医院电子信息系统瘫痪应急演练脚本

医院电子信息系统瘫痪应急演练脚本【适用主体】××市第三人民医院（三级甲等综合医院，核定床位1200张，日均门急诊6500人次，住院患者1100人，血透、ICU、手术室、新生儿、肿瘤化疗等高风险科室完备，电子病历评级5级、互联互通4甲，核心业务100%依赖信息系统）【具体事件类型】医院电子信息系统整体瘫痪（含HIS、EMR、LIS、PACS、RIS、手麻、重症、物资、财务、医保结算、互联网医院、自助机、移动端、门禁、监控、呼叫、楼宇自控），导致业务无法通过计算机终端、移动护理车、PDA、自助设备、互联网通道正常开展，预计影响时间≥30分钟，峰值影响人数≥5000人，直接威胁患者生命安全、医院声誉与经济运行。【风险评估】1.诱因矩阵A.机房级：UPS失效、精密空调双故障、配电柜跳闸、水浸、火灾、盗窃、施工挖断双路由光缆。B.设备级：核心存储双控失效、光纤交换机级联故障、虚拟化集群脑裂、数据库勒索病毒、固版缺陷、补丁冲突。C.网络级：核心交换机VRRP双宕、DNS污染、DDoS攻击、运营商双链路同时中断、WiFi控制器失效。D.人为级：运维误删库、程序发布未回退、密码爆破、社工钓鱼、内部人员恶意删库。E.灾害级：城市级停电、7级以上地震、50年一遇暴雨内涝、战争或恐怖袭击。2.发生等级Ⅰ级（红色）：系统完全不可用≥2小时，预计直接经济损失≥500万元，死亡风险≥3人。Ⅱ级（橙色）：核心系统不可用30分钟—2小时，经济损失100—500万元，死亡风险1—2人。Ⅲ级（黄色）：非核心系统不可用≥1小时，经济损失<100万元，无死亡但可能延误诊疗。Ⅳ级（蓝色）：单点故障10分钟内恢复，无经济损失，无患者安全事件。3.脆弱性分析双活数据中心虽建成，但演练发现RPO实际15分钟、RTO30分钟，未达急诊“0数据丢失”要求；血透、ICU未配置离线透析记录单、纸质血气单；门诊药房无手工划价模板；医保电子凭证脱网无法转自费；自助机100%依赖网络，无现金通道；手术室麻醉记录单机版3年未更新，与新品输注泵接口不匹配；总值班夜间仅1名信息工程师，无备用驾驶舱；保卫科门禁与消防广播同一服务器，一旦宕机影响疏散。【职责分工】1.应急指挥组总指挥：院长（001）副总指挥：主管信息副院长（002）、主管医疗副院长（003）成员：医务部主任（004）、护理部主任（005）、信息中心主任（006）、总务科主任（007）、保卫科主任（008）、财务科主任（009）、医保办主任（010）、门诊办主任（011）、急诊科主任（012）、ICU主任（013）、手术室护士长（014）、检验科主任（015）、影像科主任（016）、药学部主任（017）、宣传科主任（018）、物资科主任（019）、院感科主任（020）。2.技术抢修队队长：信息中心副主任（021）副队长：数据库管理员（022）、网络管理员（023）成员：系统工程师6人、网络工程师4人、安全工程师2人、驻场厂商8人（HIS2、PACS2、LIS1、虚拟化2、存储1）。3.医疗业务队队长：医务部副主任（024）副队长：护理部副主任（025）成员：门诊总护士长（026）、急诊总护士长（027）、住院总（028）、手术室总护士长（029）、血透室护士长（030）、新生儿护士长（031）、化疗科护士长（032）、临床科室主任20人、一线医生80人、护士200人。4.后勤保障队队长：总务科副主任（033）副队长：物资科副科长（034）成员：水电班6人、机房值班2人、司机班4人、保洁10人、食堂主管1人、担架队20人。5.