医院信息安全保密制度

医院信息安全保密制度第一章总则1.1制度定位本制度是医院信息资产全生命周期管理的纲领性文件，与《医疗质量管理办法》《个人信息保护法》《数据安全法》并行，适用于院本部、分院、医联体成员及全部外包团队。任何人在任何场景下对信息的收集、存储、使用、共享、销毁，均须以本制度为最低标准，不得通过“业务特殊”等理由降维执行。1.2信息定义医院信息指以电子、光学、磁或者类似手段生成、发送、接收、存储的、可单独或与其他信息结合识别特定自然人、法人或反映业务活动情况的各种记录，包括但不限于：(1)患者基本身份数据、诊疗数据、生物识别数据、基因数据；(2)职工人事、薪酬、科研、继续医学教育数据；(3)供应链、财务、合同、招投标、设备运行日志；(4)科研队列、药物试验、伦理审查文件；(5)信息系统源代码、配置文件、网络拓扑、漏洞扫描报告。1.3保密原则最小够用、权责一致、全程留痕、违规即罚、罚到痛点。第二章组织与职责2.1信息安全与保密委员会（简称“安委会”）院长任主任，分管信息副院长任常务副主任，医务部、护理部、财务部、科研处、设备科、后勤、纪检、信息中心、法务、患者服务中心负责人为委员。安委会每月召开一次例会，遇重大事件可临时召集，会议纪要在OA系统封存五年。2.2信息安全办公室（ISO）挂靠信息中心，设专职安全管理员5人，实行AB角制度。ISO负责制度解释、风险评估、审计、培训、事件调查、取证、整改跟踪。2.3数据保护官（DPO）由法务部高级顾问兼任，直接向院长汇报，独立出具合规意见，对违反法律法规的处理决定拥有一票否决权。2.4科室安全员每个临床、医技、职能科室设1名安全员，享受每月500元岗位津贴；安全员须通过年度“红蓝对抗”演练方可续聘。2.5第三方连带责任外包公司须与医院签订《信息安全补充协议》，缴纳不低于合同额10%的保密保证金；发生泄露事件，医院可先行扣划保证金用于应急，再另行追偿。第三章分级与分类3.1数据分级级别标识颜色泄露影响示例加密要求存储期限绝密黑底红字可致重大舆情、诉讼、医保拒付肿瘤基因全序列、艾滋病个案SM4+RSA双加密，密钥长度≥3072位永久，脱敏后30年可销毁机密红底白字可致个人重大歧视、保险拒赔精神科病历、吸毒史、遗传病SM4加密，密钥长度≥256位诊疗结束后15年秘密黄底黑字可致个人一般困扰、单位监管处罚普通住院病历、影像报告数据库TDE透明加密诊疗结束后5年内部蓝底白字影响内部管理效率排班表、设备维修记录磁盘整盘加密3年公开绿底白字已主动公开医院简介、重点专科介绍不加密永久公开3.2系统分级按等保2.0要求，HIS、EMR、LIS、PACS、RIS、互联网医院定为三级；OA、邮件、科研平台定为二级；食堂消费、停车管理定为一级。三级系统每年做一次渗透测试，二级每两年一次，一级每三年一次。第四章账号与权限4.1账号生命周期(1)入职：人事部在HR系统点“发送”后，ISO在30分钟内创建唯一主账号，默认禁用所有权限；(2)转岗：科室须在48小时内发起“权限变更流”，原权限自动冻结，新权限审批完成后旧权限即刻回收；(3)离职：人事部点“离职”按钮，ISO脚本5分钟内禁用AD、VPN、VDE、堡垒机、企业微信、CA证书，并触发“离职审计”任务，审计通过后方可结算工资。4.2最小权限模型采用RBAC+ABAC混合模式：RBAC：角色=岗位+科室+业务，系统内置角色≥2000个，禁止自建角色；ABAC：动态属性=患者年龄、病种、是否新冠、是否VIP、是否科研病例，属性由临床路径引擎实时计算。4.3高敏操作双人控制以下操作必须双人临柜+数字证书+动态令牌：•修改肿瘤分期、病理诊断；•调整药品库存上限；•导出≥50条含身份证号的数据；•修改财务科目期初余额；•重置他人密码。4.4特权账号管理数据库DBA、网络管理员、安全设备root账号全部纳入堡垒机，命令行实时录像，录像保存三年；每周随机回放5%录像，发现违规立即停职调查。第五章数据存储与传输5.1院内传输核心与接入层采用MACsec加密，密钥每日自动轮换；无线Wi-Fi采用WPA3-Enterprise，证书由医院私有CA签发，有效期90天；禁止任何科室私自搭建无线路由。5.2院外传输(1)互联网医院：前端TLS1.3，证书固定pinning，接口限流200次/分钟/IP；(2)医联体：采用IPSecVPN+GREoverIPSec双隧道，启用AES-256-GCM；(3)政务共享：通过市政务数据共享交换平台，使用国家政务外网证书，数据经脱敏、水印、摘要、签名四重处理；(4)科研合作：采用“数据不落地”沙箱，远程桌面仅开放像素级传输，禁用剪贴板、磁盘映射、打印。5.3存储加密(1)生产库：OracleTDE+列级加密，关键表采用国密SM4；(2)备份：LAN-Free备份到加密池，备份服务器在独立VLAN，关闭TCP/IP协议栈，仅保留FC光纤通道；(3)移动介质：U盘、移动硬盘须采购医院指定品牌，硬件级国密芯片，丢失后远程擦除；(4)云存储：仅允许使用政务云，数据分片加密，密钥托管在HSM，医院持有唯一密钥分量。