《医疗机构信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《医疗机构信息安全管理制度.docx(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 医疗机构信息安全管理制度 1.建立由医院主要院领导为组长、医疗主管院领导为副组长,医疗治理部门、病案治理部门、护理治理部门、药学治理部门、科研教学治理部门及信息网络部门为成员的诊疗信息安全治理委员会。 2.医务工作人员应客观、真实、精确、准时、完整记录患者诊疗信息,对输入计算机的数据时效性、真实性、连续性、完整性、精确性负责,不得随便增减或删除有效数据。 3.信息网络部门负责对医疗信息系统产生的患者诊疗信息的存储、备份、安全防护等,健全技术设施、数据安全治理制度和应急预案,确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源性。 4.医疗机构应当建立患者诊疗信息安全爱护制度和信息再利用的
2、审批流程,明确医务人员使用患者诊疗信息权限和授权部门。医务人员应当遵循合法、依规、正值、必要的原则,不得擅自出售患者信息,不得未经批准擅自向他人或其他机构供应患者诊疗信息。 5.各职能治理部门针对职责范畴,每年进展不少于一次的信息安全风险评估。对在医疗流程中可能产生的信息泄露、丧失、毁损的环节的担心全因素实行有效措施,提高信息爱护力量。信息网络部门至少每年对医疗数据中心的安全措施进展技术评估,实行有效措施,确保患者诊疗数据的安全。医疗机构应有充分的预算保障数据中心的安全架构、设备、环境、供电等处于有效状态。 医疗机构信息安全治理制度2 为保障我院信息系统安全,保证医院信息治理系统建立的顺当进展
3、,特制定本方法。 一、医院信息化安全治理工作由医院信息科负责。 二、医院信息安全治理主要内容 (一)设备安全治理制度 1.1由信息科治理计算机相关设备,留意保存设备配备的驱动程序等重要随机文件。 1.2选用的计算机设备必需符合国家有关标准的规定,满意牢靠性与兼容性要求。 1.3网络核心交换机统一存放在信息中心机房,应定期进展安全检查。 1.4网络通信消失特别,准时与医院信息科联系。 (二)软件治理制度 2.1信息科对内网中的应用软件统一安装,严禁私自安装。 2.2对全部应用软件的业务数据要实施严格的安全保密治理,防止系统数据的非法生成、变更、泄漏、丧失与破坏。 (三)网络安全治理制度 3.1实
4、行严密的安全措施,防止无关人员利用电脑进入医院信息系统。 3.2网络治理系统的口令必需由信息科负责掌管。 3.3应用操作人员严禁泄露自己的操作口令。 (四)计算机病毒防范制度 4.1信息科应定期进展病毒检测,发觉病毒马上处理。 4.2采纳国家许可的正版防病毒软件,并定期更新病毒特征库。 4.3经远程通信传送的数据,必需经过检测确认无病毒前方可使用。 (五)数据保密及备份制度 5.1依据数据的不同用途,确定使用人员的权限。 5.2制止泄露、外借和转移业务数据信息。 5.3加强对录入机密文件和涉密信息计算机的治理。 5.4对重要数据应备份并异地存放。 医疗机构信息安全治理制度3 定义 指医疗机构根
5、据信息安全治理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、公布等进展全流程系统性保障的制度。 根本要求 1.医疗机构应当依法依规建立掩盖患者诊疗信息治理全流程的制度和技术保障体系,完善组织架构,明确治理部门,落实信息安全等级爱护等有关要求。 2.医疗机构主要负责人是医疗机构患者诊疗信息安全治理第一责任人。 3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。 4.医疗机构应当确保实现本机构患者诊疗信息治理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。 5.医疗机构应当建立患者诊疗信息爱护制度,使用患者诊疗信息应当遵循
