卫生院信息安全管理制度乡镇卫生院信息安全管理制度

卫生院信息安全管理制度乡镇卫生院信息安全管理制度一、信息安全管理组织及岗位职责岗位/层级具体职责落地执行要求信息安全领导小组组长（卫生院院长）对本院信息安全工作负第一领导责任，统筹全院信息安全规划、资源配置和重大问题决策1.每年至少组织召开2次信息安全专题工作会议，研究解决信息安全设备升级、人员培训、隐患整改等实际问题，留存会议纪要；2.审批本院信息安全工作计划、经费预算、应急预案以及对外数据提供申请，签字存档；3.发生重大信息安全事件时，第一时间牵头处置，按要求上报上级主管部门，对接公安、网信等部门开展调查；4.每半年带队开展一次全院信息安全全面检查，对检查发现的问题督促整改到位信息安全领导小组副组长（分管副院长）具体负责全院信息安全工作的推进、落实和日常管理1.组织落实各项信息安全管理制度，协调各科室开展信息安全工作，明确各岗位信息安全责任；2.每季度组织开展一次全院信息安全隐患排查，对排查出的问题建立整改台账，限期整改销号；3.组织开展全院职工信息安全培训，制定培训计划，检查培训落实情况；4.发生信息安全事件时，第一时间赶到现场指挥处置，及时向组长汇报事件进展；5.负责审核一般数据导出、第三方人员入场维护等申请，签字确认专（兼）职信息安全员负责全院信息系统、网络、设备的日常安全运维和隐患排查，具体落实各项安全要求1.每天至少1次巡查核心机房、服务器、网络设备、核心业务系统的运行状态，认真填写巡查日志，日志留存不少于3年；2.定期更新病毒库、系统补丁、防火墙规则，每周对全院终端进行一次病毒查杀抽查，做好记录；3.负责全院系统账号开通、变更、注销管理，离岗人员账号3个工作日内必须完成注销，做好账号台账登记；4.负责数据备份工作，按要求完成每日本地备份、每周异地备份，每季度开展一次备份数据恢复测试，确保备份可用；5.对接上级卫健局信息中心、网信部门，按要求上报信息安全工作情况，配合开展信息安全检查；6.接到信息安全问题报告后，30分钟内必须到场处置，无法处置的及时上报分管副院长；7.留存所有信息安全工作台账，包括巡查记录、隐患整改记录、培训记录、审批登记等，分类整理归档科室信息员（各科室指定1人）负责本科室信息安全日常管理，落实各项安全要求1.督促本科室职工严格遵守信息安全管理制度，每天下班检查本科室终端锁屏、断电情况，每周抽查本科室终端安全情况；2.发现本科室出现终端异常、网络异常、数据泄露风险等问题，第一时间上报信息安全员，保护好现场；3.配合信息安全员开展本科室信息安全隐患排查和整改，做好本科室敏感信息、纸质资料的管理；4.组织本科室职工参加信息安全培训，传达最新的信息安全要求全体在岗职工落实岗位信息安全要求，对本人操作行为的信息安全负责1.严格遵守各项信息安全制度，不违规操作，不越权访问信息；2.主动参加信息安全培训，掌握基本的信息安全防护技能，提高安全防范意识；3.发现信息安全隐患或异常情况，第一时间上报科室信息员或信息安全员二、信息分类分级保护管理信息类别安全等级具体保护要求责任主体核心敏感信息：可识别特定自然人身份的诊疗信息、居民健康档案信息、新冠及常规疫苗接种信息、医保结算明细信息、职工个人隐私信息、本院财务核心数据（原始凭证、报销明细、工资报表等）、采购招投标标底信息一级保护（最高等级）1.所有一级敏感信息必须加密存储，仅能存储在本院指定的内网服务器或加密工作终端内，严禁存储在私人手机、个人U盘、私人云盘、公共网盘等非授权存储介质中；2.