企业信息系统应急预案

第一篇：企业信息系统应急预案

医院信息系统应急预案

单位名称：嘉定区真新社区卫生服务中心

应急预案负责人：***

电话：

应急预案部门责任人：***

电话： 传真：

修订日期：二O一一年三月

一、 应急预案的目标和范围

医保信息系统(HIS系统)和社区健康保健服务系统(CHSS系统);

二、应急预案的管理和实施

1、 应急预案领导小组成员

第一责任人：*** 职务：院长

责任部门负责人：*** 职务:信息科负责人

相关部门负责人：**************

2、 具体职责分工

职责 姓名 电话

全院协调工作 * 系统管理员工作 ***

协调病员、维持正常秩序、供电等设备保障 ************* 门急诊、住院收费系统 ******** 药库、药房管理系统 ************* 病区管理系统 *********** 具体风险和解决方案

 业务风险：计划停电或故障引起停电

解决方案：备用发电机，及时抢修，首先保证医保收费系统和医疗辅助检查设备等关键业务的正

常用电;信息系统其他相关部门信息管理启动手工作业，对故障期间产生的手工数据,在故障排除后予以补录计算机;

责任人：*********及相关部门责任人

 业务风险：医保专线通讯中断

解决方案：及时报修，若15分钟不能排除故障，对医保病人采用现金结算，待信息系统运行正常后15天内再划卡重新结算; 责任人：********  业务风险：系统软件故障

解决方案：系统管理员及时维修，若15分钟不能排除故障，对医保病人采用现金结算，待信息系统运行正常后15天内再通过网上重新结算; 责任人：******  业务风险：服务器、交换机、前置机、工作站等软硬件安全问题

解决方案：中心服务器采用双机热备份;预防雷击，中心机房的主要设备均单独接地;中心数据库数据每天自动备份一次;每二月异地备份一次;服务器每3个月重启一次、每月2次对服务器、网络设备进行常规检查; 采用防火墙设备预防病毒侵入;保证计算机专

机专用，不做与医院业务无关的事。 责任人：******

3、 应急预案的启用和撤除

 启用应急预案时，医院在组织力量排除信息系统运行故障的同时，在门急诊挂号、收费等主要地点张贴病人告示，医院领导和院办公室、门急诊办公室、医务科、财务科等部门的主要负责人和相关人员迅速到岗到位，作好对病人的疏导和应诊等工作;

 在信息系统恢复正常运行后，由主管领导决定停止应急预案，返回系统正常运行方式;  责任人：全体应急预案小组成员

三、 报修联系单位和联系人

第二篇：信息系统应急处理预案

第一章 总 则

第一条 为提高应对信息系统在运行过程中出现的各种突发事件的应急处臵能力，有效预防和最大程度地降低信息系统各类突发事件的危害和影响，保障信息系统安全、稳定运行，根据国家《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突发公共事件总体应急预案》及有关法律、法规的规定，结合实际，制定本处理预案。

第二条 本处理预案所称的信息系统，由计算机设备、网络设施、计算机软件、社会保险数据等组成。

第三条 信息系统突发事件分为网络攻击事件、信息破坏事件、信息内容安全事件、网络故障事件、软件系统故障事件、灾难性事情、其他事件等八类事件。

(一)网络攻击事件：通过网络或其他技术手段，利用信息系统的配臵缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的事件。

(二)信息破坏事件：通过网络或其他技术手段，造成信息系统中的数据被篡改、假冒、泄漏等而导致的事件。

(三)信息内容安全事件：利用信息网络发布、传播危害国家安全、社会稳定和公共利益的不良信息内容的事件。

(四)网络故障事件：因电信、网络设备等原因造成大部分网络线路中断，用户无法登录信息系统的事件。

(五)服务器故障事件：因系统服务器故障而导致的信息系统无法运行的事件。

(六)软件故障事件：因系统软件或应用软件故障而导致的信息系统无法运行的事件。

(七)灾害性事件：因不可抗力对信息系统造成物理破坏而导致的事件。

(八)其他突发事件：不能归为以上七个基本分类，并可能造成信息系统异常或对信息系统当前运行造成潜在危害的事件。

第四条 按照造成信息系统的中断运行时间，将信息系统突发事件级别划分为一般(IV级)、较大(III级)、重大(II级)、特别重大(I级)。

(一)一般(IV级)：信息系统发生可能中断运行2小时以内的故障;

