醫(yī)院信息系統(tǒng)維護管理制度第一章總則與法律依據(jù)1.1制度定位本制度是××醫(yī)院信息系統(tǒng)（HIS、LIS、PACS、EMR、集成平臺、互聯(lián)網醫(yī)院、移動護理、醫(yī)保接口等）運行維護的剛性約束文件，與《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《電子病歷應用管理規(guī)范（2022版）》《醫(yī)療衛(wèi)生機構網絡安全管理辦法》《GB/T222392019信息安全技術網絡安全等級保護基本要求》《GB/T284482019等級保護測評要求》《GB/T250702019信息安全技術網絡安全等級保護安全設計技術要求》共同構成院內最高效力層。任何維護操作若與本制度沖突，以本制度為準；若本制度與國家新頒布法律法規(guī)沖突，由信息科在三個工作日內完成修訂并發(fā)布臨時補丁。1.2適用范圍覆蓋院內所有生產、測試、災備環(huán)境，包括本地雙活數(shù)據(jù)中心、阿里云災備專區(qū)、5G邊緣節(jié)點、物聯(lián)網終端（輸液泵、心電監(jiān)護、智能門禁、安防攝像頭）。外包公司、原廠工程師、駐場實習生、科研合作單位一律視同本院職工管理。1.3關鍵術語RTO（恢復時間目標）≤15分鐘；RPO（恢復點目標）≤5分鐘；MTTR（平均修復時間）≤30分鐘；變更窗口：指每周三凌晨02:00–05:00；黑屏時間：指業(yè)務系統(tǒng)對外停止服務且無法使用應急終端的時長；灰度發(fā)布：指在10%用戶范圍內先行驗證的上線方式；熱補?。褐覆恢貑?shù)據(jù)庫、不停止中間件即可生效的修復包。第二章組織與職責2.1信息科為唯一歸口管理部門，設系統(tǒng)運維組、數(shù)據(jù)庫組、網絡組、安全組、終端組、災備組、值班臺?？崎L為信息安全第一責任人，直接向院長匯報。2.2三線支持模型一線：值班臺（7×24小時，3人/班，持CCNA、RHCE、PMP證書）。二線：各技術組高級工程師（通過OCP、VCP、CISP、CISSP認證）。三線：原廠/外包專家（簽署《技術支持保密協(xié)議》，每年進行背景審查）。2.3權限矩陣采用RBAC+ABAC混合模型，最小權限+動態(tài)授權。數(shù)據(jù)庫超級用戶（sys、system）口令分段保管，分別由數(shù)據(jù)庫組組長、安全組組長、紀檢辦持有，任何個人無法獨立登錄。所有特權操作必須在堡壘機“××堡壘V5.2”發(fā)起，自動錄屏、鍵盤記錄、OCR審計。2.4考核與獎懲年度KPI：系統(tǒng)可用率≥99.95%，重大安全事件0起，變更成功率≥99%。每下降0.01%可用率，扣減科室績效2%；每發(fā)生1起重大事件，科室績效清零，個人記過以上處分。對發(fā)現(xiàn)重大隱患的職工，給予5000–20000元獎勵，并全院通報表揚。第三章運行維護流程3.1日常巡檢3.1.1自動化巡檢工具：Zabbix6.4+Grafana9.5+自研插件××Probe。頻率：每5分鐘采集一次CPU、內存、磁盤、網絡、數(shù)據(jù)庫連接數(shù)、Redis命中率、MQ積壓。閾值：CPU>85%持續(xù)5分鐘即微信企業(yè)號推送；磁盤剩余<10%直接電話語音告警。3.1.2人工巡檢每日8:30–9:00，由值班員對照《日檢表》42項指標現(xiàn)場簽字：UPS負載、精密空調漏水繩、消防氣瓶壓力、柴油發(fā)電機浮充電流、光纖配線架指示燈、SSL證書剩余天數(shù)。