醫療機構網絡安全事件應急處置規范SpecificationsforEmergencyHandlingofNetworkSecurity廣東省計算機信息網絡安全協會發布T/GDNS005—2023 醫療機構網絡安全事件應急處置規范 2規范性引用文件 3術語和定義 3.1安全攻擊事件securityattackincident 3.2數據安全事件datasecurityincident 23.3設備設施故障equipmentandfacilitiesfailure 23.4災害性事件disasterevent 23.5重要數據criticaldata 23.6重要信息系統importantinformationsystem 23.7事發單位incidentunit 24組織機構與職責 24.1應急領導小組設置 34.2應急領導小組職責 34.3應急工作小組設置 34.4應急工作小組職責 35安全事件分類與分級 35.1事件分類 35.1.1安全攻擊事件 35.1.2數據安全事件 45.1.3設備設施故障 45.1.4災害性事件 55.1.5其他事件 55.2事件分級 55.2.1特別重大網絡安全事件(Ⅰ級） 55.2.2重大網絡安全事件(Ⅱ級） 65.2.3較大網絡安全事件(Ⅲ級） 75.2.4一般網絡安全事件(Ⅳ級） 76安全事件響應與處置 76.1事件報告 76.2應急處置說明 86.2.1I、Ⅱ級網絡安全事件處置 86.2.2Ⅲ、Ⅳ級網絡安全事件處置 9T/GDNS005—20236.3網絡安全事件常規應急處置技術措施 6.3.1安全攻擊事件應急處置措施 6.3.2數據安全事件應急處置措施 6.3.3設備設施故障應急處置措施 6.3.4不可抗拒因素引發的重大、特大事故應急處置措施 6.4應急結束 6.5成因分析與總結 6.5.1成因分析 6.5.2事件總結 7應急準備與強化防范 7.1建立應急響應機制 7.1.1組建應急隊伍 7.1.2維護應急通訊錄 7.1.3應急物資與裝備 7.1.4制定專項應急預案并定期開展應急演練 7.1.5安全意識宣導 7.2重要時期強化安全措施 附錄A（規范性）安全事件級別劃分指南 附錄B（資料性）安全事件報告參考模板 附錄C（資料性）醫療機構各級別網絡安全事件處置流程 附錄D（資料性）醫療機構典型安全事件處置案例 T/GDNS005—2023本標準按照GB/T1.1《標準化工作導則第1部分：標準化文件的結構和起草規則》要求編寫。本標準由廣東省計算機信息網絡安全協會提出并歸口。本標準起草單位：廣東省計算機信息網絡安全協會、廣東省人民醫院、南方醫科大學南方醫院、中山大學附屬第一醫院、廣州市第一人民醫院、中山大學附屬腫瘤醫院、中國人民解放軍南部戰區總醫院、南方醫科大學第三附屬醫院、中山大學附屬第三院、中山大學附屬第五醫院、中山大學附屬第六醫院、中山大學附屬第八醫院、佛山市婦幼保健院、肇慶市第一人民醫院、廣東省婦幼保健院、廣州市婦女兒童醫療中心、南方醫科大學珠江醫院、廣州醫科大學附屬第一醫院、廣州醫科大學附屬第二醫院、廣州醫科大學附屬第五醫院、廣州中醫藥大學第一附屬醫院、暨南大學附屬第一醫院、廣東藥科大學附屬第一醫院、廣州市番禺區中心醫院、番禺區何賢紀念醫院、東莞市第六人民醫院、佛山市中醫院、梅州市人民醫院、香港大學深圳醫院、清遠市人民醫院、粵北人民醫院、江門市中心醫院、茂名市人民醫院、陽江市人民醫院、惠州市第六人民醫院、暨南大學附屬順德醫院、順德區第三人民醫院、廣東輕工職業技術學院、廣州理想資訊科技有限公司、工業和信息化部電子第五研究所(中國賽寶實驗室)、廣州市海珠區社區衛生發展指導中心、廣州市番禺區衛生健康局、廣東南方信息安全研究院、廣東網安科技有限公司、江蘇金盾檢測技術股份有限公司、廣東物壹信息科技股份有限公司、中科信息安全共性技術國家工程研究中心有限公司、深信服科技股份有限公司、北京長亭科技有限公司、廣東珠江智聯信息科技股份有限公司、廣東北源律師事務所、奇安信安全技術（廣東）有限公司、綠盟科技集團股份有限公司廣州分公司、深圳市博通智能技術有限公司、深圳市網安計算機安全檢測技術有限公司、廣州粵安網絡技術有限公司、深圳觀安信息技術有限公司、廣東致盛技術有限公司。