2026年医院卫生院信息安全管理制度

2026年医院卫生院信息安全管理制度总则1.为规范2026年及后续阶段各级医院、乡镇（街道）卫生院、社区卫生服务中心（站）、村卫生室的信息安全管理工作，防范网络攻击、数据泄露、系统瘫痪等信息安全事件发生，保障卫生健康信息系统稳定运行、患者个人信息与医疗数据安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《卫生健康行业网络安全管理办法》《全国医院信息化建设标准与规范（2025版）》《商用密码应用与安全性评估管理办法》等法律法规与行业规范，结合当前医疗数字化转型、信创改造全面落地、互联网医疗服务覆盖率超过80%的实际情况，制定本制度。2.本制度适用范围包括辖区内所有二级及以上公立医院、民营医院、基层医疗卫生机构，为上述机构提供信息化运维、数据处理、系统开发等服务的第三方机构，以及参与医疗数据共享合作的科研院校、医保经办机构、医药企业等主体，均需严格遵照本制度要求落实信息安全防护责任。3.信息安全管理工作坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的核心原则，落实安全左移、全程管控、技管结合、合规优先的工作要求，适配信创技术生态，平衡业务发展与安全防护需求，在保障数据安全的前提下支撑医疗数据合法合规开发利用。4.各医疗卫生机构主要负责人是本单位信息安全第一责任人，对本单位信息安全工作负总责，分管信息化工作的负责人承担直接领导责任，信息科、医务科、护理部等各业务科室负责人承担本科室信息安全管理责任，所有工作人员均需严格遵守信息安全操作规范，对自身操作行为负责。组织架构与安全责任机构设置要求1.二级及以上医院、床位超过100张的卫生院需成立独立的信息安全工作领导小组，由单位主要负责人任组长，分管信息化、医疗业务的副职领导任副组长，信息科、医务科、护理部、财务科、院感科、医保科、后勤科及核心运维服务商负责人为小组成员，领导小组每季度至少召开1次信息安全专项工作会议，审议安全预算、风险评估报告、应急演练方案等重要事项，协调解决信息安全工作中的难点问题。床位不足100张的基层医疗卫生机构需指定1名专职或兼职信息安全管理人员，负责日常安全巡检、问题上报等工作，信息安全管理工作接受属地卫生健康行政部门的统一调度。2.二级及以上医院需设置独立的信息安全管理岗位，配备不少于2名专职信息安全管理员，人员需持有国家认可的网络安全、数据安全相关职业资格证书（如CISP、CISSP、网络安全工程师等），具备信创环境安全运维、数据安全防护、应急事件处置等专业能力。卫生院、社区卫生服务中心至少配备1名专职或兼职信息安全管理员，定期参加属地卫生健康行政部门组织的专业培训。预算与资源保障1.各医疗卫生机构每年信息安全投入占信息化总预算的比例不得低于15%，其中信创安全防护、数据安全治理、商用密码应用相关投入占信息安全总预算的比例不得低于60%，安全预算需优先保障漏洞修复、安全设备升级、应急演练、人员培训等刚性需求，不得随意挤占、挪用。2.各医疗卫生机构需按照国家要求配置完善的安全防护设备，包括入侵检测系统、入侵防御系统、Web应用防火墙、数据库审计系统、日志审计平台、终端安全管理系统、数据脱敏系统、勒索病毒防护系统等，2026年底前所有二级及以上医院安全设备覆盖率需达到100%，基层医疗卫生机构安全设备覆盖率需达到85%以上。信息系统全生命周期安全管理上线前安全管控1.所有新上线的信息系统（含HIS、LIS、PACS、电子病历系统、互联网医院系统、医保结算系统、公共卫生上报系统、智慧医疗设备管理系统等）需严格按照网络安全等级保护2.0标准完成定级备案，三级系统每年开展1次等保测评，二级系统每2年开展1次等保测评，未取得等保测评合格报告的系统不得正式上线运行。2026年新上线的系统需全部完成信创适配验证，支持国产CPU、国产操作系统、国产数据库、国产中间件的运行环境，现有非信创系统需制定改造时间表，2028年底前完成全部信创改造工作。2.系统上线前需委托具备资质的第三方机构开展漏洞扫描、渗透测试、商用密码应用安全性评估，发现的高危漏洞需100%修复，中危漏洞修复率不低于95%，未完成漏洞修复的系统不得上线。