医院计算机网络保密制度

医院计算机网络保密制度一、医院计算机网络保密制度

（一）总则

医院计算机网络保密制度旨在规范医院计算机网络系统的使用与管理，保障患者隐私、医疗数据及医院核心信息的安全，防止信息泄露、篡改或滥用。本制度适用于医院所有接入计算机网络系统的部门、人员及设备，包括但不限于临床科室、行政办公、信息系统管理部门等。制度依据国家《网络安全法》《数据安全法》《个人信息保护法》及相关行业规范制定，需根据法律法规及医院实际情况进行动态调整。

（二）保密范围

1.患者信息：包括身份标识（姓名、身份证号、病历号等）、诊断结果、治疗方案、影像资料、遗传信息等敏感数据。

2.医疗业务数据：如医生处方、手术记录、费用清单、药品库存、科研数据等。

3.行政管理数据：包括员工个人信息、绩效考核、财务数据、采购记录等。

4.系统运行数据：如网络日志、设备配置、访问记录、安全事件日志等。

5.外部合作数据：与第三方机构（如保险公司、科研机构）共享或传输的数据需符合双方协议及法律法规要求。

（三）管理职责

1.信息化管理部门：负责制定和监督执行本制度，组织网络安全培训，定期开展风险评估和应急演练，管理网络设备、系统及访问权限。

2.临床及行政科室：各部门负责人为本部门信息保密的第一责任人，需确保员工遵守制度，对涉密数据进行分类分级管理，防止非授权访问。

3.员工：需通过保密培训考核后方可接触涉密信息，不得私自拷贝、传输或泄露数据，离职时须交还所有涉密介质及权限。

4.技术支持团队：负责网络设备的维护更新，实施数据加密、防火墙配置等安全措施，及时修复系统漏洞。

（四）访问控制

1.身份认证：所有用户需使用唯一账号登录系统，采用密码+动态验证码或生物识别（如指纹、人脸）双重认证机制。

2.权限管理：基于角色访问控制（RBAC），不同岗位人员权限应遵循最小权限原则，定期审查权限分配情况。

3.部门隔离：不同科室网络segment应物理或逻辑隔离，防止横向移动攻击；敏感数据存储需与普通业务系统分离。

4.外部接入：远程访问需通过VPN加密传输，外网用户访问需经审批并记录操作日志。

（五）数据安全防护

1.加密传输：所有敏感数据传输必须采用TLS/SSL等加密协议，API接口调用需进行签名验证。

2.存储加密：数据库敏感字段（如患者身份证号）需进行静态加密，备份数据应脱敏处理并存放在安全环境。

3.安全审计：系统需记录所有登录、操作及异常行为，日志保存周期不少于三年，定期进行完整性校验。

4.漏洞管理：每月开展漏洞扫描，高危漏洞需在30日内修复，并通知相关科室暂停使用受影响功能。

（六）应急响应

1.事件分级：按影响范围分为一般（数据错漏）、较重（部分系统瘫痪）、重大（核心数据泄露）三级，分别启动相应预案。

2.报告流程：发现安全事件需第一时间向信息化部门报告，小时内上报院领导，必要时向网信部门及公安机关备案。

3.应急处置：切断受感染设备网络连接，隔离受损系统，恢复数据备份，事后进行溯源分析并改进防范措施。

4.责任追究：因违反制度导致泄密事件的，依据医院规定及法律法规追究当事人行政、经济甚至刑事责任。

（七）监督与改进

1.定期检查：每半年由审计部门联合信息化部门开展制度执行情况检查，结果纳入科室考核。

2.培训考核：新员工入职须接受保密培训并签署承诺书，每年复训一次，考核不合格者调离敏感岗位。

3.制度更新：每年结合国家政策及技术发展修订本制度，重大变更需经院务会审议通过。

二、医院计算机网络保密制度具体实施细则

（一）患者信息采集与录入规范

