醫(yī)療機(jī)構(gòu)信息安全管理制度

　　在日新月異的現(xiàn)代社會(huì)中，各種制度頻頻出現(xiàn)，制度對(duì)社會(huì)經(jīng)濟(jì)、科學(xué)技術(shù)、文化教育事業(yè)的發(fā)展，對(duì)社會(huì)公共秩序的維護(hù)，有著十分重要的作用。那么擬定制度真的很難嗎？下面是小編精心整理的醫(yī)療機(jī)構(gòu)信息安全管理制度（精選10篇），僅供參考，歡迎大家閱讀。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度1

　　1.建立由醫(yī)院主要院領(lǐng)導(dǎo)為組長、醫(yī)療主管院領(lǐng)導(dǎo)為副組長，醫(yī)療管理部門、病案管理部門、護(hù)理管理部門、藥學(xué)管理部門、科研教學(xué)管理部門及信息網(wǎng)絡(luò)部門為成員的診療信息安全管理委員會(huì)。

　　2.醫(yī)務(wù)工作人員應(yīng)客觀、真實(shí)、準(zhǔn)確、及時(shí)、完整記錄患者診療信息，對(duì)輸入計(jì)算機(jī)的數(shù)據(jù)時(shí)效性、真實(shí)性、連續(xù)性、完整性、準(zhǔn)確性負(fù)責(zé)，不得隨意增減或刪除有效數(shù)據(jù)。

　　3.信息網(wǎng)絡(luò)部門負(fù)責(zé)對(duì)醫(yī)療信息系統(tǒng)產(chǎn)生的患者診療信息的存儲(chǔ)、備份、安全防護(hù)等，健全技術(shù)設(shè)施、數(shù)據(jù)安全管理制度和應(yīng)急預(yù)案，確保信息的可恢復(fù)性、患者診療信息的完整性、穩(wěn)定性和可溯源性。

　　4.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息安全保護(hù)制度和信息再利用的審批流程，明確醫(yī)務(wù)人員使用患者診療信息權(quán)限和授權(quán)部門。醫(yī)務(wù)人員應(yīng)當(dāng)遵循合法、依規(guī)、正當(dāng)、必要的原則，不得擅自出售患者信息，不得未經(jīng)批準(zhǔn)擅自向他人或其他機(jī)構(gòu)提供患者診療信息。

　　5.各職能管理部門針對(duì)職責(zé)范疇，每年進(jìn)行不少于一次的信息安全風(fēng)險(xiǎn)評(píng)估。對(duì)在醫(yī)療流程中可能產(chǎn)生的信息泄露、丟失、毀損的環(huán)節(jié)的不安全因素采取有效措施，提高信息保護(hù)能力。信息網(wǎng)絡(luò)部門至少每年對(duì)醫(yī)療數(shù)據(jù)中心的安全措施進(jìn)行技術(shù)評(píng)估，采取有效措施，確�；颊咴\療數(shù)據(jù)的安全。醫(yī)療機(jī)構(gòu)應(yīng)有充分的預(yù)算保障數(shù)據(jù)中心的安全架構(gòu)、設(shè)備、環(huán)境、供電等處于有效狀態(tài)。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度2

　　為保障我院信息系統(tǒng)安全，保證醫(yī)院信息管理系統(tǒng)建設(shè)的順利進(jìn)行，特制定本辦法。

　　一、醫(yī)院信息化安全管理工作由醫(yī)院信息科負(fù)責(zé)。

　　二、醫(yī)院信息安全管理主要內(nèi)容

　　(一)設(shè)備安全管理制度

　　1.1由信息科管理計(jì)算機(jī)相關(guān)設(shè)備，注意保存設(shè)備配備的驅(qū)動(dòng)程序等重要隨機(jī)文件。

　　1.2選用的計(jì)算機(jī)設(shè)備必須符合國家有關(guān)標(biāo)準(zhǔn)的規(guī)定，滿足可靠性與兼容性要求。

　　1.3網(wǎng)絡(luò)核心交換機(jī)統(tǒng)一存放在信息中心機(jī)房，應(yīng)定期進(jìn)行安全檢查。

　　1.4網(wǎng)絡(luò)通信出現(xiàn)異常，及時(shí)與醫(yī)院信息科聯(lián)系。

　　(二)軟件管理制度

　　2.1信息科對(duì)內(nèi)網(wǎng)中的應(yīng)用軟件統(tǒng)一安裝，嚴(yán)禁私自安裝。

　　2.2對(duì)所有應(yīng)用軟件的業(yè)務(wù)數(shù)據(jù)要實(shí)施嚴(yán)格的安全保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄漏、丟失與破壞。

　　(三)網(wǎng)絡(luò)安全管理制度

　　3.1采取嚴(yán)密的安全措施，防止無關(guān)人員利用電腦進(jìn)入醫(yī)院信息系統(tǒng)。

　　3.2網(wǎng)絡(luò)管理系統(tǒng)的口令必須由信息科負(fù)責(zé)掌管。

　　3.3應(yīng)用操作人員嚴(yán)禁泄露自己的操作口令。

　　(四)計(jì)算機(jī)病毒防范制度

　　4.1信息科應(yīng)定期進(jìn)行病毒檢測(cè)，發(fā)現(xiàn)病毒立即處理。

　　4.2采用國家許可的正版防病毒軟件，并定期更新病毒特征庫。

　　4.3經(jīng)遠(yuǎn)程通信傳送的數(shù)據(jù)，必須經(jīng)過檢測(cè)確認(rèn)無病毒后方可使用。

　　(五)數(shù)據(jù)保密及備份制度

　　5.1根據(jù)數(shù)據(jù)的不同用途，確定使用人員的權(quán)限。

　　5.2禁止泄露、外借和轉(zhuǎn)移業(yè)務(wù)數(shù)據(jù)信息。

　　5.3加強(qiáng)對(duì)錄入機(jī)密文件和涉密信息計(jì)算機(jī)的管理。

　　5.4對(duì)重要數(shù)據(jù)應(yīng)備份并異地存放。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度3

　　定義

　　指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，對(duì)醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲(chǔ)、使用、傳輸、處理、發(fā)布等進(jìn)行全流程系統(tǒng)性保障的制度。

　　基本要求

　　1.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系，完善組織架構(gòu)，明確管理部門，落實(shí)信息安全等級(jí)保護(hù)等有關(guān)要求。

　　2.醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是醫(yī)療機(jī)構(gòu)患者診療信息安全管理第一責(zé)任人。

　　3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定應(yīng)急預(yù)案。

　　4.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)確保實(shí)現(xiàn)本機(jī)構(gòu)患者診療信息管理全流程的安全性、真實(shí)性、連續(xù)性、完整性、穩(wěn)定性、時(shí)效性、溯源性。

　　5.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度，使用患者診療信息應(yīng)當(dāng)遵循合法、依規(guī)、正當(dāng)、必要的原則，不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息。

　　6.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度，明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障，因個(gè)人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)。

　　7.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平，防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作，建立患者診療信息系統(tǒng)安全事故責(zé)任管理、追溯機(jī)制。在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定向有關(guān)部門報(bào)告。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度4

　　一、計(jì)算機(jī)安全管理

　　1、醫(yī)院計(jì)算機(jī)操作人員必須按照計(jì)算機(jī)正確的使用方法操作計(jì)算機(jī)系統(tǒng)。嚴(yán)禁暴力使用計(jì)算機(jī)或蓄意破壞計(jì)算機(jī)軟硬件。

　　2、未經(jīng)許可，不得擅自拆裝計(jì)算機(jī)硬件系統(tǒng)，若須拆裝，則通知信息科技術(shù)人員進(jìn)行。

　　3、計(jì)算機(jī)的軟件安裝和卸載工作必須由信息科技術(shù)人員進(jìn)行。

　　4、計(jì)算機(jī)的使用必須由其合法授權(quán)者使用，未經(jīng)授權(quán)不得使用。

　　5、醫(yī)院計(jì)算機(jī)僅限于醫(yī)院內(nèi)部工作使用，原則上不許接入互聯(lián)網(wǎng)。因工作需要接入互聯(lián)網(wǎng)的，需書面向醫(yī)務(wù)科提出申請(qǐng)，經(jīng)簽字批準(zhǔn)后交信息科負(fù)責(zé)接入。接入互聯(lián)網(wǎng)的計(jì)算機(jī)必須安裝正版的反病毒軟件。并保證反病毒軟件實(shí)時(shí)升級(jí)。

　　6、醫(yī)院任何科室如發(fā)現(xiàn)或懷疑有計(jì)算機(jī)病毒侵入，應(yīng)立即斷開網(wǎng)絡(luò)，同時(shí)通知信息科技術(shù)人員負(fù)責(zé)處理。信息科應(yīng)采取措施清除，并向主管院領(lǐng)導(dǎo)報(bào)告?zhèn)浒浮?/p>

