医疗机构信息管理制度

医疗机构信息管理制度第一章总则与法律依据1.1制度目的本制度以《中华人民共和国基本医疗卫生与健康促进法》《网络安全法》《数据安全法》《个人信息保护法》《电子病历管理办法（2021版）》《医疗卫生机构网络安全管理办法》为刚性上位法，通过建立“全生命周期、全岗位覆盖、全技术防护”的医疗机构信息管理机制，实现“数据可用不可见、流程可溯不可改、权限最小且动态、事件可防又可审”的四项目标，确保医疗业务连续、患者隐私安全、科研数据可信、监管审计合规。1.2适用范围覆盖本院所有院区、社区中心、互联网医院、医联体协作单位、第三方运维及外包服务商；适用对象包括正式职工、规培生、进修生、实习生、科研合作者、设备厂商驻场人员。1.3关键定义（1）敏感个人信息：含患者生物识别、遗传信息、性病、精神疾病、药瘾、HIV等一旦泄露可能导致歧视或严重危害的信息。（2）核心数据：电子病历、影像原始DICOM、实验室基因测序数据、医院运营财务报表、药品耗材招标价格。（3）业务连续性事件：信息系统中断≥15min、影响门急诊挂号收费≥50人次、住院医嘱无法下达≥30min。第二章组织与职责2.1信息管理委员会（IMC）院长任主任委员，分管副院长、首席信息官（CIO）、法务、医务、护理、财务、医保、纪检、审计、科研、设备、后勤、保卫等部门负责人为委员；下设“数据安全办公室”（挂靠信息中心），编制8人，含数据安全官（DSO）1名、隐私官（DPO）1名、网络安全专家2名、临床数据治理专员2名、合规审计2名。2.2三级责任网格（1）决策层：IMC每季度审议数据安全KPI，对重大事件一票否决。（2）管理层：信息中心负责技术落地；医务部负责业务流程；法务与纪检负责违规追责。（3）执行层：科室设“信息安全员”，与护士长、科秘书形成“铁三角”，承担日常巡查、权限清理、事件初报。2.3外部协同与市公安局网安支队、市卫健委信息中心、省大数据中心、国家医保信息平台建立“7×24小时”联络热线；与三家云服务商、两家运营商、一家容灾外包商签署《数据处理协议》（DPA），明确保密、审计、违约赔偿条款。第三章数据分级分类与资产清单3.1分级标准采用“二维矩阵”法：敏感度（低L、中M、高H、极敏S）×业务重要性（一般A、重要B、核心C）。SC级数据实行“国密算法加密+物理隔离+双人双锁”；LA级数据可用“AES256+普通防火墙”防护。3.2资产清单每季度由DSO牵头，使用自研“医资通”扫描工具对全网IP、数据库、中间件、IoT医疗设备进行自动发现，生成《信息资产台账》，字段含：资产编号、名称、型号、序列号、责任人、安全等级、补丁等级、上次漏洞扫描日期、下次报废日期。台账与财务固定资产系统对接，差异率≤0.5%。3.3数据Owner制度临床科室主任为本科室生产数据Owner，护理部为护理数据Owner，财务总监为财务数据Owner；Owner拥有“定义数据用途、审批跨部门共享、决定销毁或延长保留”三项实权，同时承担“分类错误罚款500元/条、泄露事件分级追责”义务。第四章权限与账号管理4.1账号生命周期流程（1）入职：HR在OA发起流程→信息中心2h内创建唯一主账号（UID）→短信+企业微信双因子告知初始密码→首次登录强制绑定国密Ukey。（2）转岗：原科室信息安全员在4h内提交《权限变更单》→RBAC系统根据新岗位角色模板自动回收多余权限→保留30天审计日志。（3）离职：HR发“离职预警”→信息中心立即禁用AD、VPN、VDE、EMR、PACS、LIS、RIS、HRP、OA、邮箱、门禁、人脸库→3天内完成数据移交→7天内删除或匿名化。4.2最小权限细则医生：仅可查看本科室在院患者；跨科会诊需发起“电子申请→患者授权→医务部审批”三级流程；夜间急诊开放“临时突破”权限6h，次日8:30自动回收并生成审计报告。4.3特权账号治理数据库DBA、网络超级管理员、云平台root账号纳入“堡垒机+金库模式”，任何操作需“事前申请、双人授权、事中录屏、事后审计”；每月由纪检抽取10%录屏进行合规性复核，发现违规命令立即冻结账号并启动问责。第五章数据采集与质量治理5.1源头标准化门诊病历采用“结构化点选+语音AI转写”双通道，禁用自由文本超过50字；检验项目执行国家卫健委WS/T4452014代码；药品编码使用国家医保局2021版编码；手术编码采用ICD9CM34位码+院内扩展2位。