应急预案系统.doc

应急预案系统篇一：信息系统应急处理预案信息系统应急处理预案第一章 总 则第一条 为提高应对信息系统在运行过程中出现的各种突发事件的应急处臵能力，有效预防和最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家信息安全事件分类分级指南、信息技术、安全技术、信息安全事件管理指南、国家突发公共事件总体应急预案及有关法律、法规的规定，结合实际，制定本处理预案。第二条 本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、社会保险数据等组成。第三条 信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。（一）网络攻击事件：通过网络或其他技术手段，利用信息系统的配臵缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。（二）信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏等而导致的事件。（三）信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。（四）网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无法登录信息系统的事件。（五）服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。（六）软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的事件。（七）灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。（八）其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。第四条 按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般（IV级）、较大（III级）、重大（II级）、特别重大（I级）。（一）一般（IV级）：信息系统发生可能中断运行小时以内的故障；（二）较大（III级）：信息系统发生可能中断运行小时以上、12小时以内的故障；（三）重大（II级）：信息系统发生可能中断运行12小时以上、24小时以内的故障；（四）特别重大（I级）：信息系统发生可能中断运行24小时以上的故障。第二章 组织机构和工作职责第五条 预防和处理信息系统突发事件工作协调小组（以下简称“应急小组”）负责信息系统应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统应急指令，发布信息系统应急故障级别、决策处理方案。应急小组组长由分管信息技术工作的领导担任，成员为信息技术科全体人员。第三章 预防与预警机制第七条应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。第八条 预警信息分为外部预警信息和内部预警信息两类。外部预警信息指信息系统外突发的可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报。内部预警信息指信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件警报。第九条应急小组要加强对信息系统的日常监测工作。监测的内容主要包括：（一）局域网通讯性能与流量；（二）网络设备和安全设备的操作记录、网络访问记录；（三）服务器性能、数据库性能、应用系统性能等运行状态，以及备份存贮系统状态等；（四）服务器操作系统、数据库安全审计记录、业务系统安全审计记录；（五）计算机漏洞公告、网络漏洞扫描报告；（六）病毒公告、防病毒系统报告；（七）其他可能影响信息系统的预警内容。第十条 应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以分析，按照早发现、早报告、早处臵的原则，对可能演变为严重事件的情况，部署相应的应对措施，通知相关部门做好预防和保障应急工作的各项准备工作，并及时报告所领导。第四章 应急响应程序第十一条 信息系统使用单位或人员发现信息系统突发事件后，应及时报告应急小组。应急小组及时组织相关人员查找故障原因，在短时间内（一般要在半小时以内）依据故障情形和修复时间进行初步判别，确定故障分类级别，较大（III级）及其以上的突发事件应报告所领导。第十二条 信息系统突发事件发生后，根据突发事件严重程度，由所领导决定并指定特定小组或人员及时向新闻媒体发布相关信息，所指定的小组或人员应严格按照所领导规定及要求对外发布信息，其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。第十三条 发生较大（III级）及其以上信息系统突发事件时，应急小组除向所领导报告外，应立即通知各业务部室。各业务部室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏导工作，并尽可能通过电话、网络、短信等方式通知参保单位经办人员。