(二)较大(III级)：信息系统发生可能中断运行2小时以上、12小时以内的故障;

(三)重大(II级)：信息系统发生可能中断运行12小时以上、24小时以内的故障;

(四)特别重大(I级)：信息系统发生可能中断运行24小时以上的故障。

第二章 组织机构和工作职责

2 第五条 预防和处理信息系统突发事件工作协调小组(以下简称“应急小组”)负责信息系统应急处理工作，决定信息系统应急处理工作的重大事项，组织实施、业务协调和发布信息系统应急指令，发布信息系统应急故障级别、决策处理方案。应急小组组长由分管信息技术工作的领导担任，成员为信息技术科全体人员。

第三章 预防与预警机制

第七条应急小组针对各种可能发生的信息系统突发事件，建立和完善预测预警机制。

第八条 预警信息分为外部预警信息和内部预警信息两类。外部预警信息指信息系统外突发的可能需要通信保障、安全防范，或可能对信息系统产生重大影响的事件警报。内部预警信息指信息系统网内的事故征兆或局部信息系统突发事故可能对其他或整个网络造成重大影响的事件警报。

第九条应急小组要加强对信息系统的日常监测工作。监测的内容主要包括：

(一)局域网通讯性能与流量;

(二)网络设备和安全设备的操作记录、网络访问记录;

(三)服务器性能、数据库性能、应用系统性能等运行状态，以及备份存贮系统状态等;

(四)服务器操作系统、数据库安全审计记录、业务系统安全审计记录;

(五)计算机漏洞公告、网络漏洞扫描报告;

(六)病毒公告、防病毒系统报告;

(七)其他可能影响信息系统的预警内容。

第十条 应急小组获得外部重大预警信息或通过监测获得内部预警信息后，应对预警信息加以分析，按照早发现、早报告、早处臵的原则，对可能演变为严重事件的情况，部署相应的应对措施，通知相关部门做好预防和保障应急工作的各项准备工作，并及时报告所领导。

第四章 应急响应程序

第十一条 信息系统使用单位或人员发现信息系统突发事件后，应及时报告应急小组。应急小组及时组织相关人员查找故障原因，在短时间内(一般要在半小时以内)依据故障情形和修复时间进行初步判别，确定故障分类级别，较大(III级)及其以上的突发事件应报告所领导。

第十二条 信息系统突发事件发生后，根据突发事件严重程度，由所领导决定并指定特定小组或人员及时向新闻媒体发布相关信息，所指定的小组或人员应严格按照所领导规定及要求对外发布信息，其他部门或个人不得擅自接受新闻媒体采访或对外发布自己的看法和意见。

第十三条 发生较大(III级)及其以上信息系统突发事件时，应急小组除向所领导报告外，应立即通知各业务部室。各业务部室应在各业务大厅张贴告示牌，同时做好服务对象的解释和疏导工作，并尽可能通过电话、网络、短信等方式通知参保单位经办人员。

第十四条 根据不同的事件以及事件的级别，采取相应措施进

4 行应急处理。突发事件处理过程中，可以根据需要调整故障级别。

(一)网络攻击事件应急预案：

1.当发现网络被非法入侵、网页内容被篡改，应用服务器的数据被非法拷贝、修改、删除，或有黑客正在进行攻击等现象时，使用者或管理者应断开网络，并立即报告应急小组。

2.应急小组立即关闭相关服务器，封锁或删除被攻破的登陆帐号，阻断可疑用户进入网络的通道，并及时清理系统、恢复数据和程序，尽快将系统和网络恢复正常。

(二)信息破坏事件应急预案：

1.当发现信息被篡改、假冒、泄漏等事件时，信息系统使用单位或个人应立即通知应急小组。

2.如被篡改或被假冒的数据正在征缴或发放过程中，应急小组应立即通知代收代发机构中止征缴或发放工作。

3.应急小组通过跟踪应用程序、查看数据库安全审计记录和业务系统安全审计记录查找信息被破坏的原因和相关责任人。

4.应急小组提出修正错误方案和措施，通知各业务部室进行处理。

(三)信息内容安全事件应急预案：

1.当发现不良信息或网络病毒时，系统使用人员立即断开网线，终止不良信息或网络病毒传播，并报告应急小组。

2.应急小组根据情况通告局域网内所有计算机用户，隔离网络，指导各计算机操作人员进行杀毒处理、清除不良信息，直至网络处于安全状态。

(四)网络故障事件应急预案：

1.发生网络故障事件后，系统使用人员应及时报告应急小组。 2. 应急小组及时查清网络故障位臵和原因，并予以解决。 3.不能确定故障的解决时间或解决故障的期限并属较大(III级)及其以上的，应急小组应报告所领导。