本標準起草人：楊洋、黃振毅、嚴靜東、余俊蓉、黃榮星、任忠敏、趙霞、張家慶、銀琳、周欣、周郵、陳浩、馬麗明、陳翔、賴志存、曹曉均、鄒志武、陳智、陸慧菁、李斌、林圻、鐘軍銳、林嘉楠、蘇榕彬、何穎新、熊勁光、梁瑞麟、葉欣、龐勤、鄧聯丙、廖茂成、溫明鋒、李衛昌、曾幸輝、莫謀森、吳慶斌、鄭華國、潘天詳、張芳健、廖永紅、劉翰騰、吳銳珍、曾藝、歐陽雪源、羅廣偉、蔡偉標、張偉、陳濤、李帥、黃志群、王健英、才華、陳志峰、高陽、彭麗超、胡建勛、吳瑞、梁健安、譚鑫、植呂梅、王君、謝英婷、周思維、龍軍、葉曦、鄔建偉、莊澤帆。本標準為首次發布。1T/GDNS005—2023醫療機構網絡安全事件應急處置規范本標準規定了醫療機構網絡安全事件的分類與分級、安全事件響應與處置、應急準備與重要時期強化安全措施。本標準適用于醫療機構非涉及國家秘密的信息系統運營使用者、行業主管部門、監管部門以及網絡安全事件應急支撐隊伍使用。其他行業可參考本標準開展網絡安全事件的防范和處置。2規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T20986-2007信息安全技術信息安全事件分類分級指南GB/T38645-2020信息安全技術網絡安全事件應急演練指南GB/T39725-2020信息安全技術健康醫療數據安全指南GB/T28827.3-2012信息技術服務運行維護第3部分：應急響應規范GB/T35273-2020信息安全技術個人信息安全規范GB/T39204-2022信息安全技術關鍵信息基礎設施安全保護要求GB/T37988-2019信息安全技術數據安全能力成熟度模型3術語和定義GB/T25069-2022界定的以及下列術語和定義適用于本文件。3.1安全攻擊事件securityattackincident安全攻擊事件是指通過網絡或其他技術手段，利用信息系統的配置缺陷、協議缺陷、程序缺陷或使用暴力攻擊對醫療機構信息系統實施攻擊，并造成信息系統異常或對信息系統當前運行造成潛在危害的信息安全事件。2T/GDNS005—20233.2數據安全事件datasecurityincident數據安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對信息系統中的數據造成危害，或因數據內容的管理不當，惡意傳播等，對國家、社會、公眾或單位造成負面影響的事件。3.3設備設施故障equipmentandfacilitiesfailure設備設施故障是指由于信息系統自身故障或外圍保障設施故障而導致的信息安全事件，以及人為的使用非技術手段有意或無意的造成信息系統破壞而導致的信息安全事件。3.4災害性事件disasterevent災害性事件是指由于不可抗力對信息系統造成物理破壞而導致的信息安全事件。3.5重要數據criticaldata以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。注：重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。3.6重要信息系統importantinformationsystem是指支撐醫療機構關鍵業務，其信息安全和系統服務關系國家安全、社會秩序、經濟建設、公眾利益的信息系統。如醫院信息系統、電子病歷系統、影像系統、檢驗系統、醫院信息平臺等。3.7事發單位incidentunit發生網絡安全事件的醫療機構。4組織機構與職責3T/GDNS005—2023對于網絡安全事件的統籌指導和應急處置，醫療機構應成立專門的網絡安全應急領導小組和應急工作小組，做好網絡安全事件的應急處置工作。4.1應急領導小組設置應急領導小組一般由總指揮、副總指揮和成員組成。總指揮一般由院長擔任，副總指揮財務處（科）、設備處（科）、總務處（科）、安全保衛處（科）、信息處（科）等相關科室的主要負責人擔任。各醫療機構可結合單位實際情況進行設置。對于已成立網絡安全工作領導小組（或同等職責的小組）的醫療機構，可由上述小組負責。4.2應急領導小組職責研究制定本單位網絡安全應急處置工作規劃、年度計劃和政策措施，協調推進本單位網絡安全應急機制和工作體系建設。發生網絡安全突發事件時，啟動相應預案，組織應急處置。4.3應急工作小組設置應急工作小組一般由信息處（科）或相關科室領導及成員組成，一般包括網絡專家、操作系統專家、數據庫專家、重要系統管理員、網絡空間安全專家、外部技術專家等成員。其他科室予以積極配合。