关于修订印发《汶上县卫生健康系统网络安全事件应急预案》的通知

各乡镇卫生院、县直各医疗卫生单位、民营医院、局机关各科室：

为进一步做好我县卫生健康系统网络安全事件应对处置工作，根据《济宁市网络安全事件应急预案（修订版）》和《汶上县网络安全事件应急预案（修订版）》经研究，制定了《汶上县卫生健康系统网络安全事件应急预案》现印发给你们，请认真抓好贯彻落实。

汶上县卫生健康局        

2022年3月30日        

汶上县卫生健康系统网络安全事件应急预案（修订版）

为进一步做好我县卫生健康系统网络与信息安全事件应对处置工作，健全网络与信息安全应急工作机制，提高应对突发网络与信息安全事件的应急处置能力，预防和减少网络与信息安全事件造成的损失和危害，根据《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》《突发事件应急预案管理办法》《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)和《山东省网络安全事件应急预案(修订版)》《济宁市网络安全事件应急预案(修订版)》等相关规定，特制定本预案。

一、适用范围

本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件，可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。从网络和信息系统损失程度、重要敏感信息系统损失程度划分，网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。详见附件1。

二、组织机构与职责

（一）领导机构与职责。局网络安全和信息化工作领导小组组长由县卫生健康局（以下简称“县卫健局”）党组书记、局长担任，统筹领导全县卫生健康行业网络与信息安全事件的预防、应对和处置工作，负责建立与完善卫生健康行业网络预案体系。

（二）办事机构与职责。局网络安全和信息化工作领导小组办公室设在局规划信息科，为网络与信息安全应急指挥办事机构，具体负责网络与信息安全事件的统筹协调工作；做好应急技术支撑队伍的日常管理工作；政策法规科负责网络信息安全和舆情应对、管理等，承担应急值守工作；其他科室按职责分工做好相关工作，并指定相关工作人员为联络员。各单位按照职责和权限，负责本部门、本单位网络与信息安全事件的预防、监测、报告和应急处置等工作。

（三）下设工作组职责。当发生网络与信息安全事件时，由领导小组办公室视情况决定成立现场应急指挥部，并指定负责人，同时根据工作需要可设综合协调组、专家咨询组、技术支撑组、新闻宣传组等。

三、工作目标及原则

按照“全面排查风险、实时发现预警、强力有效处置、确保万无一失”的目标，建立健全网络安全事件应急处置工作机制，提高应对网络与信息安全事件能力，预防和减少网络与信息安全事件造成的损失和危害，确保各业务信息系统和数据安全稳定运行。

全县卫生健康行业各重要业务信息系统按照“坚持统一领导、分级负责，密切协作;坚持统一指挥、密切协同、快速反应、科学应对;坚持底线思维、突出重点、预防为主;坚持属地管理、坚持谁主管谁负责、谁运行谁负责”的工作原则，落实网络与信息安全责任。按照职责权限和属地管理的相结合的原则，各单位统筹做好本单位网络与信息安全工作和事件的应对处置工作。

四、网络安全事件预警监测工作流程

各单位组织对本单位建设运行的网络和信息系统开展网络安全预警监测工作。

（一）预警分级。网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

（二）预警监测。各单位按照“谁主管谁负责、谁运行谁负责”的要求，组织对本单位建设运行的网络和信息系统开展网络安全监测工作。县卫健局组织指导各单位做好网络安全监测工作。

（三）发布预警信息。依托县委网信办统筹建设管理的县级监测预警平台提供的相关情况，实时向相关部门和单位发布网络安全预警监测信息。预警信息以通报、电话、短信等多种方式发布。

（四）排查安全隐患。各单位在收到预警信息以后迅速开展网络安全隐患排查、整改等工作。通过技术修补操作系统、应用系统漏洞；关闭系统不必要的端口、服务；增加便捷防护和安全策略；修改默认口令、弱口令等多种技术手段，进行系统安全加固。

（五）请求技术支援。各单位收到网络安全预警信息后，也可直接向网络安全应急技术支撑单位发出技术支持请求。

（六）上报整改情况。各单位在收到县卫健局发布的网络安全预警监测信息后10日内，将整改情况报县卫健局。

五、网络安全事件应急处置工作工作流程

（一）网络安全事件预判与报送。各单位在遇到突发网络安全事件时，要即刻启动应急预案，对事件进行等级预判，较大网络安全事件及以上，必须在20分钟内向县卫健局或向县网络安全应急办报告有关情况。

