医院网络安全管理办法实施细则

医院网络安全管理办法实施细则第一章总则第一条为规范本院网络安全管理工作，有效防范网络安全风险，保障医疗业务系统稳定运行、患者敏感数据安全及公共卫生信息有序传输，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《网络安全等级保护条例》等法律法规及行业监管要求，结合本院实际运营场景，制定本实施细则。第二条本细则适用于本院所有科室、医护人员、行政后勤人员、第三方运维人员、外包服务机构及所有接入本院网络的终端、系统、设备和数据资源的安全管理工作。第三条本院网络安全管理坚持“积极防御、综合防范、权责一致、分级负责、动态优化”的原则，实行“谁主管谁负责、谁运行谁负责、谁使用谁负责”的责任机制，确保网络安全管理覆盖全流程、全节点、全人员。第四条本院网络安全工作目标为：年度内未发生重大网络安全事件、核心业务系统可用性达到99.95%以上、患者敏感数据零泄露、等保测评合规率100%、网络安全事件响应处置时长不超过30分钟，满足行业监管及医院运营发展需求。第二章组织架构与职责划分第五条成立医院网络安全工作领导小组，由院长任组长，分管信息化工作的副院长任副组长，信息科、医务科、护理部、门诊部、财务科、医保科、后勤保障科、保卫科、纪检监察科等科室负责人为成员，履行以下职责：（一）审定医院网络安全战略规划、年度工作计划、应急预案、经费预算等重大事项，每年至少召开2次网络安全专题工作会议，研究解决安全管理突出问题；（二）明确各科室网络安全责任边界，统筹协调跨科室网络安全工作推进，监督考核各科室安全责任落实情况；（三）负责网络安全事件的统一指挥、应急处置及对外上报工作，对接公安、网信、卫生健康等监管部门的安全检查工作。第六条信息科作为网络安全管理执行部门，配备不少于3名专职网络安全管理员，其中至少1名具备注册信息安全工程师（CISP）或同等资质，履行以下职责：（一）制定并落地网络安全管理制度、技术防护规范、操作流程，每年至少开展1次制度修订，适配新技术、新业务、新风险的变化；（二）负责网络架构搭建、安全设备部署、系统安全配置、日常安全巡检、漏洞整改、数据备份、等保测评等日常运维工作，建立完整的安全管理台账；（三）组织开展全员网络安全培训，每月至少开展1次安全监测预警，每季度至少组织1次应急演练，及时处置各类网络安全告警；（四）审核第三方机构、人员的网络接入权限，监督其安全操作行为，对各科室网络安全执行情况进行日常检查与考核。第七条各业务科室负责人为本科室网络安全第一责任人，每个科室指定1名网络安全联络员，履行以下职责：（一）负责本科室终端、医疗设备的安全使用管理，督促科室人员遵守网络安全操作规范；（二）及时上报本科室发现的网络异常、系统故障、数据泄露风险等问题，配合信息科开展安全事件调查处置；（三）组织本科室人员参加网络安全培训，传达落实医院网络安全管理要求。第八条纪检监察科负责监督网络安全责任落实情况，对未履行安全职责、造成安全事件的人员依规追责问责。第三章网络基础设施安全管理第九条本院网络实行区域划分管理，核心分为业务内网、互联网、医疗设备专网、运维管理区四个逻辑区域，各区域之间通过下一代防火墙实现逻辑隔离，隔离策略粒度精确到端口级，禁止跨区域越权访问。（一）业务内网承载HIS、EMR、LIS、PACS、收费系统等核心医疗业务，仅允许授权内部终端接入，严禁与互联网直接连通；（二）互联网承载官网、预约挂号系统、互联网诊疗平台、患者服务终端等对外服务，与业务内网之间通过网闸实现单向数据传输，仅允许业务数据从内网向互联网定向导出，禁止互联网侧主动向内网发起访问请求；（三）医疗设备专网承载监护仪、呼吸机、检验设备、影像设备等医疗终端的网络接入，与业务内网之间通过防火墙设置访问白名单，仅开放业务必需的通信端口；（四）运维管理区仅限网络管理员开展设备调试、系统运维操作使用，采用VPN+双因子认证方式登录，全程留存运维操作日志，日志留存时间不低于6个月。第十条核心网络设备实行冗余部署，核心交换机、路由器、防火墙等关键设备配置双电源、双链路，设备CPU、内存使用率日常运行阈值不超过70%，带宽利用率峰值不超过80%，避免设备过载导致业务中断。