医疗卫生业网络安全事件应急处置方案

第第PAGE\MERGEFORMAT1页共NUMPAGES\MERGEFORMAT1页医疗卫生业网络安全事件应急处置方案一、总则

1适用范围

本预案适用于本医疗卫生机构网络与信息安全事件应急处置工作，涵盖网络攻击、系统瘫痪、数据泄露、勒索软件等网络安全事件引发的应急响应与处置。适用范围包括但不限于电子病历系统、远程医疗平台、医院信息系统（HIS）、实验室信息系统（LIS）及影像归档和通信系统（PACS）等关键信息基础设施。在2023年某三甲医院遭受APT攻击导致医疗信息系统瘫痪的案例中，应急响应的有效性直接关系到患者救治的连续性和数据安全的完整性，故本预案将此类事件纳入应急响应范畴。

2响应分级

依据事件危害程度、影响范围及机构控制能力，将网络安全事件应急响应分为四个等级。

（1）一级响应

适用于重大事件，如核心系统（如HIS、PACS）完全瘫痪，导致跨区域医疗服务中断，或遭受国家级APT攻击，敏感数据（如患者隐私）大规模泄露，影响超过1000名患者。响应原则为“快速冻结、跨部门协同”，需立即启动应急指挥中心，协调技术、临床、法务等部门，并在2小时内向行业监管机构报告。2022年某地区医院遭受DDoS攻击导致全网瘫痪，日均门诊量5万人次的服务被迫中断，属于此类事件。

（2）二级响应

适用于较大事件，如部分子系统（如LIS）功能受限，或遭遇勒索软件攻击，加密关键数据但未造成系统崩溃。影响范围覆盖单个院区，患者数据泄露风险低于一级事件。响应原则为“精准隔离、恢复优先”，需在4小时内完成受影响系统的安全评估，并启动备份恢复流程。某二甲医院2021年发生的医疗记录篡改事件，通过应急响应在24小时内修复漏洞，未造成实质影响，属于二级事件。

（3）三级响应

适用于一般事件，如非关键系统（如办公网）出现病毒感染，或用户账号异常。影响仅限于局部范围，未波及核心医疗业务。响应原则为“标准处置、部门自治”，由信息科独立完成病毒清除，并通报受影响用户。某社区医院2023年发生的邮箱钓鱼事件，通过安全培训及邮件过滤系统在12小时内解决，属于此类。

（4）四级响应

适用于轻微事件，如单台终端安全配置错误。响应原则为“即时修复、记录备案”，由终端管理员在1小时内完成整改。某医院2022年记录的80%安全事件属于此类，通过自动化监测系统快速处置。

分级响应遵循“分级负责、逐级提升”原则，确保资源聚焦于最高优先级事件，同时避免过度反应。

二、应急组织机构及职责

1应急组织形式及构成单位

成立网络安全应急领导小组（以下简称“领导小组”），由院长担任组长，分管副院长担任副组长，成员包括信息科、医务科、护理部、后勤保障部、法务审计部及各临床科室负责人。领导小组下设办公室于信息科，负责日常协调与应急指令传达。构成单位职责分工如下：

信息科：承担技术核心职责，负责事件监测预警、漏洞管理、系统恢复与安全加固，组建了7人组成的应急技术小组，具备724小时响应能力。

医务科：评估事件对医疗服务的影响，协调临床科室调整诊疗方案，保障患者安全，需在事件发生2小时内出具初步影响评估报告。

护理部：负责指导科室级应急响应，保障关键区域（如急诊、手术室）网络畅通，确保护理信息系统正常运转。

后勤保障部：提供应急电源、通信线路等基础设施支持，协调外部服务商（如运营商、安全厂商）资源。

法务审计部：负责法律合规审查，处理数据泄露事件中的第三方责任认定，草拟对外声明。

临床科室：落实最小化服务影响原则，暂时停用非紧急的PACS/HIS访问权限，优先保障生命支持设备网络连接。

2应急工作小组设置及职责

（1）技术处置组

构成：信息科全体人员、特邀外部安全顾问（按需介入）。职责：快速溯源定位攻击路径，执行隔离封堵措施（如防火墙策略调整、VPN强制下线），开展内存取证与日志分析，制定系统恢复方案。行动任务包括在1小时内完成初步扫描，24小时内提交技术分析报告。

（2）医疗服务保障组

构成：医务科、护理部、重点科室（急诊/ICU）骨干。职责：动态调整门诊、手术安排，启用备用通信渠道（如对讲机、卫星电话），实施纸质病历临时替代方案。行动任务包括每4小时更新服务恢复进度，优先保障危重患者救治通道。