(五)服务器故障应急预案：

1.服务器故障后，应急小组确定故障设备及故障原因，并通知相关厂商。

2.根据服务器修复和恢复系统所需时间，由所领导决定是否启用备份设备。

3.如启用备份设备，在服务器故障排除后，应急小组在确保不影响正常业务工作的前提下，利用网络空闲时期替换备用设备。如不启用备份设备，应急小组应积极配合相关厂商解决服务器故障事件。

(六)软件故障事件应急预案：

1.发生计算机软件系统故障后，系统使用人员应立即保存数据，停止该计算机的业务操作，并将情况报告应急小组，不得擅自进行处理。

2.应急小组应立刻派出技术人员进行处理，必要情况下，通知各业务部室停止业务操作和对系统数据进行备份。

3.应急小组组织有关人员在保持原始数据安全的情况下，对计算机系统进行修复;修复系统成功后，利用备份数据恢复丢失的数据。

(七)灾害性事件应急预案：

1.一旦发生灾害性事件，应急小组每一位成员都应有责任在第一时间进入机房抢救服务器及存储设备。

2.应急小组对服务器及存储设备的损坏程序进行评估。如服务器损坏或存储设备损坏无法使用，立即联系相关厂商，进入维保服务程序。

3.根据服务器或存储设备修复和恢复系统所需时间，由所领导小组决定是否启用备份设备。

(八)其他突发事件应急预案：应急小组立刻派出技术人员进入现场，制定相应措施，根据实际情况灵活处理，并按要求报告所领导小组。

第五章 后期处置

第十五条 故障排除后，应急小组向各部室发出故障解除、系统恢复正常运行通知。

第十六条 系统恢复运行后，相关操作人员尽快通知参保单位和个人办理社会保险业务事项，并对故障发生前所进行过的业务操作进行检查，核对业务数据是否正确或有无丢失，不正确或有丢失的应马上更正或补录，确保数据的正确和完整。对在故障期间采用手工受理的事项，应及时在系统中补充完善。

第十七条 所领导组织有关人员及有关技术专家组成事件调查组，对事件发生原因、性质、影响、后果、责任及应急处臵能力、恢复重建等问题进行全面调查评估，总结经验教训，完善信息系统

7 应急处理预案，整改信息系统存在的隐患。

第十八条 所领导对在信息系统应急事件处臵中做出突出贡献的集体和个人，提出表彰奖励建议;对玩忽职守，造成不良影响或严重后果的，按有关规定提出处理意见，并依法依规提出处理意见建议，并追究其责任。

第六章 应急保障

第十九条 信息技术科应做好系统数据的备份工作，保证重要数据在受到破坏后可紧急恢复。预留一定数量的网络硬件设备和服务器，用于预防或应对信息系统突发事件。

第二十条 选择熟悉信息系统软硬件的专业公司作为信息系统应急处理的社会应急支援单位，提供技术支持和服务。信息系统服务器以及存储设备要与专业厂商签定维保协议，明确备用设备的供应时间。

第二十一条 强化信息安全宣传教育，提高信息安全防御意识。每年至少组织开展一次全局范围内的信息网络安全教育，提高全局职工信息安全防范意识和能力。

第七章 附则

第二十三条 本预案自公布之日起执行。

第三篇：网络信息系统应急预案

一、总则

(一)制定目的

为科学应对网络与信息安全(以下简称信息安全)突发事件，建立健全信息安全应急响应机制，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，制订本应急预案。

(二)工作原则

1.统一领导，协同配合。支队信息安全突发事件应急工作由安全管理小组负责人统一领导和协调，相关部门按照“统一领导、综合协调、分级管理、各司其职”的原则协同配合，具体实施。

2.明确责任，依法规范。各单位各部门按照“属地管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，依法对信息安全突发事件进行防范、监测、预警、报告、响应、协调和控制。按照“谁主管、谁负责，谁使用、谁负责”的原则，实行责任分工制和责任追究制。