访问一级敏感信息必须使用本人专属账号密码登录，严禁共享账号，越权访问；3.导出、拷贝一级敏感信息必须提前提交申请，经分管副院长审核、院长签字批准后，由信息安全员操作，做好登记，登记内容包括导出人、导出事由、数据范围、导出时间、批准人，台账留存3年；4.严禁任何人以任何方式向无关第三方提供一级敏感信息，工作需要共享的必须符合国家法律法规和上级主管部门要求，签订保密协议；5.打印的一级敏感信息纸质资料，使用后必须及时存放在带锁的文件柜中，废弃不用的必须用碎纸机粉碎，严禁随意丢弃在垃圾桶等公共区域各业务科室+信息安全员重要工作信息：本院医疗质量月度/季度汇总数据、公共卫生服务项目汇总数据、内部管理文件、未公开的人事调整信息、项目申报材料、设备采购合同二级保护1.仅对授权岗位开放访问权限，不得随意转发给非授权人员；2.对外发布或提供二级信息必须经分管副院长审核、院长批准，做好登记；3.纸质二级信息用完后及时归档，废弃的按保密要求处理，不得随意流传对应业务分管科室公开信息：本院门诊排班表、医护人员简介、医保政策公示、免费公共卫生服务项目指南、招聘公告、对外公开的通知公告三级保护1.对外发布前必须由办公室审核内容，确认内容中不包含敏感信息、涉密信息，经分管副院长批准后才能发布；2.定期对发布在公众号、公示栏的公开信息进行检查，发现信息泄露或者错误及时撤回更正办公室三、物理环境安全管理物理区域具体管理要求责任主体核心机房（放置服务器、核心交换机、存储设备、路由器的专用区域）1.必须设置独立封闭房间，安装防盗门窗、密码门禁，仅允许信息安全员、分管副院长进入，其他人员因工作需要进入必须经分管副院长批准，由信息安全员陪同，做好入场登记；2.机房必须配备专用空调，控制温度在18-25℃、相对湿度在40%-60%，防止设备过热受潮损坏；3.机房必须配备干粉灭火器、烟雾报警器，做好防水、防鼠、防尘措施，严禁在机房内存放食品、饮料、杂物等与工作无关的物品，信息安全员每月清理一次机房灰尘，排查鼠患；4.信息安全员每天检查机房供电、UPS备用电源状态，停电时优先保障核心服务器供电，及时关闭非核心设备，延长备用电源供电时间；5.机房门禁密码每三个月更换一次，严禁泄露给无关人员信息安全员业务终端放置区域（门诊收费室、医生办公室、护士站、防保科、医保科等）1.终端无人使用时必须立即锁屏，下班时必须关机锁屏，锁好存放纸质资料的文件柜；2.门诊收费室、医保科的业务终端必须设置在封闭区域，非本岗位工作人员严禁随意操作终端；3.外来人员（包括设备供应商、维修人员）需要操作终端的，必须经信息安全员同意，由信息安全员全程陪同，做好登记各岗位操作人员+科室信息员存储介质与纸质资料存放区域1.工作用移动存储介质（U盘、移动硬盘）必须统一采购、统一加密，登记编号，严禁使用私人移动存储介质拷贝工作数据；2.所有纸质敏感信息必须存放在带锁的文件柜中，下班锁好，借阅必须登记；3.废弃的敏感纸质资料必须粉碎，废弃的存储介质必须由信息安全员做消磁处理，严禁随意丢弃或者转卖各科室负责人四、网络与边界安全管理网络类型具体管理要求责任主体业务内网（卫健专网、医保专网）1.业务内网为专用工作网络，严禁与互联网直接物理连接，严禁任何终端同时连接内网和互联网（禁止双网卡同时启用、禁止私接随身WIFI转化内网信号到互联网），这是信息安全红线，违反即按违规处理；2.所有接入内网的终端必须登记IP地址和MAC地址，实行IP-MAC绑定，私自接入终端的不予开通网络，严肃追责；3.内网严禁开通公共WIFI，严禁任何私人设备接入内网；4.