信息安全事件管理办法.docx

信息安全事件管理办法为了进一步规范医院对信息安全事件的处理过程，及时 控制、解决各类信息安全事件，依据相关规范和标准的规定, 以及本单位信息安全目标、策略方针，制定本管理办法。第一章信息安全事件分类第一条 信息安全事件指由于自然或者人为以及软硬件 本身缺陷或故障的原因，对信息系统造成危害，或对社会造 成负面影响的事件。第二条 根据医院网络与信息安全事件的发生原因、性 质和机理，网络与信息安全事件主要分为有害程序事件、网 络攻击事件、信息破坏事件、设备设施故障和灾害性事件五 类：（一）有害程序事件分为计算机病毒事件、蠕虫事件、 特洛伊木马、僵尸网络事件、混合程序攻击事件、网页内嵌 恶意代码事件和其他有害程序事件。（二）网络攻击事件分为拒绝服务攻击事件、后门攻击 事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、 干扰事件和其他网络攻击事件。（三）信息破坏事件分为信息篡改事件、信息假冒事件、 信息泄露事件、信息窃取事件、信息丢失事件和其他信息破 坏事件。（四）设备设施故障分为软硬件自身故障、外围保障设 施故障、人为破坏事故和其他设备设施故障。（五）灾害性事件是指自然灾害等其他突发事件导致的 网络和信息系统故障。第二章信息安全事件分级第三条根据信息安全事件的分级要素，将信息安全事 件划分为四个级别：特别重大事件、重大事件、较大事件和 一般事件。（一）特别重大事件是指能够导致特别严重影响或破坏 的信息安全事件，包括以下情况：会使特别重要信息系统遭 受特别严重的系统损失；产生的社会影响会波及到医院所在 城市的大部分地方，威胁到国家安全，引起社会动荡，对经 济建设有极其恶劣的负面影响，或者严重损害公众利益。（二）重大事件是指能够导致严重影响或破坏的信息安 全事件，包括以下情况：会使特别重要信息系统遭受严重的 系统损失；或使重要信息系统遭受特别严重的系统损失；产 生的社会影响波及到整个医院全院，对经济建设有重大的负 面影响，或者损害到公众利益。（三）较大事件是指能够导致较严重影响或破坏的信息 安全事件，包括以下情况：会使特别重要信息系统遭受较大 的系统损失；或使重要信息系统遭受严重的系统损失、一般 信息信息系统遭受特别严重的系统损失；扰乱社会秩序，对 经济建设有一定的负面影响，或者影响到公众利益。（四）一般事件是指能够导致较小影响或破坏的信息安 全事件，包括以下情况：会使特别重要信息系统遭受较小的 系统损失；或使重要信息系统遭受较大的系统损失，一般信 息系统遭受严重的系统损失；对国家安全、社会秩序、经济 建设和公众利益基本没有影响，但对个别公民、法人或其他 组织的利益会造成损害。第三章信息安全事件的预防第四条 计算机信息中心必须积极贯彻预防为主、严格 管理的原则，评价事件发生的潜在因素和可能的程度；组织 制定和监督实施预防措施、操作规程或工作标准；配置必要 的资源；开展教育培训、检查、考核和整改活动，控制或消 除可能导致事件发生的各种因素。预防措施应下达至直接相 关的层次和岗位。第五条计算机信息中心应根据事件发生可能造成的危 害、损失，组织制定不同级别的应急预案，并对应急预案的 可靠性进行评价。应急预案应当受控和备案，并发放至直接 相关层次和岗位，保存相关记录。应急预案应定期进行演练 和培训，必要时组织修订。第四章信息安全事件的报告第六条事件通知。（一）当信息系统发生事件时，信息系统使用科室应立 即在第一时间向计算机信息中心口头通知事件情况，说明事 件发生的时间、部位、表象、程度和影响；（二）计算机信息中心接到口头通知后立即组织人员开 展抢修工作，同时根据事件严重程度向医院主管领导报告。