医院信息安全管理制度

医院信息安全管理制度第一章总则第一条为规范医院信息系统安全管理，防范网络攻击、数据泄露、系统瘫痪等安全事件，保障医疗服务连续性、患者信息保密性及医疗数据完整性，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《网络安全等级保护条例》等法律法规及行业规范，结合医院实际制定本制度。第二条本制度适用于医院所有信息系统及相关资产的安全管理，覆盖核心业务系统（HIS、EMR、LIS、PACS、电子病历分级评价系统、医保结算系统等）、基础设施（服务器、存储设备、网络设备、安全设备、终端计算机等）、数据资产（患者诊疗数据、医保数据、医务人员信息、医院运营数据等）、第三方服务（系统开发商、运维服务商、云服务提供商等）及全体工作人员（含在职员工、进修人员、实习人员、外包人员、工勤人员等）。第三条医院信息安全工作遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，实行“预防为主、攻防兼备、平战结合、动态管控”的工作方针，落实网络安全等级保护2.0要求，三级以上系统每年至少开展1次等级保护测评，二级系统每两年至少开展1次等级保护测评，核心系统需符合等保三级及以上防护要求。第二章组织与职责第四条成立医院网络安全与信息化工作领导小组（以下简称“领导小组”），由院长担任组长，分管信息化工作的副院长担任副组长，成员包含信息科、医务科、护理部、医保科、财务科、后勤保障科、保卫科、医患关系办公室负责人。领导小组主要职责：1.审定信息安全战略规划、年度工作计划、安全预算及重大安全事件处置方案；2.统筹协调信息安全体系建设，明确各部门安全责任边界；3.每季度至少召开1次信息安全专项会议，研判安全风险，部署防控工作；4.负责信息安全事件的最终决策及责任认定。第五条信息科作为信息安全工作执行部门，配备不少于3名专职信息安全管理人员，其中至少1名持有注册信息安全工程师（CISP）或同等资质。信息科主要职责：1.制定并落地信息安全管理制度、操作规范、应急预案；2.负责信息系统、基础设施、安全设备的日常运维、漏洞修复、安全监测；3.组织开展等级保护测评、风险评估、应急演练、安全培训；4.牵头处置信息安全事件，配合公安、网信、卫健等部门的安全检查与调查。第六条各业务部门负责人为本部门信息安全第一责任人，每个科室设置1名信息安全员，主要职责：1.落实，监督本科室工作人员的信息系统操作行为；2.定期排查本科室终端、外设的安全隐患，及时向信息科上报安全问题；3.配合信息科开展安全培训、应急演练及事件调查工作。第七条全体工作人员需严格遵守信息安全规定，规范使用信息系统及终端设备，严禁违规操作、泄露敏感信息，发现安全隐患第一时间向信息科报备。第三章物理安全管理第八条信息机房建设符合《数据中心设计规范》GB50174-2017B级及以上标准，配备双路市电+UPS不间断电源+柴油发电机供电系统，UPS续航时间不低于4小时，柴油发电机储油量满足72小时连续运行需求；配置精密空调，机房温度控制在22-24℃，相对湿度控制在40%-60%。第九条机房实行分区管理，划分为核心设备区、存储区、安全设备区、运维操作区，各区域设置物理隔离门禁，门禁系统采用“刷卡+人脸识别”双因子认证，出入日志留存不少于180天。机房入口配备24小时视频监控，监控视频留存不少于90天，监控区域无盲区。第十条严格管控机房人员出入，非信息科工作人员进入机房需提交《机房出入申请单》，经信息科负责人审批后由专人陪同进入，进出时间、人员信息、操作内容如实登记归档。严禁携带移动存储设备、智能手机、摄影设备进入核心设备区。第十一条机房每季度开展1次物理安全巡检，内容包括供电系统状态、空调运行参数、消防设备有效性、门窗密闭性、防水防雷设施状态，巡检记录留存不少于3年。雷雨、汛期等特殊天气增加巡检频次，每日至少巡检2次。第十二条终端设备实行“一机一人”绑定管理，门诊、住院等公共区域终端配备物理锁，防止设备被盗；手术室、ICU等特殊区域终端禁用USB、蓝牙等对外接口，确需使用的需经信息科审批并登记备案。第四章网络安全管理第十三条网络架构实行“三级等保”合规设计，核心区、业务区、办公区、互联网接入区、医联体外联区实现逻辑隔离，各区域之间部署防火墙、入侵防御系统（IPS）、访问控制列表（ACL）实现精细化权限管控，核心交换机、核心防火墙采用双机热备架构，可用性不低于99.99%。第十四条互联网出口统一管控，仅保留1-2个官方出口，部署下一代防火墙、Web应用防火墙（WAF）、抗分布式拒绝服务攻击（DDoS）设备、上网行为管理系统，对进出流量进行实时清洗、监测，恶意攻击拦截率不低于99.5%。第十五条内网终端严格执行准入控制，终端接入内网需提交《内网接入申请单》，经信息科审批后安装终端安全管理软件、杀毒软件，完成身份注册后方可接入，严禁私接无线路由器、随身WiFi等设备，严禁内网终端违规接入互联网。第十六条医联体、医保、疾控、120等外联专线实行“专线专用+IP白名单+加密传输”管控，仅开放业务所需的端口及IP地址，专线对接前由信息科开展安全评估，留存评估报告，每半年对专线访问权限进行1次复核，及时清理无效权限。