3.条块结合，整合资源。充分利用现有信息安全应急支援服务设施，整合信息安全工作力量。充分依靠各有关部门在地方的信息安全工作力量，进一步完善应急响应服务体系，形成局域信息安全保障工作合力。

4.防范为主，加强监控。宣传普及信息安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

二、预警和预防机制

(一)预警

在信息安全突发事件发生后，应及时将有关情况向上级主管部门报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据所研究出的决策实施行动方案，发布指示和命令。

(二)预防机制

积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

三、应急处理程序

(一)按照国家有关规定保护现场、相应的日志文件及可以保护的重要数据，通知有关单位并及时初步上报有关部门所发生的情况。

(二)联系上级单位应急小组，协调是否采取网络隔离措施，同时获得必要的技术支持。

(三)对所发生的安全事件进行分析，通过行政和技术手段排出存在的隐患;

(四)对系统进行恢复和加固处理，及时恢复网络通讯和信息服务。

(五)密切监测本单位网络及信息系统情况，确保运行状态稳定。

(六)将安全事件处理结果上报有关部门。

四、保障措施

(一)技术支撑保障

建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

(二)应急队伍保障

加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍。

(三)物资条件保障

安排信息化建设专项资金用于预防或应对信息安全突发事件，提供必要的经费保障，强化信息安全应急处理工作的物资保障条件。

(四)技术储备保障

组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，组织参加相关培训，推广和普及新的应急技术。

第四篇：医院信息系统应急预案

一、总则

1.1为保护医院计算机网络系统安全，促进医院计算机应用和发展，保障HIS系统顺利运行，特制定本应急预案。

1.2 本应急预案所称计算机网络系统，是指在医院信息系统中，由计算机及其配套的设备、设施构成，按照HIS系统应用目标和规则对数据信息进行采集、加工、存储、传输、检索等处理的人机系统。 1.3 计算机网络系统的安全保护，是保障计算机及配套的设备、设施的安全，运行环境的安全，保障信息的安全，保障医院信息管理系统功能的正常发挥，以维护计算机网络系统的安全运行，重点是维护网络系统中数据信息和网络上一切设备的安全。

1.4 医院内网运行的计算机的安全保护适用本应急预案。 1.5 任何单位或者个人不得利用上网计算机从事危害医院利益的活动，不得危害计算机网络系统的安全。

1.6 计算机网络系统的建设和应用，应遵守上级主管机关办法的行政法规，用户手册和其他有关规定。

1.7 计算机网络系统实行安全等级保护和用户使用权限划分，安全等级和用户使用权限以及用户口令密码的划分和设置由信息中心负责制定和实施。

1.8 在计算机网络系统设施附近进行营房维修、改造及其他活动，不得危害计算机网络系统的安全。如无法避免而影响计算机网络系统设施安全的作业，须事先通知信息中心，经中心负责人同意并采取保护措施后，方可实施作业。

1.9 计算机网络系统的使用单位和个人都必须遵守计算机安全使用规则，以及有关的操作规程和规章制度。

1.10对计算机网络系统中发生的问题，有关使用科室负责人应

1 当立即向计算机工程技术人员报告。

1.11 对计算机病毒和危害网络系统安全的其他有害数据信息的防治工作，由信息中心负责处理。

1.12 对计算机网络系统软件、设备、设施的安装、调试、故障排除等各项操作由计算机工程技术人员负责。其他任何单位或个人不得自行拆卸、安装任何软、硬件设施。

1.13 所有内网计算机绝对禁止进行国际联网或与院外其他公共网络联接。

二、应急事件处理领导小组 组长：主管院长 副组长：信息科长 组员：信息中心网络管理员

各相应职能部门主任及临床科室科主任、护士长

三、应急响应 3.1 响应级别的确定

信息安全事件分级的参考要素包括网络瘫痪面、对医疗工作影响、损失程度综合考虑。

信息安全突发事件级别分为四级：一般(Ⅳ级)、较大(Ⅲ级)、重大(II级)和特别重大(I级)。

IV级：个别工作站点不能正常工作、打印机故障、刷卡机故障、网线接头松动影响科室正常工作。

Ⅲ级：楼层交换机、科室交换机故障，导致局部网络瘫痪。 II级：基础网络、光纤收发器、主交换机瘫痪、综合布线主干断裂。

I级：服务器崩溃、磁盘阵列破坏、网络系统软件丢失、备用服务器系统无法启动。

3.2 预案启动

2 发生IV级、III级网络信息安全事件后，信息中心应立即组织人员实地检测并维修;发生I、II级的信息安全突发事件后，上报医院信息化领导小组和医院信息安全应急领导小组，启动相应预案，并由医院信息安全应急领导小组负责应急处理工作。

