医疗数据安全风险排查整治工作细则

医疗数据安全风险排查整治工作细则一、总则（一）工作目标为深入贯彻落实国家网络安全法、数据安全法、个人信息保护法以及医疗卫生行业网络安全管理办法等法律法规，切实加强医疗机构数据安全防护能力，全面梳理和掌握医疗数据资产底数，本细则旨在规范医疗数据安全风险排查与整治工作的具体流程和标准。通过系统性的排查，精准识别数据全生命周期中的安全隐患，强化风险管控和应急处置，建立长效机制，确保患者隐私信息、核心医疗数据及科研数据的保密性、完整性和可用性，防范数据泄露、篡改、勒索等安全事件发生，保障医疗机构业务连续性和公共利益。（二）适用范围本细则适用于各级各类医疗机构，包括公立医院、民营医院、基层医疗卫生机构、疾病预防控制中心以及其他卫生健康相关单位。排查范围覆盖医疗机构所有承载医疗数据的信息系统，包括但不限于医院信息系统（HIS）、实验室信息系统（LIS）、PACS影像归档和通信系统、电子病历系统（EMR）、互联网医院平台、远程医疗系统、科研数据平台及相关数据库、服务器、终端设备、网络设备和安全设备等。（三）工作原则1.闭环管理原则。坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”，建立排查、登记、整改、销号的闭环管理机制，确保风险隐患件件有落实、事事有回音。2.全面覆盖原则。排查工作应横向到边、纵向到底，覆盖所有业务部门、所有外包服务商、所有信息系统以及数据采集、传输、存储、使用、共享、销毁等全生命周期环节。3.动态更新原则。医疗数据资产和风险状况是动态变化的，排查工作不应是一次性任务，而应结合业务变更、系统升级定期开展，保持风险清单的实时性和准确性。4.技管并重原则。在采用技术手段进行漏洞扫描、渗透测试的同时，高度重视管理制度、人员意识、操作流程等管理层面的风险排查，实现技术防护与管理的深度融合。二、组织架构与职责分工（一）数据安全领导小组医疗机构应成立由主要负责人任组长的数据安全工作领导小组，负责统筹规划、决策部署和重大事项协调。领导小组负责审批风险排查整治工作方案，定期听取工作汇报，协调解决跨部门的数据安全重大问题，保障必要的人力、财力和技术资源投入。（二）数据安全管理职能部门信息中心或专门的数据安全管理部门作为牵头执行单位，具体负责制定排查细则、组织实施技术检测、汇总分析风险报告、跟踪整改情况。该部门需建立数据安全管理台账，指导各业务科室开展自查，并对接上级监管部门，报送排查整治结果。（三）业务科室与临床部门各临床、医技、行政职能科室是数据安全的第一责任主体。科室负责人需指定专人作为数据安全联络员，负责本科室业务系统使用中的数据安全自查，包括账号权限管理、患者隐私保护、终端设备规范使用等，配合技术部门进行问题核查和整改落实。（四）网络安全与技术服务团队内部运维团队或聘请的第三方专业安全服务机构负责提供技术支撑，执行具体的漏洞扫描、配置核查、渗透测试、代码审计等技术性排查任务，出具专业的技术检测报告，并提供针对性的整改建议和技术加固方案。三、排查内容与重点（一）数据资产梳理与分类分级排查1.数据资产底数清查全面盘点机构内的数据资产，建立统一的数据资产目录。重点排查是否存在未登记在册的“影子系统”或“暗数据库”，是否存在部门私自搭建的数据存储服务器。核查数据库类型（Oracle,MySQL,SQLServer等）、实例数量、数据量大小、存储位置及网络拓扑关系。2.敏感数据识别与定位利用敏感数据发现工具，结合人工核查，精准识别系统中的敏感数据分布。重点排查患者基本信息（姓名、身份证号、电话、住址）、诊疗信息（病历号、诊断结果、处方明细）、支付信息（银行卡号、交易流水）以及特殊人群数据（传染病、精神疾病、生殖健康等）的存储表、字段及文件路径。3.分类分级合规性检查检查是否已制定数据分类分级管理制度，并验证制度执行情况。排查核心数据、重要数据和一般数据的划分是否科学、准确。对于未按照国家及行业标准进行分类分级标识的数据，应列为高风险隐患，确保高敏感数据得到重点保护。（二）网络与系统架构安全排查1.网络边界安全核查内外网边界防护措施，重点检查防火墙策略是否遵循“最小化原则”，是否存在不必要的端口映射、高危端口（如3389,445,1433等）对互联网开放。检查是否部署了下一代防火墙、入侵防御系统（IPS）、Web应用防火墙（WAF）等安全设备，且规则库是否更新至最新版本。2.区域划分与隔离排查网络区域划分是否合理，是否按照业务性质和安全等级划分了医疗内网、外网、互联网医院区、运维管理区等。