卫生院运营公司医疗信息系统安全管理制度

卫生院运营公司医疗信息系统安全管理制度1总则1.1制定目的为全面筑牢基层医疗卫生信息化安全防线，规范公司及下属各卫生院所有医疗信息系统的网络安全、设备安全、数据安全、访问安全及应急管理工作，系统性防范网络攻击、病毒入侵、信息泄露、数据篡改、系统瘫痪等安全风险。针对基层卫生院信息化设备分散、操作人员繁杂、安全防护薄弱的行业特点，细化安全管控实操标准，压实各岗位安全管理责任，保障医疗信息系统持续、稳定、安全运行，契合卫健、网信、医保部门网络安全监管合规要求，有效规避信息化安全事故及监管处罚风险，特制定本制度。1.2适用范围本制度适用于公司总部及全部下属基层卫生院各类医疗信息系统安全管理工作，覆盖医院信息系统、检验信息系统、公共卫生服务系统、体检信息系统、医保结算系统、远程诊疗系统等所有医疗信息化软硬件平台。涵盖系统网络环境、终端设备、服务器、存储设备、账号权限、医疗数据、操作行为、运维服务、应急处置等全维度安全管理，适用于所有接触、操作、运维、管理医疗信息系统的在岗工作人员及第三方合作运维人员。1.3管理原则本制度遵循属地负责、全员管控、预防为主、全程溯源、最小权限、闭环处置的安全管理原则。实行公司统筹监管、卫生院属地管理、岗位专人负责的分级管控机制，坚持安全防护与业务运行并重，杜绝重使用、轻安全、无防护的管理漏洞。所有医疗信息系统操作、网络访问、数据调用、运维操作均严格执行安全规范，做到风险提前预防、问题及时排查、事故追责到人，全面适配基层医疗信息化安全管理实操场景。1.4合规依据本制度依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《医疗机构数据安全管理规范》《网络安全等级保护基本要求》等国家法律法规及行业标准，结合基层卫生院运营公司信息化管理实际制定，所有安全管控条款均符合现行医疗网络安全监管政策，确保制度合法合规、落地可行。1.5管理目标通过标准化、精细化的安全管理制度，建立全方位、常态化的医疗信息系统安全防护体系，全面规范网络访问、终端使用、数据操作、权限管理等安全行为。有效杜绝病毒入侵、网络攻击、数据泄露、违规操作、系统故障等安全事件，保障患者隐私数据、诊疗业务数据、医保结算数据的完整性、保密性、可用性。持续提升全员网络安全防护意识，实现安全风险常态化排查、安全问题闭环整改，全面满足网络安全等级保护及行业监管检查要求。2管理职责与流程2.1管理职责2.1.1公司总部职责公司信息技术部为医疗信息系统安全管理归口部门，主要负责统筹制定、修订本安全管理制度，统一规范全公司医疗信息系统安全防护标准；负责全网网络安全、服务器安全、数据存储安全的统筹管控，定期开展网络安全漏洞扫描、风险测评、安全加固；组织开展全员网络安全培训、应急演练、安全专项检查；对接网信、卫健部门完成网络安全等级保护测评、安全备案工作；统筹处置全网重大网络安全事件，审核第三方运维人员安全权限，建立全公司安全风险台账。公司法务合规部负责对医疗信息数据安全、隐私保护、安全事件处置流程进行合规审核，明确安全违规行为的追责标准，针对数据泄露、安全事故引发的法律风险、监管处罚、民事纠纷提供合规指导，保障安全管理工作合法合规。公司运营管理部负责督导各卫生院落实信息安全管理制度，将信息安全管理成效纳入基层机构日常运营考核，督促各单位完成安全隐患整改，杜绝安全管理形式化、落实不到位等问题。2.1.2下属卫生院职责各卫生院负责人为本单位医疗信息系统安全第一责任人，全面承担本单位网络、设备、数据安全主体责任，统筹部署本单位安全防护工作，督促全员落实安全操作规范，牵头处置本单位突发安全事件，对本单位发生的信息安全事故承担管理责任。