业务连续性计划制定

业务连续性计划（BCP）— 综合医院A及区域网络（医疗/健康行业，1001-5000人）

引言：为何业务连续性计划在医疗机构至关重要

• 在医疗机构，中断不仅造成经济损失，更直接影响临床安全、患者生命与法规合规。业务连续性计划（BCP）旨在在自然灾害、网络攻击、公共卫生事件、基础设施故障等中断期间，尽可能减少停机、保持关键临床与运营职能运转，并在安全、合规的前提下快速恢复到正常水平。
• 本计划基于医院的具体场景、资产与依赖关系量身定制，覆盖综合医院A主院区、门诊与急诊大楼、独立影像中心、药房与冷链库、5家区域诊所、本地机房与同城容灾机房、云EHR（华东二区）及突发事件指挥室。恢复优先级为高，目标是在不中断或最短可控中断中保障患者安全与数据完整性。

一、计划范围与治理（总览）

• 范围：临床（急诊、门诊、住院、手术、药房、检验、影像）、支持（设施、供应链、安保、后勤）、信息化（EHR、LIS、RIS/PACS、IAM、网络、备份/容灾、呼叫中心/短信平台）、合规（审计、隐私、信息安全）等。
• 治理框架：采用医院应急指挥体系（HICS）
  • 最高负责人：院长/CEO（BCP 赞助人）
  • 事件指挥官（IC）：医务处主任或分管副院长（具有启动/升级/解除应急的权力）
  • 关键岗位与替补：
    • 运营组：急诊、住院、手术、门诊、护理、药学、检验、影像各线负责人
    • 规划/态势组：统计与态势分析、床位与手术排程协调
    • 后勤与设施组：水电气、暖通、供氧、锅炉、消防、电梯、冷链
    • IT/信息安全组：基础架构、应用、网络、安全（SOC）、数据与备份
    • 供应链与财务组：采购、库存、应付/应收、保险与理赔
    • 法务与合规组：隐私、执法机构、监管报送
    • 公共关系与患者沟通组：对内公告、对外发布、媒体与政府联络
  • 指挥场所：突发事件指挥室（主）、备用指挥点（另设于门急诊大楼或DR机房办公区），必要时启用远程指挥（加密会议）
• 启动分级（示例）
  • Ⅰ级（局部/短时）：影响单一科室或1项IT服务，预计<4小时恢复；科室负责人+IT排障，无需全院指挥
  • Ⅱ级（院区/多系统）：影响多个关键流程或多院区，预计4-24小时；启动HICS核心岗位，按本计划执行
  • Ⅲ级（全网/长期/对外）：全院或多地区、>24小时或重大人身/舆情/监管影响；全面应急、与政府/监管/媒体联动
• 权限边界与RACI
  • 事件指挥官：宣告应急等级、跨院区资源调度、对外统一口径
  • CIO/CISO：技术隔离/切换/恢复决策；启用DR；数据泄露上报建议
  • CMO/护理部：临床工作流调整与风险缓解（停择期、分流、人工流程）
  • 药学/检验/影像负责人：关键清单启用、报告替代流程
  • 公关与法务：对外声明、政府/监管沟通
  • 供应链：应急物资与补给

二、风险评估（方法与结果） 方法

• 构建威胁-脆弱性-影响模型；按发生可能性（L 1-5）、业务影响（I 1-5）评分，计算风险值R=L×I；结合现有控制与改进措施形成处置优先级。
• 纳入合规框架与监管要求（如《网络安全法》《数据安全法》《个人信息保护法》《电子病历管理规定》《医疗器械网络安全指导原则》等）。

风险矩阵（节选）

三、关键职能识别与BIA（业务影响分析） 方法

• 以患者安全为核心，识别关键职能、依赖系统/场地、最大可容忍中断时间（MTPD）、目标恢复时间（RTO）与数据恢复点目标（RPO），并明确停摆期间的临床/运营替代方案。