安全保卫队队长：保卫科副科长（035）成员：保安45人、消防控制室4人、安检6人、警务室民警2人。6.对外协调组组长：院办主任（036）成员：医保办2人、财务窗口3人、宣传科2人、信息中心1人（负责向卫健委、网信办、公安网安、医保中心、患者家属、媒体通报）。【分阶段处置流程】阶段0：日常监测与预警（T365天—T1小时）1.信息中心7×24小时SOC轮值，监控CPU、内存、磁盘I/O、网络流量、数据库连接、日志错误、备份成功率、UPS电量、温湿度、水浸、烟感。2.自动告警阈值：核心存储延迟>50ms、虚拟化集群主机失联>1台、数据库锁等待>300s、UPS续航<30分钟、机房温度>28℃。3.预警短信分级推送：蓝色由值班工程师处理；黄色10分钟内报科室主任；橙色5分钟内报分管副院长；红色立即电话院长并启动应急群。阶段1：事件发现与初判（T0—T0+10分钟）1.触发场景：门诊大厅自助机80%显示“网络连接失败”，收费窗口HIS客户端全量超时，PDA扫码无返回，互联网医院无法登录。2.一线发现人：门诊办导诊护士A（工号123）立即拨打6666（信息中心值班电话），同时通过对讲呼叫门诊办主任（011）。3.信息值班工程师B（工号456）2分钟内远程登录失败，5分钟内赶到门诊收费室，确认故障范围，初步判断“核心存储双控失联，虚拟化集群38台业务主机离线”。4.值班工程师B立即向信息中心主任（006）汇报，同时通过企业微信“应急指挥群”发布红色预警，@所有人。5.信息中心主任（006）电话请示院长（001），院长宣布启动Ⅰ级应急响应，激活应急指挥组微信群与线下指挥室（门诊五楼多功能厅）。阶段2：应急响应与业务降级（T0+10—T0+30分钟）1.技术抢修队a.队长（021）带领8名工程师5分钟内到达机房，确认UPS正常、精密空调正常，判定为存储光纤链路闪断导致双控仲裁失败。b.立即执行“存储强制切换”：按SOP第3.2.1节，拔A控光纤，强制B控接管，耗时3分钟；业务部分恢复，但数据库出现12张表损坏。c.通知数据库管理员（022）启动“数据库应急修复”：使用凌晨2:00备份+日志追加，预计45分钟。d.网络管理员（023）同步检查核心交换机，未发现异常，保留一台备用交换机上线待命。e.安全工程师在防火墙关闭445、3389外网端口，防止勒索病毒横向传播，提取存储日志送SOC分析。2.医疗业务队a.门诊办主任（011）立即广播“信息系统临时故障，启动手工模式”，导诊员分头到各楼层发放《纸质挂号单》，并告知患者“先就诊后补费”。b.收费处主任（037）打开保险柜取出备用“手工收费三联单”，启用1999年预留的“划价章”，财务科（009）派人现场指导。c.门诊药房主任（017）启动“一人发药、一人核对的纸质处方模式”，提前打印《常备200种药品目录及价格》，张贴窗口。d.检验科（015）启用单机版LIS，血气分析仪、血球仪本地打印结果，加盖“应急检验”章，人工送单。e.影像科（016）PACS无法调阅，放射技师把CT图像刻录光盘，交诊断医生单机阅片；对急诊卒中、胸痛患者，技师电话报告“大血管未见明显出血”口头结果。f.手术室（014）立即暂停接非急诊手术，已安排12台手术中3台为“主动脉夹层、肝破裂、脑出血”，麻醉科主任（038）决定继续手术，启用纸质麻醉记录单，麻醉医生每5分钟手写生命体征。g.ICU（013）每床配备“重症离线记录板”，护士双人核对血管活性药物剂量；CRRT机参数手工抄录。h.血透室（030）为132名透析患者建立《血透脱机评估表》，若系统60分钟内无法恢复，启用“人工超滤量计算盘”。i.