《宁国市医疗保障局网络与信息安全事件预防和应急处理预案(试行) 》
发布时间:2025-04-01 20:53
来源:宁国市医保局
浏览次数:
字体:[大 中 小]
为建立健全我局网络与信息安全事件应急工作机制,提 高突发事件应对处置能力,确保医疗保障信息平台运行安全 和数据安全,预防和减少网络与信息安全事件造成的损失和 危害,保护公众利益,维护国家安全、公共安全和社会秩序, 特制定本预案。
一、适用范围
本预案所指网络与信息安全事件是指由于人为原因、软 硬件缺陷或故障、 自然灾害等,对我单位医保专线或医疗保 障信息系统及医保数据造成危害,对社会造成负面影响的事 件,可分为:有害程序事件、网络攻击事件、信息破坏事件、 信息内容安全事件、设备设施故障、灾害性事件和其他网络 安全事件。本预案适用于我局网络与信息安全事件的应对工 作。
二、工作原则
(一)预防为主。立足安全防护,加强预警,重点保护 医疗保障专用网络和医疗保障信息平台安全,从预防、监控、 应急处理、应急保障和打击犯罪等环节,采取多种措施,共 同构筑网络与信息安全保障体系。
(二)快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速 处置,最大程度地减少危害和影响。
(三)明确责任。明确网络意识形态和网络安全工作责 任边界,按照“谁建设,谁负责,谁使用,谁负责”的原则, 医保部门是本级医保经办机构网络安全的责任主体,履行本 级医疗保障网络安全的监督责任,行使对两定机构网络安全 监管责任,建立和完善安全责任制及联动工作机制。根据部 门职能,强化协调配合,形成工作合力,共同履行应急处置 的管理责任。
三、安全防范措施
(一)健全组织机构
成立局医疗保障网络与信息安全工作领导小组,负责贯 彻落实有关法律法规和上级部门决策部署及工作要求,研究 制定本地工作计划、工作规范和管理制度,统筹领导全市医 疗保障信息化建设和网络安全及数据保护重大问题和应急处置工作,建立跨部门协调机制,核定有关单位数据共享事 宜等。
(二)规范信息管理
任何以医保局名义在网站或公众号等平台上发布的信息,必须按规定进行审批后方能发布。一旦发现非法内容, 应立即按紧急处置预案处置。信息交换、共享循“数据不 出门、出门必授权”原则,未经授权医保业务敏感数据不可 离开局内网环境;因工作需要,需向外部门、外单位提供的,必须通过安全评估,并签订信息保密协议。
(三)加强网络安全防护
未经领导小组或上级部门授权同意,核心业务网络不得 与外部相关部门联网,与外部相关部门联网的必须采用单独 的网络设备、通信链路,必须采取物理隔离或防火墙逻辑隔 离的方式交换数据。核心业务网络必须与互联网做物理隔离。对主机或网络设备中不使用或较少使用的、存在安全隐 患的服务必须及时关闭。在网络建设和改造时必须优先考虑 到网络的安全性。未经许可,严禁将未经许可的计算机、其 他终端设备等接入核心业务网络。
(四)强化设备安全管理
采购的计算机、服务器、存储、网络及安全设备等关键 设备及其配套的应用程序必须按照国家推荐目录采购,确保 具有较高的可靠性,从源头把好设备的安全和性能关。强化 设备日常运行的监控管理、安全防护措施,配备专业人员定 期巡检,强化安全意识教育,确保设备安全稳定运行。完善 设备安全事件或故障应急预案,确保出现故障后能够及时维 护、更换,将对系统和业务的影响降至最低。
四、预防和预警机制
(一) 网络与信息安全事件分级
根据安全事件对业务造成的影响程度,安全级别从高到 低分级如下:
1.一级/紧急
造成业务中断或间断时间在 30 分钟以上,或者影响的范 围涉及两个或两个以上业务系统,或者业务系统数据损坏、 丢失,并且无法恢复,或者重要数据泄露,或者业务系统或 网络被破坏或损坏,并且预计在 30 分钟内无法恢复的。
2.二级/告警
造成业务中断或间断时间在 15—30 分钟,或者业务系统 数据部分损坏、丢失,可以通过备份进行恢复的。
3.三级/预警
造成业务中断或间断,中断时间 1—15 分钟,并且未造 成业务系统数据损坏、丢失的。
4.四级/一般
未造成业务中断,或中断时间少于 1 分钟,并且未造成 业务系统数据损坏、丢失的。
(二)预警监测
做好网络与信息安全事件的风险评估和隐患排查工作,及时采取有效措施,避免和减少安全事件的发生及危害。落 实工作责任制,对建设运行的网络和信息系统开展网络安全 监测工作,持续收集、分析、判断和监测各类网络与信息安 全突发公共事件和可能引起突发事件的有关信息。
(三)应急准备
网络安全管理员依据人员职责和管理范围,根据实际情 况,安排应急值班,确保到岗到人、联络畅通、处理及时准 确。
(四)具体措施
1.有害程序事件:分为计算机病毒事件、蠕虫事件、特 洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内 嵌恶意代码事件和其他有害程序事件。
应对措施:一是安装杀毒软件,对所运行的服务器实行 统一管理、实时监测,及时修补系统漏洞、查杀木马程序、 杜绝安全隐患的存在。二是建立统一的应用整体安全防御体 系,实时扫描 WEB 系统的网页,查找网页挂马和非法程序, 清除网页木马和非法程序,提高系统本身的安全性和可用
性,保障应用系统安全运行。