第十一条无线网络实行分类管理，内部办公无线网络仅允许本院注册终端接入，采用802.1X认证方式绑定终端MAC地址与员工工号；患者无线网络与内部网络完全物理隔离，采用短信验证码认证方式接入，设置带宽限制，单用户下行带宽不超过20Mbps，防止患者网络滥用影响内部业务。第十二条网络接入实行实名审批制度，所有终端接入本院网络前需由使用科室提交《网络接入申请表》，明确接入用途、使用人、使用期限，经信息科审核通过后分配固定IP地址，绑定MAC地址后方可接入，严禁私接无线路由器、交换机等网络设备，严禁私自更改终端IP地址。第十三条信息科每日开展网络基础设施巡检，内容包括设备运行状态、带宽占用情况、访问日志、安全告警等，巡检记录电子化存档，发现异常立即处置，无法立即解决的第一时间上报网络安全工作领导小组。第四章业务系统与应用安全管理第十四条本院所有信息系统实行等级保护备案管理，核心业务系统（HIS、EMR）按照等保三级要求建设防护体系，每年开展1次等保测评；一般业务系统按照等保二级要求建设，每两年开展1次等保测评，测评合格率需达到100%，测评发现的问题需在30个工作日内完成整改。第十五条新系统上线前必须完成安全检测，检测内容包括SQL注入、跨站脚本、权限绕过、敏感信息泄露等高危漏洞，检测不合格的系统不得上线运行；系统上线后每月开展1次漏洞扫描，每季度开展1次渗透测试，发现的高危漏洞需在72小时内完成整改，中危漏洞在15个工作日内完成整改，低危漏洞在30个工作日内完成整改。第十六条系统账号实行最小权限分配原则，账号类型分为管理员账号、医护人员账号、患者账号、第三方运维账号四类，权限配置严格匹配岗位工作需求：（一）管理员账号仅限指定网络管理员使用，实行双人共管制度，操作时需双人在场，操作日志全程审计；（二）医护人员账号根据岗位角色分配对应权限，医生仅可访问管辖范围内患者的电子病历，收费人员仅可操作收费相关功能，禁止跨权限访问；（三）患者账号仅可查询本人的诊疗记录、检查报告、费用清单等信息，实名认证通过后方可激活使用；（四）第三方运维账号实行“一事一申请”制度，由运维服务商提交《运维申请单》，明确运维时间、操作内容、所需权限，经信息科负责人审批后开通临时权限，运维结束后立即注销，账号有效期最长不超过72小时。第十七条所有系统账号均需实行强密码策略，密码长度不少于12位，包含大小写字母、数字、特殊符号三类及以上组合，密码每90天强制更换一次，禁止使用既往使用过的5次以内密码，禁止将密码告知他人、粘贴在终端表面或存储在未加密文档中。第十八条系统操作日志留存时间不低于180天，日志内容包含操作人、操作时间、操作内容、IP地址、操作结果等字段，日志仅允许审计人员只读访问，禁止篡改、删除日志。第十九条互联网诊疗平台单独设置安全防护体系，配备Web应用防火墙、抗DDoS设备、防爬虫系统，每秒可抵御不少于10G的流量攻击，患者在线问诊、处方开具、缴费等操作全程加密传输，采用HTTPS协议，SSL证书采用符合国家密码管理局要求的SM2算法。第五章数据安全与个人信息保护第二十条本院数据实行分级分类管理，按照敏感程度分为核心数据、重要数据、一般数据三级：（一）核心数据包括患者病历信息、身份信息、医保信息、生物识别信息、医院财务数据、核心业务系统配置数据，泄露后会对患者权益、医院利益造成重大损害；（二）重要数据包括医疗质量统计数据、药品库存数据、设备运行数据、staff人事信息，泄露后会对医院运营造成一定影响；（三）一般数据包括公开的医院介绍、就诊指南、科普宣传内容等公开信息。第二十一条核心数据实行加密存储，采用符合国家密码管理局要求的SM4对称加密算法对存储的患者敏感数据进行加密，数据传输过程采用SM2非对称加密算法进行加密，禁止核心数据明文存储、明文传输。