（3）通信联络组

构成：信息科、后勤保障部、宣传部门。职责：维护应急期间内外部通信链路，向领导小组通报网络状态，管理社交媒体舆情。行动任务包括每6小时汇总一次通信系统运行报告。

（4）后勤支援组

构成：后勤保障部、采购部门。职责：调配备用服务器、笔记本电脑等IT设备，保障应急指挥中心电力供应。行动任务包括48小时内完成资源调配清单。

（5）法务与舆情组

构成：法务审计部、办公室。职责：审查应急处置的合规性，准备停机公告模板，监控监管机构动态。行动任务包括72小时内完成事件处置法律风险评估。

各小组通过即时通讯群组保持通讯，领导小组每周召开例会演练协同流程，确保多部门在应急状态下形成统一指挥闭环。

三、信息接报

1应急值守电话

设立网络安全应急值守热线（内线代码：911），由信息科24小时值守，接听范围包括系统异常告警、安全事件初步报告。同时配置专用邮箱（@security@）接收安全事件报告，要求标题格式为“事件类型-报告时间-报告人”。值班电话及邮箱信息通过内部公告、智能终端弹窗等渠道向全院发布。

2事故信息接收与内部通报

（1）接收程序：信息科技术处置组通过部署在核心交换机的NetFlow分析系统、终端威胁检测平台（EDR）及邮件系统关键词监控，实现安全事件的自动告警与人工报告双路径接收。接到报告后，需在5分钟内完成事件真实性核实，确认后通过即时通讯群组@所有小组成员。

（2）通报方式：根据事件级别启动分级通报机制。一级事件立即通过电话向领导小组组长汇报，同步向各小组负责人发送加密短信通报核心系统受影响情况；二级事件通过院内安全通知系统发布公告，临床科室通过OA系统接收处置指南；三级及以下事件以邮件形式通知信息科成员。

（3）责任人：信息科值班人员为首次接收信息的责任人，负责记录事件要素（时间、地点、现象、影响范围），并在30分钟内完成初步影响评估。医务科、护理部在接到临床系统异常通报后，指定本科室网络联络员在1小时内确认业务影响。

3向外部报告

（1）向上级主管部门/单位报告

报告流程：一级事件在事件发生后30分钟内，通过国家卫健委应急平台或上级单位指定的安全事件上报系统，提交《网络安全事件初期报告》，内容包括事件发生时间、系统名称、影响范围、已采取措施。二级事件在2小时内完成报告。报告内容需经领导小组审核，确保符合《网络安全等级保护条例》中关于“重要信息系统安全事件应立即报告”的要求。

报告时限与责任人：信息科科长为向上级报告的第一责任人，法务审计部协助审核敏感数据涉及情况。报告频次根据事件进展动态调整，初期报告、处置报告、结案报告的提交时限分别为30分钟、2小时、24小时。

（2）向其他部门通报

通报范围：涉及外部单位（如云服务商、数据交换机构）时，通过加密邮件或安全会议通报事件影响及合作需求。通报内容遵循“必要信息共享”原则，避免泄露应急响应策略细节。例如，遭遇勒索软件攻击时，需向下游医疗机构通报接口服务中断时间。

通报程序：信息科在确认事件影响波及外部单位后，制作《外部通报函》，由法务审计部审核，通过加密渠道发送。责任人需记录接收确认回执，作为后续责任划分依据。对于可能违反《个人信息保护法》的事件，需先获得领导小组授权。

4舆情监测与发布

设立舆情监控岗，通过关键词（如“医院网络瘫痪”）在微信公众号、微博等平台724小时监测，发现敏感信息时，由宣传部门在领导小组指导下发布官方通报。发布内容包含事件影响说明、已采取措施及预计恢复时间，避免使用“重大”“灾难”等可能引发过度恐慌的词汇。

四、信息处置与研判

1响应启动程序

（1）启动条件：依据《网络安全应急响应分级》标准，触发以下任一条件需启动应急响应。包括但不限于：核心医疗信息系统（HIS/PACS）服务中断超过30分钟；检测到勒索软件在关键服务器上运行；遭受DDoS攻击导致外网服务响应时间超过10秒/秒；超过100例用户账号异常；敏感数据（如身份证、病志）疑似或确认泄露。

