为了进一步规范医院对信息安全事件的处理过程，及时控制、解决各类信息安全事件，依据相关规范和标准的规定，以及本单位信息安全目标、策略方针，制定本管理办法。

第一章 信息安全事件分类

第一条 信息安全事件指由于自然或者人为以及软硬件本身缺陷或故障的原因，对信息系统造成危害，或对社会造成负面影响的事件。

第二条 根据医院网络与信息安全事件的发生原因、性质和机理，网络与信息安全事件主要分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障和灾害性事件五类:

（一）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（二）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（三）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（四）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（五）灾害性事件是指自然灾害等其他突发事件导致的网络和信息系统故障。

第二章 信息安全事件分级

第三条 根据信息安全事件的分级要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。

（一）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受特别严重的系统损失；产生的社会影响会波及到医院所在城市的大部分地方，威胁到国家安全，引起社会动荡，对经济建设有极其恶劣的负面影响，或者严重损害公众利益。

（二）重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受严重的系统损失；或使重要信息系统遭受特别严重的系统损失；产生的社会影响波及到整个医院全院，对经济建设有重大的负面影响，或者损害到公众利益。

（三）较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较大的系统损失；或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失；扰乱社会秩序，对经济建设有一定的负面影响，或者影响到公众利益。

（四）一般事件是指能够导致较小影响或破坏的信息安全事件，包括以下情况：会使特别重要信息系统遭受较小的系统损失；或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重的系统损失；对国家安全、社会秩序、经济建设和公众利益基本没有影响，但对个别公民、法人或其他组织的利益会造成损害。

第三章 信息安全事件的预防

第四条 计算机信息中心必须积极贯彻预防为主、严格管理的原则，评价事件发生的潜在因素和可能的程度；组织制定和监督实施预防措施、操作规程或工作标准；配置必要的资源；开展教育培训、检查、考核和整改活动，控制或消除可能导致事件发生的各种因素。预防措施应下达至直接相关的层次和岗位。

第五条 计算机信息中心应根据事件发生可能造成的危害、损失，组织制定不同级别的应急预案，并对应急预案的可靠性进行评价。应急预案应当受控和备案，并发放至直接相关层次和岗位，保存相关记录。应急预案应定期进行演练和培训，必要时组织修订。

第四章 信息安全事件的报告

第六条 事件通知。

（一）当信息系统发生事件时，信息系统使用科室应立即在第一时间向计算机信息中心口头通知事件情况，说明事件发生的时间、部位、表象、程度和影响；

（二）计算机信息中心接到口头通知后立即组织人员开展抢修工作，同时根据事件严重程度向医院主管领导报告。

第七条 事件调查报告。

（一）发生重大信息安全事件，计算机信息中心应在7个有效工作日内将书面形成《信息安全事件报告》，由该中心负责人审定后，在10个有效工作日内，将审核意见及报告上报医院网络安全管理委员会及主管领导审批。

（二）较大信息安全事件，计算机信息中心应在5个有效工作日内将书面形成《信息安全事件报告》，由该中心负责人审定后在7个有效工作日内，将审核意见及报告上报医院网络安全管理委员会及主管领导审批。

（三）一般信息安全事件，计算机信息中心应在3个有效工作日内将书面形成《信息安全事件报告》，由该中心负责人审定后在5个有效工作日内，将审核意见及报告上报医院医院网络安全管理委员会及主管领导审批。

（四）信息系统故障，计算机信息中心应在当天将故障情况登记在册，内容包括故障发生、处理经过和简要原因分析。在一个月内同一部位连续发生同一故障3次，按一般信息安全事件处理。

第五章 信息安全事件应急响应

第八条 当事件发生时，计算机信息中心应当立即启动应急预案或采取有效措施，全力而有序地组织抢救抢修，防止事件扩大，消除各种危险，尽快恢复系统，将各种损失减到最低程度。

第九条 计算机信息中心相关人员应在事发或接到事发报告10分钟内到达事发现场，开展事件处理工作。

第十条 发生重大信息安全事件，在迅速进行应急处理或者请求其他力量支援进行应急处理的同时，应当立即报告医院医院网络安全管理委员会及及所在地的网信办、网监大队，并尽可能保存好原始证据，保护好现场；如涉及违法犯罪的，还应当同时依法报告公安、安全等部门。

第十一条 在应急处理过程中，应当采取手工记录、截屏、文件备份和影像设备记录等多种手段，对应急处理的步骤和结果进行详细记录。

第六章 信息安全事件的调查处理

第十二条 对于信息安全事件，在故障排除或采取必要措施后，由计算机信息中心召集、成立事件调查组，必要时，可邀请委托维护单位以外有能力的机构做出技术鉴定。

第十三条 事件调查组利用合法手段在事件现场收取证据，向信息系统使用科室了解事件发生经过，收集相关资料，查明事件发生的原因、危害程度及造成的损失等情况，检查预防和控制事件发生的措施以及事件发生后应急预案是否得当并得到落实，确定事件的级别和性质，查明相关责任并提出处理建议，提出防止类似事件再次发生的措施和建议。

第十四条 信息系统使用科室应协助、配合调查组完成调查工作，保护事件现场、向调查组提供相关资料、接受调查组的询问等，并对其真实性负责。

第七章 信息安全事件的整改

第十五条 计算机信息中心在事件调查结束后迅速组织制定和下达事件整改措施，明确措施内容、完成期限、责任部门和检查方式，并监督实施。

第十六条 计算机信息中心负责组织事件整改措施的落实，在规定的期限内，完成相应的整改工作，防止同类事件的再次发生。

第八章 奖惩与备案

第十七条 对获取关键证据和确定事件发生原因做出特殊贡献的人员，由医院给予表彰奖励。

第十八条 发生信息安全事件，有关责任人有瞒报、缓报和漏报等失职情况，由医院给予通报批评，并与个人年终考核挂钩；对造成严重不良后果的，将视情节轻重追究责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

第十九条 在重大信息安全事件的调查处理中，对于有销毁、篡改、藏匿证据，或者提供虚假证据，干扰、阻碍调查以及授意他人干扰、阻碍调查行为的人员，由医院给予通报批评，并与个人年终考核挂钩；对造成严重不良后果的，将视情节轻重追究责任人的行政责任；构成犯罪的，由有关部门依法追究其法律责任。

第二十条 计算机信息中心对信息安全事件报告以日期为索引进行分类、编号、归档，长期保存，以供借鉴。