3.3 现场应急处理

3.3.1 信息中心接到科室信息安全应急报告后， 根据事件级别采取相应措施，重大突发事件立即报告医院信息安全应急领导小组，并组织恢复工作。

3.3.2 当发生网络整体故障时，应急服务器无法启用的情况下，各部门根据故障恢复时间的程度将转入手工操作，具体时限明确如下：

(1)15分钟内不能恢复：门急诊挂号收费、门急诊药房、门诊急诊医生等部门转入手工操作。

(2)3小时内不能恢复：住院医生工作站、住院护士工作站、住院药房、门急诊、手术室、医技检查转入手工操作。

(3)12小时以上不能恢复：全院各种业务转入手工操作。 3.3.3 所有手工操作的统一启动时间须由医院信息安全应急办公室通知，相关部门严格按照通知时间协调各项工作，在未接到新的指示前不准私自操作计算机。

3.3.4 门诊挂号收费处工作协调 (1)由财务科负责人负责组织协调。

(2)当网络系统运行中断超过15分钟时，要通知收费员转入手工收费程序。

(3)门诊收费员要建立手工发票使用登记本，对发票使用情况做详细登记。

(4)当系统恢复正常时，由收费员负责对网络运行稳定性进行监测，如不稳定，及时向医院信息中心反馈情况。

3 (5)在接到使用计算机的指令并重新启动运行后，收费员立即转入到机器操作，并在空闲时补录相关信息。

3.3.5 住院收费处的工作协调 (1)由财务科负责人负责组织协调。

(2)原则上不在住院处进行费用补录，以防止出现帐目混乱。 (3)当系统停止运行时间超过12小时，推迟普通出院患者结算时间。对急需出院的患者应根据病历和临床护士工作站记录，进行手工核算，出具手写发票。

(4)如出院患者急需在网络停止运行期间结算，应由该科护士工作站追查是否还有正在进行的检查项目，并向住院收费处提供详细费用情况，方可送交结算。

3.3.6 医生、护士工作站的协调

(1)由医务科、护理部负责人负责组织协调。 (2)医生接到信息中心通知后立即转入手工操作。

(3)病区医生手工开具医嘱，书写借方，一式两份，一份用于科室补录医嘱，另一份送药房作为取药凭证。

(4)护士根据医嘱核对借方，并严格按医嘱进行治疗。 (5)有紧急出院病人，立即通知住院收费处，由住院收费处进行手工结算工作。

(6)接到医院信息安全应急办恢复运行时间的通知后，由科主任、护士长组织协调，完成补录医嘱和费用核对工作。

3.3.7 医技检查工作协调

(1)由各医技科主任负责组织协调。

(2)在网络停运期间手工登记病人检查申请单信息。 (3)对即将出院或有出院倾向的患者，主治医师要在检查申请单上注明，检查科室应及时通知临床科室和住院收费处沟通费用情况。

4 3.3.8 药房工作协调

(1)由药剂科负责人负责组织协调。

(2)网络故障时，根据临床科室提供的药品请领单发药(借药)。 (3)网络恢复时对临床科室补录的摆药医嘱进行发药并确认，同时与发药时药品请领单内容认真核对，如发现内容不符，须详细追查。

(4)网络恢复后及时确认出院带药处方。

3.3.9 各工作站接到重新运行通知时，需重新启动计算机。医院信息中心严格按照服务器数据管理要求进行整体网络故障工程恢复工作。

3.4 医院信息系统应急数据恢复工作规定 3.4.1 由医院信息中心进行系统恢复。

3.4.2 当网络线路不通时，医院信息管理员应立即进行现场维护。如交换机出现故障，应立即使用备用交换机。

3.4.3 做好详细恢复记录。

3.5 医院信息系统网络服务器故障应急处理规程 3.5.1 由医院信息中心及时处理并做好故障排除记录。 3.5.2 各系统使用科室制定相应的系统故障数据保护措施，并建立数据抢录小组。