　　7、醫(yī)院計(jì)算機(jī)內(nèi)不得安裝游戲、即時(shí)通訊等與工作無關(guān)的軟件，盡量不在院內(nèi)計(jì)算機(jī)上使用來歷不明的移動(dòng)存儲(chǔ)工具。

　　二、網(wǎng)絡(luò)使用人員行為規(guī)范

　　1、不得在醫(yī)院網(wǎng)絡(luò)中制作、復(fù)制、查閱和傳播國家法律、法規(guī)所禁止的信息。

　　2、不得在醫(yī)院網(wǎng)絡(luò)中進(jìn)行國家相關(guān)法律法規(guī)所禁止的活動(dòng)。

　　3、未經(jīng)允許，不得擅自修改計(jì)算機(jī)中與網(wǎng)絡(luò)有關(guān)的設(shè)置。

　　4、未經(jīng)允許，不得私自添加、刪除與醫(yī)院網(wǎng)絡(luò)有關(guān)的軟件。

　　5、未經(jīng)允許，不得進(jìn)入醫(yī)院網(wǎng)絡(luò)或者使用醫(yī)院網(wǎng)絡(luò)資源。

　　6、未經(jīng)允許，不得對(duì)醫(yī)院網(wǎng)絡(luò)功能進(jìn)行刪除、修改或者增加。

　　7、未經(jīng)允許，不得對(duì)醫(yī)院網(wǎng)絡(luò)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加。

　　8、不得故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。

　　9、不得進(jìn)行其他危害醫(yī)院網(wǎng)絡(luò)安全及正常運(yùn)行的活動(dòng)。

　　三、網(wǎng)絡(luò)硬件的管理

　　網(wǎng)絡(luò)硬件包括服務(wù)器、路由器、交換機(jī)、通信線路、不間斷供電設(shè)備、機(jī)柜、配線架、信息點(diǎn)模塊等提供網(wǎng)絡(luò)服務(wù)的設(shè)施及設(shè)備。

　　1、各職能部門、各科室應(yīng)妥善保管安置在本部門的網(wǎng)絡(luò)設(shè)備、設(shè)施及通信。

　　2、不得破壞網(wǎng)絡(luò)設(shè)備、設(shè)施及通信線路。由于事故原因造成的網(wǎng)絡(luò)連接中斷的，應(yīng)根據(jù)其情節(jié)輕重予以處罰或賠償。

　　3、未經(jīng)允許，不得中斷網(wǎng)絡(luò)設(shè)備及設(shè)施的供電線路。因生產(chǎn)原因必須停電的，應(yīng)提前通知網(wǎng)絡(luò)管理人員。

　　4、不得擅自挪動(dòng)、轉(zhuǎn)移、增加、安裝、拆卸網(wǎng)絡(luò)設(shè)施及設(shè)備。特殊情況應(yīng)提前通知網(wǎng)絡(luò)管理人員，在得到允許后方可實(shí)施。

　　四、軟件及信息安全

　　1、計(jì)算機(jī)及外設(shè)所配軟件及驅(qū)動(dòng)程序交網(wǎng)絡(luò)管理人員保管，以便統(tǒng)一維護(hù)和管理。

　　2、管理系統(tǒng)軟件由網(wǎng)絡(luò)管理人員按使用范圍進(jìn)行安裝，其他任何人不得安裝、復(fù)制、傳播此類軟件。

　　3、網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息的使用權(quán)限由網(wǎng)絡(luò)管理人員按醫(yī)院的有關(guān)規(guī)定予以分配，任何人不得擅自超越權(quán)限使用網(wǎng)絡(luò)資源及網(wǎng)絡(luò)信息。

　　4、網(wǎng)絡(luò)的使用人員應(yīng)妥善保管各自的密碼及身份認(rèn)證文件，不得將密碼及身份認(rèn)證文件交與他人使用。

　　5、任何人不得將含有醫(yī)院信息的計(jì)算機(jī)或各種存儲(chǔ)介質(zhì)交與無關(guān)人員。更不得利用醫(yī)院數(shù)據(jù)信息獲取不正當(dāng)利益。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度5

　　第一章總則

　　第一條為規(guī)范信息安全等級(jí)保護(hù)管理，提高我院信息安全保障能力和水平，維護(hù)國家安全、社會(huì)穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》文件要求，制定本制度。

　　第二條根據(jù)國家制定的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)本部門所使用和運(yùn)營的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。

　　第三條在我院信息化領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下，信息科負(fù)責(zé)醫(yī)院信息系統(tǒng)安全定級(jí)和保護(hù)的指導(dǎo)、上報(bào)和檢查工作。

　　第四條各科室依照本制度及相關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行本科室運(yùn)營和使用的信息系統(tǒng)的定級(jí)保護(hù)工作。

　　第五條各科室應(yīng)當(dāng)依照本制度及相關(guān)的標(biāo)準(zhǔn)規(guī)范，對(duì)運(yùn)營和使用的信息系統(tǒng)履行安全等級(jí)保護(hù)的義務(wù)和責(zé)任。

　　第二章等級(jí)劃分和保護(hù)

　　第六條信息等級(jí)保護(hù)堅(jiān)持堅(jiān)持自主定級(jí)、自主保護(hù)的原則。信息系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，信息系統(tǒng)遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素確定。

　　第七條信息系統(tǒng)的安全保護(hù)等級(jí)分為以下五級(jí)：

　　第一級(jí)為自主保護(hù)級(jí)，適用于一般的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生損害，但不損害國家安全、社會(huì)秩序和公共利益。

　　第二級(jí)為指導(dǎo)保護(hù)級(jí)，適用于一般的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成輕微損害，但不損害國家安全。

　　第三級(jí)為監(jiān)督保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成損害。

　　第四級(jí)為強(qiáng)制保護(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害。

　　第五級(jí)為�？乇Ｗo(hù)級(jí)，適用于涉及國家安全、社會(huì)秩序和公共利益的重要信息系統(tǒng)的核心子系統(tǒng)，其受到破壞后，會(huì)對(duì)國家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害。

　　第三章等級(jí)保護(hù)的實(shí)施與管理

　　第八條信息系統(tǒng)運(yùn)營、使用科室依照本制度和《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》確定信息系統(tǒng)的安全保護(hù)等級(jí)，報(bào)到信息中心。信息中心審核后，統(tǒng)一上報(bào)到郟縣衛(wèi)生健康委信息工作股。根據(jù)上級(jí)主管部門的審核和指導(dǎo)意見，按照國家規(guī)范，完成我院信息系統(tǒng)的安全定級(jí)工作。并完成相應(yīng)的安全保護(hù)和制度建設(shè)工作，對(duì)定為二級(jí)以上的信息系統(tǒng)按照相關(guān)規(guī)定報(bào)平頂山市公安局備案。

　　第九條信息系統(tǒng)的安全保護(hù)等級(jí)確定后，運(yùn)營、使用部門應(yīng)當(dāng)按照國家信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，使用符合國家有關(guān)規(guī)定，滿足信息系統(tǒng)安全保護(hù)等級(jí)需求的信息技術(shù)產(chǎn)品，開展信息系統(tǒng)安全建設(shè)或者改建工作。

　　第十條在信息系統(tǒng)建設(shè)過程中，運(yùn)營、使用部門應(yīng)當(dāng)按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級(jí)要求的信息安全設(shè)施。

　　第十一條運(yùn)營、使用部門應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）等管理規(guī)范，制定并落實(shí)符合本系統(tǒng)安全保護(hù)等級(jí)要求的安全管理制度。

　　第十二條信息系統(tǒng)運(yùn)營、使用部門及其主管部門應(yīng)當(dāng)定期對(duì)信息系統(tǒng)安全狀況、安全保護(hù)制度及措施的落實(shí)情況進(jìn)行自查。經(jīng)自查，信息系統(tǒng)安全狀況未達(dá)到安全保護(hù)等級(jí)要求的，運(yùn)營、使用部門應(yīng)當(dāng)制定方案進(jìn)行整改。

　　第四章附則

　　第十三條各部門對(duì)本部門運(yùn)營和使用的信息系統(tǒng)進(jìn)行梳理，按照本制度的要求確定信息系統(tǒng)的安全保護(hù)等級(jí)；新建信息系統(tǒng)在設(shè)計(jì)、規(guī)劃階段確定安全保護(hù)等級(jí)。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度6

　　第一章總則

　　第一條為加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理，進(jìn)一步促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎(chǔ)性戰(zhàn)略資源的作用，加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理，防范網(wǎng)絡(luò)安全事件發(fā)生，根據(jù)《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等有關(guān)法律法規(guī)標(biāo)準(zhǔn)，制定本辦法。

