新制定医疗机构十八项核心制度之信息安全管理制度

新制定医疗机构十八项核心制度之信息安全管理制度第一章制度定位与立法依据1.1定位信息安全管理制度是《医疗机构十八项核心制度》新增项，定位为“医疗质量与安全管理体系”的数字底座，与病历质量、临床用血、手术安全等制度同级，直接纳入医院等级评审“一票否决”条款。1.2立法与合规矩阵——《网络安全法》第21、34、59条——《数据安全法》第27、30、45条——《个人信息保护法》第38、51、66条——《医疗卫生机构网络安全管理办法》（国卫办规划发〔2022〕3号）——《GB/T222392019信息安全技术网络安全等级保护基本要求》——《GB/T352732020个人信息安全技术规范》——《电子病历系统应用水平分级评价标准（2022版）》——《医疗器械网络安全注册审查指导原则（2020修订版）》以上法规出现冲突时，以最新发布且最严要求为准，医院法务部与网信办负责动态跟踪并每季度发布《合规义务清单》V2.3.7版。第二章组织与职责2.1三级责任体系|层级|岗位|编制|职责|汇报线|问责线|||||||||决策层|网络安全与信息化领导小组（院长任组长）|1|预算、战略、重大事件决策|市卫健委网信专班|市卫健委||管理层|信息安全办公室（简称“信安办”）|3|制度、检查、考核、培训|领导小组|院长||执行层|科室信息安全员（每科室1名，兼职）|92|日常巡查、事件初报、整改复核|信安办|科主任|2.2关键岗位强制背调与双人制约——网络管理员、数据库管理员、系统运维、机房值班、备份介质保管员等5类岗位入职前须完成“无犯罪记录+征信+社媒舆情”三轮背调；——上述岗位实行“双人操作+双人审批”，任何指令须通过堡垒机拆权，单人无法完成数据删除、防火墙策略下发、备份介质出库等高危操作。2.3外包与第三方管理——外包公司须签署《数据处理协议（DPA）》并缴纳合同额10%的违约金保证金；——外包人员纳入医院门禁与行为审计系统，使用临时工号，默认有效期≤90天；——外包终端必须安装医院MDM客户端，禁用USB存储、蓝牙、热点，截屏键强制映射到黑屏。第三章数据分级与资产清单3.1数据五级分类|级别|示例|泄露影响|加密要求|存储期限|销毁方式|||||||||绝密|基因检测原始数据、HIV阳性明细|国家安全|SM4+国密证书|永久|物理粉碎+熔炼||机密|电子病历、影像DICOM|个人隐私|AES256|门诊15年住院30年|消磁+审计日志||秘密|医院运营报表、成本核算|商业竞争|AES128|10年|逻辑擦除||内部|内部通知、培训PPT|轻微影响|传输加密|3年|普通删除||公开|医院简介、出诊信息|无|无|1年|普通删除|3.2资产清单“六清一确认”——清硬件：服务器、网络设备、安防摄像头、UPS、打印机；——清软件：操作系统、数据库、中间件、HIS、PACS、LIS、EMR、移动护理APP；——清数据：按3.1分级；——清账户：员工、患者、外包、设备账户；——清端口：物理USB、网络端口、蓝牙、WiFi；——清文档：纸质病历、胶片、备份磁带、快递面单。确认：资产责任人签字+指纹，清单每半年更新一次，更新后24小时内导入医院CMDB并同步到市卫健委资产监管平台。第四章边界与访问控制4.1网络边界划分——生产网：HIS、PACS、EMR、RIS、手术麻醉、移动护理；——办公网：行政、财务、人事、科研；——互联网：官网、微信公众号、互联网医院、邮件；——设备网：IoT、安防、门禁、楼宇自控；——DMZ：对外发布区，WAF+IPS+沙箱+蜜罐。4.2零信任访问模型——任何人员、设备、应用默认不信任；——统一身份源使用国密SM2算法的硬件UKey+指纹+人脸三因子；——动态权限：基于“角色+环境+风险”实时计算，访问有效期≤8小时，超时强制重新认证；——所有流量强制通过SDP网关解密检测，TLS1.3以下版本直接丢弃。