医院患者信息安全管理制度

医院患者信息安全管理制度第一章总则1.1立法与政策依据本制度以《中华人民共和国网络安全法》《数据安全法》《个人信息保护法》《电子病历管理规范（2022版）》《医疗卫生机构网络安全管理办法》《信息安全等级保护2.0》及《GB/T35273—2020个人信息安全技术规范》为刚性上位法，结合××省卫健委《医疗数据分类分级指南（2023修订）》与××市网信办《关键信息基础设施安全保护实施细则》制定。任何条款与上位法冲突时，以上位法为准，并在3个工作日内完成制度升版。1.2适用范围适用于××医院（含一院三区、互联网医院、医联体成员单位、第三方运维公司、科研合作单位）在采集、传输、存储、使用、共享、销毁患者信息全生命周期内的安全管理活动。患者信息定义为：能够单独或与其他信息结合识别特定自然人健康状况、遗传特征、生物识别数据、诊疗记录、费用记录、影像、检验原始数据、可穿戴设备回传数据、随访语音、视频、心理评估量表等。1.3安全目标a)零重大泄露事件：年度内不发生被监管机构定性为“特别重大”“重大”级别的数据泄露、篡改、丢失事件；b)合规率100%：每年通过国家网络安全等级保护三级测评、个人信息保护认证、HIPAA合规性审查（国际科研合作项目）；c)响应时效：高危漏洞30分钟内止血、4小时内完成补丁或补偿措施；一般漏洞72小时内闭环；d)可追溯：任何数据访问行为在审计日志中保存不少于15年，且能在10分钟内定位到操作人、终端、数据库行列级。第二章组织与职责2.1三层治理架构1)决策层：网络安全与信息化领导小组（院长任组长，分管副院长、首席信息官、法务部主任、纪检办主任为副组长）每季度召开一次数据安全专题会，对重大风险进行决策；2)管理层：数据安全办公室（设在信息中心，编制9人，设数据安全总监1名、数据保护官DPO1名、安全架构师2名、合规审计师2名、应急值守3名）负责制度落地、技术防护、合规审计；3)执行层：①科室数据安全员：每个临床、医技、职能科室设1名兼职安全员，通过院内“数据安全官”认证考试（≥90分）后持证上岗；②第三方驻场人员：外包公司、科研合作方、设备维保商须签订《数据安全责任状》，缴纳不低于合同额10%的安全保证金，发生泄露事件先行赔付。2.2岗位职责清单（RACI）以“门诊药房调用患者过敏史”为例：R（执行）药师、系统接口；A（负责）药房主任；C（协商）信息中心数据库管理员；I（知情）患者本人。任何角色变动须在24小时内更新RACI表并重新授权。第三章数据分类分级与资产清单3.1分类维度按业务属性分为：临床诊疗类、健康管理类、费用结算类、科研类、行政办公类；按敏感程度分为：核心数据（C1）、重要数据（C2）、一般数据（C3）。3.2分级规则a)核心数据（C1）：包含基因序列、HIV感染史、精神疾病评估、未成年人完整病历；b)重要数据（C2）：住院病案首页、手术记录、影像DICOM、医保结算单；c)一般数据（C3）：科室匿名化运营报表、公开健康教育文章。3.3资产清单动态维护使用自研“医数资产测绘平台”每日凌晨2:00自动扫描全网段，发现新增数据库、API、文件共享目录立即弹出工单；资产责任人需在8小时内确认并补充用途、数据类别、级别、责任人、保存期限。逾期未确认，信息中心可直接下线该资产。第四章访问控制与权限管理4.1最小权限原则所有权限基于“角色岗位场景”颗粒度，不支持单独给用户赋权。角色模板每半年复审一次，离职、转岗、进修≥7天时，系统自动冻结账号，冻结超时15日自动删除。4.2二次认证C1级数据访问必须采用“医院数字证书+动态令牌+生物特征”三因素认证；C2级数据采用“证书+令牌”双因素；C3级数据采用域账号+口令，口令长度≥12位，包含大小写、数字、特殊字符，每90天强制更换，与历史5次口令不可重复。4.3高敏操作双人审批以下场景须双人登录、双人数字签名：1)批量导出≥5000条C1数据；2)修改患者主索引（MPI）；3)科研脱敏后重新关联身份；4)数据库超级管理员提权。