　　第二條堅(jiān)持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民，堅(jiān)持網(wǎng)絡(luò)安全教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展，堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一，堅(jiān)持安全可控和開放創(chuàng)新并重。

　　堅(jiān)持分等級(jí)保護(hù)、突出重點(diǎn)。重點(diǎn)保障關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)（以下簡稱第三級(jí)）及以上網(wǎng)絡(luò)以及重要數(shù)據(jù)和個(gè)人信息安全。

　　堅(jiān)持積極防御、綜合防護(hù)。充分利用人工智能、大數(shù)據(jù)分析等技術(shù)，強(qiáng)化安全監(jiān)測(cè)、態(tài)勢(shì)感知、通報(bào)預(yù)警和應(yīng)急處置等重點(diǎn)工作，落實(shí)網(wǎng)絡(luò)安全保護(hù)“實(shí)戰(zhàn)化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

　　堅(jiān)持“管業(yè)務(wù)就要管安全”“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，落實(shí)網(wǎng)絡(luò)安全責(zé)任制，明確各方責(zé)任。

　　第三條本辦法所稱的網(wǎng)絡(luò)是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。

　　本辦法所稱的數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)，是指醫(yī)療衛(wèi)生機(jī)構(gòu)通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)，包括但不限于各類臨床、科研、管理等業(yè)務(wù)數(shù)據(jù)、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)、個(gè)人信息以及數(shù)據(jù)衍生物。

　　本辦法適用于醫(yī)療衛(wèi)生機(jī)構(gòu)運(yùn)營網(wǎng)絡(luò)的安全管理。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機(jī)構(gòu)參照?qǐng)?zhí)行。

　　第四條國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局負(fù)責(zé)統(tǒng)籌規(guī)劃、指導(dǎo)、評(píng)估、監(jiān)督醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全工作。縣級(jí)以上地方衛(wèi)生健康行政部門（含中醫(yī)藥和疾控部門，下同）負(fù)責(zé)本行政區(qū)域內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全指導(dǎo)監(jiān)督工作。

　　醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)本單位網(wǎng)絡(luò)安全管理負(fù)主體責(zé)任，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)與信息化建設(shè)參與單位及相關(guān)醫(yī)療設(shè)備生產(chǎn)經(jīng)營企業(yè)書面約定各方的網(wǎng)絡(luò)安全義務(wù)和違約責(zé)任。

　　第二章網(wǎng)絡(luò)安全管理

　　第五條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組，由單位主要負(fù)責(zé)人任領(lǐng)導(dǎo)小組組長，每年至少召開一次網(wǎng)絡(luò)安全辦公會(huì)，部署安全重點(diǎn)工作，落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求。有二級(jí)及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)明確負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的職能部門，明確承擔(dān)安全主管、安全管理員等職責(zé)的崗位；建立網(wǎng)絡(luò)安全管理制度體系，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，強(qiáng)化應(yīng)急處置，在此基礎(chǔ)上對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，防止網(wǎng)絡(luò)安全事件發(fā)生。

　　第六條各醫(yī)療衛(wèi)生機(jī)構(gòu)按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，在網(wǎng)絡(luò)建設(shè)過程中明確本單位各網(wǎng)絡(luò)的主管部門、運(yùn)營部門、信息化部門、使用部門等管理職責(zé)，對(duì)本單位運(yùn)營范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、安全建設(shè)整改等工作。

　�。ㄒ唬�對(duì)新建網(wǎng)絡(luò)，應(yīng)在規(guī)劃和申報(bào)階段確定網(wǎng)絡(luò)安全保護(hù)等級(jí)。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)全面梳理本單位各類網(wǎng)絡(luò)，特別是云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況，并根據(jù)網(wǎng)絡(luò)的功能、服務(wù)范圍、服務(wù)對(duì)象和處理數(shù)據(jù)等情況，依據(jù)相關(guān)標(biāo)準(zhǔn)科學(xué)確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)，并報(bào)上級(jí)主管部門審核同意。

　�。ǘ�）新建網(wǎng)絡(luò)投入使用應(yīng)依法依規(guī)開展等級(jí)保護(hù)備案工作。第二級(jí)以上網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)，由其運(yùn)營者向公安機(jī)關(guān)備案，并將備案情況報(bào)上級(jí)衛(wèi)生健康行政部門，因網(wǎng)絡(luò)撤銷或變更安全保護(hù)等級(jí)的，應(yīng)在10個(gè)工作日內(nèi)向原備案公安機(jī)關(guān)撤銷或變更，同步上報(bào)上級(jí)衛(wèi)生健康行政部門。

　�。ㄈ�）全面梳理分析網(wǎng)絡(luò)安全保護(hù)需求，按照“一個(gè)中心（安全管理中心），三重防護(hù)（安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境）”的要求，制定符合網(wǎng)絡(luò)安全保護(hù)等級(jí)要求的整體規(guī)劃和建設(shè)方案，加強(qiáng)信息系統(tǒng)自行開發(fā)或外包開發(fā)過程中的安全管理，認(rèn)真開展網(wǎng)絡(luò)安全建設(shè)，全面落實(shí)安全保護(hù)措施。

　�。ㄋ模└麽t(yī)療衛(wèi)生機(jī)構(gòu)對(duì)已定級(jí)備案網(wǎng)絡(luò)的安全性進(jìn)行檢測(cè)評(píng)估，第三級(jí)或第四級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，每年至少一次開展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。第二級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)定期開展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，其中涉及10萬人以上個(gè)人信息的網(wǎng)絡(luò)應(yīng)至少三年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)，其他的網(wǎng)絡(luò)至少五年開展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。新建的'網(wǎng)絡(luò)上線運(yùn)行前應(yīng)進(jìn)行安全性測(cè)試。

　�。ㄎ澹┽槍�(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的問題隱患，各醫(yī)療衛(wèi)生機(jī)構(gòu)要結(jié)合外在的威脅風(fēng)險(xiǎn)，按照法律法規(guī)、政策和標(biāo)準(zhǔn)要求，制定網(wǎng)絡(luò)安全整改方案，有針對(duì)性地開展整改，及時(shí)消除風(fēng)險(xiǎn)隱患，補(bǔ)強(qiáng)管理和技術(shù)短板，提升安全防護(hù)能力。

　　第七條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)依托國家網(wǎng)絡(luò)安全信息通報(bào)機(jī)制，加強(qiáng)本單位網(wǎng)絡(luò)安全通報(bào)預(yù)警力量建設(shè)。鼓勵(lì)三級(jí)醫(yī)院探索態(tài)勢(shì)感知平臺(tái)建設(shè)，及時(shí)收集、匯總、分析各方網(wǎng)絡(luò)安全信息，加強(qiáng)威脅情報(bào)工作，組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢(shì)研判，及時(shí)通報(bào)預(yù)警和處置，防止網(wǎng)絡(luò)被破壞、數(shù)據(jù)外泄等事件。

　　第八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)急處置機(jī)制，通過建立完善應(yīng)急預(yù)案、組織應(yīng)急演練等方式，有效處理網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件能力。積極參加網(wǎng)絡(luò)安全攻防演練，提升保護(hù)和對(duì)抗能力。

　　第九條各醫(yī)療衛(wèi)生機(jī)構(gòu)在網(wǎng)絡(luò)運(yùn)營過程中，應(yīng)每年開展文檔核驗(yàn)、漏洞掃描、滲透測(cè)試等多種形式的安全自查，及時(shí)發(fā)現(xiàn)可能存在的問題和隱患。針對(duì)安全自查、監(jiān)測(cè)預(yù)警、安全通報(bào)等過程中發(fā)現(xiàn)的安全隱患應(yīng)認(rèn)真開展整改加固，防止網(wǎng)絡(luò)帶病運(yùn)行，并按要求將安全自查整改情況報(bào)上級(jí)衛(wèi)生健康行政部門。自查整改可與等級(jí)測(cè)評(píng)問題整改一并實(shí)施。

　　每年安全自查整改工作包括：

　�。ㄒ唬┮罁�(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求，各醫(yī)療衛(wèi)生機(jī)構(gòu)完成信息資產(chǎn)梳理，摸清本單位網(wǎng)絡(luò)定級(jí)、備案等情況，形成資產(chǎn)清單，組織安全自查。

　�。ǘ�）依據(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求，各醫(yī)療衛(wèi)生機(jī)構(gòu)依據(jù)安全自查結(jié)果，對(duì)發(fā)現(xiàn)的問題和隱患進(jìn)行整改，形成整改報(bào)告向有關(guān)主管監(jiān)管機(jī)構(gòu)報(bào)備。