关键职能优先级与指标（节选）

四、恢复策略（技术、临床、设施与供应链） A. 信息化/网络与数据层

• 总体架构与容灾
  • 云EHR（华东二区）：与厂商确认多可用区容错与只读缓存能力；签订跨区域只读/降级服务SLA；预设本地“临床最小数据包”缓存（药历、过敏史、重要检验）用于只读。
  • 本地机房-同城DR机房：实现关键系统（LIS、PACS、IAM、集成总线、电话交换机、短信平台）同步复制；预定义故障切换Runbook，RTO≤2小时，RPO≤15分钟。
  • 备份策略：3-2-1-1-0（3份、2类介质、1份异地、1份不可变/离线、0错误恢复验证），每周抽样恢复演练，每季度完整恢复演练。
  • 网络韧性：双ISP+SD-WAN+路径物理分离；关键站点蜂窝应急路由器；关键链路BFD探测与自动切换。
  • 身份与访问：MFA、PAM（特权账户会话录屏）、应急断路器（失陷域隔离）、最小权限角色模型；应急本地账户密封保管。
• 典型场景恢复Runbook（摘要）
  1. 云EHR只读/故障
     • 检测：EHR监控报警/临床报障；IT值班确认
     • 决策：IC与CIO决定进入EHR降级模式；宣布Ⅱ级或Ⅲ级
     • 通知：临床一线、药房、检验、影像、住院办；外部与厂商开通Bridge
     • 稳定：启用EHR只读/本地缓存；下发纸质医嘱、护理单、检验/影像申请单；药学启用A类急救药手工发药
     • 恢复：与厂商协同修复/跨区只读；恢复后批量回录（双人核对）；审计差异
     • 验证：抽样10%病历与医嘱一致性；合规备案
  2. 勒索/大规模恶意软件爆发
     • 检测：EDR告警、SIEM关联、异常加密速率
     • 决策：CISO建议网络分段/拉闸；IC宣布Ⅲ级；切断受污染网段与文件共享
     • 通知：全院停止登录非必要系统；启用纸质流程；对外预告可能影响
     • 稳定：隔离“病人零号”终端；封存取证；关键系统从不可变备份裸机恢复；域重建/密码轮换
     • 恢复：分区、分系统、从低风险到高风险，先临床关键后辅助；白名单放行
     • 验证：渗透/妥协评估、外泄评估；依法上报监管与患者告知（必要时）
  3. 机房断电/空调故障
     • 启动UPS与发电机；若预计>30分钟，启动跨园区切换至DR；非关键负载降级
     • 设施组与IT组联合温控与电力监测；冷通道优化；温度阈值达警戒时有序关机
  4. 电信/网络骨干故障
     • 自动切换至备用ISP/蜂窝路由；对外服务限流
     • 医疗站点间启用“离线模式+人工传递”机制（检验条码与结果回传人工）
  5. PACS/LIS中断
     • 启用影像“湿读”与关键临床口头报告，后补录；检验急诊项目优先（ABO、交叉配血、血气、电解质）手工流程

B. 临床工作流与替代方案

• 全院“停机包/停机柜”配置与定位
  • 包含：科室专用停机表单（医嘱单、护理单、检验/影像申请、手术同意书、用药记录MAR）、腕带与标签、条码备用、便携打印机/电源、病历编号生成规则、回录指南、快速联络卡。
  • 定期盘点与演练，科室护士长负责。
• 急诊与分诊
  • 启用纸质分诊卡（ESI或本院分级），抢救室“最小文书集”；绿色通道与抢救药车清单；与影像/检验建立口头优先通道，30分钟内补申请单。
• 药房与冷链
  • 关键药品A（抢救/窄治疗窗/无替代）、B（常用有替代）、C（择期）；A类保持7天安全库存、B类3-5天；冷链2路供电+独立UPS；温控探头双机冗余+短信/电话报警；备用干冰/移动冷柜与应急转运路线。
  • 停机手工审核：双人复核、批次与效期手写记录、后续回录与药历对账。
• 检验与影像
  • 停机条码规则：预印号段+患者三要素核对；急诊项目优先策略；口头关键值回报制度（Read-back），10分钟内记录。
  • 影像报告：急重症先“口头初步结论+影像刻录/屏摄”，系统恢复后24小时内补正式报告。
• 手术与病房管理
  • 术式优先级：紧急（立即/≤6h）、急诊（≤24h）、择期（>24h）；Ⅲ级事件暂停择期手术。
  • 床位人工白板指挥台；交接班使用纸质床头卡与护理交班表。
• 患者沟通与告知
  • 重要中断时段张贴/电子屏滚动、短信模板发送、服务热线提示；保障手语/无障碍沟通。

C. 设施、后勤与安全

• 电力：双路市电、发电机≥72小时油量保障（含补给协议与优先通道）；UPS放电测试季度执行；关键科室独立UPS（ICU、手术部、冷链）。
• 水源/医用气体：备用水箱与供氧瓶；阀门与管路巡检；泄漏应急预案。
• 消防与疏散：楼层疏散图、动线与集合点；病患转运清单（生命支持设备优先顺序）。
• 物理安全：门禁降级策略（断网本地白名单）；安保应对暴力与聚集事件流程。

D. 供应链与人力

• 供应链：关键物资供应商≥2家；框架合同含应急条款与缩短交期；区域互助调剂机制。
• 人员与排班：建立“应急池”（跨部门训练有素人员）；排班三层（常规/加班/支援）；关怀与心理支持；关键岗位替补表。

五、沟通协议（内外部链路与模板） 沟通原则

• 单一声音、及时透明；患者安全优先；必要最少原则披露；合规与监管同步。

沟通链与渠道表

更新节奏

• 重大事件：首报15-30分钟内；随后每60-120分钟更新一次或在关键里程碑更新。
• 解除公告：包含恢复验证结果与后续防范措施；内部AAR（事后评估）时间表。