3.5.3 停机期间，相关科室应组织数据抢录小组在岗待命，一旦系统恢复，要立即于当日完成重要数据补录，次日完成全部数据补录。

3.5.4 故障排除后5天内，信息中心要分析故障原因，制定预防措施，报告信息化工作领导小组。

3.6 医院信息系统简要应急措施

3.6.1 软件系统故障：操作系统软件故障的情况，重新启动计算机，再运行程序，如还是无法解决，联系信息中心;工作软件故障 5 的情况，关闭工作软件，再重新打开工作软件，自动重新下载程序，如还是无法解决，联系信息中心。

3.6.2 硬件系统故障：经医院信息中心检测不能马上修复的，应立即起用备用设备。

3.6.3 打印机系统故障：如打印机在工作中出现异常(如打印头温度过高、打印头发出异响)，操作员应立即关闭打印机电源并与医院信息中心联系，如经检测不能修复，采用备用打印机替换。操作员不得带电拆解打印机与计算机外部器件。

3.6.4 网络：网线、交换机、光纤模块、UPS电源故障，由医院信息中心进行检修，如不能立即修复，更换备用设备，保证网络正常运行。

3.6.5 服务器故障：

(1)UPS电源故障：服务器暂时接入市电启动服务器运行。 (2)服务器故障：单机故障，及时排除修复;双机故障，启动远程应急备用机;完全瘫痪，转入手工作业。

(3)软件系统故障：在采取相应方法尽快解决未果的情况下，应立即起用报告制度与手工操作方式。

(4)硬件系统故障：不能马上修复时应立即起用备用服务器替代主服务器工作。

(5)数据安全与病毒防范：医院信息中心应每个工作日检查服务器的数据备份与实时数据(日结)的运行状况，检查运行日志，如出现异常应立即停止工作站操作查找原因，并对实时数据采取备份保留。信息中心应定时升级服务器病毒数据库，定时手工查杀病毒并打开服务器实时病毒监控系统。如工作站受到病毒感染，操作员应立即关闭计算机，等待医院信息中心通知开机。

3.6.6 信息中心加强医院网络系统监管，充分发挥医院监控网络软件的作用，凡不按规定操作计算机，违规使用外来数据盘、安装 6 非法系统、浏览、操作非工作需要站点、网页，一律收回授权和采取隔离措施。

3.7 报告和总结

认真回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件处理完毕后5个工作日内将处理结果报医院信息领导小组。

3.8 应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见，及时进行综合评估。应急行动是否结束，由医院信息安全应急领导小组决定。

第五篇：信息系统安全应急预案

为全面加强信息系统安全管理，应对信息安全突发事件的发生，提高对安全事件的应急处置能力，保证网络与信息安全指挥协调工作迅速、高效、有序地进行，满足突发情况下信息系统安全稳定、持续运行，根据国家和省有关规定，制定本预案。

一、组织机构

信息系统安全应急工作，由信息安全工作领导小组统一领导。负责信息安全日常事务处理、应急处理及安全通报等事务。

二、工作原则

(一)明确责任、分级负责：按照“谁主管谁负责，谁运行谁负责”的要求，逐级建立并落实统计信息系统责任制和应急机制。

(二)加强领导、分工合作：各单位应按照规定的职责和流程，实施统计信息系统的应急处理工作。

(三)积极预防、及时预警：各单位应及早发现安全事件，及时进行预警和信息通报;积极做好应急处理准备，提高对安全事件的预防和应急处理能力。

(四)协作配合、确保恢复：各单位要协同配合，确保在最短的时间内完成系统的恢复。

三、应急措施 (一)电力系统故障的应急处理流程

1.任何单位和人员发现本单位电力系统出现异常情况时，都应及时向办公室报告。

2.办公室是电力系统故障应急处理的第一责任单位。办公室应尽快查清故障原因，提出解决办法，确定故障排除可能需要的时间，报信息安全工作领导小组。

3.网络运行负责人应根据停电时间和UPS电池的供电能力，在保证重点网络关键设备用电的前提下，提出机房设备部分关机或全部关机方案，报信息安全工作领导小组。经认可后，安排相关人员按照规定的流程操作实施。

