患者医疗信息安全管理制度

患者医疗信息安全管理制度第一章总则1.1立法与政策依据本制度以《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《医疗机构病历管理规定（2022版）》《信息安全技术个人信息安全规范》（GB/T352732020）及《信息安全技术网络安全等级保护基本要求》（GB/T222392019）为刚性上位法，结合《三级综合医院评审标准（2022版）》第6.2.3条、第6.3.1条细化落地。1.2适用范围本制度覆盖××市××医院（以下简称“本院”）本部、分院、互联网医院、医联体成员单位、第三方运维公司、科研合作单位及所有接触患者医疗信息的自然人、法人、其他组织。数据形态包括结构化数据（HIS、LIS、PACS、EMR）、非结构化数据（影像、录音、PDF、纸质病历）、衍生物（AI模型训练集、科研脱敏库）。1.3管理目标在数据采集、传输、存储、使用、共享、销毁全生命周期内，实现“零泄露、零篡改、零滥用、可追溯、可取证”，确保患者隐私权、知情权、决定权不受侵害，年度信息安全事件≤0.5起/百万就诊人次，敏感数据泄露事件0起。1.4术语定义（1）患者医疗信息：指能够单独或与其他信息结合识别特定患者身份，且与医疗活动相关的任何信息。（2）敏感个人信息：指一旦泄露或非法使用，易导致患者人格尊严受到侵害或人身、财产安全受到危害的信息，包括遗传信息、性病、精神疾病、堕胎记录、HIV阳性等。（3）去标识化：指通过对个人信息的技术处理，使其在不借助额外信息的情况下无法识别特定自然人，且额外信息被分离控制。（4）最小够用原则：指在达成授权目的所需的最短时间、最小数据量、最少操作人员、最小操作权限范围内处理数据。第二章组织架构与职责2.1决策层医院网络安全与信息化领导小组（以下简称“领导小组”）由院长任组长，分管副院长、纪委书记、总会计师、医务部、护理部、信息部、法务部、医保办、监察室负责人为成员，对患者医疗信息安全负最终责任。2.2管理层信息部下设“数据安全与隐私保护办公室”（DPO办公室），编制6人，设专职DPO1名、安全技术岗2名、合规审计岗2名、应急岗1名，直接向领导小组汇报。2.3执行层（1）科室信息安全员：每个临床、医技科室设1名兼职信息安全员，由科室副主任或护士长担任，负责日常自查、事件初报、培训落地。（2）第三方驻场人员：统一纳入“外包人员库”，签订《保密与合规责任书》，实行“白名单+最小权限+行为审计”。2.4职责清单（节选）DPO：a)每年组织一次全生命周期风险评估，输出《风险处置清单》；b)72小时内向监管部门报告泄露事件；c)建立患者信息安全事件知识库。信息部：a)负责等级保护2.0三级系统每年一次测评、整改、复测闭环；b)负责密钥托管、备份加密、灾备演练。医务部：a)审核科研脱敏方案，确保《科研数据使用申请表》经伦理委员会审批；c)对临床科研PI进行数据合规考核，权重占科研绩效10%。监察室：a)对违规查询、批量下载、异常导出行为进行问责，实行“一案双查”，既查技术漏洞，也查管理失职。第三章数据分级与分类3.1分级标准依据《数据安全法》第21条，结合医疗场景，将患者医疗信息划分为5级：L1公开级：已脱敏且经伦理委员会批准的科研数据集，可公开下载。L2内部级：经去标识化的统计报表，允许院内共享。L3一般敏感级：普通门诊诊断、处方信息，需授权访问。L4高度敏感级：性病、精神病、遗传病、戒毒、堕胎记录，需二次审批。L5核心敏感级：HIV阳性、器官移植、国家公职人员健康档案，实行“双人双钥”加密。3.2分类标签采用“数据标签+水印”双机制，标签字段包括：患者ID、数据级别、授权科室、有效期、责任人、加密算法、水印序列号。标签随数据流动，任何副本缺失标签即视为违规副本。3.3资产清单信息部建立《患者医疗信息资产台账》，字段≥28项，包括系统名称、IP、数据库版本、数据级别、责任人、备份周期、灾备RPO/RTO、是否含L4/L5级数据。台账每月第1个工作日自动同步CMDB，差异率<0.1%。第四章数据采集与准入4.1采集原则“一数一源、一源一责”，禁止重复采集已存在信息；对L4/L5级数据实行“一事一授权”，授权书使用国家卫健委统一模板，留存原件≥15年。4.2采集流程（1）医生在EMR点击“新增病历”时，系统自动弹出《患者知情同意书》电子签署页，患者或监护人手写签名后生成PDF，哈希值写入区块链存证。