6、合法、依规、正值、必要的原则,不得出售或擅自向他人或其他机构供应患者诊疗信息。 6.医疗机构应当建立员工授权治理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息供应便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人担当。 7.医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丧失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任治理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丧失的状况时,应当马上实行补救措施,根据规定向有关部门报告。 医疗机构信息安全治理制度4 一、计算机安全治理 1、医院计算机操作人员
7、必需根据计算机正确的使用方法操作计算机系统。严禁暴力使用计算机或蓄意破坏计算机软硬件。 2、未经许可,不得擅自拆装计算机硬件系统,若须拆装,则通知信息科技术人员进展。 3、计算机的软件安装和卸载工作必需由信息科技术人员进展。 4、计算机的使用必需由其合法授权者使用,未经授权不得使用。 5、医院计算机仅限于医院内部工作使用,原则上不许接入互联网。因工作需要接入互联网的,需书面对医务科提出申请,经签字批准后交信息科负责接入。接入互联网的计算机必需安装正版的反病毒软件。并保证反病毒软件实时升级。 6、医院任何科室如发觉或疑心有计算机病毒侵入,应马上断开网络,同时通知信息科技术人员负责处理。信息科应实
8、行措施去除,并向主管院领导报告备案。 7、医院计算机内不得安装嬉戏、即时通讯等与工作无关的软件,尽量不在院内计算机上使用来历不明的移动存储工具。 二、网络使用人员行为标准 1、不得在医院网络中制作、复制、查阅和传播国家法律、法规所制止的信息。 2、不得在医院网络中进展国家相关法律法规所制止的活动。 3、未经允许,不得擅自修改计算机中与网络有关的设置。 4、未经允许,不得私自添加、删除与医院网络有关的软件。 5、未经允许,不得进入医院网络或者使用医院网络资源。 6、未经允许,不得对医院网络功能进展删除、修改或者增加。 7、未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进展删除、修改
9、或者增加。 8、不得有意制作、传播计算机病毒等破坏性程序。 9、不得进展其他危害医院网络安全及正常运行的活动。 三、网络硬件的治理 网络硬件包括效劳器、路由器、交换机、通信线路、不连续供电设备、机柜、配线架、信息点模块等供应网络效劳的设施及设备。 1、各职能部门、各科室应妥当保管安置在本部门的网络设备、设施及通信。 2、不得破坏网络设备、设施及通信线路。由于事故缘由造成的网络连接中断的,应依据其情节轻重予以惩罚或赔偿。 3、未经允许,不得中断网络设备及设施的供电线路。因生产缘由必需停电的,应提前通知网络治理人员。 4、不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特别状况应提前通知网络治
10、理人员,在得到允许前方可实施。 四、软件及信息安全 1、计算机及外设所配软件及驱动程序交网络治理人员保管,以便统一维护和治理。 2、治理系统软件由网络治理人员按使用范围进展安装,其他任何人不得安装、复制、传播此类软件。 3、网络资源及网络信息的使用权限由网络治理人员按医院的有关规定予以安排,任何人不得擅自超越权限使用网络资源及网络信息。 4、网络的使用人员应妥当保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。 5、任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不得利用医院数据信息猎取不正值利益。 医疗机构信息安全治理制度5 第一章总则 第一条为标准信息安全等
11、级爱护治理,提高我院信息安全保障力量和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建立,依据中华人民共和国网络安全法文件要求,制定本制度。 其次条依据国家制定的信息安全等级爱护治理标准和技术标准,对本部门所使用和运营的信息系统分等级实行安全爱护。 第三条在我院信息化领导小组的领导下,信息科负责医院信息系统安全定级和爱护的指导、上报和检查工作。 第四条各科室依照本制度及相关标准和标准进展本科室运营和使用的信息系统的定级爱护工作。 第五条各科室应当依照本制度及相关的标准标准,对运营和使用的信息系统履行安全等级爱护的义务和责任。 其次章等级划分和爱护 第六条信息等级爱护坚持坚持自主定级、
