《医院信息化管理制度(2025版)》

《医院信息化管理制度(2025版)》第一章总则第一条为规范本院信息化建设、运维、安全与应用管理，保障医疗服务有序开展，保障数据安全与患者隐私，提升医院运营效率与服务能力，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《全国医院信息化建设标准与规范（试行）》《医疗机构网络安全管理办法》《医疗数据安全管理规范》等法律法规与行业规范，结合本院实际，制定本制度。第二条本制度适用于本院所有信息化相关活动，涵盖基础设施建设、信息系统开发采购、运行维护、数据管理、安全防护、人员使用、第三方服务等所有环节，适用于本院全体工作人员、规培进修人员、第三方服务人员、所有接入本院网络的设备与系统使用主体。第三条本院信息化管理遵循以下基本原则：（一）安全优先原则：将网络与数据安全贯穿信息化全生命周期，落实“谁主管谁负责、谁运营谁负责、谁使用谁负责”的责任体系；（二）业务驱动原则：以临床需求、患者服务需求、运营管理需求为核心，避免盲目建设，聚焦信息化对医疗质量、服务效率的提升作用；（三）互联互通原则：严格落实国家统一信息标准，实现院内各系统数据互通，对接区域全民健康信息平台，支撑跨机构医疗服务协同；（四）自主可控原则：优先选用国产自主可控信息化产品与服务，保障供应链安全，规避技术风险。第二章组织机构与职责第四条设立医院信息化建设与安全管理领导小组，为本院信息化管理最高决策机构，组长由院长担任，副组长由分管医疗业务副院长、分管信息化工作副院长担任，成员包括信息科、医务部、护理部、财务科、审计科、后勤保障科、门诊部、住院部等各职能科室与业务科室主要负责人。领导小组主要职责：（一）审议本院信息化中长期发展规划、年度建设计划与年度预算，报院党委会审批；（二）审批重大信息化项目立项、招标与验收，协调跨部门资源推进项目落地；（三）研究解决信息化建设与安全管理中的重大问题，部署信息安全专项工作；（四）修订完善信息化管理制度，监督制度落实情况。领导小组每季度至少召开1次工作会议，遇重大突发事件随时召开，每年至少组织1次全院信息安全工作专题部署会。第五条信息化建设与安全管理领导小组下设办公室，办公室设在信息科，信息科为本院信息化管理归口职能部门，具体履行以下职责：（一）牵头编制本院信息化中长期发展规划、年度建设计划与预算，落实领导小组决议；（二）组织信息化项目的需求调研、立项论证、招标实施、验收评估与全生命周期运维管理；（三）落实网络与数据安全防护要求，开展日常安全监测、隐患排查与应急处置；（四）负责医院数据资产的统一管理，推进信息标准落地，保障数据质量；（五）组织开展全院信息化培训，受理各科室信息化需求与故障报修，提供技术支持；（六）对接上级卫生健康行政部门、医保部门、区域全民健康信息平台，落实相关信息报送与对接要求；（七）对第三方信息化服务商进行监督管理，落实安全责任要求。第六条各业务科室履行以下信息化管理责任：（一）每个科室须设置1名专职或兼职信息化联络员，由熟悉科室业务、掌握基础信息化操作的人员担任，报信息科备案；（二）负责收集汇总本科室信息化业务需求，及时向信息科反馈系统运行问题与安全隐患；（三）组织本科室工作人员参加信息化培训，落实数据录入要求，保障本科室业务数据的及时性、准确性、完整性；（四）落实信息安全管理要求，管理本科室所有终端与接入设备，督促科室人员遵守权限管理、隐私保护规定。第七条所有为本院提供信息化服务的第三方服务商，须签订《信息安全与保密协议》，明确安全责任，所有操作须留痕备案，接受本院信息科的监督管理，不得擅自收集、导出本院任何数据，不得擅自更改系统配置。