4.4應急工作小組職責接受應急領導小組的應急指令，負責組織、協調、實施應急方案，調配應急資源，及時向領導小組報告應急處置相關信息。5安全事件分類與分級5.1事件分類5.1.1安全攻擊事件安全攻擊事件可以分為有害程序事件、網絡攻擊事件和物理破壞事件等，說明如下：a)有害程序事件包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、僵尸網絡事件、4T/GDNS005—2023混合程序攻擊事件、網頁內嵌惡意代碼事件和其他有害程序事件；如醫療機構重要系統或醫護工作站大面積病毒爆發造成系統死機、業務中斷、網絡癱瘓等。b)網絡攻擊事件分為拒絕服務攻擊事件、后門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、網絡干擾事件和其他網絡攻擊事件；如醫療機構的重要信息系統、官方網站、官方公眾號、官微小程序等被拒絕服務攻擊、后門植入、漏洞入侵等造成系統死機、業務中斷、網絡癱瘓等。c)物理破壞事件是指蓄意地對保障信息系統正常運行的硬件、軟件等實施竊取、破壞造成的網絡安全事件。5.1.2數據安全事件數據安全事件可分為數據泄露事件、數據破壞事件、數據內容安全事件等，說明如下：a)數據泄露事件分為外部攻擊竊取事件和內部人員泄露事件。外部攻擊竊取如利用信息系統漏洞非法獲取信息系統數據庫；內部人員泄露事件包含內部人員有意或無意泄露如處方信息、用藥信息、患者信息、程序源代碼等敏感數據；b)數據破壞事件分為數據篡改事件、數據破壞事件、數據丟失事件。數據篡改事件如官方網站、公眾號、小程序等信息公開頁面被篡改，患者病歷數據非授權篡改等；數據破壞事件如重要數據被刪除、被惡意加密等；數據丟失如軟硬件系統故障導致大量數據不可用、缺失或損壞等；c)數據內容安全事件是指利用信息網絡發布、傳播危害國家安全、社會穩定、公共利益及公民隱私的數據安全事件。如發布反動信息、煽動性信息等造成嚴重政治影響的；或因傳染病信息泄露，基因信息泄露、患者個人隱私泄露等事件廣泛傳播、評論形成網上敏感的輿論熱點，出現一定規模炒作等，對被泄露人名譽或財產造成損失的。5.1.3設備設施故障設備設施故障可分為軟硬件自身故障、外圍保障設施故障、人為破壞事故、和其它設備設施故障等4個子類，說明如下：a)軟硬件自身故障是指因信息系統中硬件設備的自然故障、各類云平臺故障、軟硬件設計缺陷或者軟硬件運行環境發生變化等而導致的信息安全事件；5T/GDNS005—2023b)外圍保障設施故障是指由于保障信息系統正常運行所必須的外部設施出現故障而導致的信息安全事件，例如電力故障、外圍網絡故障等導致的信息安全事件；c)人為破壞事故是指人為蓄意的對保障信息系統正常運行的硬件、軟件等實施竊取、破壞造成的信息安全事件；或由于人為的遺失、誤操作以及其他無意行為造成信息系統軟硬件等遭到破壞，影響信息系統正常運行的信息安全事件；d)其它設備設施故障是指不能被包含在以上3個子類之中的設備設施故障而導致的信息安全事件。5.1.4災害性事件災害性事件包括水災、臺風、地震、雷擊、坍塌、火災、恐怖襲擊、戰爭等導致的信息安全事件。5.1.5其他事件其他事件是指不能歸為以上四個基本分類的網絡安全事件。5.2事件分級安全事件分為四級：特別重大網絡安全事件(Ⅰ級）、重大網絡安全事件(Ⅱ級）、較大網絡安全事件(Ⅲ級）、一般網絡安全事件(Ⅳ級），Ⅰ級為最高級。5.2.1特別重大網絡安全事件(Ⅰ級）特別重大事件是指能夠導致特別嚴重影響或破壞的網絡安全事件，符合以下情況之一的為特別重大網絡安全事件：a)發生網絡安全事件，對醫療機構信息系統正常服務造成不良影響，且按照附錄A安全事件級別劃分指南劃分為Ⅰ級的。如醫院信息系統、電子病歷系統、影像系統、檢驗系統、醫院信息平臺等醫療機構重要系統在業務高峰期大面積故障對醫護服務構成特別嚴重影響的。b)面向公眾的便民服務應用如官方網站、醫院公眾號、官微小程序等，其信息公開頁面被篡改為反動信息、煽動性信息等造成嚴重政治影響的；c)造成非公開數據（GB/T39725-20206.2數據級別為4級及以上）如個人屬性數據、個人健康狀況數據、公民醫保數據、門（急）診病歷等數據泄露或被破壞，影響超6T/GDNS005—2023過100萬人的工作、生活，造成特別重大影響的；d)傳染病疫情數據、疾病監測數據、隱私性疾病公民信息或高度保密人員隱私信息泄露或大范圍傳播等,對國家安全、社會秩序、經濟建設和公眾利益構成特別重大威脅或造成特別嚴重不良影響的；e)重大網絡安全事件(Ⅱ級）超過12小時未完成處置的；f)其他對國家安全、社會秩序、經濟建設和公眾利益構成特別重大威脅或造成特別嚴重影響的網絡與網絡安全事件。