12、自主爱护的原则。信息系统的安全爱护等级应当依据信息系统在国家安全、经济建立、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条信息系统的安全爱护等级分为以下五级: 第一级为自主爱护级,适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益产生损害,但不损害国家安全、社会秩序和公共利益。 其次级为指导爱护级,适用于一般的信息系统,其受到破坏后,会对社会秩序和公共利益造成稍微损害,但不损害国家安全。 第三级为监视爱护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全
13、、社会秩序和公共利益造成损害。 第四级为强制爱护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成严峻损害。 第五级为专控爱护级,适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序和公共利益造成特殊严峻损害。 第三章等级爱护的实施与治理 第八条信息系统运营、使用科室依照本制度和信息系统安全等级爱护定级指南确定信息系统的安全爱护等级,报到信息中心。信息中心审核后,统一上报到郏县卫生安康委信息工作股。依据上级主管部门的审核和指导意见,根据国家标准,完成我院信息系统的安全定级工作。并完成相应
14、的安全爱护和制度建立工作,对定为二级以上的信息系统根据相关规定报平顶山市公安局备案。 第九条信息系统的安全爱护等级确定后,运营、使用部门应当根据国家信息安全等级爱护治理标准和技术标准,使用符合国家有关规定,满意信息系统安全爱护等级需求的信息技术产品,开展信息系统安全建立或者改建工作。 第十条在信息系统建立过程中,运营、使用部门应当根据计算机信息系统安全爱护等级划分准则(GB17859-1999)、信息系统安全等级爱护根本要求等技术标准,参照信息安全技术信息系统通用安全技术要求(GB/T20271-2023)、信息安全技术网络根底安全技术要求(GB/T20270-2023)、信息安全技术操作系统
15、安全技术要求(GB/T20272-2023)、信息安全技术数据库治理系统安全技术要求(GB/T20273-2023)、信息安全技术效劳器技术要求、信息安全技术终端计算机系统安全等级技术要求(GA/T671-2023)等技术标准同步建立符合该等级要求的信息安全设施。 第十一条运营、使用部门应当参照信息安全技术信息系统安全治理要求(GB/T20269-2023)、信息安全技术信息系统安全工程治理要求(GB/T20282-2023)、信息系统安全等级爱护根本要求(GB/T22239-2023)等治理标准,制定并落实符合本系统安全爱护等级要求的安全治理制度。 第十二条信息系统运营、使用部门及其主管部门
16、应当定期对信息系统安全状况、安全爱护制度及措施的落实状况进展自查。经自查,信息系统安全状况未到达安全爱护等级要求的,运营、使用部门应当制定方案进展整改。 第四章附则 第十三条各部门对本部门运营和使用的信息系统进展梳理,根据本制度的要求确定信息系统的安全爱护等级;新建信息系统在设计、规划阶段确定安全爱护等级。 医疗机构信息安全治理制度6 第一章总则 第一条为加强医疗卫生气构网络安全治理,进一步促进“互联网+医疗安康”进展,充分发挥安康医疗大数据作为国家重要根底性战略资源的作用,加强医疗卫生气构网络安全治理,防范网络安全大事发生,依据根本医疗卫生与安康促进法网络安全法密码法数据安全法个人信息爱护法
17、关键信息根底设施安全爱护条例网络安全审查方法以及网络安全等级爱护制度等有关法律法规标准,制定本方法。 其次条坚持网络安全为人民、网络安全靠人民,坚持网络安全教育、技术、产业融合进展,坚持促进进展和依法治理相统一,坚持安全可控和开放创新并重。 坚持分等级爱护、突出重点。重点保障关键信息根底设施、网络安全等级爱护第三级(以下简称第三级)及以上网络以及重要数据和个人信息安全。 坚持积极防备、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全爱护“实战化、体系化、常态化”和“动态防备、主动防备、纵深防备、精准防护、整体防控、联防联控”的“三