新生儿科（031）暖箱报警信息无法远程推送，护士长安排专人每10分钟巡视并手写记录。3.安全保卫队a.保卫科（035）增派8人到门诊大厅维持秩序，设置“应急收费绿色通道”，防止插队冲突。b.消防控制室确认门禁服务器宕机后，手动释放所有电磁锁，确保疏散通道畅通。4.对外协调组a.院办（036）30分钟内起草《告患者书》，通过医院官网、微博、公众号发布“系统故障正在抢修，就诊流程临时调整，敬请谅解”。b.医保办（010）电话报告市医保中心，申请临时停机免责，同意患者先自费、后补医保结算。阶段3：全面恢复与数据校验（T0+30—T0+120分钟）1.数据库修复完成，信息中心主任（006）下令逐步重启业务：先开启急诊、药房、收费，再LIS、PACS，最后互联网医院。2.每重启一个子系统，由对应业务科室完成10份随机数据核对：抽取急诊处方10份，比对纸质与电子剂量、费用；抽取检验结果10份，核对姓名、项目、参考值；抽取影像10份，确认DICOMheader与光盘一致。3.发现2份检验结果丢失，立即回退至单机版本地Excel，补录后重新审核。4.系统全部恢复后，技术抢修队执行“全量备份+应急演练报告”，保存日志至异地NAS，并生成《事件根本原因分析报告》初稿。阶段4：事后总结与改进（T0+120分钟—T+7天）1.应急指挥组召开2小时复盘会，采用“5WHY”法追溯：存储光纤闪断→老旧多模OM1光纤→2010年铺设未更换→预算不足→风险评估未纳入年度光纤更新→制度缺失。2.院长办公会决议：a.立即更换机房至存储间48芯光纤为OM4，预算38万元，7日内完成；b.建立“临床离线包”：每个护理单元配置500份纸质三测单、100份处方、50份输液卡、手工腕带打印机1台、计算器2个、应急章1套；c.血透室开发“脱机小软件”安卓APK，可本地计算超滤量，每月更新；d.手术室麻醉单机版升级，与输注泵接口重新开发，预算12万元；e.信息中心增加2名夜班工程师，采用“N+1”排班；f.建立“患者投诉快速赔付基金”50万元，授权门诊办现场调解。3.宣传科组织CCTV、健康报、地方台采访，展示医院2小时内恢复能力，降低负面舆情。【资源清单】1.纸质表单：挂号单10000份、收费三联单5000份、处方笺15000份、检验申请单5000份、影像申请单3000份、输血申请单500份、手术通知单200份、麻醉记录单500份、体温三测单10000份、输液卡5000份、腕带20000条。2.应急设备：激光打印机10台（手工网络）、计算器100个、刻录机2台、移动硬盘10块、光盘500张、对讲机50部、应急灯200盏、UPS移动电池车2台、柴油发电机1台（500kW）、手工章30套、现金备用金20万元。3.离线软件：检验单机版（U盘）、影像阅片工作站（离线）、麻醉记录单机版、血透计算器APK、Excel模板50套。4.人员住宿：折叠床30张、睡袋50个、应急食品（自热米饭500份、矿泉水1000瓶）、速溶咖啡200条。【演练计划】1.演练频次：全院级Ⅰ级演练每年1次；Ⅱ级演练每半年1次；科室级Ⅲ级演练每季度1次；信息中心月度“红蓝对抗”演练。2.演练形式：a.盲演：不提前通知时间，由第三方安全公司植入“逻辑炸弹”触发故障；b.沙盘推演：采用“桌面+实战”混合，夜间22:00启动，持续4小时；c.专项演练：仅针对血透室、手术室、ICU、新生儿等高风险单元，模拟断网1小时。3.演练评估：采用“双表一单”——《演练过程记录表》《整改追踪表》《患者安全事件报告单》，满分100分，90分以上为合格；低于90分重新演练。4.观察团：邀请市卫健委、医保中心、网信办、患者代表、媒体