如何正确构建应急预案体系？｜附模版

探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

■作者：Smart

■编辑：王贤智

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.020

如何正确构建应急预案体系？｜附模版

 ▽

关于安全应急预案写了2篇文章，数据守望专栏No.005《看了逾百份安全应急预案，我总结了这些精华！》，专栏No.006《数据安全应急预案的最佳实践｜全套模版》，更多从应急预案实践角度给出了企业实践思路，给出了具体的操作模版。

实际工作中，发现很多人对应急预案的理解存在很多偏差，有必要从理论视角重新认识“应急预案”，对“预案”的理解进行拉齐，并尝试从企业视角如何构建IT应急预案体系。

除了《数据安全法》，在各个行业中数据安全管理办法中必备的内容之一“安全监测和应急预警体系”，也是作为安全最核心的工作之一。

拆解其中的工作内容包括：

1.安全监测。通过安全防护技术建立安全监测机制，能够发现正在进行的攻击、发现数据泄露等。

2.应急预案。企业需要建立应急预案、重要业务系统需要建立应急预案。应急预案需要定期的评审和更新；预案需要组织涉及的人员进行培训，熟悉预案的流程、职责、协同分工内容。

3.应急处置的指引。发生安全事件后，通过技术监测后，需要进行应急响应、事件初步分析和判断，接下来就是应急处置动作，即开展阻断和恢复。应急事件通常是指发生比较大的事情，参与其中的人员大部分都比较紧张，甚至“发蒙”状态，这时候需要应急预案的引领，即在平时冷静状态下，大家齐心协力经过一轮轮讨论，形成一个可操作可实践的“应急预案”。

另一个好处是，当第一应急联系人无法联系，第二联系人参照应急预案可以进行操作。

本人在2012年遇到整个机房断电情景，十余个全国业务系统无法提供业务服务，回忆的当时的情景，整个人都是“懵懵”状态，不知道接下来该从哪里开始，甲方、软件商、设备商、机房运营方等现场乱成一锅粥。

那会机房都是SUN、IBM、HP等“小机服务器”，机房断电后很多系统无法正常启动，还有磁盘阵列、网络设备、光纤交换机等，很多需要通过RS232串口登入,配置波特率9600等。 

USB转RS-232串口线（图片来自互联网）

经历这件事情后，领导组织大家进行复盘总结：

（1）每个系统必须写一份应急预案。预案的核心内容之一，模拟业务系统的标准的开机顺序和关机顺序，梳理过程中的先后顺序。预案的内容需要到可操作级别，比如硬件服务器如何登入，哪些应用程序需要先启动。

（2）所有应用程序、文件系统的挂载，必须配置随系统自启动脚本，避免系统启动后，关键应用未自启动。

（3）“编写一键启动脚本”。为了快速恢复，把相关应用程序尽量实现“一键启动脚本”、“一键关停脚本”，出现极端情况，只需要执行一条命令。

（4）优先恢复业务可用，再考虑数据追回。这是领导当时灌输的“正确观念”，非常重要。

上述个人的应急经历，属于应用级应急预案，属于高可用性的应急场景，并非安全类应急预案。

安全类应急预案是指发生安全事件如何进行处置的预案，比如遭到网络攻击、勒索病毒、数据泄漏、篡改破坏完整性等情形。

安全类应急预案包括网络安全事件应急预案和数据安全应急预案场景，虽然最新的“《信息安全技术 信息安全事件分类分级指南》，GB/Z 20986-2023”把数据安全事件作为网络安全事件的一大类。