5.2.2重大網絡安全事件(Ⅱ級）重大事件是指能夠導致較大范圍影響或破壞的且未達到Ⅰ級的網絡安全事件，符合以下情況之一的為重大網絡安全事件：a)發生網絡安全事件，對醫療機構信息系統正常服務造成不良影響，且按照附錄A安全事件級別劃分指南劃分為Ⅱ級的網絡安全事件。如醫院信息系統、電子病歷系統、影像系統、檢驗系統、醫院信息平臺等重要系統存在部分功能故障對醫護服務構成嚴重影響的。b)面向公眾的便民服務應用如官方網站、公眾號、小程序等，其信息公開頁面被篡改，發布虛假或詐騙等信息并已造成嚴重的經濟和社會影響；c)造成非公開數據（GB/T39725-20206.2數據級別為4級及以上）如個人屬性數據、個人健康狀況數據、公民醫保數據、門（急）診病歷等數據泄露或被破壞，影響不超過100萬人的工作、生活，造成重大影響的；d)造成非公開數據（GB/T39725-20206.2數據級別為3級及以上）如住院醫囑、檢查檢驗報告、病程記錄、手術記錄、醫院運營數據等數據泄露或被破壞，影響50萬人以上100萬人以下的工作、生活的，造成重大影響的；e)傳染病疫情數據、疾病監測數據、隱私性疾病公民信息或高度保密人員隱私信息泄露或大范圍傳播等,對國家安全、社會秩序、經濟建設和公眾利益構成重大威脅或造成嚴重不良影響的；f)較大網絡安全事件(Ⅲ級）超過24小時未完成處置的；g)其他對國家安全、社會秩序、經濟建設和公眾利益構成重大威脅、造成重大不良影7T/GDNS005—2023響的網絡與網絡安全事件。5.2.3較大網絡安全事件(Ⅲ級）較大事件是指能夠導致一定范圍影響或破壞的且未達到Ⅱ級的網絡安全事件，符合以下情況之一的為較大網絡安全事件：a)發生網絡安全事件，對醫療機構信息系統正常服務造成不良影響，且按照附錄A安全事件級別劃分指南劃分為Ⅲ級的網絡安全事件。如預約掛號、門診收費等一般醫療業務系統或官方網站、小程序等便民服務系統故障對醫護服務較大影響的。b)面向公眾的便民服務應用如官方網站、公眾號、小程序等，其信息公開頁面被篡改，發布虛假或詐騙等信息并已造成一般的經濟和社會影響；c)造成非公開數據（GB/T39725-20206.2數據級別為3級及以上）泄露或數據被破壞，影響10萬人以上50萬人以下的工作、生活，造成較大影響的；d)較大網絡安全事件(Ⅳ級）超過24小時未完成處置的；e)其他對國家安全、社會秩序、經濟建設和公眾利益構成一般威脅、造成不良影響的網絡與網絡安全事件。5.2.4一般網絡安全事件(Ⅳ級）一般事件是指構成輕微影響或破壞的且未達到Ⅲ級的網絡安全事件，符合以下情況之一的為一般網絡安全事件：a)發生網絡安全事件，對醫療機構信息系統正常服務造成不良影響，且按照附錄A安全事件級別劃分指南劃分為Ⅳ級的網絡安全事件。如預約掛號、門診收費等一般醫療業務系統或官方網站、小程序等便民服務系統故障對醫護服務輕微影響的。b)造成非公開數據（GB/T39725-20206.2數據級別為3級及以上）泄露或數據被破壞，影響50人以上10萬人以下的工作、生活，造成一般影響的；c)其他造成一般損失或一般的不良影響的網絡安全事件。6安全事件響應與處置6.1事件報告8T/GDNS005—2023網絡安全事件發生后，事發單位應結合事件嚴重程度啟動相應級別的應急預案，實施處置并在必要時及時向監管部門報送信息，報送模板可參考附錄B.1突發安全事件快速報告單。應急處置機構應立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好信息通報工作。6.2應急處置說明網絡安全事件應急響應分為四級，分別對應特別重大、重大、較大和一般網絡安全事件，其中I級為最高響應級別。事發單位應根據安全事件的級別，啟動相應級別的應急響應，包括事件預警、事件報告、應急處置等。如發生I、Ⅱ網絡安全事件時，應由院長或分管信息的副院長擔任總指揮指導應急響應；I級事件應在1小時內向行業主管進行報送，II級事件應在2小時內向行業主管進行報送等；與應急相關的其他部門負責人以及相關設備廠商或系統開發商責任人就位，處于隨時待命狀態。