计算机系统应急预案

第一章 总则

第一条 为妥善应对和处置计算机信息系统突发事件，保障信息系统的正常运行，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网安全保护管理办法》等有关法规文件精神，结合自身实际，特制定本应急预案。

第二条 以维护信息化系统正常运行为目的，按照“预防为主，快速处置”的原则，进一步完善信息系统管理机制，提高突发事件的应急处置能力。

3,...第二章 应急领导机构和职责4,...第三条 信息科为计算机信息系统事故处理应急领导机构，负责领导、统一协调、组织开展计算机信息系统应急管理工作，紧急处理计算机信息系统重大应急事件和隐患。信息科负责计算机信息系统事故应急处理的日常事务，主要工作是：

1.承担计算机信息系统事故应急处理工作，负责相关部门的协调联络工作，负责向

单位提出建议。

2.发生重大计算机信息系统突发事件时，负责启动本预案，下达应急保障任务，指挥全局应急保障行动，及时向相关部门报告有关情况。

3.负责实施各项应急措施，定期开展和部署应急预案的演练、培训工作。

4.根据

单位下达的命令和指示，负责组织指挥、协调应急保障行动，完成应急保障任务。第三章 应急措施与处理流程 第四条 应急措施

(一)加强对

单位员工的安全教育和引导，提高防范意识。

(二)严格执行计算机日常管理制度，规范专网和外网的管理。

(三)建立健全重要数据及时备份和灾难性数据恢复机制。严格按照计算机信息网络安全管理规定要求，认真做好日常数据备份工作，以防发生数据灾难时对信息系统进行恢复重建。

(四)采取多层次的有害信息、恶意攻击防范与处理措施。

单位计算机管理人员为第一层防线，发现有害信息保留原始数据后及时删除;总经办为第二层防线，负责对所有信息进行监视及信息审核，发现有害信息后，在及时处理的同时向单位汇报。

(五)网站、网页出现非法言论事件紧急处置措施

1.信息安全技术人员负责随时密切监视信息内容，发现在网上出现非法信息时，应立即向

信息科负责人报告；情况紧急的，在保留原始信息后，应先采取删除等处理措施，再按程序报告。2.信息安全技术人员应在接到报告后立即赶到现场，做好必要记录，清理非法信息，妥善保存有关记录及日志，强化安全防范措施，并将网站网页重新投入使用。

3.追查非法信息来源，并将有关情况向领导小组办公室负责人汇报。

4.领导小组办公室负责人召开会议，如认为事态严重，应立即向领导小组报告，并向政府信息化主管部门报告和公安部门报警。

(六)黑客攻击事件紧急处置措施

1.当信息安全技术人员发现网页内容被篡改，或通过入侵检测系统发现有黑客正在进行攻击时，应首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并立即向

