医院突发信息网络安全事件应急预案.docxVIP

医院突发信息网络安全事件应急预案

一、事件分级标准与定义

根据《网络安全法》《关键信息基础设施安全保护条例》及医疗行业特性，结合事件对医院信息系统功能、数据安全、业务连续性的影响程度，将突发信息网络安全事件分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）四个等级，具体判定标准如下：

（一）特别重大信息网络安全事件（Ⅰ级）

满足以下任意一条即判定为Ⅰ级：

1.核心业务系统（HIS、电子病历、LIS、PACS等）出现全网瘫痪，持续时间超过4小时，导致门急诊、住院、手术等关键医疗业务全面停滞，影响患者诊疗超过500人次；

2.发生大规模数据泄露或篡改，涉及患者个人信息（含身份证号、诊疗记录、影像资料等）超过5万条，或涉及医院核心运营数据（如财务数据、药品库存、设备管理信息）超过1万条；

3.攻击者通过勒索软件加密医院关键数据，且无法通过本地备份恢复，导致至少3个以上临床科室（如急诊、ICU、手术室）无法开展正常诊疗工作；

4.网络攻击行为直接影响医疗设备（如影像设备、检验仪器、生命支持系统）的正常运行，造成患者生命安全受到威胁或引发医疗事故。

（二）重大信息网络安全事件（Ⅱ级）

满足以下任意一条即判定为Ⅱ级：

1.核心业务系统部分功能失效（如挂号、收费模块中断），或非核心系统（如OA、后勤管理系统）全网瘫痪，持续时间超过2小时但不足4小时，影响门急诊或住院业务超过200人次；

2.数据泄露或篡改涉及患者个人信息1万-5万条，或医院运营数据5000-1万条，存在被恶意利用风险；

3.勒索软件攻击影响单个临床科室（如放射科、检验科）数据存储，导致该科室业务中断超过2小时；

4.网络攻击导致部分医疗设备（如心电监护仪、输液泵）连接异常，需人工干预维持运行，但未直接造成患者伤害。

（三）较大信息网络安全事件（Ⅲ级）

满足以下任意一条即判定为Ⅲ级：

1.单个业务系统（如门诊分诊系统、体检系统）局部功能异常，持续时间超过1小时但不足2小时，影响患者诊疗超过50人次；

2.数据泄露或篡改涉及患者个人信息1000-1万条，或医院运营数据1000-5000条，未造成明显负面影响但存在安全隐患；

3.发现恶意软件（如间谍软件、广告软件）在医院内网传播，感染终端设备超过50台，但未影响业务系统运行；

4.网络攻击导致部分办公终端（如医生工作站、护士站电脑）无法访问互联网或内部系统，需重启设备恢复。

（四）一般信息网络安全事件（Ⅳ级）

未达到Ⅲ级标准但需关注的安全事件，包括：单个终端设备感染病毒、非核心系统页面篡改（如医院官网次要栏目）、小规模数据异常（如1000条以下患者信息字段错误）等，影响范围局限于个别部门或少量用户，可在1小时内恢复。

二、应急组织体系与职责

医院设立网络安全应急指挥部（以下简称“指挥部”），作为事件最高决策机构，由院长任总指挥，分管信息工作的副院长任副总指挥，成员包括信息中心、医务部、护理部、门诊部、保卫科、药学部、财务部、法律事务部等部门负责人。指挥部下设五个专项工作组，明确职责分工如下：

（一）综合协调组

组长：院办公室主任

成员：院办公室、信息中心行政岗人员

职责：

1.负责指挥部会议组织、记录及指令传达，协调各工作组协同作战；

2.跟踪事件进展，汇总各工作组日报/即时报告，向指挥部提交决策建议；

3.对接上级卫生健康行政部门、公安网安部门、通信运营商等外部单位，及时报送事件信息；

4.管理应急物资（如备用服务器、网络设备、存储介质），确保物资调配及时。

（二）技术处置组

组长：信息中心主任

成员：信息中心技术骨干、第三方运维服务商驻场工程师、外部网络安全专家（签约合作单位）

职责：

1.负责事件监测、确认与定级，通过流量分析（如部署的入侵检测系统、日志审计平台）、终端排查（如EDR端点检测响应工具）锁定攻击源、受影响范围及威胁类型；

2.实施网络隔离（如划分临时VLAN、关闭非必要端口）、系统加固（如补丁修复、权限重置）、数据恢复（如从异地容灾中心调取备份）等技术措施；

3.对攻击过程进行全链路溯源，留存日志、流量包、终端取证数据等证据，配合公安部门调查；

4.评估系统恢复可行性，制定分阶段恢复方案（如优先恢复HIS系统挂号模块→收费模块→医嘱模块），并监督实施。

（三）业务保障组

组长：医务部主任

成员：医务部、门诊部、护理部、各临床科室主任、住院总医师

职责：

1.协调临床科室启动手工诊疗流程（如手写处方、纸质登记检查申请单），最大限度减少系统中断对患者的影响；

2.统计受影响患者数量