第七条事件调查报告。（一）发生重大信息安全事件，计算机信息中心应在7 个有效工作日内将书面形成信息安全事件报告，由该中 心负责人审定后，在10个有效工作日内，将审核意见及报 告上报医院网络安全管理委员会及主管领导审批。（二）较大信息安全事件，计算机信息中心应在5个有 效工作日内将书面形成信息安全事件报告，由该中心负 责人审定后在7个有效工作日内，将审核意见及报告上报医 院网络安全管理委员会及主管领导审批。（三）一般信息安全事件，计算机信息中心应在3个有 效工作日内将书面形成信息安全事件报告，由该中心负 责人审定后在5个有效工作日内，将审核意见及报告上报医 院医院网络安全管理委员会及主管领导审批。（四）信息系统故障，计算机信息中心应在当天将故障 情况登记在册，内容包括故障发生、处理经过和简要原因分 析。在一个月内同一部位连续发生同一故障3次，按一般信 息安全事件处理。第五章信息安全事件应急响应第八条 当事件发生时，计算机信息中心应当立即启动 应急预案或采取有效措施，全力而有序地组织抢救抢修，防 止事件扩大，消除各种危险，尽快恢复系统，将各种损失减 到最低程度。第九条 计算机信息中心相关人员应在事发或接到事发 报告10分钟内到达事发现场，开展事件处理工作。第十条发生重大信息安全事件，在迅速进行应急处理 或者请求其他力量支援进行应急处理的同时，应当立即报告 医院医院网络安全管理委员会及及所在地的网信办、网监大 队，并尽可能保存好原始证据，保护好现场；如涉及违法犯 罪的，还应当同时依法报告公安、安全等部门。第十一条在应急处理过程中，应当采取手工记录、截 屏、文件备份和影像设备记录等多种手段，对应急处理的步 骤和结果进行详细记录。第六章信息安全事件的调查处理第十二条对于信息安全事件，在故障排除或采取必要措施后，由计算机信息中心召集、成立事件调查组，必要时, 可邀请委托维护单位以外有能力的机构做出技术鉴定。第十三条事件调查组利用合法手段在事件现场收取证 据，向信息系统使用科室了解事件发生经过，收集相关资料, 查明事件发生的原因、危害程度及造成的损失等情况，检查 预防和控制事件发生的措施以及事件发生后应急预案是否 得当并得到落实，确定事件的级别和性质，查明相关责任并 提出处理建议，提出防止类似事件再次发生的措施和建议。第十四条 信息系统使用科室应协助、配合调查组完成 调查工作，保护事件现场、向调查组提供相关资料、接受调 查组的询问等，并对其真实性负责。第七章信息安全事件的整改第十五条 计算机信息中心在事件调查结束后迅速组织 制定和下达事件整改措施，明确措施内容、完成期限、责任 部门和检查方式，并监督实施。第十六条 计算机信息中心负责组织事件整改措施的落 实，在规定的期限内，完成相应的整改工作，防止同类事件 的再次发生。第八章奖惩与备案第十七条对获取关键证据和确定事件发生原因做出特 殊贡献的人员，由医院给予表彰奖励。第十八条发生信息安全事件，有关责任人有瞒报、缓 报和漏报等失职情况，由医院给予通报批评，并与个人年终 考核挂钩；对造成严重不良后果的，将视情节轻重追究责任 人的行政责任；构成犯罪的，由有关部门依法追究其法律责 任。第十九条在重大信息安全事件的调查处理中，对于有 销毁、篡改、藏匿证据，或者提供虚假证据，干扰、阻碍调 查以及授意他人干扰、阻碍调查行为的人员，由医院给予通 报批评，并与个人年终考核挂钩；对造成严重不良后果的, 将视情节轻重追究责任人的行政责任；构成犯罪的，由有关 部门依法追究其法律责任。第二十条 计算机信息中心对信息安全事件报告以日期 为索引进行分类、编号、归档，长期保存，以供借鉴。