醫(yī)療信息系統(tǒng)安全管理辦法一、總則為規(guī)范醫(yī)療信息系統(tǒng)（含HIS、EMR、LIS、PACS等）的安全管理，保障患者隱私、醫(yī)療業(yè)務連續(xù)性及數(shù)據(jù)安全，依據(jù)《中華人民共和國網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》及醫(yī)療衛(wèi)生行業(yè)相關規(guī)范，結合本機構實際，制定本辦法。本辦法適用于本機構內醫(yī)療信息系統(tǒng)的硬件設施、軟件系統(tǒng)、數(shù)據(jù)資源、網絡環(huán)境及相關人員的安全管理，遵循“預防為主、分級保護、權責統(tǒng)一、全員參與”原則，實現(xiàn)安全與業(yè)務發(fā)展的協(xié)調統(tǒng)一。二、管理職責（一）部門職責信息化管理部門：負責系統(tǒng)的規(guī)劃建設、日常運維、安全技術措施實施（如漏洞修復、數(shù)據(jù)備份），牽頭處理安全事件，定期向安全管理小組匯報安全狀態(tài)。臨床/職能科室：配合落實安全管理要求，規(guī)范使用系統(tǒng)（如避免越權操作、及時報告異常），對本科室數(shù)據(jù)安全負責。安全管理小組：由分管領導、信息、醫(yī)務、紀檢等部門人員組成，統(tǒng)籌安全策略制定、監(jiān)督檢查、應急指揮，每季度召開安全會議。（二）人員職責系統(tǒng)管理員：負責系統(tǒng)配置、權限分配、日志審計，定期更新系統(tǒng)補丁，禁止泄露管理員賬號。普通用戶（醫(yī)護/行政人員）：遵守操作規(guī)范，妥善保管賬號密碼，發(fā)現(xiàn)系統(tǒng)異常（如彈窗報錯、數(shù)據(jù)篡改）立即上報。三、安全技術措施（一）網絡安全防護網絡分區(qū)隔離：將醫(yī)療業(yè)務網與互聯(lián)網、辦公網邏輯隔離，劃分“業(yè)務區(qū)（HIS/EMR）、數(shù)據(jù)區(qū)（數(shù)據(jù)庫）、管理區(qū)（運維工具）”，通過防火墻限制跨區(qū)訪問（如禁止辦公終端直接訪問數(shù)據(jù)庫）。終端安全管控：禁止非授權設備（如個人U盤、手機）接入醫(yī)療網絡；終端安裝殺毒軟件、補丁自動更新工具，移動終端（如醫(yī)生平板）采用“設備綁定+VPN加密”方式遠程接入。（二）身份認證與訪問控制多因素認證：高權限用戶（如數(shù)據(jù)庫管理員）采用“USBKey+動態(tài)密碼”認證；普通用戶登錄時，結合“密碼+短信驗證”或“生物識別（指紋/人臉）”。最小權限原則：按“崗位-角色-權限”三級映射分配權限（如護士僅可查看患者基本信息，無法修改診斷記錄），每半年審計權限，回收離職/調崗人員賬號。（三）數(shù)據(jù)安全保護加密與脫敏：敏感數(shù)據(jù)（如患者身份證號、檢驗結果）傳輸時采用TLS協(xié)議加密，存儲時對數(shù)據(jù)庫字段（如姓名、手機號）加密；對外展示數(shù)據(jù)時（如科研共享、報表統(tǒng)計），自動脫敏（如“張”“138**5678”）。（四）系統(tǒng)運維與備份漏洞管理：每月開展漏洞掃描（使用專業(yè)工具），高危漏洞24小時內修復；第三方軟件（如外包開發(fā)模塊）上線前，需通過安全測試（含滲透測試）。數(shù)據(jù)備份：采用“全量備份（每周）+增量備份（每日）”策略，備份數(shù)據(jù)異地存儲（與主數(shù)據(jù)中心物理距離≥50公里），每月驗證備份有效性（模擬恢復測試）。四、數(shù)據(jù)安全管理（一）數(shù)據(jù)分類分級分類：醫(yī)療數(shù)據(jù)分為“患者基本信息、診療信息、檢驗/影像數(shù)據(jù)、管理數(shù)據(jù)”四大類；分級：按敏感度分為核心數(shù)據(jù)（如艾滋病記錄、基因檢測結果）、敏感數(shù)據(jù)（如患者姓名、診斷）、普通數(shù)據(jù)（如科室排班表）。核心數(shù)據(jù)需“加密存儲+多層審批訪問”，敏感數(shù)據(jù)需“脫敏展示+日志留痕”。（二）數(shù)據(jù)使用與共享外部共享：與醫(yī)聯(lián)體、第三方機構共享數(shù)據(jù)時，簽訂《數(shù)據(jù)安全協(xié)議》，明確用途（如“僅限檢驗結果互認”），通過加密通道傳輸，禁止共享核心數(shù)據(jù)。（三）數(shù)據(jù)銷毀廢棄服務器、存儲介質需物理銷毀（如硬盤消磁、粉碎）；電子數(shù)據(jù)銷毀需記錄“銷毀時間、方式、責任人”，確保數(shù)據(jù)無法恢復（如采用符合國家標準的覆寫工具）。五、人員安全管理（一）準入與培訓人員準入：系統(tǒng)管理員、運維人員需通過背景審查，簽訂《保密協(xié)議》；普通用戶上崗前，需完成“安全操作規(guī)范+法規(guī)要求”培訓并考核（≥80分合格）。（二）行為規(guī)范六、應急處置管理（一）應急預案制定《網絡安全事件應急預案》，明確“勒索病毒、數(shù)據(jù)泄露、系統(tǒng)癱瘓”等場景的分級響應（一般/較大/重大）、處置流程（如“隔離受感染終端→啟動備份恢復→通知監(jiān)管部門”），預案每年評審修訂。（二）演練與處置應急演練：每年至少開展1次實戰(zhàn)演練（如模擬“Ransomware攻擊”，測試“系統(tǒng)隔離→備份恢復→業(yè)務續(xù)跑”效率），演練后形成《改進報告》。事件處置：發(fā)生安全事件時，立即啟動預案，隔離受影響系統(tǒng)（如斷開感染終端網絡），保護現(xiàn)場（如保留日志、截圖），2小時內上報衛(wèi)健委、網信辦，事后復盤（如“漏洞根源分析+措施優(yōu)化”）。七、監(jiān)督與考核（一）日常監(jiān)督信息化部門每月檢查“漏洞修復率（≥95%）、備份驗證結果、日志完整性”；安全管理小組每季度開展“全流程安全檢查”（含終端合規(guī)性、權限合理性），形成《安全檢查報告》。（二）考核獎懲獎勵：對“發(fā)現(xiàn)重大漏洞、成功處置安全事件”的部門/個人，給予“績效加分+通報表揚”；懲處：違規(guī)操作（如泄露數(shù)據(jù)、關閉防護軟件）視情節(jié)扣減績效（500-2000元），造成嚴重后果的（如數(shù)據(jù)大規(guī)模泄露），依法追究法律責任。八、附則本