各卫生院信息化管理员为直接安全责任人，负责本单位终端设备、办公网络、系统账号、日常操作的安全管控，每日开展安全自查，及时整改轻微安全隐患，按时上报重大安全风险，落实公司安全整改要求，留存各类安全管理台账及自查记录。2.1.3岗位操作人员职责所有医疗信息系统操作人员严格遵守网络安全、数据安全操作规范，规范使用办公终端及系统账号，严禁各类违规操作行为；主动学习安全防护知识，定期自查岗位操作安全隐患，发现病毒弹窗、网络异常、数据异常、系统漏洞等问题第一时间上报，对个人操作行为产生的安全风险承担直接责任。2.2网络环境安全管理各卫生院医疗业务专用网络实行专网专用、内外网物理隔离的管理标准，严禁私自将业务内网终端连接外网、连接私人热点、外接不明网络设备。办公及业务终端严禁私自更改IP地址、子网掩码、网关等网络参数，严禁私自搭建局域网、增设网络设备、破解网络权限。信息化管理员每月对院内网络线路、交换机、路由器等网络设备进行安全排查，清理闲置网络端口，关闭无用网络服务，杜绝网络后门风险。所有接入医疗专网的终端设备必须开启防火墙及安全防护软件，定期更新病毒库，每日自动查杀病毒、木马及恶意程序。严禁在业务终端下载安装非工作授权软件、破解软件、娱乐软件，严禁点击不明链接、接收打开陌生文件，从源头防范网络入侵、病毒感染等安全风险。网络出现卡顿、断连、异常弹窗、批量报错等问题时，需立即断开网络并上报排查，禁止私自调试修复。2.3终端与设备安全管理医疗信息系统配套的电脑、打印机、读卡器、服务器等终端设备实行专人专用、定岗管理，设备使用人员负责日常安全防护。所有业务终端必须设置开机密码及系统登录密码，启用屏幕自动锁屏功能，离岗时必须锁屏或关机，杜绝无人值守终端开放登录的安全隐患。设备长期闲置、报废、更换时，需由信息化管理员彻底清除设备内存储的医疗数据及操作记录，完成数据销毁后方可处置设备。服务器、存储设备等核心设备集中存放于专用设备机房，机房实行封闭管理，配备防火、防尘、防潮、稳压防护设施，严禁无关人员进入机房。信息化管理员每周对机房设备运行状态、温度湿度、供电情况进行检查，每月完成设备安全加固及日志核查，及时清理设备运行异常记录，保障核心设备安全稳定运行。2.4账号与访问安全管理医疗信息系统所有账号严格执行一人一号、实名登记、最小权限、动态管控原则，根据岗位工作需求精准分配操作权限，杜绝超权限赋权、权限闲置冗余问题。严禁员工共用账号、转借账号、私自注册账号、私自授权他人登录系统。员工入职、调岗、离职当日，信息化管理员需同步完成账号开通、权限调整、账号注销工作，杜绝离岗账号遗留安全风险。系统登录密码需定期更换，更换周期不超过90天，密码需包含字母、数字组合，杜绝简单密码、通用密码、生日密码。操作人员严禁记录密码于桌面文档、便签等公开位置，严禁向同事及外部人员泄露账号密码。信息化管理员每季度开展一次账号权限专项核查，清理无效账号、冗余权限，核对账号登录日志，排查异地登录、非工作时段异常登录等风险行为。2.5医疗数据安全管理诊疗数据、患者隐私信息、医保结算数据、公共卫生服务数据等核心医疗数据实行分级安全保护，严格落实数据采集、存储、传输、使用、销毁全流程安全管控。所有数据采集录入必须真实合规，严禁私自篡改、删除、屏蔽原始医疗数据。日常工作中严禁私自截图、拍照、导出、拷贝患者信息及核心业务数据，严禁通过微信、邮箱、U盘等渠道外传涉密医疗数据。医疗数据调取、导出、备份实行审批制度，因工作刚需调取数据的，需提交书面申请，经卫生院负责人及公司信息技术部审批同意后方可操作，所有数据调取行为全程登记备案、留存日志。