重点检查不同安全区域之间是否实施了有效的逻辑隔离或物理隔离，是否存在跨区域非法访问风险，特别是生产环境与测试环境、开发环境是否严格隔离。3.关键系统漏洞对操作系统、数据库、中间件及关键应用系统进行漏洞扫描。排查是否存在未修复的高危漏洞（如CVSS评分7.0以上），特别是Log4j2、Struts2等具有远程代码执行能力的组件漏洞。核查补丁更新策略，确认关键系统是否在规定时间内完成漏洞修补或采取了临时规避措施。（三）应用系统与数据接口安全排查1.身份鉴别与访问控制检查应用系统的登录认证机制，排查是否存在弱口令、空口令账户，是否强制实施复杂密码策略并定期轮换。核查是否启用了多因素认证（MFA），特别是对于远程访问、管理员登录及敏感数据查询场景。检查会话管理机制，是否存在会话固定、超时未注销等缺陷。2.权限管理审计基于“最小权限”和“职责分离”原则，排查系统账号权限分配情况。重点核查是否存在超级管理员账号共享、离职人员账号未及时注销、普通用户被授予不当权限等问题。检查是否存在非授权访问途径，如是否存在隐藏的后台管理接口。3.接口（API）安全管理随着互联网医院和便民服务的普及，API接口成为攻击重灾区。排查所有对外发布的API接口清单，检查是否实施了严格的身份认证、鉴权及访问频率限制。核查API接口是否存在越权访问漏洞（如水平越权、垂直越权），是否对返回的敏感数据进行了脱敏处理，防止接口批量爬取数据。4.源代码安全审计对自研或外包开发的医疗业务系统进行源代码安全审计，重点排查SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）、文件上传、命令执行等高危Web漏洞。检查代码中是否硬编码了数据库密码、API密钥等敏感信息。（四）数据全生命周期安全排查1.数据采集安全排查患者知情同意书的签署情况，确保数据采集符合合法、正当、必要原则。检查前端采集设备（如自助机、移动终端）是否存在数据明文传输风险，采集系统是否具备输入合法性校验，防止恶意数据注入。2.数据存储加密核查敏感数据存储加密情况，重点检查患者身份证号、银行卡号等敏感字段在数据库中是否采用加密算法（如国密SM4）存储，密钥管理是否规范。排查数据库文件备份是否加密，防止备份介质丢失导致数据泄露。3.数据传输安全检查数据在网络传输过程中是否加密，重点排查内部系统间调用、客户端与服务器间交互是否强制使用HTTPS/TLS等加密协议。核查SSL/TLS证书是否有效，是否禁用了弱加密算法（如SSLv2,v3，弱密码套件）。4.数据使用与共享安全排查数据导出、下载审批流程，检查系统是否具备数据导出日志记录功能和批量下载限制。核查与第三方机构（如医保局、商保公司、科研机构）的数据共享行为，是否签署了数据保密协议，是否采取了必要的技术脱敏和去标识化措施（如去除姓名、身份证号等直接标识符）。5.数据销毁安全检查过期数据、报废存储介质的销毁流程。排查是否采用物理粉碎、消磁等方式彻底销毁敏感数据，防止因随意丢弃废旧硬盘、U盘导致数据泄露。核查系统中是否仍保留已超出法定保存期限且无保留价值的患者诊疗数据。（五）终端与运维安全排查1.医疗终端安全排查医生工作站、护士站、行政办公电脑等终端设备的安全基线配置。检查是否安装了终端安全管理软件（杀毒、EDR），是否开启了自动更新功能。核查USB等移动存储介质的使用管理，是否禁止终端随意接入外网或私接无线热点。2.服务器与数据库运维排查特权账号管理情况，检查是否存在直接使用root、administrator等特权账号进行日常运维。核查运维操作是否通过堡垒机进行，是否实现了运维操作的全过程审计和录像回溯。检查数据库运维工具的使用是否合规，是否存在批量导出数据的违规操作。3.远程运维安全排查远程接入方式，检查是否关闭了服务器端的远程桌面服务，如必须开启，是否仅限制特定IP访问并强制使用VPN+双因素认证。排查是否存在向第三方厂商开放的高风险远程通道，且未进行有效监控。（六）供应链安全排查1.外包服务商管理核查所有系统开发商、运维服务商、数据服务商的资质审查情况。检查是否与外包商签署了网络安全责任书与保密协议，明确了数据安全保护义务和违约责任。排查外包人员物理访问和逻辑访问权限，是否在项目结束后及时收回。2.软件供应链安全排查所使用的操作系统、数据库、中间件及开源组件的来源和版本，建立软件物料清单（SBOM）。重点关注使用存在已知漏洞的开源组件或盗版软件带来的法律风险和安全风险。