漳平市卫健系统网络信息安全事件.docx
《漳平市卫健系统网络信息安全事件.docx》由会员分享,可在线阅读,更多相关《漳平市卫健系统网络信息安全事件.docx(15页珍藏版)》请在冰点文库上搜索。
漳平市卫健系统网络信息安全事件
漳平市卫健系统网络信息安全事件
应急实施方案(修订)
1总则
1.1编制目的
为全面促进互联网+医疗健康发展和健康医疗大数据应用,强化网络信息安全事件应急工作机制,层层落实责任,提高应对网络信息安全事件的能力,有效预防、及时控制和最大限度地消除信息安全突发事件的危害和影响,确保医疗卫生机构信息系统和网络的通畅运行,结合实际,修订完善本实施方案。
1.2编制依据
根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家网络安全事件应急预案》《福建省卫生计生委网络与信息安全事件应急预案(试行)》《卫生计生行业国产密码应用规划》《国家健康医疗大数据标准、安全和服务管理办法(试行)》等文件精神。
1.3工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主、预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络信息安全的预防和处置工作。
1.4事件分类分级
1.4.1事件分类
网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障灾害性事件和其他事件。
(1)有害程序事件是指蓄意制造、传播有害程序,或是因收到有害程序的影响而导致的网络与信息安全事件。
有害程序是指插入到信息系统中的一段程序,危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。
有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件等7个子分类。
(2)网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力对信息系统实施攻击,并对信息系统当前运行造成潜在危害的网络与信息安全事件。
网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子分类。
(3)信息破坏事件是指通过网络或其他技术手段,造成信息系统中的信息被篡改,假冒、泄露、窃取等而导致的网络与信息安全事件。
信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其他信息破坏事件等6个子分类。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的网络与信息安全事件。
信息内容安全事件包括违反宪法和法律、行政法规的信息内容安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的信息内容安全事件;组织串连、煽动集会游行的信息内容安全事件;其他信息内容安全事件等4个子分类。
(5)设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的网络与信息安全事件。
设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等4个子分类。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络与信息安全事件。
灾害性事件包括水灾、台风,地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络与信息安全事件。
(7)其他事件是指不能归为以上6个分类的网络与信息安全事件。
1.4.2事件分级
卫生健康行业网络与信息安全事件分为四级:
特别重大网络与信息安全事件(一级事件)、重大网络与信息安全事件(二级事件)、较大网络与信息安全事件(三级事件)、一般网络与信息安全事件(四级事件)
(1)特别重大网络与信息安全事件。
符合下列情形之一的:
①关键信息基础设施或其他重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络与信息安全事件。
(2)重大网络与信息安全事件。
符合下列情形之一且未达到特别重大网络与信息安全事件的:
①关键信息基础设施或其他重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络与信息安全事件。