5.2质量校验引擎部署“扁鹊DQ”系统，设置127条质控规则：①逻辑类：男性患者不可录“卵巢癌”诊断；②时间类：手术结束时间不得早于开始时间；③范围类：新生儿体重300g–6000g；④缺失类：主诉为空则无法点击“保存”。质控结果实时弹窗，医生必须于2min内修正，否则病历无法打印。5.3数据质量KPI每月生成《数据质量月报》，指标：（1）病历24h完成率≥98%；（2）检验结果异常值复核率≥99.5%；（3）手术记录48h归档率≥97%；（4）主诊断与检验、影像符合率≥96%。未达标科室扣减绩效2%，连续两月垫底由医务部约谈科主任。第六章存储与传输安全6.1存储加密SC级数据采用SM4GCM加密，密钥托管于国家卫健委“医疗行业密钥管理系统（MHKMS）”；影像热数据保存SSD池90天，温数据转SATA池2年，冷数据进蓝光光盘库15年；所有存储池启用“WORM+双因子删除”，防止勒索病毒篡改。6.2传输加密内网：启用MACsec802.1AE，交换机到终端“链路级”加密；外网：互联网医院APP采用mTLS1.3+国密SM2证书，双向验签；远程影像会诊：使用IPSecVPN+SM4加密，带宽≥50Mbps，延迟≤80ms；移动查房：护士PDA通过5G专网（UPF下沉院区）接入，启用“切片+SIM卡绑定+IMEI白名单”。6.3备份与容灾采用“3211”策略：3份副本、2种介质、1份异地、1份离线。每日23:00自动快照，RPO≤15min；每周六全量备份到60km外异地机房，带宽10Gbps，加密传输；每季度进行“实战级”容灾演练：关闭主数据中心，90min内由异地接管全部业务，门急诊系统恢复时间RTO≤30min。第七章使用、共享与开放7.1内部共享建立“医疗数据湖”，采用“逻辑隔离+脱敏”方式：①科研申请：PI提交《科研数据使用申请表》→伦理委员会5日内审批→DSO脱敏（K匿名k≥5、ldiversityl≥3）→输出到“沙箱”环境，禁止下载，仅允许R语言、PythonJupyter远程调用；②临床大数据AI训练：使用联邦学习框架（FATEv1.9），原始数据不出域，仅交换梯度，模型ROC≥0.92方可上线。7.2外部共享与医联体单位通过“医疗区块链联盟（HyperledgerFabric）”实现电子病历跨院调阅；患者授权采用“人脸识别+短信验证码+数字签名”三重认证；链上仅保存索引哈希，病历原文仍保存在源机构，防止二次泄露。7.3商业合作与药企、保险公司合作需经院长办公会“一事一议”，签署三方协议，明确“数据不出境、收益按比例回馈医院科研基金、合作成果公开发表须署名医院”；禁止直接出售可识别数据，违者按《个人信息保护法》第66条顶格处罚。第八章患者权利与知情同意8.1告知方式门诊挂号小票、住院腕带、互联网医院APP弹窗、官网显著位置同时发布《患者信息收集与使用声明》；提供72h冷静期，患者可无条件撤回授权。8.2权利行使通道设立400120XXXX隐私热线和“隐私驿站”线下窗口；患者提出查阅、复制、更正、删除请求后，工作人员须在15min内完成身份核验，3个工作日内给出书面答复；紧急情况下（如抢救）可先行使用，抢救结束后24h内补告知。8.3未成年人与特殊人群14周岁以下儿童数据操作需监护人双签名；精神疾患无行为能力者由法院指定监护人行使权利；艾滋病患者信息查阅需市级疾控中心书面同意。第九章审计、监测与事件响应9.1日志规范网络设备、操作系统、数据库、业务系统、IoT设备统一送syslog到“医疗SIEM平台”，格式遵循RFC5424，时间同步到国家授时中心，误差≤1s；日志保存≥6年，不可改写。9.2审计策略每日自动比对“越权查看明星患者”行为：凡单日内调阅非本科室患者≥20例、且80%为同一身份证号段（如娱乐明星、运动员）立即触发“红色预警”，DSO1h内电话通报纪检，24h内提交调查报告。