為貫徹落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《醫(yī)療機構(gòu)信息化建設(shè)標(biāo)準(zhǔn)》等法規(guī)要求，保障醫(yī)療信息系統(tǒng)安全穩(wěn)定運行、數(shù)據(jù)合規(guī)管理，我院于2023年12月組織開展醫(yī)療信息系統(tǒng)年度自查工作。本次自查覆蓋醫(yī)院信息系統(tǒng)（HIS、EMR、LIS、PACS、HRP等）的安全防護、數(shù)據(jù)管理、業(yè)務(wù)連續(xù)性及合規(guī)性建設(shè)等方面，通過文檔查閱、現(xiàn)場檢查、系統(tǒng)檢測等方式完成全流程核查，現(xiàn)將自查情況報告如下：一、自查工作概述我院醫(yī)療信息系統(tǒng)涵蓋臨床業(yè)務(wù)（電子病歷、檢驗、影像）、運營管理（HIS、HRP）等模塊，服務(wù)全院30個臨床科室、8個醫(yī)技科室及行政后勤部門。本次自查以“風(fēng)險排查、合規(guī)驗證、優(yōu)化提升”為目標(biāo)，重點圍繞系統(tǒng)安全防護、數(shù)據(jù)全生命周期管理、運維服務(wù)能力、法規(guī)遵循情況四個維度開展，涉及信息科、臨床科室、供應(yīng)商等12個責(zé)任主體，累計梳理制度15項、檢查設(shè)備200余臺、抽查數(shù)據(jù)記錄5000余條。二、系統(tǒng)安全管理自查（一）網(wǎng)絡(luò)安全防護核心業(yè)務(wù)系統(tǒng)（HIS、EMR）部署于內(nèi)網(wǎng)，通過防火墻、入侵防御系統(tǒng)（IPS）與互聯(lián)網(wǎng)物理隔離，規(guī)則庫每兩周更新一次；開展季度漏洞掃描，服務(wù)器、終端設(shè)備的操作系統(tǒng)、應(yīng)用系統(tǒng)共發(fā)現(xiàn)中低危漏洞12項（如ApacheStruts2組件漏洞），已通過補丁更新、配置加固完成整改，無高危漏洞留存；終端準(zhǔn)入管理覆蓋全院95%的辦公設(shè)備，非法接入嘗試日均攔截量≤5次，未發(fā)生內(nèi)網(wǎng)滲透事件。（二）用戶權(quán)限管理遵循“最小權(quán)限”原則，對HIS、EMR等系統(tǒng)的用戶角色進行動態(tài)調(diào)整：刪除離職人員賬號32個，調(diào)整轉(zhuǎn)崗人員權(quán)限18項；每季度開展權(quán)限審計，抽查臨床科室醫(yī)生、護士賬號權(quán)限匹配度，發(fā)現(xiàn)2例“檢驗技師賬號誤開處方”問題，已追溯至權(quán)限配置失誤，修訂《用戶權(quán)限審批流程》并納入績效考核。（三）日志與審計系統(tǒng)操作日志完整記錄用戶登錄、數(shù)據(jù)修改、處方開立等關(guān)鍵操作，日志留存時間≥6個月，支持按時間、用戶、操作類型多維度檢索；審計系統(tǒng)實時監(jiān)控異常行為（如頻繁登錄失敗、批量數(shù)據(jù)導(dǎo)出），本年度攔截疑似違規(guī)操作3起（均為誤操作），已組織相關(guān)人員開展操作規(guī)范培訓(xùn)。三、數(shù)據(jù)管理工作自查（一）數(shù)據(jù)質(zhì)量管控抽查門診、住院電子病歷完整性：病歷文書完成率98.2%（延遲完成病歷主要集中于急診夜班時段），檢驗結(jié)果錄入準(zhǔn)確率100%（與儀器自動傳輸數(shù)據(jù)核對），影像報告診斷結(jié)論與圖像匹配度經(jīng)臨床復(fù)核達99.1%；針對“個別護士站體溫記錄延遲”問題，優(yōu)化電子病歷系統(tǒng)“未完成記錄彈窗提醒”功能，制定《數(shù)據(jù)錄入時效考核辦法》，將數(shù)據(jù)質(zhì)量納入科室月度考核。（二）數(shù)據(jù)備份與恢復(fù)采用“本地+異地”備份策略：核心業(yè)務(wù)數(shù)據(jù)（HIS、EMR）每日凌晨全量備份、每小時增量備份，本地備份存儲于磁盤陣列，異地備份通過加密傳輸至云存儲平臺；本年度開展3次備份恢復(fù)演練，恢復(fù)時間目標(biāo)（RTO）≤4小時、恢復(fù)點目標(biāo)（RPO）≤1小時，滿足業(yè)務(wù)連續(xù)性要求；但PACS影像數(shù)據(jù)備份周期為3天，需優(yōu)化為每日備份（計劃2024年1月前完成）。（三）患者隱私保護患者信息訪問嚴格遵循“授權(quán)+審計”機制，僅醫(yī)護人員、授權(quán)管理人員可查閱；對外提供科研數(shù)據(jù)時，對姓名、身份證號等敏感信息進行脫敏處理；完善《科研數(shù)據(jù)申請與使用流程》，要求科研項目負責(zé)人簽署保密協(xié)議，本年度未發(fā)生患者隱私數(shù)據(jù)泄露事件。