T/GDNS 005-2023 医疗机构网络安全事件应急处置规范

ICS . 35.240.99
C 07
团体标准
T/GDNS 005—2023
医疗机构网络安全事件应急处置规范
Specifications for Emergency Handling of Network SecurityIncidents in Medical Institutions
2023 - 04 - 19 发布2023 - 04 - 24 实施
广东省计算机信息网络安全协会 发布

目录
前言..................................................................... IV
医疗机构网络安全事件应急处置规范............................................. 1
1 范围....................................................................... 1
2 规范性引用文件............................................................. 1
3 术语和定义................................................................. 1
3.1 安全攻击事件security attack incident .................................. 1
3.2 数据安全事件data security incident .................................... 2
3.3 设备设施故障equipment and facilities failure .......................... 2
3.4 灾害性事件disaster event .............................................. 2
3.5 重要数据critical data ................................................. 2
3.6 重要信息系统important information system .............................. 2
3.7 事发单位incident unit ................................................. 2
4 组织机构与职责............................................................. 2
4.1 应急领导小组设置....................................................... 3
4.2 应急领导小组职责....................................................... 3
4.3 应急工作小组设置....................................................... 3
4.4 应急工作小组职责....................................................... 3
5 安全事件分类与分级......................................................... 3
5.1 事件分类............................................................... 3
5.1.1 安全攻击事件....................................................... 3
5.1.2 数据安全事件....................................................... 4
5.1.3 设备设施故障....................................................... 4
5.1.4 灾害性事件......................................................... 5
5.1.5 其他事件........................................................... 5
5.2 事件分级............................................................... 5
5.2.1 特别重大网络安全事件（Ⅰ级） ....................................... 5
5.2.2 重大网络安全事件（Ⅱ级） ........................................... 6
5.2.3 较大网络安全事件（Ⅲ级） ........................................... 7
5.2.4 一般网络安全事件（Ⅳ级） ........................................... 7
6 安全事件响应与处置......................................................... 7
6.1 事件报告............................................................... 7
6.2 应急处置说明........................................................... 8
6.2.1 I、Ⅱ级网络安全事件处置............................................ 8
6.2.2 Ⅲ、Ⅳ级网络安全事件处置........................................... 9
