医院信息安全管理制度

医院信息安全管理制度第一章总则第一条为规范医院信息化建设与信息安全管理工作，防范和化解网络与信息安全风险，保障医院信息系统、医疗数据、患者隐私及医院运营信息安全稳定运行，杜绝信息泄露、篡改、丢失、滥用等安全事件发生，依据《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》等国家法律法规及行业规范，结合本院医疗、教学、科研及行政管理工作实际，特制定本制度。第二条本制度适用于本院所有信息化软硬件系统、网络设备、数据资源、终端设备，以及全体在岗职工、规培人员、实习人员、外包服务人员、第三方合作单位人员等所有接触、使用、管理医院信息资源的人员。覆盖信息采集、存储、传输、使用、共享、销毁等全生命周期管理，涵盖门诊、住院、医技、行政、后勤等全院所有业务场景。第三条医院信息安全管理坚持“安全第一、预防为主、综合治理、全程管控、权责明确、持续改进”的原则，落实网络安全等级保护制度，实行“谁主管、谁负责，谁使用、谁负责”的责任机制，确保信息系统建设与安全防护措施同步规划、同步建设、同步使用，全面筑牢医疗信息安全防线。第四条本制度为医院信息安全管理核心制度，全院所有信息化相关工作均需严格遵照执行，原有相关管理规定与本制度不一致的，以本制度为准。第二章组织机构与职责第五条医院成立信息安全管理工作领导小组，由院长担任组长，分管副院长担任副组长，信息科、医务科、护理部、院感科、财务科、设备科、后勤科及各临床、医技科室负责人为成员，全面统筹推进全院信息安全管理工作，审议信息安全管理制度、年度工作计划、重大安全风险处置方案，协调解决信息安全重大问题。第六条信息科作为信息安全归口管理部门，承担日常管理职责。主要负责信息安全制度落地执行、网络与系统运维、安全风险排查、漏洞修复、数据安全管控、安全培训组织、安全事件处置、等级保护测评整改、第三方运维监管等工作，建立常态化信息安全管理台账，定期向领导小组汇报工作情况。第七条各临床、医技、行政科室负责人为本科室信息安全第一责任人，负责落实本制度要求，组织科室人员开展信息安全学习，规范科室人员信息系统操作、数据使用及终端设备管理，及时排查上报科室信息安全隐患，杜绝违规操作行为。第八条全院在岗人员为岗位信息安全直接责任人，严格遵守信息安全各项规定，规范自身操作行为，妥善保管账号密码、涉密信息及工作设备，主动防范信息安全风险，发现异常情况第一时间上报。第三方合作单位及外包人员需签订信息安全保密协议，严格遵守本院信息安全管理规定，接受医院监督管理。第三章信息系统与网络安全管理第九条医院所有网络、服务器、业务系统、终端设备等信息化设施实行统一归口管理，由信息科负责规划、部署、运维和升级，严禁任何科室及个人私自搭建网络、接入设备、安装系统及软件。所有信息系统上线前必须完成安全测评，排查安全漏洞，验收合格后方可投入使用。第十条网络安全实行分区管控，将医院内网、外网、业务专网严格物理隔离或逻辑隔离，设置防火墙、入侵检测、访问控制等安全防护设备，精准管控网络访问权限，封堵非法访问端口。严禁私自打通内外网通道、私自接入无线网络、使用随身WiFi等设备接入医院内网，杜绝网络交叉感染风险。第十一条终端设备安全管理严格规范，全院办公电脑、诊疗终端、移动医疗设备等实行专人专用、责任到人。所有终端必须安装正版操作系统、杀毒软件及安全防护插件，定期开展病毒查杀、系统升级和漏洞修复。严禁在终端设备安装盗版软件、未知来源软件、娱乐软件，严禁浏览非法网站、下载违规文件、传播不良信息。下班前必须关闭设备、退出系统，杜绝无人值守设备在线运行。第十二条信息系统账号权限实行分级授权、最小权限原则。根据岗位职能按需分配系统操作权限，明确账号使用范围，杜绝超权限操作、越权查询数据。所有账号实行实名制管理，严禁转借、共用、泄露账号密码，密码需定期更换，设置高强度密码组合。人员岗位调整、离职、进修结束后，相关科室必须第一时间报备信息科，及时变更或注销账号权限，杜绝权限遗留风险。第十三条信息系统运维实行规范化流程，日常运维、设备检修、系统升级、漏洞修复、参数调整等操作需提前报备、全程记录，留存运维台账。重大系统变更、停机维护需提前制定方案，做好数据备份，避开诊疗高峰时段，最大限度降低对医疗业务的影响。运维过程中严格遵守操作规范，杜绝违规操作引发系统故障或数据风险。