核查软件升级补丁的来源渠道，防止供应链投毒。四、排查实施流程与方法（一）准备阶段1.制定方案：结合机构实际情况，制定详细的排查实施方案，明确时间节点、责任分工、排查范围和重点内容。2.人员培训：组织排查人员和相关业务科室人员进行培训，学习排查标准、工具使用方法及敏感数据识别技巧，统一排查口径。3.工具准备：准备漏扫工具、配置核查工具、数据库审计系统、日志审计系统、敏感数据发现系统等必要的软硬件平台，并更新规则库。（二）自查自纠阶段1.业务科室自查：各业务科室根据《数据安全风险自查清单》，对本科室使用的信息系统、终端设备、账号权限及日常操作行为进行逐项检查，记录发现的问题并上报。2.技术部门核查：信息中心利用技术手段，对全院网络设备、安全设备、服务器、数据库及应用系统进行自动化扫描和配置核查，收集漏洞信息、弱口令信息及违规配置信息。（三）深度检测阶段1.渗透测试：选取核心业务系统（如HIS、EMR），在授权范围内模拟黑客攻击，进行人工渗透测试，挖掘逻辑漏洞和业务风险。2.代码审计：对关键业务系统的源代码进行静态和动态安全审计，发现代码层面的深层次安全隐患。3.数据抽样分析：通过数据库审计系统日志，对敏感数据的查询、导出行为进行抽样分析，识别异常访问模式和违规操作行为。（四）风险研判与汇总阶段1.风险验证：对技术扫描和人工自查发现的风险点进行逐一验证，剔除误报，确认风险的真实性、影响范围和危害程度。2.风险定级：依据医疗数据安全风险矩阵，从发生概率和影响后果两个维度，将风险划分为高、中、低三个等级。高危：可能导致大规模数据泄露、勒索病毒感染、核心业务系统中断或违反国家法律法规的隐患。中危：可能导致局部数据泄露、系统功能异常或违反内部管理规范的隐患。低危：对业务和数据安全影响较小，但不符合最佳实践的配置问题。3.汇总报告：编制《医疗数据安全风险排查报告》，详细描述风险资产、风险类型、风险等级、具体描述及整改建议，并附上证据截图。五、整治与整改措施（一）整改责任落实建立风险整改台账，实行“清单制+责任制”。每个风险点必须明确整改责任部门、责任人和整改完成时限。对于高危风险，应立即采取临时缓解措施（如关停端口、阻断访问），并限期24小时内启动实质性整改。（二）分类整改策略1.制度与流程类整改针对管理流程缺失、制度不健全等问题，由相关职能部门牵头修订或制定数据安全管理制度、操作规程和应急预案。加强人员安全意识培训，考核不合格者暂停系统访问权限。2.技术加固类整改针对漏洞、弱口令、配置缺陷等技术问题，制定详细的技术加固方案。漏洞修复：及时下载并安装官方补丁，修复操作系统、应用软件及数据库漏洞。对于无法立即修复的漏洞，应采取虚拟补丁或网络层隔离措施进行防护。配置优化：修改不安全的配置项，关闭不必要的服务和端口，加固密码策略，启用日志审计功能。部署/升级安全设备：根据防护需求，补充部署数据库审计系统、数据脱敏系统、终端安全管理软件、WAF等安全设备，提升纵深防御能力。3.数据治理类整改针对敏感数据裸露、权限过大等问题，实施数据分类分级打标，部署数据加密和脱敏工具。回收不必要的账号权限，清理僵尸账号，实施严格的访问控制列表（ACL）。（三）整改验收与销号整改责任部门完成整改后，需提交整改验收申请，由数据安全管理部门组织技术人员进行复核验证。1.验收通过：确认风险已消除或降至可接受水平，在整改台账中标记“已销号”。2.验收未通过：整改不到位或引入新问题的，退回整改部门并注明原因，重新设定整改期限，进行二次整改。六、数据安全风险排查整改台账模板为确保排查整治工作的规范化和可追溯性，应建立如下标准台账：序号风险资产名称/IP资产类型风险描述风险等级发现时间整改措施建议责任部门责任人计划完成时间整改状态验证人验证时间备注1HIS数据库服务器数据库存在SQL注入漏洞，CVE-2023-xxxx高2023-10-25升级数据库补丁至最新版本信息中心张三2023-10-26整改中李四-临时阻断已开启2PACS影像存储存储设备敏感影像数据未加密存储中2023-10-25部署透明网关加密模块信息中心王五2023-11-15未整改--需采购预算3医生工作站PC-05终端未安装杀毒软件，USB管控未开启低2023-10-26安装EDR客户端，更新USB策略门诊部赵六2023-10-27已销号李四2023-10-27-七、应急响应与持续改进（一）应急预案演练针对排查中发现的重大风险或典型威胁场景，定期（至少每年一次）组织开展