医院信息数据管理制度

医院信息数据管理制度第一章总则与适用范围1.1制度定位本制度是医院数据资源全生命周期管理的纲领性文件，覆盖临床、科研、运营、行政、后勤、互联网医疗、可穿戴设备回传、第三方检验检查合作等全部数据场景，与《网络安全法》《数据安全法》《个人信息保护法》《电子病历管理规范（2022版）》《医疗卫生机构网络安全管理办法》并行适用，凡与上级法规冲突的条款，以上位法为准并即时启动制度修订。1.2数据管理目标在合法合规前提下，实现“数据可见、质量可信、共享可控、价值可用、风险可管、责任可追”六大目标，支撑智慧医院评级、互联互通测评、DRG/DIP支付改革、科研大数据平台、人工智能训练、精细化管理决策。1.3适用主体全院所有产生、采集、传输、存储、处理、交换、销毁数据的自然人、法人、软硬件系统、外包团队、科研合作方、设备厂商均须遵守；进修生、规培生、实习生、志愿者、驻场工程师等临时人员签署《临时数据保密承诺书》后参照执行。第二章数据分级分类与责任矩阵2.1分级原则采用“先分类后分级”双轨制：先按业务域划分为12大类，再按敏感度划分为L1–L4四级，对应披露风险、技术防护、审批权限、日志留存、灾备等级差异化要求。业务域示例数据默认级别责任部门备注患者基本信息姓名、身份证、手机号L4信息中心、门诊办含生物识别数据自动升L4诊疗记录电子病历、医嘱、护理记录L4医务部、临床科室精神、遗传、传染病自动升L4费用与结算费用清单、医保结算单L3财务处、医保办含商业保险保单号升L4医学影像CT、MR、超声、病理切片L3影像科含AI辅助诊断结果升L4生命体征监测ICU波形、麻醉机参数L3重症医学科实时数据流≥7天科研队列去标识化基因序列L2科研处需伦理批件运营管理收入成本、绩效考核L2运营办含薪酬数据升L3后勤能耗水电气冷热量L1总务科公开披露无风险教学课件脱敏PPT、视频L1教学办学生成绩升L2互联网医院在线问诊文本、音视频L4互联网医院专班含未成年人升L4可穿戴回传步数、心率、睡眠L2健康管理科连续30天轨迹升L3第三方检验外送标本检测结果L3检验科合作机构签署保密协议2.2责任矩阵（RACI）角色制定策略分级打标技术管控事件处置培训考核合规审计院长ACIICC分管副院长CACACC信息中心IRARAR临床科室IRCRRI数据安全官（DPO）CARARA法务/合规CCICIA外包厂商IIRCII说明：A=Accountable最终负责，R=Responsible执行，C=Consulted协商，I=Informed知情。第三章数据采集与质量控制3.1源头采集规范a)遵循“最小够用”原则，系统上线前由业务科室、信息中心、法务三方联合评审字段必要性，删除冗余项；b)身份证、医保卡、电子健康卡三卡合一读卡设备统一采购，禁止科室私自接入扫码枪、POS机；c)床旁设备须通过HL7FHIR或GB/T3304国标接口接入，封闭USB口，禁止护士手工转录；d)互联网医院端采用“电子社保卡+人脸识别+动态口令”三因子认证，采集前弹窗告知《个人信息采集规则》，用户可一键撤回授权。3.2数据质量“七维”评价模型维度定义算法示例目标值责任方考核周期完整性必填字段非空率(非空记录/总记录)×100%≥99.5%临床科室日及时性业务发生后30分钟内入库比例符合时效记录/总记录≥98%信息中心日一致性同一患者多系统关键字段一致率1−冲突字段数/总字段数≥99%主数据管理组周唯一性主键重复率重复主键数/总记录数0%信息中心日准确性抽检与金标准一致率一致样本/抽检样本≥97%质控科月有效性值域合规率合规记录/总记录≥99%信息中心日可追溯性审计日志覆盖率有日志系统/总系统数100%安全组周质量未达标触发“黄-红”两级预警：连续3天低于目标值亮黄牌，限期7天整改；连续7天亮红牌，停止系统新开户并约谈科主任。第四章数据存储与灾备4.1存储架构采用“热-温-冷-冰”四层架构：热——在线生产库，SSD双活，RPO≤15秒；温——近线分析库，NVMe+SAS混合，保留90天；冷——对象存储，归档1年，纠删码11+4；冰——蓝光离线库，保存15年，符合《电子病历应用管理规范》长期保存要求。4.2加密基线L4数据采用“国密SM4+XTS-AES256”双层加密，密钥托管于FIPS140-3认证HSM；L3数据使用SM4；L2、L1可仅做磁盘级加密；备份数据一律加密并异地存放。4.3灾备等级业务系统灾备等级RPORTO灾备位置演练频率电子病历6级0<5分钟同城双活+异地200km季度HIS5级≤15秒<15分钟同城双活季度LIS/PACS5级≤1分钟<30分钟异地热备半年互联网医院5级≤1分钟<10分钟云多可用区季度科研平台3级≤4小时<4小时异地备份年第五章数据共享与开放5.1共享原则“先审批、后共享；凡共享、必脱敏；凡出境、必评估；凡科研、必伦理”。