9.3事件分级与响应IV级（轻微）：泄露<50条、无敏感信息，科室2h内处置；III级（一般）：泄露50–1000条或含敏感信息，启动“黄色预案”，12h内上报市卫健委；II级（严重）：泄露>1000条或含S级数据，启动“橙色预案”，1h内上报省卫健委、网安支队，72h内完成受害者补偿方案；I级（特别严重）：>10万条或造成死亡、重大舆情，启动“红色预案”，30min内上报国家卫健委、工信部，成立“院长级”应急指挥部，必要时请求国家网络安全应急响应中心（CNCERT）支援。第十章培训与考核10.1年度培训计划新员工入职100%线上学习《医疗数据合规36课》+线下4h情景演练；医生规培增加“隐私病例”OSCE考站；后勤外包人员观看《保洁员如何防止偷拍》微课并考试≥90分方可上岗。10.2考核机制采用“积分罚款晋升”三挂钩：（1）积分：参加国家级CISPPIP（个人信息保护）认证通过奖励5分，与职称晋升挂钩；（2）罚款：泄露1条S级数据罚款5000元+暂停处方权1个月；（3）晋升：信息员年度考核前10%优先推荐为副护士长或科秘书。10.3演练案例（2023真实记录）2023年9月14日14:30，信息中心通过“钓鱼邮件模拟平台”向4523名员工发送“新冠补贴领取”钓鱼信，点击率8.7%；随后立即推送30s微课，再次测试点击率降至1.2%；全年平均点击率1.8%，低于行业平均12%，达到预期。第十一章技术防护细则11.1网络微分段全网采用SDN技术，按“科室+设备类型+风险等级”划分512个VXLAN网段；默认DENYALL，策略变更通过工单，经科室主任、信息中心、保卫科三方审批。11.2零信任架构2024年完成“多云零信任”改造，所有应用先认证、后连接、再授权；终端安装EDR代理，进程白名单+AI行为分析；异常进程（如mimikatz）10s内自动隔离。11.3医疗设备安全对327台CT、MRI、超声、内镜IoT设备建立“白名单+漏洞画像”：①与厂商签署《医疗设备安全维保补充协议》，要求提供3年内固件升级计划；②每季度使用“MDscan”工具探测1433、3389、23、80等高危端口，发现开放立即通报设备科停电维修；③2023年阻断勒索病毒对PACS服务器的加密行为2次，实现0业务中断。第十二章外包与供应链安全12.1准入评估外包商须通过“医疗数据安全能力成熟度模型（MDSCMM）”三级认证；提供近3年无重大数据泄露事件的保险公司担保证明；源代码托管到第三方“代码escrow”机构。12.2合同控制合同中设置“最严格条款”：①违约金为合同金额50%，上不封顶；②数据泄露后24h内未通知医院，按10万元/小时累加罚金；③医院有权对其实施“飞行检查”，外包商须无条件开放堡垒机、SIEM日志。12.3退出机制合同终止后30天内完成数据清除，提交“不可恢复”第三方检测报告；由医院、外包商、公证处三方现场粉碎硬盘并录影存档；未履约者列入“医疗行业黑名单”，5年内禁止参与任何项目。第十三章科研与伦理合规13.1伦理审批流程研究者→科室科研秘书→伦理办公室（形式审查3日）→外部专家2人盲审→伦理委员会每月15日例会表决；涉及基因、胚胎、艾滋病研究须国家卫健委科技司备案。13.2数据脱敏技术采用“k匿名+ldiversity+tcloseness”组合算法；对自由文本使用“命名实体识别+BERT+同义词替换”自动脱敏，准确率97.3%；脱敏后由DPO人工抽检5%，发现可识别信息立即返工。13.3成果归属凡使用医院数据发表的SCI论文，第一署名单位必须为“××医院”，并标注“DataAccessStatement：Thedataareavailableunderrestrictedaccessduetoprivacyprotection,andaccesscanbegrantedthroughthecorrespondingauthorwithethicalapproval.”违者冻结科研账户并追回经费。第十四章数据销毁与退役14.1销毁场景（1）超过保存期限：门急诊病历≥15年、住院病历≥30年、影像≥15年、财务≥10年；（2）患者撤回授权；（3）科研数据使用到期；（4）存储硬件报废。14.2销毁方法软件：使用“医消宝”工具，对硬盘逐扇区覆写3次，符合DoD5220.22M标准；物理：使用“硬盘粉碎机（颗粒≤3mm）”，现场称重并生成“粉碎重量=接收重量”闭环；光盘：使用“光盘研磨机”，研磨后颗粒≤1mm；云端：调用云商“不可逆删除API”，返回删除指纹哈希，保存1