（二）采取应急技术措施。网络安全事件突发时，可向网络安全应急技术支撑单位发出技术支持请求。对于产生较为严重负面影响的网站，采取断网等方式，及时停止对外服务；对于遭受破坏的信息系统，要做好现场保护、数据备份等工作。

（三）统筹开展应急处置。县卫健局网络安全和信息化工作领导小组统筹协调县委网信办、县网络安全应急办等有关单位开展应急处置工作，实行24小时值班，相关人员保持通讯联络畅通。

（四）预警发布。对大面积的攻击破坏、病毒爆发等情形，县卫健局将根据《汶上县网络安全事件应急预案》，会同有关部门开展网络安全事件预警等级发布、新闻报道等相关工作。

（五）调查与评估。县卫健局根据县网络安全应急办的部署，组织调查处理和总结评估，各单位在网络安全事件处置结束后2日内，将整改报告报县卫健局。整改调查报告应对事件的起因、性质、影响、责任、经验教训等进行分析评估，对责任处置认定，提出处理意见和改进措施。

六、典型网络与信息安全事件分类及应对措施

（一）大规模病毒爆发。当网络遭遇大规模病毒攻击时（如勒索病毒），要第一时间切断局域网，拔出网线，防止病毒进一步扩散；请专业技术人员对局域网内每一台计算机进行病毒查杀，修补漏洞，待彻底清理干净，确保计算机安全时在接入网络；要尽量避免开放打印机共享、远程桌面等高风险端口。

（二）网页被篡改。所属网站遭篡改时，要第一时间终止互联网服务，拔出网线，防止攻击者再次恶意破坏系统日志、数据等，不要关闭服务器，为公安部门取证、追踪提供依据；在完成取证、保存系统日志等工作以后，即刻开展与网站建设相关软硬件系统的修复工作，包括修补操作系统漏洞、网站开发中间件漏洞、网站自身漏洞，加强系统口令、关闭共享端口、加固安全策略等内容；问题网站责任单位应当邀请第三方信息技术支撑队伍对问题网站进行风险评估，确保没有高危漏洞并具备上线条件时再投入运行，并将整改情况报县卫健局和县网信办。

（三）信息系统瘫痪。信息系统遭攻击时，要切断信息系统与互联网的连接，防止系统遭受进一步的破坏，同步做好信息系统数据备份工作；邀请信息系统运维服务机构或第三方应急技术支撑队伍，开展系统漏洞排查、整改工作。重点排查信息系统是否存在弱口令、安全策略不生效、软件系统漏洞、病毒库不升级、访问控制不全面、边界防护失效等问题；系统在上线运行前，应当进行风险评估；整改工作完成后3日内，事发单位将整改情况报县卫健局。

（四）网络中断。当出现大面积网络中断（排除内部局域网网络故障），无法访问互联网时，通知所属电信运营商企业客户经理，要求开展网络通信保障工作；根据网络中断影响范围，确认网络安全事件等级；较大网络安全事件及以上，应当及时报送县卫健局，同时报同级网信和通信管理部门。

（五）信息系统存在高危漏洞。当责任单位收到县卫健局发布风险通报或从其他可靠途径渠道了解到所属的系统存在安全风险时，立即启动应急预案，联系信息系统开发商、运维机构等相关人员，按照通报要点，逐项排查、修补高危漏洞；如无维护人员或技术力量薄弱，可邀请第三方应急技术支撑单位，协助开展漏洞修补工作；信息系统在上线运行前，应当进行风险评估；收到通报后10日内，将整改情况报县卫健局。

七、做好日常预防工作

全县卫生健康系统按职责做好网络与信息安全事件日常预防工作，制定完善相关应急预案，做好网络和信息安全检查、隐患排查、风险评估和容灾备份，健全网络和信息安全信息通报机制，及时采取有效措施，减少和避免网络与信息安全事件的发生及危害，提高应对网络与信息安全事件的能力。

（一）演练。领导小组办公室监督有关单位定期组织演练，检验和完善预案，提高实战能力。各单位每年至少组织一次预案演练，并将演练情况整理备查。

（二）宣传。相关责任科室应充分利用各种传播媒介及其他有效的宣传形式，加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传，开展网络与信息安全基本知识和技能的宣传活动。

（三）培训。相关责任科室要将网络与信息安全事件的应急知识列为领导干部和有关人员的培训内容，加强网络和信息安全制度特别是网络和信息安全应急预案的培训，提高防范意识及技能。定期开展行业信息安全应急意识教育活动。