第五章加密与传输安全5.1数据加密矩阵a)传输加密：所有对公网开放的服务启用TLS1.3，禁用TLS1.0/1.1、SSL3.0，加密套件仅保留ECDHERSAAES256GCMSHA384等前向保密算法；b)存储加密：C1数据使用SM4XTS512位密钥加密，密钥托管在通过国家密码管理局认证的HSM（硬件加密机）；C2数据使用AES256CTR；C3数据使用AES128CBC；c)同态加密场景：AI科研团队需在密文上运行算法时，采用自研“CKKS医疗版”同态库，误差率≤0.3%，性能损耗≤5倍明文计算。5.2密钥生命周期密钥生成→备份→分发→使用→轮换→销毁全流程在HSM内完成，任何人员无法获取明文密钥。轮换周期：C1每30天、C2每90天、C3每180天。销毁时采用HSM内部物理熔断，生成销毁报告并加盖国密局电子签章。第六章数据脱敏与匿名化6.1脱敏算法库内置8种算法：1)姓名→哈希+偏移；2)身份证→保留前3后4，中间用“”替代；3)地址→行政区划保留到区县，街道门牌随机偏移5001000米；4)诊断编码→ICD10映射到类目（3位）；5)影像→去除DICOM头中患者标签，像素级添加可逆水印；6)基因→SNP位点随机掩码5%；7)费用→区间离散化到千元档；8)时间→偏移0365天，但保留相对顺序。6.2匿名化效果评估采用K匿名（K≥5）、L多样性（L≥3）、TCloseness（T≤0.2）三项指标，由科研部、信息中心、伦理委员会三方联合验证，出具《匿名化效果评估报告》后方可对外共享。第七章备份、容灾与业务连续性7.132110策略至少3份副本，2种介质，1份异地，1份离线，0错误恢复验证。RPO≤15分钟，RTO≤30分钟。7.2容灾架构生产中心（A院区）→同城双活（B院区，距离28km，光纤延迟≤2ms）→异地灾备（C院区，320km，异步复制）。每季度进行一次真实切换演练，由医务部随机抽取HIS、PACS、EMR三大系统之一，要求在30分钟内业务恢复，演练报告提交卫健委备案。第八章日志、审计与监测8.1日志标准所有系统日志遵循《GB/T366272018》医疗日志格式，必须包含：用户ID、角色、终端IP、MAC、时间（精确到毫秒）、操作类型、数据表、主键、返回行数、耗时、风险标记。8.2审计策略使用SIEM（安全信息与事件管理）平台，内置312条医疗场景关联规则，例如：“同一账号在5分钟内从2个不同城市IP登录→触发三级告警”；“非工作时间批量导出C1数据>1000条→触发二级告警”；“数据库SELECT语句出现‘UNION’+‘sleep’→触发一级告警”。8.3审计报告每月5日前自动生成《数据安全审计月报》，对高风险事件进行溯源，抄送院长、纪检办；年度审计报告需通过第三方会计师事务所出具SOC2TypeII鉴证。第九章第三方与科研合作管理9.1准入评估科研合作方须提交《数据安全能力自评表》，包含等保证书、ISO27701、员工背景调查、近3年泄露记录。评分<80分直接淘汰；8090分需限期整改；≥90分进入合同流程。9.2数据共享协议（DUA）必须明确：1)数据范围与字段级列表；2)使用目的与禁止场景；3)子处理商清单；4)泄露责任阶梯赔偿：数据条数×500元×倍数（110倍）；5)结束后7日内销毁并提交销毁视频。9.3驻场管理第三方人员统一使用“绿区终端”：无硬盘、PXE启动、数据不落地、USB端口物理封闭、屏幕水印（姓名+时间+手机号后4位）。每日离场前由保卫科进行“背包检查+金属探测+电子围栏”三重确认。第十章患者权利与知情同意10.1权利清单a)查询权：患者通过“××健康”App提交查询申请，系统30分钟内返回可查阅的加密PDF，水印包含查询编号、有效期24小时；b)更正权：发现错误后，临床医生发起“数据更正流程”，经科室主任、病案室、信息中心三方会签，留痕保存原数据与更正记录；c)删除权：非法律强制留存部分，患者可提出删除，7日内完成冷备份销毁并反馈销毁凭证；d)可携带权：提供FHIR标准结构化数据包，加密压缩后推送至患者指定邮箱或U盘，数字签名验证完整性。10.2知情同意分层门急诊：扫码电子签署《诊疗信息使用与共享知情同意书》；住院：入院72小时内由责任护士使用移动护理车当面讲解，患者手写签名+指纹；科研：单独签署《科研数据使用知情同意书》，字体≥四号，重点条款加粗，提供“一键拒绝”按钮，拒绝后不影响正常诊疗。