（2）护士采集产前筛查血样时，扫描患者腕带二维码，系统回显姓名、出生日期，与检验申请单自动比对，不一致则拒绝下一步。（3）影像科新增AI辅助诊断模块，需在采集界面勾选“是否用于科研训练”，若选“是”，则后台自动调用脱敏算法，去除面部影像，并生成L1级副本。4.3准入技术控制a)所有终端安装EDR，禁止U盘自动播放，未备案U盘插入即物理锁定并短信告警；b)移动护理车采用802.1X+证书准入，MAC地址绑定；c)对外API接口实行“零信任”认证，每次调用需JWT+OAuth2.0+国密SM2签名，有效期≤5分钟。第五章数据存储与加密5.1存储架构生产库、备份库、科研库、测试库四库物理隔离，使用不同SAN交换机、不同VLAN、不同密钥管理体系。L4/L5级数据禁止在测试库出现，科研库仅保留L1/L2级数据。5.2加密策略（1）传输加密：所有HTTP流量强制TLS1.3，密码套件仅保留TLS_AES_256_GCM_SHA384；PACS影像使用DICOMTLS；（2）存储加密：数据库采用TDE透明加密，算法SM4，密钥托管在HSM（国密三级）；（3）文件加密：电子病历PDF使用PDF2.0AES256，用户密码与所有者密码分离，所有者密码由HSM随机生成32字节；（4）移动端离线缓存：医生App离线缓存采用SQLCipher，密钥派生函数PBKDF2，迭代10万次，加盐32字节。5.3密钥生命周期密钥生成→分发→使用→轮换→撤销→销毁六阶段全流程留痕。主密钥每90天轮换一次，旧密钥解密→新密钥加密→验证哈希→安全擦除旧密钥，全程双人操作，操作日志写入WORM存储，保存≥20年。第六章权限管理与访问控制6.1最小权限模型采用RBAC+ABAC混合模型，属性包括：科室、职称、诊疗角色、患者主治关系、时段、IP、终端健康状态。规则示例：“住院医师张三只有在工作日08:0018:00、住院部IP段、患者主治医生=张三、终端EDR评分≥90时，才能写入EMR。”6.2授权流程（1）员工入职：由人事部发起《账号及权限申请单》，经科室主任、信息部、DPO三级审批，系统默认开通“基础权限包”，不含L4/L5级数据；（2）临时授权：会诊场景需访问L4级数据时，主治医生在EMR提交《敏感数据临时授权申请》，填写访问理由、起止时间，经科室信息安全员、医务部两级审批，系统生成一次性Token，有效期≤24小时，过期自动失效；（3）批量导出：禁止任何个人账号批量导出L3及以上数据；科研需导出L2级数据时，PI提交《批量导出审批表》，经伦理委员会、DPO、分管领导三级审批，导出文件加密压缩，密码通过短信与文件分通道送达。6.3权限审计a)高敏权限每月全量审计，普通权限每季度抽样10%；b)审计重点：夜间异常查询、非本科室患者访问、超过50条/次的批量操作；c)发现异常后30分钟内冻结账号，启动“一键下线”脚本，同步短信通知DPO与监察室。第七章数据传输与共享7.1院内共享（1）同一患者转科：数据通过ESB总线流转，自动附加转科授权Token，接收科室仅可新增记录，不可篡改前科记录；（2）多学科会诊：使用院内IM“医聊”，消息经AES256加密，服务端不落地存储，仅缓存24小时。7.2院外共享（1）医联体：通过“××市健康医疗大数据交换平台”对接，采用双向SSL、国密SM2、数据级别L2及以下，每次共享生成唯一交易ID，写入省卫健委监管链；（2）商业保险：患者本人线上授权后，系统生成《理赔信息包》，仅包含出院小结、费用清单，经患者短信验证码二次确认后，通过SFTP上传至保险公司，日志留存≥5年；（3）科研合作：必须签订《数据共享三方协议》，明确数据级别、使用目的、保密义务、知识产权、违约责任；数据提供前使用k匿名（k≥5）+差分隐私（ε≤0.1）双重脱敏，输出《脱敏效果评估报告》，经DPIA通过后方可传输。7.3跨境传输原则上禁止跨境传输L3及以上数据。确因国际多中心科研需要，须通过省网信办安全评估，采用本地化脱敏→加密→VPN隧道→境外接收方HSM解密流程，且数据仅限L1级。第八章数据使用与处理8.1临床使用医生在EMR书写病历时，系统实时调用NLP敏感词库，当检测到“HIV”“梅毒”“自杀”等关键词，自动弹窗提示“该内容属于L4级敏感信息，请确认是否必要记录”，确认后自动添加水印并升级访问权限。8.2科研使用（1）立项阶段：PI提交《科研数据使用申请表》，附研究方案、样本量估算、脱敏方案；（2）伦理审批：伦理委员会5个工作日内完成审查，重点评估是否可进一步降低数据级别；（3）数据下发：科研库建立只读视图，禁止原始表访问；系统每日自动快照，保存7天，支持回滚；（4）成果审查：论文发表前，作者须提交《数据使用声明》，DPO核对实际使用数据集与审批一致性，不一致不予盖章。