　　第十條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)對(duì)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。各醫(yī)療衛(wèi)生機(jī)構(gòu)要加強(qiáng)網(wǎng)絡(luò)運(yùn)營相關(guān)人員管理，包括本單位內(nèi)部人員及第三方人員，明確內(nèi)部人員入職、培訓(xùn)、考核、離崗全流程安全管理，針對(duì)第三方應(yīng)明確人員接觸網(wǎng)絡(luò)時(shí)的申請(qǐng)及批準(zhǔn)流程，做好實(shí)名登記、人員背景審查、保密協(xié)議簽署等工作，防止因人員資質(zhì)及違規(guī)操作引發(fā)的安全風(fēng)險(xiǎn)。

　　第十一條加強(qiáng)網(wǎng)絡(luò)運(yùn)維管理，制定運(yùn)維操作規(guī)范和工作流程。加強(qiáng)物理安全防護(hù)，完善機(jī)房、辦公環(huán)境及運(yùn)維現(xiàn)場(chǎng)等安全控制措施，防止非授權(quán)訪問物理環(huán)境造成信息泄露。加強(qiáng)遠(yuǎn)程運(yùn)維管理，因業(yè)務(wù)確需通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的，應(yīng)進(jìn)行評(píng)估論證，并采取相應(yīng)的安全管控措施，防止遠(yuǎn)程端口暴露引發(fā)安全事件。

　　第十二條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)。對(duì)于第三級(jí)及以上的網(wǎng)絡(luò)應(yīng)加強(qiáng)保障關(guān)鍵鏈路、關(guān)鍵設(shè)備冗余備份，有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)用級(jí)容災(zāi)備份，防止關(guān)鍵業(yè)務(wù)中斷。

　　第十三條應(yīng)用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)開展服務(wù)時(shí)，上線前應(yīng)評(píng)估新技術(shù)的安全風(fēng)險(xiǎn)并進(jìn)行安全管控，達(dá)到應(yīng)用與安全的平衡。

　　第十四條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)規(guī)范和加強(qiáng)醫(yī)療設(shè)備數(shù)據(jù)、個(gè)人信息保護(hù)和網(wǎng)絡(luò)安全管理，建立健全醫(yī)療設(shè)備招標(biāo)采購、安裝調(diào)試、運(yùn)行使用、維護(hù)維修、報(bào)廢處置等相關(guān)網(wǎng)絡(luò)安全管理制度，定期檢查或評(píng)估醫(yī)療設(shè)備網(wǎng)絡(luò)安全，并采取相應(yīng)的安全管控措施，確保醫(yī)療設(shè)備網(wǎng)絡(luò)安全。

　　第十五條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照《密碼法》等有關(guān)法律法規(guī)和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范，在網(wǎng)絡(luò)建設(shè)過程中同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保護(hù)措施，使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

　　第十六條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)關(guān)注整個(gè)網(wǎng)絡(luò)全鏈條參與者的安全管理，涉及非本單位的第三方時(shí)，應(yīng)對(duì)設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理，采購安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，防止發(fā)生第三方安全事件。

　　第十七條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)廢止網(wǎng)絡(luò)的安全管理，對(duì)廢止網(wǎng)絡(luò)的相關(guān)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)對(duì)其采取封存或銷毀措施，確保廢止網(wǎng)絡(luò)中的數(shù)據(jù)處置安全，防止網(wǎng)絡(luò)數(shù)據(jù)泄露。

　　第三章數(shù)據(jù)安全管理

　　第十八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法律法規(guī)的規(guī)定，參照國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，履行數(shù)據(jù)安全保護(hù)義務(wù)，堅(jiān)持保障數(shù)據(jù)安全與發(fā)展并重，通過管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃，建立健全數(shù)據(jù)安全和個(gè)人信息保護(hù)制度。

　　第十九條應(yīng)建立數(shù)據(jù)安全管理組織架構(gòu)，明確業(yè)務(wù)部門與管理部門在數(shù)據(jù)安全活動(dòng)中的主體責(zé)任，通過安全責(zé)任書等方式，規(guī)范本單位數(shù)據(jù)管理部門、業(yè)務(wù)部門、信息化部門在數(shù)據(jù)安全管理全生命周期當(dāng)中的權(quán)責(zé)，建立數(shù)據(jù)安全工作責(zé)任制，落實(shí)追責(zé)追究制度。

　　第二十條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)每年對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，在落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度建立本單位數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。數(shù)據(jù)分類分級(jí)應(yīng)遵循合法合規(guī)原則、可執(zhí)行原則、時(shí)效性原則、自主性原則、差異性原則及客觀性原則。

　　第二十一條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度、操作規(guī)程及技術(shù)規(guī)范，涉及的管理制度每年至少修訂一次，建議相關(guān)人員每年度簽署保密協(xié)議。每年對(duì)本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)掌握數(shù)據(jù)安全狀態(tài)。加強(qiáng)數(shù)據(jù)安全教育培訓(xùn)，組織安全意識(shí)教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)。結(jié)合本單位實(shí)際，建立完善數(shù)據(jù)使用申請(qǐng)及批準(zhǔn)流程，遵循“誰主管、誰審查”、遵循事前申請(qǐng)及批準(zhǔn)、事中監(jiān)管、事后審核原則，嚴(yán)格執(zhí)行業(yè)務(wù)管理部門同意、醫(yī)療衛(wèi)生機(jī)構(gòu)領(lǐng)導(dǎo)核準(zhǔn)的工作程序，指導(dǎo)數(shù)據(jù)活動(dòng)流程合規(guī)。

　　第二十二條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，數(shù)據(jù)全生命周期活動(dòng)應(yīng)在境內(nèi)開展，因業(yè)務(wù)確需向境外提供的，應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估或?qū)徍�，針�?duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)需提交國家安全審查，防止數(shù)據(jù)安全事件發(fā)生。

　　（一）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集合法性管理，明確業(yè)務(wù)部門和管理部門在數(shù)據(jù)收集合法性中的主體責(zé)任。采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等防控措施，防止數(shù)據(jù)收集過程中數(shù)據(jù)被泄露。

　�。ǘ�）在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，進(jìn)一步明確不同安全級(jí)別數(shù)據(jù)的加密傳輸要求。加強(qiáng)傳輸過程中的接口安全控制，確保在通過接口傳輸時(shí)的安全性，防止數(shù)據(jù)被竊取。

　�。ㄈ�）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法規(guī)標(biāo)準(zhǔn)，選擇合適的數(shù)據(jù)存儲(chǔ)架構(gòu)和介質(zhì)在境內(nèi)存儲(chǔ)，并采取備份、加密等措施加強(qiáng)數(shù)據(jù)的存儲(chǔ)安全。涉及到云上存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)當(dāng)評(píng)估可能帶來的安全風(fēng)險(xiǎn)。數(shù)據(jù)存儲(chǔ)周期不應(yīng)超出數(shù)據(jù)使用規(guī)則確定的保存期限。加強(qiáng)存儲(chǔ)過程中訪問控制安全、數(shù)據(jù)副本安全、數(shù)據(jù)歸檔安全管控。

　　（四）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)嚴(yán)格規(guī)定不同人員的權(quán)限，加強(qiáng)數(shù)據(jù)使用過程中的申請(qǐng)及批準(zhǔn)流程管理，確保數(shù)據(jù)在可控范圍內(nèi)使用，加強(qiáng)日志留存及管理工作，杜絕篡改、刪除日志的現(xiàn)象發(fā)生，防止數(shù)據(jù)越權(quán)使用。各數(shù)據(jù)使用部門和數(shù)據(jù)使用人須嚴(yán)格按照申請(qǐng)所述用途與范圍使用數(shù)據(jù)，對(duì)數(shù)據(jù)的安全負(fù)責(zé)。未經(jīng)批準(zhǔn)，任何部門和個(gè)人不得將未對(duì)外公開的信息數(shù)據(jù)傳遞至部門外，不得以任何方式將其泄露。

　�。ㄎ澹└麽t(yī)療衛(wèi)生機(jī)構(gòu)發(fā)布、共享數(shù)據(jù)時(shí)應(yīng)當(dāng)評(píng)估可能帶來的安全風(fēng)險(xiǎn)，并采取必要的安全防控措施；涉及數(shù)據(jù)上報(bào)時(shí)，應(yīng)由數(shù)據(jù)上報(bào)提出方負(fù)責(zé)解讀上報(bào)要求，確定上報(bào)范圍和上報(bào)規(guī)則,確保數(shù)據(jù)上報(bào)安全可控。

　�。�六）各醫(yī)療衛(wèi)生機(jī)構(gòu)開展人臉識(shí)別或人臉辨識(shí)時(shí)，應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式，不得因數(shù)據(jù)主體不同意收集人臉識(shí)別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用其基本業(yè)務(wù)功能，人臉識(shí)別數(shù)據(jù)不得用于除身份識(shí)別之外的其他目的，包括但不限于評(píng)估或預(yù)測(cè)數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、偏好、興趣等。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)采取安全措施存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)，包括但不限于加密存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)，采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別和個(gè)人身份信息等。