第十一章数据出境管理11.1出境评估流程触发条件：数据物理位置、远程运维、云备份、国际多中心科研。步骤：①数据出境风险自评→②省级卫健委预审→③国家网信办安全评估→④签订标准合同→⑤在自贸区建立数据网关→⑥使用VPN+IPSec+SM9标识加密→⑦每半年回传合规报告。11.2负面清单禁止出境数据：1)基因原始测序FASTQ；2)精神类疾病完整病历；3)未成年人疫苗不良反应；4)国家疾控预警数据。第十二章安全事件应急预案12.1事件分级特别重大（Ⅰ级）：≥50万条C1数据或≥500万条C2数据泄露；重大（Ⅱ级）：≥10万条C1或≥100万条C2；较大（Ⅲ级）：≥1万条C1或≥10万条C2；一般（Ⅳ级）：其他。12.2应急响应流程1)发现→2)初判→3)10分钟内口头报告信息值班室→4)30分钟内成立应急指挥部→5)60分钟内完成隔离、取证、溯源、止血→6)4小时内发布内部通报→7)24小时内向市卫健委、网信办书面报告→8)72小时内提交《事件调查报告及整改计划》→9)7天内召开新闻发布会。12.3演练要求每半年组织一次“红蓝对抗”演练：红队：外聘安全公司，模拟社工、钓鱼、物理接触、APT；蓝队：医院数据安全办公室+保卫科+网络警察；演练目标：2小时内发现、4小时内定位、8小时内清除；演练评分<85分，扣发当年安全奖金20%，并重新演练。第十三章违规行为与责任追究13.1违规行为清单1)私设数据库、FTP、网盘；2)将工号借给他人；3)拍摄屏幕发微信群；4)泄露患者隐私牟利；5)未授权AI训练。13.2处罚阶梯首次违规：全院通报+扣发绩效2000元+强制再培训；二次违规：记过+暂停处方权/操作权30天+安全保证金全扣；三次违规：解除劳动合同，列入“医疗行业黑名单”，5年内禁止在省内医疗机构从业；构成犯罪：移交公安机关，按照《刑法》第253条之一追究刑事责任。13.3连带责任科室月度内发生2人次违规，取消科室年度评优，科主任安全奖金全扣；第三方公司违规，除赔偿外，立即终止合作，2年内禁止参与医院任何招标。第十四章安全培训与考核14.1培训体系新员工入职：8学时线上+2学时实操（模拟泄露场景自救）；在职员工：每年12学时，其中4学时须为“情景沙盘”对抗；第三方人员：入场前4学时+每季度再培训2学时；高管：每年参加一次国家级医疗数据安全峰会并提交心得。14.2考核机制采用“线上理论+靶场实操”双合格制：理论≥90分且实操在30分钟内完成漏洞修复方可通过；未通过人员补考一次，再不合格调离涉数据岗位；培训记录与考核成绩纳入职称晋升、干部竞聘必要条件。第十五章技术防护体系15.1网络分区核心数据区（C1）：物理机+白名单+微隔离；重要数据区（C2）：虚拟机+防火墙+IPS；一般数据区（C3）：公有云+VPC+WAF；互联网出口：部署2台IPS+1台APT沙箱+1台全流量探针，实现“一朵云、一张网、一平台”统一管控。15.2零信任架构所有访问默认拒绝，基于身份、设备、环境、行为四维动态评估信任分数；低于80分触发二次认证，低于60分直接拒绝并锁定账号；采用SDP（软件定义边界）网关，隐藏所有C1、C2区真实IP。15.3AI异常行为检测利用LSTM+孤立森林混合模型，训练样本包括最近3年共18亿条日志；模型输出风险分值>0.85自动阻断会话，并弹出人脸识别验证；误报率控制在0.3%以内，每日人工复核不超过10例。第十六章合规审计与持续改进16.1PDCA循环Plan：年初制定《数据安全年度目标责任书》，层层签订；Do：每季度滚动更新制度、基线、流程；Check：内部审计+第三方审计+监管部门飞行检查；Act：对发现问题使用“8D报告”方法，30天内完成纠正预防措施。16.2量化指标制度条款覆盖率100%；高危漏洞修复率100%；员工培训完成率≥98%；患者投诉率≤0.05%；数据出境合规事件0起。第十七章工作总结（2023年度真实案例）实施单位：××医院信息中心数据安全办公室团队规模：9名全职+62名科室安全员时间周期：2023年1月1日—12月31日使用工具：1)自研“医数资产测绘平台”V3.2；2)商业SIEM“SplunkEnterprise”+自研医疗规则包；3)同态加密库“CKKSmedical”开源版；4)培训靶场“MedSecLab”含3