T/GDNS 005—2023
III
6.3 网络安全事件常规应急处置技术措施...................................... 10
6.3.1 安全攻击事件应急处置措施.......................................... 10
6.3.2 数据安全事件应急处置措施.......................................... 11
6.3.3 设备设施故障应急处置措施.......................................... 12
6.3.4 不可抗拒因素引发的重大、特大事故应急处置措施...................... 12
6.4 应急结束.............................................................. 13
6.5 成因分析与总结........................................................ 13
6.5.1 成因分析.......................................................... 13
6.5.2 事件总结.......................................................... 13
7 应急准备与强化防范........................................................ 14
7.1 建立应急响应机制...................................................... 14
7.1.1 组建应急队伍...................................................... 14
7.1.2 维护应急通讯录.................................................... 14
7.1.3 应急物资与装备.................................................... 14
7.1.4 制定专项应急预案并定期开展应急演练................................ 15
7.1.5 安全意识宣导...................................................... 15
7.2 重要时期强化安全措施.................................................. 15
附录A （规范性） 安全事件级别划分指南.............................. 16
附录B （资料性） 安全事件报告参考模板.............................. 18
附录C （资料性） 医疗机构各级别网络安全事件处置流程................ 20
附录D （资料性） 医疗机构典型安全事件处置案例...................... 23
T/GDNS 005—2023
IV
前言
本标准按照GB/T 1.1《标准化工作导则第1部分：标准化文件的结构和起草规则》要求
编写。
本标准由广东省计算机信息网络安全协会提出并归口。
本标准起草单位：广东省计算机信息网络安全协会、广东省人民医院、南方医科大学南
方医院、中山大学附属第一医院、广州市第一人民医院、中山大学附属肿瘤医院、中国人民
解放军南部战区总医院、南方医科大学第三附属医院、中山大学附属第三院、中山大学附属
第五医院、中山大学附属第六医院、中山大学附属第八医院、佛山市妇幼保健院、肇庆市第
一人民医院、广东省妇幼保健院、广州市妇女儿童医疗中心、南方医科大学珠江医院、广州
医科大学附属第一医院、广州医科大学附属第二医院、广州医科大学附属第五医院、广州中
医药大学第一附属医院、暨南大学附属第一医院、广东药科大学附属第一医院、广州市番禺
区中心医院、番禺区何贤纪念医院、东莞市第六人民医院、佛山市中医院、梅州市人民医院、
香港大学深圳医院、清远市人民医院、粤北人民医院、江门市中心医院、茂名市人民医院、
阳江市人民医院、惠州市第六人民医院、暨南大学附属顺德医院、顺德区第三人民医院、广
东轻工职业技术学院、广州理想资讯科技有限公司、工业和信息化部电子第五研究所(中国
赛宝实验室)、广州市海珠区社区卫生发展指导中心、广州市番禺区卫生健康局、广东南方
信息安全研究院、广东网安科技有限公司、江苏金盾检测技术股份有限公司、广东物壹信息
科技股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、深信服科技股份有
限公司、北京长亭科技有限公司、广东珠江智联信息科技股份有限公司、广东北源律师事务
所、奇安信安全技术（广东）有限公司、绿盟科技集团股份有限公司广州分公司、深圳市博
通智能技术有限公司、深圳市网安计算机安全检测技术有限公司、广州粤安网络技术有限公
司、深圳观安信息技术有限公司、广东致盛技术有限公司。
本标准起草人：杨洋、黄振毅、严静东、余俊蓉、黄荣星、任忠敏、赵霞、张家庆、银
琳、周欣、周邮、陈浩、马丽明、陈翔、赖志存、曹晓均、邹志武、陈智、陆慧菁、李斌、
林圻、钟军锐、林嘉楠、苏榕彬、何颖新、熊劲光、梁瑞麟、叶欣、庞勤、邓联丙、廖茂成、
温明锋、李卫昌、曾幸辉、莫谋森、吴庆斌、郑华国、潘天详、张芳健、廖永红、刘翰腾、
吴锐珍、曾艺、欧阳雪源、罗广伟、蔡伟标、张伟、陈涛、李帅、黄志群、王健英、才华、
陈志峰、高阳、彭丽超、胡建勋、吴瑞、梁健安、谭鑫、植吕梅、王君、谢英婷、周思维、
龙军、叶曦、邬建伟、庄泽帆。
本标准为首次发布。
T/GDNS 005—2023
1
医疗机构网络安全事件应急处置规范
1 范围
本标准规定了医疗机构网络安全事件的分类与分级、安全事件响应与处置、应急准备与
重要时期强化安全措施。
