璧医保发〔2019〕54号

重庆市璧山区医疗保障局

关于印发《重庆市璧山区医疗保障局信息网络安全突发事件应急处置预案》的通知

各科室：

经研究，现将《重庆市璧山区医疗保障局信息网络安全突发事件应急处置预案》印发给你们，请遵照执行。

                                                                    重庆市璧山区医疗保障局

                                                                          2019年7月4日

重庆市璧山区医疗保障局

信息网络安全突发事件应急处置预案

一、总则

（一）目的 

为科学应对信息网络安全突发事件，建立健全信息网络安全应急响应机制，有效预防、及时控制和最大限度地消除信息网络系统各类突发事件的危害和影响，根据国家《信息安全事件分类分级指南》、《信息技术、安全技术、信息安全事件管理指南》、《国家突发公共事件总体应急预案》、《重庆市璧山区医疗保障局信息系统管理制度》及有关法律、法规的规定，结合实际，制定本处理预案。

（二）工作原则

1．统一领导，协同配合。信息网络安全突发事件应急工作由局信息网络安全突发事件应急领导小组统一领导和协调，相关科室积极协同配合安全管理。

2．明确责任，依法规范。信息网络安全突发事件应急领导小组办公室按照“及时发现、及时报告、及时救治、及时控制”的要求，依法对信息网络安全突发事件进行防范、监测、预警、报告、响应、协调和控制。

3．防范为主，加强监控。宣传普及信息网络安全防范知识，牢固树立“预防为主、常抓不懈”的意识，经常性地做好应对信息网络安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及网络信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

（三）适用范围

本预案适用本局信息网络系统和定点医药机构医疗保险专用网络突发安全事故的应急处理工作。

二、组织机构及职责

（一）应急指挥机构

     设立本局信息网络安全突发事件应急领导小组（以下简称：应急领导小组），为信息网络安全突发事件应急工作的综合性议事、协调机构。由局长任组长，分管信息工作的副局长任副组长和应急领导小组办公室主任，其余副局长和各科室负责人以及信息档案科信息技术人员为成员。应急领导小组办公室（以下简称办公室）设在信息管理科室，其主要职责是：

1．拟订应对信息网络安全突发事件的应急预案，报领导批准后组织实施；

2．督促检查信息安全突发事件监测、预警工作情况，并给予指导；

3．汇总有关信息安全突发事件的各种重要信息，进行综合分析，并提出建议；

4．监督检查、协调指导信息安全突发事件预防、应急准备、应急处置、事后恢复与重建工作； 

5．应急领导小组交办的其他工作。

（二）现场应急处理工作组

发生安全事件后，应急领导小组成立现场应急处理工作组，由办公室成员组成，对计算机系统和网络安全事件的处理提供技术支持和指导，按照正确流程，快速响应，提出事件统计分析报告。

三、预警和预防机制

   （一）信息监测及报告 

1．办公室要加强信息安全监测、分析和预警工作，进一步提高信息安全监察执法能力，加大对计算机犯罪的打击力度。

2．建立信息安全事故报告制度。信息安全突发事件发生后，立即对发生的事件进行调查核实、保存相关证据，并在事件被发现或应当被发现时起2小时内将有关材料报至应急领导小组。

3．定点医药机构发现医疗保险专用网络计算机终端发生网络安全事故应第一时间及时报告本局办公室，并把计算机终端断开医疗保险专用网络。

（二）预警

办公室接到信息安全突发事件报告后，在经初步核实后，将有关情况及时向应急领导小组报告。在进一步综合情况，研究分析可能造成损害程度的基础上，提出初步行动对策，视情况召集协调会，并根据应急领导小组的决策实施行动方案，发布指示和命令。

（三）预防机制

积极推行信息安全等级保护，逐步实行信息安全风险评估。信息网络系统建设要充分考虑抗毁性与灾难恢复，制定完善信息安全应急处理预案，建立制度化、程序化的处理流程。

四、应急处理程序

（一）预案启动

1．发生网络信息安全事件后，由应急领导小组启动相应预案，并负责应急处理工作。

2．办公室接到报告后，应当立即上报应急领导小组，并会同相关单位尽快组织技术人员对突发事件性质、级别及启动预案的时机开展评估，向应急领导小组提出启动预案的建议。

（二）现场应急处理

1．检查。事件发生科室或定点医药机构和现场应急处理工作组尽最大可能收集事件相关信息，判别事件类别，确定事件来源，保护证据，以便缩短应急响应时间。检查威胁造成的结果，评估事件带来的影响和损害：如检查系统、服务、数据的完整性、保密性或可用性；检查攻击者是否侵入了系统；以后是否能再次随意进入；损失的程度；确定暴露出的主要危险等。

2．抑制。抑制事件的影响进一步扩大，限制潜在的损失与破坏。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统的物理链接，修改防火墙和路由器的过滤规则；封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路；提高系统或网络行为的监控级别；设置陷阱；实行特殊“防卫状态”安全警戒；反击攻击者的系统等。

3．根除。在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构对攻击源进行准确定位并采取合适的措施将其中断。清理系统、恢复数据、程序、服务。把所有被攻破的系统和网络设备彻底还原到正常的任务状态。恢复工作应十分小心，避免出现操作失误而导致数据丢失。另外，恢复工作中如果涉及机密数据，需要额外按照机密系统的恢复要求。如果攻击者获得了超级用户的访问权，一次完整的恢复应强制性地修改所有的口令。

（三）报告和总结

回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的科室应当在事件处理完毕后5个工作日内将处理结果报应急领导小组备案。

（四）应急行动结束

根据信息安全事件的处置进展情况和现场应急处理工作组意见，办公室组织相关部门及技术人员对信息安全事件处置情况进行综合评估，并提出应急行动结束建议，报应急领导小组批准。

五、监督检查与责任追究

（一）预案执行监督 

办公室负责对预案实施的全过程进行监督检查，督促各科室按本预案指定的职责采取应急措施，确保及时、到位。 

1．发生重大信息安全事件的科室应当按照规定，及时如实地报告事件的有关信息，不得瞒报、缓报或者授意他人瞒报、缓报。

2．应急行动结束后，办公室对相关科室采取的应急行动的及时性、有效性进行评估。 

（二）责任追究

1．在发生重大信息安全事件后，有关责任人有瞒报、缓报、漏报和其它失职、渎职行为的，应急领导小组将予以通报批评；对造成严重不良后果的，将视情节追究责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。 

2．对未及时落实应急领导小组指令，影响应急行动效果的，按《国务院关于特大安全事故行政责任追究的规定》及有关规定追究相关人员的责任。

六、附则

（一）本预案所称网络与信息安全重大突发事件，是指由于自然灾害、设备软硬件故障、内部人为失误或破坏、黑客攻击、无线电频率干扰和计算机病毒破坏等原因，本局网络与信息系统的正常运行受到严重影响，出现业务中断、系统破坏、数据破坏或信息失窃或泄密等现象，以及境内外敌对势力、敌对分子利用信息网络进行有组织的大规模宣传、煽动和渗透活动，或者对国内通信网络或信息设施、重点网站进行大规模的破坏活动，在国家安全、社会稳定或公众利益等方面造成不良影响以及造成一定程度直接或间接经济损失的事件。

（二）本预案由应急领导小组办公室负责解释。

（三）本预案自发布之日起实施。

  （此件公开发布）