（四）重要活动和重大节假日期间的预防措施。在重要活动等敏感时期，各单位要加强网络与信息安全事件的防范和应急响应，确保网络安全。领导小组办公室统筹协调网络安全保障工作，根据需要要求有关单位加强防范，提高保障等级。加强网络安全检测和分析研判，及时预警可能造成重大影响的风险和隐患，重点单位，重点岗位保持24小时值班，及时发现和处置网络与信息安全事件隐患。

八、相关保障措施

（一）机构和人员保障。各单位要建立健全网络与信息安全应急工作机构，明确责任部门和人员职责，落实应急工作机制，重要业务信息系统要把责任落实到具体单位、具体岗位和个人。

充分发挥专家队伍在应急处置工作中的作用，加强专家队伍建设，逐步建立涵盖信息学科各领域的专家队伍，为网络与信息安全事件的预防和处置提供技术咨询和决策建议。

加强网络与信息安全应急技术专家支撑队伍建设，做好网络与信息安全事件的监测预警、预防防护、应急处置、应急技术支援等工作。各单位应配备必要的网络和信息安全专业技术人才，加强同各级网络与信息安全向技术单位的沟通协调，建立网络与信息安全信息共享机制。

（二）物质和经费保障。各单位要加大对网络与信息安全应急装备、工具的储备，及时调整、升级软硬件工具，逐步增强应急技术支撑能力。积极为网络与信息安全事件应急工作争取必要的资金保障，支持专家队伍建设、应急技术支撑队伍建设、预案演练、物质保障等。

九、预案管理和修订

本预案指导我县卫生健康系统网络安全事件应对工作。各单位要根据本预案制定或修订完善本单位网络安全事件应急预案。

本预案原则上每三年修订一次，也可根据实际情况适时修订。修订工作由县卫健局负责。

有下列情形之一的，应当及时修订预案:

(1)有关法律、法规、规章、标准及有关规定发生变化的;

(2)应急指挥机构及其职责发生重大调整的;

(3)面临的风险发生重大变化的;

(4)预案的其他重要信息发生变化的;

(5)在网络安全事件应对和应急演练中发现问题需要做出重大调整的;

(6)应急预案制订单位认为应当修订的其他情况。

本预案自印发之日起实施。

附件:1.网络安全事件分级分类

2.名词术语

3.网络和信息系统损失程度划分说明

附件1

网络安全事件分类

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

一、符合下列情形之一的，为特别重大网络安全事件:

1.重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧失业务能力。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁。

3.境内外敌对组织、敌对分子利用信息网络进行有组织的网络渗透活动，对国家安全、社会秩序、经济建设和公共利益构成特别严重威胁、造成特别严重影响的网络安全事件。

4.全省重大突发公共安全事件一、二级应急响应期间，对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

5.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

二、符合下列情形之一且未达到特别重大网络安全事件的，为重大网络安全事件:

1.重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫痪，业务处理能力受到极大影响。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成严重威胁。

3.境内外敌对组织、敌对分子利用信息网络进行有组织的网络渗透活动，对国家安全、社会秩序、经济建设和公共利益构成严重威胁、造成严重影响的网络安全事件。

4.全省重大突发公共安全事件一、二级应急响应期间，对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

5.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

三、符合下列情形之一且未达到重大网络安全事件的，为较大网络安全事件:

1.重要网络和信息系统遭受较大的系统损失，造成系统中断，明显影响系统效率，业务处理能力受到影响。

2.国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对国家安全和社会稳定构成较严重威胁。

3.境内外敌对组织、敌对分子利用信息网络进行有组织的网络渗透活动，对国家安全、社会秩序、经济建设和公共利益构成严重威胁、造成严重影响的网络安全事件。

4.全省重大突发公共安全事件一、二级应急响应期间，对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

5.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

四、除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件，为一般网络安全事件。

网络安全事件分类

网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

(4)信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

(7)其他事件是指不能归为以上分类的网络安全事件。

附件2

名词术语

一、关键信息基础设施

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。

二、重要网络与信息系统

所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。

(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))

三、重要敏感信息

不涉及国家秘密，但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息，这些信息一旦未经授权披露、丢失、滥用、篡改或销毁，可能造成以下后果:

a)损害国防、国际关系;

b)损害国家财产、公共利益以及个人财产或人身安全;

c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;

d)影响行政机关依法调查处理违法、渎职行为，或涉嫌违法、渎职行为;

e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责;

f)危害国家关键基础设施、政府信息系统安全;

g)影响市场秩序，造成不公平竞争，破坏市场规律;

h)可推论出国家秘密事项;

i)侵犯个人隐私、企业商业秘密和知识产权;

j)损害国家、企业、个人的其他利益和声誉。

(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014))