第十四条 根据不同的事件以及事件的级别，采取相应措施进行应急处理。突发事件处理过程中，可以根据需要调整故障级别。（一）网络攻击事件应急预案：1.当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除，或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。2.应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。（二）信息破坏事件应急预案：1.当发现信息被篡改、假冒、泄漏等事(来自:www.Hn1c.cOm 唯 才教 育网:应急预案系统)件时，信息系统使用单位或个人应立即通知应急小组。2.如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。3.应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。4.应急小组提出修正错误方案和措施，通知各业务部室进行处理。（三）信息内容安全事件应急预案：1.当发现不良信息或网络病毒时，系统使用人员立即断开网线，终止不良信息或网络病毒传播，并报告应急小组。2.应急小组根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行杀毒处理、清除不良信息，直至网络处于安全状态。篇二：信息系统应急预案某某信息系统应急预案本预案是信息技术部根据公司有关法规和政策，结合公司信息系统建设和运行情况，重点针对公司可能发生的重大突发事件编制的，包括总则、组织指挥体系及职责、预警和预防机制、应急处理程序、保障措施等，其中明确规定了在发生信息系统突发事件情况下，信息系统管理人员的相关职能和工作方法，具有一定的指导性和可操作性。一、总则（一）目的为科学应对信息系统突发事件，建立健全信息系统的应急响应机制，有效预防、及时控制和最大限度地消除各类突发事件的危害和影响，制订本应急预案。（二）工作原则1. 统一领导遇到重大信息系统异常情况，应及时向有关领导报告，以便于统一调度、减少损失。2. 综合协调明确综合协调的职能机构和人员，做到职能间的相互衔接。3. 重点突出应急处理的重点放在运行着重要业务系统或可能导致严重事故后果的关键信息系统上。4.及时反应，积极应对出现信息系统故障时，信息系统维护人员应及时发现、及时报告、及时抢修、及时控制，积极对信息系统突发事件进行防范、监测、预警、报告、响应。5. 快速恢复信息系统管理人员在坚持快速恢复系统的原则下，根据职责分工，加强团结协作，必要情况下与设备供应商以及系统集成商共同谋求问题的快速解决。6.防范为主，加强监控经常性地做好应对信息系统突发事件的思想准备、预案准备、机制准备和工作准备，提高基础设备和重要信息系统的综合保障水平。加强对信息系统应用的日常监视，及时发现信息系统突发性事件并采取有效措施，迅速控制事件影响范围，力争将损失降到最低程度。二、应急工作小组机构及职责在信息系统事件的处理中，一个组织良好、职责明确、科学管理的应急队伍是成功的关键。组织机构的成立对于事件的响应、决策、恢复，防止类似事件的发生都具有重要意义。结合公司信息系统的实际情况，将有关应急人员的角色和职责进行了明确的划分。1. 应急处理领导小组及时掌握信息系统故障事件的发展动态，向上级部门报告事件动态；对有关事项做出重大决策；启动应急预案；组织和调度必要的人、财、物等资源。（应急领导小组成员参见重大突发事件预案处理和报告制度）。2. 应急处理工作小组负责定期了解外部支持人员的变动情况，及时更新其技术人员及联系方式等信息；快速响应信息系统发现的故障事件、业务部门对信息系统故障的申告；执行信息系统故障的诊断、排查和恢复操作；定期通过设备监控软件、系统运行报告等工具对信息系统的使用情况进行分析，尽早发现信息系统的异常状况，排除信息系统的隐患。工作小组组长：信息技术部负责人工作小组成员：信息技术部技术支持室全体成员、信息技术部各室主任3. 外部支持人员包括电信运营商、设备供应商以及系统集成商。负责事先向某某信息技术部提供紧急情况下的应急技术方案和应急技术支援体系；积极配合信息中心应急人员进行故障处理。名单：设备供应商、系统集成商、电信运营商等三、预警和预防机制（一）信息系统监测及报告1.信息系统的日常管理和维护信息系统的日常管理和维护应加强信息系统应用的监测、分析和预警工作。2.建立信息系统故障事故报告制度发生信息系统故障时，值班人员应当立即向应急处理小组领导报告，并及时进行故障处理、调查核实、保存相关证据等。（二）预警在接到突发事件报告后，应当经初步核实之后，将有关情况及时向应急处理小组领导报告，进一步进行情况综合，研究分析可能造成损害的程度，提出初步行动对策。由上级领导视情况紧急程度召集协调会，决策行动方案，发布指示和实施命令等。（三）预警支持系统应建立和完善信息监测、消息传递和指挥决策支持系统，保证突发事件处理过程中的资源共享、运转正常、指挥有力。（四）预防机制各业务信息系统和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善应急处理预案。