XX市衛(wèi)健系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案

1、市衛(wèi)健系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案 為進(jìn)一步做好我市衛(wèi)生計生系統(tǒng)網(wǎng)絡(luò)與信息安全事件應(yīng)對處置工作，健全網(wǎng)絡(luò)與信息安全應(yīng)急工作機(jī)制，提高應(yīng)對突發(fā)網(wǎng)絡(luò)與信息安全事件的應(yīng)急處置能力，預(yù)防和減少網(wǎng)絡(luò)與信息安全事件造成的損失和危害，根據(jù)中華人民共和國網(wǎng)絡(luò)安全法、中華人民共和國突發(fā)事件應(yīng)對法、國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案等相關(guān)規(guī)定，特制定本預(yù)案。 一、組織機(jī)構(gòu)與職責(zé)（一）領(lǐng)導(dǎo)機(jī)構(gòu)與職責(zé)。局信息化工作領(lǐng)導(dǎo)小組統(tǒng)籌領(lǐng)導(dǎo)全區(qū)衛(wèi)生計生行業(yè)網(wǎng)絡(luò)與信息安全事件的預(yù)防、應(yīng)對和處置工作，負(fù)責(zé)建立與完善衛(wèi)生計生行業(yè)網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案體系，建立健全跨地區(qū)、跨部門、跨行業(yè)等不同層級聯(lián)動處置機(jī)制。（二）辦事機(jī)構(gòu)與職責(zé)。

2、局信息化工作領(lǐng)導(dǎo)小組辦公室設(shè)在委信息中心，為網(wǎng)絡(luò)與信息安全應(yīng)急指揮辦事機(jī)構(gòu)，具體負(fù)責(zé)網(wǎng)絡(luò)與信息安全事件的統(tǒng)籌協(xié)調(diào)工作；做好應(yīng)急技術(shù)支撐隊伍的日常管理工作；信息中心負(fù)責(zé)具體技術(shù)支持工作，承擔(dān)應(yīng)急值守工作；其他科室按職責(zé)分工做好相關(guān)工作，并指定相關(guān)工作人員為聯(lián)絡(luò)員。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位按照職責(zé)和權(quán)限，負(fù)責(zé)本部門、本單位網(wǎng)絡(luò)與信息安全事件的預(yù)防、監(jiān)測、報告和應(yīng)急處置等工作。（三）下設(shè)工作組職責(zé)。當(dāng)發(fā)生網(wǎng)絡(luò)與信息安全事件時，由領(lǐng)導(dǎo)小組辦公室視情況決定成立現(xiàn)場應(yīng)急指揮部，并指定負(fù)責(zé)人，同時根據(jù)工作需要可設(shè)綜合協(xié)調(diào)組、專家咨詢組、技術(shù)支撐組、新聞宣傳組等。1.綜合協(xié)調(diào)組。設(shè)在局信息中心，負(fù)

3、責(zé)網(wǎng)絡(luò)與信息安全事件處置過程中的資源協(xié)調(diào)、溝通接洽、信息傳達(dá)等工作；負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)與信息安全事件的事后恢復(fù)與重建工作。2.專家咨詢組。設(shè)在局信息中心，負(fù)責(zé)協(xié)助分析和確定事件產(chǎn)生的原因，制定具體應(yīng)對方案，并對應(yīng)急處置工作提供專業(yè)指導(dǎo)和決策咨詢，對處置結(jié)果進(jìn)行預(yù)測和評估。3.技術(shù)支撐組。設(shè)在局信息中心，具體負(fù)責(zé)組織協(xié)調(diào)公安、網(wǎng)信、安全機(jī)構(gòu)等各方技術(shù)力量，收集分析現(xiàn)場數(shù)據(jù)，制定具體應(yīng)對處置方案，實施具體處置措施，上報處置信息。4.新聞宣傳組。設(shè)在局宣教科，負(fù)責(zé)收集和調(diào)控內(nèi)外部輿論情況，負(fù)責(zé)向行業(yè)內(nèi)和社會公眾宣傳相關(guān)網(wǎng)絡(luò)與信息安全事件預(yù)防和處置的基本知識，負(fù)責(zé)事件處置信息的對外宣傳。二、工作目標(biāo)及原則按