本标准适用于医疗机构非涉及国家秘密的信息系统运营使用者、行业主管部门、监管部
门以及网络安全事件应急支撑队伍使用。
其他行业可参考本标准开展网络安全事件的防范和处置。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，仅
注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）
适用于本标准。
GB/T 20986-2007 信息安全技术信息安全事件分类分级指南
GB/T38645-2020 信息安全技术网络安全事件应急演练指南
GB/T39725-2020 信息安全技术健康医疗数据安全指南
GB/T 28827.3-2012 信息技术服务运行维护第3部分：应急响应规范
GB/T 35273-2020 信息安全技术个人信息安全规范
GB/T 39204-2022 信息安全技术关键信息基础设施安全保护要求
GB/T 37988-2019 信息安全技术数据安全能力成熟度模型
3 术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
安全攻击事件security attack incident
安全攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程
序缺陷或使用暴力攻击对医疗机构信息系统实施攻击，并造成信息系统异常或对信息系统当
前运行造成潜在危害的信息安全事件。
T/GDNS 005—2023
2
3.2
数据安全事件data security incident
数据安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对信息系统中的数
据造成危害，或因数据内容的管理不当，恶意传播等，对国家、社会、公众或单位造成负面
影响的事件。
3.3
设备设施故障equipment and facilities failure
设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，
以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。
3.4
灾害性事件disaster event
灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
3.5
重要数据critical data
以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国
家安全、公共利益的数据。
注：重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生
数据有可能属于重要数据。
3.6
重要信息系统important information system
是指支撑医疗机构关键业务，其信息安全和系统服务关系国家安全、社会秩序、经济建
设、公众利益的信息系统。如医院信息系统、电子病历系统、影像系统、检验系统、医院信
息平台等。
3.7
事发单位incident unit
发生网络安全事件的医疗机构。
4 组织机构与职责
T/GDNS 005—2023
3
对于网络安全事件的统筹指导和应急处置，医疗机构应成立专门的网络安全应急领导小
组和应急工作小组，做好网络安全事件的应急处置工作。
4.1 应急领导小组设置
应急领导小组一般由总指挥、副总指挥和成员组成。总指挥一般由院长担任，副总指挥
由分管信息的副院长担任，成员由院务办公室、医务处（科）、护理处（科）、门诊处（科）、
财务处（科）、设备处（科）、总务处（科）、安全保卫处（科）、信息处（科）等相关科
室的主要负责人担任。各医疗机构可结合单位实际情况进行设置。对于已成立网络安全工作
领导小组（或同等职责的小组）的医疗机构，可由上述小组负责。
4.2 应急领导小组职责
研究制定本单位网络安全应急处置工作规划、年度计划和政策措施，协调推进本单位网
络安全应急机制和工作体系建设。发生网络安全突发事件时，启动相应预案，组织应急处置。
4.3 应急工作小组设置
应急工作小组一般由信息处（科）或相关科室领导及成员组成，一般包括网络专家、操
作系统专家、数据库专家、重要系统管理员、网络空间安全专家、外部技术专家等成员。其
他科室予以积极配合。
4.4 应急工作小组职责
接受应急领导小组的应急指令，负责组织、协调、实施应急方案，调配应急资源，及时
向领导小组报告应急处置相关信息。
5 安全事件分类与分级
5.1 事件分类
网络安全事件分为安全攻击事件、数据安全事件、设备设施故障、灾害性事
件和其他网络安全事件等5 个基本分类，每个基本分类分别包括若干个子类。
5.1.1 安全攻击事件
安全攻击事件可以分为有害程序事件、网络攻击事件和物理破坏事件等，说明如下：
a) 有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、
T/GDNS 005—2023
4
混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件；如医疗机构重要
系统或医护工作站大面积病毒爆发造成系统死机、业务中断、网络瘫痪等。
b) 网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃
听事件、网络钓鱼事件、网络干扰事件和其他网络攻击事件；如医疗机构的重要信
息系统、官方网站、官方公众号、官微小程序等被拒绝服务攻击、后门植入、漏洞
入侵等造成系统死机、业务中断、网络瘫痪等。
c) 物理破坏事件是指蓄意地对保障信息系统正常运行的硬件、软件等实施窃取、破坏
造成的网络安全事件。
5.1.2 数据安全事件
数据安全事件可分为数据泄露事件、数据破坏事件、数据内容安全事件等，说明如下：
a) 数据泄露事件分为外部攻击窃取事件和内部人员泄露事件。外部攻击窃取如利用信
息系统漏洞非法获取信息系统数据库；内部人员泄露事件包含内部人员有意或无意
泄露如处方信息、用药信息、患者信息、程序源代码等敏感数据；