针对基础信息信息系统的突发性、大规模异常事件，各相关部门建立制度化、程序化的处理流程。四、应急处理程序（一）信息系统突发事件分类分级的说明根据业务信息系统突发事件的发生原因、性质和机理，业务信息系统突发事件主要分为以下三类:1.攻击类事件：指信息系统因计算机病毒感染、非法入侵等导致业务中断、系统宕机、信息系统瘫痪等情况。2.故障类事件：指信息系统因计算机软硬件故障、停电、人为误操作等导致业务中断、系统宕机、信息系统瘫痪等情况。3.灾害类事件：指因爆炸、火灾、雷击、地震、台风等外力因素导致信息系统损毁，造成业务中断、系统宕机、信息系统瘫痪等情况。按照突发事件的性质、严重程度、可控性和影响范围，将其分为一般故障、严重故障、重大故障、特级故障四级。1.一般故障信息系统中单个系统故障，但未影响业务系统运行，也未造成社会影响或经济损失的突发事件。2.严重故障信息系统中单个分公司节点故障导致分公司业务中断，可能造成较大业务影响或较大经济损失的突发事件。3.重大故障信息系统中多个分公司节点或总公司骨干节点故障引起的多个业务系统长时间中断，可能造成重大社会影响和巨大经济损失的突发事件。4.特级故障特指发生不可预见的灾难性事故，如火灾、水灾和地震等。（二）信息系统应急预案启动根据以上定义的故障分级，当信息系统事件的要素满足启动应急预案要求时，进入相应的应急启动流程。（1）应急处理工作小组从业务人员或值班人员的故障申告、信息系统监控报告的故障告警中得知信息系统异常事件后，应在第一时间赶赴信息系统故障现场。（2）应急处理工作小组针对信息系统事件做出初步的分析判断。若是电源接触不好、物理连线松动或者能在最短时间内自行解决的信息系统问题，及时按照有关操作规程进行故障处理，并报领导小组备案；否则，应急处理工作小组将故障大致定性为设备故障、线路故障、软件故障等故障之一，及时告知领导小组和受影响的相关部门，并采取措施避免事件影响范围的扩大。（3）应急处理工作小组向领导小组报告，在领导小组的授权后启动相应的应急预案。针对灾难事件和影响重要业务运行的重大事件，还要及时向上级机关进行报告。（4）应急处理工作小组根据故障类型及时与外部支持人员取得联系。其中，设备故障的，可与设备供应商和集成商联系；软件故障的，可与系统集成商联系，由系统集成商进行现场或远程技术支持；线路故障的，可与电信运营商联系，三方密切协作力求通信线路在短时间内恢复正常。（5）应急处理工作小组在上级机构或外部支持人员的配合下，充分利用应急预案的资源准备，采取有力措施进行故障处理，及时恢复信息系统的正常工作状态。（6）应急处理工作小组通知业务部门信息系统恢复正常，并向领导小组报告故障处理的基本情况。重大事件形成文字资料，以书面形式向上级报告。（7）总结整个处理过程中出现的问题，并及时改进应急预案。（三）现场应急处理（1）如遇到预知外界因素（如定时、定点停电）影响业务信息系统系统的正常运行，将根据有关部门的通知，提前安排技术人员到实地关闭信息系统设备并进行现场维护，直至外界因素消除。（2）如遇到不可抗力因素（如火灾）造成的信息系统系统故障时，接到通知的值班人员要快速到达现场，果断切断相关设备配电柜的电源，积极参与消除不可抗力因素，并及时将情况上报应急处理工作小组领导。（3）如遇到一般故障、严重故障和重大故障，影响信息系统的正常运行，值班人员要迅速、及时地赶到现场，进行相应突发事件的应急处理。五、保障措施（一）应急演练为提高信息系统突发事件应急响应水平，信息技术部和相关部门应定期或不定期组织应急预案演练；检验应急预案各环节之间的通信、协调、指挥等是否符合快速、高效的要求。通过演习，进一步明确应急响应各岗位责任，对预案中存在的问题和不足及时补充、完善。（二）人员培训篇三：信息化系统应急预案信息化系统应急预案为防止因医院信息系统出现故障而影响全院正常医疗秩序，确保患者在特殊情况下能够得到及时、有效地治疗，结合我院实际，特制定本预案，望各科室（部门）在应急情况下遵照执行。（一） 医院信息系统出现故障报告程序1、当各工作站发现计算机访问数据库速度迟缓、不能进入相应程序、不能保存数据、不能访问网络、应用程序非连续性工作时，要立即向信息科报告。信息科电话：内线号码：xx；外线号码：xxxx。2、信息科工作人员对各科室工作站提出的问题必须高度重视，接到故障报告后，应立即展开调查，若断定是网络存在问题时，应安排专人打电话通知相关科室关机，并对来电询问科室做好解释工作，同时报告信息科长。3、情况核实后，信息科及时给各工作站反馈故障信息，同时召集有关人员及时进行讨论，如果故障原因明确，可以立刻恢复的，应尽快采取措施恢复系统工作；如故障原因不明、情况严重、不能在短期内排除的，应立即报告院领导。在网络不能运转的情况下由院领导协调全院各部门工作，以保障全院医疗工作的正常运转。（二）医院信息系统故障分级及处理原则1、根据故障发生的原因和性质不同分为三类：（1）一类故障：由于服务器不能正常工作、光纤损坏、主服务器数据丢失、备份硬盘损坏、服务器工作不稳定、局部网络不通、价表目录被人删除或修改、重点终端故障、规律性的整体、局部软件和硬件发生故障等造成的全院性计算机网络瘫痪。