患者信息在医院计算机网络系统中处于核心地位，其采集与录入环节必须严格遵守以下流程。首先，所有涉及患者信息的科室（如门诊、急诊、病房）在接诊时，需通过医院统一身份认证系统核对患者身份，确保姓名、身份证号等基础信息的准确性。医护人员在录入患者信息时，应遵循“按需录入”原则，仅收集诊疗所需的必要数据，避免过度收集或存储无关信息。例如，在开具检查单时，医生只需填写检查项目及医生建议，系统自动关联患者基本信息，无需手动重复录入。录入完成后，需由另一名医护人员进行二次核对，特别是涉及手术、麻醉等高风险操作的敏感数据，必须通过双人复核确保无误。此外，系统应设置自动校验机制，对身份证号、病历号等字段进行格式校验，防止因输入错误导致数据错误或后续查询困难。

（二）医疗数据传输与共享控制

医疗数据的传输与共享是医院计算机网络保密制度的重点环节，需在保障诊疗效率的同时防止信息泄露。医院内部不同科室间共享患者数据时，必须通过授权审批流程。例如，放射科需查看外科患者的影像资料时，外科医生需在系统中提交申请，注明查阅目的和期限，经信息化部门审核后，放射科医生方可获取相关数据。对于跨院区或远程会诊的数据共享，需遵循患者知情同意原则，通过加密信道传输，并记录所有访问操作。在数据共享过程中，系统需实现细粒度权限控制，确保共享范围仅限于必要人员。例如，在多学科会诊（MDT）中，仅授权的参与医生可查看讨论病例的完整诊疗信息，而行政人员等其他人员无法访问。此外，需建立数据脱敏机制，对外部合作或科研机构提供数据时，对患者姓名、身份证号等直接识别信息进行脱敏处理，如使用“患者A”“患者B”等代称，并限制数据使用期限。

（三）员工行为管理与保密培训

员工是医院计算机网络保密制度执行的关键主体，其行为规范直接影响信息安全。信息化管理部门需定期开展保密培训，内容包括国家相关法律法规、医院数据分类分级标准、典型泄密案例分析等。新入职员工必须参加培训并通过考核，考核不合格者不得接触涉密系统。培训材料应结合实际工作场景，如通过模拟场景演示“如何正确处理患者问询”“如何安全传输病历资料”等，增强员工的保密意识。在日常管理中，需明确员工使用计算机网络的边界，禁止将个人设备（如手机、笔记本电脑）接入医院网络，防止外部病毒入侵。对于需携带涉密数据外出（如参加学术会议）的员工，必须使用加密移动硬盘，并经过科室负责人和院领导审批，返回后需提交使用报告。此外，医院应建立员工行为监测机制，通过系统日志分析异常操作，如某医生在非工作时间频繁导出大量患者数据，系统应自动触发告警，由信息化部门介入核查。对违反制度的员工，视情节轻重给予警告、降级甚至解雇处理，并追究相关科室负责人的管理责任。

（四）网络设备与终端安全管理

网络设备与终端是医院计算机网络保密制度执行的物理基础，其安全状态直接影响整体防护水平。医院所有接入网络的设备（如交换机、路由器、防火墙）必须由信息化部门统一管理，定期更新设备固件和策略，防止因漏洞被攻击。终端设备（如电脑、打印机）需安装杀毒软件并及时更新病毒库，禁止安装与工作无关的软件，如游戏、视频下载工具等。员工离职时，需将所有终端设备交还医院，并清除个人账号和敏感数据。对于移动存储介质（如U盘），医院应推行“白名单”制度，仅允许使用经过安全检测的设备，并在公共区域设置数据销毁设备，方便员工处理废弃数据。在无线网络管理方面，需采用WPA3加密协议，并限制接入设备数量，防止unauthorized设备接入。对于涉及敏感数据的科室，可考虑部署物理隔离设备，如专用打印机、加密硬盘等，确保数据在输出环节不被复制或泄露。例如，病理科在出具诊断报告时，需使用专用打印机，并限制打印格式为黑白纯文本，防止他人通过彩色打印盗取患者信息。

