XXXX医院网络安全责任追究制度

XXXX医院网络安全责任追究制度第一章总则1.1为落实《网络安全法》《数据安全法》《个人信息保护法》及国家卫生健康委《医疗卫生机构网络安全管理办法》等上位法要求，结合本院“数字医疗、智慧服务”发展战略，特制定本责任追究制度。制度以“谁主管谁负责、谁运营谁负责、谁使用谁负责”为总原则，以“行为留痕、责任到人、量化考核、终身追溯”为管理核心，覆盖全院所有产生、存储、传输、处理、交换医疗数据的网络资产、信息系统、终端设备及人员行为。1.2本院网络安全责任体系实行“三级四层”架构：（1）决策层：网络安全与信息化领导小组（下称“领导小组”），党委书记、院长任双组长，对全院网络安全负最终责任；（2）管理层：网络安全与信息化办公室（下称“网信办”），负责制度落地、风险研判、事件调查与责任追究；（3）执行层：职能科室、临床科室、医技科室、后勤班组、第三方驻场公司，按“一岗一清单”承担直接管理责任；（4）岗位层：账号实名持有人、设备实物责任人、数据分类分级责任人，对具体行为负无限追溯责任。1.3责任追究坚持“四个一律”：凡因失职失责造成网络安全事件的，一律先停岗再调查；凡隐瞒、迟报、漏报、谎报事件的一律顶格处理；凡造成患者隐私泄露的一律同步移交司法机关；凡被上级通报或媒体曝光的一律对科室年度绩效考核“一票否决”。第二章风险分级与责任映射2.1风险分级本院采用“三维九级”模型对网络安全风险进行动态量化：（1）影响维度：患者安全（P）、医院运营（O）、社会舆情（S）；（2）概率维度：年度发生频率（A）；（3）可控维度：现有控制措施有效性（C）。计算得分R=P×O×S×A×C，得分≥720为Ⅰ级（灾难级），360—719为Ⅱ级（重大级），120—359为Ⅲ级（较大级），＜120为Ⅳ级（一般级）。2.2责任映射将Ⅰ级风险对应“主要领导责任”，Ⅱ级风险对应“分管领导责任”，Ⅲ级风险对应“科室负责人责任”，Ⅳ级风险对应“岗位行为人责任”。出现跨级别风险叠加时，按“就高”原则追溯。第三章岗位责任清单3.1院级领导（1）党委书记：每季度主持召开一次网络安全专题党委会，把网络安全纳入医院章程和“三重一大”事项；对Ⅰ级事件负主要领导责任，年度绩效考核权重占30%。（2）院长：担任医院首席网络安全官（CNO），每年组织一次全员攻防演练；对Ⅰ级事件承担第一行政责任，年度绩效权重占30%。（3）分管副院长：对分管领域Ⅱ级事件承担直接领导责任，年度绩效权重占20%。3.2网信办（1）主任：对全院Ⅲ级及以上事件承担管理责任，24小时内到达现场，72小时内提交技术调查报告；（2）安全管理员：负责漏洞闭环率、高危漏洞整改率、资产存活探测率三项KPI，任一指标未达标即触发黄牌警告；（3）系统管理员：对操作系统、数据库、中间件“三件套”进行基线核查，每月输出合规率报告，合规率＜95%即启动问责。3.3职能科室（1）财务科：对资金系统、医保接口、电子票据系统负业务安全责任，出现单笔异常交易≥10万元且未在30分钟内拦截即触发问责；（2）医务科：对电子病历、病案首页、合理用药系统负数据质量责任，出现隐私字段未脱敏导出即视为Ⅲ级事件；（3）护理部：对移动护理终端、PDA、智能输液系统负终端安全责任，出现一例“一机两用”（既连内网又连互联网）即记过一次。3.4临床科室（1）科主任：为科室网络安全第一责任人，科室年度发生Ⅲ级事件2次或Ⅳ级事件4次即取消年度评优；（2）护士长：对护士站电脑、移动查房车负实物管理责任，私自安装非白名单软件即扣发季度绩效10%；（3）一线医生：对个人账号、电子签名、USB-KEY负无限责任，转借他人即记大过一次，造成后果的停岗6个月。