　　（七）數(shù)據(jù)銷毀時(shí)應(yīng)采用確保數(shù)據(jù)無法還原的銷毀方式，重點(diǎn)關(guān)注數(shù)據(jù)殘留風(fēng)險(xiǎn)及數(shù)據(jù)備份風(fēng)險(xiǎn)。

　　第四章監(jiān)督管理

　　第二十三條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)積極配合有關(guān)主管監(jiān)管機(jī)構(gòu)監(jiān)督管理，接受網(wǎng)絡(luò)安全管理日常檢查，做好網(wǎng)絡(luò)安全防護(hù)等工作。

　　第二十四條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)整改有關(guān)主管監(jiān)管機(jī)構(gòu)檢查過程中發(fā)現(xiàn)的漏洞和隱患等問題，杜絕重大網(wǎng)絡(luò)安全事件發(fā)生。

　　第二十五條發(fā)生個(gè)人信息和數(shù)據(jù)泄露、毀損、丟失等安全事件和網(wǎng)絡(luò)系統(tǒng)遭攻擊、入侵、控制等網(wǎng)絡(luò)安全事件，或者發(fā)現(xiàn)網(wǎng)絡(luò)存在漏洞隱患、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)明顯增大時(shí)，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取必要的補(bǔ)救和處置措施，及時(shí)以電話、短信、郵件或信函等多種方式告知相關(guān)主體，并按照要求向有關(guān)主管監(jiān)管部門報(bào)告。

　　第二十六條各級(jí)衛(wèi)生健康行政部門應(yīng)建立網(wǎng)絡(luò)安全事件通報(bào)工作機(jī)制，及時(shí)通報(bào)網(wǎng)絡(luò)安全事件。

　　第二十七條發(fā)生網(wǎng)絡(luò)安全事件時(shí)，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)向衛(wèi)生健康行政部門、公安機(jī)關(guān)報(bào)告，做好現(xiàn)場(chǎng)保護(hù)、留存相關(guān)記錄，為公安機(jī)關(guān)等監(jiān)管部門依法維護(hù)國家安全和開展偵查調(diào)查等活動(dòng)提供技術(shù)支持和協(xié)助。

　　第五章管理保障

　　第二十八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)高度重視網(wǎng)絡(luò)安全管理工作，將其列入重要議事日程，加強(qiáng)統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計(jì)，依法依規(guī)落實(shí)人員、經(jīng)費(fèi)投入、安全保護(hù)措施建設(shè)等重大問題，保證信息系統(tǒng)建設(shè)時(shí)安全保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用。

　　第二十九條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全業(yè)務(wù)交流，嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全繼續(xù)教育制度，鼓勵(lì)管理崗位和技術(shù)崗位持證上崗。通過組織開展學(xué)術(shù)交流及比武競(jìng)賽的方式，發(fā)現(xiàn)選拔網(wǎng)絡(luò)安全人才，建立人才庫，建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機(jī)制，為做好網(wǎng)絡(luò)安全工作提供人才保障。

　　第三十條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)保障開展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、攻防演練競(jìng)賽、安全建設(shè)整改、安全保護(hù)平臺(tái)建設(shè)、密碼保障系統(tǒng)建設(shè)、運(yùn)維、教育培訓(xùn)等經(jīng)費(fèi)投入。新建信息化項(xiàng)目的網(wǎng)絡(luò)安全預(yù)算不低于項(xiàng)目總預(yù)算的5%。

　　第三十一條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)進(jìn)一步完善網(wǎng)絡(luò)安全考核評(píng)價(jià)制度，明確考核指標(biāo)，組織開展考核。鼓勵(lì)有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)將考核與績效掛鉤。

　　第六章附則

　　第三十二條違反本辦法規(guī)定，發(fā)生個(gè)人信息和數(shù)據(jù)泄露，或者出現(xiàn)重大網(wǎng)絡(luò)安全事件的，按《網(wǎng)絡(luò)安全法》《密碼法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等法律法規(guī)處理。

　　第三十三條涉及國家秘密的網(wǎng)絡(luò)，按照國家有關(guān)規(guī)定執(zhí)行。

　　第三十四條本辦法自印發(fā)之日起實(shí)施。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度7

　　一、目的

　　為保障互聯(lián)網(wǎng)醫(yī)院平臺(tái)信息系統(tǒng)正常運(yùn)行，維護(hù)互聯(lián)網(wǎng)醫(yī)院平臺(tái)信息安全和互聯(lián)網(wǎng)醫(yī)院正常工作次序，特制定本制度。

　　二、范圍

　　適用于提供醫(yī)療服務(wù)的醫(yī)務(wù)人員及注冊(cè)使用的患者

　　三、職責(zé)

　　3.1院方接入審核、專家資質(zhì)審核、服務(wù)資源查詢、服務(wù)監(jiān)管、質(zhì)量評(píng)價(jià)、績效考評(píng)應(yīng)用

　　3.2服務(wù)平臺(tái)通過APP、公眾號(hào)、應(yīng)用程序、便攜式設(shè)備等手段提供的醫(yī)療服務(wù)、分級(jí)診療、信息惠民、健康管理等各類醫(yī)療健康服務(wù)，并對(duì)相關(guān)用戶的注冊(cè)信息提供隱私保護(hù)。

　　四、依據(jù)

　　《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

　　五、流程圖：

　　無

　　六、內(nèi)容

　　6.1系統(tǒng)安全內(nèi)容

　　6.1.1互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)包含服務(wù)功能、監(jiān)管功能、基礎(chǔ)功能等3各部分。

　　6.1.2服務(wù)功能是指借助移動(dòng)通信、物聯(lián)網(wǎng)、高清視頻等新技術(shù),向醫(yī)生、患者通過APP、公眾號(hào)、應(yīng)用程序、便攜式設(shè)備等手段提供的醫(yī)療服務(wù)、分級(jí)診療、信息惠民、健康管理等各類醫(yī)療健康服務(wù)。

　　6.1.3監(jiān)管功能是指為醫(yī)院提供的醫(yī)療服務(wù)機(jī)構(gòu)接入審核、專家資質(zhì)審核、服務(wù)資源查詢、服務(wù)監(jiān)管、質(zhì)量評(píng)價(jià)、績效考評(píng)應(yīng)用。

　　6.1.4系統(tǒng)基礎(chǔ)功能是整個(gè)系統(tǒng)的支撐，用于保障遠(yuǎn)程醫(yī)療業(yè)務(wù)和遠(yuǎn)程醫(yī)療監(jiān)管業(yè)務(wù)的開展,主要包括注冊(cè)管理、業(yè)務(wù)支撐、運(yùn)行維護(hù)、安全保障等。

　　6.1.4.1注冊(cè)管理：實(shí)現(xiàn)醫(yī)院的信息資源的注冊(cè)服務(wù)和消費(fèi)服務(wù)，包括衛(wèi)生機(jī)構(gòu)、專家、患者等信息資源。

　　6.1.4.2業(yè)務(wù)支撐：采用多層系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，面向“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)應(yīng)用提供即時(shí)通訊、遠(yuǎn)程協(xié)作、服務(wù)管理、呼叫中心、信息共享交換、財(cái)務(wù)管理等支撐功能，使跨地區(qū)、跨機(jī)構(gòu)“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)的信息交互場(chǎng)景實(shí)現(xiàn)成為可能。

　　6.1.4.3運(yùn)行維護(hù)：為“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)系統(tǒng)提供可靠運(yùn)行保障，提供信息系統(tǒng)的運(yùn)維監(jiān)控、系統(tǒng)日志、系統(tǒng)備份功能，為“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)提供安全、可靠、穩(wěn)定運(yùn)行的信息系統(tǒng)。

　　6.1.4.4安全保障�！盎ヂ�(lián)網(wǎng)+醫(yī)療健康”服務(wù)系統(tǒng)提供用戶身份認(rèn)證、系統(tǒng)角色、操作權(quán)限、操作審計(jì)、數(shù)據(jù)加密傳輸功能，確保系統(tǒng)的數(shù)據(jù)安全、應(yīng)用安全、通訊安全。

　　6.1.4.5互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)需要與醫(yī)院內(nèi)部的門診預(yù)約、繳費(fèi)、檢查預(yù)約等系統(tǒng)進(jìn)行集成。

　　6.1.4.6互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)需要部署在醫(yī)院的DMZ區(qū)或外聯(lián)網(wǎng)區(qū),并通過加固的網(wǎng)絡(luò)通道與醫(yī)院內(nèi)部網(wǎng)絡(luò)進(jìn)行通訊。

　　6.1.4.7平臺(tái)使用的視頻采集設(shè)備、顯示設(shè)備及便攜式監(jiān)測(cè)設(shè)備符合相關(guān)的行業(yè)標(biāo)準(zhǔn)與規(guī)范。

