医疗机构信息安全管理制度

医疗机构信息安全管理制度第一章总则1.1立法与政策依据本制度以《网络安全法》《数据安全法》《个人信息保护法》《基本医疗卫生与健康促进法》《电子病历管理规范（2022版）》《医疗卫生机构网络安全管理办法》（国卫办规划发〔2022〕8号）为刚性上位法，并直接对接《GB/T222392019信息安全技术网络安全等级保护基本要求》《GB/T284482019等级保护测评要求》《GB/T352732020个人信息安全技术规范》三项国家标准，确保任何内部条款出现冲突时，以国家标准为最低底线、以行业规范为补充。1.2适用范围本制度覆盖××市××医院（以下简称“本院”）本部、两所分院、互联网医院、医联体成员单位及全部第三方驻场运维公司；适用对象包括正式职工、规培生、研究生、实习生、外包人员、设备供应商驻场代表及临时访客。1.3信息安全目标a)年度可用性≥99.95%，计划外停机≤4小时/年；b)核心系统RPO≤15分钟、RTO≤30分钟；c)数据分类分级覆盖率100%，敏感字段加密率100%；d)重大及以上级别安全事件0起；e)患者个人信息泄露事件0起。1.4基本原则最小权限、职责分离、可审计、可回溯、先审批后操作、先评估后上线、先备份后变更、默认拒绝。第二章组织与职责2.1信息安全管理委员会（以下简称“安委会”）院长任主任，分管信息化副院长任常务副主任，成员包括医务部、护理部、门诊部、财务科、医保办、设备科、后勤科、信息中心、法规科、纪检监察室负责人。安委会每季度召开一次正式会议，遇重大事件可临时召集。2.2信息安全办公室（以下简称“安信办”）编制8人，设在信息中心下，但独立考核。具体岗位与分工：a)安全总监1名（医院中层正职），直接向院长汇报；b)安全架构师1名，负责总体技术路线；c)渗透测试与红队2名；d)安全运维与日志分析2名；e)合规与风险管理1名；f)数据安全与隐私保护1名。2.3业务部门信息安全员（“安全网格员”）每个临床、医技科室及职能科室设置1名安全网格员，由科室推荐、安信办考核后聘任，给予每月500元岗位津贴。职责：用户权限初审、科室终端台账维护、事件第一响应、月度自查报告。2.4第三方公司所有驻场外包须签订《信息安全与保密协议（2024版）》，并缴纳不低于合同金额10%的信息安全保证金。外包人员实行“白名单+门禁+双因子”管理，离场即时注销一切账号。第三章数据分类分级与资产清单3.1数据分类按业务属性划分为：患者诊疗数据、医院运营数据、科研数据、教学数据、行政办公数据、日志审计数据六类。3.2数据分级统一采用“四级五层”模型：L1公开层：医院官网科室介绍、出诊信息；L2内部层：内部通知、培训视频；L3敏感层：员工通讯录、供应商合同；L4核心层：电子病历、医学影像、支付记录；L4+极密层：涉疫情特殊患者信息、重大公共卫生事件数据。3.3资产清单安信办维护《信息资产总库》，字段包括：资产编号、名称、IP/域名、责任人、分级、上线时间、上次漏洞扫描时间、等保定级、是否含患者个人信息、备份策略、报废日期。资产变更必须在3个工作日内更新，否则视为违规。第四章访问控制与账号管理4.1账号生命周期流程：申请→科室安全网格员初审→业务部门负责人审批→安信办复核→开通→90天复查→离职/转岗即时注销。所有环节在ITSM系统留痕，保存日志≥5年。4.2权限模型采用RBAC+ABAC混合：a)RBAC：医生、护士、药师、技师、行政、财务六类角色模板；b)ABAC：在角色模板基础上叠加属性策略，如“仅允许本院注册医生在住院部网段08:0018:00访问在院患者数据”。4.3高敏账号对数据库DBA、网络超级管理员、安全设备root三类高敏账号实行“三员分立”：1.授权员：安信办总监；2.操作员：具体运维；3.审计员：纪检监察室指定人员。任何高敏操作必须双人临场，使用一次性密码（OTP）+硬件Token，全程录屏并写入“关键操作票”。4.4密码策略长度≥14位，含大小写、数字、特殊字符；禁止连续或重复3字符以上；每90天强制更换；新密码不得与最近12次重复；连续输错5次锁定15分钟；重要系统须使用国密SM2动态令牌或FIDO2生物key。