3.5第三方公司（1）维保公司：合同须单列“网络安全保证金”，金额不低于合同总额的10%；发生Ⅲ级事件即扣除50%，Ⅰ级事件全额扣除并列入黑名单；（2）云服务商：对部署在公有云的互联网医院系统负同等安全责任，出现数据泄露事件按“1万元/条患者记录”赔偿，上不封顶；（3）驻场外包人员：实行“双人双岗”门禁与账号管理，出现私自接入路由器、无线热点即视为Ⅱ级事件，当场清退并赔偿损失。第四章行为负面清单4.1网络与系统管理（1）未在指定期限内完成高危漏洞整改；（2）私自关闭、卸载终端安全客户端；（3）未授权情况下对外提供VPN、堡垒机、跳板机账号；（4）系统上线前未通过代码审计、渗透测试、基线核查“三同步”；（5）未按“最小可用”原则分配防火墙策略，出现“全通”策略。4.2数据与隐私管理（1）未按“去标识化”标准向科研合作方提供数据；（2）超范围查询、下载、打印患者敏感信息；（3）将含患者隐私的文档存储在个人网盘、邮箱、U盘；（4）未在24小时内对异常批量查询行为进行拦截并报告；（5）对外发布信息时未对影像资料进行面部打码处理。4.3账号与权限管理（1）一人持有多个业务系统管理员账号；（2）账号未启用双因子认证；（3）临时账号未设置自动回收期限；（4）离职、离岗人员账号未在2小时内冻结；（5）将个人账号口令贴在显示器、键盘、工位隔板。4.4终端与物理环境（1）在医疗生产网内使用无线网卡、蓝牙、红外设备；（2）私自将笔记本、服务器、小路由接入机房内网；（3）未执行“人离机锁屏”制度，离开工位超过15分钟未锁屏；（4）在机房、配线间堆放易燃杂物，遮挡消防烟感；（5）未按A、B路双路供电标准接入PDU，造成单点故障。第五章事件分级与调查流程5.1事件分级（1）Ⅰ级（灾难级）：核心业务系统停机≥4小时，或泄露≥10万条患者记录，或勒索病毒加密≥50%服务器；（2）Ⅱ级（重大级）：核心业务系统停机1—4小时，或泄露1万—10万条患者记录，或勒索病毒加密≥30%服务器；（3）Ⅲ级（较大级）：非核心业务系统停机≥2小时，或泄露1000—1万条患者记录，或勒索病毒加密≥10%服务器；（4）Ⅳ级（一般级）：单点终端故障、非敏感数据泄露＜1000条、未造成业务中断。5.2报告时限Ⅰ级事件30分钟内电话报告党委书记、院长，1小时内书面报告市卫健委、市公安局网安支队；Ⅱ级事件1小时内报告分管副院长、网信办；Ⅲ级事件2小时内报告网信办；Ⅳ级事件4小时内报告科室安全员。5.3调查流程（1）初步取证：网信办安全值班组在事件发生后立即冻结日志、镜像磁盘、拍照录像，确保证据链完整；（2）原因分析：采用“5W2H”法（What、Why、Who、When、Where、How、Howmuch）还原攻击路径，输出攻击链图谱；（3）责任认定：依据“行为—后果—因果”三段论，形成《网络安全事件责任认定书》，由网信办、纪检办、人事科、法务办四方联合签字；（4）申诉复核：被问责人可在收到认定书3个工作日内向医院网络安全仲裁委员会提出申诉，委员会由外聘律师、上级卫健委专家、医院职工代表组成，7个工作日内给出终局结论。第六章责任追究方式6.1组织处理（1）责令书面检查；（2）通报批评；（3）取消当年评优评先资格；（4）调离网络相关岗位；（5）停岗、降职、免职。