TGDNS 001-2023 醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范

ICS.ICS35.240.99C47團(tuán) 體 標(biāo) 準(zhǔn)T/GDNS001—2023應(yīng)急處置規(guī)范SpecificationsforEmergencyHandlingofNetworkSecurityIncidentsinMedicalInstitutions2023-04-19發(fā)布 2023-04-24實(shí)施廣東省計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)?發(fā)布T/GDNS001—2023T/GDNS001—2023T/GDNS001—2023T/GDNS001—2023PAGE\*ROMANPAGE\*ROMANII目 錄前 言 IV醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范 1范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1安全攻擊事件securityattackincident 1數(shù)據(jù)安全事件datasecurityincident 2設(shè)備設(shè)施故障equipmentandfacilitiesfailure 2災(zāi)害性事件disasterevent 2重要數(shù)據(jù)criticaldata 2重要信息系統(tǒng)importantinformationsystem 2事發(fā)單位incidentunit 2組織機(jī)構(gòu)與職責(zé) 2應(yīng)急領(lǐng)導(dǎo)小組設(shè)置 3應(yīng)急領(lǐng)導(dǎo)小組職責(zé) 3應(yīng)急工作小組設(shè)置 3應(yīng)急工作小組職責(zé) 3安全事件分類(lèi)與分級(jí) 3事件分類(lèi) 3安全攻擊事件 3數(shù)據(jù)安全事件 4設(shè)備設(shè)施故障 4災(zāi)害性事件 5其他事件 5事件分級(jí) 5特別重大網(wǎng)絡(luò)安全事件（Ⅰ級(jí)） 5重大網(wǎng)絡(luò)安全事件（Ⅱ級(jí)） 6較大網(wǎng)絡(luò)安全事件（Ⅲ級(jí)） 7一般網(wǎng)絡(luò)安全事件（Ⅳ級(jí)） 7安全事件響應(yīng)與處置 7事件報(bào)告 7應(yīng)急處置說(shuō)明 8I、Ⅱ級(jí)網(wǎng)絡(luò)安全事件處置 8Ⅲ、Ⅳ級(jí)網(wǎng)絡(luò)安全事件處置 9網(wǎng)絡(luò)安全事件常規(guī)應(yīng)急處置技術(shù)措施 10安全攻擊事件應(yīng)急處置措施 10數(shù)據(jù)安全事件應(yīng)急處置措施 11設(shè)備設(shè)施故障應(yīng)急處置措施 12不可抗拒因素引發(fā)的重大、特大事故應(yīng)急處置措施 12應(yīng)急結(jié)束 13成因分析與總結(jié) 13成因分析 13事件總結(jié) 13應(yīng)急準(zhǔn)備與強(qiáng)化防范 14建立應(yīng)急響應(yīng)機(jī)制 14組建應(yīng)急隊(duì)伍 14維護(hù)應(yīng)急通訊錄 14應(yīng)急物資與裝備 14制定專(zhuān)項(xiàng)應(yīng)急預(yù)案并定期開(kāi)展應(yīng)急演練 15安全意識(shí)宣導(dǎo) 15重要時(shí)期強(qiáng)化安全措施 15附錄A（規(guī)范性）安全事件級(jí)別劃分指南16附錄B（資料性）安全事件報(bào)告參考模板18附錄C（資料性）醫(yī)療機(jī)構(gòu)各級(jí)別網(wǎng)絡(luò)安全事件處置流程20附錄D（資料性）醫(yī)療機(jī)構(gòu)典型安全事件處置案例23IIIT/GDNS001—2023T/GDNS001—2023T/GDNS001—2023T/GDNS001—2023PAGE\*ROMANPAGE\*ROMANIVPAGE\*ROMANPAGE\*ROMAN11前 言本標(biāo)準(zhǔn)按照GB/T1本標(biāo)準(zhǔn)由廣東省計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)提出并歸口。