公司信息技术部每日完成数据增量备份、每周完成全量备份，备份数据加密异地存储，定期核验备份数据完整性，确保数据丢失、损坏后可快速恢复。过期无效医疗数据需按规范流程审批销毁，杜绝随意删除、丢弃涉密数据文件。2.6安全事件应急处置各卫生院发现病毒入侵、系统瘫痪、数据异常、信息泄露、网络攻击等安全事件时，需第一时间停止对应终端及系统操作，断开网络连接，保护现场环境，在10分钟内上报卫生院信息化管理员及公司信息技术部，严禁私自操作、擅自重启系统、删除日志，避免扩大安全事故影响范围。公司信息技术部接到安全事件上报后，需立即启动应急处置流程，排查风险源头、阻断安全隐患、恢复系统及数据，24小时内完成事件初步核查，3个工作日内形成安全事件处置报告，明确事件原因、责任人员、整改措施及预防方案。针对重大信息安全事故，同步上报公司管理层及属地监管部门，严格落实事故上报、处置、复盘闭环要求。3监督考核3.1监督检查机制3.1.1日常自查各岗位操作人员每日自查个人终端、账号使用、数据操作安全情况，及时整改轻微违规问题。卫生院信息化管理员每日开展全站信息安全巡检，重点核查网络运行、终端防护、账号登录、数据操作合规性，每日填写安全自查台账，做到隐患早发现、早整改。3.1.2月度安全排查公司信息技术部每月组织全网信息安全排查，重点扫描系统漏洞、病毒隐患、网络风险，核查各单位安全制度落实、台账记录、隐患整改情况，形成月度安全排查通报，明确问题清单，要求责任单位3日内完成闭环整改。3.1.3季度专项督查每季度由信息技术部联合法务合规部、运营管理部开展信息安全专项督查，全面核查网络安全、设备安全、数据安全、应急管理、权限管控等工作落实情况，重点核查往期隐患整改成效，杜绝屡查屡犯问题，形成专项督查报告，作为季度考核核心依据。3.2考核评价标准医疗信息系统安全管理考核实行百分量化考核，考核等级分为优秀、合格、不合格，90分及以上为优秀，70分至89分为合格，70分以下为不合格。考核结果直接纳入各卫生院月度绩效考核及员工个人岗位考核。考核核心指标包含网络安全防护落实、终端设备规范管理、账号权限管控、数据安全保密、隐患自查整改、台账资料完整性、应急处置规范性等实操维度。考核实行问题扣分制，出现轻微违规操作、台账记录不全、自查流于形式等问题逐项扣分，出现安全隐患逾期未整改、违规外传数据、越权操作等问题加重扣分，发生信息安全事故的当期考核直接判定为不合格，全面保障考核标准落地、约束有效。3.3奖惩管理规定3.3.1奖励机制季度安全考核优秀的卫生院，给予团队绩效加分，年度连续考核优秀的纳入信息化安全先进集体评选。主动排查重大网络漏洞、病毒隐患，及时规避数据泄露、系统瘫痪等重大安全事故的个人，给予专项表彰及绩效奖励，优先参与公司评优评先及岗位晋升。3.3.2违规追责机制存在终端使用不规范、密码长期不更换、自查记录缺失等轻微违规行为的，对责任人进行口头警示，限期整改并扣除当月绩效分值。存在私自连接外网、安装非授权软件、转借系统账号、违规调取数据等一般违规行为的，给予全院通报批评，扣除季度绩效，责令提交书面整改检讨。存在私自泄露患者隐私、倒卖医疗数据、恶意篡改系统数据、破解网络权限等严重违规行为，或因履职不到位引发病毒入侵、系统瘫痪、信息泄露等安全事故的，对责任人予以绩效重罚、岗位约谈，取消年度所有评优资格；造成监管处罚、舆情风险、经济损失的，依规追究管理责任及经济责任，涉嫌违法的移交司法机关处理。4附则4.1制度衔接本制度为公司医疗信息系统安全专项管理制度，未尽事宜严格按照国家网络安全、数据安全相关法律法规及公司信息化管理、合规管理相关制度执行。公司此前发布