二三级医院药学部门信息安全管理规范

二三级医院药学部门信息安全管理规范一、总则（一）目的与依据为规范二级、三级医院（以下统称“医院”）药学部门信息系统的建设、使用和管理，保障药学信息数据的真实性、完整性、保密性、可用性和不可否认性，防范信息安全风险，维护患者用药安全与医院合法权益，依据国家相关法律法规及卫生健康行业信息安全管理要求，结合医院药学工作实际，制定本规范。（二）适用范围本规范适用于各级各类二级、三级医院药学部门（含药剂科、药学部等）涉及药品管理、处方调剂、临床药学、药事管理、科研教学等相关信息系统及数据的安全管理活动。药学部门所属的服务器、存储设备、网络设备、终端设备及相关软件均在本规范管理范畴内。（三）基本原则药学部门信息安全管理应遵循“安全第一、预防为主、综合治理、权责明确、全员参与、持续改进”的原则。坚持技术与管理并重，保障信息系统稳定运行和数据安全，促进药学服务高质量发展。（四）管理目标建立健全药学部门信息安全管理体系，明确安全责任，落实安全措施，提升安全意识，有效防范和应对信息安全事件，确保药学信息系统全年无重大安全事故，数据泄露、丢失、损坏等事件发生率降至最低。二、组织与人员管理（一）组织领导药学部门应明确一名部门负责人分管信息安全工作，可根据实际情况设立信息安全管理小组或指定专人（信息安全员）具体负责日常信息安全管理事务，协调处理信息安全相关问题。（二）人员职责1.分管负责人职责：负责审批信息安全相关制度和策略，组织协调重大信息安全事件的处置，保障信息安全投入。2.信息安全员职责：协助制定和落实信息安全管理制度，组织开展安全检查与培训，监测日常安全状况，上报安全事件并参与处置。3.系统管理员/运维人员职责：负责信息系统的日常运维、技术支持，落实系统安全防护措施，执行数据备份与恢复操作，参与安全事件排查。4.普通用户职责：严格遵守信息安全管理制度，规范操作信息系统，妥善保管个人账户密码，及时报告发现的安全隐患。（三）人员安全管理1.岗前培训：新入职人员必须接受信息安全知识和相关制度培训，考核合格后方可上岗操作信息系统。2.在岗教育：定期组织信息安全意识和技能培训，通报安全事件案例，提升全员安全素养。3.离岗离职管理：人员离岗或离职前，应及时注销或调整其系统访问权限，收回相关设备和资料，并进行安全保密教育。4.权限管理：严格执行最小权限原则，根据工作需要合理分配用户权限，定期进行权限审查与清理。三、制度建设与管理（一）制度体系药学部门应建立健全覆盖信息安全组织、人员、技术、操作、应急等方面的管理制度体系，主要包括但不限于：1.信息安全管理责任制；2.信息系统操作规范；3.数据分类分级及管理制度；4.设备与介质管理制度；5.密码与账户管理制度；6.网络安全管理制度；7.信息安全事件报告与处置流程；8.应急响应预案。（二）制度管理1.制定与审批：制度由信息安全员组织起草，广泛征求意见，经分管负责人审批后发布实施。2.培训与告知：制度发布后应及时组织相关人员培训学习，确保人人知晓。3.评审与修订：定期（如每年）对制度的适宜性、有效性进行评审，根据法律法规、技术发展和实际情况变化及时修订。四、技术与平台安全管理（一）网络安全1.网络架构：遵循网络安全等级保护相关要求，合理划分网络区域，如生产区、办公区等，实施区域隔离和访问控制。2.访问控制：对网络设备、服务器等关键节点设置强访问控制策略，限制未授权访问。3.边界防护：加强药学部门内部网络与外部网络（如互联网）边界的安全防护，必要时部署防火墙、入侵检测/防御系统等安全设备。4.无线安全：规范无线网络使用，采用加密方式，禁止私设无线网络接入点。