（廣東本標(biāo)準(zhǔn)為首次發(fā)布。醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全事件應(yīng)急處置規(guī)范范圍其他行業(yè)可參考本標(biāo)準(zhǔn)開(kāi)展網(wǎng)絡(luò)安全事件的防范和處置。規(guī)范性引用文件GB/T20986-2007信息安全技術(shù)信息安全事件分類(lèi)分級(jí)指南GB/T38645-2020信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南GB/T39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南GB/T28827.3-2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分：應(yīng)急響應(yīng)規(guī)范GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型術(shù)語(yǔ)和定義GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。安全攻擊事件securityattackincident安全攻擊事件是指通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程T/GDNS001—2023T/GDNS001—2023T/GDNS001—2023T/GDNS001—2023PAGEPAGE10PAGEPAGE3數(shù)據(jù)安全事件datasecurityincident數(shù)據(jù)安全事件是指由于人為原因、軟硬件缺陷或故障、自然災(zāi)害等，對(duì)信息系統(tǒng)中的數(shù)設(shè)備設(shè)施故障equipmentandfacilitiesfailure設(shè)備設(shè)施故障是指由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障而導(dǎo)致的信息安全事件，以及人為的使用非技術(shù)手段有意或無(wú)意的造成信息系統(tǒng)破壞而導(dǎo)致的信息安全事件。災(zāi)害性事件disasterevent災(zāi)害性事件是指由于不可抗力對(duì)信息系統(tǒng)造成物理破壞而導(dǎo)致的信息安全事件。重要數(shù)據(jù)criticaldata以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。重要信息系統(tǒng)importantinformationsystem是指支撐醫(yī)療機(jī)構(gòu)關(guān)鍵業(yè)務(wù)，其信息安全和系統(tǒng)服務(wù)關(guān)系國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建事發(fā)單位incidentunit發(fā)生網(wǎng)絡(luò)安全事件的醫(yī)療機(jī)構(gòu)。組織機(jī)構(gòu)與職責(zé)應(yīng)急領(lǐng)導(dǎo)小組設(shè)置（科科（科、（科（科（科（科（科等相關(guān)科應(yīng)急領(lǐng)導(dǎo)小組職責(zé)應(yīng)急工作小組設(shè)置（科應(yīng)急工作小組職責(zé)安全事件分類(lèi)與分級(jí)事件分類(lèi)5安全攻擊事件安全攻擊事件可以分為有害程序事件、網(wǎng)絡(luò)攻擊事件和物理破壞事件等，說(shuō)明如下：有害程序事件包括計(jì)算機(jī)病毒事件、蠕蟲(chóng)事件、特洛伊木馬事件、僵尸網(wǎng)絡(luò)事件、數(shù)據(jù)安全事件數(shù)據(jù)安全事件可分為數(shù)據(jù)泄露事件、數(shù)據(jù)破壞事件、數(shù)據(jù)內(nèi)容安全事件等，說(shuō)明如下：設(shè)備設(shè)施故障4外圍保障設(shè)施故障是指由于保障信息系統(tǒng)正常運(yùn)行所必須的外部設(shè)施出現(xiàn)故障而導(dǎo)致的信息安全事件，例如電力故障、外圍網(wǎng)絡(luò)故障等導(dǎo)致的信息安全事件；人為破壞事故是指人為蓄意的對(duì)保障信息系統(tǒng)正常運(yùn)行的硬件、軟件等實(shí)施竊取、其它設(shè)備設(shè)施故障是指不能被包含在以上3個(gè)子類(lèi)之中的設(shè)備設(shè)施故障而導(dǎo)致的信息安全事件。