6.2.1I、Ⅱ級網絡安全事件處置當發生I、Ⅱ級網絡安全事件后，事發單位可參照附錄C.1I、Ⅱ級網絡安全事件處置流程開展應急處置工作，具體說明如下：（1）事件研判各醫療機構應建立健全安全事件預警預報體系，嚴格執行網絡安全管理制度，加強全網威脅的日常監測、監控和安全管理，對可能引發網絡安全事件的有關信息，要認真收集、分析、判斷，當發生網絡安全事件時，事發單位信息科或相關科室按照5.2事件分級進行事件研判，并啟動相應級別的應急預案，做好相關數據日志記錄留存并逐級報告。（2）事件上報當發生I、Ⅱ級網絡安全事件時，信息科或相關科室立即通知應急領導小組。由應急領導小組在規定時間內上報省（區、市）衛健委，報送模板可參考B.1突發安全事件快速報告單，請求上級行業主管幫助指導，同時向省（區、市）網監匯報。對于涉嫌觸犯法律的，應經請示上級批準后立即向公安機關或網警110報案，涉境外網絡安全事件的，同時向國安部門上報。9T/GDNS005—2023（3）預警發布應急領導小組向全院簽發相應級別的應急響應，并通過通知應急工作小組按照應急預案開展應急處置。當收到應急領導小組的通知后，應急處置小組負責人應及時通知小組成員，并將相關信息通知小組成員，小組成員應做好應急響應的準備工作。（4）處置與恢復應急響應預案啟動后，應急工作小組應參照7.3網絡安全事件應急處置建議，根據信息安全事件的分類，初步確定應急處置方式，立即采取相關措施抑制信息安全事件的影響，避免造成更大損失。通過應急處置成功解決網絡安全事件后，應盡快組織相關人員進行網絡信息系統重建。應急工作小組應當在事件處理完畢后24小時內，參照B.2安全事件應急響應結果報告，將處理結果上報應急領導小組備案。通過對信息安全事件進行匯總、總結及復盤，不斷改進信息安全應急響應預案。6.2.2Ⅲ、Ⅳ級網絡安全事件處置當發生Ⅲ、Ⅳ級網絡安全事件后，事發單位可參照C.1Ⅲ、Ⅳ級網絡安全事件處置流程開展應急處置工作，具體說明如下：（1）事件研判各醫療機構應建立健全安全事件預警預報體系，嚴格執行網絡安全管理制度，加強全網威脅的日常監測、監控和安全管理，對可能引發網絡安全事件的有關信息，要認真收集、分析、判斷，當發生網絡安全事件時，事發單位信息科或相關科室按照5.2事件分級進行事件研判，并啟動相應級別的應急預案，做好相關數據日志記錄留存并逐級報告。（2）事件上報對于評級為發生Ⅲ、Ⅳ級網絡安全事件，由應急領導小組根據事件的影響程度研判是否上報省（區、市）衛健委，如需報模板可參考B.1突發安全事件快速報告單。（3）預警發布應急領導小組向受影響科室簽發相應級別的應急響應，并通過通知應急工作小組按照應急預案開展應急處置。T/GDNS005—2023當收到應急領導小組的通知后，應急處置小組負責人應及時通知小組成員，并將相關信息通知小組成員，小組成員應做好應急響應的準備工作。（4）處置與恢復應急響應預案啟動后，應急工作小組應參照7.3網絡安全事件應急處置建議，根據信息安全事件的分類，初步確定應急處置方式，立即采取相關措施抑制信息安全事件的影響，避免造成更大損失。通過應急處置成功解決網絡安全事件后，應盡快組織相關人員進行網絡信息系統重建。應急工作小組應當在事件處理完畢后三個工作日內，參照B.2安全事件應急響應結果報告，將處理結果上報應急領導小組備案。通過對信息安全事件進行匯總、總結及復盤，不斷改進信息安全應急響應預案。6.3網絡安全事件常規應急處置技術措施不同分類的網絡安全事件應采用針對性的應急處置措施，事發單位應判斷網絡安全事件的分類和嚴重級別，結合單位內部情況及預制的應急預案、策略及流程，采用最有效的處置措施加以實施。附錄D以醫院信息系統故障為示例，提供安全事件處置案例，各醫療機構可結合單位自身實際情況按需開展應急處置。6.3.1安全攻擊事件應急處置措施發生安全攻擊事件時，應立即按照要求進行上報，由單位的網絡安全管理員負責實施，主要應急措施如下：（1）通知相關系統管理員，斷開受攻擊系統的網絡連接，中斷攻擊鏈；因業務連續性要求不能斷網的，嚴格限制受攻擊系統與互聯網及內部其他系統之間的通信，以阻隔攻擊行為；（2）攻擊造成系統無法正常提供服務且預期時間內無法恢復的，應立即啟用應急系統臨時接管服務，包括但不限于①加強單位醫療衛生秩序保障、環境監視工作，組織安保人員進行巡查工作；②及時統一對外發布口徑，窗口工作人員應耐心向患者做好解釋與導流工作；T/GDNS005—2023③啟動單位手工應急預案，先行開具手工醫技處方、收費單據和執行記錄等,系統恢復正常后進行補錄工作。