四、運維與服務(wù)管理自查（一）日常運維保障建立設(shè)備臺賬，記錄服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端的使用年限、維保情況：2臺核心服務(wù)器使用年限超5年，性能評估顯示暫未影響業(yè)務(wù)，但需納入2024年硬件升級計劃；制定《信息系統(tǒng)運維手冊》，明確日常巡檢（每日檢查系統(tǒng)日志、設(shè)備狀態(tài)）、故障處理流程，本年度系統(tǒng)故障平均處理時間≤2小時（主要故障為打印機兼容性問題，占比60%），已通過更換兼容打印機、開展運維培訓(xùn)降低故障率。（二）應(yīng)急演練與響應(yīng)本年度開展2次應(yīng)急預(yù)案演練（斷電、網(wǎng)絡(luò)中斷場景），參演人員覆蓋信息科、臨床、后勤等部門；演練后評估發(fā)現(xiàn)“應(yīng)急物資儲備清單更新不及時”“臨床人員應(yīng)急操作熟練度不足”等問題，已補充備用交換機、UPS電池，組織臨床人員開展2次應(yīng)急操作培訓(xùn)；計劃2024年每季度開展1次演練，增加“勒索病毒攻擊”“核心系統(tǒng)故障”等場景。（三）供應(yīng)商服務(wù)管理與HIS、LIS等系統(tǒng)供應(yīng)商簽訂服務(wù)協(xié)議，明確故障響應(yīng)時間（≤2小時）、重大故障現(xiàn)場支持時間（≤4小時）；本年度供應(yīng)商平均響應(yīng)時間1.5小時，現(xiàn)場支持3.5小時，滿足協(xié)議要求；針對新上線的AI輔助診斷系統(tǒng)，供應(yīng)商培訓(xùn)頻次不足（僅開展1次），已要求增加季度培訓(xùn)、提供在線答疑通道（計劃2024年Q1前落實）。五、合規(guī)性建設(shè)自查（一）法規(guī)遵循與制度建設(shè)對照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法規(guī)，完善《信息系統(tǒng)管理制度》《數(shù)據(jù)安全管理制度》等12項制度；開展醫(yī)務(wù)人員合規(guī)培訓(xùn)4次（覆蓋全員），考核通過率98%；梳理科研數(shù)據(jù)使用、對外合作等場景的合規(guī)風(fēng)險點，修訂《科研數(shù)據(jù)管理辦法》，明確“數(shù)據(jù)申請-審批-脫敏-使用-歸還”全流程要求。（二）等級保護與密碼應(yīng)用完成信息系統(tǒng)等級保護備案（二級系統(tǒng)5個、三級系統(tǒng)2個），三級系統(tǒng)每兩年開展一次等級保護測評（本年度測評發(fā)現(xiàn)8項問題，已整改完成）；在電子病歷簽名、數(shù)據(jù)傳輸?shù)拳h(huán)節(jié)應(yīng)用國產(chǎn)密碼算法（SM2、SM4），密碼設(shè)備（加密機、密碼卡）運行正常，密鑰管理規(guī)范。六、自查發(fā)現(xiàn)的問題與整改計劃（一）硬件設(shè)施隱患2臺核心服務(wù)器使用年限超5年，存在潛在故障風(fēng)險；部分臨床終端防護軟件版本過低，病毒庫更新不及時。整改措施：2024年Q1完成服務(wù)器性能評估，必要時更換；2024年2月前完成所有臨床終端防護軟件升級。（二）數(shù)據(jù)管理細節(jié)不足PACS影像數(shù)據(jù)備份周期需優(yōu)化（當(dāng)前3天/次）；科研數(shù)據(jù)脫敏規(guī)則需細化（如針對不同科研場景制定差異化方案）。整改措施：2024年1月前將PACS備份周期調(diào)整為每日；2024年Q1制定《科研數(shù)據(jù)差異化脫敏方案》。（三）運維與應(yīng)急能力待提升應(yīng)急演練頻次不足（計劃每年4次，實際2次）；臨床人員應(yīng)急操作熟練度有待提升；供應(yīng)商對新系統(tǒng)的培訓(xùn)支持需加強。整改措施：2024年每季度開展1次應(yīng)急演練；2024年Q1、Q3各開展1次臨床人員應(yīng)急操作培訓(xùn)；與新系統(tǒng)供應(yīng)商簽訂補充協(xié)議，要求每季度開展1次操作培訓(xùn)。（四）合規(guī)制度執(zhí)行不到位數(shù)據(jù)錄入時效考核未嚴格落實，部分科室存在“病歷文書延遲完成”現(xiàn)象。整改措施：2024年1月修訂《數(shù)據(jù)錄入時效考核辦法》，納入科室月度考核；信息科聯(lián)合質(zhì)控科每月抽查數(shù)據(jù)錄入時效，通報整改。七、下一步工作計劃2024年，我院將以本次自查為契機，重點推進以下工作：1.系統(tǒng)升級與硬件迭代：啟動HIS系統(tǒng)迭代項目，更換超期服役的核心服務(wù)器，優(yōu)化網(wǎng)絡(luò)架構(gòu)；2.數(shù)據(jù)治理體系完善：建立數(shù)據(jù)質(zhì)量監(jiān)控平臺，實現(xiàn)數(shù)據(jù)錄入、傳輸、存儲全流程溯源；3.合規(guī)管理深化：開展“