4、照“全面排查風(fēng)險、實時發(fā)現(xiàn)預(yù)警、強(qiáng)力有效處置、確保萬無一失”的目標(biāo)，建立健全網(wǎng)絡(luò)安全事件應(yīng)急處置工作機(jī)制，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件能力，預(yù)防和減少網(wǎng)絡(luò)與信息安全事件造成的損失和危害，確保各業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)安全穩(wěn)定運行。全市衛(wèi)生計生行業(yè)各重要業(yè)務(wù)信息系統(tǒng)按照“誰主管、誰負(fù)責(zé)”，“誰運營、誰負(fù)責(zé)”的原則，落實網(wǎng)絡(luò)與信息安全責(zé)任。按照職責(zé)權(quán)限和屬地管理的相結(jié)合的原則，各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位統(tǒng)籌做好本地區(qū)、本單位網(wǎng)絡(luò)與信息安全工作和事件的應(yīng)對處置工作。三、網(wǎng)絡(luò)與信息安全預(yù)警監(jiān)測工作流程各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位組織對本地區(qū)、本單位建設(shè)運行的網(wǎng)絡(luò)和信息系統(tǒng)開展網(wǎng)絡(luò)安全預(yù)警監(jiān)測

5、工作。（一）發(fā)布預(yù)警信息。局依托公安網(wǎng)絡(luò)安全預(yù)警監(jiān)測系統(tǒng)和濰坊市衛(wèi)健委網(wǎng)絡(luò)安全預(yù)警監(jiān)測系統(tǒng)提供的相關(guān)情況，實時向相關(guān)地區(qū)、部門和單位發(fā)布網(wǎng)絡(luò)安全預(yù)警監(jiān)測信息。預(yù)警信息以通報、電話、短信等多種方式發(fā)布。內(nèi)容主要包括SQL注入、跨站腳本攻擊、網(wǎng)頁篡改、域名劫持、敏感信息泄露、后臺弱口令、黑鏈等系統(tǒng)高危漏洞，以及系統(tǒng)風(fēng)險描述、修復(fù)建議等。（二）排查安全隱患。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位在收到預(yù)警信息以后迅速開展網(wǎng)絡(luò)安全隱患排查、整改等工作。通過技術(shù)修補(bǔ)操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞；關(guān)閉系統(tǒng)不必要的端口、服務(wù)；增加便捷防護(hù)和安全策略；修改默認(rèn)口令、弱口令等多種技術(shù)手段，進(jìn)行系統(tǒng)安全加固。（三）請求技

6、術(shù)支援。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位收到網(wǎng)絡(luò)安全預(yù)警信息后，也可直接向網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐單位發(fā)出技術(shù)支持請求。（四）上報整改情況。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位在收到市衛(wèi)健局發(fā)布的網(wǎng)絡(luò)安全預(yù)警監(jiān)測信息后7日內(nèi)，將整改情況報市衛(wèi)健局。四、網(wǎng)絡(luò)與信息安全事件應(yīng)急處置工作流程（一）網(wǎng)絡(luò)安全事件預(yù)判。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位在遇到突發(fā)網(wǎng)絡(luò)安全事件時，要即刻啟動應(yīng)急預(yù)案，對事件進(jìn)行等級預(yù)判，較大網(wǎng)絡(luò)安全事件及以上，必須在20分鐘內(nèi)向市衛(wèi)健局報告有關(guān)情況。（二）采取應(yīng)急技術(shù)措施。網(wǎng)絡(luò)安全事件突發(fā)時，可向網(wǎng)絡(luò)安全應(yīng)急技術(shù)支撐單位發(fā)出技術(shù)支持請求。對于產(chǎn)生較為嚴(yán)重負(fù)面影響的網(wǎng)站，采

7、取斷網(wǎng)等方式，及時停止對外服務(wù)；對于遭受破壞的信息系統(tǒng)，要做好現(xiàn)場保護(hù)、數(shù)據(jù)備份等工作。（三）統(tǒng)籌開展應(yīng)急處置。市衛(wèi)健局統(tǒng)籌協(xié)調(diào)市公安局、經(jīng)信局等有關(guān)單位開展應(yīng)急處置工作。（四）預(yù)警發(fā)布。對大面積的攻擊破壞、病毒爆發(fā)等情形，市衛(wèi)健局將根據(jù)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，會同有關(guān)部門開展網(wǎng)絡(luò)安全事件預(yù)警等級發(fā)布、新聞報道等相關(guān)工作。（五）上報整改情況。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位在網(wǎng)絡(luò)安全事件處置結(jié)束后2日內(nèi)，將整改報告報市衛(wèi)健局。五、典型網(wǎng)絡(luò)與信息安全事件分類及應(yīng)對措施（一）大規(guī)模病毒爆發(fā)。當(dāng)網(wǎng)絡(luò)遭遇大規(guī)模病毒攻擊時（如勒索病毒），要第一時間切斷局域網(wǎng)，拔出網(wǎng)線，防止病毒進(jìn)一步擴(kuò)散；請專業(yè)技術(shù)人