第三章基础设施与数据中心管理第八条核心机房管理，本院核心机房按照GB50174《数据中心设计规范》B级标准建设，满足核心业务运行可靠性要求，落实以下管理要求：（一）环境管控：机房常年温度控制在18℃-24℃，相对湿度控制在40%-60%，配备精密空调、UPS不间断电源、气体消防、动力环境监控系统，实现24小时实时监测；（二）门禁与监控：机房实行分级授权门禁管理，仅信息科专职运维人员可获得常设权限，外来人员进入机房须经信息科负责人审批，完成登记后由本院工作人员全程陪同，机房公共区域与出入口24小时视频监控，监控录像保存不少于90天；（三）巡检维护：信息科运维人员每日对机房动力环境、UPS、空调、消防系统进行例行巡查，每周开展一次全面设备检测，每季度联合第三方机构开展防雷检测、消防设施检测，每年开展一次整体机房性能评估，及时排查老化隐患，更新设备。第九条网络架构与安全域管理，本院核心网络采用双核心交换机冗余架构，主干链路带宽不低于100G，终端接入链路不低于1G，满足5G+医疗、物联网设备接入的带宽需求，按照“分区隔离、最小权限”原则划分安全域，分为核心医疗业务域、行政办公域、互联网服务域、医疗物联网域、测试域五个安全域，域间部署下一代防火墙、入侵防御系统，实现逻辑隔离与访问控制，禁止跨域非法访问，信息科每月开展一次全网漏洞扫描，每季度开展一次渗透测试，发现高危漏洞72小时内完成整改。第十条终端与物联网设备管理：（一）所有院内工作终端必须统一接入院内专网，禁止私接无线外网、私改IP地址与MAC地址，禁止工作终端同时接入内网与外网；（二）所有工作终端必须预装正版杀毒软件与终端安全管理系统，开启实时病毒防护，信息科统一推送系统安全补丁，每月至少更新一次病毒库，禁止安装与业务工作无关的游戏、社交、影音类软件；（三）所有接入院内网络的医疗物联网设备（包括监护仪、呼吸机、医学影像设备、移动护理PDA、智能门禁、手术机器人等），须提前向信息科报备，完成IP-MAC绑定与身份认证，纳入终端安全管理系统，定期更新设备固件，排查漏洞，报废淘汰的物联网设备，拆除存储硬盘后须由信息科做消磁或物理粉碎处理，严禁带存储介质流出本院。第四章业务信息系统建设与运维管理第十一条项目建设管理，所有信息化项目必须符合本院信息化中长期规划，严格执行立项审批流程：（一）业务科室提出业务需求，提交《信息化项目立项申请单》，明确需求背景、预期目标、预算估算；（二）信息科组织开展需求论证与可行性评估，评估通过后提交信息化建设与安全管理领导小组审议；（三）预算金额50万元及以上的项目，严格按照政府采购与本院招投标管理规定执行，预算金额50万元以下的项目，由院内招标小组组织采购；（四）项目招标要求服务商须具备三级及以上信息系统服务资质，有同级别医院同类项目实施经验，优先选择具备自主知识产权产品的服务商；（五）项目实施过程中，信息科安排专人全程跟进，每周核对项目进度，协调需求变更，每月向领导小组通报进展，项目完工后，由需求科室、信息科、财务科、审计科共同参与验收，出具四方签字的验收报告，验收不合格的限期15天整改，整改仍不合格的终止合同，追究违约责任。