　　6.1.4.8互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)應(yīng)用數(shù)字證書服務(wù)、數(shù)字簽名驗(yàn)證服務(wù)、電子簽章和時(shí)間戳服務(wù)等技術(shù)，從“可信身份、可信行為、可信數(shù)據(jù)和可信時(shí)間"四個(gè)范疇搭建可信醫(yī)療服務(wù)平臺(tái)，從而真正實(shí)現(xiàn)“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)的可信業(yè)務(wù)環(huán)境建設(shè)。

　　6.1.4.9互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)按照信息系統(tǒng)等級(jí)保護(hù)三級(jí)(或以上)的要求進(jìn)行安全建設(shè),安全設(shè)計(jì)遵循已頒布的相關(guān)國家標(biāo)準(zhǔn)。通過安全體系的建立，首先滿足用戶管理及用戶權(quán)限控制的需要，并為用戶提供隱私保護(hù)，防止其個(gè)人信息泄露。此外，安全體系為所有醫(yī)療數(shù)據(jù)提供信息安全支持并就用戶的操作行為進(jìn)行審計(jì)追蹤，保證信息的安全性和可溯源性。

　　6.1.4.10系統(tǒng)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保密性和完整性保護(hù)。應(yīng)用系統(tǒng)和設(shè)備自身WEB訪問傳輸建議采用SSL方式傳輸保護(hù)或數(shù)據(jù)自身加密；遠(yuǎn)程網(wǎng)絡(luò)通信傳輸建議采用數(shù)據(jù)自身加密；數(shù)據(jù)保護(hù)采用加密算法對(duì)傳輸數(shù)據(jù)加密、數(shù)據(jù)校驗(yàn)采用完整性校驗(yàn)保證數(shù)據(jù)傳輸?shù)耐暾�性，保護(hù)算法需支持國密算法。

　　6.2系統(tǒng)安全管理

　　6.2.1提供互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)、智能醫(yī)療設(shè)備以及關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)應(yīng)用服務(wù)的信息防護(hù)，對(duì)儀器、設(shè)備、設(shè)施、信息系統(tǒng)進(jìn)行定期檢測(cè)、登記、維護(hù)、改造、升級(jí)，確保“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)系統(tǒng)處于正常運(yùn)行狀態(tài)，滿足開展“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)的需要。

　　6.2.2互聯(lián)網(wǎng)醫(yī)院服務(wù)平臺(tái)符合國家相關(guān)技術(shù)標(biāo)準(zhǔn)、規(guī)范和信息安全等級(jí)要求，確保網(wǎng)絡(luò)信息質(zhì)量和安全。

　　6.2.3醫(yī)院需對(duì)“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)全過程全程留痕，同時(shí)向監(jiān)管部門開放端口，接受監(jiān)管。

　　6.2.4“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)數(shù)據(jù)包括“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)過程中使用和產(chǎn)生的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)(服務(wù)對(duì)象信息、病歷資料、服務(wù)過程資料、音視頻記錄、行政管理、服務(wù)統(tǒng)計(jì)等)。

　　6.2.5醫(yī)院將患者各種病歷資料、專家醫(yī)師意見單以及相關(guān)資料的統(tǒng)計(jì)數(shù)據(jù)存檔管理。依據(jù)《醫(yī)療機(jī)構(gòu)管理?xiàng)l例實(shí)施細(xì)則》第53條規(guī)定，各種病歷的保存期不得少于15年。

　　6.2.6“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、共享、開放及其相關(guān)管理服務(wù)活動(dòng)，做到管控和追溯合一;嚴(yán)格執(zhí)行信息安全和健康醫(yī)療數(shù)據(jù)保密規(guī)定，建立完善個(gè)人隱私信息保護(hù)制度，嚴(yán)格管理患者信息、用戶資料、基因數(shù)據(jù)等.

　　6.2.7患者信息等敏感數(shù)據(jù)存儲(chǔ)在境內(nèi)；確需用于科研的，依照有關(guān)規(guī)定進(jìn)行安全評(píng)估。

　　6.2.8安全體系從安全技術(shù)、安全管理為要素進(jìn)行框架設(shè)計(jì)：

　　6.2.8.1從網(wǎng)絡(luò)安全（基礎(chǔ)網(wǎng)絡(luò)安全和邊界安全）、主機(jī)安全（終端系統(tǒng)安全、服務(wù)端系統(tǒng)安全）、應(yīng)用安全、數(shù)據(jù)安全幾個(gè)層面實(shí)現(xiàn)安全技術(shù)類要求；

　　6.2.8.2從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)層面實(shí)現(xiàn)安全管理類要求。

　　6.2.9安全技術(shù)從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面進(jìn)行規(guī)范，具體參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22239》、基于居民健康檔案的區(qū)域衛(wèi)生信息平臺(tái)技術(shù)規(guī)范（WST448-2013）中的相關(guān)內(nèi)容。

　　6.2.10安全管理滿足安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面的要求，具體參考《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22239》中的相關(guān)內(nèi)容。

　　6.2.11隱私保護(hù)規(guī)范個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，遏制個(gè)人信息非法收集、濫用、泄漏等亂象，最大程度地保障個(gè)人的合法權(quán)益和社會(huì)公共利益。滿足《個(gè)人信息安全規(guī)范》（GB/T35273-2017）、《人口健康信息管理辦法（試行）》中的要求。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度8

　�。ㄒ唬┠康�

　　為保證醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)和醫(yī)院信息系統(tǒng)的正常運(yùn)行和健康發(fā)展，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》《關(guān)于加強(qiáng)信息安全保障工作的意見》和國家有關(guān)法律法規(guī)，制定本制度。

　�。ǘ�）定義

　　信息安全管理制度是指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，對(duì)醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲(chǔ)、使用、傳輸、處理、發(fā)布等進(jìn)行全流程系統(tǒng)性保障的制度。

　　信息系統(tǒng)管理硬件設(shè)備包括計(jì)算機(jī)、打印機(jī)、掃碼槍、讀卡器等主機(jī)及外設(shè)，網(wǎng)絡(luò)設(shè)備包括服務(wù)器、路由器、交換機(jī)、通信線路、不間斷供電設(shè)備、機(jī)柜、配線架、信息點(diǎn)模塊等提供網(wǎng)絡(luò)服務(wù)的設(shè)施及設(shè)備。

　　信息系統(tǒng)是指利用電子計(jì)算機(jī)和通訊設(shè)備，為醫(yī)院所屬各部門提供患者診療信息和行政管理信息的收集、存儲(chǔ)、處理、提取和數(shù)據(jù)交換的能力并滿足授權(quán)用戶的功能需求的平臺(tái)。

　　數(shù)據(jù)信息是指在醫(yī)院信息系統(tǒng)中產(chǎn)生的各種形式的醫(yī)療資料（包括患者基本信息、病歷記錄、診斷報(bào)告、化驗(yàn)檢查結(jié)果、處方信息等）。

　�。ㄈ�）基本要求

　　1.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的等級(jí)保護(hù)等有關(guān)要求。

　　2.醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是醫(yī)療機(jī)構(gòu)患者診療信息安全管理第一責(zé)任人。

　　3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定應(yīng)急預(yù)案。

　　4.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)確保實(shí)現(xiàn)本機(jī)構(gòu)患者診療信息管理全流程的安全性、真實(shí)性、連續(xù)性、完整性、穩(wěn)定性、時(shí)效性、溯源性。

　　5.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度，使用患者診療信息應(yīng)當(dāng)遵循合法、依規(guī)、正當(dāng)、必要的原則，不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息。

　　6.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度，明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障，因個(gè)人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)。

　　7.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平，防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作，建立患者診療信息系統(tǒng)安全事故責(zé)任管理、追溯機(jī)制。在發(fā)生或者可能發(fā)生患者診療信息泄露毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定向有關(guān)部門報(bào)告。

　�。ㄋ模┚唧w細(xì)則

　　1.醫(yī)院應(yīng)依照國家法規(guī)建立覆蓋患者診療信息管理全流程的制級(jí)保護(hù)等要求。

　　2.院長是醫(yī)療機(jī)構(gòu)患者診療信息安全管理第一責(zé)任人。

　　3.醫(yī)院確保醫(yī)院內(nèi)患者診療信息管理全流程的安全性、真實(shí)性、連續(xù)性、完整性穩(wěn)定性、時(shí)效性、溯源性。建立患者診療信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定應(yīng)急預(yù)案。

　　4.建立患者責(zé)任管理、追溯機(jī)制。

　　5.醫(yī)院對(duì)患者診療信息有職責(zé)明確、崗位權(quán)限清晰和嚴(yán)明可行的保護(hù)和處罰制度，使用患者診療信息遵循合法、依規(guī)、正當(dāng)、必要的原則，對(duì)出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息個(gè)人和部門應(yīng)嚴(yán)格執(zhí)行相關(guān)制度，情節(jié)嚴(yán)重者訴諸法律。

