医疗卫生信息网络安全规范（标准版）

医疗卫生信息网络安全规范（标准版）第1章总则1.1适用范围本规范适用于医疗卫生信息系统的建设、运行、维护及数据管理全过程，涵盖电子病历、医疗影像、健康档案等关键信息平台。适用于各级医疗卫生机构、医疗机构、公共卫生部门及相关信息化服务提供商。本规范基于国家信息安全等级保护制度和《医疗卫生信息网络安全规范》（GB/T35273-2020）制定，适用于医疗卫生信息系统的安全防护与管理。本规范适用于涉及患者隐私、医疗数据及公共健康信息的信息化系统，确保数据的完整性、保密性与可用性。本规范适用于医疗卫生信息系统的安全风险评估、安全防护措施实施、安全事件应急响应及安全审计等全生命周期管理。1.2规范依据本规范依据《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》（GB/T35114-2019）等法律法规制定。依据《医疗卫生信息网络安全规范》（GB/T35273-2020）及《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）编制。依据国家卫生健康委员会《关于加强医疗卫生信息系统安全防护工作的通知》（国卫办医发〔2020〕22号）等文件要求。依据《信息安全技术信息安全风险评估规范》（GB/T20984-2021）开展安全风险评估工作。依据《医疗信息互联互通标准》（HL7）及《电子病历系统功能要求》（GB/T35323-2018）等标准进行系统设计与实施。1.3安全管理原则坚持“安全第一、预防为主、综合治理”的方针，落实网络安全责任制度。采用“纵深防御、分层防护”的策略，构建多层次、多维度的安全防护体系。严格执行“最小权限原则”，确保系统访问控制与数据权限管理符合安全要求。建立“事前预防、事中控制、事后恢复”的全过程安全管理机制。引入“威胁建模”“渗透测试”等方法，持续进行安全评估与改进。1.4职责划分的具体内容职责划分遵循“谁主管、谁负责”原则，明确各级单位在系统建设、运行、维护中的安全责任。信息管理部门负责系统安全策略制定、安全措施部署及安全事件应急响应。技术管理部门负责系统安全防护技术方案设计、安全设备配置及安全监测实施。安全管理部门负责安全政策制定、安全审计、安全培训及安全风险评估。业务管理部门负责系统业务流程规范、数据使用规范及安全合规性审核。第2章网络安全组织架构与职责1.1组织架构设置依据《医疗卫生信息网络安全规范（标准版）》要求，医疗机构应建立三级网络安全组织架构，包括网络安全管理委员会、网络安全运营中心和网络安全技术保障组，确保职责清晰、权责明确。网络安全管理委员会负责制定网络安全策略、审批重大安全措施及监督整体网络安全运行情况，其成员应包含信息安全部门负责人、IT部门代表及业务部门代表。网络安全运营中心承担日常网络安全监测、风险评估与应急响应工作，需配备专职安全工程师及网络管理员，确保24小时值班制度。网络安全技术保障组负责系统漏洞扫描、渗透测试及安全设备运维，应配备不少于3名具备高级网络安全认证的专业人员。机构应根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）设置安全等级，确保信息系统符合国家网络安全等级保护制度要求。1.2职责分工网络安全管理委员会主任负责统筹网络安全战略规划与资源分配，确保网络安全工作与医院整体发展目标一致。网络安全运营中心负责人需定期组织安全演练，包括应急响应预案演练与漏洞修复演练，提升团队实战能力。网络安全技术保障组组长负责制定技术方案，如防火墙配置、入侵检测系统（IDS）部署及数据加密方案，确保技术措施落地。信息安全部门负责人需定期开展安全检查，包括日志审计、系统漏洞扫描及安全事件分析，确保安全措施持续有效。各业务部门负责人需配合网络安全工作，定期提交业务系统安全风险评估报告，确保业务系统符合网络安全要求。1.3安全管理流程依据《信息安全技术网络安全事件应急处理规范》（GB/T22239-2019），建立网络安全事件分级响应机制，确保事件处理及时、有效。网络安全事件发生后，应立即启动应急响应预案，由网络安全运营中心负责人组织调查，明确事件原因与影响范围。