医疗机构信息安全管理制度落实情况检查清单

医疗机构信息安全管理制度落实情况检查清单序号检查问题（所有可能问题）检查方式结果（合格/不合格/不适用）证据来源说明1是否已建立覆盖患者诊疗信息管理全流程的制度和技术保障体系？1.现场查阅制度汇编；2.访谈信息科负责人□合格□不合格□不适用《制度汇编》《信息安全保障体系文件》2制度和技术保障体系是否覆盖HIS及全部子系统（RIS、LIS、PACS、OA等）？核对制度目录与系统清单□合格□不合格□不适用《子系统清单》《制度目录》3是否已明确信息安全管理部门及组织架构？1.查看红头文件；2.访谈院办□合格□不合格□不适用《关于成立网络安全和信息化工作领导小组的通知》4是否已落实信息安全等级保护有关要求？1.查看备案回执；2.核对定级报告□合格□不合格□不适用《等级保护备案表》《定级报告》5医疗机构主要负责人是否正式签发文件担任患者诊疗信息安全管理第一责任人？查看任命文件□合格□不合格□不适用《第一责任人任命书》6是否已建立患者诊疗信息安全风险评估工作制度？查阅制度文本□合格□不合格□不适用《信息安全风险评估制度》7是否已建立患者诊疗信息安全应急工作机制？查阅制度文本□合格□不合格□不适用《信息安全应急预案》8是否已制定信息安全应急预案？查看预案文本□合格□不合格□不适用《信息安全应急预案》9应急预案是否包括组织机构（领导小组、技术小组）？核对预案章节□合格□不合格□不适用《应急预案》第X章10应急预案是否明确工作原则（逐级负责、预防预警等）？核对预案章节□合格□不合格□不适用《应急预案》第X章11应急预案是否列出基本应急处理流程？核对预案章节□合格□不合格□不适用《应急预案》第X章12应急预案是否包含网络线路故障排除流程？核对预案章节□合格□不合格□不适用《应急预案》第X章13应急预案是否包含黑客入侵应急处理流程？核对预案章节□合格□不合格□不适用《应急预案》第X章14应急预案是否包含患者信息泄露应急处理流程？核对预案章节□合格□不合格□不适用《应急预案》第X章15应急预案是否包含大规模病毒攻击应急处理流程？核对预案章节□合格□不合格□不适用《应急预案》第X章16应急预案是否包含HIS局部或全部瘫痪临床运营处置预案？核对预案章节□合格□不合格□不适用《应急预案》第X章17是否已建立患者诊疗信息保护制度？查阅制度文本□合格□不合格□不适用《患者诊疗信息保护制度》18信息保护制度是否明确“合法、依规、正当、必要”使用原则？核对文本条款□合格□不合格□不适用《信息保护制度》第X条19制度是否禁止出售或擅自向他人/机构提供患者诊疗信息？核对文本条款□合格□不合格□不适用《信息保护制度》第X条20是否已建立员工授权管理制度？查阅制度文本□合格□不合格□不适用《员工授权管理制度》21授权制度是否明确员工使用患者诊疗信息的权限？核对文本条款□合格□不合格□不适用《授权制度》第X条22授权制度是否明确员工相关责任？核对文本条款□合格□不合格□不适用《授权制度》第X条23是否建立因个人授权信息保管不当造成不良后果的责任追究条款？核对文本条款□合格□不合格□不适用《授权制度》第X条24是否建立信息安全自查制度？查阅制度文本□合格□不合格□不适用《信息安全自查制度》25是否建立信息安全事故责任管理与追溯机制？查阅制度文本□合格□不合格□不适用《事故责任追溯制度》26是否建立信息安全事故立即补救与报告机制？查阅制度文本□合格□不合格□不适用《事故报告与补救制度》27是否建立技术性安全文件体系（含技术要求、物理安全、网络安全、数据安全、主机安全、应用安全）？核对文件清单□合格□不合格□不适用《技术性安全文件体系目录》28是否建立安全管理机构制度？查阅制度文本□合格□不合格□不适用《安全管理机构制度》29是否建立信息操作人员安全管理制度？查阅制度文本□合格□不合格□不适用《信息操作人员安全管理制度》30是否建立系统建设管理制度？查阅制度文本□合格□不合格□不适用《系统建设管理制度》31是否建立系统运行维护管理制度？