医院信息系统安全管理办法

医院信息系统安全管理办法第一章总则第一条为加强医院信息系统（以下简称“HIS系统”）安全管理，规范医院信息资源使用行为，保障医疗数据、患者隐私及医院核心业务的连续性、保密性和完整性，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《医疗卫生机构网络安全管理办法》及网络安全等级保护制度（等保2.0）等相关法律法规与国家标准，结合本院信息化建设实际情况，制定本办法。第二条本办法适用于医院所有涉及信息系统建设、运维、管理及使用的部门、科室、第三方合作机构及其全体工作人员（包括正式员工、进修人员、实习生、外包服务人员等）。医院信息系统涵盖医院管理信息系统（HMIS）、临床信息系统（CIS）、实验室信息系统（LIS）、影像归档和通信系统（PACS）、电子病历系统（EMR）、远程医疗系统及各类互联网医疗服务平台等。第三条信息系统安全管理遵循“谁主管谁负责、谁使用谁负责、谁运行谁负责”的原则，坚持“安全第一、预防为主、综合治理、动态防护”的方针，将安全技术与管理措施深度融合，构建人防、物防、技防三位一体的安全防护体系。第四条医院信息系统安全管理目标是通过实施有效的安全控制措施，确保系统达到网络安全等级保护第三级（及以上）要求，防范网络攻击、数据泄露、病毒传播、服务中断等安全事件，保障医疗业务平稳运行和患者合法权益。第二章安全管理组织与职责第五条医院设立网络安全与信息化领导小组（以下简称“领导小组”），作为医院信息安全工作的最高决策机构。领导小组由院长任组长，分管信息化工作的副院长任副组长，信息中心、医务部、护理部、门诊部、财务科、设备科及相关临床科室负责人为成员。第六条领导小组主要职责：（一）贯彻落实国家及上级主管部门关于信息安全的法律法规和政策文件；（二）审定医院信息安全战略规划、年度工作计划及重大安全建设项目；（三）批准发布信息安全管理制度、技术标准及应急预案；（四）决策重大信息安全事件的处理方案，协调跨部门的安全资源调配；（五）监督信息安全工作的落实情况，定期听取信息中心关于安全状况的汇报。第七条信息中心作为医院信息安全的主管部门与执行机构，设立专职安全管理岗位，包括但不限于系统管理员、网络管理员、数据库管理员、安全管理员及安全审计员。实行“三权分立”机制，即系统管理、安全保密、安全审计职责由不同人员承担，互不兼任，确保权限制衡。第八条信息中心具体职责：（一）起草并落实医院信息安全管理制度和技术防护措施；（二）负责信息系统日常安全运维、漏洞扫描、补丁更新及入侵检测；（三）监控网络流量与系统日志，及时发现并处置安全异常；（四）负责用户账号的统一管理与权限审批；（五）定期组织信息安全风险评估与等级保护测评；（六）开展全员信息安全意识培训与应急演练。第九条各临床科室及职能部门负责人是本科室信息安全的第一责任人，负责监督本科室人员严格遵守本办法，正确使用信息系统，及时报告可疑安全事件，并配合信息中心开展安全调查。第三章人员安全管理第十条人员录用与背景调查。关键岗位人员（如系统管理员、数据库管理员）录用前，必须进行严格的背景调查，核实其身份信息、职业资格及过往从业记录，确保无违法犯罪记录及相关不良从业记录。录用后，必须签署《保密协议》与《信息安全责任书》，明确其安全义务与法律责任。第十一条人员培训与教育。医院建立定期信息安全培训机制。（一）新入职员工（含进修、实习人员）在岗前培训中必须包含信息安全模块，考核合格后方可开通系统账号；（二）在岗员工每年至少接受一次信息安全专项培训，内容包括密码安全、钓鱼邮件识别、患者隐私保护、终端安全操作等；（三）关键岗位人员需定期参加专业机构组织的高级安全技术培训与能力考核。第十二条人员离岗与调岗管理。员工离职或调离关键岗位时，必须严格执行离岗流程：（一）信息中心应在离职手续办结当日立即冻结其所有系统访问权限，收回门禁卡、UKey、数字证书等物理身份标识；（二）对离职人员曾使用的终端设备进行安全审计与数据清理，防止敏感数据带离；（三）关键岗位人员离职后，必须签署《离职保密承诺书》，规定其在脱密期内的保密义务。第十三条外部人员管理。第三方厂商、运维人员或实习人员因工作需要接入医院网络或操作信息系统时，必须由相关业务科室发起申请，经信息中心审批备案，并签署《第三方安全保密协议》。外部人员仅能通过专用终端、VPN接入或受控方式进行操作，实施全程录屏审计，操作结束后立即收回权限。第四章物理环境安全管理第十三条机房安全管理。医院核心机房建设应符合GB50174-2017《数据中心设计规范》中B级（及以上）标准。