电子病历信息泄露应急演练脚本.docxVIP

电子病历信息泄露应急演练脚本

202X年X月X日8:15，医院信息科网络安全监控室值班人员张磊通过医院信息安全管理平台（HIS系统配套监控模块）发现告警信息：心内科医生刘浩的账号于当日8:10-8:14期间，先后被2个陌生IP地址（IP1：113.xxx.xxx.214，归属地北京；IP2：120.xxx.xxx.34，归属地广东）异常登录，累计下载207份电子病历，其中包含162份住院患者病历、45份门诊患者病历，涉及患者姓名、身份证号、诊断结果、住院记录、用药方案等核心隐私信息。

一、应急响应启动（8:15-8:30）

8:16张磊第一时间通过医院内部OA系统上报信息科主任李军，并同步导出异常登录日志、病历下载记录等原始数据，加密存储至专用离线存储设备，未对涉事服务器及账号进行任何修改操作，确保数据溯源的完整性。

8:18李军核实告警信息后，立即致电分管信息工作的副院长、医院应急处置总指挥王涛，汇报异常情况：“王院长，信息科监控到心内科医生刘浩账号被异地陌生IP登录，已下载207份患者电子病历，初步判断为账号被盗导致信息泄露，请求启动应急处置机制。”

8:22王涛根据《医院网络安全与患者隐私保护应急预案》，结合泄露病历数量、涉及隐私敏感程度，判定该事件为较大级别信息泄露事件，立即启动二级应急响应，同时组建应急处置指挥部，成员包括信息科、医务科、患者服务中心、法务部、保卫科、心内科等部门负责人，指挥部下设技术处置组、患者沟通组、调查溯源组、舆情监控组4个专项工作组。

8:28王涛通过医院应急指挥平台召开首次线上部署会：“各工作组立即按预案开展处置，技术处置组优先切断异常访问、保护数据现场；患者沟通组尽快梳理涉事患者名单，制定统一沟通口径；调查溯源组联动网安部门开展线索追踪；舆情监控组实时监测社交平台、投诉渠道的动态，每30分钟上报一次进展。”

二、专项工作组处置（8:30-12:00）

（一）技术处置组（信息科牵头）

8:32技术处置组组长李军指令张磊临时冻结刘浩的HIS系统账号权限，同时通过防火墙对涉事陌生IP进行全域拦截，禁止其访问医院任何内部系统。

8:40技术人员对刘浩账号的登录日志进行全量复盘：发现该账号近7天内累计出现12次异常登录尝试，均为境外代理IP跳转至境内落地地址，最终成功登录的2次IP来源于黑产常用的代理服务器集群；进一步排查发现，刘浩的账号密码为“123456a”（弱密码，未达到医院密码复杂度要求），且于3天前点击了伪造的“医院系统升级通知”钓鱼链接，导致密码被窃取。

8:55技术组对涉事HIS服务器进行日志备份，备份文件加密后移交保卫科封存，同时对服务器的对外访问端口进行临时限制，仅保留医生工作站、收费处等核心业务的必要端口，禁止批量下载病历操作（单次下载上限调整为5份，超过需提交科室主任审批）。

9:10技术组完成全院医护人员账号的弱密码排查：共排查到37个账号使用弱密码（如姓名拼音+123、生日组合等），立即通过系统强制重置这些账号的密码，并推送短信提醒用户修改为符合复杂度要求的密码（8位以上含数字、字母、特殊字符）。

（二）患者沟通组（医务科+患者服务中心牵头）

8:35医务科主任赵刚指令干事王丽调取心内科的患者登记信息，结合信息科提供的下载病历编号，1小时内梳理完成207名涉事患者的完整名单，包含姓名、性别、年龄、联系方式、诊断结果、就诊时间等信息，其中192名患者预留有效手机号，15名患者的联系方式为空或已停机。

9:00患者服务中心主任陈静组织制定《患者告知模板》，明确沟通口径：“您好，我是XX医院患者服务中心工作人员，因我院系统账号被盗，您的电子病历信息不慎泄露，我们已第一时间切断异常访问，并联动公安部门开展调查。我院将为您提供免费的隐私安全监测服务，若您收到诈骗电话、骚扰信息，请立即联系我们或报警，我们也会承担由此产生的合法合理损失。”

9:30患者服务中心安排6名专职人员通过电话、短信同步告知涉事患者：截至12:00，已成功联系192名预留有效手机号的患者，其中185名患者表示理解，7名患者提出疑问或诉求（包括要求赔偿、担心信息被用于诈骗等），工作人员逐一记录并承诺24小时内给予回复；对于15名无法联系的患者，通过医保系统、社区卫生服务中心联动查找其最新联系方式，同时在患者就诊的心内科门诊张贴告知公告。

（三）调查溯源组（保卫科+法务部牵头）

8:40保卫科主任刘强带领安保人员调取刘浩近3天的行踪监控：发现其于3天前在医院附近的连锁咖啡店使用公共WiFi登录HIS系统，且在店内点击过手机短信链接，为后续密码被窃取的线索提供了支撑。

9:05法务部主任林敏梳理《个人信息保护法》《医疗数据安全管理规范》《网络安全法》等法律法规，判定医院需承担的责任：包括对涉事