霸州市卫生健康局关于印发《霸州市卫生健康系统网络与信息安全事件应急预案》的通知

为进一步做好全市卫生健康系统网络与信息安全事件应对处置工作，健全网络与信息安全应急工作机制，提高应对突发网络与信息安全事件的应急处置能力，预防和减少网络与信息安全事件造成的损失和危害，根据《中华人民共和国网络安全法》、《中华人民共和国突发事件应对法》、《国家网络安全事件应急预案》等相关规定，特制定本预案。 一、组织机构与职责 （一）领导机构与职责。 局信息化工作领导小组统筹领导全市卫生健康系统网络与信息安全事件的预防、应对和处置工作，负责建立与完善卫生健康行业网络与信息安全应急预案体系，建立健全跨地区、跨部门、跨行业等不同层级联动处置机制。 （二）办事机构与职责。 局信息化工作领导小组办公室设在规划发展和信息化股，为网络与信息安全应急指挥办事机构，具体负责网络与信息安全事件的统筹协调工作；做好应急技术支撑队伍的日常管理工作；规划发展和信息化股负责具体技术支持工作，承担应急值守工作；其他科室按职责分工做好相关工作，并指定相关工作人员为联络员。市直医疗卫生单位、乡镇卫生院按照职责和权限，负责本部门、本单位网络与信息安全事件的预防、监测、报告和应急处置等工作。 当发生网络与信息安全事件时，由领导小组办公室视情况决定成立现场应急指挥部，并指定负责人，同时根据工作需要调动局机关相关科室、医疗卫生机构专业人员、邀请网络安全应急技术支撑单位技术专家设立综合协调组、专家咨询组、技术支撑组、新闻宣传组等。 1.综合协调组。负责网络与信息安全事件处置过程中的资源协调、沟通接洽、信息传达等工作；负责协调网络与信息安全事件的事后恢复与重建工作。 2.专家咨询组。负责协助分析和确定事件产生的原因，制定具体应对方案，并对应急处置工作提供专业指导和决策咨询，对处置结果进行预测和评估。 3.技术支撑组。具体负责组织协调公安、网信、安全机构等各方技术力量，收集分析现场数据，制定具体应对处置方案，实施具体处置措施，上报处置信息。 4.新闻宣传组。负责收集和调控内外部舆论情况，负责向行业内和社会公众宣传相关网络与信息安全事件预防和处置的基本知识，负责事件处置信息的对外宣传。 二、工作目标及原则 按照“全面排查风险、实时发现预警、强力有效处置、确保万无一失”的目标，建立健全网络安全事件应急处置工作机制，提高应对网络与信息安全事件能力，预防和减少网络与信息安全事件造成的损失和危害，确保各业务信息系统和数据安全稳定运行。 全市卫生健康行业各重要业务信息系统按照“谁主管、谁负责”，“谁运营、谁负责”的原则，落实网络与信息安全责任。按照职责权限和属地管理的相结合的原则，市直医疗卫生单位、乡镇卫生院统筹做好本地区、本单位网络与信息安全工作和事件的应对处置工作。 三、网络与信息安全预警监测 市直医疗卫生单位、乡镇卫生院组织对本地区、本单位建设运行的网络和信息系统开展网络安全预警监测工作。 （一）发布预警信息。 局规划发展和信息化股依托公安网络安全预警监测系统和廊坊市卫健委网络安全预警监测系统提供的相关情况，实时向相关地区、部门和单位发布网络安全预警监测信息。预警信息以通报、电话、短信等多种方式发布。内容主要包括SQL注入、跨站脚本攻击、网页篡改、域名劫持、敏感信息泄露、后台弱口令、黑链等系统高危漏洞，以及系统风险描述、修复建议等。 （二）排查安全隐患。 市直医疗卫生单位、乡镇卫生院在收到预警信息以后迅速开展网络安全隐患排查、整改等工作。通过技术修补操作系统、应用系统漏洞；关闭系统不必要的端口、服务；增加便捷防护和安全策略；修改默认口令、弱口令等多种技术手段，进行系统安全加固。 （三）请求技术支援。 市直医疗卫生单位、乡镇卫生院收到网络安全预警信息后，也可直接向网络安全应急技术支撑单位发出技术支持请求。 （四）上报整改情况。 网络安全应急技术支撑单位收到市卫健局发布的网络安全预警监测信息后7日内，将整改情况报市卫健局。 四、网络与信息安全事件应急处置 （一）网络安全事件预判。 在遇到突发网络安全事件时，要即刻启动应急预案，对事件进行等级预判，较大网络安全事件及以上，必须在20分钟内向市卫健局报告有关情况。 （二）采取应急技术措施。 网络安全事件突发时，可向网络安全应急技术支撑单位发出技术支持请求。对于产生较为严重负面影响的网站，采取断网等方式，及时停止对外服务；对于遭受破坏的信息系统，要做好现场保护、数据备份等工作。 （三）统筹开展应急处置。 市卫健局协调市公安局、网信办等有关单位开展应急处置工作。 （四）预警发布。 对大面积的攻击破坏、病毒爆发等情形，市卫健局将根据《网络安全事件应急预案》，会同有关部门开展网络安全事件预警等级发布、新闻报道等相关工作。 （五）上报整改情况。 市直医疗卫生单位、乡镇卫生院在网络安全事件处置结束后2日内，将整改报告报市卫健局。 