8.3AI训练（1）训练数据须为L1级，且通过差分隐私检测；（2）模型输出禁止包含任何可识别个人信息；（3）AI模型上线前进行“模型逆向攻击测试”，模拟攻击者通过输出反推输入，若反推成功率>5%，须重新训练。第九章数据备份与灾难恢复9.1备份策略（1）本地实时备份：采用双活数据中心，RPO=0，RTO<30分钟；（2）异地容灾：距主中心≥150km的异地机房，通过加密复制，网络带宽10Gbps，L4/L5级数据使用SM4加密后再传输；（3）备份验证：每月第1个周六进行备份恢复演练，随机抽取5%备份集，验证数据哈希、业务启动、报表完整性，出具《备份验证报告》。9.2灾难恢复预案（1）事件分级：P1（生产库不可服务>30分钟）、P2（单系统故障）、P3（局部网络异常）；（2）指挥体系：启动“应急指挥群”，成员包括院长、DPO、信息部主任、医务部值班经理、护理总值班；（3）恢复流程：P1事件触发后，10分钟内切换至双活中心，30分钟内通知临床科室启用应急模板，2小时内向市卫健委提交《事件初步报告》。第十章数据销毁与退役10.1销毁场景（1）患者主动申请删除非诊疗必需数据；（2）科研数据超过协议保存期；（3）存储介质退役、租赁到期、故障报废。10.2销毁流程（1）软件销毁：对逻辑删除数据，使用NIST80088标准“Clear+Purge”双步骤，先执行SQL加密擦除，再覆盖写入随机数3次，最后生成《销毁报告》含销毁人、监督人、哈希值；（2）硬件销毁：硬盘使用消磁机（磁场强度≥15000高斯）6秒，随后物理粉碎颗粒直径≤6mm，全程录像，保存录像≥3年；（3）第三方监督：销毁过程由监察室、DPO、科室代表三方在场签字，任何一方缺席即视为流程无效。第十一章监测预警与应急处置11.1监测体系（1）技术层：部署SIEM、UEBA、NTA、EDR、数据库审计、API网关日志六类探针，日志统一发送至SOC，保留≥180天；（2）行为基线：采用无监督机器学习，30天滚动训练，异常评分>85即触发告警；（3）威胁情报：接入国家卫健委“医疗行业威胁情报共享平台”，每日自动更新IOC，与防火墙、EDR联动阻断。11.2应急预案（1）分级响应：按照GB/Z209862007，划分为特别重大（Ⅰ级）、重大（Ⅱ级）、较大（Ⅲ级）、一般（Ⅳ级）；（2）Ⅰ级事件：如L5级数据泄露>500条，30分钟内电话上报市卫健委、市委网信办、市公安局网安支队，2小时内发布《患者安全告知书》，24小时内完成首次新闻发布会；（3）取证与溯源：立即封存相关服务器内存、磁盘镜像，使用WriteBlocker只读接口，计算SHA256哈希，提交至市网安支队司法鉴定中心。第十二章合规审计与法律责任12.1内部审计监察室牵头，每年组织一次全面审计，覆盖系统≥90%、人员≥30%、第三方合同100%。审计工具使用ACLAnalytics、SQL脚本、Python爬虫，输出《审计发现问题清单》，评分<80分的科室扣减年度绩效5%。12.2外部审计聘请具备国家网络安全等级保护测评资质的机构，每两年进行一次“患者医疗信息安全专项审计”，审计报告在官网公示≥20个工作日。12.3法律责任（1）违规查询：依据《个人信息保护法》第68条，对直接责任人处100万元以下罚款，医院承担连带赔偿；（2）故意泄露：达到刑事立案标准的，移送公安机关，以侵犯公民个人信息罪定罪量刑；（3）重大事件“一票否决”：发生L4/L5级数据泄露的科室，取消当年评优资格，科主任、护士长就地免职，三年内不得晋升。第十三章培训与宣教13.1培训体系（1）新员工入职：3小时内完成《患者信息保护》线上课程+30题机考，≥90分方可开通账号；（2）在职员工：每年2学时面授+2学时线上，面授采用“案例复盘+红蓝对抗”模式，现场分组模拟钓鱼邮件、社工攻击；（3）第三方人员：入场前签署《保密协议》，观看15分钟警示片，考试合格后生成二维码胸卡，有效期≤1年。13.2宣教活动每年5月开展“患者隐私保护月”，举办“零信任体验日”“黑客集市”“隐私保护漫画展”，让患者及家属参与互动，提升全员安全意识。第十四章患者权利保障14.1知情权患者通过“××健康”App“隐私看板”可实时查看本人数据被哪些科室、哪些账号、在什么时间、以何种目的访问，支持一键导出PDF。14.2