（3）深入分析受攻擊系統的登錄日志、系統日志、應用日志、網絡訪問日志、相關安全系統日志等，溯源安全事件攻擊鏈條；（4）保存系統運行狀態，包括賬戶登錄記錄、網絡連接狀態、文件訪問狀態、進程運行狀態等易失數據，并留存相關攻擊日志、系統審計日志、受攻擊系統拓撲結構及資產清單等以備外部審計；（5）針對安全攻擊暴露的漏洞，通過安裝補丁、修改系統設置、調整邊界安全策略、更新賬戶密碼、關閉不必要端口和服務等方式加固受攻擊系統及同類風險系統；（6）清查受攻擊系統，排查黑客是否植入后門、隱藏賬戶、自啟動程序和服務、計劃任務、可疑文件、未知端口等，做好備份后徹底清除；（7）重點排查應用系統源代碼、應用程序文件、程序配置文件、庫文件等是否被篡改或插入惡意代碼，必要時采用完整安全的副本進行覆蓋；（8）若存在無法有效攔截的安全威脅、新型病毒等，應聯系相關安全廠商緊急升級威脅特征庫，降低受到同類攻擊的風險；（9）確認風險已清理完畢后，逐步恢復系統上線，密切監測系統安全狀況；（10）及時上報處置情況和處置結果。6.3.2數據安全事件應急處置措施發生數據安全事件時，首先應通知單位數據安全主管部門，并根據受影響范圍立即向單位主要領導報告，同時向行業主管部門報備。此類事故由數據安全管理員負責實施，主要應急措施如下：（1）當發生數據泄露事件時，應報告數據安全事件應急領導小組，應急工作小組組織協調人員進行全面檢查，排查系統及數據庫、應用系統等相關日志，及時下線或切斷相關業T/GDNS005—2023務系統網絡連接，防止數據泄露范圍擴大影響，涉及密碼口令泄露時，應立即更新相應的密碼口令；（2）當發生核心數據數據或業務系統大規模數據破壞事件時，應報告數據安全事件應急領導小組，應急工作小組指定數據庫管理員或運維人員進行檢查確認，同時啟動應急預案，暫停相關業務服務，并通知相關業務處室；使用可靠的數據副本恢復數據后重新啟動服務，并立即追查原因。如屬外部攻擊原因的，應立即通過日志等分析攻擊來源。（3）當發生數據內容安全事件時，應立即報告數據安全事件應急領導小組，同時立即啟動應急預案，情況嚴重的經請示上級批準，向公安機關報警，請求警力援助。由公安機關或應急處置領導小組統一指揮，組織協調相關人員進行甄別核實，通過拍照、截圖、記錄、存檔等手段留存相關證據后立即下線清理網絡不良信息，停止不良信息的傳播；造成不良網絡輿情的，應依法依規及時告知事實真相、事件處置情況或答疑釋惑，及時、有效控制事態，正面、有序引導網絡輿論。（4）保存相關證據和日志記錄，必要時公安機關介入。6.3.3設備設施故障應急處置措施發生設備設施故障時，應立即向相關管理員報告，如涉及公有云平臺故障，應立即向云平臺供應商聯系，視故障嚴重程度按需啟動應急預案。此類故障由系統管理員負責實施，主要應急措施如下：（1）涉及業務系統停機或服務中斷的，應及時通告用戶；（2）立即采用備機、搭建臨時系統等方式接管服務；（3）判斷故障節點，查明故障原因，快速搶修故障；（4）故障消除后重新恢復設備設施上線，并做好用戶告知和答疑。6.3.4不可抗拒因素引發的重大、特大事故應急處置措施不可抗拒因素引發的事故主要指因地震、臺風、雷電、火災、水災等不可預測的自然力導致的網絡安全事故。由安全管理員或系統管理員負責實施，主要應急措施如下：T/GDNS005—2023（1）定期做好數據備份，防止因事故造成數據丟失；（2）及時切斷事故區域設備電源，系統管理員通知服務供應商做好相關防護工作，防止硬件設施因事故損壞；（3）在保證人員安全的前提下，及時組織相關人員將硬件設施轉移到安全區域；（4）具備異地容災條件的，迅速啟用異地災備系統應急接管服務。6.4應急結束由應急工作小組提出建議，報應急領導小組批準后結束應急響應，及時通報相關部門，并相應向行業主管部門報備。特殊情況下，需要公安機關介入，通過法律手段保證醫療機構利益時，具體取證流程和相關工具必須符合相關的法律要求。6.5成因分析與總結6.5.1成因分析在網絡安全事件處置完畢后，應對整個安全事件的證據進行匯總和歸納，通過現象的推演和還原來論證事件產生的原因，回溯事件發生的過程，審視單位現有安全防護體系的不足并針對性提高。