　　6.醫(yī)院對(duì)員工授權(quán)要權(quán)責(zé)清晰，明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。在為員工使用患者診療信息提供便利和安全保障的同時(shí)，對(duì)執(zhí)行個(gè)人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)相應(yīng)的責(zé)任。

　　7.醫(yī)院要對(duì)信息系統(tǒng)升級(jí)改造有定期預(yù)算和投資，不斷提升患者診療信息安全防護(hù)水平，防止信息泄露、毀損、丟失。

　　8.定期開展患者診療信息安全自查工作，建立患者診療信息系統(tǒng)安全事故責(zé)任管理、追溯機(jī)制。

　　9.在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定向有關(guān)部門報(bào)告。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度9

　　為保持醫(yī)院信息系統(tǒng)正常運(yùn)行，保護(hù)集體數(shù)據(jù)財(cái)富，保障醫(yī)院和諧發(fā)展，遵循《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國保守國家秘密法》等相關(guān)國家和省有關(guān)法律法規(guī)，結(jié)合醫(yī)院實(shí)際情況，制訂本管理規(guī)定。

　　第一章總則

　　第一條本管理規(guī)定適用于院內(nèi)所有使用計(jì)算機(jī)、服務(wù)器和相關(guān)輔助設(shè)備、設(shè)施的科室和部門。

　　第二條計(jì)算機(jī)信息系統(tǒng)的保密管理，實(shí)行控制源頭、歸口管理、分級(jí)負(fù)責(zé)、突出重點(diǎn)、有利發(fā)展的原則。

　　第三條醫(yī)院保密工作領(lǐng)導(dǎo)小組主管全院計(jì)算機(jī)信息系統(tǒng)保密管理工作。醫(yī)院計(jì)算機(jī)信息系統(tǒng)由專人負(fù)責(zé)管理相應(yīng)的信息保密工作，要定期監(jiān)督、檢查保密管理規(guī)定的執(zhí)行情況。

　　網(wǎng)絡(luò)管理員對(duì)信息系統(tǒng)的管理和操作應(yīng)嚴(yán)格遵守保密管理規(guī)定。

　　第二章保密制度

　　第四條涉及國家秘密及工作秘密的計(jì)算機(jī)（含筆記本電腦）和計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實(shí)行物理隔離。涉密計(jì)算機(jī)（含筆記本電腦）專人專用，嚴(yán)禁擅自將涉密計(jì)算機(jī)（含筆記本電腦）帶出辦公場(chǎng)所。

　　第五條接入國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)的計(jì)算機(jī)（含筆記本電腦）不得處理、存儲(chǔ)涉密信息。

　　第六條上網(wǎng)信息的保密管理堅(jiān)持“誰上網(wǎng)誰負(fù)責(zé)”的原則。凡向國際聯(lián)網(wǎng)的站點(diǎn)提供或發(fā)布信息，必須經(jīng)過保密審查批準(zhǔn)。

　　第七條存儲(chǔ)涉及國家秘密和工作秘密的涉密移動(dòng)存儲(chǔ)介質(zhì)（含移動(dòng)硬盤、優(yōu)盤、軟盤、光盤等）不得接入或安裝在非涉密計(jì)算機(jī)上，復(fù)制和確因工作需要外出攜帶涉密存儲(chǔ)介質(zhì)的，須經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)。

　　第八條凡以提供網(wǎng)上信息服務(wù)為目的而采集的信息，除在其它新聞媒體上已公開發(fā)表的，管理員在上網(wǎng)發(fā)布前，應(yīng)當(dāng)征得提供信息者同意；凡對(duì)網(wǎng)上信息進(jìn)行擴(kuò)充或更新，應(yīng)當(dāng)認(rèn)真執(zhí)行信息保密審核制度。

　　第九條凡在網(wǎng)上開設(shè)電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組的用戶，應(yīng)由相應(yīng)的保密工作機(jī)構(gòu)審批明確保密要求和責(zé)任。任何人不得在電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組上發(fā)布、談?wù)摵蛡鞑�國家秘密信息和工作秘密信息�?/p>

　　第十條面向社會(huì)開放的電子公告系統(tǒng)、聊天室、網(wǎng)絡(luò)新聞組，開辦人或其上級(jí)主管部門應(yīng)認(rèn)真履行保密義務(wù)，建立完善的管理制度，加強(qiáng)監(jiān)督檢查。發(fā)現(xiàn)有涉密信息，應(yīng)及時(shí)采取措施，并報(bào)告相應(yīng)的保密工作領(lǐng)導(dǎo)小組辦公室。

　　第十一條用戶使用電子函件進(jìn)行網(wǎng)上信息交流，應(yīng)當(dāng)遵守國家有關(guān)保密規(guī)定，不得利用電子函件傳遞、轉(zhuǎn)發(fā)或抄送國家秘密信息和醫(yī)院工作秘密。

　　第十二條各接入計(jì)算機(jī)信息系統(tǒng)（HIS、PACS、LIS等）部門要對(duì)醫(yī)院信息資料安全負(fù)責(zé)，嚴(yán)禁外來人員登錄醫(yī)院信息系統(tǒng)查詢、打印有關(guān)信息資料。

　　第十三條連接計(jì)算機(jī)信息系統(tǒng)的計(jì)算機(jī)，未經(jīng)信息科許可，嚴(yán)禁安裝、運(yùn)行非日常工作需要的任何軟件；嚴(yán)禁安裝任何廠家、任何版本的操作系統(tǒng)以及任何有可能干擾、破壞計(jì)算機(jī)信息系統(tǒng)保密管理的程序。

　　第三章保密監(jiān)督

　　第十四條涉密計(jì)算機(jī)進(jìn)行維護(hù)檢修時(shí)，對(duì)涉密信息應(yīng)采取涉密信息轉(zhuǎn)存、刪除、異地轉(zhuǎn)移存儲(chǔ)等安全保密措施。無法采取上述措施時(shí)，單位保密人員和涉密計(jì)算機(jī)維護(hù)人員必須在維護(hù)現(xiàn)場(chǎng)，對(duì)維修人員、維修對(duì)象、維修內(nèi)容、維修前后狀況進(jìn)行監(jiān)督并做詳細(xì)記錄。涉密計(jì)算機(jī)和涉密移動(dòng)存儲(chǔ)介質(zhì)淘汰、報(bào)廢的一律送保密工作領(lǐng)導(dǎo)小組辦公室統(tǒng)一銷毀。

　　第十五條處理涉及國家秘密文件和工作秘密文件的數(shù)字復(fù)印機(jī)、多功能一體機(jī)一律不得接入電話線，接入電話線的數(shù)字復(fù)印機(jī)、多功能一體機(jī)一律不得處理涉及國家秘密和工作秘密的文件。

　　第十六條計(jì)算機(jī)個(gè)人工作桌面或開放文件夾不得擺放敏感文件和資料，辦公桌禁止擺放敏感介質(zhì)。

　　第十七條保密工作領(lǐng)導(dǎo)小組要定期對(duì)計(jì)算機(jī)信息系統(tǒng)的保密檢查，查處各種泄密行為。一旦發(fā)現(xiàn)國家秘密或工作秘密泄露或可能泄露情況，每個(gè)工作人員都有義務(wù)立即向保密工作領(lǐng)導(dǎo)小組辦公室報(bào)告。對(duì)網(wǎng)上涉及國家秘密和工作秘密的信息要嚴(yán)格按照保密要求，及時(shí)予以刪除。

　　醫(yī)療機(jī)構(gòu)信息安全管理制度10

　　為保證我院計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行和健康發(fā)展，根據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、和國家有關(guān)法律規(guī)定，結(jié)合我院實(shí)際情況，針對(duì)醫(yī)院信息安全，特制定本規(guī)定。

　�。ㄒ唬┽t(yī)院局域網(wǎng)（院內(nèi)網(wǎng)）信息安全制度

　　1、醫(yī)院局域網(wǎng)(院內(nèi)網(wǎng))的工作人員和連入院內(nèi)網(wǎng)絡(luò)的所有用戶必須遵守《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行本條例。

　　2、院內(nèi)網(wǎng)信息安全管理實(shí)施工作責(zé)任制和責(zé)任追究制。醫(yī)院成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，院領(lǐng)導(dǎo)掛帥各部門主要負(fù)責(zé)人參與，建立健全醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，配備網(wǎng)絡(luò)安全員，負(fù)責(zé)本部門內(nèi)網(wǎng)絡(luò)的信息安全管理工作。