b) 数据破坏事件分为数据篡改事件、数据破坏事件、数据丢失事件。数据篡改事件如
官方网站、公众号、小程序等信息公开页面被篡改，患者病历数据非授权篡改等；
数据破坏事件如重要数据被删除、被恶意加密等；数据丢失如软硬件系统故障导致
大量数据不可用、缺失或损坏等；
c) 数据内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定、公共利
益及公民隐私的数据安全事件。如发布反动信息、煽动性信息等造成严重政治影响
的；或因传染病信息泄露，基因信息泄露、患者个人隐私泄露等事件广泛传播、评
论形成网上敏感的舆论热点，出现一定规模炒作等，对被泄露人名誉或财产造成损
失的。
5.1.3 设备设施故障
设备设施故障可分为软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备
设施故障等4 个子类，说明如下：
a) 软硬件自身故障是指因信息系统中硬件设备的自然故障、各类云平台故障、软硬件
设计缺陷或者软硬件运行环境发生变化等而导致的信息安全事件；
T/GDNS 005—2023
5
b) 外围保障设施故障是指由于保障信息系统正常运行所必须的外部设施出现故障而
导致的信息安全事件，例如电力故障、外围网络故障等导致的信息安全事件；
c) 人为破坏事故是指人为蓄意的对保障信息系统正常运行的硬件、软件等实施窃取、
破坏造成的信息安全事件；或由于人为的遗失、误操作以及其他无意行为造成信息
系统软硬件等遭到破坏，影响信息系统正常运行的信息安全事件；
d) 其它设备设施故障是指不能被包含在以上3个子类之中的设备设施故障而导致的信
息安全事件。
5.1.4 灾害性事件
灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息
安全事件。
5.1.5 其他事件
其他事件是指不能归为以上四个基本分类的网络安全事件。
5.2 事件分级
安全事件分为四级：特别重大网络安全事件（Ⅰ级）、重大网络安全事件（Ⅱ级）、较
大网络安全事件（Ⅲ级）、一般网络安全事件（Ⅳ级），Ⅰ级为最高级。
5.2.1 特别重大网络安全事件（Ⅰ级）
特别重大事件是指能够导致特别严重影响或破坏的网络安全事件，符合以下情况之一的
为特别重大网络安全事件：
a) 发生网络安全事件，对医疗机构信息系统正常服务造成不良影响，且按照附录A 安
全事件级别划分指南划分为Ⅰ级的。如医院信息系统、电子病历系统、影像系统、
检验系统、医院信息平台等医疗机构重要系统在业务高峰期大面积故障对医护服务
构成特别严重影响的。
b) 面向公众的便民服务应用如官方网站、医院公众号、官微小程序等，其信息公开页
面被篡改为反动信息、煽动性信息等造成严重政治影响的；
c) 造成非公开数据（GB/T39725-2020 6.2 数据级别为4级及以上）如个人属性数据、
个人健康状况数据、公民医保数据、门（急）诊病历等数据泄露或被破坏，影响超
T/GDNS 005—2023
6
过100万人的工作、生活，造成特别重大影响的；
d) 传染病疫情数据、疾病监测数据、隐私性疾病公民信息或高度保密人员隐私信息泄
露或大范围传播等, 对国家安全、社会秩序、经济建设和公众利益构成特别重大威
胁或造成特别严重不良影响的；
e) 重大网络安全事件（Ⅱ级）超过12小时未完成处置的；
f) 其他对国家安全、社会秩序、经济建设和公众利益构成特别重大威胁或造成特别严
重影响的网络与网络安全事件。
5.2.2 重大网络安全事件（Ⅱ级）
重大事件是指能够导致较大范围影响或破坏的且未达到Ⅰ级的网络安全事件，符合以下
情况之一的为重大网络安全事件：
a) 发生网络安全事件，对医疗机构信息系统正常服务造成不良影响，且按照附录A 安
全事件级别划分指南划分为Ⅱ级的网络安全事件。如医院信息系统、电子病历系统、
影像系统、检验系统、医院信息平台等重要系统存在部分功能故障对医护服务构成
严重影响的。
b) 面向公众的便民服务应用如官方网站、公众号、小程序等，其信息公开页面被篡改，
发布虚假或诈骗等信息并已造成严重的经济和社会影响；
c) 造成非公开数据（GB/T39725-2020 6.2 数据级别为4级及以上）如个人属性数据、
个人健康状况数据、公民医保数据、门（急）诊病历等数据泄露或被破坏，影响不
超过100万人的工作、生活，造成重大影响的；
d) 造成非公开数据（GB/T39725-2020 6.2 数据级别为3级及以上）如住院医嘱、检查
检验报告、病程记录、手术记录、医院运营数据等数据泄露或被破坏，影响50万人
以上100万人以下的工作、生活的，造成重大影响的；
e) 传染病疫情数据、疾病监测数据、隐私性疾病公民信息或高度保密人员隐私信息泄
露或大范围传播等, 对国家安全、社会秩序、经济建设和公众利益构成重大威胁或
造成严重不良影响的；
f) 较大网络安全事件（Ⅲ级）超过24小时未完成处置的；
g) 其他对国家安全、社会秩序、经济建设和公众利益构成重大威胁、造成重大不良影
T/GDNS 005—2023
7
响的网络与网络安全事件。
5.2.3 较大网络安全事件（Ⅲ级）
较大事件是指能够导致一定范围影响或破坏的且未达到Ⅱ级的网络安全事件，符合以下
情况之一的为较大网络安全事件：
a) 发生网络安全事件，对医疗机构信息系统正常服务造成不良影响，且按照附录A 安
全事件级别划分指南划分为Ⅲ级的网络安全事件。如预约挂号、门诊收费等一般医
疗业务系统或官方网站、小程序等便民服务系统故障对医护服务较大影响的。
b) 面向公众的便民服务应用如官方网站、公众号、小程序等，其信息公开页面被篡改，
发布虚假或诈骗等信息并已造成一般的经济和社会影响；
c) 造成非公开数据（GB/T39725-2020 6.2 数据级别为3级及以上）泄露或数据被破坏，
影响10万人以上50万人以下的工作、生活，造成较大影响的；
d) 较大网络安全事件（Ⅳ级）超过24小时未完成处置的；
e) 其他对国家安全、社会秩序、经济建设和公众利益构成一般威胁、造成不良影响的
网络与网络安全事件。
5.2.4 一般网络安全事件（Ⅳ级）
一般事件是指构成轻微影响或破坏的且未达到Ⅲ级的网络安全事件，符合以下情况之一