（五）应急响应与事件处置流程

尽管医院已采取多重措施保障计算机网络安全，但突发安全事件仍可能发生，因此需建立完善的应急响应机制。当发生数据泄露或系统被攻击时，首先需隔离受影响设备，防止事态扩大，并立即启动应急小组，成员包括信息化部门、医务科、保卫科等部门负责人。应急小组需在第一时间评估事件影响，如泄露数据范围、是否涉及患者隐私等，并根据评估结果决定是否上报上级主管部门或公安机关。例如，某科室电脑感染勒索病毒，导致部分患者病历被加密，应急小组需迅速启动备份数据恢复流程，同时与患者沟通解释情况，避免恐慌。在事件处置过程中，需详细记录每一步操作，包括隔离措施、数据恢复方式、修复漏洞方法等，以便事后复盘。事件处理完成后，需对受影响系统进行全面安全加固，如重新配置防火墙规则、加强员工培训等，防止类似事件再次发生。此外，医院应定期开展应急演练，如模拟黑客攻击、数据备份失效等场景，检验应急小组的响应能力和预案的可行性。通过演练发现制度漏洞，及时修订完善，确保应急机制始终处于有效状态。

三、医院计算机网络保密制度监督与执行机制

（一）内部监督与审计机制

医院计算机网络保密制度的落实效果需通过常态化的监督与审计来保障。信息化管理部门应设立专门的内部审计岗位，该岗位独立于日常技术运维工作，定期对全院各科室的网络使用情况、数据访问记录、系统操作日志等进行抽查。审计周期可设定为每季度一次，重点关注高风险环节，如患者信息录入、数据导出、远程访问等。审计过程中，审计人员需模拟真实场景测试系统权限控制是否有效，例如尝试使用非授权账号访问敏感数据，或检查离职员工的账号是否已被及时禁用。审计结果需形成书面报告，明确列出发现的问题，如某科室存在多人使用同一账号登录系统的情况、某医生在非工作时间导出大量患者数据等，并要求责任部门限期整改。对于整改情况，需进行复查，确保问题得到根本解决。此外，医院可引入第三方审计机构，定期进行独立评估，其结果可作为医院绩效考核的参考依据。第三方审计能提供更客观的视角，帮助医院发现内部监督可能忽略的风险点。例如，第三方机构可能会发现医院在数据传输加密方面存在标准不统一的问题，从而推动医院整体提升安全防护水平。

（二）员工行为监督与考核机制

员工是保密制度执行的关键，对其行为的监督需结合日常管理和技术手段。医院可通过部署网络行为分析系统，实时监测员工的上网行为，如访问外部网站、下载文件、使用即时通讯工具等。系统需能识别异常行为，如短时间内大量下载患者病历、向个人邮箱发送敏感邮件等，并自动发送告警通知信息化部门。信息化部门在收到告警后，需及时与相关科室沟通，核实情况。对于确认违规的行为，需根据医院相关规定进行处理，如警告、罚款、甚至解除劳动合同。为强化监督效果，医院可设立内部举报渠道，鼓励员工发现并报告可疑行为。举报人信息需严格保密，防止遭到打击报复。对于提供有效线索的举报人，医院可给予适当奖励。在绩效考核中，保密制度执行情况应作为重要指标，与科室及个人评优评先挂钩。例如，某科室因多人违规使用个人设备接入医院网络被通报批评，该科室在当年度评优中予以取消资格，以此形成震慑。同时，需加强对重点岗位人员的监督，如掌握大量患者信息的医生、负责系统管理的IT人员等，可要求其定期签署保密承诺书，并增加抽查频率。