　　3、院內(nèi)網(wǎng)的管理部門是信息科，負(fù)責(zé)院內(nèi)網(wǎng)的規(guī)劃、建設(shè)、應(yīng)用開發(fā)、運(yùn)行維護(hù)與用戶管理。保障網(wǎng)絡(luò)信息、運(yùn)行環(huán)境的安全;保障網(wǎng)絡(luò)系統(tǒng)的正常及安全運(yùn)行，用戶上網(wǎng)采用工號(hào)登陸方式，上網(wǎng)操作人員須經(jīng)信息科考核合格后才能上網(wǎng)操作。

　　4、院內(nèi)網(wǎng)的信息安全監(jiān)查工作由信息科負(fù)責(zé)。院內(nèi)網(wǎng)的所有工作人員和用戶必須接受醫(yī)院有關(guān)部門的監(jiān)督檢查，并對(duì)醫(yī)院采取的必要措施給予配合。

　　5、院內(nèi)網(wǎng)的IP地址由信息科統(tǒng)一管理，任何人不得盜用未經(jīng)合法申請(qǐng)的IP地址入網(wǎng)。

　　6、為了防止計(jì)算機(jī)病毒的侵入，凡接入院內(nèi)網(wǎng)的工作站一律禁止使用軟驅(qū)、光驅(qū)、移動(dòng)硬盤、U盤等設(shè)備。如果要新安裝必要的應(yīng)用程序，必須事先向信息科申請(qǐng)并同意后，由信息科派專人在固定的機(jī)器上確保無病毒后再操作，同時(shí)做好操作記錄。

　　7、禁止自行安裝任何軟、硬件，禁止更改、刪除任何系統(tǒng)文件、設(shè)置等，違反規(guī)定造成病毒傳播、系統(tǒng)軟(硬)件損壞，對(duì)整個(gè)網(wǎng)絡(luò)造成堵塞、癱瘓等嚴(yán)重后果的，按情節(jié)輕重嚴(yán)肅處理。

　　8、每臺(tái)計(jì)算機(jī)必須安裝防病毒軟件，并定期對(duì)計(jì)算機(jī)進(jìn)行查毒、殺毒，升級(jí)，落實(shí)預(yù)防措施。

　　9、院內(nèi)網(wǎng)的計(jì)算機(jī)一律不準(zhǔn)上公共網(wǎng)絡(luò)(Internet)，與公共網(wǎng)絡(luò)嚴(yán)格物理隔離，以確保防止病毒的感染和擴(kuò)散。

　　10、在院內(nèi)網(wǎng)上不允許進(jìn)行任何干擾網(wǎng)絡(luò)用戶、破壞網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)設(shè)備的活動(dòng);不允許在網(wǎng)絡(luò)上發(fā)布不真實(shí)的信息或散布計(jì)算機(jī)病毒;不允許通過網(wǎng)絡(luò)進(jìn)入未經(jīng)授權(quán)使用的計(jì)算機(jī)系統(tǒng);不得以不真實(shí)身份使用網(wǎng)絡(luò)資源;不得竊取他人帳號(hào)、口令使用網(wǎng)絡(luò)資源。

　　11、院內(nèi)網(wǎng)所有工作人員及用戶必須對(duì)所提供的信息負(fù)責(zé);不得利用計(jì)算機(jī)網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動(dòng);不得查閱、復(fù)制和傳播有礙醫(yī)療秩序和淫穢、色情等不良的信息。

　　12、院內(nèi)網(wǎng)的所有用戶有義務(wù)向網(wǎng)絡(luò)管理員和有關(guān)部門報(bào)告違法犯罪行為和有害、不健康的信息，發(fā)現(xiàn)有上述行為者。用戶必須在24小時(shí)內(nèi)報(bào)告信息科。

　　13、各部門、下屬科室有關(guān)領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理員等應(yīng)認(rèn)真做好本部門上網(wǎng)人員思想品德教育和心理健康教育，各級(jí)領(lǐng)導(dǎo)、有關(guān)部門、下屬科室，特別是各科室的網(wǎng)絡(luò)安全管理人員應(yīng)加強(qiáng)其科室其他職工的思想道德教育和有關(guān)計(jì)算機(jī)信息系統(tǒng)安全的法律法規(guī)教育。發(fā)現(xiàn)問題要加以引導(dǎo)、及時(shí)處理解決。

　　14、為了切實(shí)做好病毒防治工作，確保醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)不會(huì)因感染病毒而造成停機(jī)和不必要的損失，全院各部門必須服從信息科人員的管理，積極配合做好工作。

　　15、凡因違章操作，導(dǎo)致計(jì)算機(jī)系統(tǒng)病毒感染，造成嚴(yán)重后果者將追究當(dāng)事人責(zé)任。

　�。ǘ�）寬帶上網(wǎng)信息安全管理制度

　　1、寬帶上網(wǎng)的所有用戶必須遵守《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》和國家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行本條例，不得在網(wǎng)絡(luò)上接收和散布危害國家安全、宣布邪教以及不健康或色情的信息，或任何含有法律、行政法規(guī)禁止的其他內(nèi)容。

　　2、院外網(wǎng)信息安全管理實(shí)施工作責(zé)任制和責(zé)任追究制。醫(yī)院成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，院領(lǐng)導(dǎo)掛帥各部門主要負(fù)責(zé)人參與，建立健全醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度，配備網(wǎng)絡(luò)安全員，負(fù)責(zé)本部門內(nèi)網(wǎng)絡(luò)的信息安全管理工作。

　　3、寬帶上網(wǎng)的管理部門是信息科，保障網(wǎng)絡(luò)系統(tǒng)的正常及安全運(yùn)行。

　　4、寬帶上網(wǎng)的的信息安全監(jiān)查工作由信息科負(fù)責(zé)。上網(wǎng)的所有工作人員和用戶必須接受醫(yī)院有關(guān)部門的監(jiān)督檢查，并對(duì)醫(yī)院采取的必要措施給予配合。

　　5、寬帶上網(wǎng)的IP地址由信息科統(tǒng)一管理，任何人不得盜用未經(jīng)合法申請(qǐng)的IP地址入網(wǎng)。

　　6、寬帶上網(wǎng)目前只限于圖書室及部分科室。確因業(yè)務(wù)開展需要上網(wǎng)，須經(jīng)相關(guān)審批同意后方可開通。

　　7、不得利用網(wǎng)絡(luò)資源看電影、玩游戲、聊天或做其他任何與工作無關(guān)的事情。

　　8、不得隨意將口令告訴他人或借他人賬戶使用網(wǎng)絡(luò)資源，不得在網(wǎng)上工作過程中隨意將計(jì)算機(jī)交由不熟悉的人使用。

　　9、不得擅自復(fù)制和使用網(wǎng)絡(luò)上未公布和未授權(quán)的文件，不得在網(wǎng)絡(luò)中擅自傳播或拷貝享有版權(quán)的軟件。嚴(yán)禁利用網(wǎng)絡(luò)侵犯他人的知識(shí)產(chǎn)權(quán)，竊取別人的研究成果或受法律保護(hù)的資源。

　　10、嚴(yán)禁修改本機(jī)或他人IP地址及任何計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置。不得隨意搬動(dòng)已聯(lián)網(wǎng)的電腦或私自將其他電腦接入寬帶。

　　11、不得使用軟件或硬件的方法竊取他人密碼，非法入侵他人計(jì)算機(jī)系統(tǒng)，閱讀他人文件或電子郵件，濫用網(wǎng)絡(luò)資源，攻擊計(jì)算機(jī)上系統(tǒng)，不得隨便打開來歷不明的電子郵件附件。

　　12、不得在網(wǎng)絡(luò)上捏造事實(shí)侮辱、誹謗、損害他人、單位或地區(qū)聲譽(yù)的信息。

　　13、不得從網(wǎng)上隨意下載軟件，以免感染病毒，造成不必要的損失。

　　14、聯(lián)網(wǎng)的電腦必須安裝殺毒軟件，并定期上網(wǎng)更新，上網(wǎng)工作時(shí)必須開啟殺毒軟件的實(shí)時(shí)監(jiān)控系統(tǒng)。重要資料請(qǐng)及時(shí)備份，以防丟失。

　　15、凡違反上述有關(guān)規(guī)定的，除嚴(yán)肅通報(bào)批評(píng)外，按醫(yī)院獎(jiǎng)懲管理?xiàng)l例處理。違反國家規(guī)定的，按國家法律法規(guī)處理。

【醫(yī)療機(jī)構(gòu)信息安全管理制度】相關(guān)文章：

醫(yī)療機(jī)構(gòu)統(tǒng)計(jì)信息管理制度（通用5篇）08-15

醫(yī)療機(jī)構(gòu)新生兒安全管理制度06-20

信息安全管理制度06-20

信息安全管理制度匯編09-21

公司信息安全管理制度11-04

網(wǎng)絡(luò)信息安全管理制度01-13

信息安全培訓(xùn)管理制度01-12

信息安全保密管理制度02-23

醫(yī)院信息安全管理制度10-27

客戶信息安全管理制度11-27