（2）二类故障：由于单一终端软、硬件故障，单一病人信息丢失、偶然性的数据处理错误、某些科室违反工作流程引起局部系统故障。（3）三类故障：由于各终端操作不熟练或使用不当造成的错误。2、故障分类等级的处理原则：（1）一类故障：由信息科科长上报院领导，由医院组织协调恢复工作。（2）二类故障：由网络管理人员上报信息科科长，由信息科集中解决，并做好相关记录。3、三类故障：由网络管理员单独解决，并详细登记维护情况。（三）发生网络整体故障时的应急协调1、当信息科一旦确定为网络整体故障时，首先是立刻报告院领导，同时积极组织恢复工作，并充分考虑到特殊情况对故障恢复带来的时间影响。各部门根据故障恢复时间的程度将转入手工操作，具体时限明确如下：30分钟内不能恢复门诊挂号、住院登记、药房等部门转入手工操作。 6小时内不能恢复各护士工作站、药房、急救中心、手术室、医技检查转入手工操作（具体时间由信息科通知）。24小时以上不能恢复全院各种业务转入手工操作。2、各部门的具体协调安排：（1）所有手工操作的统一启动时间，须由信息科工作人员判断所需修复时间，报告院领导同意后通知相关部门，各科室应严格按照通知的时间协调各项工作，在未接到新的通知前不准私自操作计算机。（2）门、急诊工作由门诊办主任负责联系协调。网络恢复后，门、急诊工作人员要及时将中断期间的患者信息输入到计算机。（3）门、急诊收费处工作由财务科长负责总体联络协调，要与信息科保持联系，及时反馈沟通最新消息；当网络系统运行中断超过30分钟时，要通知收款员转入手工收费程序；门诊收款员要建立手工发票使用登记本，对发票使用情况做详细登记； 当系统恢复正常时，由收款员负责对网络运行稳定性进行监测，如不稳定，及时向信息科反馈情况；在接到信息科发出可使用计算机的通知时，应重新启动运行后，收款员逐步转入机器操作。（4）住院处的工作由财务科长总体负责联络协调；当系统停止运行超过24小时，对普通出院患者，推迟出院结算时间。对急诊出院的患者应根据病历和临床护士工作记录，进行手工核算，出具手写发票。在网络停止运行期间，出院患者急需结算时，应由该科护士追查是否还有正在进行的检查项目，并向出院结算处提供详细费用情况后，方可送交结算。在网络停止运行期间，入院患者急需输入院手续时，实行手工输入院手续。系统恢复时补录病人所有资料。（5）护士工作站由护理部主任负责总体联络协调：网络故障期间医护人员应手工详细记录患者的所有医嘱、护理记录和费用执行情况；详细填写每位患者的药品请领单（包括姓名、住院号、费别、药品名称及用量），一式两份，一份用于科室补录医嘱，另一份送药房作为领药凭证。接到信息科通知恢复网络运行时，按要求补录医嘱、护理记录和在本科发生的费用执行情况。（6）医生工作站由医务科长负责总体联络协调：网络故障期间临床科室应手工详细记录患者的所有医嘱、病历记录，并详细记录治疗执行情况、病情进展情况。接到信息科通知恢复网络运行时，按要求补录各种记录。（7）医技检查工作站由医务科长负责总体联络协调：在网络停运期间应详细留取、整理检查申请单底联；网络恢复后根据检查单底联登记，通过手工补录患者在本科发生的费用（注意与临床科室联系沟通）。对即将出院或有出院倾向的患者，主治医师要在检查申请单上要注明，检查科室应及时通知科室或住院处，及时沟通费用情况。（8）药房工作由医务科长负责总体联络协调：严格按照信息科通知的时间及要求进行操作；网络故障时，根据临床科室提供的药品请领单发药；网络恢复时对临床科补录的摆药医嘱进行确认，同时与发药时药品请领单内容详细核对，如发现内容不符，须详细追查；网络恢复后对出院带药处方及时进行确认。（四）应急数据恢复工作规定1、各工作站接到信息科发出的重新运行通知时，需重新启动计算机；整体网络故障的工程恢复工作，由信息科严格按照服务器数据管理要求进行恢复工作；由网络管理员按数据备份恢复方案进行系统恢复。2、由信息科科长指定专人负责恢复，当人员变动时应有交接手续。3、当光纤损坏时应立即使用备用光纤进行恢复；交换机出现故障时，应使用备用交换机。4、对每次的恢复细节应做好详细记录。（五）故障处理程序1、网络故障应急处理程序信息科接到科室操作人员的故障信息后，应立即展开调查，先通过自己工作站试验是否存在相同情况，或查证是否有数据库锁表情况、查证是否数据服务器空间已满。当软件情况都被排除以后，进入机房看交换机指示灯是否全部不再闪动，或闪动很慢，若是则基本上可以断定是网络存在问题，这时安排一个人专门打电话通知相关科室关机及对科室来电做解释工作。采用排除法确定故障位置：先将与交换机相连的双绞线逐一拔出，同时观察交换机指示灯是否闪动正常，逐一拔出除服务器的所有连接终端，若仍不能解决问题，则逐一拔出内部的光纤接口，一般到此完全可以排除是由哪条线影响到网络速度，先隔离开这条网线让其他用户先使用网络。发现是由某一光纤影响，信息科人员应到该交换机处采用同样排除法逐个拔双绞线，直到找出是由哪条线路、哪个终端工作站影响到整个网络。通过这种方法，一般可以在最短的时间内找到各种网络故障的原因，若在15分钟不能解决问题，应上报到信息科长，同时告知各科室出现问题的简要情况及解决方案，30分钟内仍不能解决问题，应上报到医院院长，同时通知相关的门诊与临床业务将转入手工运作，直至网络恢复