武义县医疗保障局信息系统突发事件应急预案

　　第一章总则

　　第一条 为科学应对网络与信息安全突发事件，有效预防、及时控制和最大限度地消除各类信息安全突发事件的危害和影响，保障武义县医疗保障局信息系统的实体安全、运行安全和数据安全，维护基本医疗保险和大病保险基金信息系统的正常工作秩序，形成科学、有效、反应迅速的应急工作机制，制定本预案。

　　第二条 本预案适用于我县医疗保障局管理范围内因系统故障和自然灾害等发生的严重影响信息系统正常运行，造成系统中断、系统破坏、数据破坏，对医保经办机构、参保人利益造成一定损失，影响社会稳定的重大信息安全事件的处理。

　　第三条 本预案适用的信息系统范围包括：E人社系统、金华医保结算系统。

　　第四条 工作原则：

　　（一）统一领导，协同作战。成立信息安全突发事件应急处置领导小组，统一领导和协调。

　　（二）明确责任，依法规范。按照“职能管理、分级响应、及时发现、及时报告、及时救治、及时控制”的要求，对信息安全突发事件进行防范、监测、预警、报告、响应、指挥和协调、控制，实行责任制和责任追究制。

　　（三）整合资源，条块结合。充分利用现有信息安全应急支援服务设施，整合本单位信息安全工作力量，进一步完善应急响应服务体系，形成信息安全保障工作合力。

　　（四）防范为主，加强监控。宣传普及信息安全防范知识，贯彻预防为主的思想，树立常备不懈的观念，做好经常性地应对信息安全突发事件的思想准备、预案准备、机制准备和工作准备，提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测，发现和防范重大信息安全突发性事件，及时采取有效的可控措施，迅速控制事件影响范围，力争将损失降到最低程度。

　　第二章组织机构及职责

　　第五条 局成立信息系统突发事件应急处置领导小组，组长由分管信息化工作的局领导担任，各相关科室、经办机构及医保中心主要负责人为领导小组成员。领导小组办公室设在医保中心，承担应急处置的日常工作和突发事件的日常监测与预警。

　　领导小组职责：全面领导信息系统突发事件应急处置工作；研究决定全局信息安全应急工作的有关重大问题；统一领导和组织指挥重大信息安全突发事件的应急处置工作；指导监督经办机构信息系统安全工作；局党组交办的事项和法律、法规、规章规定的其他职责。

　　医保中心职责：承担应急处置领导小组的日常工作；负责全局信息安全突发事件日常监测与预警；统筹规划建设应急处理技术平台；会同局有关科室组织制定全县突发事件应急处理政策文件及技术方案；负责安全事件处理的培训；及时收集、上报和通报突发事件情况。

　　第六条 成立现场应急处理工作组，在出现安全事件后，对计算机系统和网络安全事件的处理提供技术支持和指导，遵循正确的流程，采取正确快速的行动作出响应，提出事件统计分析报告。现场应急处理工作组由领导小组抽调本局相应专业技术人员组成，成员接到任务后，应迅速赶到现场开展工作。

　　第三章预警和预防机制

　　第七条 建立信息安全监测机制。信息中心应加强信息安全监测、分析和预警工作，进一步提高信息安全监察能力。

　　第八条 建立信息安全事故报告制度。在突发事件发生后，发现人应当立即向局领导报告，并立即对发生的事件进行调查核实、保存相关证据。信息中心接到信息安全突发事件报告后，应当即核实并及时报告有关情况，提出初步行动对策。领导小组组长视情况召集协调会，决策行动方案，发布指示和命令。

　　第九条 建立信息安全预警支持系统。局信息系统突发事件应急处置领导小组应建立和完善信息监测、传递网络和指挥决策支持系统，要保证资源共享、运转正常、指挥有力。

　　第十条 建立信息安全预防机制。积极推行信息安全等级保护，逐步实行信息安全风险评估。各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复，制定并不断完善信息安全应急处理预案。针对基础信息网络的突发性、大规模安全事件，各相关部门建立制度化、程序化的处理流程。

