局属各单位:
现将《永宁县卫健系统网络与信息安全事件应急预案》印发给你们,请认真组织实施。
永宁县卫生健康局
2021 年1月 27日
(此件公开发布)
永宁县卫健系统网络与信息安全事件应急预案
为进一步做好我县卫健系统网络与信息安全事件应对处置 工作,健全网络与信息安全应急工作机制,提高应对突发网络与信息安全事件的应急处置能力,预防和减少网络与信息安全事件 造成的损失和危害,根据《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》、《信息安全技术信息安全 事件分类分级指南(GB/Z 20986-2007)》、《国家网络安全事件应急预案》、《宁夏回族自治区网络安全事件应急预案(2020 年修 订版)》、《银川市网络安全事件应急预案》、《永宁县网络安全事件应急预案》等相关规定,特制定本预案。
一、组织机构与职责
(一)领导机构与职责。
卫生健康局信息化工作领导小组统筹领导全县卫健行业网络与信息安全事件的预防、应对和处置工作,负责建立与完善卫健行业网络与信息安全应急预案体系,建立健全跨地区、跨部门、 跨行业等不同层级联动处置机制。
(二)办事机构与职责。局信息化工作领导小组办公室设在局互联网+办公室,为网络与信息安全应急指挥办事机构,具体负责网络与信息安全事件的统筹协调工作;做好应急技术支撑队伍的日常管理工作;信息中心负责具体技术支持工作,承担应急值守工作;其他股室按职责分工做好相关工作,并指定相关工作人员为联络员。各医疗卫生机构按照职责和权限,负责本部门、本单位网络与信息安全事件的预防、监测、报告和应急处置等工作。
(三)下设工作组职责。当发生网络与信息安全事件时,由领导小组办公室视情况决定成立现场应急指挥部,并指定负责人,同时根据工作需要可设综合协调组、专家咨询组、技术支撑组、新闻宣传组等。
1.综合协调组。设在局信息中心,负责网络与信息安全事件处置过程中的资源协调、沟通接洽、信息传达等工作;负责协调网络与信息安全事件的事后恢复与重建工作。
2.专家咨询组。设在局信息中心,负责协助分析和确定事件产生的原因,制定具体应对方案,并对应急处置工作提供专业指导和决策咨询,对处置结果进行预测和评估。
3.技术支撑组。设在局信息中心,具体负责组织协调公安、网信、安全机构等各方技术力量,收集分析现场数据,制定具体应对处置方案,实施具体处置措施,上报处置信息。
4.新闻宣传组。设在局宣教股,负责收集和调控内外部舆论情况,负责向行业内和社会公众宣传相关网络与信息安全事件预防和处置的基本知识,负责事件处置信息的对外宣传。
二、工作目标及原则
按照“全面排查风险、实时发现预警、强力有效处置、确保万无一失”的目标,建立健全网络安全事件应急处置工作机制,提高应对网络与信息安全事件能力,预防和减少网络与信息安全事件造成的损失和危害,确保各业务信息系统和数据安全稳定运行。全县卫健行业各重要业务信息系统按照“谁主管、谁负责”,“谁运营、谁负责”的原则,落实网络与信息安全责任。按照职责权限和属地管理的相结合的原则,各医疗卫生机构统筹做好本区域、本单位网络与信息安全工作和事件的应对处置工作。
三、网络与信息安全预警监测工作流程
各医疗卫生机构组织对本区域、本单位建设运行的网络和信息系统开展网络安全预警监测工作。
(一)发布预警信息。卫健局依托公安网络安全预警监测系统和银川市卫健委网络安全预警监测系统提供的相关情况,实时向各医疗卫生机构发布网络安全预警监测信息。预警信息以通报、 电话、短信等多种方式发布。内容主要包括 SQL 注入、跨站脚本攻击、网页篡改、域名劫持、敏感信息泄露、后台弱口令、黑链等系统高危漏洞,以及系统风险描述、修复建议等。
(二)排查安全隐患。各医疗卫生机构在收到预警信息以后迅速开展网络安全隐患排查、整改等工作。通过技术修补操作系统、应用系统漏洞;关闭系统不必要的端口、服务;增加便捷防护和安全策略;修改默认口令、弱口令等多种技术手段,进行系统安全加固。
(三)请求技术支援。各医疗卫生机构收到网络安全预警信息后,也可直接向网络安全应急技术支撑单位发出技术支持请求。
(四)上报整改情况。各医疗卫生机构在收到县卫健局发布的网络安全预警监测信息后 7 日内,将整改情况报县卫健局。
四、网络与信息安全事件应急处置工作流程
(一)网络安全事件预判。各医疗卫生机构在遇到突发网络安全事件时,要即刻启动应急预案,对事件进行等级预判,较大网络安全事件及以上,必须在 20 分钟内向县卫健局报告有关情况。
(二)采取应急技术措施。网络安全事件突发时,可向网络安全应急技术支撑单位发出技术支持请求。对于产生较为严重负面影响的网站,采取断网等方式,及时停止对外服务;对于遭受破坏的信息系统,要做好现场保护、数据备份等工作。
(三)统筹开展应急处置。县卫健局统筹协调县公安局网安部门、网信办等有关单位开展应急处置工作。
(四)预警发布。对大面积的攻击破坏、病毒爆发等情形,县卫健局将根据《网络安全事件应急预案》,会同有关部门开展网络安全事件预警等级发布、新闻报道等相关工作。
(五)上报处置情况。各医疗卫生机构在网络安全事件处置结束后 2 日内,将处置报告报县卫健局。