事件处理完成后，需进行原因分析与整改，形成《网络安全事件报告》并提交至网络安全管理委员会备案。网络安全管理委员会应定期召开安全会议，评估网络安全态势，优化安全策略与资源配置。建立网络安全事件通报机制，确保事件信息及时向全体员工及相关监管部门通报，提升全员安全意识。1.4安全培训与考核的具体内容根据《医疗卫生信息网络安全培训指南》（WS/T6434-2021），应定期开展网络安全知识培训，内容涵盖数据加密、访问控制、隐私保护等，确保员工掌握基本安全技能。培训形式应多样化，包括线上课程、实战演练及案例分析，确保培训效果可量化评估。安全考核应结合理论测试与实操考核，理论测试占比40%，实操考核占比60%，确保员工具备实际操作能力。考核结果纳入绩效考核体系，不合格者需进行补训，直至通过考核，确保全员安全意识与能力达标。建立安全培训档案，记录员工培训记录、考核结果及培训效果评估，作为人事管理与岗位晋升依据。第3章网络安全管理制度1.1网络安全管理制度体系本制度体系遵循《医疗卫生信息网络安全规范（标准版）》的要求，构建了涵盖组织架构、职责分工、流程规范、技术措施、监督评估等多维度的管理体系，确保网络安全管理的系统性与有效性。根据《信息安全技术信息安全风险评估规范》（GB/T22239-2019），制度体系应结合组织业务特点，制定分级分类的网络安全管理策略，实现风险识别、评估与控制的闭环管理。制度体系应结合《医疗卫生信息网络安全等级保护基本要求》（GB/T22239-2019），明确不同级别网络系统的安全保护等级，建立覆盖网络边界、内部系统、数据存储、传输等各环节的安全防护机制。通过《网络安全法》《数据安全法》《个人信息保护法》等法律法规的指导，制度体系应落实主体责任，确保网络安全管理符合国家法律规范，实现合规性与合法性并重。制度体系应定期进行更新与优化，结合实际业务发展和新技术应用，动态调整管理策略，确保制度的时效性与适应性。1.2网络安全事件报告机制事件报告机制应遵循《信息安全事件等级分类指南》（GB/Z20986-2019），明确事件分类标准，确保事件信息的准确性和完整性，便于后续分析与处理。事件报告应遵循“谁发现、谁报告、谁负责”的原则，确保事件信息在第一时间上报，避免信息滞后影响应急响应效率。事件报告内容应包括时间、地点、事件类型、影响范围、初步原因、处置措施等，确保信息全面、清晰，便于后续追踪与评估。根据《网络安全事件应急预案》（GB/T22239-2019），事件报告应分级上报，重大事件应逐级上报至主管部门，确保信息传递的及时性和权威性。事件报告应结合《信息安全事件应急响应指南》（GB/T22239-2019），建立标准化的报告流程，确保事件处理的规范性与一致性。1.3网络安全应急响应预案应急响应预案应依据《信息安全事件应急响应指南》（GB/T22239-2019），制定涵盖事件发现、评估、响应、恢复、事后处置等阶段的流程，确保事件处理的有序进行。应急响应预案应结合《网络安全等级保护管理办法》（公安部令第48号），明确不同级别事件的响应级别和处置措施，确保响应措施与事件严重程度相匹配。应急响应预案应包含应急响应团队的组织架构、响应流程、资源调配、沟通机制等内容，确保在事件发生时能够快速启动并有效执行。应急响应预案应定期进行演练与评估，根据《信息安全事件应急演练指南》（GB/T22239-2019），通过模拟演练检验预案的有效性，提升应急响应能力。应急响应预案应结合《网络安全事件应急处置规范》（GB/T22239-2019），明确事件处置的步骤与要求，确保事件处理的规范性与可追溯性。1.4网络安全审计与评估的具体内容审计与评估应依据《网络安全审计技术规范》（GB/T35273-2019），采用日志审计、流量分析、漏洞扫描等多种技术手段，全面覆盖网络系统、应用系统、数据存储等关键环节。审计内容应包括系统配置、权限管理、访问控制、数据加密、安全策略执行等，确保系统运行符合安全规范，防范潜在风险。审计结果应形成书面报告，结合《网络安全审计管理规范》（GB/T35273-2019），对发现的安全问题进行分类分级，并提出改进建议。审计与评估应定期开展，根据《信息安全技术安全评估规范》（GB/T22239-2019），结合组织业务需求，制定年度或季度评估计划，确保持续改进。