4.电力系统恢复供电后，办公室应在第一时间通知网络中心，以便以最快的速度恢复关闭的网络应用。

计算中心网络和系统管理人员在接到通知后，按照规定的流程开启关闭相关设备。

(二)消防系统应急处理流程

1.当出现火情、火灾时，发现人员应在最短时间内报告办公室。若火情严重时，应迅速拨打119电话报警，并尽可能采取一些简单可行的方法作初步处理，如：使用周围的灭火器、水源(在允许用水灭火的场合)或采用其他灭火措施、手段。进展情况随时向有关领导报告。

2.计算中心机房出现火情并且无法进行局部处理时，机房管理人员在紧急报告有关领导的同时，应立即疏散物理场地楼层以内的工作人员。并迅速拨打119电话报警。

(三)网络信息系统故障的应急处理流程

1.网络设备、网络应用系统故障应由发现人通知计算中心，计算中心立即检查故障，进行初步故障定位。如果网络、应用系统出现比较严重的问题，对网络业务的正常运行造成较大的影响，需立即向有关领导报告。

2.对简单故障，运维人员应迅速排除故障，解决问题并记录。如果需要更换设备，应上报有关领导经批准后马上更换故障设备，尽快恢复网络、应用系统运行。

运维部门判断无法及时修理时，应立即通知相关的系统运行服务提供商，在最短的时间内安排修理或更换系统。

3.如发现属外部线路的问题，应与线路服务提供商联系，敦促对方尽快恢复故障线路。

4.启用备份线路、设备、系统(如果存在的话)，迅速恢复相关的应用。

(四)网站检测与自动恢复系统应急处理流程

1.发现网站不能正常打开或网站内容被恶意篡改时，任何人员都有义务向网络中心报告。由网络应急小组组织应急响应，联合相关部门进行故障排查。

2.先由运维小组查看网络连接情况，若不是网络故障，则排查软、硬件故障。待故障处理完成并经过测试后，恢复系统的正常运行和内容的正常应用。

(五)黑客入侵的应急处理

1.发现网络上有黑客攻击行为，任何人员都有义务向网络中心报告。计算中心立即启动应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，并上报有关领导。

2.对于黑客攻击，由网络中心组织应急响应小组查找入侵踪迹，分析入侵方式和原因。由安全管理员根据对入侵事件的分析，组织相关人员对内部网计算机整改，防止黑客用同样的手段再次入侵其他系统。安全管理员检查确定无安全隐患后，才可将受攻击计算机重新连接网络，或启用备份计算机来恢复应用。

3.安全管理员应做好记录，保护现场，进行日志收集等工作。如果能追查到攻击者的相关信息，可以对其发出警告，必要时可以采取进一步的行动，乃至采取法律手段。根据破坏程度，经有关领导同意后，上报公安部门。

若系统已被黑客破坏，无法恢复，应将受黑客攻击的计算机上的重要数据备份到其他存储介质，确保计算机内重要的数据不丢失。如果数据无法恢复，经有关领导同意后，可与国家指定的部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。

(六)大规模病毒(含恶意软件)攻击的应急处理

1.发现网络上有大规模病毒攻击的行为，任何人员都有义务向网络中心报告。由网络中心组织应急响应，切断受攻击计算机与网络的连接，停止一切操作、保护现场，立即上报有关领导。 2.若是已知病毒，使用最新版本杀毒软件对染毒计算机进行全面杀毒，并对染毒计算机系统进行漏洞修补。安全管理员确定没有病毒和安全漏洞后，再连接网络恢复使用。

3.若是未知病毒，观察网管软件根据监视窗口的链路状态，由此判断感染病毒或恶意程序的客户端、服务器所科的楼层交换机。打开该交换机的端口流量分析窗口，根据流量判断感染病毒或恶意程序的客户端所在的交换机端口。关闭该交换机端口，隔离该工作站、服务器，阻断与局域网的连接。根据端口状态功能，查看该感染病毒或恶意程序的工作站的IP地址。根据IP地址信息找到该工作站的具体位置，对该工作站进行病毒或恶意程序清除工作。

根据对于未知病毒，应首先尝试手工杀毒处理，若系统已被病毒破坏，无法恢复，应将感染病毒的计算机上的硬盘加挂到其他机器上处理，将重要数据备份到其他存储介质，尽最大努力保护、保留感染计算机内重要的数据，同时防止病毒感染其他计算机。如果数据无法恢复，经有关领导同意后，可与国家指定的反病毒部门联系，由他们来协助恢复，为保证数据信息安全，需在安全管理部门作记录。如为涉及国家秘密的数据，不允许由其他机构来恢复数据。