单位报告情况。

2.信息安全技术人员对现场进行分析，并写出分析报告存档，必要时上报政府信息化主管部门和公安网络监管部门。

3.恢复与重建被攻击或破坏的计算机信息系统。

4.如认为事态严重，则立即向

单位报告，并向政府信息化主管部门报告和公安网络监管部门报警。

(七)病毒事件紧急处置措施

1.当信息安全技术人员发现有计算机被感染上病毒后，应立即将该机与网络隔离。

2.信息安全技术人员对该计算机进行数据备份。

3.启用反病毒软件对该机进行杀毒处理，同时通过病毒检测软件对其他该网络中的计算机进行病毒扫描和清除工作。

4.如果现行反病毒软件无法清除该病毒，应立即向

信息科负责人报告，并迅速联系有解决能力的软件厂商研究解决。

5.如认为事态严重，则立即向

单位报告，视情况向政府信息化主管部门报备或向公安部门报警。

6.病毒清除，通过专业检测后，隔离的设备可重新投入使用。

(八)软件系统遭破坏性攻击的紧急处置措施

1.重要的软件系统日常维护时必须指定专人负责，将它们备份并保存于安全处。

2.一旦软件遭到破坏性攻击，信息安全技术人员应立即向

信息科报告，并将该系统停止运行。

3.信息安全技术人员检查信息系统的日志等资料，确定攻击来源，并将有关情况向

单位汇报，再恢复软件系统和数据。

4.如认为事态严重，则立即向

单位报告，视情况向政府信息化主管部门报告或向公安部门报警。

(九)数据库安全紧急处置措施

1.主要数据库系统应按要求做好数据库备份。

2.一旦数据库崩溃，信息安全技术人员应立即启动备用系统，并向项目负责人报告。

3.在备用系统运行期间，信息安全工作人员应对主机系统进行维修并作数据恢复。

4.如果系统崩溃而无法恢复，技术员应立即向项目负责人汇报，并联系有解决能力的厂商请求紧急支援。

5.如认为事态严重，则立即向

单位报告。

(十)广域网外部线路中断紧急处置措施

1.信息安全技术人员接到报告后，应迅速判断故障节点，查明故障原因。

2.如属政府信息办或线路提供部门管辖范围，立即与政府信息办或线路提供维护部门联系，要求修复。

3.线路中断，信息安全技术人员应在判断故障节点，查明故障原因后，尽快研究恢复措施，并立即向项目负责人汇报，同时做好故障记录。

4.如认为事态严重，则立即向单位报告，同时应向政府信息化主管部门汇报，并向线路提供部门发函通报。

(十一)局域网中断紧急处置措施

1.信息化管理机构应指定人员负责对网络设备的日常管理工作。

2.局域网中断后，信息安全技术人员应立即判断故障节点，查明故障原因，并向负责人汇报，同时做好故障记录。

3.如属线路故障，应与运营商联系维护。

4.如属路由器、交换机等网络设备故障，信息安全技术人员应立即更换故障设备，并调试通畅。

5.如属路由器、交换机配置文件破坏，信息安全技术人员应迅速按照要求重新配置，并调测通畅。

6.如认为事态严重，则立即向单位报告，并视情况向政府信息化主管部门和公安信息安全部门汇报。

(十二)设备安全紧急处置措施

1.服务器等关键设备损坏后，信息安全技术人员立即查明原因。

2.如果能够自行修复，应立即用备件替换受损部件。

3.如属不能自行修复的，立即与设备提供商联系，要求派维护人员立即前来维修。

4.如果设备一时不能修复，应立即向项目负责人汇报。

5.如认为事态严重，则立即向

单位报告，由领导小组提出相关处理意见。

(十三)节假日、举行重大活动和发生重大事件时，信息安全技术人员应对整个网络的运行进行监控并及时删除各类非法信息。

(十四)信息安全技术人员要切实做好计算机网络设备的防雷、防盗和防非法接入。若有以上情况发生，应向项目负责人汇报。

(十五)信息安全技术人员应定时对本级计算机机房主机及其网络通信线路进行检查，时刻关注机器指示灯与工作状态。严禁任何人员在未经项目负责人同意下对主机的网络通信线路做出任何改动，坚决杜绝对其进行随意开关。

(十六)信息安全技术人员对网络设备进行配置后要及时进行保存，并将配置资料备份交本级信息化管理机构进行妥善管理，当网络交换设备发生故障后，应先关掉其电源并与上级部门进行联系进行设备更换。(十七)电源管理。未经本级信息化管理机构负责人同意不得随意关闭机房用机电源，如需对电源进行维修，应先告知相关管理人员关闭计算机。在计算机工作时，不得对电源线路做任何改动。各级干部职工不得违反不间断电源（UPS）的操作规程，在其上连接无关的用电设备。信息技术工作人员应随时注意不间断电源控制设备上的运行状况，如发现运行状况出现异常，应立即报告相关负责人。如遇突然停电，应及时通知相关管理人员，视情况对用电设备进行限制使用。(十八)防火设施的管理。定期对灭火器材进行检查，保障正常使用。按照灭火器材上的使用时间，定期进行更换。发生火情时，应及时拨119进行求救并向相关领导报告。（十九）制冷设备管理。各 级卫生部门如有专用计算机房或计算机（数据）中心的，应配备专用制冷设备。机房中放置温度、湿度监控装置，管理人员要随时密切注意温度和湿度的指数。如制冷设备出现故障，应及时通知相关人员，将机房中正在运行的设备降低至最小功耗或关闭，减少发热源，同时应联系制冷设备厂商及时解决故障。

（二十）其他不可预见的灾害事件。在条件允许的情况下，将该备份移至距本地100公里外的地方保存。不可预见的灾害发生后，启动本预案，并按程序进行灾后计算机信息系统重建工作。

其它没有列出的不确定因素造成的灾害，可根据安全、稳定、可靠、可行原则，结合具体的情况，做出相应的处理。不能自行解决的可以请求相关的专业人员协助处理。

第四章 应急结束

第五条 当突发危害和故障结束，或相关危险因素已基本得到控制或消除，即可结束应急响应。

第六条

单位要认真总结应急响应工作，对实施预案中发生的问题进行研究改进，进一步完善预案措施，并在结束响应后3日内以书面形式向单位汇报。

第七条 对出色完成应急任务、为应急工作做出重大贡献的单位和个人，由各单位应急处理机构予以表彰奖励。

第八条 对不按照本预案规定执行应急工作任务，或应急处理处置不力、玩忽职守、贻误工作、对应急工作造成危害的，根据情节轻重，对直接责任人及主要负责人给予相应的行政处分，对有关单位予以通报批评；构成犯罪的，由司法部门依法追究刑事责任。

第五章 附则

第九条 本办法由信息科制定，由信息科负责解释和维护管理。

第十条 信息科对制度中没有明文规定的员工错误行为，有权参照制度中相近或类似条款进行处罚。

第十一条 信息科可根据单位的发展变化，随时提出对单位各项制度进行修改，并在指定的时间实施，新制度生效后，同类旧制度自动作废。

第十二条 本规定自2017年1月1日起执行。