有很多人把问题排查和故障排查误认为是应急场景。实际上真正要启动“应急预案”启动条件的处置情况非常少，大部分都是“问题和小故障级别”，通过问题排查流程即可。

根据个人理解，IT应急预案是一个体系文件，设计了一个《IT应急预案体系1.0》,说明如下：

（1）一级：方针策略

• 《企业网络和数据安全责任制》明确企业的第一责任人（通常企业第一领导）和直接责任人（通常分管网络和数据安全的责任人。

1. 通常需要建立“网络和数据安全委员会（安委会）”：负责领导企业重大网络安全事件处置，研究解决网络安全事件重要问题，指导网络安全事件舆情管理，与相关安全主管部门沟通重大事项。
2. 建立网络和数据安全委员会办公室（安委办）网络和数据安全工作管理和监督检查等。

• 《企业网络和数据安全策略》主要描述企业网络安全架构体系、安全目标、策略、机制、企业风险容忍度等，比较粗颗粒的安全要求，往往不经常更新。

（2）二级：管理办法

• 《网络和数据安全管理办法》针对企业网络和数据安全的管理目标、适用范围、原则、主要安全要求，网络安全和数据安全方面各自重要工作流程和要求描述，违反之后的处罚规则等，整体内容颗粒度仍然较粗。
• 《应急管理实施办法》针对应急管理方面的特定管理要求和目标，比如应急预案的建立、应急培训机制、应急处置流程、安全事件的分类分级等，以提要求为主，企业按照要求进行落实，并不需要具体的应急预案内容。
• 《集团层面安全应急预案》很多集团的业务是需要上下联动，比如电信领域集团作为安全安全事件的收口，需要调度省公司进行处置，这类业务需要建立集团级的应急预案，预案内容需要描述上下游的关系与职责分工，通常以流程图方式进行呈现应急处理中资源协调、反馈。
• 《企业级安全应急预案》更多是指企业层面角度看需要在企业内部多个部门联动协调，明确各自的职责，出现安全事件时部门间如何配合，如何协调外部资源进行联动处置。

数据安全风险清单 | 源文件见星球《十四类典型数据安全场景》

（3）三级：系统级应急预案

• 《系统级应急预案》是指从业务系统可用性角度出发，进行业务系统业务影响度分析，针对业务特点制定重要风险场景，制定响应的处置预案和步骤，细化到可操作层面的命令，具有实际操作指导意义。

• 《网络安全应急预案》《数据安全应急预案》大型企业建议可以分开写，尤其涉及数据类企业。小型企业可以合并编写，本质上数据安全事件属于网络安全事件的大类之一。结合国家标准明确的安全事件分类分级场景，制定可操作级别的处置动作。比如，

数据安全应急处置流程示意图 | 源文件见星球《数据安全应急预案》

（4）四级：手册、文档、模版等应急配套

• 《运维手册》是描述系统业务情况、IT资产情况、应用程序启停命令、日志路径及信息，典型问题及处理步骤和方法，面向运维人员可操作的手册，解决运维过程发现的技术问题，并非应急预案，但可以作为应急处理的引用材料。很多时候问题处置了就不会演变成应急事件。

• 《网络安全事件报告》、《应急演练计划》属于模版类文件，从集团、企业层面统一报告模版，对应急工作的标准化非常重要。例如应急演练计划，各个企业、各个系统需要每年报备下一年度演练场景及日期计划。

1.制度模板1：《XXX平台数据安全应急预案》

2.制度模板2：《XXX信息系统网络安全事件应急预案》

应急预案模版已收录至知识星球 

「 数保研习室知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等，帮助组织或个人理解并遵守数据安全合规的法律法规，促进操作和业务流程的安全合规性。

  专栏作者 

Smart，成长性思维践行者，大连理工大学计算机硕士，从事IT技术17年，6年+数据安全经历，运营商和政务双领域经验，拥有大型集团数据安全管理、政务项目安全建设和实践经验。在数据安全风险评估、安全审计、安全检查等有较深积累，擅长将安全结合业务、IT、数据整体思考，有较强的框架性思维能力；对安全领域法律法规、行业标准有较深研究，擅长“转化”成平台安全落地实践。拥有CISA、PIPA、CISP、ITIL、OCP等相关认证。