医疗机构信息安全管理操作手册（标准版）

医疗机构信息安全管理操作手册（标准版）第1章总则1.1适用范围本手册适用于各级医疗机构及其所属信息系统的安全管理，涵盖患者信息、医疗数据、电子病历、医疗设备等所有涉及患者隐私和医疗安全的信息系统。根据《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》（GB/T35273-2020）等相关法律法规，本手册适用于医疗机构在信息安全管理中的所有活动。本手册适用于医疗机构的信息技术部门、临床科室、行政管理部门及第三方服务商等所有相关单位。本手册的制定依据国家卫生健康委员会《医疗机构信息安全管理操作规范（试行）》（卫计委发〔2019〕12号）等文件，确保信息安全管理的全面性和系统性。本手册适用于医疗机构在信息安全管理中涉及的数据分类、权限管理、加密传输、访问控制等具体操作流程。1.2安全管理原则本手册遵循“安全第一、预防为主、综合治理”的原则，确保信息系统的安全运行和数据的完整性、保密性与可用性。依据《信息安全技术信息安全风险评估规范》（GB/T22239-2019），医疗机构应建立信息安全风险评估机制，识别、评估和应对信息安全隐患。本手册强调“最小权限原则”和“纵深防御原则”，确保信息系统的访问控制和安全防护措施符合国家信息安全标准。信息安全管理应贯穿于系统设计、开发、运行、维护、退役等全生命周期，确保信息安全的持续改进与有效控制。本手册要求医疗机构定期开展信息安全培训与演练，提升全员信息安全意识，形成“人人有责、层层负责”的安全管理文化。1.3目录与职责划分本手册目录包括总则、信息安全管理制度、安全操作流程、应急预案、附录等，确保内容结构清晰、层次分明。本手册由医疗机构信息安全部门牵头制定，各科室、部门需根据职责分工，明确信息安全责任范围。信息安全部门负责制定和更新信息安全政策、流程及技术规范，确保与国家法律法规和行业标准保持一致。各科室、部门需配合信息安全部门开展信息安全培训、检查与整改，确保信息安全制度落实到位。本手册的执行情况需定期评估，根据实际情况进行修订，确保信息安全管理制度的持续有效性。1.4信息安全管理制度本手册明确了医疗机构的信息安全管理制度框架，包括数据分类、访问控制、加密传输、审计追踪等核心内容。依据《信息安全技术信息安全事件分类分级指南》（GB/T20984-2011），医疗机构应建立信息安全事件分类与响应机制，确保事件处理及时、有效。本手册要求医疗机构建立信息安全管理组织架构，设立信息安全主管、安全员、技术管理员等岗位，明确各岗位职责。信息安全管理制度需与医疗机构的业务流程相结合，确保信息安全管理与业务发展同步推进。本手册强调信息安全管理制度的动态更新，定期开展安全评估与审计，确保管理制度符合最新安全要求。第2章信息安全政策与管理流程2.1信息安全政策制定信息安全政策应依据国家相关法律法规（如《网络安全法》《个人信息保护法》）及医疗机构实际业务需求制定，确保符合国家及行业标准。政策制定需遵循“风险导向”原则，通过风险评估识别关键信息资产，并明确保护等级与安全要求。信息安全政策应由信息安全部门牵头，联合业务部门、技术部门共同参与制定，确保政策覆盖全业务流程与系统功能。政策应定期更新，根据技术发展、法规变化及业务变化进行修订，确保其时效性和适用性。政策需通过正式文件发布，并通过内部培训、宣导等方式确保全员知晓与执行。2.2信息安全管理流程信息安全管理应遵循PDCA（Plan-Do-Check-Act）循环模型，确保管理活动的持续改进与有效执行。信息安全管理流程包括风险评估、安全策略制定、系统部署、权限管理、审计监控等关键环节，需贯穿于整个信息系统生命周期。信息安全流程应明确各岗位职责，如系统管理员、网络管理员、数据管理员等，确保责任到人、流程清晰。信息安全管理流程需结合ISO27001等国际标准，通过建立信息安全管理体系（ISMS）实现系统化、规范化管理。流程执行需通过日志记录、审计追踪、定期检查等方式进行监督，确保流程有效性和合规性。