相关数据、用户服务内容相关数据、企

业运营管理相关数据等，当发生数据泄露事件时，各系统应组织人员对事

件进行确认，评估事实与事件影响范围，并启动应急处置措施。

（一）敏感数据泄露事件应急流程如下：

（二）应急工具：

数据备份还原工具、数据恢复工具、日志分析工具、数据库审计系统

等。

（三）应急步骤：

（1）应急启动，当发现黑客通过网络攻击窃取企业核心信息、内部

员工或合作伙伴人员利用职务之便窃取企业机密信息、监控部门发现企业

数据泄露等