18、化六防”措施。 坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。 第三条本方法所称的网络是指由计算机或者其他信息终端及相关设备组成的根据肯定的规章和程序对信息进展收集、存储、传输、交换、处理的系统。 本方法所称的数据为网络数据,是指医疗卫生气构通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、治理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。 本方法适用于医疗卫生气构运营网络的安全治理。未纳入区域基层卫生信息系统的基层医疗卫生气构参照执行。 第四条国家卫生安康委、国家中医药局、国家疾控局负责统
19、筹规划、指导、评估、监视医疗卫生气构网络安全工作。县级以上地方卫生安康行*部门(含中医药和疾控部门,下同)负责本行*区域内医疗卫生气构网络安全指导监视工作。 医疗卫生气构对本单位网络安全治理负主体责任,各医疗卫生气构应当与信息化建立参加单位及相关医疗设备生产经营企业书面商定各方的网络安全义务和违约责任。 其次章网络安全治理 第五条各医疗卫生气构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,每年至少召开一次网络安全办公会,部署安全重点工作,落实关键信息根底设施安全爱护条例和网络安全等级爱护制度要求。有二级及以上网络的医疗卫生气构应明确负责网络安全治理工作的职能部门,明确担当
20、安全主管、安全治理员等职责的岗位;建立网络安全治理制度体系,加强网络安全防护,强化应急处置,在此根底上对关键信息根底设施实行重点爱护,防止网络安全大事发生。 第六条各医疗卫生气构根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建立过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等治理职责,对本单位运营范围内的网络进展等级爱护定级、备案、测评、安全建立整改等工作。 (一)对新建网络,应在规划和申报阶段确定网络安全爱护等级。各医疗卫生气构应全面梳理本单位各类网络,特殊是云计算、物联网、区块链、5G、大数据等新技术应用的根本状况,并依据网络的功能、效劳范围、效劳对象和处
21、理数据等状况,依据相关标准科学确定网络的安全爱护等级,并报上级主管部门审核同意。 (二)新建网络投入使用应依法依规开展等级爱护备案工作。其次级以上网络应在网络安全爱护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案状况报上级卫生安康行*部门,因网络撤销或变更安全爱护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生安康行*部门。 (三)全面梳理分析网络安全爱护需求,根据“一个中心(安全治理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全爱护等级要求的整体规划和建立方案,加强信息系统自行开发或外包开发过程中的安全治理,仔细开展
22、网络安全建立,全面落实安全爱护措施。 (四)各医疗卫生气构对已定级备案网络的安全性进展检测评估,第三级或第四级的网络应托付等级爱护测评机构,每年至少一次开展网络安全等级测评。其次级的网络应托付等级爱护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进展安全性测试。 (五)针对等级测评中发觉的问题隐患,各医疗卫生气构要结合外在的威逼风险,根据法律法规、*策和标准要求,制定网络安全整改方案,有针对性地开展整改,准时消退风险隐患,补强治理和技术短板,提升安全防护力量。 第七条各医
23、疗卫生气构应依托国家网络安全信息通报机制,加强本单位网络安全通报预警力气建立。鼓舞三级医院探究态势感知平台建立,准时收集、汇总、分析各方网络安全信息,加强威逼情报工作,组织开展网络安全威逼分析和态势研判,准时通报预警和处置,防止网络被破坏、数据外泄等大事。 第八条各医疗卫生气构应建立应急处置机制,通过建立完善应急预案、组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全大事,提高应对网络安全大事力量。积极参与网络安全攻防演练,提升爱护和对抗力量。 第九条各医疗卫生气构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,准时发觉可能存在的问题和隐患。针对安全自