2.3信息安全事件报告机制信息安全事件报告机制应遵循“分级响应”原则，根据事件严重性分为重大、较大、一般等不同级别，确保响应效率与资源调配。事件报告应通过统一平台（如信息安全事件管理系统）进行登记、分类、追踪与分析，确保信息透明与可追溯。事件报告需在发现后24小时内上报，重大事件应于48小时内启动应急响应，确保快速处置与控制。事件处理完成后需进行复盘与总结，形成报告并反馈至相关责任人及管理层，持续改进管理流程。事件报告机制应与外部监管机构、公安部门及第三方安全服务商联动，确保信息共享与协作响应。2.4信息安全培训与教育信息安全培训应覆盖全体员工，包括医务人员、技术人员、管理人员等，确保全员具备基本的安全意识与技能。培训内容应包括网络安全基础知识、数据保护、密码安全、设备使用规范等，结合案例教学提升实际操作能力。培训形式应多样化，如线上课程、线下讲座、模拟演练、考核评估等，确保培训效果可衡量与可追踪。培训需定期开展，建议每季度至少一次，结合业务需求与技术更新调整培训内容。培训成果应纳入绩效考核体系，建立培训档案，确保持续提升员工的安全意识与技能水平。第3章信息分类与分级管理3.1信息分类标准信息分类应依据《信息安全技术个人信息安全规范》（GB/T35273-2020）中的分类原则，将信息划分为公开信息、内部信息、保密信息和机密信息四类，确保信息的可追溯性和管理的针对性。信息分类需结合医疗机构的业务特性，如患者信息、诊疗记录、药品信息、设备数据等，采用“四分类法”进行细化，确保信息的完整性与安全性。信息分类应遵循“最小化原则”，仅对必要的信息进行分类，避免信息冗余或过度分类导致管理复杂化。信息分类需建立动态更新机制，定期根据业务发展和安全需求进行调整，确保分类标准与实际管理需求一致。信息分类应结合信息的敏感性、重要性及使用频率等因素，制定分级分类标准，如《医疗机构信息系统安全等级保护基本要求》（GB/T22239-2019）中提到的“三级等保”标准。3.2信息安全等级划分信息安全等级划分应依据《信息安全技术信息安全风险评估规范》（GB/T20984-2008）中的等级划分方法，将信息分为三级：基础信息、重要信息和核心信息。基础信息指对业务运行无直接影响的信息，如患者基本信息、诊疗时间等，其安全等级较低，可采用基本防护措施。重要信息指对业务运行有直接影响的信息，如电子病历、影像资料等，其安全等级较高，需采用加强级防护措施。核心信息指对业务运行至关重要的信息，如患者身份信息、诊疗记录等，其安全等级最高，需采用最高级防护措施。信息安全等级划分应结合医疗机构的业务流程和数据敏感性，参考《医疗机构信息系统安全等级保护实施指南》（WS/T6434-2012）中的标准进行实施。3.3信息访问权限管理信息访问权限管理应遵循“最小权限原则”，确保用户仅能访问其工作所需的信息，避免权限滥用导致的信息泄露。信息访问权限应通过权限模型（如RBAC模型）进行管理，实现角色与权限的对应关系，确保权限分配的合理性和可追溯性。信息访问权限应结合《信息安全技术个人信息安全规范》（GB/T35273-2020）中的访问控制要求，设置访问日志与审计机制，确保权限使用可追溯。信息访问权限应定期进行权限审查，结合《医疗机构信息系统安全等级保护实施指南》（WS/T6434-2012）中的定期评估要求，确保权限的有效性。信息访问权限管理应结合用户身份认证（如多因素认证）和授权机制，确保信息访问的安全性与合规性。3.4信息销毁与处置信息销毁应遵循《信息安全技术信息安全风险评估规范》（GB/T20984-2008）中的销毁标准，确保信息在不再需要时被彻底清除，防止数据泄露。信息销毁应采用物理销毁（如粉碎、焚烧）或逻辑销毁（如删除、格式化）方式，确保信息无法恢复，符合《医疗机构信息系统安全等级保护实施指南》（WS/T6434-2012）中的要求。信息销毁应建立销毁流程与责任机制，确保销毁过程可追溯，防止销毁不当导致的信息泄露或数据滥用。信息销毁应结合数据生命周期管理，定期对过期或不再使用的信息进行销毁，确保数据管理的合规性与安全性。信息销毁应由专人负责，确保销毁过程符合《信息安全技术信息安全事件应急处理规范》（GB/T20984-2008）中的应急处理要求，保障信息安全。