医院信息系统安全管理制度

医院信息系统安全管理制度第一章总则第一条目的为规范医院信息系统（以下简称“HIS”）的安全管理，保障医疗数据完整性、保密性和可用性，防范信息安全风险，确保医院诊疗活动有序开展，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《医疗机构管理条例》等法律法规，结合本院实际，制定本制度。第二条适用范围本制度适用于本院所有信息系统（包括HIS、LIS、PACS、电子病历系统、办公自动化系统等）的规划、建设、运行、维护及相关人员的管理，覆盖全院各科室、部门及所有使用医院信息系统的工作人员、进修人员、实习人员等。第三条基本原则1.分级负责原则：明确各部门及人员的信息安全职责，实行“谁主管、谁负责，谁使用、谁负责”。2.预防为主原则：建立健全安全防护体系，加强风险评估与隐患排查，提前防范安全事件。3.最小权限原则：根据工作需要分配信息系统操作权限，严格限制超额授权。4.动态管理原则：根据技术发展、法规更新及医院实际情况，定期修订本制度，确保适用性。第二章组织机构与职责第四条领导小组成立医院信息安全领导小组，由院长担任组长，分管副院长任副组长，成员包括信息科、医务科、护理部、门诊部、财务部、后勤保障部等科室负责人。主要职责：1.审批信息安全管理制度及重大安全策略；2.协调解决信息安全工作中的重大问题；3.组织应对重大信息安全事件；4.定期听取信息安全工作汇报，监督制度落实。第五条信息科职责作为信息安全管理的执行部门，信息科承担以下职责：1.制定信息安全具体操作规程，落实领导小组决策；2.负责信息系统的日常安全运维，包括网络防护、服务器管理、数据备份等；3.组织信息安全培训与考核，提高全员安全意识；4.监测信息系统安全状态，及时处置安全事件；5.定期开展信息安全风险评估，提出整改建议。第六条科室职责各临床、医技及行政科室指定一名信息安全联络员，协助落实以下职责：1.传达医院信息安全管理制度，督促科室人员执行；2.上报科室信息安全异常情况；3.配合信息科开展安全检查与培训。第七条人员职责所有使用信息系统的人员需履行以下义务：1.遵守本制度及相关操作规程，妥善保管个人账户及密码；2.不泄露、不传播患者信息及医院敏感数据；3.发现信息系统异常时，立即停止操作并向信息科或科室联络员报告；4.参加信息安全培训，掌握基本安全防护技能。第三章系统建设与安全规范第八条系统规划与采购1.信息系统建设需符合国家及行业安全标准，优先选择具备信息安全认证的产品；2.采购前，信息科需组织技术评估，重点审查系统的安全功能（如访问控制、加密机制、日志审计等）；3.签订采购合同时，需明确供应商的安全责任，包括系统漏洞修复、数据保密等。第九条系统开发与测试1.自主开发或定制开发的系统，需遵循安全开发生命周期（SDL）规范，在设计、编码、测试阶段嵌入安全控制措施；2.测试环境与生产环境严格分离，测试数据需进行脱敏处理，不得使用真实患者信息；3.系统上线前，需通过信息科组织的安全测评，未通过测评的不得投入使用。第十条系统部署与验收1.信息系统部署需符合网络分区要求，核心业务系统（如HIS、电子病历系统）需部署在内部安全区域，与互联网物理隔离；2.部署完成后，信息科需配置防火墙、入侵检测系统（IDS）等安全设备，限制非必要端口与服务；3.系统验收时，需包含安全验收环节，由信息科、使用科室及第三方专家共同参与。第四章网络安全管理第十一条网络架构安全1.医院网络分为核心层、汇聚层、接入层，各层级间通过防火墙进行逻辑隔离；2.划分安全区域，包括：核心业务区（部署HIS、LIS、PACS等系统服务器）；办公区（供行政、后勤等部门使用）；互联网访问区（供患者查询、挂号等外网服务使用）；访客区（供临时外来人员使用）；3.不同区域间设置访问控制策略，核心业务区仅允许授权终端访问。第十二条设备安全管理1.网络设备（路由器、交换机、防火墙等）需设置强密码，密码每90天更换一次，密码复杂度需满足“大小写字母+数字+特殊符号”要求；2.