5.2审批流程科室发起→数据安全官初审→法务/伦理复审→分管副院长终审→信息中心技术脱敏→共享日志留痕→3个月后自动回收权限。5.3脱敏规则矩阵数据类型脱敏算法可逆性示例姓名掩码+同音字替换不可逆张*、章三身份证保留前3后4不可逆110***1234手机号保留前3后4不可逆138***8888地址行政区划偏移500米不可逆经纬度随机偏移影像去DICOM头+人脸模糊不可逆像素化基因删除SNP位点rs号不可逆仅保留染色体坐标5.4对外接口安全所有API统一接入API网关，强制HTTPS、TLS1.3、双向证书、国密算法套件；采用OAuth2.0+JWT，有效期≤30分钟；返回敏感数据默认启用动态脱敏插件；每万次调用异常率>0.5%自动熔断。第六章数据使用与人工智能训练6.1人工智能训练数据池建立“双池”机制：原始池——L4级，仅用于模型调试，须签署《AI训练数据使用协议》，在沙箱内操作，禁止下载；脱敏池——L2级，经k-匿名(k≥5)、l-diversity、差分隐私(ε≤1)处理，可供外部合作方离线训练。6.2模型准入评审算法团队提交《算法伦理自评表》，由医学伦理委员会、数据安全委员会、临床专家、患者代表四方评审，重点审查算法公平性、可解释性、潜在歧视风险；评审通过发放《模型上线许可证》，有效期一年。6.3模型运行监控上线后持续监控“数据漂移率、概念漂移率、预测偏差、异常置信度”四项指标，任一项周环比>15%触发召回；每季度发布《AI临床性能白皮书》，向全院公开召回率、精准率、F1值、种族性别亚组差异。第七章数据销毁与退役7.1销毁场景a)患者书面申请删除本人非诊疗必需数据；b)科研数据满5年且项目结题；c)备份磁带超过保存年限；d)设备报废、硬盘更换。7.2销毁方法L4数据：消磁+物理粉碎+熔炼，留存销毁视频≥3年；L3数据：软件擦除符合DoD5220.22-M标准，覆写7次；L2/L1数据：逻辑删除+索引清零即可。7.3销毁记录表销毁日期数据类型数量(条/GB)销毁方式执行人监销人视频编号2025-03-15门诊日志180GB粉碎+熔炼张三李四V202503150012025-03-20科研影像2.3TB软件擦除王五赵六—第八章数据安全监测与应急响应8.1监测体系构建“流量侧、主机侧、应用侧、数据侧”四维监测：流量——全流量镜像，DPI解析，敏感表名外传即告警；主机——EDR检测异常进程批量导出；应用——数据库审计，单次返回>1000条L4记录即告警；数据——UEBA，账号异地登录+查询量>本人30天均值3倍即告警。8.2事件分级级别定义举例上报时限处置时限牵头人P1特别重大10万条L4泄露或系统瘫痪>2小时数据库被加密勒索15分钟2小时院长P2重大1–10万条L4泄露或系统中断30–120分钟内网蠕虫横向移动30分钟8小时分管副院长P3较大1千–1万条L4泄露或业务中断<30分钟误发含患者名单邮件1小时24小时信息中心P4一般<1千条L2或局部功能异常单台打印机缓存文件含患者名4小时3天安全组8.3应急预案（节选）a)隔离：P1事件立即启动“红网”模式，核心生产网与办公网物理断开；b)取证：内存、磁盘、网络流量三路并行取证，写入WORM存储；c)通报：2小时内向市卫健委、公安网安、网信办同步报送；d)恢复：使用异地零日备份，业务回退至泄露前最近可用快照；e)复盘：72小时内召开“事后复盘会”，输出《5W2H改进报告》，7天内完成整改。第九章数据合规审计与绩效考核9.1审计频率L4系统：每年一次外部渗透+内部审计；L3系统：每两年一次外部审计；L2/L1系统：每三年抽查30%。9.2审计内容合规性、技术管控有效性、日志完整性、事件处置记录、销毁记录、培训覆盖率、患者投诉处理。9.3绩效考核将数据质量、安全事件、整改及时率纳入院长目标责任制，占科主任年度绩效10分；出现P1事件，责任科室绩效等级下调一档，并取消当年评优；对主动发现重大隐患的个人给予5000–20000元奖励。第十章培训与文化建设10.1分层培训新员工入职必修《数据安全与隐私保护》2学时；医生年度再教育含《科研数据去标识化》1学时；信息工程师每年参加CTF攻防演练≥16学时；外包人员入场前观看《医院数据十条红线》视频并考试，90分合格，不合格重新付费培训。10.2文化载体每季度发布《数据安全简报》，用真实脱敏案例教育员工；设立“数据安全卫士”流动红旗，年度评出5名，奖励家庭体检套餐；在5月“数据安全宣传月”举办主题沙龙、线上闯关赛、患者科普讲座，形成“人人懂数据、人人护数据”的氛围。第十一章附则11.1解释权本制度由医院网络安全与信息