第4章信息系统安全防护措施4.1网络安全防护信息系统网络安全防护应遵循“防御为主、综合防护”的原则，采用多层防护策略，包括网络边界防护、入侵检测与防御系统（IDS/IPS）、防火墙等技术手段，确保网络通信的完整性与保密性。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），网络边界应部署入侵检测系统（IDS）与入侵防御系统（IPS），实现对异常流量的实时监测与阻断。网络通信应采用加密传输协议，如TLS1.3，确保数据在传输过程中的机密性与完整性。根据《信息安全技术信息交换安全技术要求》（GB/T38509-2020），建议使用AES-256等加密算法，结合数字证书实现身份认证与数据加密。网络设备应定期更新固件与安全补丁，防止因漏洞导致的攻击。根据《网络安全法》及《信息安全技术网络安全等级保护实施指南》，建议每季度进行一次安全漏洞扫描，及时修复已知漏洞。网络访问控制应采用基于角色的访问控制（RBAC）模型，确保用户权限与操作行为的合规性。根据《信息系统安全等级保护基本要求》（GB/T22239-2019），应配置访问控制列表（ACL）与最小权限原则，防止越权访问。网络设备应配置合理的访问策略，如VLAN划分、ACL规则与端口隔离，确保不同业务系统间的数据隔离与通信安全。4.2数据加密与传输安全数据在存储与传输过程中应采用加密技术，确保数据的机密性与完整性。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议使用AES-256等对称加密算法进行数据加密，同时结合非对称加密（如RSA）实现密钥管理。数据传输应采用安全协议，如、TLS1.3等，确保数据在传输过程中的加密与身份认证。根据《信息安全技术信息交换安全技术要求》（GB/T38509-2019），建议在Web服务中启用TLS1.3，并配置强加密算法与密钥交换机制。数据存储应采用加密数据库技术，如AES-256加密的数据库文件，确保数据在未解密状态下无法被非法访问。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议对敏感数据进行加密存储，并配置访问控制策略。数据备份与恢复应采用加密存储与传输技术，确保备份数据的安全性。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议对备份数据进行加密，并采用异地容灾备份策略，防止数据丢失或泄露。数据传输过程中应配置流量加密与身份认证机制，防止中间人攻击与数据篡改。根据《信息安全技术信息交换安全技术要求》（GB/T38509-2019），建议在数据传输过程中启用、TLS等协议，并配置数字证书进行身份验证。4.3系统漏洞管理系统应建立漏洞管理机制，定期进行漏洞扫描与风险评估。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），建议使用Nessus、OpenVAS等工具进行漏洞扫描，并结合CVSS（通用漏洞评分系统）进行风险分级。漏洞修复应遵循“及时修补、分优先级处理”的原则，优先修复高危漏洞。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），建议在系统更新补丁前进行漏洞评估，确保修复过程不影响业务运行。系统安全配置应遵循最小权限原则，定期进行配置审计与加固。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），建议对系统进行定期安全检查，消除不必要的服务与权限，降低攻击面。系统日志应进行集中管理与分析，及时发现异常行为。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议配置日志审计系统（如ELKStack），对系统访问、操作等日志进行记录与分析，提高安全事件响应效率。系统漏洞管理应纳入持续安全运维流程，定期进行安全演练与应急响应预案制定。