五、典型网络与信息安全事件分类及应对措施
(一)大规模病毒爆发。当网络遭遇大规模病毒攻击时(如勒索病毒),要第一时间切断局域网,拔出网线,防止病毒进一步扩散;请专业技术人员对局域网内每一台计算机进行病毒查杀,修补漏洞,待彻底清理干净,确保计算机安全时在接入网络;要尽量避免开放打印机共享、远程桌面等高风险端口。
(二)网页被篡改。所属网站遭篡改时,要第一时间终止互联网服务,切断网络,防止攻击者再次恶意破坏系统日志、数据等,不要关闭服务器,为公安部门取证、追踪提供依据;在完成取证、保存系统日志等工作以后,即刻开展与网站建设相关软硬件系统的修复工作,包括修补操作系统漏洞、网站开发中间件漏洞、网站自身漏洞,加强系统口令、关闭共享端口、加固安全策略等内容;问题网站责任单位应当邀请第三方信息技术支撑队伍对问题网站进行风险评估,确保没有高危漏洞并具备上线条件时再投入运行,并将整改情况报同级卫健行政部门和网信部门。
(三)信息系统瘫痪。信息系统遭攻击时,要切断信息系统与互联网的连接,防止系统遭受进一步的破坏,同步做好信息系统数据备份工作;邀请信息系统运维服务机构或第三方应急技术支撑队伍,开展系统漏洞排查、整改工作。重点排查信息系统是否存在弱口令、安全策略不生效、软件系统漏洞、病毒库不升级、访问控制不全面、边界防护失效等问题;系统在上线运行前,应当进行风险评估;整改工作完成后 3 日内,事发单位将整改情况报县卫健局。
(四)网络中断。当出现大面积网络中断(排除内部局域网网络故障),无法访问互联网时,通知所属电信运营商企业客户经理,要求开展网络通信保障工作;根据网络中断影响范围,确认网络安全事件等级;较大网络安全事件及以上,应当及时报送县卫健局,同时报同级网信和通信管理部门。
(五)信息系统存在高危漏洞。当责任单位收到县卫健局发布风险通报或从其他可靠途径渠道了解到所属的系统存在安全风险时,立即启动应急预案,联系信息系统开发商、运维机构等相关人员,按照通报要点,逐项排查、修补高危漏洞;如无维护人员或技术力量薄弱,可邀请第三方应急技术支撑单位,协助开展漏洞修补工作;信息系统在上线运行前,应当进行风险评估;收到通报后 7 日内,将整改情况报县卫健局。
六、预防工作
全县卫健系统按职责做好网络与信息安全事件日常预防工作,制定完善相关应急预案,做好网络和信息安全检查、隐患排查、风险评估和容灾备份,健全网络和信息安全信息通报机制,及时采取有效措施,减少和避免网络与信息安全事件的发生及危害,提高应对网络与信息安全事件的能力。
(一)演练。有关责任单位需要定期组织演练,检验和完善预案,提高实战能力。各医疗卫生机构每年至少组织一次预案演练,并将演练情况报领导小组办公室。
(二)宣传。相关责任科室应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络与信息安全事件预防和处置的有关法律、法规和政策的宣传,开展网络与信息安全基本知识和技能的宣传活动。
(三)培训。相关责任科室要将网络与信息安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络和信息安全制度特别是网络和信息安全应急预案的培训,提高防范意识及技能。定期开展行业信息安全应急意识教育活动。
(四)重要活动和重大节假日期间的预防措施。在重要活动等敏感时期,各医疗卫生机构要加强网络与信息安全事件的防范和应急响应,确保网络安全。领导小组办公室统筹协调网络安全保障工作,根据需要要求有关单位加强防范,提高保障等级。加强网络安全检测和分析研判,及时预警可能造成重大影响的风险和隐患,重点单位,重点岗位保持 24 小时值班,及时发现和处置网络与信息安全事件隐患。
七、相关保障措施
(一)机构和人员保障。各信息系统责任单位要建立健全网络与信息安全应急工作机构,明确责任部门和人员职责,落实应急工作机制,重要业务信息系统要把责任落实到具体单位、具体岗位和个人。充分发挥专家队伍在应急处置工作中的作用,加强队伍建设,逐步建立涵盖信息学科各领域的专家队伍,为网络与信息安全事件的预防和处置提供技术咨询和决策建议。 加强网络与信息安全应急技术支撑队伍建设,做好网络与信息安全事件的监测预警、预防防护、应急处置、应急技术支援等工作。各医疗卫生机构应配备必要的网络和信息安全专业技术人才,加强同各级网络与信息安全向技术单位的沟通协调,建立网络与信息安全信息共享机制。
(二)物质和经费保障。各医疗卫生机构要加大对网络与信息安全应急装备、工具的储备,及时调整、升级软硬件工具,逐步增强应急技术支撑能力。积极为网络与信息安全事件应急工作争取必要的资金保障,支持专家队伍建设、应急技术支撑队伍建设、预案演练、物质保障等。
(三)责任与奖惩。网络安全事件应急处置工作实行责任追究制。卫健系统各机构要严格按照网络安全工作责任制开展工作。卫健局将会同县委网信办对网络安全事件应急管理工作中作出 突出贡献的先进集体和个人给予通报表扬。对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对相关责任人给予处分,构成犯罪的,依法追究刑事责任。