災(zāi)害性事件其他事件其他事件是指不能歸為以上四個(gè)基本分類(lèi)的網(wǎng)絡(luò)安全事件。事件分級(jí)（Ⅰ級(jí)（Ⅱ級(jí)特別重大網(wǎng)絡(luò)安全事件（Ⅰ級(jí)）A造成非公開(kāi)數(shù)據(jù)（GB/T39725-20206.24級(jí)及以上）如個(gè)人屬性數(shù)據(jù)、（急過(guò)100萬(wàn)人的工作、生活，造成特別重大影響的；重大網(wǎng)絡(luò)安全事件（Ⅱ級(jí)）超過(guò)12小時(shí)未完成處置的；重大網(wǎng)絡(luò)安全事件（Ⅱ級(jí)）A造成非公開(kāi)數(shù)據(jù)（GB/T39725-20206.24級(jí)及以上）如個(gè)人屬性數(shù)據(jù)、（急（GB/T39725-20206.23級(jí)及以上50萬(wàn)人以上100萬(wàn)人以下的工作、生活的，造成重大影響的；較大網(wǎng)絡(luò)安全事件（Ⅲ級(jí)）超過(guò)24小時(shí)未完成處置的；響的網(wǎng)絡(luò)與網(wǎng)絡(luò)安全事件。較大網(wǎng)絡(luò)安全事件（Ⅲ級(jí)）A（GB/T39725-20206.23級(jí)及以上泄露或數(shù)據(jù)被破壞，影響10萬(wàn)人以上50萬(wàn)人以下的工作、生活，造成較大影響的；較大網(wǎng)絡(luò)安全事件（Ⅳ級(jí)）超過(guò)24小時(shí)未完成處置的；一般網(wǎng)絡(luò)安全事件（Ⅳ級(jí)）A（GB/T39725-20206.23級(jí)及以上泄露或數(shù)據(jù)被破壞，影響50人以上10萬(wàn)人以下的工作、生活，造成一般影響的；其他造成一般損失或一般的不良影響的網(wǎng)絡(luò)安全事件。安全事件響應(yīng)與處置事件報(bào)告B.1應(yīng)急處置說(shuō)明II1II2送等；I、Ⅱ級(jí)網(wǎng)絡(luò)安全事件處置IC.1I、Ⅱ級(jí)網(wǎng)絡(luò)安全事件處置流程開(kāi)展應(yīng)急處置工作，具體說(shuō)明如下：事件研判5.2事件上報(bào)I（B.1（110預(yù)警發(fā)布處置與恢復(fù)7.3通過(guò)應(yīng)急處置成功解決網(wǎng)絡(luò)安全事件后，應(yīng)盡快組織相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)重建。24B.2Ⅲ、Ⅳ級(jí)網(wǎng)絡(luò)安全事件處置當(dāng)發(fā)生Ⅲ、Ⅳ級(jí)網(wǎng)絡(luò)安全事件后，事發(fā)單位可參照C.1Ⅲ、Ⅳ級(jí)網(wǎng)絡(luò)安全事件處置流程開(kāi)展應(yīng)急處置工作，具體說(shuō)明如下：事件研判5.2事件上報(bào)B.1預(yù)警發(fā)布處置與恢復(fù)7.3通過(guò)應(yīng)急處置成功解決網(wǎng)絡(luò)安全事件后，應(yīng)盡快組織相關(guān)人員進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)重建。B.2網(wǎng)絡(luò)安全事件常規(guī)應(yīng)急處置技術(shù)措施D安全攻擊事件應(yīng)急處置措施發(fā)生安全攻擊事件時(shí)，應(yīng)立即按照要求進(jìn)行上報(bào)，由單位的網(wǎng)絡(luò)安全管理員負(fù)責(zé)實(shí)施，主要應(yīng)急措施如下：通知相關(guān)系統(tǒng)管理員，斷開(kāi)受攻擊系統(tǒng)的網(wǎng)絡(luò)連接，中斷攻擊鏈；因業(yè)務(wù)連續(xù)性攻擊造成系統(tǒng)無(wú)法正常提供服務(wù)且預(yù)期時(shí)間內(nèi)無(wú)法恢復(fù)的，應(yīng)立即啟用應(yīng)急系統(tǒng)③啟動(dòng)單位手工應(yīng)急預(yù)案，先行開(kāi)具手工醫(yī)技處方、收費(fèi)單據(jù)和執(zhí)行記錄等,系統(tǒng)恢復(fù)正常后進(jìn)行補(bǔ)錄工作。