金融业网络攻击事故应急处置方案 .pdfVIP

金融业网络攻击事故应急处置方案

一、总则

1适用范围

本预案适用于本单位及控股金融机构所辖的银行、证券、保

险、基金等经营网点，因黑客攻击、病毒入侵、勒索软件、DDoS攻

击等网络攻击行为，导致系统瘫痪、数据泄露、业务中断、服务不

可用等情况的应急处置。涵盖网络安全事件等从IV（一般事

件）至I（特别重大事件）的应急响应，重点针对造成核心系统

瘫痪、敏感数据泄露超过100万条，或造成直接经济损失超过500

万元的网络攻击事故。比如某银行因勒索软件攻击导致ATM系统、

网上银行服务持续72小时中断，客户交易数据疑似被窃取，此类事

件需启动三响应程序。

2响应分

2.1分原则

依据攻击类型、影响范围、恢复难度及监管机构要求，将应急

响应分为四个等。一响应适用于攻击导致所有网点交易系统停

摆，核心数据库被篡改，或客户敏感信息泄露超过1000万条，需跨

省协调资源的事故。比如某证券公司遭遇APT攻击，其交易系统、

客户持仓数据被同时破坏，日均交易额超百亿的业务被迫暂停，就

属于一响应范畴。二响应针对单个城市分行系统中断，或数据

第1页共23页

泄露量达100万至1000万条，但未触及核心数据库的事故。三响

应适用于单个网点服务中断，或数据泄露量低于100万条，可通过

备用方案恢复的事故。四响应则针对局部网络设备故障，影响范

围仅限于3个以下网点，且能在8小时内自行修复的事故。

2.2分标准

判定标准包括攻击持续时间、业务影响程度、数据完整性破坏

情况及监管处罚风险。例如某保险公司遭遇DDoS攻击，业务高峰期

交易成功率低于5%,持续时间超过24小时，虽未造成数据损坏，

但因涉及全国32家支行的保险理赔系统，仍需启动三响应。而若

攻击仅导致某地支行网银接口延迟超过1分钟，且能通过流量清洗

服务缓解，则按四响应处理。分时需综合考虑《网络安全等

保护条例》中的关键信息基础设施认定标准，以及银保监会关于金

融数据跨境传输的监管要求。

二、应急组织机构及职责

1应急组织形式及构成单位

成立网络安全应急指挥部，由总行主管信息科技与运营的副总

裁担任总指挥，分管信息科技、运营管理、风险管理的副总裁担任

副总指挥。指挥部下设办公室，常驻信息科技部，负责统筹协调。

核心成员单位包括信息科技部、运营管理部、风险合规部、法律合

规部、财务会计部、人力资源部、品牌公关部、各分行信息科技中

心。根据应急响应需求，指挥部可组建四个专项工作组。

第2页共23页

2应急处置职责

2.1网络安全应急指挥部

负责制定应急响应策略，批准启动或终止应急程序，协调跨部

门资源。总指挥统筹全局，副总指挥分管具体战线。指挥部每季度

召开一次桌面推演会议，评估预案有效性。

2.2应急指挥部办公室

负责信息汇总上报，组织跨部门协作，编制应急处置日报。办

公室主任由信息科技部总监担任，需具备三年以上网络安全管理经

验。办公室需建立攻击事件知识库，收录前五次重大事件的处置方

案。

2.3应急工作小组

2.3.1技术处置组

由信息科技部牵头，包含网络工程师、系统管理员、数据库管

理员、安全分析师。负责隔离受感染网络区域，分析攻击路径，修

复系统漏洞，恢复业务服务。需掌握五家主流安全厂商的应急响应

工具使用方法。

2.3.2业务保障组

由运营管理部牵头，联合各业务部门。负责评估业务影响，调

整交易流程，启用备用系统。需制定《系统停摆时客户服务手册》,

明确ATM动用比例上限为30%o

第3页共