的为一般网络安全事件：
a) 发生网络安全事件，对医疗机构信息系统正常服务造成不良影响，且按照附录A 安
全事件级别划分指南划分为Ⅳ级的网络安全事件。如预约挂号、门诊收费等一般医
疗业务系统或官方网站、小程序等便民服务系统故障对医护服务轻微影响的。
b) 造成非公开数据（GB/T39725-2020 6.2 数据级别为3级及以上）泄露或数据被破坏，
影响50人以上10万人以下的工作、生活，造成一般影响的；
c) 其他造成一般损失或一般的不良影响的网络安全事件。
6 安全事件响应与处置
6.1 事件报告
T/GDNS 005—2023
8
网络安全事件发生后，事发单位应结合事件严重程度启动相应级别的应急预案，实施处
置并在必要时及时向监管部门报送信息，报送模板可参考附录B.1 突发安全事件快速报告
单。应急处置机构应立即组织先期处置，控制事态，消除隐患，同时组织研判，注意保存证
据，做好信息通报工作。
6.2 应急处置说明
网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件，
其中I 级为最高响应级别。事发单位应根据安全事件的级别，启动相应级别的应急响应，包
括事件预警、事件报告、应急处置等。
如发生I、Ⅱ网络安全事件时，应由院长或分管信息的副院长担任总指挥指导应急响应；
I 级事件应在1 小时内向行业主管进行报送，II 级事件应在2 小时内向行业主管进行报
送等；
与应急相关的其他部门负责人以及相关设备厂商或系统开发商责任人就位，处于随时待
命状态。
6.2.1 I、Ⅱ级网络安全事件处置
当发生I、Ⅱ级网络安全事件后，事发单位可参照附录C.1 I、Ⅱ级网络安全事件处置
流程开展应急处置工作，具体说明如下：
（1）事件研判
各医疗机构应建立健全安全事件预警预报体系，严格执行网络安全管理制度，加强全网
威胁的日常监测、监控和安全管理，对可能引发网络安全事件的有关信息，要认真收集、分
析、判断，当发生网络安全事件时，事发单位信息科或相关科室按照5.2 事件分级进行事
件研判，并启动相应级别的应急预案，做好相关数据日志记录留存并逐级报告。
（2）事件上报
当发生I、Ⅱ级网络安全事件时，信息科或相关科室立即通知应急领导小组。由应急领
导小组在规定时间内上报省（区、市）卫健委，报送模板可参考B.1 突发安全事件快速报告
单，请求上级行业主管帮助指导，同时向省（区、市）网监汇报。对于涉嫌触犯法律的，应
经请示上级批准后立即向公安机关或网警110 报案，涉境外网络安全事件的，同时向国安部
门上报。
T/GDNS 005—2023
9
（3）预警发布
应急领导小组向全院签发相应级别的应急响应，并通过通知应急工作小组按照应急预案
开展应急处置。
当收到应急领导小组的通知后，应急处置小组负责人应及时通知小组成员，并将相关信
息通知小组成员，小组成员应做好应急响应的准备工作。
（4）处置与恢复
应急响应预案启动后，应急工作小组应参照7.3 网络安全事件应急处置建议，根据信
息安全事件的分类，初步确定应急处置方式，立即采取相关措施抑制信息安全事件的影响，
避免造成更大损失。
通过应急处置成功解决网络安全事件后，应尽快组织相关人员进行网络信息系统重建。
应急工作小组应当在事件处理完毕后24 小时内，参照B.2 安全事件应急响应结果报告，将
处理结果上报应急领导小组备案。通过对信息安全事件进行汇总、总结及复盘，不断改进信
息安全应急响应预案。
6.2.2 Ⅲ、Ⅳ级网络安全事件处置
当发生Ⅲ、Ⅳ级网络安全事件后，事发单位可参照C.1 Ⅲ、Ⅳ级网络安全事件处置流
程开展应急处置工作，具体说明如下：
（1）事件研判
各医疗机构应建立健全安全事件预警预报体系，严格执行网络安全管理制度，加强全网
威胁的日常监测、监控和安全管理，对可能引发网络安全事件的有关信息，要认真收集、分
析、判断，当发生网络安全事件时，事发单位信息科或相关科室按照5.2 事件分级进行事
件研判，并启动相应级别的应急预案，做好相关数据日志记录留存并逐级报告。
（2）事件上报
对于评级为发生Ⅲ、Ⅳ级网络安全事件，由应急领导小组根据事件的影响程度研判是否
上报省（区、市）卫健委，如需报模板可参考B.1 突发安全事件快速报告单。
（3）预警发布
应急领导小组向受影响科室签发相应级别的应急响应，并通过通知应急工作小组按照应
急预案开展应急处置。
T/GDNS 005—2023
10
当收到应急领导小组的通知后，应急处置小组负责人应及时通知小组成员，并将相关信
息通知小组成员，小组成员应做好应急响应的准备工作。
（4）处置与恢复
应急响应预案启动后，应急工作小组应参照7.3 网络安全事件应急处置建议，根据信
息安全事件的分类，初步确定应急处置方式，立即采取相关措施抑制信息安全事件的影响，
避免造成更大损失。
通过应急处置成功解决网络安全事件后，应尽快组织相关人员进行网络信息系统重建。
应急工作小组应当在事件处理完毕后三个工作日内，参照B.2 安全事件应急响应结果报告，
将处理结果上报应急领导小组备案。通过对信息安全事件进行汇总、总结及复盘，不断改进
信息安全应急响应预案。
6.3 网络安全事件常规应急处置技术措施
不同分类的网络安全事件应采用针对性的应急处置措施，事发单位应判断网络安全事件
的分类和严重级别，结合单位内部情况及预制的应急预案、策略及流程，采用最有效的处置
措施加以实施。附录D 以医院信息系统故障为示例，提供安全事件处置案例，各医疗机构
可结合单位自身实际情况按需开展应急处置。
6.3.1 安全攻击事件应急处置措施
发生安全攻击事件时，应立即按照要求进行上报，由单位的网络安全管理员负责实施，
主要应急措施如下：
（1）通知相关系统管理员，断开受攻击系统的网络连接，中断攻击链；因业务连续性
要求不能断网的，严格限制受攻击系统与互联网及内部其他系统之间的通信，以阻隔攻击行
为；
（2）攻击造成系统无法正常提供服务且预期时间内无法恢复的，应立即启用应急系统
临时接管服务，包括但不限于①加强单位医疗卫生秩序保障、环境监视工作，组织安保人员
进行巡查工作；②及时统一对外发布口径，窗口工作人员应耐心向患者做好解释与导流工作；