（三）技术监控与日志管理机制

技术监控是保障计算机网络保密制度有效执行的重要手段，需结合完善的日志管理机制。医院所有接入网络的系统（如HIS、EMR、PACS）均需配置详细的日志记录功能，记录用户的登录时间、操作内容、访问对象等信息。日志需包括操作者账号、IP地址、设备信息等，并采用不可篡改的技术手段存储，如使用数字签名或区块链技术。日志保存周期应遵循相关法律法规要求，一般不少于三年，以便在发生安全事件时追溯。信息化部门需定期对日志进行分析，识别异常模式，如同一账号在短时间内频繁登录失败、非工作时间访问敏感数据等。分析结果可用于风险评估和员工行为监督。此外，医院应部署安全信息和事件管理（SIEM）系统，将来自不同系统的日志集中管理，通过关联分析自动发现潜在风险。例如，SIEM系统能够检测到某台服务器突然出现大量数据访问请求，且请求来源IP地址异常，从而提示管理员可能存在网络攻击。在日志管理中，需注意保护患者隐私，对涉及敏感信息的日志字段进行脱敏处理，如将身份证号部分字符隐藏。技术监控还需与应急响应机制联动，当监控系统发现高危事件时，能自动触发告警，并通知相关人员立即处理。例如，防火墙检测到来自外部的SQL注入攻击时，应立即阻断该IP地址的访问，并通知IT团队分析攻击路径，修复系统漏洞。通过技术手段与人工监督相结合，形成立体化的保密防护体系。

（四）制度培训与意识提升机制

保密制度的生命力在于执行，而执行的前提是全员的理解和认同。医院需建立常态化的保密培训机制，确保所有员工掌握基本的保密知识和技能。培训内容应结合实际工作场景，避免空洞的理论说教。例如，可模拟患者咨询场景，讲解如何正确回答涉及患者隐私的问题，如避免公开患者姓名和诊断；可演示如何安全使用电子邮件，强调不发送包含敏感信息的附件；可介绍常见的安全风险，如钓鱼邮件、社交工程等，并指导员工如何防范。培训形式可多样化，如定期举办线下讲座、制作线上微课、发放宣传手册等。新员工入职时必须参加保密培训，考核合格后方可上岗。对于在岗员工，每年至少进行一次复训，确保其保持警惕。培训效果需通过考核检验，考核不合格者需重新学习直至通过。此外，医院应利用多种渠道宣传保密意识，如在内部公告栏张贴保密标语、在电脑屏幕屏保显示保密提示、在院内通讯系统中推送安全提醒等。通过持续性的宣传，将保密理念融入员工的日常行为习惯中。例如，某医院在每月的员工大会上进行“安全之星”表彰，奖励在保密工作中表现突出的个人和团队，以此营造“人人重保密”的文化氛围。当员工意识到保密不仅是规定，更是职业操守时，制度的执行力度自然会得到提升。

四、医院计算机网络保密制度违规处理与责任追究

（一）违规行为认定与证据固定

医院计算机网络保密制度的执行离不开对违规行为的准确认定和有效证据的固定。首先，需明确何种行为构成违规。例如，员工未经授权访问或下载患者病历资料、将涉密数据存储在个人设备或传输至外部非安全平台、使用弱密码或频繁共享账号密码、违反规定连接互联网或外部网络、系统操作未按规定记录日志等，均属于违规行为。在认定过程中，应以制度规定为依据，结合具体情节判断行为的性质和严重程度。对于情节轻微的违规，如偶尔误操作导致敏感信息短暂暴露但迅速纠正，可予以口头警告和教育；对于情节较重的违规，如故意泄露患者信息但未造成实际损害，需进行书面警告并记录在案；对于情节严重的违规，如因个人操作导致患者信息被非法获取，需追究其法律责任。证据固定是认定违规的关键环节，主要依靠系统日志、监控录像、网络流量记录、用户操作记录等。例如，当发现某账号在深夜频繁导出大量患者数据时，系统日志会记录下操作时间、操作人、操作内容、目标设备等信息。同时，可调取该时间段附近监控录像，确认操作人身份。如有可能，还可捕获网络传输数据包，分析数据内容。这些证据需妥善保存，形成完整的证据链，以便后续调查和处理。在固定证据时，需确保其合法性、真实性和完整性，避免因证据问题导致处理结果无效。例如，调取日志时需确保覆盖相关时间段，避免遗漏关键信息；确保证据来源可靠，防止被篡改。信息化部门负责技术层面的证据固定，而保卫科或审计部门则负责协调和监督证据收集工作。

