数据泄露应急演练方案3

第一章总则

为建立健全公司数据安全事件应急响应机制，提高应对数据安全事件的应急处置能力，预防和减少数据安全事件造成的损失和危害，全面提升公司的数据安全事件应急管理水平，保障公司数据资产安全和用户合法权益，特制定本预案。

第二章应急响应组织机构

一、公司成立数据安全事件应急响应领导小组，组织构成与职责如下：

（一）数据安全事件应急响应领导小组组长由公司信息安全负责人担任，组长的职责主要有：

（1）负责公司应急响应的整体协调、指挥和领导工作。

（2）监督公司总体应急管理流程的有效执行。

（3）负责公司应急响应处置总体决策。

（4）负责公司数据安全应急事件的上报。

（二）由信息安全部门负责人担任安全应急响应技术专家，职责主要有：

（1）对重大数据安全事件进行评估，提出启动应急响应的.建议。

（2）研究分析数据安全事件的相关情况及发展趋势，为应急响应提供咨询或提出建议。

（3）分析数据安全事件原因及造成的危害，为应急响应实施提供建议支持。

（三）由信息安全部门安全技术人员组成应急响应安全技术小组，其职责主要有：

（1）分析应急响应需求（如风险评估、业务影响分析等）。

（2）编制应急预案文档。

（3）实施应急响应，如应急事件的分析排查、溯源等。

（4）进行应急预案测试、培训、演练等。

（5）总结应急响应工作，提交应急响应总结报告。

（四）由运维部门技术人员担任应急响应恢复人员，主要职责有：

（1）进行业务系统的灾难恢复。

（2）系统备份与恢复的日常管理。

（3）参与应急预案的测试、培训、演练等。

（4）数据安全事件发生时的损失控制和损害评估。

第三章数据安全事件应急处置

二、数据安全事件处理：

（一）数据泄露事件

数据泄露事件，系统由于受到外部攻击或者内部人员故意泄密等原因，造成的数据泄露事件。

（1）紧急措施：当发现有数据泄露时，应报告数据安全事件应急响应领导小组，由应急响应领导小组组织协调人员进行检查，及时防止数据泄露范围扩大影响。

（2）抑制处理：由应急响应日常运行部门组织协调人员排查系统及数据库、应用系统等相关日志，及时下线或切断相关业务系统外联网络，并保留证据，必要时公安机关介入。

（3）根除：应急响应领导小组组织协调相关部门、厂商工作人员对业务系统和相关日志进行检查，分析事件原因，并进行总结。

（二）数据篡改事件

数据篡改事件，如业务系统不具有数据完整性保护能力，无法确保重要数据不被篡改，从而可能导致的重要数据被篡改的安全事件。

（1）紧急措施：发现核心数据库数据或业务系统大规模被篡改后，应立即报送数据安全事件应急响应领导小组，由应急响应领导小组指定数据库管理员或运维人员进行检查确认，同时启动应急预案，暂停相关业务服务，并通知相关业务处室。

（2）抑制处理：使用备份数据恢复数据后重新启动服务，并立即追查原因。如属外部攻击原因的，应立即通过日志等分析攻击来源，，必要时请公安机关介入。

（3）根除：总结经验教训，分析具体原因，加固核心数据库系统安全，并报领导小组。

（三）数据丢失事件

数据丢失事件，比如业务系统数据库或业务系统文件、办公文件数据等被非法删除。

（1）紧急措施：当发现数据丢失时，应立即报告数据安全事件应急响应领导小组，由应急领导响应小组统一指挥，组织协调相关部门进行检查，排查数据丢失影响范围，评估对业务的影响。