T/GDNS 005—2023
11
③启动单位手工应急预案，先行开具手工医技处方、收费单据和执行记录等,系统恢复正常
后进行补录工作。
（3）深入分析受攻击系统的登录日志、系统日志、应用日志、网络访问日志、相关安
全系统日志等，溯源安全事件攻击链条；
（4）保存系统运行状态，包括账户登录记录、网络连接状态、文件访问状态、进程运
行状态等易失数据，并留存相关攻击日志、系统审计日志、受攻击系统拓扑结构及资产清单
等以备外部审计；
（5）针对安全攻击暴露的漏洞，通过安装补丁、修改系统设置、调整边界安全策略、
更新账户密码、关闭不必要端口和服务等方式加固受攻击系统及同类风险系统；
（6）清查受攻击系统，排查黑客是否植入后门、隐藏账户、自启动程序和服务、计划
任务、可疑文件、未知端口等，做好备份后彻底清除；
（7）重点排查应用系统源代码、应用程序文件、程序配置文件、库文件等是否被篡改
或插入恶意代码，必要时采用完整安全的副本进行覆盖；
（8）若存在无法有效拦截的安全威胁、新型病毒等，应联系相关安全厂商紧急升级威
胁特征库，降低受到同类攻击的风险；
（9）确认风险已清理完毕后，逐步恢复系统上线，密切监测系统安全状况；
（10）及时上报处置情况和处置结果。
6.3.2 数据安全事件应急处置措施
发生数据安全事件时，首先应通知单位数据安全主管部门，并根据受影响范围立即向单
位主要领导报告，同时向行业主管部门报备。此类事故由数据安全管理员负责实施，主要应
急措施如下：
（1）当发生数据泄露事件时，应报告数据安全事件应急领导小组，应急工作小组组织
协调人员进行全面检查，排查系统及数据库、应用系统等相关日志，及时下线或切断相关业
T/GDNS 005—2023
12
务系统网络连接，防止数据泄露范围扩大影响，涉及密码口令泄露时，应立即更新相应的密
码口令；
（2）当发生核心数据数据或业务系统大规模数据破坏事件时，应报告数据安全事件应
急领导小组，应急工作小组指定数据库管理员或运维人员进行检查确认，同时启动应急预案，
暂停相关业务服务，并通知相关业务处室；使用可靠的数据副本恢复数据后重新启动服务，
并立即追查原因。如属外部攻击原因的，应立即通过日志等分析攻击来源。
（3）当发生数据内容安全事件时，应立即报告数据安全事件应急领导小组，同时立即
启动应急预案，情况严重的经请示上级批准，向公安机关报警，请求警力援助。由公安机关
或应急处置领导小组统一指挥，组织协调相关人员进行甄别核实，通过拍照、截图、记录、
存档等手段留存相关证据后立即下线清理网络不良信息，停止不良信息的传播；造成不良网
络舆情的，应依法依规及时告知事实真相、事件处置情况或答疑释惑，及时、有效控制事态，
正面、有序引导网络舆论。
（4）保存相关证据和日志记录，必要时公安机关介入。
6.3.3 设备设施故障应急处置措施
发生设备设施故障时，应立即向相关管理员报告，如涉及公有云平台故障，应立即向云
平台供应商联系，视故障严重程度按需启动应急预案。此类故障由系统管理员负责实施，主
要应急措施如下：
（1）涉及业务系统停机或服务中断的，应及时通告用户；
（2）立即采用备机、搭建临时系统等方式接管服务；
（3）判断故障节点，查明故障原因，快速抢修故障；
（4）故障消除后重新恢复设备设施上线，并做好用户告知和答疑。
6.3.4 不可抗拒因素引发的重大、特大事故应急处置措施
不可抗拒因素引发的事故主要指因地震、台风、雷电、火灾、水灾等不可预测的自然力
导致的网络安全事故。由安全管理员或系统管理员负责实施，主要应急措施如下：
T/GDNS 005—2023
13
（1）定期做好数据备份，防止因事故造成数据丢失；
（2）及时切断事故区域设备电源，系统管理员通知服务供应商做好相关防护工作，防
止硬件设施因事故损坏；
（3）在保证人员安全的前提下，及时组织相关人员将硬件设施转移到安全区域；
（4）具备异地容灾条件的，迅速启用异地灾备系统应急接管服务。
6.4 应急结束
由应急工作小组提出建议，报应急领导小组批准后结束应急响应，及时通报相关部门，
并相应向行业主管部门报备。特殊情况下，需要公安机关介入，通过法律手段保证医疗机构
利益时，具体取证流程和相关工具必须符合相关的法律要求。
6.5 成因分析与总结
6.5.1 成因分析
在网络安全事件处置完毕后，应对整个安全事件的证据进行汇总和归纳，通过现象的推
演和还原来论证事件产生的原因，回溯事件发生的过程，审视单位现有安全防护体系的不足
并针对性提高。网络安全事件成因分析应采取的方法包含以下方面:
a) 了解事件破坏方法、破坏类型、破坏者或恶意程序的标识和特征，对异常文件进行
备份；
b) 明确攻击和破坏所跨越的网络路径，涉及网络区域(外网、内网、政务网、无线网)；
相应区域的安全检测与防护措施、安全策略是否适当；
c) 分析受攻击系统自身存在可被利用的漏洞，破坏者通过漏洞取得何种权限(破坏是
否已取得超级用户特权)；
d) 日常的安全监测及定期安全检查是否存在疏漏。
6.5.2 事件总结
在网络安全事件得到基本处置后，事发单位应及时对网络安全事件的经过、成因、影响
及整改情况进行总结并对其所造成的损失进行评估，填写安全事件应急处置报告单，报告模
板可参照附录B.2 安全事件应急响应结果报告单，并上报行业主管部门和监管部门，作为
改进应急响应工作及信息系统的重要依据。对技术难度大、原因不明确的安全事件，专家队
T/GDNS 005—2023
14
伍可进行会商与研判，对网络安全事件进行深入分析，提供解决对策预防此类事件的再次发
生。对应急响应工作的总结应考虑以下几点：
a) 应急响应工作的流程及效果是否达到预期；
b) 应急处置工作的经验与得失；
c) 前期的应急准备工作的充分性和有效性；
d) 应急事件发生的数量和频率，事件成因是否暴露出安全防护结构性问题；
e) 其他信息系统是否存在类似的安全隐患；
f) 建立安全事件应急处置历史台账，总结历史安全事件处置方法与流程，通过培训和
演练等知识传递提升单位应急处置能力。
7 应急准备与强化防范
7.1 建立应急响应机制
7.1.1 组建应急队伍
建立网络安全应急组织，如应急领导小组、应急工作小组、安全值班室等。建立网络安
