医院信息网络安全应急预案.docxVIP

医院信息网络安全应急预案

第一章总则

第一条目的

为在突发网络安全事件发生时，最大限度降低对医院业务连续性、患者隐私、医疗数据完整性和社会声誉的损害，依据《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》等法规，结合本院网络拓扑、业务特点、人员编制及既往演练经验，制定本预案。

第二条适用范围

本预案覆盖医院全部IP地址段、无线网络、物联网医疗设备、远程医疗平台、云灾备节点、第三方接口、外包运维驻场区域及员工个人终端。适用事件包括：勒索软件感染、数据泄露、网页篡改、DDoS攻击、供应链投毒、内部人员违规操作、APT潜伏、物联网设备被控、电力及通信中断引发的衍生安全事件。

第三条工作原则

1.生命优先：任何处置动作不得影响正在进行的急救、手术、ICU生命支持系统。

2.最小化断网：先隔离再研判，能用微隔离绝不拉总闸。

3.溯源与止血并重：边封堵边留痕，确保后续取证。

4.统一指挥：事件发生后5分钟内由“网络安全应急指挥部”接管，任何科室及个人不得擅自对外发布信息。

5.真实透明：对内报告不遮不掩，对外披露遵守卫健委、网信办统一口径。

第二章组织体系

第四条指挥部构成

指挥长：分管信息化副院长

副指挥长：信息中心主任、保卫处处长

成员：医务部、护理部、门诊部、住院部、财务科、医保办、设备科、宣传科、法务、临床科室代表、第三方安全公司、运营商驻场经理。

第五条专业小组

1.监测预警组：7×24小时SOC轮值，负责日志汇聚、威胁情报消费、SIEM规则调优。

2.研判溯源组：由安全公司渗透测试工程师、医院数据库管理员、网络架构师组成，负责样本分析、流量取证、后门定位。

3.医疗业务保障组：由医务部、护理部、门急诊主任、手术室护士长组成，负责评估信息系统停机对临床路径的影响，启动手工流程。

4.通信联络组：由院办、宣传科、法务组成，统一对接卫健委、公安、网信办、媒体、患者家属。

5.恢复重建组：由信息中心、系统厂商、云服务商、数据库维保商组成，负责重装系统、补丁加固、数据回滚、业务验证。

6.监督检查组：由纪委、审计、法务组成，对应急处置全过程进行合规审计，事后出具《责任认定书》。

第六条应急角色清单

A角：指挥长，拥有“一键断网”最高权限。

B角：信息中心副主任，当A角不在场时自动升格。

C角：值班安全工程师，负责0级研判及首次通报。

D角：临床科室安全员，每科2人，负责本科室终端离线、手工单据切换。

第三章监测与预警

第七条日志源清单

核心交换机NetFlow、防火墙IPS、WAF、EDR、VPN、AD、EMR、PACS、LIS、RIS、HIS、手麻系统、移动护理PDA、输液泵物联网网关、视频监控平台、UPS、精密空调、门禁、消防主机。

第八条威胁情报接入

国家级：国家卫健委网络安全威胁预警平台；

行业级：医疗行业CERT、公安网安“护网”情报；

商业级：3家威胁情报厂商API；

私有级：兄弟医院共享IOC。

第九条预警分级

Ⅳ级（蓝色）：单台终端异常，未横向移动；

Ⅲ级（黄色）：多台终端沦陷，或重要业务CPU占用80%持续5分钟；

Ⅱ级（橙色）：核心系统被加密、数据库被删、患者数据批量导出；

Ⅰ级（红色）：勒索软件已扩散至生产网，或已造成急诊、手术、ICU停机。

第十条自动封禁策略

SIEM与防火墙联动，同一源IP在3分钟内触发5条高危规则，自动封禁2小时；对境外APT常用IP段，永久封禁；对院内医用物联网MAC地址白名单外的新增设备，一经发现立即隔离VLAN。

第四章应急响应流程

第十一条事件发现

1.临床人员发现：医生工作站弹出勒索界面、护士PDA无法扫码、影像调阅灰屏。

2.监控系统发现：SOC弹出“横向移动”“永恒之蓝”“Pass-the-Hash”告警。

3.外部通报：公安、卫健委、患者、媒体电话通报官网被篡改。

第十二条5分钟快速处置

1.值班安全工程师立即电话报告C角，同时登录堡垒机，对受害网段做“微隔离”，只关闭SMB、RDP、SSH端口，保留HL7、DICOM工作端口。

2.C角3分钟内到达机房，确认隔离有效性，拍照发微信群。

3.若临床报修电话5通，则自动升格为Ⅱ级事件，B角10分钟内到场。

第十三条30分钟研判

1.研判溯源组提取内存、硬盘、流量三大证据。

2.使用E