第六章终端与移动介质6.1终端分类类型examples准入方式失窃处置时限A类医生工作站、护士站802.1X+证书+补丁检查10分钟B类移动查房车、PDAMDM+地理围栏30分钟C类个人BYOD手机仅允许企业微信，数据容器隔离60分钟6.2补丁与基线Windows、Linux、macOS、Android、iOS五类终端统一采用WSUS+Spacewalk+Intune，补丁安装率≥98%，基线不合规则自动断网。6.3外设管控USB端口实行“白名单+临时令牌”制度：医生需插个人U盘，须在OA提交“外设使用单”，审批后下发4小时令牌，超时端口自动锁死；打印、刻录、蓝牙、摄像头同理。第七章日志与审计7.1日志分类系统日志、应用日志、安全日志、审计日志、操作日志、网络日志、物理门禁日志、视频监控日志。7.2留存期限绝密数据相关日志保存≥20年，机密≥10年，秘密≥5年，内部≥1年，公开≥6个月。7.3审计策略(1)实时审计：采用UEBA，设置200+条规则，如“凌晨2-5点批量查询明星患者”“护士账号访问财务系统”均触发告警；(2)定期审计：每季度随机抽取5%职工，对其三个月内所有系统操作进行人工复核；(3)专项审计：发生纠纷、投诉、医保拒付、科研撤稿时，ISO可临时扩大审计范围，无需另行审批。第八章备份与灾难恢复8.1备份策略数据类型RPORTO备份频率备份地点校验频率HIS生产库15分钟30分钟实时快照+每2小时增量主数据中心+异地机房每日自动校验校验和EMR归档库1小时2小时每日全量蓝光光盘库每月人工抽检10%影像文件4小时6小时每日差异对象存储+异地复制每周深度扫描8.2演练要求每半年进行一次“无脚本”灾难演练：随机拔掉一根光纤，验证切换时间；演练失败即扣罚运维科当季绩效10%。第九章外包与科研合作9.1外包准入外包公司须提交“安全能力自评表”，ISO组织现场穿透测试，得分≥90分方可入围；入围后签署《数据处理协议（DPA）》，明确数据使用范围、销毁方式、违约责任。9.2科研数据脱敏科研团队申请数据时，须填写《科研数据使用申请表》，经伦理委员会、科研处、法务、ISO四方会签；脱敏算法采用k-匿名+l-diversity+t-closeness组合，关键字段使用差分隐私ε≤1；输出数据加水印，水印可追溯到申请人、申请时间、用途。9.3论文发表审查任何涉及患者数据的论文、专利、会议幻灯，须在投稿前提交“数据披露审查”，由DPO审核是否存在可识别信息；未通过审查即投稿，冻结科研经费，并通报学术委员会。第十章物理与环境安全10.1机房采用GB50174A级标准，双路市电+2NUPS+柴油发电机N+1，电池后备时间≥15分钟；机柜前后门、侧板全封闭，智能锁+指纹+刷脸+机械钥匙四重认证；所有线缆经KVMoverIP，本地不预留USB、VGA口。10.2视频监控机房、档案室、药品库、财务室、病案室实现1080P全覆盖，录像保存90天；监控设备纳入独立网络，采用国密视频加密算法，防止被篡改。10.3门禁与访客重要区域采用“防尾随”通道闸，一人一卡一记录；访客须持身份证换临时卡，全程由对口科室人员陪同，离开时须由陪同人刷卡确认出门；访客卡有效期默认4小时，超时未出门，门禁自动报警。第十一章安全事件管理11.1事件分级等级定义上报时限调查时限结案标准P0特别重大绝密数据泄露≥1000条或涉及副厅级以上人员10分钟24小时整改完成+第三方评估+监管报备P1重大机密数据泄露或系统停机≥4小时30分钟72小时同上P2较大秘密数据泄露或系统停机≥1小时1小时7天内部通报+整改P3一般内部数据泄露或局部功能异常4小时14天科室通报11.2应急响应流程(1)发现：任何人发现异常均可拨打7×24小时“400-XXX-110”热线；(2)定级：ISO值班员30分钟内完成初步定级；(3)遏制：P0、P1级事件可临时断网、关机、冻结账号，无需业务科室同意；(4)取证：采用内存镜像、磁盘克隆、网络抓包三同步，确保证据链完整；(5)通报：P0、P1级事件须在2小时内向市卫健委、公安网安支队、医保局书面报告；(6)复盘：事件结束后5个工作日内召开复盘会，输出《事件报告》和《整改清单》，整改完成率纳入年度绩效考核。第十二章培训与考核12.1入职培训所有新员工（含外包）须完成4学时线上+2学时线下培训，内容涵盖制度、案例、模拟钓鱼邮件；考试90分合格，不合格补考一次，再不合格终止入职流程。12.2年度再培训在职员工每年须完成2学时直播+2学时VR情景演练；演练场景包括“勒索病毒攻击”“护士站电脑丢失”“科研数据被国外期刊拒稿”等；未按时完成，暂停信息系统权限。12.3考核与奖惩考核项权重奖励惩罚安全考试30%满分奖励300元不及格扣500元钓鱼演练20%未被钓鱼奖励200元被钓鱼扣1000元+通报漏洞上报20%高危漏洞奖励1000元知情不报按泄密处理事件责任30%无事件奖励500元主责扣2000元+降档第十三章法律责任与附则13.1违约责任职工违反本制度，医院有权视情节给予警告、扣发绩效、降职、解除劳动合同；造成损失的，依法追究