(3)较大网络与信息安全事件。
符合下列情形之一且未达到重大网络与信息安全事件的:
①关键信息基础设施或其他重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁,造成较严重影响的网络与信息安全事件。
(4)一般网络与信息安全事件。
除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络与信息安全事件。
1.5适用范围
本实施方案适用于卫生健康行业网络与信息安全事件的总体实施方案和处置工作。
2.组织机构与职责
2.1领导机构与职责
市卫生健康局统筹领导全市卫生健康行业网络与信息安事件的预防和应对工作,负责建立与完善卫生健康行业网络与息安全事件应急实施方案,建立健全各单位联动处置机制。
2.2办事机构与职责
市卫生健康局统筹领导本区域卫生健康行业网络与信息安全事件的预防、监测、报告和应急处置工作。
局机关负责网络信息安全的部门为应急指挥办事处,负责网络与信息安全应急跨部门、跨行业协调工作;管理和联系信息化专家库和网络与信息安全应急技术队伍等应急支撑力量;承担应急值守工作。
局综合股、应急办、负责宣传的部门等相关股室按照职责分工做好相关工作,相关工作人员为联络员。
各医疗卫生机构按照职责和权限,负责本单位网络与信息安全事件的预防、监测、报告和应急处置工作
2.3现场应急指挥部
在发生网络与信息安全事件时,无论事件级别,事发单位需在30分钟内报告市卫生健康局,视事件情况决定成立现场应急指挥部,并确定现场应急指挥部指挥长。
指挥长根据需要可设立综合协调组、专家咨询组、技术处置组、新闻宣传组等。
(1)综合协调组(设在综合股),负责网络与信息安全事件应急处置过程中的资源协调、信息传达等工作。
负责协调网络与信息安全事件的恢复与重建等工作。
(2)专家咨询组(设在应急办),负责协助分析和确定事件原因制定现场应对方案,为应急处置工作提供专业指导和决策咨询,对处置结果进行预测和评估。
(3)技术处置组(设在局机关负责网络信息安全的部门),组织技术力量(包括公安网安机构、软件提供商、通用传输、代维商等技术专家)收集现场数据,分析事件原因,分析事件影响范围,制定具体处置方案,实施具体应急处置,上报处置信息。
(4)新闻宣传组(设在局机关负责宣传的部门),负责收集和调控内外部舆论情况,负责向行业单位和社会公众宣传相关网络与信息安全事件预防和处置的基本知识,负责事件处置信息的对外宣传等。
3.监测预警
市卫生健康局负责全市卫生健康行业网络与信息安全的整体预防工作,各单位做好网络与信息安全突发事件预警工作,及早发现事件隐患,及时采取有效措施,尽量避免网络与信息安全事件的发生。
3.1预警分级
网络与信息安全事件预警等级分为四级:
由高到低依次用红色,橙色、黄色和蓝色表示,分别对应发生或可能发生的特别重大,重大、较大和一般网络与信息安全事件。
3.2预警监测
市卫生健康局在落实国家网络信息安全等级保护工作制度的基础上,做好关健信息基础设施和其他重要信息系统网络与信息安全事件的风险评估和预警监测工作。
(1)建立卫生健康行业网络与信息安全事件情报收集渠道,加强网络与信息安全监测,建立预警信息专家研判队伍,完善预警发布流程和规范。
(2)建立卫生健康行业网络与信息安全事件预警和监控系统,并结合第三方监测信息,及时发现网络信息安全威胁或事件发生的迹象和趋势。
(3)建立卫生健康行业关键时点监测与预警机制,在重要敏感时期、信息系统重大变更等关键时点加强风险监控和预警,并及时向业务主管单位进行风险提示,协同做好应急准备。
3.3预警研判和发布
局机关负责网络信息安全的部门组织专家对监测信息进行研判,认为需要立即采取防范措施的,应当及时向有关单位发布相应等级的预警,对可能发生较大及以上网络与信息安全事件的预警,应立即上报至龙岩市卫生健康委。
各单位可根据监测研判情况上报市卫生健康局,在本地区发布本行业的黄色及以下预警。
对可能发生较大及以上网络与信息安全事件的预警,上报至龙岩市网络与信息安全事件应急指挥办事机构。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.4预警响应
收到预警的相关单位,进入预警状态,按照相关应急实施方案指导组织开展预警响应。
3.4.1红色预警响应
(1)局机关负责网络信息安全的部门及相关办事机构实行24小时双人值班,相关人员保持通信联络畅通。
(2)局机关负责网络信息安全的部门加强网络与信息安全事件监测和事态发展信息搜集工作,组织指导本地应急支撑队伍,相关运行单位开展应急处置或准备、风险评估和控制工作。