六、分场景操作手册（简版）

1. 网络攻击/勒索软件

• 首要：保护生命与安全；切换纸质/离线流程
• IT安全隔离、关停受影响共享、阻断横向移动（微分段、关闭SMBv1）
• 启用不可变备份恢复；敏感系统最后上网；强制密码重置与MFA
• 报告：合规通报、取证保全、外部威胁情报合作

2. 大规模停电

• 启动发电机、优先保障ICU/手术/急诊/冷链
• 降载清单（关闭非关键负载、空调分区）
• DR切换（若电力>30分钟不稳）；燃油补给联络

3. 云EHR区域性中断

• 宣布“EHR降级模式”；只读+纸质医嘱
• 药学/检验/影像人工流转，关键值口头回报
• 恢复后回录核对；冻结变更窗口24小时

4. 公共卫生事件/疫情高峰

• 启动分流（发热门诊、远程门诊）；停择期手术
• 病区分区管理与人流动线；PPE配给与日耗跟踪
• 人员梯次与替补；心理支持与休整

5. 大量伤员事件（MCI）

• 门急诊外设分诊点与标签；绿色通道清空
• 血液制品快速调用；手术间优先级重排
• 家属信息登记与统一通知窗口

七、合规与隐私

• 数据最小化与保留策略符合国家相关法律法规与卫健委规定；停机期间纸质敏感信息的加锁保管、交接与销毁记录。
• 安全事件分级与上报时限表；数据泄露评估与告知模板。

八、测试与更新（确保计划有效）

• 演练计划
  • 每月：通讯录/呼叫链路测试（抽样）
  • 每季度：桌面推演（EHR中断、勒索、冷链故障轮换）
  • 每半年：技术DR演练（LIS/PACS/电话/身份与网络切换）
  • 每年：全院综合演练（不影响患者安全前提下），发电机满载测试、冷链报警联动测试、备份恢复全链路演练
  • 每周：发电机空载巡检；UPS自检
• 指标与度量
  • RTO/RPO达标率；恢复平均时间MTTR
  • 备份成功率与恢复验证通过率
  • 演练完成率与问题整改关闭率
  • 安全告警响应时长、补丁与漏洞修复时效
• 计划维护
  • 版本管理与季度评审；重大变更触发（新增院区/系统、供应商变更、监管新规）
  • 每次事件后进行AAR，30天内形成改进项并纳入计划

九、实施路径与责任分工（90天落地计划）

• 0-30天
  • 完成全院BIA访谈与数据确认；冻结RTO/RPO指标
  • 制定分场景Runbook v1.0；建立HICS替补名单与通讯录
  • 停机包物资标准化与首批发放（急诊/ICU/手术/药房/检验/影像）
  • 与云EHR厂商核对跨区能力与降级SLA；DR网络连通性自检
• 31-60天
  • 完成一次桌面推演（EHR降级+药房手工）与一次技术演练（LIS/PACS切换）
  • 备份策略升级至3-2-1-1-0，部署不可变存储；抽样恢复测试
  • 冷链应急转运与干冰供应合同签订；报警联动测试
  • 双ISP与蜂窝应急路由部署关键站点
• 61-90天
  • 开展全院综合演练（不影响安全前提下），发布AAR与整改清单
  • 医疗设备网微分段/NAC试点上线；特权账户PAM上线
  • 完成跨岗培训与应急池组建；完善媒体与监管沟通模板
  • 发布BCP v1.0正式版，纳入年度内控审计

十、员工培训与文化建设

• 分层培训
  • 全员：中断识别与报告、科室停机流程、患者沟通要点（每年1次+新员工入职）
  • 临床一线：纸质表单、口头关键值回报、回录与双人核对（每半年）
  • IT与安全：DR切换、取证与恢复、红蓝演练（每季度）
  • 设施与后勤：电力、消防、冷链、疏散（每季度）
  • 指挥层：HICS指挥推演、媒体沟通（每半年）
• 工具与可及性
  • BCP门户（内网/移动端）— 一页式流程图、Runbook、表单下载、演练日历
  • 科室停机包标识清晰、月度点检卡
• 激励与反馈
  • 演练优秀团队表彰；开通匿名改进建议；将BCP遵循纳入绩效与内控考核

附录（建议建立并保持最新）

• 通讯录与供应商SLA目录（含云EHR、ISP、干冰/冷链、备份与安全厂商）
• 科室停机表单与清单模板（医嘱单、检验/影像申请、MAR、手术排程、床位白板）
• 分场景标准通告模板（内外部）
• DR切换Runbook与回滚清单
• 合规上报清单与时限表

结语 本业务连续性计划以患者安全与合规为根本，围绕关键职能设定明确的RTO/RPO与可操作的替代流程，通过治理、技术、设施、人员与供应链的多维协同，确保在多种中断情景下维持基本运营并快速恢复。请各责任部门按本计划实施落地、定期演练与持续改进。