第二十二条数据导出实行分级审批制度：（一）导出一般数据由科室负责人审批；（二）导出重要数据由科室负责人审核后报分管副院长审批；（三）导出核心数据原则上禁止，因科研、统计等特殊需求确需导出的，由申请科室提交《数据导出申请单》，明确数据用途、导出范围、使用期限、保密责任，经分管副院长审核后报院长审批，导出时需进行脱敏处理，去除患者姓名、身份证号、手机号、家庭住址等可识别个人身份的信息，数据使用后立即销毁，全程留存导出记录。第二十三条禁止通过微信、QQ、邮箱等互联网渠道传输患者敏感数据，禁止将存储核心数据的U盘、硬盘、笔记本电脑带出医院，确需带出的需经网络安全工作领导小组审批，且存储介质需经过加密处理，返回后需进行病毒查杀与数据核查。第二十四条患者个人信息严格遵循“最小必要”原则采集，仅采集诊疗服务必需的信息，不得过度采集患者的生物识别、宗教信仰、财产状况等非必要信息，患者有权查询、更正本人的个人信息，申请注销本人账号，信息科需在7个工作日内响应患者的相关申请。第二十五条每年开展1次数据安全审计，对数据的访问、导出、传输操作进行全流程核查，发现异常访问行为立即溯源处置，防止数据泄露。第六章终端与医疗设备安全管理第二十六条本院所有办公终端、医护工作站、移动护理终端统一安装终端安全管理系统，启用病毒查杀、补丁更新、外设管控、屏幕水印功能：（一）病毒库每日自动更新，每周开展1次全盘病毒扫描，发现病毒立即隔离处置；（二）系统安全补丁在发布后7个工作日内完成安装，高危补丁48小时内完成安装；（三）外设端口默认关闭，因工作需要开通USB接口的需经科室负责人审批，仅允许使用经过信息科登记备案的加密U盘；（四）屏幕水印显示员工工号、姓名、IP地址等信息，防止敏感信息被拍照、截屏泄露。第二十七条医疗设备接入网络前需进行安全检测，排查设备存在的漏洞、弱口令、开放不必要端口等问题，整改合格后方可接入网络，老旧医疗设备无法安装安全补丁的，需通过防火墙设置访问白名单，限制设备的访问范围，禁止与互联网连通。第二十八条禁止在工作终端上安装与工作无关的软件，禁止访问赌博、色情、钓鱼等违法违规网站，禁止使用工作终端从事与工作无关的活动。第二十九条报废终端、存储介质需由信息科统一处理，对存储的数据进行不可逆销毁，采用消磁、物理粉碎等方式处理，禁止私自变卖、丢弃报废存储介质。第七章第三方服务安全管理第三十条第三方服务商（包括系统开发商、运维服务商、硬件供应商、外包服务机构等）接入本院网络前，需签订《网络安全保密协议》，明确其安全责任、保密义务、违约责任，协议中需约定服务商造成网络安全事件、数据泄露的，需承担全部赔偿责任，且医院有权终止合作。第三十一条第三方运维人员进入院区开展运维操作前，需出示身份证、工作证，经信息科工作人员核实身份后，在本院工作人员陪同下开展操作，全程留存操作记录，禁止在无人陪同的情况下单独接触核心系统、核心数据。第三十二条第三方服务商提交的系统、代码需经过安全检测，不得留有后门、暗链等恶意程序，服务商人员不得私自收集、泄露本院的任何数据。第三十三条信息科每年对第三方服务商的安全能力进行评估，评估不合格的服务商予以淘汰。第八章应急处置与事件报告第三十四条制定完善的网络安全应急预案，涵盖勒索病毒攻击、数据泄露、系统宕机、网络中断等常见场景，每季度组织1次应急演练，每年至少开展1次全员参与的大规模应急演练，演练后及时评估预案有效性，优化处置流程。第三十五条发生网络安全事件后，当事人需第一时间向信息科报告，信息科接到报告后需在30分钟内完成事件研判，确认为安全事件的立即启动应急预案，切断攻击源，防止事件扩散，同时上报网络安全工作领导小组。第三十六条发生重大网络安全事件（包括核心业务系统中断超过4小时、患者数据泄露超过100条、遭受勒索病毒攻击要求支付赎金等情况），需按照监管要求在2小时内上报属地卫生健康部门、网信部门、公安部门，配合监管部门开展事件调查。第三十七条事件处置完成后，信息科需在3个工作日内形成事件调查报告，分析事件原因、处置过程、造成的损失，制定整改措施，避免同类事件再次发生。第九章培训与考核第三十八条每年组织全员网络安全培训不少于2次，培训内容包括网络安全法律法规、操作规范、风险防范技能、应急处置流程等，新入职员工需参加网络安全岗前培训，考核合格后方可上岗，第三方人员入场前需接受安全培训。第三十九条网络安