（一）机房实行严格的门禁控制制度，仅限授权的运维人员出入。进出机房必须进行实名登记，记录时间、事由及操作内容，监控录像保存期限不得少于6个月；（二）机房内应配备环境监控系统，实时监测温度、湿度、漏水、烟感、UPS状态及精密空调运行情况。温度应控制在22℃±2℃，相对湿度控制在40%-55%；（三）机房供电系统应采用双路市电接入及UPS不间断电源，后备油机应确保在市电中断后能持续启动供电，满足关键设备至少4小时的运行需求；（四）机房消防系统应采用气体灭火系统（如七氟丙烷），严禁使用水喷淋装置。机房内严禁存放易燃、易爆、腐蚀性物品及非工作必需的杂物。第十四条设备安全管理。（一）服务器、网络设备等关键IT资产应建立详细的资产台账，记录设备型号、序列号、IP地址、物理位置、责任人及维保期限；（二）设备报废或销毁前，必须对存储介质（硬盘、磁带等）进行物理销毁或符合国家标准的不可恢复性数据擦除处理，严禁将存有敏感数据的设备直接废弃或捐赠；（三）网络布线应规范整齐，强弱电分离，线缆标识清晰，便于故障排查与资产管理。第十五条终端物理安全。医护人员工作站应放置在安全可控的区域，离开座位时必须锁定屏幕。科室打印机、复印机等设备应定位管理，防止未经授权的人员获取输出的医疗文书或敏感资料。第五章网络安全管理第十六条网络架构安全。医院网络应采用物理或逻辑隔离技术，划分为内网（医疗业务网）、外网（互联网）及专网（医保、政务外网等）。（一）内网与外网之间必须部署下一代防火墙（NGFW）、网闸或光闸等安全隔离设备，实行严格的跨网数据交换管控；（二）核心业务区域（如数据库服务器区、应用服务器区）与其他区域之间应部署防火墙或访问控制列表（ACL）进行边界隔离；（三）无线网络（Wi-Fi）应独立部署，通过无线控制器（AC）进行集中管理，实行SSID隔离，禁止内网终端未经审批直接连接外网。第十七条网络设备安全。（一）网络设备（交换机、路由器、防火墙等）的配置文件应定期备份，配置变更必须履行审批手续，建立变更日志；（二）关闭网络设备上不必要的服务端口（如Telnet、FTP等），仅保留管理必需的SSH（v2）、HTTPS等加密管理端口；（三）网络设备的管理账号必须启用强认证策略，并设置管理登录失败锁定机制。第十八条网络行为管控。部署上网行为管理设备或终端安全管理系统，对内网终端的网络行为进行审计与管控。（一）严禁内网终端私自搭建Wi-Fi热点、随身携带无线路由器接入内网；（二）严禁访问与医疗业务无关的网站、资源，严禁在线观看视频、下载大型非工作文件；（三）对非法外联行为（如内网终端私自拨号上网、连接手机热点）进行实时阻断与告警。第十九条入侵防范与恶意代码治理。（一）在网络边界部署入侵检测系统（IDS）和入侵防御系统（IPS），实时监测并阻断SQL注入、XSS跨站脚本、暴力破解等网络攻击行为；（二）内网所有终端必须安装医院统一部署的企业级终端安全软件（杀毒软件、EDR等），并开启实时防护功能，严禁私自卸载或关闭；（三）病毒库、补丁定义库应通过统一管理服务器进行自动分发与更新，确保更新率不低于98%。第六章系统与应用安全管理第二十条操作系统安全。（一）服务器操作系统（WindowsServer、Linux等）应遵循最小安装原则，仅安装必需的系统组件和应用程序，关闭不必要的服务和端口；（二）服务器应进行基线加固，包括设置复杂的密码策略、启用账户锁定策略、配置系统日志审计策略、限制管理员远程登录来源IP等；（三）定期（每月至少一次）进行系统漏洞扫描与补丁更新，补丁更新前必须在测试环境中进行兼容性测试。第二十一条身份鉴别与访问控制。（一）信息系统应采用统一的身份认证机制。关键业务系统（如EMR、HIS）必须实施双因子认证（如用户名/密码+USBKey、动态令牌或生物特征）；（二）用户账号管理实行“一人一号”，严禁共用账号。账号命名应规范，包含科室或工号信息，便于追溯；（三）严格遵循权限最小化原则，根据岗位职责分配系统权限，定期（每季度）审计用户权限，及时回收离职、转岗人员的冗余权限。第二十二条应用系统安全。（一）应用系统开发必须遵循安全编码规范，在上线前必须通过代码审计及渗透测试，修复高危漏洞；（二）应用系统应具备完善的会话管理功能，设置合理的会话超时时间（建议不超过15分钟），防止会话劫持；（三）应用系统的输入验证必须严格，对所有用户输入进行过滤与转义，防止注入式攻击；（四）应用系统应具备防爬虫、防接口滥用机制，对异常高频访问进行识别与阻断。第二十三条数据库安全。