医院分级授权管理制度

医院分级授权管理制度第一章总则1.1立法依据本制度以《中华人民共和国基本医疗卫生与健康促进法》《医疗机构管理条例》《医疗质量管理办法》《医疗纠纷预防与处理条例》《信息安全技术网络安全等级保护基本要求》（GB/T222392019）以及国家卫生健康委《2021—2025年医疗质量安全改进目标》为直接上位法，结合本院《章程》《医疗质量与安全管理委员会工作规则》制定。1.2适用范围本制度所称“分级授权”是指对医院内部所有信息系统、医疗业务、财务、人事、科研、采购、后勤、宣传、数据出境等9大域312类操作，按照“最小必要、权责对等、动态调整、全程留痕”原则，实行用户—角色—权限三级映射管理。适用对象包括：a.本院在编、合同、进修、实习、规培、科研助理、外包驻场、设备维保、第三方检验/影像/配送人员；b.远程医疗协作单位、互联网医院、医联体成员单位接入账号；c.临时学术会议、应急演练、公共卫生事件外援专家组账号。1.3核心定义（1）“授权”：指信息科或人事科在授权管理系统（HRPAMS3.2）中为用户分配角色并绑定权限集合的行为。（2）“再授权”：指科室负责人依据本制度将本人角色中的部分权限二次下放给本科室其他用户，但不得再向下传递。（3）“越权”：指用户操作超出当前有效权限集合，无论是否造成后果，均视为重大安全隐患。（4）“僵尸账号”：指连续90天无登录且无正当理由的账号。（5）“敏感权限”：包含①电子病历修改/删除；②处方权（含麻醉、精神、抗菌药物分级）；③财务退款、折扣、坏账核销；④科研受试者随机化揭盲；⑤核心数据库批量导出；⑥等级保护三级以上系统管理员账号。第二章组织与职责2.1医院网络安全与信息化领导小组（下称“领导小组”）主任委员：院长；副主任委员：分管信息副院长；常设办公室在信息科。职责：a.审定年度授权策略、敏感权限清单、例外审批口径；b.对重大越权事件、数据泄露事件作出行政处理决定；c.每季度听取授权管理审计报告，对高风险科室进行约谈。2.2授权管理办公室（AMO）挂靠信息科，编制5人：主任1（信息科副科长兼）、授权管理员2、审计员2。职责：a.维护HRPAMS3.2，制定角色模板、权限字典；b.每月5日前输出《账号生命周期月报》；c.对敏感权限申请进行技术复核、留档15年；d.组织年度“越权攻防演练”，覆盖率100%。2.3科室授权管理员（DepartmentAuthorizationAdministrator，DAA）每个临床、医技、职能科室设1名，由科室副主任或护士长担任，名单每年1月报AMO备案。职责：a.初审本科室用户权限申请，确保与岗位职责匹配；b.每周五在科室晨会通报“僵尸账号”清理情况；c.发现越权30分钟内向AMO书面报告。2.4医务部、护理部、财务部、药学部、科研科、设备科、后勤保障部按照“谁主管谁负责”原则，对分管业务域的权限合理性负主体责任，需指定1名部级联络员参与月度权限评审会。第三章授权分级模型3.1角色分层L0访客（Guest）：仅查看公开科普信息；L1实习/进修生（Intern）：在带教老师账号的“双人登录”模式下书写病历，无独立处方权；L2初级医师（Junior）：取得执业医师证且在本院注册，授予一般处方权、检查申请权；L3中级医师（Senior）：主治医师及以上，含抗菌药物二级处方权、手术操作≤三级；L4副高及以上（Chief）：含抗菌药物三级、麻醉第一类精神药品处方权、四级手术主刀；L5科室负责人（Head）：可查看科室运营数据、再授权L1L3级权限；L6职能部门主管（Director）：跨科室数据查询、审批流程配置；L7院级领导（VP）：含人力资源、财务战略、科研伦理审批；L8系统管理员（Admin）：仅信息科3人，拥有后台超级权限，须双人双岗。