(3)局机关负责网络信息安全的部门及相关办事机构通过视频会议、安全检查、信息化工作群等多种形式加强宣传和指导,提高全行业对预警的重视程度,提升预警效果。
(4)局机关负责网络信息安全的部门密切关注事态发展,及时将事态发展情况报局分管领导,有关重大事项及时通报相关单位。
(5)网络与信息安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.2橙色预警响应
(1)局机关负责网络信息安全的部门及相关办事机构实行24小时值班,做好风险评估、应急准备和风险控制工作。
(2)局机关负责网络信息安全的部门及相关办事机构通过视频会议,安全检查、信息化工作群等多种形式加强宣传和指导,提高全行业对预警的重视程度,提升预警效果。
(3)局机关负责网络信息安全的部门密切关注事态发展,及时将事态发展情况报告分管领导,有关重大事项及时通报相关单位。
(4)网络与信息安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.3黄色、蓝色预警响应
(1)局机关负责网络信息安全的部门及相关办事机构做好风险评估、应急准备和风险控制工作。
(2)局机关负责网络信息安全的部门及时关注事态发展,收集相关信息,如有重大事项及时报告分管领导。
(3)网络与信息安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.5预警解除
预警发布单位或地区根据实际情况,确定是否解除预警,及时发布预警解除信息。
4.应急响应
4.1事件发现和报告
4.1.1市卫生健康局及时收集、分析、汇总网络与信息系统安全运行情况信息,及时发现事件迹象,当发生较大网络与信息安全事件时应上报至龙岩市卫生健康委信息中心。
4.1.2局机关负责网络信息安全的部门通过多种渠道接受事件信息,广泛接受行业内和社会上关于卫生健康行业网络与信息安全事件发生的报告。
4.1.3局机关负责网络信息安全的部门接到报告后组织技术力量核实事件真实性。
4.1.4若涉及涉密系统或涉密信息,相关知情人员要遵守相关的管理规定,做好保密工作。
4.2先期处置
局机关负责网络信息安全的部门核实事件真实性后,组织专家和技术力量研判事件等级。
根据事件情况通知相关人员进入应急状态,并做好信息通报工作。
4.3基本响应
根据专家研判结果,启动相应级别应急响应:
一级事件,由局网络信息安全领导小组确认后启动一级响应,成立现场应急指挥部,通知相关单位进入应急状态,优先调配各项资源,并向龙岩市卫生健康委报告事件信息。
二级事件,由局网络信息安全领导小组确认后启动二级响应,成立现场应急指挥部,通知相关单位进入应急状态,并向龙岩市卫生健康委报告事件信息。
三级和四级事件,由局机关负责网络信息安全的部门经分管领导批准,启动相应级别响应,通知相关单位进入应急状态,及时掌握事件的发展情况,根据事态发展及时介入。
4.4分级响应
4.4.1一级响应
局网络信息安全领导小组启动一级响应,统一指挥、协调、组织应急处置工作。
其他上级或专项实施方案有特殊规定的,按照上级实施方案规定执行。
(1)启动指挥体系
①局机关负责网络信息安全的部门及相关部门进入应急状态,确保24小时双班,各成员保持24小时联络畅通。
②现场应急指挥部赶赴现场,具体指导现场应急处置指挥工作。
③为加强信息发布工作,现场应急指挥部成立综合组、专家组、技术组、宣传组。
(2)掌握事件动态
①检查影响范围。
局机关负责网络信息安全的部门应及时了解局主管范围内的信息系统是否受到事件的波及或影响,组织专家对事态进行研判,并根据需要组织对波及系统的检查,及时通报相关单位。
②跟踪事态发展,及时通报情况。
局机关负责网络信息安全的部门及时跟踪并记录现场情况,上报局分管领导,并报告龙岩市卫生健康委
③提高安全态势监控,局机关负责网络信息安全的部门向全行业发布预警,行业各单位进入应急状态,加强信息报送。
局机关负责网络信息安全的部门及时掌握行业安全态势,及时发现并处置。
(3)处置实施
①控制事态发展。
现场应急指挥部及时采取管理和技术措施,防止事件蔓延。
必要时经局网络信息安全领导小组特批调用资源,选择最佳措施抑制事态发展。
②做好处置消除隐患。
技术组应尽快分析事件发生原因,并根据原因采取针对性地措施,恢复受破坏系统,保障正常运行。
③及时开展调查取证。
综合组和专家组开展事件调查和取证工作,为事后事件调查评估保留依据。
④信息发布。