　　第四章应急处理程序

　　第十一条 信息安全事件按照事件严重性、紧急程度和对社会影响的大小分为三级，即I级（特别重大)、II级（重大)、III级（一般)。

　　第十二条 发生网络信息系统安全事件后，局信息系统突发事件应急处置领导小组决定启动相应级别的应急预案，并负责应急处理工作。

　　第十三条 发生网络信息系统安全事件后，事件发生单位和现场应急处理工作组尽最大可能收集事件相关信息，明确事件类别，确定事件来源，保护证据，以便缩短应急响应时间。

　　第十四条Ⅰ级（特别重大）事件情形及应急处理措施：

　　（一）地震、火灾、雷电、水灾等自然灾害造成的破坏性突发事件紧急处置措施

　　1、做好数据中心机房和集中使用计算机办公区域的防雷、防火、防水、防盗、防尘、防静电等工作。

　　2、若发生地震、水灾、火灾等自然灾害，应时刻观察设备运行情况。做好各项设备配置，数据库的备份以及设备损坏统计并及时汇报。

　　3、如发现有设备损坏，及时让设备提供商检修，若短时间不能处理的，应尽量更换新机器，保证业务顺利进行。

　　4、如果自然灾害造成大规模停电，应及时切换UPS进行供电。

　　5、若自然灾害造成严重破坏，需停止设备运行，停办业务的，需局信息系统突发事件应急处置领导小组决定，并做好解释工作。

　　（二）仪器设备被盗、机房存在重大安全隐患而造成的损失等严重突发事件紧急处置措施

　　1、一旦发生此类事件，网络技术部登记被盗设备以及损失情况。情节严重的，应及时向局信息系统突发事件应急处置领导小组汇报和向公安部门报警，并对渎职、失职工作人员进行严厉惩罚。