3.2权限颗粒度系统权限拆分为“功能数据时间地点”四维：功能：按钮级，如“病案首页→诊断编码修改”；数据：患者级、科室级、院区级、全院级；时间：工作日8:0018:00、周末、节假日、夜班；地点：内网终端、互联网医院、VPN、移动查房平板。3.3敏感权限清单（2024版）共47项，实行“年度白名单+动态追加”机制，清单外权限一律不得上线。新增敏感权限须走“科室申请→AMO技术评估→领导小组投票→院长办公会纪要”四步，投票通过率≥2/3方可生效。第四章授权生命周期管理4.1账号开立（1）人事科在员工报到2小时内推送入职事件至HRPAMS；（2）AMO根据岗位说明书自动匹配默认角色；（3）用户首次登录须绑定CA证书、人脸识别、手机动态码；（4）账号初始密码16位随机，强制修改，历史12次不可重复；（5）账号激活30分钟内，系统推送《用户告知书》至企业微信，阅读回执100%归档。4.2权限申请流程：用户发起→DAA初审→部级联络员复审→AMO技术复核→分管领导审批→系统生效。时限：普通权限3个工作日，敏感权限5个工作日，应急权限2小时内。材料：①《权限申请表》电子签章；②岗位职责说明书；③培训合格证书（信息安全+业务技能）；④再授权需附《再授权协议书》。4.3权限变更a.岗位调整：人事科发起“岗位变更事件”，原权限冻结24小时，新权限重新走流程；b.职称晋升：每年8月统一批量处理，系统比对市卫健委职称库，自动触发晋升后角色；c.临时任务：如对口支援、抗疫医疗队，使用“项目角色”模板，到期自动回收。4.4权限回收触发条件：①离职；②退休；③岗位调整；④越权；⑤账号异常；⑥项目结束。回收动作：T+0分钟：账号停用，VPN证书吊销；T+6小时：删除所有角色，保留操作日志15年；T+24小时：回收终端USBKey、工牌、门禁；T+72小时：AMO出具《权限回收报告》，抄送审计科、财务科（防止“吃空饷”）。4.5账号休眠与清理连续30天未登录：系统弹窗提醒；连续60天：推送至DAA，要求书面说明；连续90天：自动降为“休眠”，保留数据但禁止登录；连续180天：AMO报领导小组审批后永久删除，删除前7天短信+邮件双提醒。第五章敏感权限管控细则5.1电子病历修改仅L4及以上可申请“病历修正”角色，且必须满足：a.患者出院72小时内；b.修正痕迹留痕，原记录不可覆盖，采用国密SM3哈希校验；c.每次修正须填写《病历修正原因单》，打印后存入病案室；d.同一患者单份病历累计修正≥3次，自动触发质控科现场核查。5.2抗菌药物分级系统内置抗菌药物分级目录（2024版），与药监局实时同步。L2：非限制使用级；L3：限制使用级；L4：特殊使用级，须填写“特殊使用级抗菌药物申请单”，系统强制调用药师会诊接口，会诊药师L4及以上，同意后方可保存。5.3麻醉、第一类精神药品实行“双签+指纹+视频监控”：开方医师L4；配药护士L3且取得麻醉专科培训证；发药药师L4；系统记录指纹与时间戳，视频监控保存≥180天；处方打印二维码，扫码可查看10秒内视频截图。5.4财务退款权限仅开放给财务科“退款专员”角色3人，单笔≥5000元须财务科长+总会计师双签；系统强制调用HIS原交易流水，禁止手工录入；退款账号必须与患者原支付账号一致，否则触发风控冻结。5.5科研随机化揭盲仅科研科“揭盲管理员”角色2人，揭盲前24小时向伦理委员会系统备案；揭盲操作需两把USBKey同时插入，间隔≤30秒；系统生成PDF揭盲报告，国密SM2签名，邮件推送PI、伦理主席、药物临床试验机构（GCP）办公室。