3.1.3周深度巡檢每周一凌晨02:00–04:00，執(zhí)行OracleAWR、MySQLslowlog、WebLogicthreaddump、VMwarevCenterHA、存儲S.M.A.R.T、磁帶庫讀寫校驗。輸出《××醫(yī)院系統(tǒng)健康周報》PDF，由科長晨會匯報。3.2事件管理3.2.1事件分級P1（緊急）：核心業(yè)務中斷>15分鐘；P2（高）：非核心業(yè)務中斷>30分鐘；P3（中）：性能下降>50%；P4（低）：單點告警、不影響業(yè)務。3.2.2事件通道電話：內線8888；企業(yè)微信：“IT救火群”；釘釘：“××醫(yī)院運維”；短信：1069××××。所有通道同步到ServiceNow工單，自動去重。3.2.3SLAP1：5分鐘內響應，15分鐘內召集應急小組，1小時內恢復；P2：15分鐘內響應，2小時內恢復；P3：30分鐘內響應，4小時內恢復；P4：1小時內響應，1工作日內解決。3.2.4復盤P1/P2事件解決后24小時內召開“故障復盤會”，使用5Why+魚骨圖，輸出《××醫(yī)院事件報告》，含：過程時間軸、根因、損失評估、整改措施、責任人。整改措施必須在7日內完成，由紀檢辦驗證。3.3問題管理對重復發(fā)生≥3次的事件，自動升級成“問題”。建立問題池，使用Jira管理，指派專人負責。每月最后一周召開“問題評審會”，對超過30天未關閉的問題，科長親自督辦。3.4變更管理3.4.1變更類型標準變更：周窗口內、影響范圍明確、有成功先例；緊急變更：生產故障需立即修復；重大變更：影響全院>50%終端或>200個床位。3.4.2流程申請→風險評估→審批→實施→驗證→回退計劃→關閉。申請：工程師在GitLab提交MR，附帶《變更申請表》、影響分析、測試報告、回退腳本。風險評估：由“變更委員會（CAB）”7人小組打分，≥8分需院長簽字。審批：使用金蝶EAS流程引擎，二級審批限額：科長≤4小時停機；分管院長≤8小時；>8小時需黨委會。實施：必須雙人臨崗，一人操作，一人復核，全程錄屏。驗證：自動化腳本校驗關鍵業(yè)務：掛號>1筆、收費>1筆、檢驗條碼打印>1張、PACS調圖>1份。回退：灰度發(fā)布失敗或監(jiān)控異常>5分鐘，立即執(zhí)行回退，回退時間不得超過15分鐘。關閉：72小時內無次生事件，由變更經理在ServiceNow關閉，并生成《變更總結報告》。3.5容量管理3.5.1容量基線CPU≤60%，內存≤70%，磁盤≤70%，網絡≤50%，Oracle會話≤1500，VMware集群CPUReady≤5%，vSAN延遲≤10ms。3.5.2預測算法采用Prophet+ARIMA混合模型，以一年歷史數(shù)據(jù)訓練，預測未來90天容量。當預測值≥80%時，觸發(fā)擴容流程。3.5.3擴容方案縱向：物理機加CPU、內存、硬盤；橫向：增加節(jié)點、分庫分表、RedisCluster、KafkaPartition。優(yōu)先橫向，禁止單節(jié)點>32核256G內存。3.6備份與恢復3.6.1備份策略Oracle：DataGuard實時+RMAN全備每日2:00+歸檔每30分鐘；MySQL：主從+PerconaXtraBackup每日3:00+binlog每15分鐘；文件影像：PACS影像采用對象存儲+跨區(qū)域復制，保留3份（本地、阿里云OSS、騰訊云COS）；虛擬機：Veeam每日4:00，采用ReFS塊克隆，保留30個還原點；磁帶：LTO9離線庫，每周六全量，保存7年，符合《醫(yī)療影像數(shù)據(jù)長期保存規(guī)定》。