医院信息系统安全应急预案

1、医院信息系统安全应急预案 1xxx 信息系统安全应急预案 为防止因医院信息系统安全故障而影响全院正常医疗秩序， 确保全院各系统、 终端能够安全高效的运行， 特制定本预案。一、组织机构我院信息系统安全应急工作， 由信息系统故障应急小组统一 领导。成立网络与信息安全应急处理小组， 负责信息安全日常 事务处理、应急处理及安全通报等事务。 组长： X X(1380XXXXXXX ) 副组长： XXX ( 1380XXXXXXX ) 成员： XXXX ( 1872XXXXXX ) X X (1387XXXXXX ) X X ( 152XXXXXXX ) XXXX ( 158XXXXXX ) XXX (

2、135XXXXXXX ) XX X(15XXXXXXX)二、工作原则(一) 明确责任、分级负责：按照“谁主管谁负责，谁运行谁负责”的要求， 逐级建立并落实统计信息系统责任制和应急制。（二）加强领导、分工合作：各单位应按照规定的职责和流 程，实施统计信息系统的应急处理工作。（三）积极预防、及时预警：各单位应及早发现安全事件， 及时进行预警和信息通报； 积极做好应急处理准备， 提高对安全 事件的预防和应急处理能力。（四）协作配合、确保恢复：各单位要协同配合，确保在最 短的时间内完成系统的恢复。三、应急措施（一）网络信息系统故障的应急处理流程1报告和简单处理网络设备、 网络应用系统故障应由发现人通知

3、信息科， 网络 管理员立即检查故障，进行初步故障定位。如果网络、应用系统 出现比较严重的问题，对网络业务的正常运行造成较大的影响， 需立即向有关领导报告。2故障判断与排除对简单故障， 网络管理人员应迅速排除故障， 解决问题并记 录。如果需要更换设备，应上报科室负责人，经批准后马上更换 故障设备，尽快恢复网络、应用系统运行。信息科判断无法及时 修理时， 应立即通知相关的系统运行服务提供商， 在最短的时间内安排修理或更换系统。3网络线路故障排除如发现属外部线路的问题， 应与线路服务提供商联系， 敦促 对方尽快恢复故障线路。4启用备份线路、设备、系统（如果存在的话） ，迅速恢复 相关的应用。（二）黑

4、客入侵的应急处理1.报告和简单处理发现网络上有黑客攻击行为， 任何人员都有义务向信息科报 告。信息科立即启动应急响应， 切断受攻击计算机与网络的连接， 停止一切操作、保护现场，并上报有关领导。2处理和恢复使用对于黑客攻击， 由网络与信息安全应急处理小组负责查找入 侵踪迹， 分析入侵方式和原因。 由网络管理员根据对入侵事件的 分析，组织相关人员对内部网计算机整改， 防止黑客用同样的手 段再次入侵其他系统。 网络管理员检查确定无安全隐患后， 才可 将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。3应急响应网络管理员应做好记录，保护现场，进行日志收集等工作。 如果能追查到攻击者的相关信息，

5、可以对其发出警告， 必要时可 以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有 关领导同意后， 上报公安部门。 若系统已被黑客破坏， 无法恢复， 应将受黑客攻击的计算机上的重要数据备份到其他存储介质， 确 保计算机内重要的数据不丢失。 如果数据无法恢复， 经有关领导 同意后，可与国家指定的部门联系，由他们来协助恢复，为保证 数据信息安全，需在安全管理部门作记录。（三）大规模病毒（含恶意软件）攻击的应急处理1报告和简单处理发现网络上有大规模病毒攻击的行为， 任何人员都有义务向 信息科报告。 由信息科组织应急响应， 切断受攻击计算机与网络 的连接，停止一切操作、保护现场，立即上报有关领导。

6、2已知病毒的处理和恢复使用最新版本杀毒软件对染毒计算机进行全面杀毒， 并对染 毒计算机系统进行漏洞修补。 网络管理员确定没有病毒和安全漏 洞后，再连接网络恢复使用。3未知病毒的处理和恢复观察网管软件根据监视窗口的链路状态， 由此判断感染病毒 或恶意程序的客户端、 服务器所科的楼层交换机。 打开该交换机 的端口流量分析窗口， 根据流量判断感染病毒或恶意程序的客户 端所科交换机端口。 关闭该交换机端口， 隔离该工作站、 服务器， 阻断与局域网的连接。 根据端口状态功能， 查看该感染病毒或恶 意程序的工作站的 IP 地址。根据 IP 地址信息找到该工作站的具体位置，对该工作站进行病毒或恶意程序清除工作。根据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法 恢复，应将感染病毒的计算机上的硬盘加挂到其他机器上处理， 将重要数据备份到其他存储介质，尽最大努力保护、保留感染计 算机内重要的数据，同时防止病毒感染