第六章再授权管理6.1再授权链条院长→副院长→职能部门负责人→科室负责人→科室员工，最多3级，禁止越级再授权。6.2再授权额度科室负责人可将本人角色中≤40%的普通权限再授权，敏感权限不得再授权。6.3再授权流程（1）授权人登录HRPAMS→“再授权”模块→选择被授权人→勾选权限→生成《再授权协议书》→电子签章；（2）被授权人需在24小时内确认，逾期失效；（3）AMO每日凌晨2点批量校验，发现超范围再授权，自动回收并邮件通报。第七章应急授权7.1触发场景重大公共事件（≥10人群发伤、传染病甲类管理）、信息系统故障、值班医师突发猝死等。7.2应急授权小组由医疗总值班、信息总值班、护理总值班组成，3人中任意2人同时在场即可启动。7.3授权方式使用“应急权限卡”（实体NFC卡+动态口令），每次有效期4小时，可延长1次；操作日志实时上传至省卫健委应急指挥平台；事后12小时内补办纸质审批，否则AMO强制收回并上报院长。第八章审计与监控8.1实时监控部署UEBA（用户实体行为分析）系统，内置318条规则，如“同一账号5分钟内查询不同患者病历≥50份”“夜班时段下载患者身份证信息”等，触发即冻结账号并短信通知AMO审计员。8.2离线审计每月1日AMO导出上月日志，使用SAS审计软件执行100%全量比对，重点核查：a.跨科室查询患者隐私数据；b.修改检验结果时间戳；c.越权开具毒麻药品。审计报告抄送纪委、医务部，发现问题5日内整改，整改完成率纳入科室绩效考核，占比10%。8.3第三方审计每年聘请具备国家网络安全等级保护测评机构资质的第三方进行专项审计，出具《医院授权管理合规性报告》，对不达标项列明CVSS分值及整改建议；连续两次不达标的科室，领导小组可暂停其新招员工权限申请6个月。第九章培训与考核9.1培训体系新入职：8学时《信息安全与授权管理》必修，线上考试90分合格，不合格不予激活账号；在职员工：每年4学时继续教育，采用案例教学（越权真实事件录像）；DAA：每年16学时，包含“角色工程”“审计取证”“社会工程学攻防”；Admin：每年参加国家卫健委“医疗行业网络安全实战营”，并获得CISPHSSE证书。9.2考核指标①授权及时率≥98%；②僵尸账号比例≤1%；③越权事件≤0.5件/万人·年；④敏感权限审计整改完成率100%；⑤培训覆盖率100%。未达标科室，每超标1项扣减绩效2万元，连续两次不达标启动问责。第十章责任追究10.1越权分级一级：未造成任何数据变动，扣当月绩效500元，科室通报；二级：造成数据变动但无经济损失，停职3天，全院通报，取消当年评优；三级：造成患者隐私泄露或经济损失<10万元，记过处分，赔偿损失，暂停处方权6个月；四级：造成重大医疗事故或经济损失≥10万元，吊销医师执照，解除劳动合同，移送司法。10.2连带责任DAA未履行审查职责，与越权人同责；AMO未在24小时内回收离职账号，发生数据泄露，信息科长免职；第三方外包公司人员越权，立即终止合同，纳入“医疗行业黑名单”，5年内禁止参与本院信息化项目。第十一章附则11.1本制度由医院授权管理办公室负责解释，自发布之日起施行，原《信息系统用户权限管理规定》（院字〔2021〕35号）同时废止。11.2各科室须在本制度下发15日内完成内部实施细则修订，报AMO备案；逾期未报备，暂停新权限申请。11.3本制度每2年全面评估1次，遇国家法律法规调整或重大安全事件，即时启动修订。修订流程：AMO起草→征求意见→职代会表决→院长办公会批