4.3特权账号管理（PAM）——使用开源堡垒机JumpServer商业版v3.8，所有运维指令录像保存≥3年；——密码托管：每12小时自动改密，32位随机，含特殊字符；——黄金账户（如Oraclesys、Linuxroot）实行“申请审批操作复核”四眼原则，全程录屏+键盘记录。第五章加密与密钥管理5.1加密场景——传输：全部HTTPSTLS1.3，内部API双向mTLS；——存储：数据库TDE（透明加密），影像对象存储使用SSEKMS；——备份：离线磁带使用LTO9硬件加密，密钥存入KMS；——移动端：APP使用Obfuscation+DexGuard，本地SQLiteSQLCipher。5.2密钥生命周期——生成：FIPS1403二级硬件随机数发生器；——分发：离线二维码+SM2数字信封；——使用：KMS集中调用，禁止本地落地；——轮换：对称密钥90天，非对称密钥1年；——销毁：密钥归零+审计，双人同时在场录像。第六章日志、监测与威胁情报6.1日志“5W1H”要素Who（账号）、When（时间戳±1秒）、Where（IP+端口+MAC）、What（对象）、Why（操作类型）、How（结果码）。6.2日志留存期限——网络设备、防火墙：2年；——操作系统、数据库：3年；——应用系统、堡垒机：5年；——影像审计、电子病历：与病历保存期限一致。6.3SOC三级监测——L1：7×24小时值守，平均响应时间≤15分钟；——L2：安全分析师，2小时内完成定性；——L3：医院红队+外部APT实验室，24小时内输出溯源报告。6.4威胁情报源——国家互联网应急中心（CNCERT）API；——市卫健委威胁共享平台；——商业源：奇安信、微步、ThreatBook；——开源：AlienVaultOTX、MISP。情报自动写入SOAR剧本，实现IP自动封禁、域名Sinkhole、邮件自动删除。第七章漏洞与补丁管理7.1漏洞发现——每月第1个工作日进行漏扫，工具：Nessus+AWVS+Goby；——每年两次渗透测试，由具备CNAS认证机构实施；——红队持续攻防演练，目标：获取域控、病历数据库、医保接口任意一条敏感数据即算成功。7.2漏洞评级采用CVSS3.1，≥9.0为P0，24小时内修复；7.08.9为P1，72小时；4.06.9为P2，14天；<4.0为P3，90天。7.3补丁流程测试→验证→灰度→全网→回滚。——测试环境：1台虚拟机快照备份；——验证：业务科室+信息科+厂商三方签字；——灰度：10%终端+10%服务器，观察48小时无异常；——全网：夜间0:004:00窗口，出现事故30分钟内回滚。第八章备份、容灾与业务连续性8.1备份策略——3211原则：3份副本、2种介质、1份异地、1份离线；——RPO≤15分钟：数据库使用准同步复制；——RTO≤30分钟：PACS影像采用对象存储跨区域复制；——备份加密：使用独立KMS分区，密钥与生产隔离。8.2容灾演练——每季度一次“盲演”：不提前通知，随机拔掉核心交换机电源；——每年一次“全城断网”：关闭互联网、医保专线、政务云，模拟勒索病毒；——演练通过标准：门诊挂号30分钟内恢复、住院医嘱60分钟内可下、影像调阅90分钟内可用。8.3业务连续性计划（BCP）——关键业务：急诊、手术、ICU、血透、放疗；——手工流程：纸质检验申请单+对讲机+手工计费三联单；——应急预算：每年预留信息科预算的5%作为应急采购，含4G/5G应急路由、离线版HIS、UPS电池。第九章事件应急与响应9.1事件分级|级别|定义|报告时限|决策人|外部报告||||||||I级特别重大|10万份以上病历泄露或系统停机>24h|30分钟内|院长|市卫健委、网信办、公安局||II级重大|110万份病历或停机624h|1小时内|信安办主任|同上||III级较大|10001万份或停机16h|2小时内|信安办副主任|市卫健委||IV级一般|<1000份或停机<1h|4小时内|科室安全员|内部|9.2应急响应流程发现→初判→定级→报告→封网→溯源→处置→恢复→报告→复盘。