（二）处理程序与奖惩措施

对违规行为的处理需遵循公正、公开、透明的原则，并设定明确的程序和奖惩措施。医院应制定专门的《保密违规处理办法》，详细规定不同类型违规行为的处理标准。处理程序一般包括调查、认定、处理、反馈四个步骤。当发现疑似违规行为时，首先由信息化部门或相关部门启动调查，收集证据并核实情况。调查过程中，需告知当事人调查事由，并给予其陈述和申辩的机会。调查结束后，需形成调查报告，由相关部门（如信息化部门、医务科、人事科等）联合审核，确认违规事实并初步提出处理意见。处理意见需报请院领导批准后执行。处理方式可分为警告、罚款、取消评优资格、调离敏感岗位、解除劳动合同等。例如，对于违反规定使用个人设备接入医院网络的行为，初次发现可予以警告并要求整改；再次发现则需罚款并强制参加保密培训；若因此导致数据泄露，则可能面临解雇。在执行处理决定时，需将处理结果正式通知当事人，并告知其如有异议可通过内部申诉渠道提出。对于查证属实的违规行为，医院应建立相应的奖励机制，鼓励员工主动发现和报告安全风险。例如，某员工发现同事试图通过个人邮箱发送包含患者隐私的邮件，并及时向信息安全部门报告，避免了一次潜在的信息泄露事件，医院可给予该员工物质奖励或表彰。相反，对于恶意违规或因重大过失导致严重后果的行为，除按制度处理外，还需追究其相应责任，构成犯罪的依法移交司法机关处理。奖惩措施的目的是强化制度威慑力，引导员工自觉遵守保密规定。

（三）责任追究与法律风险防范

违反医院计算机网络保密制度不仅可能导致内部处分，还可能引发法律风险，需对相关责任主体进行严肃追究。责任追究的对象包括直接责任人、部门负责人以及医院管理层。直接责任人是违规行为的实施者，如擅自拷贝患者病历的医生、未妥善保管设备导致信息泄露的护士等。对其追究主要依据违规行为的性质和后果，轻者批评教育，重者解除劳动合同，并承担相应的民事赔偿责任。部门负责人对本部门员工的保密行为负有管理责任，若发生违规事件，需检查是否存在管理漏洞，如培训不到位、监督不力等。对于部门责任，医院可给予通报批评、取消年度评优资格等处理。管理层则需对制度的建立和执行承担领导责任，若因管理失职导致医院遭受重大损失，需追究其管理责任。例如，某医院因未及时更新防火墙规则导致外部攻击者窃取大量患者信息，经调查发现院领导对网络安全重视不足，处理流程不完善，最终院领导需承担相应责任。在责任追究过程中，需区分故意与过失、单个行为与系统性问题，做到罚责相当。对于因第三方原因（如供应商系统漏洞）导致的泄密事件，医院虽无直接责任，但仍需调查清楚原因，并要求第三方承担相应责任，同时改进自身管理措施，减少类似事件再次发生的风险。法律风险防范是责任追究的重要目的。医院需聘请法律顾问，定期评估保密制度的法律合规性，避免因制度缺陷或处理不当引发法律纠纷。例如，在处理员工违规时，需确保程序合法，避免侵犯员工合法权益；在应对外部数据泄露诉讼时，需有完善的证据链支持医院的立场。通过严格的责任追究和法律风险防范，既能惩戒违规行为，又能提升医院整体的风险防范能力。