第四章医疗数据与信息保密管理第十四条医院严格落实数据分类分级管理要求，将患者诊疗信息、个人隐私信息、医院运营数据、科研教学数据、涉密行政信息划分为普通数据、重要数据、核心敏感数据，实行差异化安全管控。严格遵循合法、正当、必要原则采集信息，杜绝过度采集与诊疗、工作无关的个人信息。第十五条数据存储安全严格达标，医院核心业务数据、电子病历、患者隐私等敏感数据采用加密方式存储，存储设备专人管理、定期巡检。电子病历等医疗数据严格按照国家规定留存，最低保存年限不低于30年，特殊病种数据按相关要求延长留存时间。定期开展数据异地备份、增量备份，建立备份数据核查机制，确保备份数据完整可用，防止数据丢失损毁。第十六条数据传输与使用全程加密管控，患者敏感信息、核心业务数据传输必须通过加密通道，严禁明文传输。工作人员仅可因工作需要查询、使用相关数据，严禁私自查询、复制、导出、传播患者信息及医院涉密数据。严禁利用医疗数据开展商业推广、私自查阅亲友诊疗信息、倒卖泄露患者信息等违规违法行为。第十七条信息共享与对外报送实行审批制度。因科研、教学、卫健部门督查、司法调查等需要调取、共享医疗数据的，必须提交书面申请，经科室负责人、分管领导逐级审批，登记备案后，由信息科统一调取，严格限定数据使用范围和使用期限，脱敏处理敏感信息，杜绝数据违规外流。第十八条严格落实信息保密责任，全院人员对工作中接触的患者隐私、医疗秘密、医院涉密信息负有永久保密义务。严禁通过微信、QQ、短信、网盘、社交平台等渠道传播、泄露患者诊疗信息、身份证号、联系方式、住址等隐私信息，严禁私自拍摄、截屏、外传诊疗界面、病历资料等涉密内容。第五章人员安全与操作规范管理第十九条建立常态化信息安全培训教育机制，信息科定期组织全院职工开展网络安全、数据保密、操作规范、风险防范、应急处置等培训，每年组织不少于2次全员信息安全培训及考核，新入职人员必须完成信息安全岗前培训并考核合格，方可上岗操作系统。鼓励安全岗位人员持证上岗，持续提升全员信息安全素养。第二十条规范日常操作行为，工作人员登录信息系统后，离开岗位时必须及时锁屏、退出系统，防止他人非法操作。严禁使用他人账号登录系统，严禁在工作设备上存储、处理个人私密信息，严禁外接未知U盘、移动硬盘等存储设备，确需使用的需提前查杀病毒，经信息科审核同意后方可接入。第二十一条强化第三方人员管理，所有入驻医院的软件运维、设备维保、施工服务等第三方人员，必须签订信息安全保密协议，登记备案个人信息，明确安全责任。第三方人员操作医院信息系统、接触医疗数据需在本院工作人员全程监督下进行，操作全程留痕，工作结束后立即注销临时权限，严禁私自操作、拷贝、泄露医院数据信息。第六章安全应急与隐患处置第二十二条建立信息安全风险常态化排查机制，信息科每日监测网络运行、系统状态、数据访问日志，每周开展专项安全排查，每月开展全面隐患排查，重点排查系统漏洞、网络风险、权限滥用、数据泄露等隐患，建立隐患台账，明确整改责任人、整改措施及整改时限，闭环落实整改。第二十三条制定信息安全突发事件应急预案，针对系统瘫痪、网络中断、病毒入侵、数据泄露、数据丢失、非法攻击等突发事件，明确预警、上报、处置、恢复、复盘全流程规范。定期组织信息安全应急演练，提升应急处置能力，保障突发情况快速响应、高效处置，最大限度降低安全事故损失。第二十四条严格落实安全事件上报制度，工作人员发现系统异常、网络故障、信息泄露、病毒感染等安全隐患或事件时，必须第一时间停止操作、保护现场，立即向科室负责人及信息科上报，严禁隐瞒、拖延、私自处置。信息科接到上报后，快速启动处置流程，及时排查处置，同步上报医院领导小组，重大安全事件按规定上报上级卫健及网络安全主管部门。第七章监督考核与责任追究第二十五条医院将信息安全管理工作纳入各科室年度绩效考核、质量考核体系，信息科定期对各科室制度落实、操作规范、隐患整改、保密执行等情况进行督查考核，考核结果与科室绩效、个人评优评先直接挂钩。每年至少开展一次制度修订完善工作，结合行业新规及本院实际优化管理要求。第二十六条对严格遵守本制度、有效防范重大信息安全风险、妥善处置安全隐患的科室及个人，医院予以通报表扬及表彰奖励。对制度落实到位、安全工作成效显著的科室优先纳入评优范围。第二十七条对违反本制度规定，存在私自接入网络、违规操作系统、泄露患者信息、越权查询数据、私装软件、隐患瞒报等行为的，医院予以