第十七条每年开展至少2次网络安全渗透测试，每月开展1次漏洞扫描，发现高危漏洞48小时内完成修复，中危漏洞72小时内完成修复，低危漏洞15个工作日内完成修复，漏洞修复前需采取临时管控措施防范攻击。第十八条网络配置变更实行审批制，变更前提交《网络配置变更申请单》，明确变更内容、影响范围、回退方案，经信息科负责人审批后在非业务时段（22:00-次日6:00）实施，变更后连续监测24小时运行状态，变更记录留存不少于3年。第五章数据安全管理第十九条医院数据实行分级分类管理，按照敏感程度分为四级：1.核心敏感数据：患者病历、诊疗记录、医保报销信息、生物识别信息、财务核心数据；2.重要敏感数据：医务人员执业信息、医院运营核心数据、药品耗材采购数据；3.一般敏感数据：普通办公信息、非敏感医疗统计数据；4.公开数据：医院公开公示信息、科普宣传信息。第二十条数据访问实行“最小权限”原则，根据岗位角色配置访问权限，医生仅可查询本人接诊患者的病历，护士仅可查询本人负责病区患者的护理信息，医保人员仅可访问医保结算相关数据，跨部门访问数据需提交《数据访问申请单》，经业务部门负责人、信息科负责人双审批后授予临时权限，使用后立即回收。第二十一条核心敏感数据存储采用加密机制，静态存储采用AES-256加密算法，传输过程采用HTTPS/TLS1.3加密协议，严禁明文存储患者身份证号、联系方式、医保卡号、诊疗隐私等敏感信息。第二十二条数据导出实行严格管控，核心敏感数据原则上不得导出，确因科研、教学、统计等需求导出的，需提交《数据导出申请单》，明确数据用途、导出范围、使用期限、保密责任，经业务分管院长审批后由信息科专人操作，导出数据进行脱敏处理（隐藏身份证号中间6位、联系方式中间4位、具体诊疗隐私内容），并对导出过程全程留痕，数据使用完成后监督删除。第二十三条数据备份实行“三地三副本”策略，本地热备实时同步，本地冷备每日增量备份、每周全量备份，异地灾备中心每日全量备份，备份数据离线存储，每季度开展1次备份恢复测试，恢复成功率需达到100%。备份介质实行专人管理，存放地点符合防火、防盗、防潮要求，过期备份数据采用物理粉碎或低级格式化方式销毁，严禁随意丢弃。第二十四条严禁任何人员通过微信、QQ、邮箱等公共互联网渠道传输核心敏感数据，严禁私自拷贝、留存、出售患者诊疗信息，违者按相关法律法规追究责任。第六章应用系统与账号安全管理第二十五条新建信息系统需符合网络安全等级保护要求，上线前由信息科联合第三方机构开展代码审计、安全测试、等级保护预测评，安全不合规的系统不得上线。第二十六条系统账号实行“一人一号”管理，严禁共用账号、转借账号。账号密码长度不低于12位，包含大写字母、小写字母、数字、特殊字符四类元素，密码每90天强制更换一次，严禁使用近3次已使用过的密码。核心系统管理员账号采用“口令+动态令牌+人脸识别”三因子认证，操作日志留存不少于180天。第二十七条人员岗位调整或离职时，由人力资源科提前3个工作日告知信息科，信息科立即回收账号权限，删除离职人员账号，严禁遗留无效账号。每季度开展1次全系统账号权限复核，及时清理冗余账号、无效权限。第二十八条第三方运维人员访问系统需提交《第三方运维申请单》，明确运维时间、操作内容、操作权限，经信息科审批后通过堡垒机登录操作，运维过程全程录像、操作日志全程留存，运维结束后立即回收临时账号。第二十九条信息系统补丁更新实行审批制，补丁发布后先在测试环境验证兼容性、安全性，确认无问题后在非业务时段更新，更新后连续监测24小时系统运行状态，补丁更新记录留存不少于3年。第七章应急与事件处置管理第三十条制定《医院信息安全事件应急预案》，涵盖勒索病毒攻击、数据泄露、系统瘫痪、网络中断等场景，明确事件分级（一般事件、较大事件、重大事件、特别重大事件）、处置流程、责任分工、上报机制。第三十一条每年至少开展2次信息安全应急演练，其中勒索病毒攻击、系统瘫痪场景每年至少各演练1次，演练后形成评估报告，针对演练暴露的问题及时优化应急预案。第三十二条发生信息安全事件时，第一时间启动应急预案，现场人员立即向信息科报告，信息科15分钟内研判事件等级，一般事件由信息科牵头处置，30分钟内向领导小组汇报；较大及以上事件立即向领导小组汇报，同时按照规定在2小时内向属地卫健、网信、公安部门上报，不得迟报、瞒报、漏报。第三十三条事件处置过程中优先保障核心业务（急诊、重症、医保结算等）运行，优先恢复患者急救相关系统功能，做好患者解释安抚工作，防止引发群体性事件。事件处置完成后72小时内形成事件调查报告，分析事件原因、处置过程、损失情况，明确责任认定，制定整改措施并落地。第八章培训、考核与责任追究第三十四条新入职员工岗前培训必须包含信息安全内容，培训时长不低于4学时，考核合格后方可上岗；全体在职员工每年至少开展2次信息安全专项培训，培训内容包含法律法规、制度规范、操作流程、应急处置方法，培训考核结果与个人绩效挂钩。第三十五条信息安全考核纳入科室年度绩效考核体系，每月对各科室安全制度落实情况、隐患整改情况进行考核，考核结果占科室绩效权重不低于5%。第三十六条违反本制度规定，有下列行为之一的，视情节轻重给予通报批评、绩效扣罚、岗位调整处理；造成数据泄露、系统瘫痪等严重后果的，依法追究民事责任；涉嫌