（四）持续改进与制度完善

医院计算机网络保密制度并非一成不变，需根据实际情况和外部环境变化进行持续改进和完善。制度的完善应建立在对过往事件教训的总结和对新风险的识别基础上。例如，每年可组织一次全面的风险评估，分析过去一年发生的违规事件、安全事件以及外部行业通报的漏洞，识别制度中的薄弱环节。评估结果应作为修订制度的依据。例如，若发现多个科室存在使用弱密码的问题，则需在制度中强调密码复杂度要求，并推动采用多因素认证技术。此外，制度的完善还需与时俱进，关注新技术、新业务带来的安全挑战。例如，随着远程医疗、移动医疗的发展，患者数据在更多场景下流转，需补充相关场景下的保密要求，如明确远程会诊中数据传输的加密标准、规范移动端APP的数据访问权限等。制度修订过程应经过充分论证，可邀请临床、行政、IT等部门代表参与讨论，确保修订内容符合实际工作需求。修订后的制度需经过院务会审议通过，并正式发布实施。同时，应同步更新相关培训材料、操作手册，确保员工了解最新要求。在制度执行过程中，还需收集员工的反馈意见，特别是关于制度可操作性、合理性等方面的建议。例如，某科室反映现有数据导出流程过于繁琐，影响了工作效率，医院可在确保安全的前提下优化流程，提升制度的实用性。通过持续改进和制度完善，使保密制度始终处于动态优化的状态，更好地适应医院发展需求，保障信息安全。

五、医院计算机网络保密制度附则

（一）制度解释与修订

本制度由医院信息化管理部门负责解释。在执行过程中，如遇与国家法律法规冲突之处，以国家法律法规为准。信息化管理部门需根据国家政策调整、技术发展以及医院实际情况，定期对本制度进行评估和修订。修订周期一般不超过一年，或在发生重大安全事件、法律法规更新后立即启动修订程序。修订后的制度需重新履行审批流程，并发布通知全院。各科室在执行过程中，如发现本制度存在不明确或与实际工作不符之处，可向信息化管理部门提出书面建议，由信息化管理部门汇总研究后提出修订方案。通过持续修订，确保本制度始终符合医院信息安全管理的实际需求。

（二）保密协议与承诺

医院所有员工在入职时，必须签署《保密协议》，明确其保守医院计算机网络秘密信息的义务和责任。保密协议应包含员工需遵守的保密事项、保密期限、违约责任等内容。对于接触敏感信息的重点岗位人员，如医生、护士、IT管理员等，还需签署更具针对性的《涉密人员保密承诺书》，承诺不得以任何形式泄露、篡改、损毁或非法利用所知悉的患者信息、医疗数据等秘密。保密协议和承诺书应作为员工档案的一部分妥善保管，并在员工离职时进行复核。离职员工仍需遵守保密义务，保密期限一般直至其知悉的信息失去价值为止，但涉及患者隐私的信息，保密义务通常具有永久性。医院应定期组织员工重读保密协议或承诺书，强化其保密意识。例如，可在每年员工培训中加入保密协议的内容，并要求员工签字确认已再次学习。通过签署协议和承诺，将保密义务转化为员工的法定责任，为日后处理违规行为提供法律依据。

（三）保密工作配合与协同

医院计算机网络保密工作的有效开展，需要各部门、各岗位的密切配合与协同。信息化管理部门作为保密工作的归口部门，负责制定制度、技术防护、应急响应等全局性工作，但需充分尊重和协调各科室的业务需求。在涉及临床科室的业务流程时，如需调整系统功能或数据权限以符合保密要求，信息化管理部门应与临床科室充分沟通，了解实际工作场景，共同制定解决方案。例如，外科医生希望与其他科室医生共享患者影像资料进行会诊，信息化部门需与外科、相关科室沟通，制定安全的共享机制，如通过授权审批、设置访问时效等方式，既保障信息安全，又满足临床需求。在处理安全事件时，需建立跨部门协作机制，医务科、护理部、保卫科等部门需积极配合信息化部门进行调查、处置和善后工作。例如，发生患者信息泄露事件后，医务科需协助识别受影响的患者范围并通知其；护理部需配合调查信息泄露环节；保卫科需负责外部报警和证据固定。通过建立常态化的沟通协调机制，如定期召开信息安全联席会议，及时解决保密工作中遇到的问题，形成工作合力。此外，医院可与公安机关网安部门、卫生健康行政部门建立联系，在遇到重大安全事件或政策疑问时，及时寻求指导和支持。通过多方协同，提升医院整体保密工作的能力和水平。

