2025年医院卫生院信息安全管理制度-1

2025年医院卫生院信息安全管理制度为规范各级医院、乡镇卫生院、社区卫生服务中心（站）等医疗卫生机构信息安全管理，保障医疗卫生服务正常有序开展，保护患者个人隐私和机构核心业务数据安全，结合2025年医疗卫生数字化转型发展要求，以及国家网络安全等级保护2.0标准、最新修订的《医疗卫生机构网络安全管理办法》等法规要求，制定本管理制度。组织机构与职责分工各医院、卫生院应当设立由主要负责人任组长的信息安全工作领导小组，明确信息管理部门为信息安全归口管理部门，二级及以上医院配备至少2名专职信息安全管理人员，乡镇卫生院、社区卫生服务中心至少配备1名专（兼）职信息安全管理员，各业务科室设置信息安全联络员，明确全链条安全管理职责。本机构主要负责人是信息安全第一责任人，分管信息安全工作的负责人是直接责任人，信息安全管理人员承担日常安全运维与风险管控责任，各业务科室负责人对本科室业务信息安全负主体责任。信息安全领导小组每季度至少召开1次信息安全专题研判会议，梳理风险隐患，部署整改工作，发生重大安全事件时随时召开会议处置。合规与等级保护管理所有新建、上线运行的信息系统，应当在正式上线前完成网络安全等级保护定级、备案工作，已投入运行的系统每2年完成一次等级测评，三级及以上信息系统每年开展一次等级测评，测评发现的安全隐患应当在3个月内完成闭环整改。严格落实《个人信息保护法》《数据安全法》等法律法规要求，机构每年至少开展1次信息安全合规性自评估，形成自评估报告存档备查。对接入本机构网络的第三方合作系统、服务商，应当提前开展安全能力评估，签订信息安全保密协议，明确双方安全责任边界，禁止未经审批允许第三方直接访问患者隐私数据和核心业务数据。网络与信息系统安全管理医院、卫生院内部网络应当严格划分安全域，按照业务属性划分互联网出口区、核心业务服务区、办公区、终端区、DMZ区、物联网设备区等安全域，各安全域之间配置细粒度访问控制策略，禁止核心业务网与互联网直连，禁止办公终端直接接入核心业务域。核心业务系统应当每月至少开展一次漏洞扫描与风险评估，发现高危漏洞应当在24小时内完成修复，无法及时修复的应当采取临时隔离、流量管控等防护措施，防止风险扩散。所有信息系统账户遵循最小权限、按需分配原则，实行分级授权管理，工作人员离职、退休后账户应当在1个工作日内完成注销，离岗轮岗人员应当及时调整权限，每季度开展一次僵尸账户、冗余权限清理，禁止私自共享账户，因特殊业务需要设置共用账户的，应当报信息安全领导小组审批，留存所有操作日志。数据安全与患者隐私保护实行数据分类分级全生命周期保护制度，将本机构数据划分为公开数据、内部数据、敏感数据、核心数据四个层级，核心数据包括全量居民健康档案、可识别个人身份的病历数据、基因检测数据、法定传染病上报数据、机构运营核心数据等，核心数据应当采用加密存储、操作审计、访问管控等多重防护措施。对外开展数据共享、合作研究的，应当经机构主要负责人审批，报上级卫生健康行政部门备案，按照规范要求对数据进行去标识化、匿名化处理，全程留存共享操作日志。禁止工作人员未经审批下载、拷贝、泄露患者病历、健康检查等隐私信息，禁止通过微信、QQ等非加密公共即时通讯工具传输敏感患者数据，禁止将存储核心数据的存储设备私自带离工作场所。开展人工智能辅助诊疗、大数据健康分析等新兴业务时，严格落实患者知情同意要求，不得过度收集患者非必要个人信息。终端与物联网设备安全管理所有接入机构内部网络的桌面终端、笔记本电脑、移动护理PDA、医用Pad等设备，应当在信息管理部门统一注册登记，安装合规的防病毒软件与终端安全管理系统，开启病毒库自动更新，禁止私自接入未注册设备，禁止使用私人移动存储介质拷贝核心业务数据。移动办公、远程运维接入内网应当采用VPN加双因子身份认证，所有远程访问操作全程留痕审计，开启异常登录短信提醒功能。CT、核磁共振、心电监护仪等医用物联网设备，应当划分单独的物联网安全域，关闭不必要的端口与远程服务，定期更新厂商安全固件，禁止物联网设备直接接入互联网。工作人员更换终端、报废终端时，应当由信息管理部门统一对存储介质进行消磁或者物理粉碎处理，禁止私自出售、丢弃存储有敏感数据的终端存储设备。应急处置与备份管理各医院、卫生院应当编制完善信息安全事件应急预案，针对勒索病毒攻击、数据泄露、核心业务系统宕机等常见安全事件制定专项处置方案，二级及以上医院每年至少开展2次应急演练，基层卫生院每年至少开展1次应急演练，演练后完成复盘评估，更新优化应急预案。核心业务数据应当按照规范要求做好数据备份，三级医院应当落实“两地三中心”容灾备份要求，各级卫生院核心业务数据应当每日做增量备份、每周做全量备份，备份数据至少留存3个月，每季度开展一次备份恢复验证，确保备份数据可用。发生信息安全事件后，应当按照规定在1小时内向上级卫生健康行政部门和属地网络安全保卫部门报告，不得迟报、瞒报、漏报；发生勒索病毒攻击等恶性事件时，应当第一时间断开感染设备网络，阻断攻击横向扩散路径，留存攻击痕迹与日志，配合监管部门开展调查处置。人员培训与责任追究所有接触敏感数据、核心数据的工作人员，上岗前应当签订信息安全保密承诺书，新入职工作人员应当完成信息安全岗前培训，考核合格后方可上岗。机构每年至少开展2次全员信息安全培训，针对信息安全管理人员、临床一线工作人员、行政后勤人员开展分层分类培训，重点培训勒索病毒防范、钓鱼邮件识别、患者隐私保护等实操内容，培训考核结果纳入个人年度绩效考核。第三方运维人员进入核心区域操作应当实行全程陪同制度，留存所有操作日志，操作完成后及时收回临时操作权限，禁止第三方运维人员私自拷贝机构敏感数据。信息安全管理工作纳