医院网络安全管理实施细则

医院网络安全管理实施细则第一章总则第一条为规范医院网络安全管理，防范网络安全事件，保障医疗业务连续稳定运行、患者数据安全与公共卫生信息安全，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《网络安全等级保护条例》等法律法规及行业规范，结合医院实际制定本细则。第二条本细则适用于医院所有网络基础设施、信息系统、终端设备、数据资源的管理，覆盖医院全体职工、外包服务人员、进修实习人员、第三方驻场人员及所有接入医院网络的外部机构与人员。第三条医院网络安全管理坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则，实行“统一领导、分级管控、预防为主、纵深防御”的工作机制，核心目标为保障网络可用性达99.99%（年计划停机时间不超过52.56分钟）、核心业务系统恢复点目标（RPO）≤15分钟、恢复时间目标（RTO）≤4小时、患者个人信息泄露事件零发生。第二章组织架构与职责分工第四条成立医院网络安全工作领导小组，由院长担任组长，分管信息化副院长担任副组长，成员包括信息科、医务科、护理部、财务科、后勤保障科、医患关系办公室、保卫科负责人，主要职责为：1.审定网络安全管理战略、年度预算、应急预案与重大工作方案，年度专项预算不低于信息化总预算的15%；2.每季度组织召开网络安全工作专题会议，研判安全风险，部署整改工作；3.发生重大网络安全事件时，统一指挥应急处置工作，协调外部监管、技术支援资源。第五条信息科作为网络安全管理执行部门，设置专职网络安全管理员3名（其中等保测评师1名、数据安全管理员1名），主要职责为：1.落实网络安全管理制度，开展日常安全运维、风险监测、漏洞整改工作；2.组织完成信息系统网络安全等级保护备案、测评、整改工作，三级系统每年开展1次等保测评，二级系统每2年开展1次，测评通过率100%；3.定期组织全员网络安全培训，每年培训覆盖率不低于98%，考核合格率不低于95%；4.对接网信、公安、卫健等监管部门，落实安全检查与整改要求。第六条各业务科室负责人为本科室网络安全第一责任人，每个科室设置1名兼职网络安全员，主要职责为：1.落实本科室终端、账号、数据使用的安全管理要求；2.及时上报本科室发现的网络异常、设备故障、数据泄露等风险；3.组织本科室人员参加网络安全培训，监督日常操作合规性。第七条第三方服务商管理责任：所有接入医院网络的HIS、LIS、PACS等系统服务商、运维外包商，需签订《网络安全责任书》与《保密协议》，明确其人员操作权限、数据使用范围、安全责任边界，服务商人员进入现场运维需提前1个工作日提交申请，由信息科全程陪同操作，操作日志留存不少于6个月。第三章网络基础设施安全管理第八条网络架构管理要求：1.医院网络实行“三区分离”架构，核心业务区（承载HIS、EMR、LIS、PACS等核心业务系统）、办公服务区（承载OA、邮箱、内部管理系统）、互联网服务区（承载预约挂号、线上问诊、互联网医院系统）物理隔离，不同区域之间部署下一代防火墙（FW）、入侵防御系统（IPS）、Web应用防火墙（WAF），边界访问控制策略每季度复核1次，冗余策略清理率100%；2.核心交换机、路由器、防火墙设备采用双机热备部署，设备CPU、内存平均利用率峰值不超过70%，链路带宽冗余率不低于30%，核心链路中断切换时间≤50毫秒；3.无线网络采用802.1X身份认证，内部职工接入需绑定工号与终端MAC地址，访客接入需通过手机号实名认证，临时访问权限有效期最长不超过72小时，无线网络与核心业务区逻辑隔离，禁止通过无线网络直接访问核心业务数据库。第九条准入控制管理要求：1.所有终端接入医院网络前需安装统一终端安全管理系统（EDR），完成操作系统漏洞补丁修复、病毒查杀，未经准入认证的终端禁止接入网络，终端准入合规率≥99.5%；2.服务器区域部署特权访问管理系统（PAM），所有运维操作需通过堡垒机跳转，禁止直接登录服务器，操作日志全程录像，留存不少于180天；3.外部机构因业务需要接入医院网络的，需提交《外部网络接入申请单》，明确接入原因、终端数量、访问范围、使用期限，经信息科、分管副院长审批后开通，接入期间由申请科室负责日常监督，到期后24小时内完成权限回收。第十条运行监测管理要求：1.部署7×24小时安全运营中心（SOC），对网络流量、设备运行状态、系统访问日志进行实时监测，安全事件告警响应时间≤15分钟，误报率≤5%；2.每日生成网络安全运行日报，每周开展安全态势分析，每月出具风险评估报告，对发现的高危漏洞72小时内完成整改，中危漏洞15个工作日内完成整改，低危漏洞30个工作日内完成整改，漏洞整改闭环率100%；3.每年委托具备资质的第三方机构开展1次渗透测试，挖掘潜在安全隐患，渗透测试前需签订保密协议，测试过程避开业务高峰期，测试完成后10个工作日内完成问题整改。第四章信息系统与终端安全管理第十一条系统全生命周期安全管理：1.新建信息系统需同步规划安全防护方案，安全建设资金占系统总投资比例不低于20%，系统上线前需通过第三方安全检测，完成等级保护备案，未通过安全检测的系统禁止上线；2.