查阅制度文本□合格□不合格□不适用《系统运行维护管理制度》32是否建立标准化操作规程（SOP）？查阅SOP文本□合格□不合格□不适用各系统SOP文件33是否建立信息分级安全管理系统？查阅制度文本□合格□不合格□不适用《信息分级安全管理制度》34是否建立主数据双备份制度？查阅制度文本□合格□不合格□不适用《主数据双备份制度》35是否建立分级授权制度？查阅制度文本□合格□不合格□不适用《分级授权制度》36分级授权是否按岗位和身份区分？核对授权表□合格□不合格□不适用《岗位-权限对应表》37是否建立内部人员授权管理制度？查阅制度文本□合格□不合格□不适用《内部人员授权管理制度》38是否建立外包人员授权管理制度？查阅制度文本□合格□不合格□不适用《外包人员授权管理制度》39是否建立授权变更管理制度？查阅制度文本□合格□不合格□不适用《授权变更管理制度》40是否建立操作日志记录制度？1.抽查系统日志；2.查阅制度□合格□不合格□不适用《操作日志管理细则》41是否建立操作系统识别库及异常报警机制？现场演示□合格□不合格□不适用系统截图42是否建立信息安全问责制度？查阅制度文本□合格□不合格□不适用《信息安全问责制度》43是否建立计算机软硬件采购、验收制度？查阅制度文本□合格□不合格□不适用《软硬件采购验收制度》44是否明确信息系统使用与管理人员岗位职责？核对岗位职责说明书□合格□不合格□不适用《岗位说明书汇编》45是否建立信息系统专职管理人员离岗交接制度？查阅制度文本□合格□不合格□不适用《离岗交接制度》46是否建立数据安全保护技术标准？查阅技术标准文件□合格□不合格□不适用《数据安全保护技术标准》47是否建立网络安全漏洞检测制度？查阅制度文本□合格□不合格□不适用《漏洞检测制度》48是否建立系统升级管理制度？查阅制度文本□合格□不合格□不适用《系统升级管理制度》49是否建立操作权限管理制度？查阅制度文本□合格□不合格□不适用《操作权限管理制度》50是否建立用户登记制度？查阅制度文本□合格□不合格□不适用《用户登记制度》51是否建立信息发布审查、登记、保存、清除、备份制度？查阅制度文本□合格□不合格□不适用《信息发布管理制度》52是否建立禁止行为清单/目录并告知员工？1.查看清单；2.访谈员工□合格□不合格□不适用《禁止行为清单》53是否每年至少进行一次内部安全自查？查看自查报告□合格□不合格□不适用《年度安全自查报告》54是否每年至少进行一次外部安全评估？查看第三方评估报告□合格□不合格□不适用《外部安全评估报告》55是否每年至少修订一次数据安全管理制度？查看修订记录□合格□不合格□不适用《制度修订记录》56是否每年组织相关人员签署保密协议？查看保密协议签署表□合格□不合格□不适用《保密协议签署表》57是否每年开展数据安全风险评估？查看评估报告□合格□不合格□不适用《数据安全风险评估报告》58是否建立数据使用申请及批准流程？查阅流程文件□合格□不合格□不适用《数据使用申请流程》59是否建立“谁主管、谁审查”的数据审查机制？查阅制度文本□合格□不合格□不适用《数据审查制度》60是否建立事前申请、事中监管、事后审核的数据活动流程？核对流程图□合格□不合格□不适用《数据活动流程图》61是否建立泄密事件第一时间保密制度？查阅制度文本□合格□不合格□不适用《泄密事件保密制度》62是否建立泄密事件分级报告路径？查阅制度文本□合格□不合格□不适用《泄密事件报告路径图》63是否建立患者诊疗数据使用登记制度？查阅制度文本□合格□不合格□不适用《数据使用登记制度》64是否建立溯源技术标准体系？查阅技术文档□合格□不合格□不适用《溯源技术标准》65是否建立溯源监管制度？查阅制度文本□合格□不合格□不适用《溯源监管制度》66是否建立溯源奖惩制度？查阅制度文本□合格□不合格□不适用《溯源奖惩制度》67是否建立软件安全管理规定？查阅制度文本□合格□不合格□不适用《软件安全管理制度》68是否由专职管理员负责临床信息系统日常管理与维护？查看岗位职责及记录□合格□不合格□不适用《维护记录》