审计与评估应纳入组织的绩效考核体系，作为网络安全管理的重要依据，推动组织持续提升网络安全管理水平。第4章网络安全技术规范4.1网络设备安全配置网络设备应按照国家《信息安全技术网络设备安全控制规范》（GB/T39786-2021）要求，配置强密码策略，确保设备登录口令长度≥8位，包含大小写字母、数字和特殊字符，且定期更换密码，防止密码泄露。设备应启用默认管理账户的禁用功能，禁止使用未授权的管理账户进行操作，避免因默认账户被攻破导致系统失控。网络设备需配置防火墙规则，限制不必要的端口开放，遵循“最小权限原则”，减少攻击面。例如，路由器应禁用不必要的服务端口（如Telnet、FTP），防止被利用进行DDoS攻击。设备应配置入侵检测系统（IDS）和入侵防御系统（IPS），实时监控异常流量，及时阻断潜在攻击行为。根据《信息安全技术网络入侵检测系统通用技术要求》（GB/T22239-2019），IDS应具备至少3种检测模式，如基于规则的检测、基于行为的检测和基于流量的检测。设备应定期进行安全更新和补丁修复，确保系统版本与厂商发布的安全补丁保持同步，避免因漏洞被利用导致信息泄露。4.2网络传输安全规范网络传输应采用加密通信协议，如TLS1.3，确保数据在传输过程中不被窃听或篡改。根据《信息安全技术通信网络数据传输安全要求》（GB/T39787-2021），TLS1.3应支持加密数据包的完整性验证和抗重放攻击机制。数据传输应通过安全的通道进行，如、SFTP或VPN，避免使用不安全的HTTP协议。根据《信息安全技术信息传输安全要求》（GB/T39788-2018），传输数据应采用加密算法，如AES-256，确保数据在传输过程中的机密性。网络传输应设置访问控制策略，限制非法IP地址访问，防止未授权访问。根据《信息安全技术网络访问控制技术规范》（GB/T39789-2021），应配置基于IP、用户身份和时间的访问控制策略，确保只有授权用户才能访问敏感信息。网络传输应设置日志记录与审计机制，记录所有访问行为，便于事后追溯和分析。根据《信息安全技术网络安全日志管理规范》（GB/T39785-2021），日志应包含时间、IP地址、用户身份、操作内容等信息，确保可追溯性。网络传输应定期进行安全测试，如漏洞扫描和渗透测试，确保传输过程符合安全标准。根据《信息安全技术网络安全评估规范》（GB/T39786-2021），应至少每年进行一次全面的安全评估，发现并修复潜在风险。4.3网络访问控制管理网络访问控制应采用基于角色的访问控制（RBAC）模型，确保用户仅能访问其权限范围内的资源。根据《信息安全技术网络访问控制技术规范》（GB/T39789-2021），RBAC模型应支持用户、角色和权限的三元关系，实现最小权限原则。网络访问应通过认证和授权机制实现，如OAuth2.0、SAML等，确保用户身份真实有效。根据《信息安全技术信息交换安全规范》（GB/T39787-2021），认证应采用多因素认证（MFA），提升安全等级。网络访问应设置访问控制列表（ACL），限制非法IP地址访问，防止未授权访问。根据《信息安全技术网络安全日志管理规范》（GB/T39785-2021），ACL应配置规则，如禁止特定IP段访问敏感目录。网络访问应支持动态权限管理，根据用户行为和角色变化自动调整权限，确保权限的灵活性和安全性。根据《信息安全技术网络访问控制技术规范》（GB/T39789-2021），应支持基于策略的动态授权机制。网络访问应定期进行安全审计，检查访问日志，确保所有访问行为符合安全策略。根据《信息安全技术网络安全日志管理规范》（GB/T39785-2021），审计应记录访问时间、用户、资源、操作内容等信息，便于事后分析。4.4网络数据加密与备份的具体内容网络数据应采用加密技术进行存储和传输，如AES-256加密，确保数据在存储和传输过程中不被窃取或篡改。根据《信息安全技术数据加密技术规范》（GB/T39786-2021），AES-256应支持密钥长度为256位，提供强数据加密能力。数据备份应采用异地多副本存储，确保数据在发生故障或攻击时可恢复。根据《信息安全技术数据备份与恢复规范》（GB/T39787-2021），备份应至少包含主副本、热备副本和冷备副本，确保数据的高可用性。