（2）启动方式：分为手动触发与自动触发两种。

手动触发：应急值守人员接报后，经技术处置组初步研判符合响应条件，立即通过即时通讯群组向领导小组发送启动申请，包含事件要素、影响评估。领导小组在30分钟内召开临时会议决策。

自动触发：部署的SIEM（安全信息与事件管理）系统根据预设规则自动触发。例如，当检测到针对数据库主机的SQL注入攻击且受影响记录超过50条时，系统自动生成一级响应预警，推送至领导小组负责人手机，同时触发应急电话告警。

（3）启动决策：领导小组组长根据事件报告、技术研判及业务影响，决定响应级别。决策结果通过OA系统发布，同时抄送上级主管部门（如适用）。例如，某医院因遭受APT攻击导致电子病历系统加密，经研判符合一级响应条件，领导小组在1.5小时内完成决策并发布命令。

2预警启动与准备

当事件尚未达到正式响应条件，但可能发展为较严重事件时（如检测到未知病毒在非关键系统传播），由信息科科长提议，领导小组可启动预警状态。预警状态下，技术处置组需在2小时内完成以下任务：隔离受感染终端、分析病毒样本、评估扩散风险。领导小组每日召开15分钟短会，跟踪事态发展。某次邮件安全事件中，通过预警状态提前封堵了恶意附件传播，避免了正式响应。

3响应级别动态调整

响应启动后，技术处置组每2小时提交《事态发展及处置需求报告》，包含攻击路径变化、系统恢复进展、新出现的风险点。领导小组结合报告及临床反馈，动态调整响应级别。调整原则为“逐级提升，能降则降”。例如，某DDoS攻击初期为二级响应，随着攻击流量增长至1000Gbps，升级为一级响应；后续攻击减弱后，在12小时后降级为三级。调整过程需记录在案，作为后续预案修订的参考。

五、预警

1预警启动

（1）发布渠道：预警信息通过院内专用安全预警平台、短信总机、各科室主任邮箱及应急广播系统发布。针对可能影响临床业务的系统风险，同步推送至临床科室联络员微信群。

（2）发布方式：采用分级变色标示。蓝色预警表示潜在风险（如发现未知病毒样本），黄色预警表示可能影响业务（如核心系统漏洞），橙色预警表示预计将发生中断（如计划外停机）。发布内容包含风险类型、影响范围（系统名称或区域）、建议措施（如暂停非必要操作）、发布单位及有效期。

（3）发布内容要素：遵循“简明扼要、突出重点”原则，避免使用专业术语。例如：“蓝色预警：检测到X型勒索软件样本，建议立即下线备用服务器，禁止访问外部邮件附件。”

2响应准备

领导小组在作出预警启动决策后，各工作组立即开展准备：

（1）队伍准备：技术处置组进入24小时待命状态，抽调后备人员补充；医疗服务保障组召开科室联络员会议，明确纸质流程操作要点；后勤支援组检查备用电源及设备库存。

（2）物资准备：信息科启动应急物资清单（包含键盘鼠标、移动硬盘、打印机），重点保障急诊等关键区域；实验室准备印制500份纸质病历模板。

（3）装备准备：启用应急指挥中心，调试备用通信线路（含卫星电话）；技术组准备渗透测试工具、内存取证设备。

（4）后勤准备：能源保障组确认备用发电机状态，调配应急照明设备；确保应急物资仓库24小时有人值守。

（5）通信准备：通信联络组建立应急期间总值班电话簿，检查对讲机电量，协调运营商准备扩容资源。

3预警解除

（1）解除条件：满足以下任一条件可申请解除预警：发布预警的原风险因素已排除（如病毒样本清除、漏洞修补）；攻击源已切断且未发现二次攻击迹象；备用系统稳定运行，业务影响降至最低水平。

（2）解除要求：由技术处置组提交《预警解除评估报告》，包含风险评估结论、持续监测计划。领导小组在收到报告后1小时内召开确认会议。

（3）责任人：信息科科长为预警解除申请的第一责任人，需联合法务审计部确认无合规风险。解除命令通过OA系统正式发布，并抄送上级主管部门（如适用）。解除后30天内，需对预警期间的准备情况开展复盘。

六、应急响应

1响应启动

（1）响应级别确定：依据事件初始报告及初步研判，由应急领导小组结合《网络安全应急响应分级》标准，在1小时内确定响应级别。例如，检测到勒索软件攻击核心数据库且无法立即清除，直接启动一级响应。