深入分析受攻擊系統(tǒng)的登錄日志、系統(tǒng)日志、應(yīng)用日志、網(wǎng)絡(luò)訪問(wèn)日志、相關(guān)安全系統(tǒng)日志等，溯源安全事件攻擊鏈條；保存系統(tǒng)運(yùn)行狀態(tài)，包括賬戶登錄記錄、網(wǎng)絡(luò)連接狀態(tài)、文件訪問(wèn)狀態(tài)、進(jìn)程運(yùn)針對(duì)安全攻擊暴露的漏洞，通過(guò)安裝補(bǔ)丁、修改系統(tǒng)設(shè)置、調(diào)整邊界安全策略、更新賬戶密碼、關(guān)閉不必要端口和服務(wù)等方式加固受攻擊系統(tǒng)及同類(lèi)風(fēng)險(xiǎn)系統(tǒng)；清查受攻擊系統(tǒng)，排查黑客是否植入后門(mén)、隱藏賬戶、自啟動(dòng)程序和服務(wù)、計(jì)劃任務(wù)、可疑文件、未知端口等，做好備份后徹底清除；重點(diǎn)排查應(yīng)用系統(tǒng)源代碼、應(yīng)用程序文件、程序配置文件、庫(kù)文件等是否被篡改或插入惡意代碼，必要時(shí)采用完整安全的副本進(jìn)行覆蓋；若存在無(wú)法有效攔截的安全威脅、新型病毒等，應(yīng)聯(lián)系相關(guān)安全廠商緊急升級(jí)威脅特征庫(kù)，降低受到同類(lèi)攻擊的風(fēng)險(xiǎn)；確認(rèn)風(fēng)險(xiǎn)已清理完畢后，逐步恢復(fù)系統(tǒng)上線，密切監(jiān)測(cè)系統(tǒng)安全狀況；及時(shí)上報(bào)處置情況和處置結(jié)果。數(shù)據(jù)安全事件應(yīng)急處置措施當(dāng)發(fā)生數(shù)據(jù)泄露事件時(shí)，應(yīng)報(bào)告數(shù)據(jù)安全事件應(yīng)急領(lǐng)導(dǎo)小組，應(yīng)急工作小組組織當(dāng)發(fā)生核心數(shù)據(jù)數(shù)據(jù)或業(yè)務(wù)系統(tǒng)大規(guī)模數(shù)據(jù)破壞事件時(shí)，應(yīng)報(bào)告數(shù)據(jù)安全事件應(yīng)當(dāng)發(fā)生數(shù)據(jù)內(nèi)容安全事件時(shí)，應(yīng)立即報(bào)告數(shù)據(jù)安全事件應(yīng)急領(lǐng)導(dǎo)小組，同時(shí)立即保存相關(guān)證據(jù)和日志記錄，必要時(shí)公安機(jī)關(guān)介入。設(shè)備設(shè)施故障應(yīng)急處置措施涉及業(yè)務(wù)系統(tǒng)停機(jī)或服務(wù)中斷的，應(yīng)及時(shí)通告用戶；立即采用備機(jī)、搭建臨時(shí)系統(tǒng)等方式接管服務(wù)；判斷故障節(jié)點(diǎn)，查明故障原因，快速搶修故障；故障消除后重新恢復(fù)設(shè)備設(shè)施上線，并做好用戶告知和答疑。不可抗拒因素引發(fā)的重大、特大事故應(yīng)急處置措施定期做好數(shù)據(jù)備份，防止因事故造成數(shù)據(jù)丟失；及時(shí)切斷事故區(qū)域設(shè)備電源，系統(tǒng)管理員通知服務(wù)供應(yīng)商做好相關(guān)防護(hù)工作，防止硬件設(shè)施因事故損壞；在保證人員安全的前提下，及時(shí)組織相關(guān)人員將硬件設(shè)施轉(zhuǎn)移到安全區(qū)域；具備異地容災(zāi)條件的，迅速啟用異地災(zāi)備系統(tǒng)應(yīng)急接管服務(wù)。應(yīng)急結(jié)束由應(yīng)急工作小組提出建議，報(bào)應(yīng)急領(lǐng)導(dǎo)小組批準(zhǔn)后結(jié)束應(yīng)急響應(yīng)，及時(shí)通報(bào)相關(guān)部門(mén)，成因分析與總結(jié)成因分析分析受攻擊系統(tǒng)自身存在可被利用的漏洞，破壞者通過(guò)漏洞取得何種權(quán)限(破壞是否已取得超級(jí)用戶特權(quán))；日常的安全監(jiān)測(cè)及定期安全檢查是否存在疏漏。事件總結(jié)B.2應(yīng)急響應(yīng)工作的流程及效果是否達(dá)到預(yù)期；應(yīng)急處置工作的經(jīng)驗(yàn)與得失；前期的應(yīng)急準(zhǔn)備工作的充分性和有效性；應(yīng)急事件發(fā)生的數(shù)量和頻率，事件成因是否暴露出安全防護(hù)結(jié)構(gòu)性問(wèn)題；其他信息系統(tǒng)是否存在類(lèi)似的安全隱患；應(yīng)急準(zhǔn)備與強(qiáng)化防范建立應(yīng)急響應(yīng)機(jī)制組建應(yīng)急隊(duì)伍（區(qū)、市維護(hù)應(yīng)急通訊錄24應(yīng)急物資與裝備制定專(zhuān)項(xiàng)應(yīng)急預(yù)案并定期開(kāi)展應(yīng)急演練安全意識(shí)宣導(dǎo)重要時(shí)期強(qiáng)化安全措施24附 錄 A（規(guī)范性）安全事件級(jí)別劃分指南分級(jí)要求與賦值4A.1。