数据备份应定期执行，如每日、每周或每月一次，确保数据的完整性。根据《信息安全技术数据备份与恢复规范》（GB/T39787-2021），备份周期应根据业务需求确定，一般建议每天备份一次。数据加密应结合备份技术，确保加密数据在存储和传输过程中保持安全。根据《信息安全技术数据加密技术规范》（GB/T39786-2021），加密数据应采用加密算法和密钥管理机制，确保密钥安全存储。数据备份应建立备份策略，包括备份类型、备份频率、备份存储位置和恢复流程，确保备份数据的可恢复性和安全性。根据《信息安全技术数据备份与恢复规范》（GB/T39787-2021），备份策略应符合组织的业务需求和安全要求。第5章网络安全人员管理5.1人员资质要求人员应具备国家规定的医疗卫生信息系统相关专业背景，如计算机科学、信息安全、医学信息工程等，且需持有国家认可的资格证书，如信息安全专业资格认证（CISP）或信息系统安全工程师（CISSP）等，确保具备相应的专业知识和技能。人员应通过医疗卫生信息网络安全相关培训，掌握国家卫生健康委员会发布的《医疗卫生信息网络安全管理规范》中规定的安全知识与操作流程，确保其具备应对医疗信息系统的安全风险能力。人员需通过岗位资格审核，包括但不限于身份验证、背景调查、技能考核等，确保其具备胜任岗位职责的能力，并符合《医疗卫生信息网络安全人员管理规范》中对人员素质的要求。人员应具备良好的职业道德和职业操守，遵守国家法律法规及医疗卫生行业相关规范，不得从事与岗位职责相冲突的行为，确保其行为符合医疗卫生信息网络安全管理的伦理要求。依据《医疗卫生信息网络安全管理规范》中的规定，人员需定期接受安全意识培训与考核，确保其持续具备安全防护能力，并符合国家信息安全标准中对人员安全能力的要求。5.2人员权限管理人员权限应遵循最小权限原则，仅授予其完成工作所需的最小必要权限，避免权限过度集中，降低安全风险。人员权限分配应基于岗位职责和工作内容，通过角色权限管理（Role-BasedAccessControl,RBAC）实现，确保权限分配的透明性和可控性。人员权限变更应遵循审批流程，由信息安全部门或授权人员进行审核，确保权限调整的合规性与安全性，避免因权限滥用导致的信息安全事件。人员权限应定期审查与更新，根据岗位变动、职责调整或安全风险变化，及时调整其权限范围，确保权限与实际工作需求一致。人员权限管理应纳入组织的统一权限管理体系，结合权限审计与日志记录，确保权限使用可追溯，防范权限滥用或误操作带来的安全风险。5.3人员行为规范人员应严格遵守医疗卫生信息网络安全管理制度，不得擅自访问、修改或删除医疗信息系统的数据，确保信息系统的完整性与保密性。人员应避免在非授权环境下使用医疗信息系统的设备，不得将系统设备用于非工作用途，防止设备被非法入侵或被恶意利用。人员应定期进行信息安全意识培训，提升其对网络钓鱼、数据泄露等安全威胁的识别与防范能力，确保其具备基本的安全操作意识。人员应自觉维护信息系统安全，不得在系统中传播病毒、恶意软件或非法信息，防止系统受到恶意攻击或数据被篡改。人员应保持良好的工作习惯，不得在工作时间使用非授权的网络服务，不得在系统中存储或处理敏感信息，确保信息系统的安全运行。5.4人员安全责任追究的具体内容人员因违反网络安全管理制度，导致信息泄露、系统入侵或数据篡改等安全事件，应承担相应责任，包括但不限于行政处分、经济处罚或法律责任。人员因未履行安全责任，导致医疗信息系统的安全风险增加，应根据《医疗卫生信息网络安全管理规范》中规定的责任追究机制，追究其管理或操作责任。人员因未及时发现或报告安全事件，造成严重后果的，应根据《网络安全法》及相关法律法规，承担相应的法律责任。人员因违反信息安全管理制度，造成重大安全事故，应依据《信息安全技术个人信息安全规范》（GB/T35273-2020）中对信息安全责任的规定，追究其责任。人员因安全疏忽或故意违规，导致医疗信息系统的安全事件发生，应依据《医疗卫生信息网络安全管理规范》中的安全责任追究机制，进行相应的处理和处罚。第6章网络安全事件管理6.1事件分类与报告根据《医疗卫生信息网络安全规范（标准版）》要求，网络安全事件应按严重程度分为五级：特别重大、重大、较大、一般和较小，分别对应国家信息安全等级保护制度中的三级、四级、五级、六级和七级。