第五章网络安全域与边界防护5.1网络分区a)互联网接入区：互联网医院、官网、邮件；b)外联单位区：医保、卫健委、CDC、银行；c)内网办公区：行政、财务、人事；d)临床网：医生站、护士站、EMR、PACS；e)设备网：CT、MRI、超声、监护仪；f)开发测试区；g)灾备区。5.2边界控制各区间采用下一代防火墙+IPS+防病毒“三位一体”，策略默认denyall，白名单端口≤5个；区间互访须走SSLVPN或IPSecVPN并开启国密算法套件。5.3微隔离临床网与设备网之间部署基于主机的微隔离组件（Agent），对每一台终端和医疗设备按“IP+端口+进程”三元组最小化授权，策略变更需安信办总监书面批准。5.4无线安全院内WiFi统一采用WPA3Enterprise，禁用PSK；访客网络与办公网络物理隔离，访客上网须短信实名认证，带宽限速2Mbps，会话超时30分钟。第六章终端与邮件安全6.1终端基线所有Windows终端必须安装天擎EDR，开启BitLocker全盘加密，USB端口默认禁用，需临时使用走OA流程审批，限时8小时。6.2邮件安全院外邮件统一走医院云邮网关，开启SPF、DKIM、DMARC；对含“患者姓名+诊断”等关键词的邮件强制延迟审计30分钟；外发附件大于5MB自动转加密链接，有效期72小时。6.3打印与刻录高敏数据打印需刷卡输出，打印日志保留3年；刻录采用一次性光盘，须登记刻录人、用途、份数，光盘表面贴医院专用防篡改标签。第七章应用安全与上线流程7.1安全开发生命周期（SDL）需求阶段：完成《安全需求清单》与隐私影响评估（PIA）；设计阶段：威胁建模，使用STRIDE方法输出报告；编码阶段：强制使用医院源码托管GitLab，开启SAST，高危漏洞修复率100%方可提交测试；测试阶段：由安信办红队执行灰盒渗透，中危及以上漏洞修复并复测通过后方可申请上线；上线阶段：提交《安全上线审批表》，附第三方安全测试报告、等保测评通过证明、应急预案；运行阶段：每季度滚动渗透一次，年度红蓝对抗一次。7.2外包软件凡采购HIS、LIS、PACS、RIS、EMR、手麻、移动护理等核心业务系统，合同中必须加入“安全责任不减免”条款，源代码托管至医院指定第三方保管库（Escrow），供应商每年缴纳不少于合同金额5%的漏洞保证金，高危漏洞未在24小时内响应即扣除。第八章数据加密与密钥管理8.1加密场景传输：所有对外接口启用TLS1.3，优先使用国密SM2双证书；存储：L4及以上数据使用SM4CBC256bit加密，数据库TDE透明加密必须开启；备份：备份文件采用GPG对称加密，密钥长度256bit，加密后再写入磁带库。8.2密钥生命周期密钥生成：使用经国密局批准的硬件密码机（HSM）；密钥分发：采用KMIP协议，加密通道点对点；密钥轮换：加密数据密钥（DEK）每季度轮换一次，主密钥（MK）每年轮换一次；密钥销毁：参照NISTSP80088进行物理粉碎并出具销毁证明。8.3密钥管理人员设“密钥管理员”A、B角，A角负责操作，B角负责保管SafeDepositBox内分割密钥，任何单人无法完成密钥重建。第九章日志、审计与监控9.1日志分类系统日志、安全日志、应用日志、审计日志、流量日志、行为日志。9.2日志留存L1层≥6个月，L2L3≥1年，L4及以上≥5年；所有日志写入医院SIEM，采用WORM（一次写入多次读取）磁盘阵列，防止篡改。9.3审计频率每日自动审计：异常登录、暴力破解、权限提升、大量导出；每周人工审计：高敏账号、数据库DDL操作、防火墙策略变更；每月合规审计：对标等保2.0控制点，输出差距报告；每年第三方审计：邀请具有CNAS资质的机构进行独立审计。9.4监控告警采用“三域三级别”模型：域：互联网、内网、工控；级别：低危（邮件通知）、中危（企业微信推送+短信）、高危（电话+钉钉群+启动应急响应）。告警须在30分钟内“认领”，2小时内完成初步处置，24小时内闭环。第十章备份与灾难恢复10.1备份策略核心HIS数据库：实时同步+快照每4小时+每日全量+每月磁带离线；PACS影像：采用对象存储多副本+每日增量+每季度蓝光光盘冷备；虚拟机：vSphereReplication，RPO≤15分钟，保留点≥48个；备份数据加密、压缩后异地传输至50km外电信钻石五星级机房。10.2恢复演练每季度进行一次部分恢复演练，每年一次完整业务切换演练；演练前48小时通知安委会，演练后24小时内提交《演练总结报告》，包含RTO/RPO实际值、问题清单、改进计划。