五、典型网络与信息安全事件分类及应对 （一）大规模病毒爆发。 当网络遭遇大规模病毒攻击时（如勒索病毒），要第一时间切断局域网，拔出中毒设备网线，防止病毒进一步扩散；请专业技术人员对局域网内每一台计算机进行病毒查杀，修补漏洞，待彻底清理干净，确保计算机安全时在接入网络；要尽量避免开放打印机共享、远程桌面等高风险端口。 （二）网页被篡改。 所属网站遭篡改时，要第一时间终止互联网服务，防止攻击者再次恶意破坏系统日志、数据等，不要关闭服务器，为公安部门取证、追踪提供依据；在完成取证、保存系统日志等工作以后，即刻开展与网站建设相关软硬件系统的修复工作，包括修补操作系统漏洞、网站开发中间件漏洞、网站自身漏洞，加强系统口令、关闭共享端口、加固安全策略等内容；问题网站责任单位应当邀请具备资质的第三方信息安全专业机构对问题网站进行风险评估，确保没有高危漏洞并具备上线条件时再投入运行，并将整改情况报市卫健局、市委网信办。 （三）信息系统瘫痪。 信息系统遭攻击时，要切断信息系统与互联网的连接，防止系统遭受进一步的破坏，同步做好信息系统数据备份工作；邀请信息系统运维服务机构或信息安全专业机构，开展系统漏洞排查、整改工作。重点排查信息系统是否存在弱口令、安全策略不生效、软件系统漏洞、病毒库不升级、访问控制不全面、边界防护失效等问题；系统在上线运行前，应当进行风险评估；整改工作完成后3日内，事发单位将整改情况报市卫健局。 （四）网络中断。 当出现大面积网络中断（排除内部局域网网络故障），无法访问互联网时，通知所属电信运营商企业客户经理，要求开展网络通信保障工作；根据网络中断影响范围，确认网络安全事件等级；较大网络安全事件及以上，应当及时报送市卫健局，同时报市委网信办和通信管理部门。 （五）信息系统存在高危漏洞。 当责任单位收到市卫健局发布风险通报或从其他可靠途径渠道了解到所属的系统存在安全风险时，立即启动应急预案，联系信息系统开发商、运维机构等相关人员，按照通报要点，逐项排查、修补高危漏洞；如无维护人员或技术力量薄弱，可邀请第信息安全专业机构协助开展漏洞修补工作；信息系统在上线运行前，应当进行风险评估；收到通报后7日内，将整改情况报市卫健局。 六、网络安全日常管理 全市卫生健康系统按职责做好网络与信息安全事件日常预防工作，制定完善相关应急预案，做好网络和信息安全检查、隐患排查、风险评估和容灾备份，健全网络和信息安全信息通报机制，及时采取有效措施，减少和避免网络与信息安全事件的发生及危害，提高应对网络与信息安全事件的能力。 （一）定期组织应急演练。 领导小组办公室统一安排部署，组织有关责任单位定期组织演练，检验和完善预案，提高实战能力。市直各医疗卫生单位、乡镇卫生院每年至少组织一次预案演练，并将演练情况报领导小组办公室。 （二）加强网络安全科普宣传。 相关责任单位、科室应充分利用各种传播媒介及其他有效的宣传形式，加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传，开展网络与信息安全基本知识和技能的宣传活动。 （三）加强信息安全教育培训。相关责任单位、科室要加强对全体干部职工网络和信息安全制度的教育和培训，特别是网络和信息安全应急预案的培训，提高防范意识及技能。 （四）重要活动和重大节假日期间的预防措施。 在重要活动等敏感时期，市直各医疗卫生单位、乡镇卫生院要加强网络与信息安全事件的防范和应急响应，确保网络安全。领导小组办公室统筹协调网络安全保障工作，根据需要要求有关单位加强防范，提高保障等级。加强网络安全检测和分析研判，及时预警可能造成重大影响的风险和隐患，重点单位，重点岗位保持24小时值班，及时发现和处置网络与信息安全事件隐患。 七、相关保障措施 （一）机构和人员保障。 各信息系统责任单位要建立健全网络与信息安全应急工作机构，明确责任部门和人员职责，落实应急工作机制，重要业务信息系统要把责任落实到具体单位、具体岗位和个人。 充分发挥专家队伍在应急处置工作中的作用，加强专家队伍建设，逐步建立涵盖信息学科各领域的专家队伍，为网络与信息安全事件的预防和处置提供技术咨询和决策建议。 加强网络与信息安全应急技术专家支撑队伍建设，做好网络与信息安全事件的监测预警、预防防护、应急处置、应急技术支援等工作。市直各医疗卫生单位、乡镇卫生院应配备必要的网络和信息安全专业技术人才，加强同各级网络与信息安全向技术单位的沟通协调，建立网络与信息安全信息共享机制。 （二）物质和经费保障。 市直各医疗卫生单位、乡镇卫生院要加大对网络与信息安全应急装备、工具的储备，及时调整、升级软硬件工具，逐步增强应急技术支撑能力。积极为网络与信息安全事件应急工作争取必要的资金保障，支持专家队伍建设、应急技术支撑队伍建设、预案演练、物质保障等。 八、本应急预案自发布之日起执行。