事件报告应遵循“分级响应、逐级上报”原则，确保信息在第一时间传递至相关主管部门，如国家医疗信息安全监管平台或省级医疗信息管理部门。事件报告需包含时间、地点、事件类型、影响范围、涉及系统、责任人及初步处置措施等关键信息，确保信息完整、准确、可追溯。依据《信息安全技术网络安全事件分类分级指南》（GB/T22239-2019），事件分类需结合业务系统功能、数据敏感性及潜在影响，避免分类偏差。事件报告应通过统一平台提交，确保数据一致性，并保留原始记录以备后续审计与复查。6.2事件调查与分析事件调查应由具备资质的网络安全团队或第三方机构执行，遵循“先查后报”原则，确保事件原因明确、责任可追溯。事件调查需采用“事件树分析法”（EventTreeAnalysis）和“因果分析法”（Cause-EffectAnalysis），结合日志、流量、系统日志等数据，还原事件发生过程。事件分析应结合《医疗卫生信息网络安全事件调查规范》（GB/T38703-2020），明确事件成因、影响范围及潜在风险，为后续整改提供依据。事件分析应形成报告，内容包括事件描述、原因分析、影响评估、整改措施及建议，确保报告结构清晰、逻辑严密。事件分析结果应反馈至相关业务部门，推动制度完善与流程优化，防止类似事件再次发生。6.3事件整改与复查事件整改应按照“定人、定时、定措施”原则落实，确保整改措施有效且可验证，符合《医疗卫生信息网络安全事件整改规范》（GB/T38704-2020）要求。整改措施需包括技术修复、流程优化、人员培训、系统升级等，整改后应进行验证测试，确保问题彻底解决。整改复查应由独立第三方机构或业务部门进行，确保整改效果符合预期，复查周期一般不超过事件发生后7个工作日。整改复查需形成复查报告，内容包括整改完成情况、测试结果、问题遗留情况及后续监控计划。整改复查应纳入年度网络安全评估体系，作为组织信息安全绩效考核的重要依据。6.4事件记录与存档事件记录应包括事件发生时间、地点、类型、影响范围、处置措施、责任人及处理结果等关键信息，确保记录完整、可追溯。事件记录应采用结构化数据格式，如JSON或XML，便于后续分析与查询，符合《医疗卫生信息网络安全事件记录规范》（GB/T38705-2020）要求。事件记录应保存不少于6个月，确保在发生审计、复盘或责任追究时可提供真实、完整的原始资料。事件记录需由专人负责管理，确保记录及时更新、准确无误，并定期进行数据备份与存储安全审查。事件记录应纳入组织的统一信息管理系统，实现数据共享与追溯，提升信息安全管理水平。第7章网络安全监督与检查7.1定期检查机制依据《医疗卫生信息网络安全规范（标准版）》规定，医疗机构应建立定期网络安全检查机制，通常每季度或半年开展一次全面检查，确保网络系统持续符合安全要求。检查机制应涵盖制度建设、技术防护、人员管理等多个维度，确保各环节落实到位。检查应由具备资质的第三方机构或内部安全团队执行，避免利益冲突，提高检查的客观性与权威性。检查结果需形成书面报告，明确问题点、整改建议及责任人，确保问题闭环管理。检查机制应与信息化建设、医疗数据安全事件应急响应机制相结合，形成闭环管理体系。7.2检查内容与标准检查内容应包括网络边界防护、数据加密传输、访问控制、日志审计等关键环节，确保系统运行安全。根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），医疗机构应达到第三级信息系统安全保护等级，确保系统具备基本的网络安全防护能力。检查需遵循“全面、系统、动态”原则，覆盖网络设备、软件系统、数据存储、传输链路等关键节点。检查标准应结合行业实践与最新技术发展，如采用风险评估模型、漏洞扫描工具、安全合规性审查等方法。检查应结合实际业务场景，如电子病历系统、远程会诊系统等，确保检查内容与实际应用紧密结合。7.3检查结果处理检查结果需在规定时间内反馈至相关部门，确保问题及时发现与处理。对于发现的安全隐患，应制定整改计划，明确整改时限、责任人及验收标准，确保整改到位。整改过程中应加强沟通与协调，避免因整改不力导致系统风险扩大。整改完成后，需进行复查，确保问题彻底解决，防止复发。对于重大安全隐患，应启动应急预案，