涉及患者敏感数据的系统需额外开展数据安全风险评估，明确数据采集、存储、传输、使用各环节的安全防护措施，评估合格后方可投入使用。运行阶段安全管理1.各医疗卫生机构需建立7*24小时安全监控机制，安排专职人员值守安全监控平台，实时监测入侵攻击、异常访问、病毒感染等安全告警，发现高危告警需在15分钟内响应处置。所有安全设备的告警日志、系统操作日志、数据访问日志需留存不少于6个月，涉及患者敏感信息的操作日志、核心数据的访问日志需留存不少于3年，日志不得篡改、删除。2.建立常态化漏洞排查与修复机制，每月开展1次全系统漏洞扫描，每季度开展1次渗透测试，每年开展1次全面的信息安全风险评估。高危漏洞需在24小时内完成修复，中危漏洞72小时内修复，低危漏洞15天内修复，无法立即修复的漏洞需采取临时访问控制、流量阻断等防护措施，明确整改时限，安排专人跟踪整改进度。下线阶段安全管控系统下线前需完成全部数据的迁移与备份工作，对存储过核心数据、敏感数据的存储设备进行消磁或物理粉碎，确保数据完全销毁，无法被恢复。系统下线后需向属地卫生健康行政部门、医保经办部门、网信部门备案，说明下线原因、数据处置情况、替代系统信息等内容。数据安全全流程管理数据分类分级管控1.各医疗卫生机构需严格按照《卫生健康行业数据分类分级指南（2024版）》要求，对本单位所有医疗数据进行分类分级，划分为公开数据、内部数据、敏感数据、核心数据四个等级，其中核心数据包括电子病历原文、患者基因信息、传染病报告数据、妇幼保健涉密数据、公共卫生应急处置数据、医保基金结算明细数据等，敏感数据包括患者身份信息、联系方式、就诊记录、费用信息、健康监测数据等。2.数据访问实行最小权限原则，核心数据仅允许经信息安全工作领导小组审批的特定岗位人员访问，访问需实行双人审批、操作全程留痕，禁止批量导出核心数据。敏感数据访问需经科室负责人与信息科双重审批，导出的数据需进行脱敏处理，禁止将敏感数据存储在非授权设备中。内部数据仅限本单位工作人员在工作范围内使用，不得对外传播。数据传输与存储安全1.所有涉及核心数据、敏感数据的传输需采用国密SM2、SM4算法加密，通过内部专用网络或加密VPN通道传输，禁止通过微信、QQ、个人邮箱、未加密的互联网链路传输患者医疗数据。互联网医院系统与患者端的通信需采用HTTPS加密协议，身份认证采用实名认证与人脸识别双重验证，防止冒名访问他人就诊信息。2.核心数据、敏感数据需存储在本单位本地化部署的信创存储设备中，禁止存储在境外服务器或未经审批的第三方云服务器中，存储的数据需采用国密SM4算法加密，每月开展1次数据完整性校验，防止数据被篡改、删除。备份数据需与生产环境物理隔离，存储在独立的加密存储设备中，避免被勒索病毒等恶意程序加密。数据共享与对外合作安全1.对外共享医疗数据需提前报属地卫生健康行政部门、网信部门审批，明确共享数据的范围、用途、使用期限、安全防护措施，签订数据安全保密协议，明确合作方的安全责任。禁止向第三方提供可直接识别患者身份的原始数据，所有共享的数据需进行去标识化或匿名化处理，确保无法通过共享数据识别到具体患者。2.严格落实《数据出境安全评估办法》要求，所有医疗数据原则上不得出境，确因国际合作、科研等需要出境的数据，需通过国家数据出境安全评估，报省级卫生健康行政部门审批后才可出境。任何机构与个人不得私自向境外机构、人员提供医疗数据。终端与网络安全管理终端安全管控1.所有接入内部网络的办公电脑、移动工作站、PAD、医疗设备终端需安装统一的终端安全管理系统，实行准入认证，未安装安全管控软件、未通过安全检查的终端不得接入内部网络。终端需设置开机密码，密码长度不少于8位，包含字母、数字、特殊字符，每90天更换一次密码，禁止多人共用同一终端账号。2.禁止终端私自连接互联网，确因工作需要连接互联网的，需实行物理隔离或逻辑隔离，安装防火墙、防病毒网关等防护设备。禁止使用非单位配发的U盘、移动硬盘等存储介质接入内部终端，确需使用的需采用单位统一配发的加密存储介质，使用前进行病毒扫描，防止病毒、木马传入内部网络。3.医护人员使用的移动查房、移动护理设备需绑定个人工号，设置自动锁屏功能，锁屏时间不超过5分钟，设备丢失后需立即上报信息科，远程擦除设备内的所有敏感数据。禁止使用个人移动手机、平板等设备存储、处理患者敏感数据，禁止在社交平台发布患者就诊信息、病历资料、影像报告等内容。网络安全管控1.