（2）程序性工作：

①应急会议：启动后2小时内召开领导小组第一次全体会议，明确分工，下达指令。后续根据事态发展，每日召开复盘会。

②信息上报：按第三部分规定时限向主管部门及上级单位报告。

③资源协调：启动应急资源池，调用备份数据、备用系统。技术处置组申请外部专家支持时需经组长批准。

④信息公开：由领导小组授权宣传部门统一发布口径，初期以“系统维护中”为说法，随后根据临床影响程度逐步披露。

⑤后勤保障：启动应急供电预案，调配食堂保障应急人员餐食。后勤保障部每日统计各单位需求。

⑥财力保障：财务部门准备应急资金，用于采购服务、数据恢复等。

2应急处置

（1）现场处置：

警戒疏散：信息科在确认系统感染后，立即封锁受影响区域网络端口，禁止非必要人员靠近。设置警戒带时需避开生命支持设备。

人员搜救：临床科室在系统中断后，立即启动备用诊疗流程。例如，通过PACS接口导出影像数据至CD光盘，或使用离线病历模板。

医疗救治：优先保障急诊、重症监护室等区域的通信畅通，必要时启用对讲机或卫星电话。

现场监测：技术处置组部署HIDS（主机入侵检测系统）在隔离区边界实时采集流量。

技术支持：与安全厂商协作时，授予其必要权限，但需全程监督，记录操作日志。

工程抢险：网络工程师修复防火墙规则时，需逐条测试影响，避免误封正常业务。

环境保护：如涉及硬件损毁，由后勤保障部按规定处置废弃设备。

（2）人员防护：所有进入隔离区人员需佩戴N95口罩，佩戴临时工牌。技术处置组需佩戴防静电手环，禁止携带个人移动设备。

3应急支援

（1）外部请求程序及要求：当内部资源无法控制事态（如遭遇国家级APT攻击且自身无溯源能力）时，由信息科科长向指定安全联盟或国家互联网应急中心发送支援请求。请求需包含事件要素、已采取措施、需求数据（如攻击样本SHA256值）。要求外部支援提供专业分析及清除工具。

（2）联动程序及要求：与外部力量协同时，指定一名资深工程师担任接口人，建立联合工作群。明确信息共享边界，确保敏感数据脱敏处理。

（3）指挥关系：外部力量到达后，接受领导小组统一指挥，但技术处置权限可授予其专家。联合指挥部每日召开协调会，由我方接口人记录决议。

4响应终止

（1）终止条件：满足以下全部条件可申请终止响应：

攻击源完全切断，无残余威胁；

所有受影响系统恢复运行并通过安全测试；

未发生重大数据泄露事件；

领导小组连续24小时未收到新的安全告警。

（2）终止要求：由技术处置组提交《应急响应终止评估报告》，包含系统日志分析、病毒库更新验证等内容。领导小组在收到报告后3小时内召开会议确认。

（3）责任人：信息科科长为终止申请的第一责任人，需联合医务科确认无服务中断风险。终止命令发布后，30天内需编写事件报告，分析暴露问题。

七、后期处置

1污染物处理

（1）数据清除：对于遭受勒索软件攻击的系统，在确认无法恢复或支付赎金后，由技术处置组在专用隔离环境执行数据清除。清除范围包括被加密文件、系统临时文件及可能被植入的后门程序。清除后的存储介质需进行物理销毁或多次覆盖式擦除。

（2）日志分析：保存所有安全事件相关的日志（系统日志、应用日志、安全设备日志），由技术处置组使用SIEM工具进行关联分析，形成溯源报告。分析过程需注意保护患者隐私信息，必要时进行匿名化处理。

（3）介质消毒：对可能被病毒感染的移动设备（U盘、移动硬盘）执行专业消毒，使用专用消毒液或紫外线照射设备，并记录消毒过程。

2生产秩序恢复

（1）系统恢复：优先恢复核心医疗系统（HIS、EMR），采用“先关键后一般”原则。每日制定详细的恢复计划，包含时间表、负责人、验证方法。例如，恢复PACS系统需通过测试图像上传、调阅、存储全流程。

（2）数据恢复：对于备份系统，需验证备份数据的完整性与可用性。使用EDR（端点检测与响应）工具扫描恢复后的系统，确保无残余威胁。恢复期间，临时启用纸质流程，直至系统通过压力测试。

（3）服务恢复：根据临床科室需求，分阶段恢复系统服务。例如，先保障急诊挂号、缴费，再逐步开放预约挂号、检查报告查询。恢复后1个月内，每日统计系统运行时长及故障率。