網絡安全事件成因分析應采取的方法包含以下方面:a)了解事件破壞方法、破壞類型、破壞者或惡意程序的標識和特征，對異常文件進行備份；b)明確攻擊和破壞所跨越的網絡路徑，涉及網絡區域(外網、內網、政務網、無線網)；相應區域的安全檢測與防護措施、安全策略是否適當；c)分析受攻擊系統自身存在可被利用的漏洞，破壞者通過漏洞取得何種權限(破壞是否已取得超級用戶特權)；d)日常的安全監測及定期安全檢查是否存在疏漏。6.5.2事件總結在網絡安全事件得到基本處置后，事發單位應及時對網絡安全事件的經過、成因、影響及整改情況進行總結并對其所造成的損失進行評估，填寫安全事件應急處置報告單，報告模板可參照附錄B.2安全事件應急響應結果報告單，并上報行業主管部門和監管部門，作為改進應急響應工作及信息系統的重要依據。對技術難度大、原因不明確的安全事件，專家隊T/GDNS005—2023伍可進行會商與研判，對網絡安全事件進行深入分析，提供解決對策預防此類事件的再次發生。對應急響應工作的總結應考慮以下幾點：a)應急響應工作的流程及效果是否達到預期；b)應急處置工作的經驗與得失；c)前期的應急準備工作的充分性和有效性；d)應急事件發生的數量和頻率，事件成因是否暴露出安全防護結構性問題；e)其他信息系統是否存在類似的安全隱患；f)建立安全事件應急處置歷史臺賬，總結歷史安全事件處置方法與流程，通過培訓和演練等知識傳遞提升單位應急處置能力。7應急準備與強化防范7.1建立應急響應機制7.1.1組建應急隊伍建立網絡安全應急組織，如應急領導小組、應急工作小組、安全值班室等。建立網絡安全專家庫，加強技術交流和技術培訓，提高單位處理突發網絡安全事件的能力。加入省（區、市）網監等安全主管單位通報平臺，第一時間處理安全突發事件。加入省級衛生健康系統網絡安全通報平臺，及時上傳下達，提高單位安全事件聯動處置能力。7.1.2維護應急通訊錄單位應設立專門的網絡安全應急24小時值班電話，并做到電話號碼不變、傳真號碼不變、電子郵件不變。應急響應小組人員的電話、手機、電子郵件等聯系方式應及時更新、及時分發或公開，并保持暢通。除維護單位內部應急通訊錄以外，外部應急資源也應納入通訊錄管理，包括與各級政府有關部門、省市公安廳網監部門、國家信息安全權威機構、相關通信運營商、應急服務商、信息系統及設備廠商等作為應急支援單位。7.1.3應急物資與裝備根據潛在突發事件的性質和后果，結合單位信息系統與安全防護體系實際情況，制定應急裝備與備品備件的配置標準，購置和儲備應急所需的物資，制作應急物資清單表。對應急裝備和物資進行定期檢查、維護與更新，保證應急物資始終處于完好狀態。加強應急備品備T/GDNS005—2023件的動態管理，及時補充和更新應急物資清單表。制定應急物資和裝備的年度采購計劃，并納入單位的年度總預算，切實保證應急物資的資金投入，應急資源清單須每年更新。7.1.4制定專項應急預案并定期開展應急演練醫療機構應結合單位實際情況建立總體應急預案、處置措施、處理流程及演練機制。為重要信息系統如醫院信息系統、電子病歷系統、影像系統、檢驗系統、醫院信息平臺等單獨制定專項信息安全應急預案。至少每年舉辦一次網絡安全演練，檢驗應急響應團隊的準備程度，發現和解決潛在的安全問題。網絡安全演練應包括模擬各種安全攻擊和數據安全事件，可開展桌面推演、模擬演練、實操演練等多種形式的演練，以檢驗應急預案的可行性、應急準備的充分性、應急機制的協調性及相關人員的應急處置能力，及時總結演練中發現問題，不斷完善應急預案，形成長效的應急處理機制。此外，日常應急響應工作中發現的安全問題，應持續跟進、反復驗證，將詳細處置辦法及過程結果以應急響應報告的形式進行保存，逐步建立網絡安全事件處置知識庫。7.1.5安全意識宣導信息安全是一項需要長期開展的工作，它不僅涉及技術而且涉及到人員，信息系統運營使用者應關注員工網絡安全意識，將網絡安全意識培訓加入年度培訓計劃，通過會議、講座、視頻、動畫、宣傳等一種或多種方式積極宣傳網絡安全有關的法律法規、安全事件案例分析、內部安全制度等。培訓對象不僅包括內部員工還應包括相關第三方合作伙伴和服務商。7.2重要時期強化安全措施在國家重要活動、會議期間，單位應建立重要時期安全保障工作流程，加強網絡安全事件的防范和應急響應，確保網絡安全。重要時間前開展針對性的安全隱患排查，摸清家底、全面滲透、全面加固，及時消除安全風險；重要時間加強網絡安全監測和分析研判，聯防聯控，及時消除可能造成重大影響的風險和隱患；重點科室、重點崗位保持24小時現場或電話值班，及時發現和處置網絡安全事件隱患。