2.网络攻击事件:分为拒绝服务攻击事件、后门攻击事 件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干 扰事件和其他网络攻击事件。
应对措施:建设网站应用系统主动防御平台,应对各种 应用威胁,提高系统的抗攻击能力。
3.信息破坏事件:分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件、其他信息破 坏事件。
应对措施:通过建设应用系统主动防御平台,保障应用 数据的访问、传输过程的安全,对访问者进行认证、授权、 审计,最大限度地消除安全隐患。实现事前主动防御、智能 分析应用缺陷、屏蔽恶意请求;事中智能响应,快速定位, 阻止风险扩散,消除“安全事故”于萌芽之中;事后行为审计,深度挖掘访问行为、分析攻击数 据,为评估安全状况提 供详尽报表。
4.信息内容安全事件:是指网络传播法律法规禁止的信 息,阻止非法串联、煽动集会游行或者炒作敏感问题并危害 国家安全、社会稳定和公众利益的事件。
应对措施:一是要建立严格的信息上网发布审计制度,门户网站发布信息必须履行审批程序。二通过应用系统主动 防御平台建立完善的信息上网审计,阻止不合法信息上网。
5.设备设施故障:分为软件自身故障、外围保障设施故 障、人为破坏事故和其他设备设施故障。
应对措施:一是采用设备冗余部署,某台终端设备出现 故障时,可以立即启用冗余设备,不影响业务经办正常运行。 二是网络可采用多线路,多运营商不同路由接入,确保线路 冗余,网络畅通。三是关键数据采用多台存储实时同步备份 确保应用数据零丢失。
五、应急预案
(一)通信网络故障应急预案
1.发生通信线路中断、路由故障、流量异常、域名系统 故障后,工作人员应及时向网络安全管理员报告故障的发生 时间、主要表现及影响范围等基本情况。
2.网络安全管理员接报告后,应及时查清故障节点、故 障原因,做好问题处置和网络复联工作。对不能自行判断处 置的,应及时组织系统运维、设备供应、网络运营等厂商联合排查处置,尽快恢复通信网络,保证正常运转。
3.事态或后果严重、 日常运行存在重大风险隐患的,应 急小组应及时将故障原因、处置经过及后续防范措施、完善 建议等报告领导小组及有关业务部门。
(二) 网络出现非法信息的应急预案
1.网络、网页等由全体工作人员随时密切监视信息内 容。
2.发现非法信息时,责任人员应立即向领导小组报告, 应先及时采取删除等处理措施,再按程序报告。
3.事件发生后,责任人和网络安全管理员应采取隔离网 络、删除等措施,及时终止传播、清除不良信息;并做好必 要的记录,追查不良信息来源,进一步强化安全防范措施。
4.处置结束后,责任人和网络安全管理员应将事发经过、造成影响、处置结果等情况及时报告领导小组。经领导 小组审议认为事态严重的,立即向公安、网信或上级部门报 告。
(三)感染病毒的应急预案
1.当发现有计算机感染病毒后,应立即将该机从网络上 隔离开来,该设备的硬盘进行数据备份。
2.启用反病毒软件对该机进行杀毒处理,同时通过病毒 检测软件对其他机器进行病毒扫描和清除工作。
3.如果现行反病毒软件无法清除该病毒,应立即向领导 小组报告,并联系有关产品供应商或专业人员研究解决。
4.经领导小组会商,认为情况严重、难以解决的,应立 即向公安部门或市主管部门报告,请求支持。
5.如果感染病毒的设备是主机系统,经领导小组同意, 应立即告知各单位做好相应的清查工作。
(四)黑客攻击事件应急预案
1.当发现网络被非法入侵,导致应用服务器上的数据被 非法拷贝、修改、删除,或通过入侵检测系统发现有黑客正 在进行攻击时,使用者或管理者应第一时间断开网络,并立 即向领导小组报告。
2.接报告后,网络安全管理员应立即核实情况,将受攻 击的设备从网络中隔离出来,阻断可疑用户进入网络的通 道,并上报上级部门,请求支援。
3.处置结束后,责任人和网络安全管理员应将事发经过、 造成影响、处置结果等情况及时报告领导小组。经领导小组 审议认为事态严重的,立即向公安、网信或上级部门报告, 协助其追查攻击来源。
(五)核心设备硬件故障应急预案
1.发生核心设备硬件故障后,网络安全管理员应及时报 告领导小组,并组织查找、确定故障设备及故障原因,进行 先期处置。
2.若故障设备在短时间内无法修复,网络安全管理员应 启动备份设备,保持系统正常运行;将故障设备脱离网络, 进行故障排除工作。
3.网络安全管理员应在故障排除后,在网络空闲时期, 替换备用设备;若故障仍然存在,立即联系相关厂商, 请 求技术支持和维护服务。
4.事态或后果严重、一时不能修复的,及时报告上级有 关部门,并告知经办机构和两定机构,暂缓相关业务处理工 作。
(六)关键人员不在岗的紧急处置措施
对于关键岗位平时应做好人员储备,确保一项工作有两 人能操作。一旦发生关键人员不在岗的情况,应及时向领导 小组报告,经批准后由备用人员上岗操作。
六、责任与奖惩
网络与信息安全事件应急领导小组不定期组织对各项制 度、计划、方案、人员及物资等进行检查,对在突发网络与 信息安全事件应急处置中做出突出贡献的集体和个人,提出 奖励建议;对玩忽职守,造成不良影响或严重后果的,依法 依规提出处理意见,追究其责任。
宁国市医保局
皖公网安备34188102000030号
本站已支持IPv6访问