（二）系统安全1.服务器安全：服务器应安装在安全可控的机房或机柜内，定期进行安全加固，及时更新操作系统和应用软件补丁。2.终端安全：所有接入内部网络的计算机终端应安装杀毒软件，开启防火墙，及时更新病毒库和系统补丁，禁止安装与工作无关的软件。3.移动设备管理：规范移动存储设备（如U盘、移动硬盘）的使用，重要数据禁止使用非加密移动存储设备拷贝；严格管理接入工作网络的移动智能设备。（三）数据安全1.数据分类分级：根据数据的敏感程度和重要性进行分类分级管理，对核心数据（如患者用药信息、药品处方数据）采取重点保护措施。2.数据备份与恢复：建立完善的数据备份机制，对重要数据进行定期备份，备份介质应异地存放，并定期演练恢复过程，确保备份数据的可用性。3.数据加密：对敏感数据在传输和存储过程中应采用加密技术进行保护。4.数据访问控制：严格控制数据访问权限，确保只有授权人员才能访问相应级别数据，对数据的查询、修改、删除等操作应留有日志记录。5.数据销毁：对于废弃存储介质中的数据，应采取安全可靠的方式进行销毁，防止数据泄露。五、应用系统安全管理（一）系统开发与选型1.在信息系统开发或选型时，应将信息安全需求纳入考量，选择安全可控、成熟稳定的软件产品。2.自行开发的系统应遵循安全开发生命周期管理，进行安全需求分析、安全设计、安全编码和安全测试。（二）系统上线与变更1.新系统上线前必须进行严格的安全测试和验收，未通过安全评估的系统不得投入使用。2.系统功能变更、版本升级等操作应制定详细计划，进行风险评估，并在测试环境验证通过后方可在生产环境实施，操作过程应有记录。（三）日常运维安全1.账户管理：严格用户账户申请、开通、变更和注销流程，强制用户设置复杂密码并定期更换。2.操作日志：信息系统应具备完善的操作日志记录功能，记录用户登录、关键操作、异常行为等，日志应至少保存规定期限。3.定期巡检：定期对应用系统运行状态、安全配置进行检查，及时发现并处理安全隐患。4.接口安全：对于与其他系统（如HIS、LIS、电子病历系统）的数据接口，应采取加密、认证等安全措施，确保数据传输安全。（四）重点系统安全针对药品管理系统、处方审核系统、合理用药监测系统等核心业务系统，应采取额外的安全增强措施，如更严格的权限控制、更频繁的数据备份、实时监控等。六、应急响应与业务连续性（一）应急预案制定信息安全事件应急响应预案，明确应急组织、响应流程、处置措施和恢复策略。预案应至少包括数据泄露、系统瘫痪、病毒爆发等常见场景。（二）应急演练定期组织应急演练，检验预案的科学性和可操作性，提升应急处置能力。演练后应进行总结评估，持续改进预案。（三）事件报告与处置1.事件报告：发现信息安全事件后，相关人员应立即向信息安全员或分管负责人报告，不得迟报、漏报、瞒报。2.事件处置：按照应急预案迅速启动应急响应，采取隔离、止损、调查、溯源等措施，最大限度降低事件影响。3.事后恢复：在事件得到控制后，按照恢复策略逐步恢复系统和数据，确保业务正常运行。4.总结分析：事件处置完毕后，应对事件原因、过程、损失及处置情况进行总结分析，吸取教训，完善防范措施。（四）业务连续性保障建立业务连续性计划，确保在信息系统发生故障或中断时，关键药学业务（如处方调剂、药品供应）能够通过替代方式或在规定时间内恢复，保障患者用药需求。七、监督与改进（一）日常检查信息安全员应定期对药学部门信息安全状况进行检查，包括制度执行情况、设备安全状态、系统日志审计等，及时发现和整改安全隐患。（二）定期评估每年至少组织一次全面的信息安全风险评估，识别潜在风险，评估现有控制措施的有效性，并根