——封网：I/II级事件由领导小组决定是否关闭互联网出口；——溯源：保留防火墙、EDR、DNS日志，使用ELK+Graylog+时序数据库；——恢复：使用黄金镜像+快照，优先保证急诊、手术；——复盘：72小时内召开“事后回顾会”，输出5Why分析报告，10天内完成整改。9.3勒索病毒专章——预防：EDR策略禁止powershell、cmd、mshta、rundll32进程创建；——检测：蜜罐目录放置“fake_patient_data.xlsx”，被加密即触发告警；——响应：断网→拍照留证→通知公安网安→使用离线解密工具→不鼓励支付赎金；——法律：如支付赎金，须先获得市公安局出具的《支付必要性意见书》，否则财务拒绝付款。第十章患者个人信息保护10.1最小必要原则——挂号只收集：姓名、身份证、手机号、医保卡号；——人脸识别仅用于医保脱卡结算，不存储人脸底图，只保存特征值；——科研二次利用须签署《科研利用知情同意书》，样本编码，去标识化。10.2敏感个人信息特殊规则——未成年人（<14岁）数据定为“机密”级，访问需儿科主任+信安办双人审批；——HIV、精神病、遗传病数据访问，系统强制弹窗二次确认并记录审计。10.3数据出境——禁止任何患者数据存储在境外云；——科研合作需出境，走市卫健委“数据出境安全评估”通道，通过数据出境安全评估后方可传输。第十一章互联网医院与移动应用11.1互联网医院合规——必须取得《互联网医院执业许可证》；——使用“可信身份认证”对接公安一所“互联网+”可信身份认证平台；——处方数据使用国密SM2签名，药事委员会审核留痕。11.2移动护理APP——上架前：通过公安部“移动应用安全评估”并取得报告编号；——运行：集成医院自研SDK，实现VPN+国密加密通道；——更新：使用热更新前须上传diff包到信安办备案，禁止远程动态加载so文件。第十二章外包开发、测试与上线12.1SDL安全开发生命周期需求→设计→编码→测试→验收→上线→运维。——需求：含《安全需求基线》隐私、加密、日志、鉴权；——编码：使用SonarQube+FortifySCA，高危漏洞密度<0.1/KSLOC；——测试：包含渗透+模糊+APIfuzz，漏洞未修复禁止上线；——验收：由信安办出具《安全验收报告》，一票否决。12.2测试数据脱敏——使用医院自研脱敏平台“DeSenseV4.2”，算法：姓名→Hash+偏移、身份证→保留出生年、手机号→保留前三后四；——脱敏后数据加“TESTWATERMARK”字段，防止误用。第十三章培训、意识与考核13.1年度培训学时——医生、护士、技师：≥4学时；——信息人员：≥16学时；——外包人员：≥2学时，未通过考试禁止入场。13.2培训形式——线上：企业微信直播+答题，80分及格；——线下：红蓝对抗演示、钓鱼邮件现场体验；——考核结果与绩效挂钩：不及格扣当月绩效5%，连续两次不及格调岗。13.3模拟钓鱼——每季度一次，使用开源Gophish，邮件模板模仿“卫健委补贴申领”；——点击率>5%的科室，扣科室质量分1分，并在周例会通报。第十四章监督、审计与问责14.1内部审计——信安办牵头，联合纪检、审计、医务、护理，每年至少1次；——审计内容：权限、日志、补丁、备份、事件处置；——审计报告提交职代会，并在院务公开栏张贴7天。14.2外部审计——等保测评：每年一次，三级系统测评得分≥75分；——ISO27001监督审核：每两年一次；——渗透测试：由具备CNAS认证机构实施，报告留档5年。14.3问责清单|违规行为|经济处罚|行政处罚|法律后果|||||||私设FTP|5000元|警告|造成泄露追刑责||弱口令|1000元|通报|同上||泄露患者隐私|1万元+赔偿|降职|触犯《个人信息保护法》||勒索病毒隐瞒|2万元|撤职|构成拒不履行信息网络安全管理义务罪|第十五章技术工具与落地案例15.1工具栈——资产管理：iTop+CMDB，自动发现+人工复核；——漏扫：Nessus+AWVS+Goby；——EDR：CrowdStrike+Falcon；——SIEM：ElasticStack+SkyWalking；——DLP：Symant