禁止在网络设备上开启Telnet等不安全协议，优先使用SSH；3.定期备份网络设备配置，备份文件加密存储于离线介质；4.网络设备物理端口需编号管理，闲置端口关闭或禁用。第十三条接入管理1.院内终端接入网络需向信息科申请，经审批后分配固定IP地址，并绑定MAC地址；2.禁止私自更改IP地址、MAC地址或接入未经授权的网络设备（如无线路由器、交换机）；3.移动设备（笔记本电脑、手机等）接入办公区网络需安装终端安全软件，通过安全认证后方可访问；4.访客需经接待科室申请，由信息科分配临时账号及访问权限，有效期不超过7天。第十四条互联网安全控制1.医院互联网出口由信息科统一管理，部署上网行为管理设备，限制P2P下载、视频流媒体等非工作流量；2.核心业务系统服务器禁止直接连接互联网，确需访问的需通过跳板机，并开启审计日志；3.禁止通过互联网邮箱、云存储等传输患者信息及医院敏感数据；4.定期检查互联网出口安全策略，及时封堵高危端口与漏洞。第五章数据安全管理第十五条数据分类分级1.医院数据分为以下类别：患者数据：包括基本信息、诊疗记录、检查结果、费用信息等；医院管理数据：包括人事信息、财务数据、运营数据等；系统数据：包括配置信息、日志数据、账号信息等。2.按敏感程度分为三级：一级（高度敏感）：患者身份证号、病历号、诊断结果、财务密码等；二级（中度敏感）：患者姓名、联系方式、检查报告、科室运营数据等；三级（一般敏感）：公开的医疗科普信息、医院基本介绍等。第十六条数据存储与加密1.一级、二级敏感数据需采用加密存储，加密算法符合国家密码管理局标准（如SM4）；2.数据库服务器需启用审计功能，记录所有数据操作（包括查询、修改、删除）；3.禁止将敏感数据存储在非授权设备（如个人U盘、私人电脑）中；4.存储介质（硬盘、U盘等）报废前，需进行数据销毁处理（物理粉碎或多次覆写）。第十七条数据备份与恢复1.核心业务数据（如电子病历、收费记录）实行“三备份”策略：实时备份：通过数据库镜像或集群技术实现；每日增量备份：每日凌晨自动备份当日新增数据；每周全量备份：每周日进行全量数据备份；2.备份介质需异地存放（与主机房距离不小于5公里），并定期（每月）进行恢复测试；3.备份数据保存期限：患者数据至少保存30年，财务数据至少保存15年，其他数据按相关规定执行。第十八条数据传输安全1.院内系统间传输敏感数据需采用加密协议（如SSL/TLS）；2.与外部机构（如医保局、上级医院）的数据交互需通过专用通道（如VPN），并验证对方身份；3.禁止通过微信、QQ等非加密方式传输患者信息；4.数据传输过程中，需记录传输日志，包括发送方、接收方、时间、数据摘要等。第六章访问控制管理第十九条账号管理1.信息系统实行实名制账号管理，每个用户对应唯一账号；2.账号申请需经科室负责人审批，信息科核实后创建，账号命名规则为“科室代码+姓名首字母+序号”；3.新账号默认权限为“最小必要权限”，需扩大权限的，需另行申请并说明理由；4.人员离职、调岗或进修结束时，所在科室需在24小时内通知信息科，信息科及时注销或调整其账号权限。第二十条密码管理1.密码长度不少于12位，需包含大小写字母、数字及特殊符号，不得使用生日、姓名等弱密码；2.密码每90天强制更换一次，系统需提前7天提醒用户；3.禁止将密码告知他人或记录在易被他人获取的位置（如显示器旁、键盘下）；4.连续5次输入错误密码后，账号自动锁定，需联系信息科解锁。第二十一条权限审批与审计1.权限分为系统管理员权限、科室管理员权限、普通用户权限三级，权限分配需经对应层级负责人审批；2.信息科每季度开展权限审计，清理冗余权限（如离职人员未注销的权限、长期未使用的权限）；3.系统管理员操作需双人复核，重要操作（如批量修改数据）需记录操作理由并经分管副院长审批；4.所有权限变更需留存审批记录，保存期限不少于5年。第七章终端安全管理第二十二条终端设备管理1.院内所有计算机（包括医生工作站、护士站电脑、办公电脑）需在信息科登记备案，张贴资产标签；2.