第十二条运行维护管理，建立三级运维响应机制，明确响应时限：（一）一级故障：核心业务系统（HIS、EMR、LIS、PACS、医保结算系统）整体中断、核心网络中断，响应时间不超过15分钟，技术人员须30分钟内到达现场，2小时内恢复业务，4小时无法恢复的启动应急预案，上报领导小组；（二）二级故障：单个业务模块故障、单个科室终端或设备故障，不影响全院核心业务，响应时间不超过30分钟，4小时内恢复业务；（三）三级故障：功能优化需求、操作咨询，响应时间不超过1个工作日，3个工作日内反馈处理方案；建立完整运维台账，所有故障申报、处置过程、处置结果全部登记归档，每月开展一次运维数据分析，梳理高频故障与共性需求，推进系统持续优化。第十三条系统变更管理，任何信息系统升级、配置调整、功能变更，必须执行以下流程：（一）提前7个工作日公示变更内容与影响范围，提前3个工作日通知所有受影响的业务科室；（二）变更操作须安排在非工作时段（周末或每日18:00至次日8:00）进行，避免影响正常医疗服务；（三）变更前必须完成系统全量数据备份，制定回滚方案，应对变更失败情况；（四）变更完成后连续监测系统运行24小时，确认无异常后方可完成变更流程，形成变更记录归档。第五章数据管理与隐私保护第十四条数据分类分级管理，按照国家《医疗数据安全管理规范》要求，将本院数据分为五级，实施差异化保护：（一）一级公开数据：可对外公开的医院介绍、出诊信息、公示公告等，无保护限制；（二）二级内部数据：仅在院内公开的行政通知、内部统计报表、日常办公文件等，不得对外泄露；（三）三级敏感数据：患者个人基本信息、常规就诊记录等，严格控制访问范围；（四）四级高度敏感数据：传染病患者信息、精神疾病患者信息、未成年人隐私信息、孕产妇信息等，实施重点保护；（五）五级核心数据：本院核心运营数据、国家要求管控的区域医疗相关数据，实行最高级别权限管控。第十五条访问权限管理，遵循“最小授权、按需授权、一事一授权”原则，细化权限分配：（一）临床医师仅可访问本人经管患者的全量诊疗数据，调阅非经管患者数据须提交申请，经科室主任审批后信息科开放临时权限，操作全程留痕；（二）行政管理人员访问全院汇总数据，须经分管副院长审批，双人操作、全程留痕；（三）工作人员岗位调整、离职退休，信息科须在24小时内完成权限调整或注销，所有用户账号不得共享、转借，禁止一人多号、多人一号；（四）所有数据访问操作日志保存时间不少于6个月，核心操作日志保存不少于3年。第十六条隐私保护与数据共享管理：（一）任何单位与个人不得泄露、篡改、出售、非法向他人提供患者个人信息，禁止在公共网络、社交平台、公共存储云传输患者敏感数据；（二）对外提供数据须履行审批流程：由申请方提交数据使用申请，明确使用范围与用途，经信息科审核、分管副院长审批后，签订《数据使用安全协议》，对敏感数据做去标识化处理，明确不得二次分发、二次使用，留存审批记录；（三）数据出境须按照国家《数据出境安全评估办法》要求申报，经安全评估通过后方可出境，未经批准任何数据不得出境。第十七条数据质量管理，明确各环节数据质量要求：（一）门诊医生须在患者就诊结束后24小时内完成诊断录入，诊断编码准确率不低于98%；（二）住院科室须在患者出院后3个工作日内完成病案首页数据上传，病案首页数据完整率不低于99%，主要诊断选择准确率不低于97%；（三）医技科室须在检查完成后2小时内上传检验检查结果，结果上传及时率不低于99.5%；（四）信息科每季度开展一次全院数据质量核查，核查结果通报全院，纳入科室绩效考核，对数据质量不达标的科室要求限期整改。第六章网络与信息安全管理第十八条落实网络安全等级保护制度，所有上线运行的信息系统须完成等级保护定级与备案，三级信息系统每年开展一次等保测评，二级信息系统每两年开展一次等保测评，测评发现的安全隐患须在30天内完成整改，测评报告上报上级卫生健康行政部门备案。