数据安全应急预案.pdfVIP

数据安全应急预案

一、数据泄露事件

数据泄露事件，系统由于受到外部攻击或者内部人员故意泄密等

原因，造成的数据泄露事件。

1.紧急措施：当发现有数据泄露时，应报告数据安全事件应急响应领

导小组，由应急响应领导小组组织协调人员进行检查，及时防止数据

泄露范围扩大影响。

2.抑制处理:由应急响应日常运行部门组织协调人员排查系统及数据

库、应用系统等相关日志，及时下线或切断相关业务系统外联网络，

并保留证据，必要时公安机关介入。

3.根除:应急响应领导小组组织协调相关部门、厂商工作人员对业务

系统和相关日志进行检查，分析事件原因，并进行总结。

二、数据篡改事件

数据篡改事件，如业务系统不具有数据完整性保护能力，无法确

保重要数据不被篡改，从而可能导致的重要数据被篡改的安全事件。

1.紧急攢施:发现核心数据库数据或业务系统大规模被篡改后，应立

即报送数据安全事件应急响应领导小组，由应急响应领导小组指定数

据库管理员或运维人员进行检查确认，同时启动应急预案,暂停相关

业务服务，并通知相关业务处室。

2.抑制处理:使用备份数据恢复数据后重新启动服务，并立即追查原

因。如属外部攻击原因的，应立即通过日志等分析攻击来源，，必要

时请公安机关介入。

3.根除:总结经验教训，分析具体原因,加固核心数据库系统安全，并

报领导小组。

三、数据丢失事件

数据丢失事件,比如业务系统数据库或业务系统文件、办公文件数

据等被非法删除。

1.紧急措施:当发现数据丢失时，应立即报告数据安全事件应急响应

领导小组，由应急领导响应小组统一指挥，组织协调相关部门进行检

查，排查数据丢失影响范围，评估对业务的影响。

2.抑制处理：应急响应领导小组立即组织协调相关业务部门、数据安

全工程师等进行解决，从最近的有效备份中恢复数据及业务系统服务。

3.根除:总结经验，分析具体原因，加固涉敏数据安全处理，并报告

应急领导小组。

四、敏感数据泄露事件应急响应距离

敏感数据包括：用户个人信息相关数据、用户服务内容相关数据、

企业运营管理相关数据等，当发生数据泄露事件时，各系统应组织人

员对事件进行确认，评估事实与事件影响范围，并启动应急处置措施。

1.敏感数据泄露事件应急流程如下：

应急工具：

数据备份还原工具、数据恢复工具、日志分析工具、数据库审计系统

等。

应急步骤：

1.1应急启动，当发现黑客通过网络攻击窃取企业核心信息、内部员

工或合作伙伴人员利用职务之便窃取企业机密信息、监控部门发现企

业数据泄露等情况时，启动应急预案。

1.2数据泄露确认，当发现数据泄露时，立即组织人员核实数据泄露

情况，确认数据泄露影响范并定位数据库IP、关联业务等，根据泄

密的用户信息判断哪些业务的用户信息被泄露。

应急处置：

1.3如有备份系统，应迅速切换到备用系统，并将在线设备脱网，作

好安全审计及系统恢复的准备，若无备份系统，则请示应急领导小组

组长将相关系统进行下线处理，防止数据进一步泄露。

1.4事件排查分析：

1）通过将遭受攻击的主机上系统日志、应用日志等导出备份，并加

以分析判断；

2）进一步分析系统日志、数据库日志等，确定安全事件发生的原因、

窃取过程及可能造成的影响。

3）若发现是内部员工或支撑厂商人员造成数据泄露，必要情况下，

立即组织人员现场开展调查，通过分析内部员工或支撑厂商计算机的

系统痕迹记录（浏览器痕迹、软件使用痕迹、U盘使用痕迹等），进

一步收集和分析相关证据。

4）日志分析外，还应分析数据收集链路、数据下载、数据分发等情

况的审批记，进一步分析处置措施，确认安全事件发生的原因、窃取

过程及可能造成的影响。

1.5风险消除：

1）及时修复发现的安全漏洞；

2）对数据进行加密传输，根据数据敏感级别进行加密存储并对前台

敏感数据进行脱敏处理；

3）定期开展数据安全流程制度落实情况安全检查及漏洞检查；

4）定期组织内部员工、支撑厂商人员开展安全意识培训；

5）定期开展安全合规检查和安全审计工作。