T/GDNS005—2023（規范性）安全事件級別劃分指南A.1分級要求與賦值網絡安全事件分級的主要參考要素為：信息系統的重要程度、影響持續時間、信息系統受損程度。a）醫療機構信息系統的重要程度按照其等級保護定級情況劃分為4級，具體劃分方法見表A.1。表A.1信息系統重要程度賦值表賦值安全保護等級1第一級2第二級3第三級4第四級5第五級注：未劃分安全保護等級的系統，其劃分方法可參照GB/T22240-2020。b）影響持續時間劃分為3級。依據應急事件對信息系統恢復正常服務所需的時間而確定，具體劃分方法見表A.2。表A.2影響持續時間賦值表賦值描述1持續時間≤15分鐘215分鐘＜持續時間≤2小時T/GDNS005—20233持續時間>2小時注：對于影響ICU、NICU正常運作的信息系統，其賦值應適當升級。c）網絡安全事件造成的信息系統損害程度劃分為3級。依據故障發生對信息系統提供的服務能力的下降程度而確定，具體劃分方法見表A.3。表A.3信息系統損害程度賦值表系統性能系統功能功能無損部分損害全部損害小于閾值 13大于或等于閾值123A.2事件定級首先為應急事件的3個定級要素賦值，然后將3個要素賦值相乘得到應急事件具體分值N（1≤N≤45）。具體劃分方法見表A.4。表A.4事件定級速查表N值定級1≤N≤8Ⅳ9≤N≤16Ⅲ17≤N≤24Ⅱ25≤N≤45IT/GDNS005—2023（資料性）安全事件報告參考模板B.1突發安全事件快速報告單填報單位（公章）：填報時間：年月日時分事發單位行業主管單位事件簡題發生時間事件簡況事件原因事件后果部門負責人填報人注：1.填報單位：本單位名稱；2.事發單位：各醫療機構；3.事件簡況：事件發生、擴大和應急處置的簡要情況；4.事件原因：對事件原因進行初步判斷；5.事件后果：業務停頓情況、人員傷亡情況、設備損壞或可能造成不良社會影響等。6.突發事件信息報送渠道以行業主管單位公布為準。T/GDNS005—2023B.2安全事件應急響應結果報告單事件發生時間事件結束時間單位名稱報告部門/報告人聯系電話信息系統名稱主要用途已采用的安全措施信息安全事件的補充描述信息安全事件最后判定的事故原因本次信息安全事件的影響狀況影響范圍事件后果嚴重程度本次信息安全事件的主要處理過程及結果針對此類信息安全事件應采取的保障信息系統安全T/GDNS005—2023的措施和建議（資料性）醫療機構各級別網絡安全事件處置流程C.1I、Ⅱ級網絡安全事件處置流程T/GDNS005—2023T/GDNS005—2023C.1Ⅲ、Ⅳ級網絡安全事件處置流程T/GDNS005—2023（資料性）醫療機構典型安全事件處置案例D.1醫院信息系統故障應急處置信息處（科）負責醫院信息系統的運行管理、監控、故障處理，若出現較大故障無法及時處理，應按流程立即上報分管院領導；若其他處（科）室在發現本系統故障時，應及時報告處（科）室負責人。處（科）室負責人匯總情況后及時報告醫院信息處（科）。（1）事件研判當醫院信息系統因安全攻擊導致系統故障，且初判無法在15分鐘內恢復的，信息處（科）或相關科室按照5.2事件分級進行事件研判，評級為發生Ⅱ級網絡安全事件，并立即通知應急領導小組或醫院網絡安全工作小組。（2）預警發布應急領導小組結合事件影響程度決定簽發Ⅱ級應急響應，通知應急工作小組開展應急處置。應急處置過程中，信息處（科）長應在事故發生后每2小時向應急處置領導小組組長進行故障簡報，并在事故處理故障后8小時內提交故障處置報告；收到應急領導小組的通知后，應急處置小組負責人應及時通知小組成員，并將相關信息通知小組成員，小組成員應做好應急響應的準備工作。（3）事件上報機制由于發生Ⅱ級網絡安全事件，應急領導小組在2小時內上報省（區、市）衛健委，報送模板可參考B.1突發安全事件快速報告單，請求上級行業主管幫助指導，同時向省（區、市）網監匯報。對于涉嫌觸犯法律的，應經請示上級批準后立即向公安機關或網警110報案，涉境外網絡安全事件的，同時向國安部門上報。（4）各處（科）室應急處置與恢復1．信息科a)會同第三方技術支持公司技術人員，及時做出技術性分析，查明故障原因，上報醫院應急處置領導小組組長。b)若受到外部安全攻擊導致系統故障，分析定位攻擊來源和途徑，第一時間中斷攻擊T/GDNS005—2023鏈條和渠道，如攻擊來自DMZ區，通過邊界防火墻中斷DMZ區與醫院信息