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议建立漏洞管理小组，定期进行漏洞修复与安全加固工作。4.4安全审计与监控安全审计应覆盖系统访问、操作日志、网络流量等关键环节，确保安全事件可追溯。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议采用日志审计工具（如Splunk、ELKStack）对系统日志进行集中管理与分析，实现安全事件的记录与回溯。安全监控应采用实时监测与预警机制，及时发现异常行为。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议部署入侵检测系统（IDS）与安全事件管理系统（SEMS），对系统访问、流量、日志等进行实时监控与告警。安全审计应结合安全事件响应机制，确保审计结果能够指导安全事件的处置与改进。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议建立审计报告机制，定期安全审计报告，为安全决策提供依据。安全监控应具备多维度分析能力，包括日志分析、流量分析、行为分析等，提高安全事件的识别与响应效率。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议采用驱动的安全分析工具，提升异常行为识别的准确率。安全审计与监控应纳入持续的安全运维体系，定期进行安全策略更新与系统加固。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019），建议建立安全审计与监控的标准化流程，确保安全措施的有效性与持续性。第5章信息安全管理实施与评估5.1信息安全实施计划信息安全实施计划应依据《信息安全技术信息安全管理体系术语》（GB/T22239-2019）制定，明确信息安全目标、范围、职责与时间安排，确保各层级信息安全管理措施有序开展。实施计划需结合机构的业务流程与信息资产分布，采用PDCA（计划-执行-检查-处理）循环，确保信息安全措施与业务需求同步推进。信息安全实施计划应包含信息分类、权限管理、数据加密、访问控制等关键内容，依据《信息安全技术信息分类与分级保护指南》（GB/T35273-2020）进行分类与分级管理。机构应建立信息安全实施的跟踪机制，定期评估计划执行情况，确保信息安全措施有效落地，并根据评估结果进行动态调整。实施计划需与组织的IT治理框架相结合，确保信息安全措施符合ISO27001信息安全管理体系标准的要求。5.2信息安全评估机制信息安全评估机制应通过定期审计、渗透测试、漏洞扫描等方式，评估信息安全措施的有效性，依据《信息系统安全评估规范》（GB/T22239-2019）进行量化评估。评估机制需涵盖制度建设、技术防护、人员培训、应急响应等多个维度，确保信息安全体系的完整性与有效性。评估结果应形成报告，明确存在的风险点与改进方向，依据《信息安全风险评估规范》（GB/T20984-2007）进行风险分析与评估。评估应由独立第三方机构或内部审计部门执行，确保评估结果的客观性与权威性，避免人为因素影响评估结果。评估机制应与信息安全事件响应机制相结合，确保在发生信息安全事件时能够快速定位问题、采取措施并进行事后复盘。5.3信息安全持续改进信息安全持续改进应基于PDCA循环，定期对信息安全措施进行回顾与优化，依据《信息安全管理体系信息安全风险管理体系》（GB/T22080-2016）进行持续改进。机构应建立信息安全改进流程，包括问题整改、措施优化、流程完善等，确保信息安全体系不断适应业务发展与安全需求变化。持续改进应结合信息安全事件分析、用户反馈与技术更新，确保信息安全措施与实际运行情况相匹配。信息安全改进应纳入组织的绩效考核体系，确保信息安全目标与业务目标协同推进。机构应建立信息安全改进的反馈机制，确保改进措施落实到位，并定期向管理层汇报改进成果。5.4信息安全绩效评估信息安全绩效评估应通过定量与定性相结合的方式，评估信息安全措施的实施效果与风险控制能力，依据《信息安全绩效评估规范》（GB/T22086-2017）进行评估。