第十九条终端与密码安全管理：（一）禁止擅自使用外接存储设备（U盘、移动硬盘、存储卡等）在业务终端与互联网终端之间交叉传输数据，因工作确需使用外接存储设备的，须向信息科报备，完成病毒查杀后方可使用；（二）所有系统账号密码长度不低于8位，须包含大小写字母、数字与特殊字符，禁止使用姓名、生日、单位名称等弱口令，用户每90天必须更换一次密码，禁止重复使用近3次的密码，信息科每季度开展一次弱口令排查，对弱口令账号责令限期整改，逾期整改的冻结账号。第二十条数据备份与供应链安全管理：（一）核心业务数据采用“两地三中心”备份架构，本地数据中心每日凌晨完成全量备份，每小时完成一次增量备份，异地灾备中心每周同步一次全量备份数据，备份数据至少保留30天，核心系统备份数据每季度开展一次恢复演练，确保备份数据可正常恢复，恢复成功率达到100%；（二）本院信息化建设优先选用国产自主可控的硬件、软件与服务，核心系统与核心设备全部采用国产产品，采购境外产品须经过国家安全审查，禁止采购不符合国家安全要求的信息化产品，所有新产品上线前须完成安全检测，排查后门与漏洞。第七章互联互通与信息标准管理第二十一条严格落实国家统一卫生健康信息标准，全院采用国家统一发布的疾病分类与代码（ICD-102013版）、手术操作分类与代码（ICD-9-CM-32016版）、医学术语集、疾病诊断相关分组（DRG）分组编码、医疗服务项目编码、医保编码，实现院内数据标准化，保持本院互联互通标准化成熟度四级甲等水平，每年开展一次院内信息标准符合性测评，及时更新不规范数据，调整编码映射，保障数据互通。第二十二条推进区域医疗协同，按照区域全民健康信息平台要求，及时、准确上传本院所有门诊、住院、检验检查、慢病管理数据，数据上传准确率不低于98%，及时获取外院患者诊疗数据，支撑分级诊疗、远程会诊、双向转诊等跨机构医疗服务。第二十三条互联网医疗服务管理，本院互联网医院严格按照《互联网诊疗监管细则（试行）》运行，所有医护人员实名认证，所有诊疗活动全程留痕，诊疗数据保存不少于15年，互联网出口部署Web应用防火墙与DDoS防护系统，24小时监测非法访问与网络攻击，每日备份互联网诊疗数据，保障服务稳定。第八章人员管理与培训考核第二十四条信息化岗位配置，按照《全国医院信息化建设标准与规范》要求，本院按照每100张开放床位配置1-1.5名信息化专业人员的标准配齐信息科人员，其中专职网络安全人员不少于2名，高级职称专业技术人员不少于1名，中级职称不少于3名，保障信息化工作开展。第二十五条分层分级培训，建立完善培训体系：（一）新入职工作人员、规培进修人员上岗前必须完成不少于8学时的医院信息化操作与信息安全培训，考核合格后方可开通系统权限；（二）每年组织全院性信息化培训不少于2次，针对临床科室、行政科室的专项培训不少于4次，培训内容包括新系统操作、数据质量要求、信息安全规范；（三）信息科工作人员每年完成不少于20学时的继续教育，每年外出参加行业培训与交流不少于1人次，及时更新技术能力。第二十六条考核与激励，信息化管理工作纳入科室与个人绩效考核，绩效考核占比不低于5%，考核内容包括数据质量、安全制度落实、系统使用满意度，对信息化工作表现突出、提出合理建设需求优化医疗服务的科室与个人给予表彰与奖励，对违反制度、数据质量不达标的给予绩效扣分。第九章应急管理第二十七条应急预案体系，针对常见突发事件制定专项应急预案，包括核心业务系统中断应急预案、大规模网络攻击应急预案、数据泄露应急预案、机房动力系统故障应急预案，核心系统应急预案每半年开展一次演练，其他专项应急预案每年开展一次演练，演练后完成效果评估，修订完善预案。第二十八条