6.2经济处罚（1）扣发绩效奖金：Ⅳ级事件扣发当月绩效5%，Ⅲ级10%，Ⅱ级30%，Ⅰ级100%；（2）赔偿损失：按直接经济损失的10%—50%比例由责任人赔偿，最高不超过本人上年度收入总额；（3）安全保证金扣除：第三方公司按合同条款执行；（4）违约金：对造成患者隐私泄露的，按“1千元/条”向医院支付违约金，用于患者补偿及系统加固。6.3行政处罚（1）对医院正式职工：依据《事业单位工作人员处分暂行规定》给予警告、记过、记大过、降级、撤职、开除；（2）对第三方人员：移交所属公司并建议开除，同时列入“医疗行业网络安全黑名单”，5年内禁止在全国医疗机构从业；（3）对党员：同步移交医院纪委，依据《中国共产党纪律处分条例》给予党纪处分。6.4刑事责任出现下列情形之一，网信办在固定证据后24小时内移送公安机关：（1）泄露患者敏感信息≥5万条；（2）非法买卖医院数据牟利≥5万元；（3）破坏医院关键信息基础设施，造成直接经济损失≥100万元；（4）制作、传播勒索病毒，导致医院业务停摆≥4小时。第七章量化考核与积分制7.1积分规则以自然年度为周期，每人起始分100分，实行“负面清单扣分、正向激励加分”。（1）Ⅳ级事件主要责任人扣10分，次要责任人扣5分；（2）Ⅲ级事件主要责任人扣20分，次要责任人扣10分；（3）Ⅱ级事件主要责任人扣40分，次要责任人扣20分；（4）Ⅰ级事件主要责任人扣80分，次要责任人扣40分；（5）及时发现并主动报告重大安全隐患，经核实加10—30分；（6）在国家、省级攻防演练中获得“优秀防守方”称号，加50分。7.2结果运用（1）积分≥90分，年度绩效系数+0.1；（2）积分70—89分，不奖不罚；（3）积分60—69分，扣发年度绩效10%，强制培训16学时；（4）积分＜60分，暂停网络权限，待岗培训1个月，调岗或降级；（5）连续两年＜60分，解除劳动合同。第八章教育培训与行为干预8.1入职培训所有新入职员工（含第三方）必须完成“4+8+16”学时套餐：4学时法规、8学时制度、16学时实操，上机考试≥90分方可开通账号。8.2在职教育（1）每月5号“安全警醒日”，通过企业微信推送典型案例；（2）每季度组织一次“钓鱼邮件”演练，点击率＞5%的科室须重新培训；（3）每年7月举办“蓝盾杯”网络安全知识竞赛，成绩纳入科室年度目标；（4）建立“安全学分”制度，与职称晋升挂钩，晋升副高须修满20学分。8.3行为干预对连续两次考核不合格人员启动“一对一”导师制，由网信办高级工程师结对帮扶，周期3个月，仍不合格即调岗。第九章技术支撑与平台固化9.1统一日志平台采用“ELK+Kafka”架构，对全院6000余台资产进行秒级日志采集，存储周期≥3年，原始日志哈希上链，防篡改。9.2UEBA用户行为分析引入用户实体行为分析引擎，对“异常时间、异常地点、异常频率”三维建模，一旦偏离基线≥30%即触发人脸识别二次认证。9.3工单闭环系统所有漏洞、事件、变更、权限申请统一进入“蓝盾工单系统”，实现“发现—派发—整改—复核—销号”闭环，逾期自动升级并推送至纪检部门。9.4电子签章与责任认定《网络安全事件责任认定书》采用医院CA证书电子签章，同步存证至司法区块链，确保后续法律程序可直接调取。第十章监督与持续改进10.1内部监督医院纪检办公室设立“网络安全监督岗”，对网信办事件调查进行再监督，重点核查“该发现未发现、该处理未处理、该移送未移送”情形。10.2外部监督聘请第三方专业机构每年开展一次“制度符合性审计”，出具《网络安全责任追究制度有效性报告》，对制度本身进行PDCA循环优化。10.3持续改进建