确需从内网传输数据到外网的，必须经分管副院长批准，使用经过杀毒加密的专用工作U盘，由信息安全员操作，做好传输登记，严禁私自跨网传输信息安全员+全体职工互联网（外网）1.外网仅用于工作查询、业务学习、公开信息发布，严禁访问非法网站、赌博色情网站，严禁下载不明来源的软件、文件，严禁利用外网从事与工作无关的盈利活动；2.公共访客WIFI必须与内网物理隔离，无法物理隔离的必须通过防火墙配置访问规则，禁止访客WIFI访问任何内网资源；3.公共WIFI和办公WIFI密码必须设置为不少于10位的强密码，每三个月更换一次，密码不得告知非授权人员；4.所有外网终端必须安装正版杀毒软件和防火墙，打开自动更新功能，定期查杀病毒信息安全员网络设备与边界防护1.信息安全员每半个月检查一次防火墙、入侵检测系统的运行规则，关闭不必要的端口和服务，及时更新防火墙固件，拦截非法外部访问；2.严禁将内网核心服务器直接暴露在互联网上，所有外部访问必须经过防火墙授权和身份验证；3.所有网络访问日志、系统操作日志必须至少留存6个月，核心服务器日志留存不少于1年，不得随意删除日志；4.每半年配合上级主管部门开展一次网络渗透测试，及时修复发现的安全漏洞信息安全员五、终端与移动设备安全管理设备类型具体管理要求责任主体固定工作终端（台式电脑、工作笔记本）1.每个职工分配唯一登录账号，设置不少于8位的强密码，包含大写字母、小写字母、数字和特殊字符，每三个月必须更换一次密码，严禁共享账号密码，严禁将账号借给非本院职工使用；2.严禁私自安装任何软件，所有工作软件必须由信息安全员统一安装测试，确认无病毒无风险后才能使用，严禁在工作终端下载安装游戏、电影等与工作无关的内容，占用存储空间增加安全风险；3.信息安全员每一个月对全院终端进行一次安全检查，清理违规软件和无关文件，更新系统补丁；4.终端报废或者淘汰时，必须由信息安全员对硬盘进行消磁或者低格处理，彻底清除所有数据后才能处置，严禁将带有工作数据的旧终端直接转卖、赠送他人全体操作人员+信息安全员工作移动设备（公卫随访平板、移动护理PDA、工作手机）1.所有工作移动设备必须设置开机密码，只能用于工作，严禁下载安装私人软件、游戏，严禁连接私人WIFI；2.带出医院使用必须经科室负责人批准，做好使用登记，使用完成后及时归还，丢失的必须第一时间上报信息安全员，由信息安全员远程清除设备内的所有工作数据，做好记录；3.严禁用工作移动设备连接私人账号存储工作数据，所有数据必须同步到内网服务器设备使用人+科室负责人私人移动设备（职工私人手机、私人平板）1.严禁在私人移动设备中存储任何一级核心敏感信息，包括拍照存储患者病历、检查报告、健康档案、疫苗接种信息等；2.严禁用私人微信、QQ、抖音等私人社交软件传输一级核心敏感信息，工作需要传输的必须使用上级卫健部门统一指定的政务微信、加密OA等正规工作渠道；3.在公共区域不随意展示手机、电脑上的敏感工作信息，不随意谈论患者的私人信息，防止无关人员听到看到全体职工六、应用系统与数据安全管理管理事项具体要求责任主体系统账号权限管理1.所有业务系统（HIS系统、LIS系统、公卫系统、医保系统、疫苗接种系统等）都必须实行实名开户、最小权限分配原则，仅开放岗位工作必需的权限，不额外开放多余权限；2.职工调岗、离岗、退休时，信息安全员必须在3个工作日内完成账号权限变更或者注销，防止非授权访问；3.系统管理员账号仅由信息安全员保管，严禁转借他人使用，管理员密码每一个月更换一次，做好密码保管信息安全员数据备份管理1.