宣传组协调网络、电视、报纸、杂志、微信公众号等多方渠道做好宣传引导工作,加强相应事件原因的防范知识的宣传,根据事件应急的实际情况,汇总各阶段处置情况,及时通报相关单位和媒体。
4.4.2二级响应
局网络信息安全领导小组启动二级响应,统一指挥、协调、组织应急处置工作。
上级实施方案有特殊规定的,按照上级实施方案规定执行。
(1)启动指挥体系
①局机关负责网络信息安全的部门进入应急状态,各成员保持24小时联络畅通,局机关负责网络信息安全的部门24小时值班。
②现场应急指挥部赶赴现场,具体指导现场应急处置指挥工作。
③为加强信息发布工作,现场应急指挥部成立综合组、专家组、技术组、宣传组。
(2)掌握事件动态
①检查影响范围。
局机关负责网络信息安全的部门应及时了解局主管范围内的信息系统是否受到事件的波及或影响,组织专家对事态进行研判,并根据需要组织对波及系统的检查、及时上报情况。
②跟踪事态发展,及时通报情况。
现场应急指挥部应及时将态发展变化情况和处置进展情况上报分管领导,并报告龙岩市卫生健康委。
(3)处置实施
①控制事态防止蔓延。
现场应急指挥部及时采取管理和技术措施防止事件蔓延,督促、指导相关责任单位有针对性地加强防范。
②做好处置消除隐患。
技术组应尽快分析事件发生原因,并根据原因采取针对性地措施,恢复受破坏系统,保障正常运行。
③及时开展调查取证。
综合组和专家组开展事件调查和取证工作,为事后事件调查评估保留依据。
④信息发布。
宣传组根据事件应急的实际情况,汇总各阶段处置情况,及时通报相关单位和媒体,加强事件相关安全知识的宣传。
4.4.3三级响应
三级事件的应急响应,由有关信息系统主责单位根据事件的性质和情况确定
(1)事件发生信息系统主责单位应急机构进入应急状态,按照相关应急实施方案或工作方案做好应急处置工作。
确定事件影响范围,控制事态发展蔓延、消除隐患,及时开展调查取证工作,做好宣传和信息发布工作。
(2)事件发生信息系统主责单位及时将事态发展变化情况报局机关负责网络信息安全的部门。
局机关负责网络信息安全的部门将有关重大事项及时通报相关领导和单位。
(3)处置中需要卫生健康系统内其他单位配合和支持的,报分管领导予以协调。
相关单位根据各自职责,积极配合、提供支持。
(4)局机关负责网络信息安全的部门通报相关信息给相关单位,要求其他未发生事件的单位结合各自实际,有针对性地加强防范,防止造成更大范围影响和损失。
4.4.4四级响应
四级事件的应急响应,由事件发生的信息系统主责单位根据事件性质和情况确定。
(1)事件发生的信息系统主责单位进入应急状态,按照实施方案做好应急处置工作
(2)事件发生重点信息系统主责单位及时将事态发展情况报局机关负责网络信息安全的部门。
(3)局机关负责网络信息安全的部门关注事态发展,必要时选派技术力量协助。
4.5扩大应急
在应急过程中,根据事态发展:
二级事件扩大为一级事件,及三级事件扩大为二级事件,由现场应急指挥部组织专家评估后建议,由局机关负责网络信息安全的部门报局分管领导,呈局网络信息安全领导小组批准,提高应急响应级别,按照实施方案启动相应级别响应。
四级事件扩大为三级事件,由事发单位提出,主责单位组织专家审议批准后,报局机关负责网络信息安全的部门备案,提高应急响应级别的,按照实施方案,启动相应级别响应。
4.6应急结束
网络与信息安全事件处置已基本完成,次生、衍生灾害和事件危害基本消除,风险得到控制,应急处置工作即告结束。
(1)一、二级响应结束,由现场应急指挥部提出,由局机关负责网络信息安全的部门报局分管领导,呈局网络信息安全领导小组批准并通报应急结束,同时报告龙岩市卫生健康委备案。
(2)三级响应结束,由事发信息系统主责单位提出,局机关负责网络信息安全的部门批准并通报应急结束。
(3)四级响应结束,由事发信息系统主责单位自行决定,同时报局机关负责网络信息安全的部门备案。
5.后期处置
5.1恢复重建
恢复重建工作按照“谁主管谁负责,谁运行谁负责”的原则,由事发单位制定恢复、整改及重建方案,建设方案应符合国家、省、龙岩市有关人口健康信息化建设的技术指导或指南等法规规章和政策,报相关主管单位审核后,报局机关负责网络信息安全的部门审查后实施,以避免同类事件再次发生。
5.2事件总结
(1)一、二级事件应急处置工作结束后,局分管领导适时组织专家和技术人员,开展事件原因分析、事件责任调查,对事件影响和应急处置工作进行全面评估,并在30天内将总结报告书面报送局网络信息安全领导小组及龙岩市卫生健康委。
(2)三级事件应急处置工作结束后,事发信息系统主责单位适时组织专家和技术人员,开展事件原因分析、事件责任调查,对事件影响和应急处置工作进行全面评估,并在30天内将总结报告书面报送局机关负责网络信息安全的部门和局分管领导。
