医护人员手机APP信息泄露应急处置演练脚本.docxVIP

医护人员手机APP信息泄露应急处置演练脚本

演练实施流程及场景还原

一、演练启动（09:00-09:05）

信息科监控专员小李正通过医院数据安全监测平台例行巡检，屏幕上突然弹出多组异常告警：某医护人员移动工作APP的用户“张XX（内科主治医师）”连续15次触发异地登录验证，登录IP分别归属不同省外城市；同时，该账号下的患者病历查询请求量在10分钟内达到日常峰值的8倍，且涉及的患者覆盖内科、外科、妇产科等多个非关联科室。小李立即切换至数据溯源模块，发现这些查询请求均通过该医护人员的手机APP客户端发起，而非医院内网系统，且账号登录时未触发预设的设备绑定验证——这意味着账号极有可能已被盗用，存在患者隐私信息泄露风险。

小李第一时间在医院信息安全应急响应群内@信息科主任王XX及网络安全工程师小赵，同步告警详情并上传监测截图。王主任随即启动《医院移动医护APP信息泄露应急预案》，通知应急处置小组全体成员5分钟内到信息科会议室集合，同时安排小李持续监测该账号的操作行为，一旦发现批量下载、转存数据的动作，立即执行账号临时冻结操作。

二、初步研判与应急处置（09:05-09:30）

应急处置小组由信息科、医务科、护理部、院办、法务部及第三方安全服务商技术人员组成，全体成员到齐后，王主任首先通报告警信息：“目前监测到内科张医生的移动医护APP账号存在异常异地登录及跨科室病历查询行为，初步判断账号已被盗用，可能涉及患者隐私信息泄露。请各部门按预案分工开展工作。”

网络安全工程师小赵随即通过后台调取该账号的操作日志，逐一梳理异常行为轨迹：08:42，账号首次在省外某城市通过未知设备登录，系统弹出设备验证提示，但验证请求被跳过；08:45，账号开始批量查询内科32位患者的病历信息；08:50，转向查询外科18位术后患者的住院记录；08:58，尝试访问妇产科的孕产妇档案库，但因权限不足被系统拦截；截至09:00，该账号已累计查询67份患者病历，暂未发现批量下载或转存数据的操作。小赵同时排查了APP服务器的安全日志，未发现系统被入侵的痕迹，初步排除平台漏洞导致的泄露，大概率是用户端的账号密码泄露。

医务科主任李XX立即通过医院内部OA系统联系张医生，张医生此时正在内科病房查房，接到通知后回忆：“昨天晚上我用手机登录过APP，之后手机放在诊室抽屉里，可能被保洁人员或者患者家属看到了密码？不对，我的密码是‘数字+字母’组合，应该不会轻易被猜到……哦对了，上周我在医院外面的咖啡店连接过免费WiFi，当时还登录了APP查看患者病历，会不会是WiFi被劫持了？”

李主任随即协调张医生暂时停止临床工作，到信息科配合调查，同时安排护理部临时接替张医生的查房及诊疗工作，确保临床秩序不受影响。法务部专员小孙则同步整理《个人信息保护法》《医疗机构病历管理规定》等相关法规，评估此次事件的合规风险，为后续处置提供法律依据。

信息科随即采取三项紧急处置措施：一是由小赵远程冻结张医生的移动医护APP账号，暂停其所有移动端操作权限；二是小李通过数据安全平台对该账号查询过的67份病历设置访问限制，除患者主治医生及医务科授权人员外，其他人员不得查看；三是第三方安全服务商技术人员对移动医护APP的用户端进行全面扫描，排查是否存在恶意软件植入、密码窃取等情况。

三、根源排查与风险评估（09:30-10:30）

为明确账号被盗用的原因，第三方安全服务商技术人员对张医生的手机进行现场检测，发现手机内存中存在一款伪装成“医护工具包”的恶意软件，该软件具备键盘记录功能，可实时捕获用户输入的账号密码并通过加密通道发送至境外服务器。张医生回忆：“上周科室同事发了一个微信群聊，里面有个‘医护常用计算公式小程序’的安装包，我当时没多想就下载安装了，后来觉得不好用就删除了，没想到是恶意软件。”

第三方技术人员随即对该恶意软件的传播路径进行溯源，发现安装包是通过某不知名链接转发至科室微信群，链接已被短网址加密，无法直接追踪源头，但通过分析恶意软件的代码特征，确认其属于近期针对医疗行业的定向攻击样本，主要通过伪装成医护常用工具、学术资料等方式诱导下载，进而窃取移动医护APP的账号密码。

与此同时，信息科联合医务科对张医生的账号权限及查询过的67份病历进行风险评估：一是该账号属于主治医师权限，可查看本科室患者的完整病历及其他科室患者的部分公开信息（如姓名、性别、诊断结果等），无法查看患者的身份证号、银行卡号等核心隐私信息；二是异常操作仅停留在查询环节，未涉及下载、打印、转存等动作，因此泄露的信息范围有限，未达到批量泄露的程度；三是通过比对异常查询的病历与张医生的日常诊疗范围，确认均为非关联患者，可排除“主动泄露”的可能，属于被动被盗用导致的风险事件。

法务部根据评估结果出具初步意见：此次事件未造成核心隐私