一级核心数据必须实行每日本地备份+每周异地备份的双备份制度，本地备份存储在本院机房的专用加密备份硬盘，异地备份存储在上一级卫健部门信息中心或者乡镇政府指定的保密存储点，每周末更新一次异地备份；2.所有备份数据必须加密，备份日志记录清楚备份时间、备份人、备份内容，日志留存不少于3年；3.每季度开展一次备份数据恢复测试，检查备份数据的完整性和可用性，发现备份损坏及时重新备份，防止发生故障后无法恢复数据；4.服务器系统配置修改前必须提前备份配置和数据，防止修改出错导致系统崩溃信息安全员数据对外提供管理1.公安、纪检、医保等政府部门因工作需要调阅本院数据的，必须检查对方的工作证、单位介绍信，记录调阅单位、调阅人员姓名、工号、调阅事由、数据范围、调阅时间，经院长签字批准后才能提供，所有记录存档留存；2.任何商业机构、社会组织因合作需要调用数据的，必须签订正式的信息安全保密协议，明确信息安全责任，经院长办公会讨论通过后才能提供，且仅能提供工作必需的汇总数据，不得提供个人敏感信息；3.严禁任何职工利用职务之便出售、泄露、转借本院信息数据，严禁私自给任何第三方提供数据院长+信息安全员数据内部使用管理1.职工仅能在本人工作权限范围内查询使用信息，不得越权查询无关人员的信息，不得查询本人、近亲属以外的其他人员的信息，不得将查询到的信息告知无关人员；2.工作需要携带敏感信息外出的，必须经分管副院长批准，使用加密存储设备，用完后及时收回，不得留存全体职工第三方合作系统安全管理1.本院采购第三方开发的信息系统（如线上预约系统、体检管理系统等），必须在采购合同中明确第三方的信息安全责任，要求第三方通过网络安全等级保护二级以上测评，定期开展安全评估；2.第三方工作人员来本院维护系统、调试设备的，必须经分管副院长批准，由信息安全员全程陪同，做好入场登记，严禁第三方工作人员单独接触核心服务器和核心数据，严禁第三方私自拷贝任何数据；3.第三方维护完成后，信息安全员必须对系统进行安全检查，确认没有留下后门、木马，做好维护记录签字存档；4.合作结束后，要求第三方彻底删除所有拷贝的本院数据，签订确认书信息安全员+分管副院长七、信息安全培训与考核管理管理事项具体要求责任主体新职工入职培训所有新职工入职后，必须先完成信息安全制度培训，培训完成后组织考试，80分以上为合格，不合格的重新培训，不培训不合格不得上岗，培训考试记录存入个人档案分管副院长+信息安全员全员定期培训每季度组织一次全员信息安全培训，培训内容包括最新的信息安全法律法规、上级要求、基层医疗机构信息安全典型违规案例、日常操作安全规范、常见风险防范方法等，每次培训必须有签到表、培训课件、现场照片，存档留存；每年组织一次全员信息安全考试，考试成绩纳入个人绩效考核分管副院长+信息安全员专职人员培训专（兼）职信息安全员每年至少参加一次上级卫健部门或者网信部门组织的信息安全专业培训，取得培训合格证明，不断更新专业知识，提升运维能力分管副院长绩效考核信息安全执行情况占职工个人绩效考核总分的10%，每个月由信息安全员检查各科室、各岗位的制度执行情况，检查结果计入当月绩效考核，合规的得满分，违规的按规定扣分信息安全员+财务科八、信息安全事件应急处置与问责管理事件等级处置流程问责标准一般信息安全事件：单台终端感染病毒不涉及数据泄露、单个账号密码丢失未造成信息泄露、单个业务系统小范围故障1小时内可恢复1.发现人第一时间断开终端网络，上报科室信息员和信息安全员；2.信息安全员到场处置，查杀病毒、恢复系统、重置密码，记录事件原因和处置过程，上报分管副院长；3.针对事件原因对相关职工进