　　2、联系设备厂商，补足被盗设备，并调试、配置好，以保证医疗生育保险经办业务尽快进行。

　　第十五条 Ⅱ级（重大）事件情形及应急处理措施：

　　(一)网站、网页出现非法言论事件紧急处置措施

　　1、网站、网页由医保中心负责随时监视信息内容。若出现非法信息，工作人员应及时通报情况；情况紧急者应先处理，妥善保存有关记录及日志，再按程序报告。

　　2、追查非法信息来源，强化安全防范措施。

　　（二）黑客攻击事件紧急处置措施

　　1、当发现有黑客正在进行攻击时，应首先将被攻击的服务器等设备从网络中隔离出来，保护现场，并将有关情况向局信息系统突发事件应急处置领导小组汇报。

　　2、恢复与重建系统，若事态严重，则立即向公安部门报警。

　　（三）病毒事件紧急处置措施

　　1、当发现有计算机大面积感染病毒后，应立即向局信息系统突发事件应急处置领导小组办公室报告，并将中毒的计算机从网络上隔离开来。

　　2、对中毒设备的硬盘进行数据备份。

　　3、启用反病毒软件对该机进行杀毒处理，同时对其他机器进行病毒扫描和清除工作。若该病毒无法清除，应迅速联系防病毒厂商研究解决

　　4、如果感染病毒的设备是主服务器，应立即告知各单位做好相应的清查工作。

　　（四）软件系统遭破坏性攻击紧急处置措施

　　1、重要的软件系统及相对应的数据平时须存有备份，并将它们保存于安全处。

　　2、一旦软件遭到破坏性攻击，立即停止该系统运行，并确定攻击来源，再恢复软件系统和数据

　　3、经认定事态严重的，应立即向局信息系统突发事件应急处置领导小组报告，并向公安部门报警。

　　（五）医疗保险信息管理系统存在严重漏洞造成业务操作失误，数据错误紧急处置措施

　　1、重要的软件系统与相对应的数据必须存有备份，并保存于安全处。

　　2、如果存在严重漏洞，技术人员应及时汇报，并停止该系统运行，并限期解决漏洞，恢复错误数据。

　　3、经认定事态严重的，应立即向局信息系统突发事件应急处置领导小组报告。

　　（六）生产数据库中数据被大面积非法篡改或删除的紧急处置措施

　　1、当发现生产库中数据被大面积非法篡改或删除，局信息系统突发事件应急处置领导小组办公室根据实际情况给予指导和协调。

　　2、根据业务部门使用情况和故障发生的范围，使用系统检测程序和监测工具查找原因，如果是恶意篡改或删除的，应及时与公安部门联系。

　　3、做好现场环境备份，恢复非法篡改或删除的数据

　　第十六条 III级（一般事件）事件情形及应急处理措施：

　　（一）因大面积停电、外部网络中断等因素导致无法使用等突发事件紧急处置措施

　　1、发生大面积停电事件后，技术人员应时刻关注UPS使用情况。

　　2、及时做好供电部门的协调工作，以确保在UPS供电用完前恢复通电。

　　3、若发现UPS供电不足，应在征得同意批示后，关闭服务器和存储设备的运行。

　　（二）数据库安全紧急处置措施

　　1、在有条件的情况下，主要数据库系统应按双机热备设置，并准备两个以上数据库异地分别备份。

　　2、一旦数据库崩溃，应立即启动备用系统，并对主机系统进行维修并作数据恢复。

　　3、若两套系统均崩溃而无法恢复，应立即向有关厂商请求紧急支援。

　　（三）广域网外部线路中断紧急处置措施

　　1、广域网主、备用线路中断一条后，应立即启动备用线路接续工作，并迅速判断故障节点，查明故障原因，立即予以恢复。

　　2、如果主、备用线路同时中断，应立即判断故障节点，查明故障原因后，尽快研究恢复措施。

　　3、保持与通信部门联系，确保网络线路的及时修复。

　　（四）局域网中断紧急处置措施

　　1、平时应准备好网络备用设备，存放在指定的位置。

　　2、局域网中断后，应立即判断故障节点，查明故障原因，应尽快联系抢修。

　　3、若无法在24小时内排除故障，应从指定位置启用备用设备，并调试通畅。

　　（五）设备安全紧急处置措施

　　1、小型机、服务器等关键设备损坏后，应立即报告并查明原因。

　　2、若能自行恢复，则及时用备件替换受损部件。若不能自行恢复的，则立即与设备供应商或设备维保商联系，请求派维护人员前来维修。

　　第十七条信息安全事件处理完毕，应及时报告和总结，回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。发生重大信息安全事件的单位应当在事件处理完毕后5个工作日内将处理结果报局信息系统突发事件应急处置领导小组备案。

　　第五章、保障措施

　　第十八条 技术支撑保障

　　建立预警与应急处理的技术平台，进一步提高安全事件的发现和分析能力：从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。

　　第十九条应急队伍保障

　　加强信息安全人才培养，强化信息安全宣传教育，建设一支高素质、高技术的信息安全核心人才和管理队伍，提高全社会信息安全防御意识。大力发展信息安全服务业，增强社会应急支援能力。

　　第二十条物质条件保障

　　在局预算资金中安排一定的资金用于预防或应对信息安全突发事件，提供必要的交通运输保障，优化信息安全应急处理工作的物资保障条件。

　　第二十一条技术储备保障

　　局信息系统突发事件应急处置领导小组办公室组织有关专家和科研力量，开展应急运作机制、应急处理技术、预警和控制等研究，推广和普及新的应急技术。

　　第六章监督管理

　　第二十二条 信息系统突发事件应急处置工作应实行领导负责制和责任追究制。

　　第二十三条 局信息系统突发事件应急处置领导小组办公室负责对预案实施的全过程进行监督检查，督促成员单位按本预案指定的职责采取应急措施，确保及时、到位。

　　第二十四条 发生重大信息安全事件的单位应当按照规定及时如实地报告。对迟报、瞒报、漏报、谎报信息安全突发事件或有关情况的，或在处置突发事件中有失职、渎职行为的，依据有关规定对责任人员给予处理；构成犯罪的，依法追究单位及相关人员刑事责任。

　　第二十五条 对在信息安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。

　　第七章附则

　　第二十六条 本预案由武义县医疗保障局制定。今后根据有关法律、法规的制定和修订情况，并结合信息化工作实际，适时进行修订。

　　第二十七条 本预案由武义县医疗保障局负责解释。

　　第二十八条 本预案自发布之日起实施。