數據安全事件應急預案

第一章 總 則

為建立健全公司數據安全事件應急響應機制，提高應對數據安全事件的應急處置能力，預防和減少數據安全事件造成的損失和危害，全面提升公司的數據安全事件應急管理水平，保障公司數據資產安全和用戶合法權益，特制定本預案。

第二章 應急響應組織機構

一 公司成立數據安全事件應急響應領導小組，組織構成與職責如下：

（一）數據安全事件應急響應領導小組組長由公司信息安全負責人擔任，組長的職責主要有：

（1）負責公司應急響應的整體協調、指揮和領導工作。

（2）監督公司總體應急管理流程的有效執行。

（3）負責公司應急響應處置總體決策。

（4）負責公司數據安全應急事件的上報。

（二）由信息安全部門負責人擔任安全應急響應技術專家，職責主要有：

（1）對重大數據安全事件進行評估，提出啟動應急響應的建議。

（2）研究分析數據安全事件的相關情況及發展趨勢，為應急響應提供咨詢或提出建議。

（3）分析數據安全事件原因及造成的危害，為應急響應實施提供建議支持。

（三）由信息安全部門安全技術人員組成應急響應安全技術小組，其職責主要有：

（1）分析應急響應需求（如風險評估、業務影響分析等）。

（2）編制應急預案文檔。

（3）實施應急響應，如應急事件的分析排查、溯源等。

（4）進行應急預案測試、培訓、演練等。

（5）總結應急響應工作，提交應急響應總結報告。

（四）由運維部門技術人員擔任應急響應恢復人員，主要職責有：

（1）進行業務系統的災難恢復。

（2）系統備份與恢復的日常管理。

（3）參與應急預案的測試、培訓、演練等。

（4）數據安全事件發生時的損失控制和損害評估。

第三章 數據安全事件應急處置

二 數據安全事件處理：

（一）數據泄露事件

數據泄露事件，系統由于受到外部攻擊或者內部人員故意泄密等原因，造成的數據泄露事件。

（1）緊急措施:當發現有數據泄露時，應報告數據安全事件應急響應領導小組，由應急響應領導小組組織協調人員進行檢查，及時防止數據泄露范圍擴大影響。

（2）抑制處理:由應急響應日常運行部門組織協調人員排查系統及數據庫、應用系統等相關日志，及時下線或切斷相關業務系統外聯網絡，并保留證據，必要時公安機關介入。

（3）根除:應急響應領導小組組織協調相關部門、廠商工作人員對業務系統和相關日志進行檢查，分析事件原因，并進行總結。

（二）數據篡改事件

數據篡改事件，如業務系統不具有數據完整性保護能力，無法確保重要數據不被篡改，從而可能導致的重要數據被篡改的安全事件。

（1）緊急措施:發現核心數據庫數據或業務系統大規模被篡改后，應立即報送數據安全事件應急響應領導小組，由應急響應領導小組指定數據庫管理員或運維人員進行檢查確認，同時啟動應急預案，暫停相關業務服務，并通知相關業務處室。

（2）抑制處理:使用備份數據恢復數據后重新啟動服務，并立即追查原因。如屬外部攻擊原因的，應立即通過日志等分析攻擊來源，必要時請公安機關介入。

（3）根除:總結經驗教訓，分析具體原因，加固核心數據庫系統安全，并報領導小組。

（三）數據丟失事件

數據丟失事件，比如業務系統數據庫或業務系統文件、辦公文件數據等被非法刪除。

（1）緊急措施:當發現數據丟失時，應立即報告數據安全事件應急響應領導小組，由應急領導響應小組統一指揮，組織協調相關部門進行檢查，排查數據丟失影響范圍，評估對業務的影響。

（2）抑制處理:應急響應領導小組立即組織協相關業務部門、數據安全工程師等進行解決，從最近的有效備份中恢復數據及業務系統服務。

（3）根除:總結經驗，分析具體原因，加固涉敏數據安全處理，并報告應急領導小組。

三 敏感數據泄露事件應急響應距離：

敏感數據包括：用戶個人信息相關數據、用戶服務內容相關數據、企業運營管理相關數據等，當發生數據泄露事件時，各系統應組織人員對事件進行確認，評估事實與事件影響范圍，并啟動應急處置措施。

（一）敏感數據泄露事件應急流程如下：

（二）應急工具：

數據備份還原工具、數據恢復工具、日志分析工具、數據庫審計系統等。

（三）應急步驟：

（1）應急啟動，當發現黑客通過網絡攻擊竊取企業核心信息、內部員工或合作伙伴人員利用職務之便竊取企業機密信息、監控部門發現企業數據泄露等情況時，啟動應急預案。

（2）數據泄露確認，當發現數據泄露時，立即組織人員核實數據泄露情況，確認數據泄露影響范圍，并定位數據庫IP、關聯業務等，根據泄密的用戶信息判斷哪些業務的用戶信息被泄露。

（3）應急處置：

1）如有備份系統，應迅速切換到備用系統，并將在線設備脫網，作好安全審計及系統恢復的準備；

2）若無備份系統，則請示應急領導小組組長將相關系統進行下線處理，防止數據進一步泄露。

（4）事件排查分析：

1）通過將遭受攻擊的主機上系統日志、應用日志等導出備份，并加以分析判斷

2）進一步分析系統日志、數據庫日志等，確定安全事件發生的原因、竊取過程及可能造成的影響。

3）若發現是內部員工或支撐廠商人員造成數據泄露，必要情況下，立即組織人人員現場開展調查，通過分析內部員工或支撐廠商計算機的系統痕跡記錄（瀏覽器痕跡、軟件使用痕跡、U 盤使用痕跡等），進一步收集和分析相關證據。

4）日志分析外，還應分析數據收集鏈路、數據下載、數據分發等情況的審批記錄，進一步分析處置措施，確認安全事件發生的原因、竊取過程及可能造成的影響。

（5）風險消除：

1）及時修復發現的安全漏洞

2）對數據進行加密傳輸，根據數據敏感級別進行加密存儲，并對前臺敏感數據進行脫敏處理。

3）定期開展數據安全流程制度落實情況安全檢查及漏洞檢查。

4）定期組織內部員工、支撐廠商人員開展安全意識培訓。

5）定期開展安全合規檢查和安全審計工作

第四章 安全事件應急保障

四 應急響應保障是數據安全應急預案的重要組成部分，是保證數據安全事件發生后能夠快速有效地實施應急預案的關鍵要素。

（一）人力保障：人力保障由公司數據安全事件應急響應領導小組統一規劃和管理。數據安全應急保障人員及聯系方式，詳見附件。

（二）技術保障：公司通過建立應急響應安全技術小組來進行為應急響應技術保障，應急響應領導小組應依據應急響應的需要，制定數據安全事件技術應對表，全面考察和管理相關技術基礎，選擇合適的技術服務者，明確職責和溝通方式。定期開展數據安全相關技術研究，不斷完善“事前可防范、事中可阻斷、事后可追溯”的數據安全技術保障體系，開展對數據安全事件的預警、預測、預防和應急處理的技術研究，加強技術儲備。

（三）物質保障：包括通信保障、資金保障等，應急響應工作中產生的所有物質、資金需求由應急響應領導小組統一統籌提供。