医院信息系统数据共享与安全管理办法

医院信息系统数据共享与安全管理办法一、总则（一）制定目的为规范医院信息系统（HIS）的数据共享行为，保障医疗数据安全、完整与合法使用，提升医疗服务协同效率，依据《中华人民共和国数据安全法》《个人信息保护法》《医疗机构信息化建设规范》等法律法规，结合医院实际管理需求，制定本办法。（二）适用范围本办法适用于医院内部各业务系统（如电子病历系统、实验室信息系统、医学影像系统等）间的数据共享，以及医院与外部机构（医联体单位、医保部门、科研机构等）的数据交互管理。（三）管理原则遵循合法合规（符合法律法规与伦理规范）、最小必要（共享数据以满足业务需求为限）、安全可控（全流程管控数据安全风险）、权责清晰（明确各环节管理责任）的原则。（四）管理职责成立“数据管理与安全委员会”，由信息科、医务科、质控科、伦理委员会等部门组成，负责统筹数据共享规划、安全策略制定及争议协调；信息科为执行部门，承担技术保障、权限管理与安全审计；各业务科室为数据产生与使用主体，需配合落实安全管理要求。二、数据共享管理（一）共享范围与分类1.内部共享：覆盖临床诊疗、医技检查、药品管理、院感监测等业务数据，需满足“业务协同必需”原则（如急诊科调取患者既往电子病历、检验科推送报告至临床科室）。2.外部共享：医联体/区域医疗协作：共享患者诊疗摘要、检验检查结果（脱敏后）、健康档案（需患者授权），用于分级诊疗、双向转诊。医保结算：按医保部门要求共享诊疗项目、费用明细、用药记录等合规数据。科研合作：仅共享去标识化（或匿名化）的科研数据，需通过伦理审查并签署合作协议。其他外部机构：如公共卫生部门（疫情上报、传染病监测），需依据法定职责或协议共享数据。（二）共享流程规范1.申请与审批：内部共享：业务科室填写《数据共享申请表》，说明共享目的、数据范围、接收部门，经科室负责人与信息科审核后执行（紧急医疗场景可先共享后补手续，但需24小时内完善）。外部共享：申请部门提交《外部数据共享申请》，附合作协议（或公函）、数据使用方案、患者授权书（如需），经数据管理委员会审议、分管院长审批后，由信息科实施技术对接。2.数据处理要求：共享数据需进行脱敏处理（如隐藏患者姓名、身份证号、住址等敏感信息，保留必要标识用于关联）；核心医疗数据（如基因信息、精神疾病诊断）原则上不对外共享，确需共享的需经伦理委员会审批。共享格式优先采用标准化接口（如HL7、FHIR）或加密文件（如PDF、XML），禁止以明文形式传输敏感数据。（三）共享方式与技术规范1.接口共享：信息科统一规划接口标准，对外部机构开放的接口需部署API网关，实现访问鉴权、流量控制、日志审计；内部接口采用服务化架构，避免硬编码权限。2.平台共享：依托区域医疗信息平台或医院数据中台，建立数据共享专区，设置访问白名单，仅授权用户可通过VPN或专线访问。3.文件传输：采用SFTP、加密邮件等安全方式，传输前需对文件加密（如AES-256），接收方需在3个工作日内完成解密并删除源文件。三、安全管理要求（一）数据分类分级1.核心数据：包含患者基因信息、HIV诊断、精神疾病史等，需最高等级防护（加密存储、访问需双人审批、日志实时审计）。2.重要数据：电子病历、检验报告、影像资料等，需加密存储、权限分级管理（如住院医师仅可查看本科室患者数据，主任医师可跨科室调阅）。3.一般数据：医院运营数据（如挂号量、床位使用率）、公开医疗信息（如科室介绍），需常规安全防护（防火墙、杀毒软件）。（二）访问控制与身份管理1.身份认证：全员采用多因素认证（密码+动态令牌/指纹），外部人员访问需申请临时账号，有效期不超过7天，且仅能访问授权数据。2.权限管理：遵循“最小权限”原则，采用RBAC（角色权限管理）模型，为医生、护士、管理员等角色分配差异化权限；定期（每季度）开展权限审计，清理闲置账号与过度授权。（三）数据加密与存储安全1.传输加密：内部网络采用TLS1.3协议，外部传输（如与医保、医联体）采用VPN加密隧道，禁止使用未加密的WiFi传输医疗数据。2.存储加密：核心数据采用国密算法（如SM4）加密存储，数据库开启透明加密；备份数据需离线存储（如磁带库），并定期（每月）验证恢复能力。（四）安全审计与应急响应1.审计追踪：部署日志审计系统，记录所有数据访问、修改、共享操作，日志保存期不少于3年；定期（每月）分析日志，识别异常行为（如高频访问敏感数据、非工作时间操作）。2.应急预案：制定《数据安全事件应急预案》，明确数据泄露、系统瘫痪、勒索病毒等场景的处置流程；每半年开展一次应急演练，包括数据恢复、业务切换（如备用系统启动）。（五）第三方合作安全1.外包服务（如系统运维、数据分析）：签订《数据安全责任书》，要求服务商提供等保三级认证，人员需通过背景审查；禁止服务商留存医院数据，操作需在医院监控下进行（如远程运维需开启录屏审计）。2.合作科研机构：需通过医院“数据合作方安全评估”，协议中明确数据使用范围、保密义务、违约责任；定期（每半年）核查合作方数据使用情况。四、保障措施（一）组织保障数据管理委员会每季度召开例会，审议数据共享计划、安全风险报告；信息科设立“数据安全专员”，负责日常监控与问题处置。（二）技术保障每年投入不低于信息化预算的15%用于安全建设，部署防火墙、入侵检测（IDS）、数据防泄漏（DLP）系统；每三年开展一次等保测评（三级），确保系统符合安全标准。（三）人员培训新员工入职需完成“医疗数据安全”必修课程（考核通过方可上岗）；每半年组织全员安全培训，内容包括法规解读、案例分析（如近期医疗数据泄露事件）、应急操作。（四）监督考核1.日常检查：信息科每月抽查数据共享记录、权限配置、日志审计情况，发现问题立即整改。2.考核问责：将数据安全纳入科室绩效考核（权重不低于5%），对违规共享、泄露数据的个人/科室，视情节给予通报批评、绩效扣减，触犯法律的移交司法机关。五、附则1.本办法自发布之日起施行