乡镇卫生院信息系统安全应急预案.docVIP

***** 卫生院 信息系统安全应急预案 为防止因医院信息系统安全故障而影响全院正常医 疗秩序，确保全院各系统、终端能够安全高效的运行， 特制定本预案。 一、组织机构 我院信息系统安全应急工作，由信息系统故障应急 小组统一领导。 成立网络与信息安全应急处理小组， 负 责信息安全日常事务处理、应急处理及安全通报等事 务。 组 长：*** （院长） 副组长： *** （副院长） *** （副院长） 成 员：*** *** 工作原则 （一）明确责任、分级负责：按照“谁主管谁负责，谁 运行谁负责”的要求， 逐级建立并落实统计信息系统责 任制和应急机制。 （二）加强领导、分工合作：各科室应按照规定的职责和流 程，实施统计信息系统的应急处理工作。 （三）积极预防、及时预警：各科室应及早发现安全事件， 及时进行预警和信息通报；积极做好应急处理准备，提高对 安全事件的预防和应急处理能力。 1 （四）协作配合、确保恢复：各科室要协同配合，确保在最 短的时间内完成系统的恢复。 三、应急措施 （一）网络信息系统故障的应急处理流程 1．报告和简单处理 网络设备、网络应用系统故障应由发现人通知网管人员， 网络管理员立即检查故障，进行初步故障定位。如果网络、 应用系统出现比较严重的问题，对网络业务的正常运行造成 较大的影响，需立即向有关领导报告。 2．故障判断与排除 对简单故障，网络管理人员应迅速排除故障，解决问题 并记录。如果需要更换设备，应上报科室负责人，经批准后 马上更换故障设备，尽快恢复网络、应用系统运行。网管人 员判断无法及时修理时，应立即通知相关的系统运行服务提 供商，在最短的时间内安排修理或更换系统。 3．网络线路故障排除 如发现属外部线路的问题，应与线路服务提供商联系， 敦促对方尽快恢复故障线路。 4．启用备份线路、设备、系统（如果存在的话） ，迅速恢复 相关的应用。 （二）黑客入侵的应急处理 1. 报告和简单处理 2 发现网络上有黑客攻击行为，任何人员都有义务向网管 人员报告。网管人员立即启动应急响应，切断受攻击计算机 与网络的连接， 停止一切操作、 保护现场， 并上报有关领导。 2．处理和恢复使用 对于黑客攻击，由网络与信息安全应急处理小组负责查 找入侵踪迹，分析入侵方式和原因。由网络管理员根据对入 侵事件的分析，组织相关人员对内部网计算机整改，防止黑 客用同样的手段再次入侵其他系统。网络管理员检查确定无 安全隐患后，才可将受攻击计算机重新连接网络，或启用备 份计算机来恢复应用。 3．应急响应 网络管理员应做好记录，保护现场，进行日志收集等工 作。如果能追查到攻击者的相关信息，可以对其发出警告， 必要时可以采取进一步的行动，乃至采取法律手段。根据破 坏程度，经有关领导同意后，上报公安部门。若系统已被黑 客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据 备份到其他存储介质，确保计算机内重要的数据不丢失。如 果数据无法恢复，经有关领导同意后，可与国家指定的部门 联系，由他们来协助恢复，为保证数据信息安全，需在安全 管理部门作记录。 （三）大规模病毒（含恶意软件）攻击的应急处理 1．报告和简单处理 3 发现网络上有大规模病毒攻击的行为，任何人员都有义 务向网管人员报告。由网管人员组织应急响应，切断受攻击 计算机与网络的连接，停止一切操作、保护现场，立即上报 有关领导。 2．已知病毒的处理和恢复 使用最新版本杀毒软件对染毒计算机进行全面杀毒，并 对染毒计算机系统进行漏洞修补。网络管理员确定没有病毒 和安全漏洞后，再连接网络恢复使用。 3．未知病毒的处理和恢复 观察网管软件根据监视窗口的链路状态，由此判断感染 病毒或恶意程序的客户端、服务器所科的楼层交换机。打开 该交换机的端口流量分析窗口，根据流量判断感染病毒或恶 意程序的客户端所科交换机端口。关闭该交换机端口，隔离 该工作站、服务器，阻断与局域网的连接。根据端口状态功 能，查看该感染病毒或恶意程序的工作站的 IP 地址。根据 IP 地址信息找到该工作站的具体位置， 对该工作站进行病毒 或恶意程序清除工作。根据对于未知病毒，应首先尝试手工 杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒 的计算机上的硬盘加挂到其他机器上处理，将重要数据备份 到其他存储介质，尽最大努力保护、保留感染计算机内重要 的数据， 同时防止病毒感染其他计算机。 如果数据无法恢复， 经有关领导同意后，可与国家指定的反病毒部门联系，由他 4 们来协助恢复，为保证数据信息安全，需在安全管理部门作 记录。如为涉及国家秘密的数据，不允许由其他机构来恢复 数据 5