10.3灾备等级a)第1级：双活数据中心，网络层、存储层、应用层全冗余；b)第2级：热备，30分钟内可切换；c)第3级：温备，4小时内可启用；d)第4级：冷备，24小时内可启用。本院HIS、EMR、PACS、互联网医院必须达到第1级，其他系统不低于第2级。第十一章事件管理与应急响应11.1事件分级特别重大（Ⅰ级）：国家级影响或>50万条患者记录泄露；重大（Ⅱ级）：省级影响或1050万条记录泄露；较大（Ⅲ级）：地市影响或110万条记录泄露；一般（Ⅳ级）：院内影响或<1万条记录泄露。11.2响应流程1.发现：任何员工发现异常，5分钟内电话通知安信办7×24小时值班手机；2.定级：值班工程师15分钟内初步定级，30分钟内通报安全总监；3.封控：对疑似失陷主机立即隔离，对高危账号立即禁用；4.取证：使用FTKImager制作磁盘镜像，使用Wireshark抓包，全程录像；5.溯源：结合SIEM、EDR、防火墙日志，输出攻击链Timeline；6.处置：清除木马、补丁加固、策略优化；7.恢复：在备用环境验证干净备份后切换流量；8.Ⅰ、Ⅱ级事件2小时内口头上报市卫健委、市公安局网安支队，24小时内提交书面报告；9.复盘：事件结束后3个工作日内召开复盘会，输出《改进清单》，责任到人，限期整改。11.3应急队伍建立“1+6+30”模式：1名总指挥（院长），6名领域专家（网络、系统、应用、数据、物理、后勤），30名技术骨干。每年进行不少于16小时实战演练，含钓鱼邮件模拟、勒索病毒沙盘、医疗物联网设备劫持等场景。第十二章个人信息与隐私保护12.1最小够用原则任何系统采集患者信息须通过伦理委员会和网信办双审批，禁止过度采集；人脸识别仅用于门禁，不得与患者ID绑定。12.2去标识化科研导出数据须使用k匿名（k≥5）+差分隐私（ε≤1），由信息伦理委员会审核；导出文件写入加密移动硬盘，使用后48小时内销毁。12.3患者权利响应设立“患者个人信息服务窗口”，电话、微信小程序、现场三通道；患者提出查阅、更正、删除、复制、撤回同意等请求时，须在15日内完成并反馈。12.4跨境传输禁止任何含有患者个人信息的数据出境；科研合作确需向境外传输去标识化数据，须通过市卫健委、网信办双评估，并签订标准合同（SCC）后方可实施。第十三章外包与供应链安全13.1供应商准入建立“网络安全准入清单”，要求提供近2年内无重大数据泄露事件的证明、等保测评报告、软件成分分析（SBOM）报告；得分≥85分方可入围。13.2合同安全条款必须包含：漏洞响应SLA（高危24小时、中危72小时、低危2周）、源代码托管、违约金（最高可达合同金额30%）、不可抗力定义（将“勒索软件攻击”排除在不可抗力之外）。13.3远程运维采用“医院堡垒机+VPN+录屏”三重控制；运维窗口固定在工作日14:0017:00，任何超范围操作须重新审批；运维结束后由科室安全网格员确认业务正常方可离场。第十四章物理与环境安全14.1机房建设符合《GB501742017A级》标准，双路市电+2NUPS+柴油发电机，电池后备≥30分钟；机柜前后门智能锁，指纹+IC卡双因子；温度22±2℃，湿度45%55%，全年不可用时间<0.4小时。14.2视频监控机房内摄像头≥200万像素，无死角，录像保存≥3个月；门禁系统与视频联动，任何非法闯入即时触发110联网报警。14.3医疗设备防盗重点设备（CT、MRI、DSA）加装RFID标签，与医院资产管理系统对接；一旦设备离开划定区域≥50米，即时短信通知保卫科。第十五章安全教育与培训15.1入职培训新员工报到后3个工作日内完成“信息安全+隐私保护”2小时在线学习，得分≥90分方可开通账号；外包人员同等要求。15.2年度再培训全员每年4学时，医生、护士、外包分类定制内容；采用钓鱼邮件模拟测试，点击率>5%的科室，扣发科室绩效2%。15.3专业认证鼓励技术人员考取CISP、CISSP、CISA、ISO27001LA；医院报销100%考试费用，取得证书后给予一次性奖励3000元。第十六章合规检查与考核16.1检查方式日常抽查（每日）、月度巡查、季度普查、年度第三方测评；采用“四不两直”方式：不发通知、不打招呼、不听汇报、不用陪同接待、直插