内部网络需进行区域划分，分为核心业务区、办公区、互联网服务区、公共服务区、物联网设备区，不同区域之间部署防火墙，实行严格的访问控制策略，核心业务区仅允许授权的终端、人员访问，禁止跨区域非授权访问。2.互联网出口需统一管理，部署流量清洗、Web应用防火墙、防病毒网关、入侵防御系统等安全设备，禁止私自搭建互联网出口。互联网医院系统、预约挂号系统等对外提供服务的系统需部署在DMZ区，与内部核心业务区之间设置严格的访问控制策略，禁止互联网直接访问核心业务系统。3.所有物联网设备（含医疗设备、监控设备、门禁设备、自助服务终端等）需纳入统一安全管理，修改默认密码，关闭不必要的端口和服务，定期更新固件，修复安全漏洞，防止被黑客攻击作为入侵内部网络的跳板。信创环境与商用密码安全管理1.采购的信创软硬件产品需进入国家信创产品目录，具备国家密码管理局颁发的商用密码产品认证证书，采购前需开展安全检测，排查产品是否存在后门、隐藏漏洞等安全风险，禁止采购未通过安全检测的信创产品。2.建立信创系统运维台账，记录所有运维操作、故障处置、补丁更新情况，信创系统的补丁需从官方正规渠道获取，安装前在测试环境进行充分测试，确认不会影响业务系统正常运行后才可在生产环境部署。3.2026年底前所有三级医院的核心业务系统需完成商用密码应用安全性评估，密评通过率达到100%，二级医院2027年底前全部完成密评，基层医疗卫生机构2028年底前完成密评。核心数据的存储、传输、处理全流程需采用国密算法加密，禁止使用境外加密算法。应急处置与容灾备份管理1.各医疗卫生机构需制定完善的信息安全应急预案，覆盖网络攻击事件、数据泄露事件、系统瘫痪事件、勒索病毒攻击事件、电力中断事件等场景，每年至少开展2次应急演练，其中勒索病毒攻击应急演练、数据泄露应急演练每年各不少于1次，演练后及时评估预案的有效性，优化调整预案内容。2.核心业务系统需按照等保三级要求建设本地实时备份、异地容灾备份中心，本地备份RPO（恢复点目标）不超过15分钟，RTO（恢复时间目标）不超过2小时，异地容灾备份RPO不超过1小时，RTO不超过4小时。普通业务系统RPO不超过24小时，RTO不超过24小时。每月开展1次本地备份恢复测试，每季度开展1次异地容灾备份恢复测试，确保备份数据可用。3.发生信息安全事件后，需第一时间启动应急预案，采取断网、隔离受感染设备、阻断攻击链路等措施，防止事件扩大，同时在1小时内向属地卫生健康行政部门、网信部门、公安部门报告，不得迟报、瞒报、漏报。事件处置完成后7个工作日内提交事件处置报告，分析事件原因、处置过程、损失情况，制定整改措施，防止类似事件再次发生。发生勒索病毒攻击事件后，原则上不得支付赎金，优先通过备份恢复、技术破解等方式恢复系统与数据，避免助长黑客攻击行为。人员安全管理1.所有新入职工作人员需参加信息安全入职培训，考核合格后方可上岗，培训内容包括信息安全相关法律法规、本单位信息安全管理制度、操作规范、患者信息保护要求、应急处置流程等。每年至少开展2次全员信息安全培训，其中针对信息科人员、运维人员的专项安全培训每年不少于4次，培训考核结果纳入个人绩效考核。2.人员离职后需立即注销所有系统账号、访问权限，收回所有办公设备、存储介质、门禁卡等物品，签订离职保密协议，明确离职后3年内仍需承担的信息安全保密义务，不得泄露所接触的患者信息、医疗数据、单位涉密信息。3.第三方运维人员、合作机构人员进入单位开展工作前，需签订安全保密协议，明确安全责任，访问内部系统、数据需经过信息科与业务科室双重审批，由本单位工作人员全程陪同，所有操作留痕可追溯。工作完成后立即注销临时账号，收回临时权限，删除存储在第三方设备中的相关数据。4.建立信息安全举报奖励机制，鼓励工作人员举报信息安全违规行为，经查实的给予500-5000元不等的物质奖励，对举报人员信息严格保密，严禁打击报复举报人员。考核与责任追究1.属地卫生健康行政部门每年对辖区内各医疗卫生机构的信息安全工作开展2次专项检查，检查结果纳入医院绩效考核、等级评审、电子病历评级、医保定点机构考核的重要指标，考核优秀的单位给予通报表扬与政策支持，考核不合格的单位限期1个月整改，整改期间暂停评优评先资格，整改仍不合格的降低医院等级评审等次、扣减医保拨付额度。2.对未落实本制度要求，导致发生信息安全事件的单位，依法依规追究主要负责人