8、員對局域網(wǎng)內(nèi)每一臺計算機(jī)進(jìn)行病毒查殺，修補(bǔ)漏洞，待徹底清理干凈，確保計算機(jī)安全時在接入網(wǎng)絡(luò)；要盡量避免開放打印機(jī)共享、遠(yuǎn)程桌面等高風(fēng)險端口。（二）網(wǎng)頁被篡改。所屬網(wǎng)站遭篡改時，要第一時間終止互聯(lián)網(wǎng)服務(wù)，拔出網(wǎng)線，防止攻擊者再次惡意破壞系統(tǒng)日志、數(shù)據(jù)等，不要關(guān)閉服務(wù)器，為公安部門取證、追蹤提供依據(jù)；在完成取證、保存系統(tǒng)日志等工作以后，即刻開展與網(wǎng)站建設(shè)相關(guān)軟硬件系統(tǒng)的修復(fù)工作，包括修補(bǔ)操作系統(tǒng)漏洞、網(wǎng)站開發(fā)中間件漏洞、網(wǎng)站自身漏洞，加強(qiáng)系統(tǒng)口令、關(guān)閉共享端口、加固安全策略等內(nèi)容；問題網(wǎng)站責(zé)任單位應(yīng)當(dāng)邀請第三方信息技術(shù)支撐隊伍對問題網(wǎng)站進(jìn)行風(fēng)險評估，確保沒有高危漏洞并具備上線條件時再投入運行，并將

9、整改情況報同級衛(wèi)生計生行政部門和網(wǎng)信部門。（三）信息系統(tǒng)癱瘓。信息系統(tǒng)遭攻擊時，要切斷信息系統(tǒng)與互聯(lián)網(wǎng)的連接，防止系統(tǒng)遭受進(jìn)一步的破壞，同步做好信息系統(tǒng)數(shù)據(jù)備份工作；邀請信息系統(tǒng)運維服務(wù)機(jī)構(gòu)或第三方應(yīng)急技術(shù)支撐隊伍，開展系統(tǒng)漏洞排查、整改工作。重點排查信息系統(tǒng)是否存在弱口令、安全策略不生效、軟件系統(tǒng)漏洞、病毒庫不升級、訪問控制不全面、邊界防護(hù)失效等問題；系統(tǒng)在上線運行前，應(yīng)當(dāng)進(jìn)行風(fēng)險評估；整改工作完成后3日內(nèi)，事發(fā)單位將整改情況報市衛(wèi)健局。（四）網(wǎng)絡(luò)中斷。當(dāng)出現(xiàn)大面積網(wǎng)絡(luò)中斷（排除內(nèi)部局域網(wǎng)網(wǎng)絡(luò)故障），無法訪問互聯(lián)網(wǎng)時，通知所屬電信運營商企業(yè)客戶經(jīng)理，要求開展網(wǎng)絡(luò)通信保障工作；根據(jù)網(wǎng)絡(luò)中斷影響