全专家库，加强技术交流和技术培训，提高单位处理突发网络安全事件的能力。加入省（区、
市）网监等安全主管单位通报平台，第一时间处理安全突发事件。加入省级卫生健康系统网
络安全通报平台，及时上传下达，提高单位安全事件联动处置能力。
7.1.2 维护应急通讯录
单位应设立专门的网络安全应急24 小时值班电话，并做到电话号码不变、传真号码不
变、电子邮件不变。应急响应小组人员的电话、手机、电子邮件等联系方式应及时更新、及
时分发或公开，并保持畅通。除维护单位内部应急通讯录以外，外部应急资源也应纳入通讯
录管理，包括与各级政府有关部门、省市公安厅网监部门、国家信息安全权威机构、相关通
信运营商、应急服务商、信息系统及设备厂商等作为应急支援单位。
7.1.3 应急物资与装备
根据潜在突发事件的性质和后果，结合单位信息系统与安全防护体系实际情况，制定应
急装备与备品备件的配置标准，购置和储备应急所需的物资，制作应急物资清单表。对应急
装备和物资进行定期检查、维护与更新，保证应急物资始终处于完好状态。加强应急备品备
T/GDNS 005—2023
15
件的动态管理，及时补充和更新应急物资清单表。制定应急物资和装备的年度采购计划，并
纳入单位的年度总预算，切实保证应急物资的资金投入，应急资源清单须每年更新。
7.1.4 制定专项应急预案并定期开展应急演练
医疗机构应结合单位实际情况建立总体应急预案、处置措施、处理流程及演练机制。为
重要信息系统如医院信息系统、电子病历系统、影像系统、检验系统、医院信息平台等单独
制定专项信息安全应急预案。至少每年举办一次网络安全演练，检验应急响应团队的准备程
度，发现和解决潜在的安全问题。网络安全演练应包括模拟各种安全攻击和数据安全事件，
可开展桌面推演、模拟演练、实操演练等多种形式的演练，以检验应急预案的可行性、应急
准备的充分性、应急机制的协调性及相关人员的应急处置能力，及时总结演练中发现问题，
不断完善应急预案，形成长效的应急处理机制。此外，日常应急响应工作中发现的安全问题，
应持续跟进、反复验证，将详细处置办法及过程结果以应急响应报告的形式进行保存，逐步
建立网络安全事件处置知识库。
7.1.5 安全意识宣导
信息安全是一项需要长期开展的工作，它不仅涉及技术而且涉及到人员，信息系统运营
使用者应关注员工网络安全意识，将网络安全意识培训加入年度培训计划，通过会议、讲座、
视频、动画、宣传等一种或多种方式积极宣传网络安全有关的法律法规、安全事件案例分析、
内部安全制度等。培训对象不仅包括内部员工还应包括相关第三方合作伙伴和服务商。
7.2 重要时期强化安全措施
在国家重要活动、会议期间，单位应建立重要时期安全保障工作流程，加强网络安全事
件的防范和应急响应，确保网络安全。重要时间前开展针对性的安全隐患排查，摸清家底、
全面渗透、全面加固，及时消除安全风险；重要时间加强网络安全监测和分析研判，联防联
控，及时消除可能造成重大影响的风险和隐患；重点科室、重点岗位保持24 小时现场或电
话值班，及时发现和处置网络安全事件隐患。
T/GDNS 005—2023
16
附录A
（规范性）
安全事件级别划分指南
A.1 分级要求与赋值
网络安全事件分级的主要参考要素为：信息系统的重要程度、影响持续时间、信息系统
受损程度。
a） 医疗机构信息系统的重要程度按照其等级保护定级情况划分为4 级，具体划分方
法见表A.1。
表A.1 信息系统重要程度赋值表
赋值安全保护等级
1 第一级
2 第二级
3 第三级
4 第四级
5 第五级
注：未划分安全保护等级的系统，其划分方法可参照GB/T 22240-2020。
b） 影响持续时间划分为3 级。依据应急事件对信息系统恢复正常服务所需的时间而
确定，具体划分方法见表A.2。
表A.2 影响持续时间赋值表
赋值描述
1 持续时间≤15 分钟
2 15 分钟＜持续时间≤2 小时
T/GDNS 005—2023
17
3 持续时间>2 小时
注：对于影响ICU、NICU 正常运作的信息系统，其赋值应适当升级。
c） 网络安全事件造成的信息系统损害程度划分为3 级。依据故障发生对信息系统提
供的服务能力的下降程度而确定，具体划分方法见表A.3。
表A.3 信息系统损害程度赋值表
系统性能
系统功能
功能无损部分损害全部损害
小于阈值- 1 3
大于或等于阈值1 2 3
A.2 事件定级
首先为应急事件的3 个定级要素赋值，然后将3 个要素赋值相乘得到应急事件具体分值
N（1≤N≤45）。具体划分方法见表A.4。
表A.4 事件定级速查表
N 值定级
1≤N≤8 Ⅳ
9≤N≤16 Ⅲ
17≤N≤24 Ⅱ
25≤N≤45 I
T/GDNS 005—2023
18
附录B
（资料性）
安全事件报告参考模板
B.1 突发安全事件快速报告单
填报单位（公章）： 填报时间： 年月日时分
事发单位行业主管单位
事件简题
发生时间
事件简况
事件原因
事件后果
部门负责人填报人
注：1.填报单位：本单位名称；
2.事发单位：各医疗机构；
3.事件简况：事件发生、扩大和应急处置的简要情况；
4.事件原因：对事件原因进行初步判断；
5.事件后果：业务停顿情况、人员伤亡情况、设备损坏或可能造成不良社会影响等。
6.突发事件信息报送渠道以行业主管单位公布为准。
T/GDNS 005—2023
19
B.2 安全事件应急响应结果报告单
事件发生时间年月日时分
事件结束时间年月日时分
单位名称
报告部门/报告人
联系电话
信息系统名称
主要用途
已采用的安全措施
信息安全事件的补充描述
信息安全事件最后判定的
事故原因
本次信息安全事件的影响
状况
影响范围
事件后果
严重程度
本次信息安全事件的主要
处理过程及结果
针对此类信息安全事件应
采取的保障信息系统安全
T/GDNS 005—2023
20
的措施和建议
附录C
（资料性）
医疗机构各级别网络安全事件处置流程
C.1 I、Ⅱ级网络安全事件处置流程
T/GDNS 005—2023
21
T/GDNS 005—2023
22
C.1 Ⅲ、Ⅳ级网络安全事件处置流程
T/GDNS 005—2023
23
附录D
（资料性）
医疗机构典型安全事件处置案例
D.1 医院信息系统故障应急处置