表A.1信息系統(tǒng)重要程度賦值表賦值安全保護(hù)等級(jí)1第一級(jí)2第二級(jí)3第三級(jí)4第四級(jí)5第五級(jí)注：未劃分安全保護(hù)等級(jí)的系統(tǒng)，其劃分方法可參照GB/T22240-2020。3A.2。表A.2影響持續(xù)時(shí)間賦值表賦值描述1持續(xù)時(shí)間≤15分鐘215分鐘＜持續(xù)時(shí)間≤2小時(shí)3持續(xù)時(shí)間>2小時(shí)注：對(duì)于影響ICU、NICU正常運(yùn)作的信息系統(tǒng)，其賦值應(yīng)適當(dāng)升級(jí)。3A.3。表A.3信息系統(tǒng)損害程度賦值表系統(tǒng)性能系統(tǒng)功能功能無(wú)損部分損害全部損害小于閾值-13大于或等于閾值123事件定級(jí)33A.4。表A.4事件定級(jí)速查表N值定級(jí)1≤N≤8Ⅳ9≤N≤16Ⅲ17≤N≤24Ⅱ25≤N≤45I附 錄 B（資料性）安全事件報(bào)告參考模板突發(fā)安全事件快速報(bào)告單填報(bào)單位（公章）： 填報(bào)時(shí)間： 年 月 日 時(shí) 分事發(fā)單位行業(yè)主管單位事件簡(jiǎn)題發(fā)生時(shí)間事件簡(jiǎn)況事件原因事件后果部門(mén)負(fù)責(zé)人填報(bào)人注：1.填報(bào)單位：本單位名稱(chēng)；2.事發(fā)單位：各醫(yī)療機(jī)構(gòu)；事件簡(jiǎn)況：事件發(fā)生、擴(kuò)大和應(yīng)急處置的簡(jiǎn)要情況；事件原因：對(duì)事件原因進(jìn)行初步判斷；事件后果：業(yè)務(wù)停頓情況、人員傷亡情況、設(shè)備損壞或可能造成不良社會(huì)影響等。突發(fā)事件信息報(bào)送渠道以行業(yè)主管單位公布為準(zhǔn)。安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告單事件發(fā)生時(shí)間年月日時(shí)分事件結(jié)束時(shí)間年月日時(shí)分單位名稱(chēng)報(bào)告部門(mén)/報(bào)告人聯(lián)系電話信息系統(tǒng)名稱(chēng)主要用途已采用的安全措施信息安全事件的補(bǔ)充描述信息安全事件最后判定的事故原因本次信息安全事件的影響狀況影響范圍事件后果嚴(yán)重程度本次信息安全事件的主要處理過(guò)程及結(jié)果針對(duì)此類(lèi)信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議附 錄 C（資料性）醫(yī)療機(jī)構(gòu)各級(jí)別網(wǎng)絡(luò)安全事件處置流程C.1I、Ⅱ級(jí)網(wǎng)絡(luò)安全事件處置流程C.1Ⅲ、Ⅳ級(jí)網(wǎng)絡(luò)安全事件處置流程附 錄 D（資料性）醫(yī)療機(jī)構(gòu)典型安全事件處置案例醫(yī)院信息系統(tǒng)故障應(yīng)急處置（科（科事件研判15（科）或相關(guān)科室按照5.2預(yù)警發(fā)布事件上報(bào)機(jī)制由于發(fā)生Ⅱ級(jí)網(wǎng)絡(luò)安全事件，應(yīng)急領(lǐng)導(dǎo)小組在2小時(shí)內(nèi)上報(bào)省（區(qū)、市）衛(wèi)健委，報(bào)送模板可參考B.1（）網(wǎng)監(jiān)匯報(bào)。對(duì)于涉嫌觸犯法律的，應(yīng)經(jīng)請(qǐng)示上級(jí)批準(zhǔn)后立即向公安機(jī)關(guān)或網(wǎng)警110報(bào)案，涉境外網(wǎng)絡(luò)安全事件的，同時(shí)向國(guó)安部門(mén)上報(bào)。各處（科）1．信息科DMZDMZ區(qū)與醫(yī)院信息系統(tǒng)的連接；門(mén)診30分鐘內(nèi)不能恢復(fù)——門(mén)診掛號(hào)、住院登記、藥房