评估内容应包括信息资产保护水平、安全事件发生率、漏洞修复及时率、安全培训覆盖率等，确保信息安全绩效的全面性与可衡量性。信息安全绩效评估应结合机构的业务目标与信息安全策略，确保评估结果能够指导信息安全措施的优化与资源配置。评估结果应形成报告，明确绩效优劣，提出改进建议，并作为信息安全管理的决策依据。信息安全绩效评估应纳入组织的年度审计与合规检查，确保信息安全绩效持续提升并符合相关法律法规要求。第6章信息安全应急与响应6.1信息安全事件分类与响应根据《信息安全技术信息安全事件分类分级指南》（GB/T22239-2019），信息安全事件通常分为三类：系统安全事件、网络攻击事件和数据泄露事件。其中，系统安全事件包括数据丢失、系统崩溃等，网络攻击事件涉及恶意软件、DDoS攻击等，数据泄露事件则涉及敏感信息外泄。信息安全事件的响应级别依据《信息安全等级保护基本要求》（GB/T22239-2019）进行划分，一般分为四级：一般事件、较严重事件、重大事件和特别重大事件。不同级别的事件响应流程和处理时限也有所不同。事件分类与响应应遵循“先分类、后响应”的原则，确保事件能够被准确识别和及时处理。例如，根据《信息安全事件分类分级指南》，系统安全事件的响应时间应控制在2小时内，网络攻击事件则应在1小时内启动应急响应机制。事件分类应结合组织的业务系统、数据敏感程度及影响范围进行综合判断，确保分类的科学性和准确性。例如，涉及患者个人信息的数据泄露事件应归类为重大事件，以确保响应力度与资源投入匹配。信息安全事件的响应需建立标准化流程，确保各层级、各部门之间的协同配合。根据《信息安全事件应急响应指南》（GB/T22239-2019），应制定详细的事件响应预案，并定期进行演练，确保在实际事件发生时能够快速响应。6.2信息安全事件处理流程信息安全事件发生后，应立即启动应急响应机制，按照《信息安全事件应急响应指南》（GB/T22239-2019）的要求，启动相应的响应级别，明确责任人和处理流程。事件处理应遵循“报告—评估—响应—恢复—总结”五步法。上报事件信息，评估事件影响范围和严重程度，随后启动响应措施，进行事件分析和处理，最后进行事件总结和改进。事件处理过程中，应确保信息的及时传递和准确记录，防止信息失真或遗漏。根据《信息安全事件应急响应指南》，事件处理应记录事件发生的时间、地点、原因、影响范围及处理措施，形成完整的事件报告。事件处理需结合组织的应急预案和业务系统实际情况，确保处理措施符合法律法规和行业规范。例如，涉及患者隐私的数据泄露事件需在24小时内向相关监管部门报告，并采取数据加密、隔离等措施进行处理。事件处理完成后，应进行事件复盘和总结，分析事件原因，提出改进措施，并形成事件报告和改进计划，确保类似事件不再发生。6.3信息安全恢复与重建信息安全事件发生后，应根据《信息安全事件应急响应指南》（GB/T22239-2019）制定恢复计划，明确事件影响范围、恢复时间目标（RTO）和恢复点目标（RPO）。恢复过程应遵循“先恢复业务、后恢复数据”的原则，确保业务系统尽快恢复正常运行。根据《信息安全事件应急响应指南》，恢复过程应包括系统检查、数据恢复、安全验证和系统测试等步骤。恢复过程中，应确保数据的完整性、准确性和保密性，防止数据在恢复过程中被篡改或泄露。根据《信息安全事件应急响应指南》，恢复数据前应进行备份验证，确保数据可恢复。恢复后，应进行系统安全加固，防止类似事件再次发生。根据《信息安全等级保护基本要求》，应加强系统访问控制、漏洞修复和安全审计等措施，提升系统的整体安全性。恢复过程应与业务恢复同步进行，确保业务系统在恢复后能够稳定运行。根据《信息安全事件应急响应指南》，恢复时间应控制在合理范围内，避免因恢复时间过长影响业务连续性。6.4信息安全演练与培训信息安全演练是提升组织应对信息安全事件能力的重要手段，应按照《信息安全事件应急响应指南》（GB/T22239-2019）的要求，定期开展桌面演练、实战演练和应急演练。演练应覆盖事件分类、事件响应、事件处理、恢复与重建等关键环节，确保各岗位人员熟悉应急流程和应对措施。