信息处（科）负责医院信息系统的运行管理、监控、故障处理，若出现较大故障无法及
时处理，应按流程立即上报分管院领导；若其他处（科）室在发现本系统故障时，应及时报
告处（科）室负责人。处（科）室负责人汇总情况后及时报告医院信息处（科）。
（1）事件研判
当医院信息系统因安全攻击导致系统故障，且初判无法在15分钟内恢复的，信息处（科）
或相关科室按照5.2 事件分级进行事件研判，评级为发生Ⅱ级网络安全事件，并立即通知应
急领导小组或医院网络安全工作小组。
（2）预警发布
应急领导小组结合事件影响程度决定签发Ⅱ级应急响应，通知应急工作小组开展应急处
置。应急处置过程中，信息处（科）长应在事故发生后每2小时向应急处置领导小组组长进
行故障简报，并在事故处理故障后8小时内提交故障处置报告；
收到应急领导小组的通知后，应急处置小组负责人应及时通知小组成员，并将相关信息
通知小组成员，小组成员应做好应急响应的准备工作。
（3）事件上报机制
由于发生Ⅱ级网络安全事件，应急领导小组在2小时内上报省（区、市）卫健委，报送
模板可参考B.1突发安全事件快速报告单，请求上级行业主管帮助指导，同时向省（区、市）
网监汇报。对于涉嫌触犯法律的，应经请示上级批准后立即向公安机关或网警110报案，涉
境外网络安全事件的，同时向国安部门上报。
（4）各处（科）室应急处置与恢复
1．信息科
a) 会同第三方技术支持公司技术人员，及时做出技术性分析，查明故障原因，上报医
院应急处置领导小组组长。
b) 若受到外部安全攻击导致系统故障，分析定位攻击来源和途径，第一时间中断攻击
T/GDNS 005—2023
24
链条和渠道，如攻击来自DMZ区，通过边界防火墙中断DMZ区与医院信息系统的连接；
如攻击来自内网服务器，应立即中断内网服务器与医院信息系统的连接，因业务连
续性要求不能断网的，严格限制受攻击系统与互联网及内部其他系统之间的通信，
以阻隔攻击行为；
c) 中断攻击链条后，对医院信息系统相关服务器进行全盘病毒查杀，清理可能被植入
的后门或恶意程序；
d) 分析防火墙日志、入侵防御日志、态势感知日志、操作系统登录日志、安全日志等，
排查是否有未知病毒或隐患威胁；
e) 完成病毒恶意程序查杀、缓存清理、服务重启等系列处置后，与应用厂家联合检查
并修复医院信息系统相关文件和配置；
f) 经过系列常规恢复处置后医院信息系统仍未能恢复正常的，上报医院应急处置领导
小组组长请求，采用灾备系统紧急接管服务；
g) 对受影响的医院信息系统进行抢修、恢复、重建等，完成重建并验证可用性后，选
择业务低谷时间点重新接管服务，并做好灾备系统与正式系统的数据回迁工作；
h) 向医院应急处置领导小组组长汇报处置结果，请提议通知全院相关科室恢复正常业
务；
i) 各科室有序恢复业务后，观测医院信息系统运行情况及数据补录是否正常，确保医
疗数据的一致性。
2．门诊
当出现医院信息系统故障导致门诊业务中断时，各科室根据故障恢复时间的程度将转入
手工操作，所有手工操作的统一启动时间须由应急领导小组通知，相关部门严格按照通知时
间协调各项工作，在未接到新的指示前不准私自操作计算机，具体时限如下：
a) 30分钟内不能恢复——门诊挂号、住院登记、药房等科室转入手工操作。
b) 6小时内不能恢复——各护士工作站、药房、120急救中心、手术室、医技检查转入
手工操作（具体时间由信息科通知）。
c) 24小时以上不能恢复——全院各种业务转入手工操作。
d) 门诊收费处由门诊部主任负责联系协调；
T/GDNS 005—2023
25
e) 医院信息系统恢复后，接到统一指令后操作员要及时将中断期间的患者信息输入到
计算机。
3．门诊收费处
由各收费部门主任负责总体联络协调，要与信息科保持联系，及时反馈沟通最新消息。
a) 当系统运行中断超过30分钟时，要通知收费员转入手工收费程序；
b) 门诊收费员要建立手工发票使用登记本，对发票使用情况做详细登记；
c) 当系统恢复正常时，由收费员负责对网络运行稳定性进行监测，如不稳定，及时向
信息科反馈情况。
d) 在接到使用计算机的指令并重新启动运行后，收费员逐步转入到机器操作。
4．出院结算
由财务科主任总体负责联络协调；原则上不在住院处、记账处进行费用补录，以防止出
现账目混乱。
a) 当系统停止运行超过24小时，对普通出院患者，推迟出院结算时间。对急诊出院的
患者应根据病历和临床护士工作站记录，进行手工核算，出具手写发票。
b) 在系统停止运行期间，出院患者急需结算时，应由该科护士工作站追查是否还有正
在进行的检查项目，并向出院结算处提供详细费用情况后，方可送交结算。
4．护士工作站
护士工作站由护理部共同协调；
a) 医院信息系统故障期间临床科室应详细记录患者的所有费用执行情况；
b) 科室详细填写每位患者的药品请领单（包括姓名、住院号、费别、药品名称及用量），
一式两份，一份用于科室补录医嘱，另一份送药房作为领药凭证。
c) 出院带药由主管医生负责掌握经费情况，如出现费用超支时原则上不予带药；
d) 接到统一指令通知恢复运行时间后，按要求补录医嘱。
5．医技
由医技科主任负责总体联络协调，要与信息科保持联系，及时反馈沟通最新消息。
a) 在医院信息系统停运期间应详细留取、整理检查申请单底联；
b) 系统恢复后根据检查单底联登记，通过手工记价补录患者费用；（注意与临床科室
T/GDNS 005—2023
26
联系沟通）
c) 对即将出院或有出院倾向的患者，主治医师要在检查申请单上要注明，检查科室应
及时通知科室或住院处沟通费用情况。
6．药房
a) 严格按照信息科通知的时间及要求进行操作；
b) 医院信息系统故障时，根据临床科室提供的药品请领单发药；
c) 系统恢复时对临床科补录的摆药医嘱进行发药并确认，同时与发药时药品请领单内
容详细核对，如发现内容不符，须详细追查；
d) 系统恢复后对出院带药处方及时进行确认；
e) 各工作站接到重新运行通知时，需重新启动计算机，重新启用系统作业。

相关资料

上一篇：T/GDMJMQ 003-2024 “同线同标同质”国际高端品质产品评价通则

下一篇：T/ACEF 216-2025 燃煤锅炉尿素脱硝优化控制系统技术导则