（一）数据库系统应启用独立审计功能，对数据库的连接、查询、修改、删除等操作进行全程记录，审计日志保存时间不得少于6个月；（二）严禁在业务系统中直接嵌入数据库管理员账号密码，严禁通过数据库客户端工具直接在生产环境进行数据修改操作，特殊维护需经审批并双人复核；（（三））数据库敏感字段（如患者身份证号、家庭住址、联系方式等）应进行加密存储或脱敏处理，防止批量拖库泄露。第七章数据安全与备份恢复第二十四条数据分类分级管理。依据数据的重要性、敏感程度及泄露后造成的影响，将医院数据划分为核心数据、重要数据和一般数据。（一）核心数据：包括患者电子病历、影像数据（PACS）、基因测序数据、处方信息等，实行最高级别防护；（二）重要数据：包括医院运营数据、财务数据、人员档案等；（三）一般数据：包括公开的医院介绍、新闻资讯等。针对不同级别的数据，制定差异化的访问控制、加密及备份策略。第二十五条数据全生命周期安全管理。（一）数据采集：应遵循合法、正当、必要原则，向患者告知采集目的与范围，获得患者知情同意；（二）数据传输：敏感数据在传输过程中必须采用SSL/TLS等加密通道，禁止明文传输；（三）数据存储：敏感数据应加密存储，密钥管理应遵循“密钥与数据分离”原则，定期轮换密钥；（四）数据使用：严格执行数据审批流程，科研、教学等非医疗目的使用数据时，必须经过数据脱敏处理；（五）数据销毁：超过保存期限的数据及报废存储介质中的数据，必须进行安全擦除或物理销毁，确保数据不可恢复。第二十六条数据备份与恢复。建立完善的本地备份与异地容灾备份体系。（一）备份策略：数据库应采用“全量+增量”备份策略。全量备份至少每周一次，增量备份至少每天一次，日志备份实时或每小时一次；（二）备份介质：备份数据应同时保存在本地存储设备（如磁盘阵列、磁带库）及异地容灾中心。异地备份距离应遵循“三公里”原则，防范区域性灾难；（三）备份验证：每季度至少进行一次备份数据的有效性验证与恢复演练，确保备份数据可用；（四）恢复目标：关键业务系统（RTO）恢复时间目标应小于4小时，RPO数据丢失目标应小于15分钟。第八章运维与审计管理第二十七条运维操作管理。建立统一的运维安全审计平台（堡垒机），对所有运维人员的操作进行集中管控。（一）运维人员必须通过堡垒机进行远程运维，严禁直连服务器或网络设备；（二）堡垒机应支持命令级授权、字符级审计，对所有操作指令进行实时记录、回放与告警；（三）高危操作（如删除数据库、重启核心网关）必须实行双人复核机制，经审批授权后方可执行。第二十八条日志审计管理。（一）信息系统应开启全面的日志记录功能，包括用户登录日志、资源访问日志、操作日志、安全事件日志等；（二）日志内容应包含时间、源IP、目的IP、用户名、操作类型、操作结果等关键要素；（三）日志服务器应独立部署，具备防篡改功能，日志保存期限应符合法律法规要求（一般不少于6个月，关键日志不少于3年）；（四）指定专人定期（每周）对日志进行分析审计，及时发现异常登录、违规操作等行为。第二十九条变更管理。所有涉及信息系统硬件、软件、网络配置及数据的变更，必须遵循ITIL变更管理流程。（一）变更申请：详细说明变更原因、内容、风险评估、回退方案及测试计划；（二）变更审批：根据变更风险等级，由相应级别的负责人进行审批；（三）变更测试：所有变更必须先在测试环境验证通过，方可实施生产变更；（四）变更实施：选择业务低峰期进行，由双人配合操作，并做好详细记录；（五）变更回退：一旦变更失败或引发故障，立即启动回退方案，恢复业务运行。第九章应急响应与灾难恢复第三十条应急预案制定。针对网络攻击、病毒爆发、电力中断、硬件故障、数据丢失、自然灾害等可能发生的安全事件，制定专项应急预案。预案应明确应急组织架构、响应流程、处置措施、沟通机制及资源保障。第三十一条应急演练。每年至少组织一次全面的信息安全应急演练，每半年针对特定风险（如勒索病毒攻击、数据库宕机）开展专项演练。演练应包含模拟攻击、监测发现、应急响应、系统恢复、总结复盘等全过程，通过演练检验预案的有效性并持续改进。第三十二条应急响应流程。（一）事件报告：发现安全事件后，当事人应立即停止操作，保护现场，并向信息中心及科室负责人报告；（二）事件定级：信息中心根据事件影响范围与损失程度，判定事件等级（一般、较大、重大、特别重大）；（三）应急处置：启动相应级别的应急预案，采取隔离、断网、备份恢复、漏洞修复等技术措施，遏制事态扩大；（四）事件调查：收集日志、取证分析，查明事件原因、性质及责任人；（五）通报与上报：按规定向医院管理层及上级主管部门（卫健委、网安部门）报告事件情况。第三十三条灾难恢复。建立异地灾备中心，确保在发生重大灾难（如火灾、地震）导致主数据中心完全瘫痪时，能够通过灾备系统快速接管核心业务，保障医院基本医疗服务功能不中