根据《信息安全事件应急响应指南》，演练应每年至少开展一次，并结合实际业务情况进行调整。培训应针对不同岗位人员进行差异化培训，确保相关人员具备必要的信息安全知识和技能。根据《信息安全等级保护基本要求》，应定期组织信息安全培训，提升员工的安全意识和操作规范。培训内容应包括信息安全法律法规、安全操作规范、应急响应流程、数据保护措施等，确保员工能够正确识别和应对信息安全事件。培训后应进行考核，确保培训效果达到预期目标。根据《信息安全事件应急响应指南》，应建立培训记录和考核机制，持续提升员工的信息安全意识和应急处理能力。第7章信息安全监督与检查7.1信息安全监督检查机制信息安全监督检查机制应建立在制度化、流程化和常态化的基础上，遵循ISO/IEC27001信息安全管理体系标准，通过定期和不定期的检查，确保信息安全制度的有效执行。机制应涵盖内部审计、第三方评估、合规性检查及风险评估等多个维度，确保覆盖所有关键信息资产和流程。检查应由具备资质的第三方机构或内部审计部门实施，以避免主观偏差，提高检查的客观性和权威性。检查结果需形成报告并反馈至相关责任部门，作为改进措施和责任追究的依据。检查频率应根据机构规模、业务复杂度及风险等级设定，一般建议每季度至少一次，重大事件后应进行专项检查。7.2信息安全检查内容与标准检查内容应包括但不限于数据加密、访问控制、日志审计、漏洞管理、员工培训及应急响应等关键环节。根据《信息安全技术个人信息安全规范》（GB/T35273-2020）要求，需对个人信息的收集、存储、使用及传输过程进行合规性检查。检查标准应参照国家信息安全等级保护制度，结合机构自身风险评估结果，制定符合本机构实际的检查指标。检查应采用定量与定性相结合的方式，如通过系统日志分析、漏洞扫描工具、人工审计等手段，确保全面覆盖。检查结果需量化评估，如系统漏洞修复率、日志审计覆盖率、培训覆盖率等，作为后续改进的依据。7.3信息安全整改与复查发现问题后，应立即启动整改流程，明确责任人、整改时限及验收标准，确保问题闭环管理。整改应符合《信息安全技术信息安全风险评估规范》（GB/T20984-2007）要求，确保整改措施有效降低风险。整改完成后，需进行复查，验证整改措施是否落实到位，确保问题真正解决。复查应由独立审核人员进行，避免整改过程中的主观偏差，提高整改质量。整改与复查应纳入年度信息安全评估体系，作为机构持续改进的重要依据。7.4信息安全监督报告与反馈信息安全监督报告应包含检查结果、问题清单、整改情况及改进建议，内容需真实、全面、客观。报告应通过内部会议、邮件或信息系统平台进行发布，确保相关人员及时获取信息。报告中应包含数据支撑，如漏洞修复率、日志审计覆盖率、培训覆盖率等，增强说服力。建立反馈机制，针对报告中的问题，及时与责任部门沟通并推动整改。报告应定期更新，形成持续改进的闭环管理，提升信息安全管理水平。第8章附则8.1术语定义本手册所称“信息安全管理”是指通过制定和实施信息安全政策、流程与措施，以保障医疗信息在采集、传输、存储、处理、销毁等全生命周期中的安全性，防止信息泄露、篡改、丢失或被非法访问。根据《信息安全技术个人信息安全规范》（GB/T35273-2020），信息安全管理应遵循最小权限原则、访问控制原则和数据分类分级管理原则。“医疗信息”指与医疗机构及其患者相关的所有电子或非电子数据，包括但不限于患者健康档案、诊疗记录、检验报告、影像资料、药品信息等。根据《医疗机构信息安全管理规范》（WS/T643-2015），医疗信息应按照“数据分类分级”进行管理，确保不同级别的信息具备相应的安全措施。“信息安全事件”是指因人为因素或技术故障导致的信息系统受到侵害，包括数据泄露、系统瘫痪、恶意攻击等。根据《信息安全事件分类分级指南》（GB/Z20986-2019），信息安全事件可划分为重大、较大、一般和较小四级，不同级别的事件应采取不同的响应措施。“信息安全管理责任”指医疗机构及其从业人员在信息安全管理过程中应承担的法律责任与管理责任，包括制定安全政策、执行安全措施、监督安全实施等。根据《医疗机构管理条例》（国务院