(3)四级事件应急处置工作结束后,事发信息系统主责单位组织事件分析和评估,并在30天内将总结报告书面报送局机关负责网络信息安全的部门。
局机关负责网络信息安全的部门汇集上述报告,总结经验教训,建立事件案例库,提出改进工作的要求和意见。
6.预防工作
6.1日常管理
卫生健康行业内各单位按职责做好网络与信息安全事件日常预防工作,制定完善相关应急实施方案或工作方案,做好网络与信息安全检查、隐患排查、风险评估和容灾备份,健全网络与信息安全信息通报机制,及时采取有效措施,减少和避免网络与信息安全事件的发生及危害,提高应对网络与信息安全事件的能力。
6.2演练
局机关负责网络信息安全的部门协调有关责任单位定期组织演练,检验和完善实施方案,提高实战能力。
各单位应每年至少开展一次网络信息安全应急演练,并在每年12月1日前上报当年度演练情况总结报告。
市卫生健康局根据情况适时组织辖区内开展一次综合性演练,并将演练情况汇总形成报告,并建立案例库。
6.3宣传
各级各单位应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣传活动。
6.4培训
各级各单位要将网络与信息安全事件的应急知识列入领导干部和有关人员的培训内容,加强网络与信息安全特别是网络与信息安全应急实施方案的培训,提高防范意识及技能。
定期开展行业网络信息安全应急意识教育活动。
6.5重要活动期间的预防措施
在国家重要活动、会议期间,各级各单位要加强网络与信息安全事件的防范和应急响应,确保网络与信息安全。
局机关负责网络信息安全的部门统筹协调网络与信息安全保障工作,根据需要部署有关单位及时启动加强防范,提高保障等级,加强网络与信息安全监测和分析研判,及时预警可能造成重大影响的风险和隐患。
重点单位、重点岗位保持24小时值班,及时发现和处置网络与信息安全事件隐患。
7.保障措施
7.1机构和人员
市卫生健康局要建立健全网络与信息安全应急工作机构,明确责任部门和责任人员,落实应急工作责任制,把责任落实到具体单位、具体岗位和个人。
7.2专家队伍
建立卫生健康行业网络与信息安全应急专家组,为行业网络与信息安全事件的预防和处置提供技术咨询和决策建议。
各单位加强各自的信息化管理人员素质教育和培训,提高应急处置工作能力。
7.3技术支撑队伍
加强网络与信息安全应急技术支撑队伍建设,做好网络与信息安全事件的监测预警、预防防护、应急处置、应急技术支援工作,支持网络与信息安全企业提升应急处置能力,提供应急技术支援。
行业网络信息安全评估认定标准由上级行业部门制定,局机关负责网络信息安全的部门按要求和标准组建本系统网络与信息安全应急技术支撑队伍,各单位应配备必要的网络与信息安全专职或兼职人员,并加强与省市级网络与信息安全相关技术企业单位的沟通、协调,建立必要的网络与信息安全信息共享机制。
7.4基础平台
各级各单位要加强网络与信息安全应急基础平台和管理平台建设,落实做好等级保护,加强技防、人防措施,做到早发现、早预警、早响应,提高应急处置能力。
7.5物资保障
加强对网络与信息安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
7.6经费保障
各单位应提供网络与信息安全事件应急工作必要的资金保障。
支持网络与信息安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、实施方案演练、物资保障等工作开展。
7.7责任与奖惩
网络与信息安全事件应急处置工作实行责任追究制。
市卫生健康局对网络与信息安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。
对不按照实施方案规定的,存在网络信息安全机制不健全、未组织开展演练,存在迟报、谎报、瞒报和漏报网络与信息安全事件情况或者应急管理工作中有其他失职、渎职行为的,应当给予通报、取消评先评优资格,并按照干部管理权限和相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
8.附则
8.1实施方案管理
各单位要根据本实施方案制定或修订本单位网络与信息安全事件应急工作方案。
本实施方案由市卫生健康局组织评价,根据网络信息安全的需要适时组织修订。
8.2解释
本实施方案为修订,以本实施方案为标准,原方案同时废止。
本实施方案由漳平市卫生健康局负责解释。
8.3实施时间
本实施方案自修订印发之日起实施。
升级会员 