终端需安装医院指定的杀毒软件、终端安全管理软件，并开启实时防护功能，定期更新病毒库；3.禁止私自安装操作系统或软件，确需安装的需经信息科审批；4.终端需设置BIOS密码和操作系统登录密码，锁屏时间不超过15分钟。第二十三条移动设备管理1.医用移动设备（如移动护理PDA、医生查房平板）需由科室统一管理，指定专人负责充电、保管；2.移动设备需开启密码锁和远程擦除功能，丢失后立即联系信息科执行远程擦除；3.禁止将私人移动设备接入核心业务区网络；4.移动设备接入医院网络前，需进行病毒扫描，确认安全后方可使用。第二十四条外设管理1.禁止在核心业务区终端上使用U盘、移动硬盘等可移动存储设备，确需使用的需经信息科批准，并使用医院专用加密U盘；2.打印机、扫描仪等外设需注册备案，打印敏感数据后需及时取走，废弃打印件需粉碎处理；3.终端USB接口默认关闭，需使用时向信息科申请临时开启，使用完毕后立即关闭。第八章安全事件处置第二十五条事件分级1.一级事件（特别重大）：核心业务系统瘫痪超过24小时；1000条以上患者信息泄露；勒索病毒攻击导致数据被加密；2.二级事件（重大）：核心业务系统瘫痪6-24小时；100-999条患者信息泄露；网络入侵导致系统被篡改；3.三级事件（一般）：核心业务系统瘫痪不足6小时；10-99条患者信息泄露；单个终端感染病毒；4.四级事件（轻微）：非核心系统故障；10条以下患者信息泄露；账号异常登录但未造成损失。第二十六条报告流程1.发现安全事件后，当事人需立即向科室联络员或信息科报告，报告内容包括：事件时间、地点、现象、涉及范围等；2.信息科接到报告后，初步判断事件等级，1小时内上报领导小组：一级、二级事件需同时上报卫生健康主管部门；涉及患者信息泄露的，需按《个人信息保护法》规定向监管部门及受影响患者报告；3.任何科室或个人不得瞒报、迟报安全事件，违者追究责任。第二十七条应急处置1.一级事件处置：启动全院应急预案，领导小组组长统一指挥；切断受影响系统与网络的连接，防止事态扩大；组织技术团队或第三方专家进行处置，优先恢复核心业务；24小时内提交初步调查报告；2.二级事件处置：由副组长牵头，信息科组织处置；隔离受影响区域，进行数据恢复或漏洞修复；48小时内提交处置报告；3.三级、四级事件：由信息科直接处置，24小时内完成并记录。第二十八条事后处理1.事件处置完毕后，信息科需组织复盘，分析事件原因，评估损失；2.针对暴露的问题，制定整改措施，限期落实；3.涉及责任人员的，按本制度第十章规定处理；4.事件记录及处置报告存档保存，保存期限不少于10年。第九章安全培训与审计第二十九条培训管理1.信息科每年制定培训计划，内容包括：法律法规（《网络安全法》《数据安全法》等）；医院信息安全制度及操作规程；安全技能（密码设置、病毒防范、钓鱼邮件识别等）；应急处置流程；2.培训对象覆盖全院人员：新入职人员：岗前培训，考核合格后方可授予系统权限；在岗人员：每年至少参加1次集中培训，每季度接收1次安全提醒；重点岗位（信息科、医务科、收费处等）：每半年额外开展1次专项培训；3.培训后进行考核，考核不合格者暂停系统使用权限，补考通过后方可恢复。第三十条安全审计1.信息科每月对信息系统日志进行审计，重点检查：异常登录（如异地登录、凌晨登录）；敏感数据批量查询或下载；权限变更记录；系统配置修改；2.每季度开展一次全面安全检查，包括网络设备、服务器、终端、数据备份等；3.每年委托第三方机构进行一次信息安全等级保护测评（按二级及以上标准）；4.审计与检查结果向领导小组汇报，存在问题的下达整改通知书，限期整改。第十章奖惩规定第三十一条奖励对符合以下条件的科室或个人，医院给予表彰或奖励：1.及时发现重大安全隐患，避免安全事件发生的；2.在安全事件处置中表现突出，有效降低损失的；3.提出合理化建议，显著提升信息系统安全性的；4.连续3年无信息安全违规记录的科室。第三十二条处罚违反本制度规定的，按以下标准处理：1.轻微违规（如密码