系统迭代升级、配置变更需提前制定方案，明确回退措施，在测试环境完成验证后，选择非业务高峰期（优先选择22:00-次日6:00）实施，变更前完成全量数据备份，变更后24小时内持续监测系统运行状态，变更日志留存不少于3年；3.系统下线前需完成数据迁移与备份，明确数据留存责任，下线后7个工作日内回收所有访问账号、关闭网络端口，废弃存储设备需进行消磁或物理粉碎处理，禁止随意丢弃。第十二条账号与权限管理要求：1.所有系统账号实行“一人一号”制，禁止共享账号、通用账号，职工入职、调岗、离职时，由人事科同步通知信息科，24小时内完成账号开通、权限调整或注销，账号清理准确率100%；2.账号权限采用最小必要原则配置，普通用户仅授予业务必需的操作权限，系统管理员、数据库管理员权限实行双人互斥管理，超级管理员账号使用需提前审批，操作过程全程留痕；3.账号密码复杂度需符合以下要求：长度≥8位，包含大写字母、小写字母、数字、特殊字符中的3类及以上，核心系统密码每90天更换1次，禁止使用近3次内的旧密码，首次登录强制修改初始密码。第十三条终端安全管理要求：1.医院所有业务终端、办公终端统一安装EDR、桌面管理系统，禁止私自卸载安全软件，禁止关闭自动更新、病毒查杀功能，终端病毒库更新频率不低于每日1次，病毒查杀率≥99%；2.业务终端禁止安装与工作无关的软件，禁止连接私人无线网络、移动热点，禁止使用未经审批的U盘、移动硬盘等存储介质，确因工作需要使用外部存储介质的，需先通过杀毒软件查杀，由信息科登记备案后使用；3.门诊、住院部等公共区域终端启用屏幕保护，超时锁定时间≤10分钟，操作人员离开时需手动锁屏，禁止在公共终端保存患者敏感信息，离开时需退出业务系统登录状态。第五章数据安全与个人信息保护第十四条数据分类分级管理：1.医院数据按照敏感程度分为四级：一级数据（核心敏感数据）包括患者病历、诊断信息、身份证号、医保信息、支付信息；二级数据（重要数据）包括医疗业务统计数据、药品库存数据、财务数据、职工敏感信息；三级数据（一般数据）包括公开的医疗资讯、院内通知、非敏感运营数据；四级数据（公开数据）包括医院官网对外发布的可公开信息；2.不同级别数据实行差异化防护，一级数据仅允许授权人员在业务场景下访问，禁止批量导出、下载，确因科研、统计需要导出一级数据的，需提交《数据导出申请单》，明确数据用途、使用范围、留存期限，经医务科、信息科、分管副院长审批后，由信息科对数据进行脱敏处理（姓名、身份证号、手机号等字段不可逆脱敏）后提供，数据使用完成后30天内监督使用方彻底删除；3.核心业务数据库部署数据脱敏、数据库审计系统，对所有数据库操作行为进行实时审计，异常操作（如一次性查询超过100条患者敏感信息、批量导出数据）实时告警，审计日志留存不少于180天。第十五条数据传输与存储安全：1.患者敏感数据在互联网传输过程中需采用HTTPS、SSL/TLS等加密协议，禁止明文传输，内部数据跨区域传输需通过VPN加密通道；2.核心数据采用“本地+异地”双备份策略，本地每日增量备份、每周全量备份，异地备份数据每月同步1次，备份数据离线存储，定期开展恢复测试，每季度至少开展1次备份有效性验证，数据恢复成功率≥99.99%；3.存储患者数据的服务器、存储设备禁止接入互联网，禁止私自将存储设备带离医院，报废的存储设备需由信息科、保卫科共同监督销毁，销毁记录留存不少于3年。第十六条个人信息保护要求：1.禁止在微信、QQ、钉钉等公共社交平台传输、讨论患者个人信息，禁止将患者信息用于与医疗服务、科研无关的用途，禁止向任何第三方泄露、出售患者信息；2.互联网医院平台收集患者个人信息需明确告知收集用途、使用范围、存储期限，取得患者明示同意，不得强制授权、过度索权，超出使用期限的个人信息需主动删除；3.每年开展1次个人信息保护专项检查，重点排查数据导出、接口调用、外部合作场景下的信息泄露风险，发现隐患立即整改。第六章应急处置与追责问责第十七条应急预案与演练：1.制定《医院网络安全事件应急预案》，明确勒索病毒攻击、数据泄露、网络中断、系统瘫痪等场景的处置流程、责任分工，每年至少开展2次应急演练，其中实战化演练不少于1次，演练后10个工作日内完成预案优化；2.发生网络安全事件后，第一时间启动应急预案，立即切断感染源，防止事件扩散，同步开展业务恢复，事件发生后1小时内上报网络安全工作领导小组，2小时内按照要求上报属地网信、公安、卫健部门，不得迟报、瞒报、谎报；3.事件处置完成后7个工作日内开展复盘分析，明确事件原因、责任主体，制定整改措施，形成事件处置报告存档。第十八条考核与追责：1.网络安全工作纳入科室年度绩效考核指标，权重不低于5%，对安全管理落实到位、全年未发生安全事件的科室，给予年度评优优先资格；2.职工违反本细则规定，存在以下行为的，视情节轻重给予批评教育、绩效扣减、行政处分，构成违法的，依法追究法律责任：（1）私自卸载安全软件、接入非授权网络、使用未认证存储介质，造成安全隐患的；（2）共享账号、泄露账号密码，导致非授权人