3.6.2恢復演練每季度末月15日進行“閃電演練”，隨機抽取1套關鍵系統(tǒng)，使用備份數(shù)據(jù)在隔離網段恢復，RTO、RPO必須達標。演練報告由醫(yī)保辦、醫(yī)務科、財務科聯(lián)合簽字。第四章安全維護4.1漏洞管理4.1.1發(fā)現(xiàn)渠道國家衛(wèi)健委漏洞庫、CNVD、CNNVD、HackerOne、綠盟威脅情報、醫(yī)院SRC（安全應急響應中心）。4.1.2評級采用CVSS3.1，≥7.0為高危，≥9.0為緊急。4.1.3處置時限緊急漏洞：2小時內臨時止血（WAF加規(guī)則、關端口、下線服務），24小時內修復或打補??；高危漏洞：72小時內；中危：2周；低危：1個季度。4.1.4驗證使用Nessus+自研腳本雙重驗證，閉環(huán)率100%。4.2終端安全4.2.1準入控制啟用802.1X+MAC+Portal混合認證，啞終端（打印機、PDA）使用MAC白名單；USB端口采用××衛(wèi)士，僅允許白名單VID/PID，違規(guī)立即斷網。4.2.2補丁管理Windows：WSUS+內網補丁分發(fā)，延遲2周灰度；Linux：本地YUM倉庫，測試→預生產→生產三階段；醫(yī)療終端（WinCE、Android）：由設備科統(tǒng)一刷機，簽名驗證。4.3數(shù)據(jù)脫敏與加密4.3.1脫敏開發(fā)、測試、培訓、科研使用的數(shù)據(jù)必須經過靜態(tài)脫敏（替換、掩碼、洗牌），脫敏算法：姓名→隨機中文，身份證→保留出生年月+4位隨機，手機號→保留前三后四。4.3.2加密傳輸：TLS1.3，強制HSTS，禁用TLS_RSA；存儲：OracleTDE（AES256）、MySQLInnoDB加密、VMwarevSAN加密、備份磁帶LTO9內置加密；密鑰：采用KMS（ThalesCipherTrust），雙人授權，密鑰輪換90天。4.4審計與合規(guī)4.4.1日志范圍操作系統(tǒng)、數(shù)據(jù)庫、中間件、網絡設備、安全設備、業(yè)務應用、堡壘機、VPN、無線AC、IoT網關。4.4.2留存期限法律要求≥6個月，本院統(tǒng)一3年，使用SyslogNG+Kafka+Elasticsearch集群存儲，壓縮比1:8，簽名防篡改。4.4.3審計報告每月輸出《安全審計月報》提交院辦、黨辦、紀檢，發(fā)現(xiàn)違規(guī)操作立即啟動問責。第五章應急與災備5.1應急預案體系總體預案：《××醫(yī)院信息系統(tǒng)突發(fā)事件總體應急預案》專項預案：網絡攻擊、勒索病毒、數(shù)據(jù)庫被刪、UPS火災、精密空調漏水、地震、疫情極端場景。5.2應急組織總指揮：院長；副總指揮：分管副院長；現(xiàn)場指揮：信息科科長；應急小組：技術、醫(yī)療、護理、后勤、宣傳、保衛(wèi)、紀檢。5.3應急演練5.3.1演練頻率桌面演練：每季度；實戰(zhàn)演練：每半年；全院綜合演練：每年。5.3.2演練流程演練方案→審批→發(fā)布→角色分工→執(zhí)行→評估→整改。最近一次（2023年11月9日）模擬“勒索病毒加密HIS數(shù)據(jù)庫”，從發(fā)現(xiàn)到切換災備僅12分鐘，門診業(yè)務無感知，獲市衛(wèi)健委通報表揚。