10、范圍，確認(rèn)網(wǎng)絡(luò)安全事件等級；較大網(wǎng)絡(luò)安全事件及以上，應(yīng)當(dāng)及時報送市衛(wèi)健局，同時報同級網(wǎng)信和通信管理部門。（五）信息系統(tǒng)存在高危漏洞。當(dāng)責(zé)任單位收到市衛(wèi)健局發(fā)布風(fēng)險通報或從其他可靠途徑渠道了解到所屬的系統(tǒng)存在安全風(fēng)險時，立即啟動應(yīng)急預(yù)案，聯(lián)系信息系統(tǒng)開發(fā)商、運維機(jī)構(gòu)等相關(guān)人員，按照通報要點，逐項排查、修補(bǔ)高危漏洞；如無維護(hù)人員或技術(shù)力量薄弱，可邀請第三方應(yīng)急技術(shù)支撐單位，協(xié)助開展漏洞修補(bǔ)工作；信息系統(tǒng)在上線運行前，應(yīng)當(dāng)進(jìn)行風(fēng)險評估；收到通報后7日內(nèi)，將整改情況報市衛(wèi)健局。六、做好日常預(yù)防工作全市衛(wèi)生計生系統(tǒng)按職責(zé)做好網(wǎng)絡(luò)與信息安全事件日常預(yù)防工作，制定完善相關(guān)應(yīng)急預(yù)案，做好網(wǎng)絡(luò)和信息安全檢查、隱

11、患排查、風(fēng)險評估和容災(zāi)備份，健全網(wǎng)絡(luò)和信息安全信息通報機(jī)制，及時采取有效措施，減少和避免網(wǎng)絡(luò)與信息安全事件的發(fā)生及危害，提高應(yīng)對網(wǎng)絡(luò)與信息安全事件的能力。（一）演練。領(lǐng)導(dǎo)小組辦公室統(tǒng)一安排部署，組織有關(guān)責(zé)任單位定期組織演練，檢驗和完善預(yù)案，提高實戰(zhàn)能力。各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位每年至少組織一次預(yù)案演練，并將演練情況報領(lǐng)導(dǎo)小組辦公室。（二）宣傳。相關(guān)責(zé)任科室應(yīng)充分利用各種傳播媒介及其他有效的宣傳形式，加強(qiáng)突發(fā)網(wǎng)絡(luò)與信息安全事件預(yù)防和處置的有關(guān)法律、法規(guī)和政策的宣傳，開展網(wǎng)絡(luò)與信息安全基本知識和技能的宣傳活動。（三）培訓(xùn)。相關(guān)責(zé)任科室要將網(wǎng)絡(luò)與信息安全事件的應(yīng)急知識列為領(lǐng)導(dǎo)干部和有關(guān)人

12、員的培訓(xùn)內(nèi)容，加強(qiáng)網(wǎng)絡(luò)和信息安全制度特別是網(wǎng)絡(luò)和信息安全應(yīng)急預(yù)案的培訓(xùn)，提高防范意識及技能。定期開展行業(yè)信息安全應(yīng)急意識教育活動。（四）重要活動和重大節(jié)假日期間的預(yù)防措施。在重要活動等敏感時期，各鎮(zhèn)街計生辦、衛(wèi)生院和市直各醫(yī)療單位要加強(qiáng)網(wǎng)絡(luò)與信息安全事件的防范和應(yīng)急響應(yīng)，確保網(wǎng)絡(luò)安全。領(lǐng)導(dǎo)小組辦公室統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全保障工作，根據(jù)需要要求有關(guān)單位加強(qiáng)防范，提高保障等級。加強(qiáng)網(wǎng)絡(luò)安全檢測和分析研判，及時預(yù)警可能造成重大影響的風(fēng)險和隱患，重點單位，重點崗位保持24小時值班，及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)與信息安全事件隱患。七、相關(guān)保障措施（一）機(jī)構(gòu)和人員保障。各信息系統(tǒng)責(zé)任單位要建立健全網(wǎng)絡(luò)與信息安全應(yīng)急工作機(jī)構(gòu)，明確責(zé)任部門和人員職責(zé)，落實應(yīng)急工作機(jī)制，重要業(yè)務(wù)信息系統(tǒng)要把責(zé)任落實到具體單位、具體崗位和個人。充分發(fā)揮專家隊伍在應(yīng)急處置工作中的作用，加強(qiáng)專家隊伍建設(shè)，逐步建立涵蓋信息學(xué)科各領(lǐng)域的專家隊伍，為網(wǎng)絡(luò)與信息安全事件的預(yù)防和處置提供技術(shù)咨詢和決策建議。加強(qiáng)網(wǎng)絡(luò)與信息安全應(yīng)急技術(shù)專家支撐隊伍建設(shè)，做好網(wǎng)絡(luò)與信息安全事件的監(jiān)測預(yù)警、預(yù)防防護(hù)、應(yīng)急處置、應(yīng)急技術(shù)支援等工作。各鎮(zhèn)街計生辦、衛(wèi)生院和市