（四）监督举报与保密

医院鼓励员工积极参与保密工作的监督，对发现的安全风险或违规行为，可通过指定渠道进行举报。信息化管理部门应设立并公布保密监督举报电话、邮箱或在线平台，确保举报渠道畅通。在接收举报时，需严格保密举报人信息，防止打击报复。对于举报线索，需认真核实，经查证属实的，按制度规定处理，并对举报人给予适当奖励。例如，某员工匿名举报某科室医生将患者信息存储在个人电脑中，信息化部门经调查确认后，对该医生进行处理，并给予举报人奖金。为鼓励实名举报，医院可建立举报奖励机制，对提供关键线索并协助调查的实名举报人给予更高奖励。同时，医院应向员工明确，举报应基于事实，不得捏造事实或诬告陷害。对于恶意举报行为，将依法追究其责任。通过畅通的监督举报渠道，形成内部监督压力，及时发现和纠正保密工作中的问题。此外，医院还应向患者告知保密监督举报途径，如设立院内举报信箱、公布举报电话等，接受社会监督，共同维护患者信息安全。在处理举报和奖励过程中，仍需严格遵守保密规定，保护举报人和相关人员的隐私。

（五）生效日期与适用范围

本制度自发布之日起生效，适用于医院所有部门、全体员工以及与医院计算机网络系统相关的设备、软件和数据。医院各部门在执行本制度时，应结合本部门实际情况，制定具体实施细则，确保制度要求落实到位。例如，财务科在处理涉及患者费用的数据时，需特别注意保护患者支付信息，除必要人员外，其他人不得访问；后勤部门在维护网络设备时，需严格遵守操作规程，防止因操作不当导致信息泄露。对于与医院签订服务协议的第三方人员（如软件供应商、IT外包服务商），医院应在协议中明确其保密义务，要求其采取不低于医院标准的保密措施，并对其员工进行保密培训。若第三方人员违反保密规定，医院有权解除合同并追究其责任。通过明确适用范围和责任主体，确保保密制度覆盖医院信息安全的各个方面，为医院计算机网络系统的安全稳定运行提供制度保障。

六、医院计算机网络保密制度附则

（一）保密制度与其他制度的衔接

医院计算机网络保密制度并非孤立存在，而是医院整体管理体系中的一部分，需与其他相关制度有效衔接，形成合力。首先，与《医院信息安全管理制度》的衔接最为直接。保密制度是信息安全管理的核心内容之一，应在该制度中明确保密工作的目标、原则、组织架构和主要措施，确保保密工作融入医院信息安全管理的整体框架。例如，信息安全管理制度可规定各部门需定期开展保密自查，而保密制度则具体明确自查的内容、方法和报告要求。其次，与《患者隐私保护制度》的衔接至关重要。患者隐私保护是保密工作的核心领域，保密制度需在该制度框架下，针对计算机网络环境下的患者信息收集、存储、使用、传输等环节制定更具体的操作规范。例如，患者隐私保护制度可能规定“未经患者同意不得泄露其敏感信息”，而保密制度则可细化“通过网络传输患者敏感信息时，必须采用加密方式”，并规定具体的加密标准和技术要求。再次，与《员工手册》的衔接也很重要。员工手册是医院规章制度的基础性文件，保密制度的相关内容，如保密责任、违规处理等，应纳入员工手册，作为所有员工必须遵守的行为准则。例如，员工手册中应明确“员工有义务保护医院信息和患者隐私，不得从事任何可能泄露秘密的行为”，并引用保密制度中的具体规定。此外，与《档案管理制度》《财务管理制度》等制度的衔接也不可忽视。这些制度中可能涉及部分敏感信息，需在相关条款中强调信息保密要求，确保同类信息在不同部门管理时遵循一致的保密标准。通过与其他制度的有效衔接，避免制度冲突，确保保密要求在医院各项工作中得到全面贯彻。

（二）保密工作的资源保障

医院计算机网络保密工作的有效开展，离不开必要的资