5.4災備架構生產中心：主院區(qū)A座4樓，雙活存儲DellVMAX950F，距離100m；災備中心：開發(fā)區(qū)分院8樓，光纖直連，延遲1.8ms；云端災備：阿里云華東2可用區(qū)F，100Mbps專線，異步復制RPO=5分鐘；容災級別：國家標準災難恢復能力第5級（GB/T209882007）。5.5切換決策由“災備決策小組”5人（院長、信息科、醫(yī)務部、護理部、醫(yī)保辦）投票，≥3票即可啟動。切換后15分鐘內完成業(yè)務驗證，若驗證失敗立即回切。第六章供應商與外包管理6.1準入評估必須提供：營業(yè)執(zhí)照、軟件著作權、等保三級以上證書、近3年無重大違法記錄聲明、原廠商授權、技術人員社保記錄。6.2合同要求必須包含：保密條款、違約金（不低于合同額30%）、源代碼托管（Escrow）、7×24小時SLA、人員變動需書面同意。6.3人員管理外包人員納入本院“外來人員管理系統(tǒng)”，人臉+身份證雙重核驗，佩戴藍色工牌，禁止攜帶攝錄設備進入機房。6.4評價與退出每季度打分：技術能力30%、響應速度30%、服務態(tài)度20%、安全合規(guī)20%。低于80分限期整改；連續(xù)兩次低于80分，列入黑名單，3年內禁止參與本院項目。第七章監(jiān)控與可視化7.1監(jiān)控分層基礎設施：動力環(huán)境（溫濕度、水浸、煙感、門磁）、網絡流量、存儲IOPS；平臺層：虛擬化、數(shù)據(jù)庫、中間件；應用層：業(yè)務成功率、接口延遲、隊列積壓；用戶體驗：RUM（真實用戶監(jiān)控），模擬患者從掛號→繳費→檢驗→取藥全流程。7.2告警收斂采用Alertmanager+自研AI收斂算法，相同根因告警合并為1條，告警風暴壓縮率≥85%。7.3可視化大屏55英寸LED4K拼接屏×9，位于信息科NOC，展示：系統(tǒng)可用率、今日門診量、PACS調圖峰值、網絡攻擊態(tài)勢、UPS剩余時間、值班醫(yī)生列表。顏色定義：綠≥99.9%、黃99.5%–99.9%、紅<99.5%。第八章培訓與考核8.1培訓體系新員工：入職1周內完成《信息系統(tǒng)安全與維護》8學時，上機實操在仿真環(huán)境還原一次“誤刪表”恢復；在職員工：每年≥20學時，含：勒索病毒應急、Oracle19c新特性、云原生監(jiān)控、醫(yī)療數(shù)據(jù)合規(guī)；管理層：院長、副院長每年參加一次國家級網絡安全培訓，取得學分證。8.2實操比武每年9月舉辦“藍盾杯”技術比武，場景隨機：網絡攻防、數(shù)據(jù)庫性能調優(yōu)、VMwarevMotion故障、PACS影像秒開挑戰(zhàn)。優(yōu)勝者授予“技術能手”稱號，獎金10000元，并推薦市級競賽。8.3考核與證書一線值班須持：RHCE或同等級以上；二線須持：OCP/VMwareVCAP/CISP之一；證書過期未續(xù)，績效降一級。第九章文檔與配置管理9.1文檔清單環(huán)境清單、拓撲圖、IP地址表、賬號表、基線配置、變更記錄、應急預案、演練報告、培訓記錄、安全審計報告、合同及授權。9.2版本控制使用GitLab私有庫，目錄按“系統(tǒng)子系統(tǒng)日期”三級劃分，所有文檔以Markdown編寫，自動轉PDF，禁止在本地硬盤長期保存。9.3配置基線網絡設備：關閉Telnet、SNMPv2c，啟用SSHv2、SNMPv3；Windows：禁用SMBv1，啟用BitLocker，屏幕保護5分鐘；Linux：關閉圖形，啟用SELinux，SSH僅允許堡壘機IP；數(shù)據(jù)庫：啟用審計、失敗