信息泄漏事件应急预案

XXXX公司信息泄漏事件应急预案2019年12月文档控制更改记录日期作者版本更改参考2019-12-51.0文档初稿1一、总则第一条目的本预案为信息泄漏事件处理专项预案，其目的主要是为了进一步规范对信息泄漏事件的处理方法和处理程序，提高对此类安全事件的反应速度。第二条基本原则1．防范为主，加强监控。通过加强信息安全防范意识，加强数据保密和数据防泄漏技术措施，完善信息泄漏事件的日常监测、发现机制，及时采取有效的应对措施，迅速控制事件影响范围，力争将损失降到最低程度。从而缓解信息泄漏安全威胁。2．以人为本，协同作战。把保障公共利益以及本单位和其他组织的合法权益的安全作为首要任务。相关部门协同配合、具体实施，及时获取充分而准确的信息。通过跟踪研判，果断决策，迅速处置，以最大程度地减少危害和影响。3．规范操作，常备不懈。加强技术储备，规范信息泄漏应急处置措施与操作流程，确保应急预案切实有效，实现信息泄漏突发事件应急处置的科学化、程序化与规范化。第三条适用范围本预案适用于本单位中遇到信息泄露情况下的应急响应工作。二、术语与定义第四条信息泄漏信息泄漏（databreach）是一类安全事件，在事件中敏感的、受2保护的或机密的数据有可能被未经授权的个人或组织剽窃、盗走或使用。泄漏的数据可能包括个人隐私信息、个人验证信息、商业秘密或知识产权等。数据外泄最常见的方法是攻击者侵入企业主机或网络窃取敏感数据，但也可能是内部人员将一些敏感信息在有意或者无意的情况下泄漏出去。三、事件处置阶段第五条服务器被入侵造成信息泄漏处置方案（1）运维或者安全组发现服务器出现异常，经初步检查判断遭受黑客渗透攻击或者控制后，立即启动应急预案。（2）运维小组判断该服务器下线是否影响业务（是否单点），如不影响业务则立刻下线该服务器，如影响关键业务不能立即下线也应向领导汇报情况，并进行网络隔离等切断外网访问。（3）安全人员对数据库操作和查询日志、服务器进程、服务器和网络日志、可疑文件等进行排查，检查是否有信息泄漏。如发现有信息泄露，应立刻向领导汇报情况，并进行应急处理。同时根据已有攻击方式和可疑文件等，整理出排查方式，交运维人员对其他服务器进行安全排查，对可能遭受跳板攻击的服务器进行重点排查。（4）对所有的服务器进行排查，确认是否遭受攻击，是否有信息泄漏。对所有遭受攻击的服务器进行处理和清除，确保3安全。如不能保证处理安全，建议重装系统后上线。（5）注意对各种日志和恶意文件进行备份，如事态严重，可能需要在向领导和中心请示后向公安部门报警。（6）紧急处置完成后，还应进行后续安全加固工作，对内外部系统进行风险分析，对存在的问题进行整改和加固，不能立即解决的问题应排期处理，确保无风险隐患残留。第六条数据库业务数据泄密处置方案（1）在数据库操作日志，数据库审计日志排查中发现业务数据泄密，或在外网上发现XX业务数据泄漏之后，需要立即向领导汇报，并成立应急响应小组协同工作。（2）对泄露的数据进行分析，快速定位排查泄露来源，（3）对数据泄露源进行详细排查分析，修补安全薄弱环节和漏洞，防止进一步泄露所造成危害。（4）紧急处置完成后，还应进行后续安全加固工作，对内外部系统进行风险分析，对存在的问题进行整改和加固，不能立即解决的问题应排期处理，确保无风险隐患残留。（5）由公司或中心领导层决策是否发布对外事故声明第七条内部人员信息泄露处置方案（1）主要的泄密风险除了黑客攻击、木马病毒等外部因素外，内部员工泄密以及内部管理措施缺失等内部因素成为引发的数据泄密事件的也是一个重要因素。（2）内部员工无意泄露信息：员工在浏览网页或卸载软件时，4很容易感染木马病毒，导致电脑数据泄漏。对这种情况，应及时按照病毒处置程序，定位发生问题的电脑，立即断网进行处理，最好是重装系统，并进行全网排查。同时对全体员工进行信息安全意识培训，提供防护意识。（3）内部员工有意泄露机密信息：一部分员工出于利益诱惑，盗取公司重要数据文件，卖给竞争对手。对于这种情况，立即收集日志信息，判断泄漏人员，并立即限制其账号和权限并汇报领导。情节严重时在向领导和中心请示后向公安部门报警。（4）紧急处置完成后，还应进行后续安全加固工作，对核心数据和敏感数据进行加密存储，增加数据库审计等防护措施。四、业务恢复阶段第八条完成病毒、木马、攻击文件的清除工作后，应立刻加固系统和进行漏洞补丁升级使系统避免受再次受到相同攻击。第九条立刻对其他系统进行安全排查，检查数据库访问日志和审计日志，有无恶意文件和异常进程等，确保无其他系统遭受攻击或信息泄漏。第十条建立系统的安全基线。在确认被彻底根除之后，恢复经过安全加固后的应用系统或服务器的网络连接，并进行严密监控，特别注意监控数据库访问日志。5五、总结分析阶段第十一条信息泄漏事件处理完成后，进行事件报告撰写，总结经验教训。第十二条全面排查各内外部系统，理清信息泄漏隐患，对关键核心数据和个人隐私数据等需进行加密存储和防泄漏措施，对存在高安全隐患的系统先切断互联网连接，待整改后再开放。第十三条为提高应急处理的速度，提高应急响应小组成员对信息泄漏事件处理的熟练程度，应定期对信息泄露处置流程进行演练。第十四条演练结束后应对操作规程进行评估，应根据数据加密和防泄漏技术的发展和系统的变化及时对规程进行修订，修订后的规程经评审通过后发布生效。六、附件附件1.应急响应小组成员名单姓名部门及职务电话手机邮件备注附件2.相关机构和联系方式机构名称联系人联系电话邮件6