3人员安置

（1）心理疏导：事件处置期间，由医务科协调心理科医生，为受影响人员（特别是临床人员）提供心理支持。设立临时咨询室，开展团体辅导。

（2）技能培训：针对临时流程操作（如纸质病历书写），由护理部组织培训，确保所有相关人员掌握操作要点。培训记录纳入个人档案。

（3）补偿机制：对于因事件导致误工的临床人员，由人力资源部参照相关规定执行补偿。后勤保障部优先保障相关人员食宿。

八、应急保障

1通信与信息保障

（1）联系方式与方法：建立应急通信录，包含领导小组、各工作组、外部协作单位（如运营商、安全厂商）的紧急联系方式。通过加密即时通讯工具（如企业微信安全版）、专用短信平台、应急广播系统发布指令。启用卫星电话作为备用通信手段，存储在信息科及医务科办公室。

（2）备用方案：制定多路径通信方案。核心网络故障时，切换至移动通信基站直连；外部网络中断时，启用卫星通信或专用光纤线路。信息科需每日检查备用通信设备状态。

（3）保障责任人：信息科科长为通信保障第一责任人，负责协调运营商资源。后勤保障部负责应急电源供应。通信联络组人员需接受应急通信操作培训。

2应急队伍保障

（1）应急人力资源：

①专家库：组建包含内部资深工程师、外部安全顾问的专家库，建立专家联系方式及专业领域目录。每年更新一次。

②专兼职队伍：信息科全体人员为专职队伍，各临床科室指定网络联络员为兼职队伍，需每半年进行一次应急技能考核。

③协议队伍：与2-3家安全服务公司签订应急支援协议，明确响应时间、服务范围及费用标准。

（2）队伍管理：定期组织桌面推演和实战演练，检验队伍协同能力。建立人员备份机制，确保关键岗位有人可替。

3物资装备保障

（1）物资与装备清单：建立应急物资装备台账，包含以下内容：

类型：备用服务器、笔记本电脑、打印机、移动硬盘、网络安全设备（防火墙、IDS/IPS）、应急通信设备（卫星电话、对讲机）、纸质流程单据等。

数量：根据日均诊疗量配置，如备用打印机至少满足5个科室同时使用需求。

性能：明确设备技术参数，如备用服务器需具备与主力服务器同等存储容量和计算能力。

存放位置：集中存放于信息科地下库房，临床科室按需求配置便携式应急设备箱。

运输及使用条件：大型设备需安排2人以上搬运，小型设备通过应急箱快速部署。

更新补充时限：每两年对物资进行盘点，根据使用损耗情况补充，如备用打印纸按月检查库存。

管理责任人：信息科指定专人（如网络管理员）负责日常管理，后勤保障部协助维护仓储环境。

（2）台账管理：台账采用电子化形式，记录物资编号、规格、数量、存放位置、责任人、领用记录等信息。每年至少核对两次实物与台账一致性。

九、其他保障

1能源保障

由后勤保障部负责，确保应急期间核心区域供电。信息科与电力部门建立应急供电协议，配备UPS（不间断电源）为关键服务器、网络设备和应急通信系统供电。制定备用发电机启动方案，要求在电网故障时30分钟内启动，优先保障急诊、手术室、生命支持设备等关键负荷。

2经费保障

财务部门设立应急专项经费账户，包含系统恢复、数据购买、第三方服务费用等预算。重大事件发生时，领导小组可授权信息科按协议快速采购服务，后续通过正规流程报销。每年根据预案修订预算额度。

3交通运输保障

后勤保障部负责应急车辆调度，确保应急人员、物资、装备能够快速运输。与出租车公司、物流公司签订应急运输协议，明确响应流程和费用标准。配备应急通讯车作为移动指挥中心时，需保障其油料供应及通信设备电力。

4治安保障

保卫科负责应急期间的院内治安管理，增设巡逻频次，特别是在网络中心、数据中心等重点区域。制定网络攻击引发的恐慌处置方案，由宣传部门配合引导舆论，维护院内秩序。必要时请求公安机关协助。

5技术保障

信息科作为技术保障主体，需持续更新安全工具（如EDR、沙箱、漏洞扫描仪）。与云服务商、安全厂商保持技术交流，获取最新威胁情报和应急支持。建立技术专家顾问机制，遇重大技术难题时寻求外部专家支持。

6医疗保障

医务科负责评估网络安全事件对医疗救治的影响，制定应急预案。确保急诊通道畅通，优先救治网络攻击受害者。临床科室需掌握纸质诊疗流程，必要时启动隔离病区管理措施