24、查、监测预警、安全通报等过程中发觉的安全隐患应仔细开展整改加固,防止网络带病运行,并按要求将安全自查整改状况报上级卫生安康行*部门。自查整改可与等级测评问题整改一并实施。 每年安全自查整改工作包括: (一)依据上级主管监管机构要求,各医疗卫生气构完成信息资产梳理,摸清本单位网络定级、备案等状况,形成资产清单,组织安全自查。 (二)依据上级主管监管机构要求,各医疗卫生气构依据安全自查结果,对发觉的问题和隐患进展整改,形成整改报告向有关主管监管机构报备。 第十条关键信息根底设施运营者应对安全治理机构负责人和关键岗位人员进展安全背景审查。各医疗卫生气构要加强网络运营相关人员治理,包括本单位内部人员及
25、第三方人员,明确内部人员入职、培训、考核、离岗全流程安全治理,针对第三方应明确人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作,防止因人员资质及违规操作引发的安全风险。 第十一条加强网络运维治理,制定运维操作标准和工作流程。加强物理安全防护,完善机房、办公环境及运维现场等安全掌握措施,防止非授权访问物理环境造成信息泄露。加强远程运维治理,因业务确需通过互联网远程运维的,应进展评估论证,并实行相应的安全管控措施,防止远程端口暴露引发安全大事。 第十二条各医疗卫生气构应加强业务连续性治理并持续监测网络运行状态。对于第三级及以上的网络应加强保障关键链路、关键设备冗余备份
26、,有条件的医疗卫生气构应建立应用级容灾备份,防止关键业务中断。 第十三条应用大数据、人工智能、区块链等新技术开展效劳时,上线前应评估新技术的安全风险并进展安全管控,到达应用与安全的平衡。 第十四条各医疗卫生气构应标准和加强医疗设备数据、个人信息爱护和网络安全治理,建立健全医疗设备招标选购、安装调试、运行使用、维护修理、报废处置等相关网络安全治理制度,定期检查或评估医疗设备网络安全,并实行相应的安全管控措施,确保医疗设备网络安全。 第十五条各医疗卫生气构应根据密码法等有关法律法规和密码应用相关标准标准,在网络建立过程中同步规划、同步建立、同步运行密码爱护措施,使用符合相关要求的密码产品和效劳。
27、第十六条各医疗卫生气构应关注整个网络全链条参加者的安全治理,涉及非本单位的第三方时,应对设计、建立、运行、维护等效劳实施安全治理,选购安全的网络产品和效劳,防止发生第三方安全大事。 第十七条各医疗卫生气构应加强废止网络的安全治理,对废止网络的相关设备进展风险评估,准时对其实行封存或销毁措施,确保废止网络中的数据处置安全,防止网络数据泄露。 第三章数据安全治理 第十八条各医疗卫生气构应根据有关法律法规的规定,参照国家网络安全标准,履行数据安全爱护义务,坚持保障数据安全与进展并重,通过治理和技术手段保障数据安全和数据应用的有效平衡。关键信息根底设施运营者应拟定关键信息根底设施安全爱护规划,建立健全
28、数据安全和个人信息爱护制度。 第十九条应建立数据安全治理组织架构,明确业务部门与治理部门在数据安全活动中的主体责任,通过安全责任书等方式,标准本单位数据治理部门、业务部门、信息化部门在数据安全治理全生命周期当中的权责,建立数据安全工作责任制,落实追责追究制度。 其次十条各医疗卫生气构应每年对数据资产进展全面梳理,在落实网络安全等级爱护制度的根底上,依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。数据分类分级应遵循合法合规原则、可执行原则、时效性原则、自主性原则、差异性原则及客观性原则。 其次十一条各医疗卫生气构应建立健全数据安全治理制度、操作规程及技术标准,涉及的治理制度
29、每年至少修订一次,建议相关人员每年度签署保密协议。每年对本单位的数据进展数据安全风险评估,准时把握数据安全状态。加强数据安全教育培训,组织安全意识教育和数据安全治理制度宣传培训。结合本单位实际,建立完善数据使用申请及批准流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务治理部门同意、医疗卫生气构领导核准的工作程序,指导数据活动流程合规。 其次十二条各医疗卫生气构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全治理工作,数据全生命周期活动应在境内开展,因业务确需向境外供应的,应当根据相关法律法规及有关要求进展安全评估或审核,针对影响或者可能影响
30、国家安全的数据处理活动需提交国家安全审查,防止数据安全大事发生。 (一)各医疗卫生气构应加强数据收集合法性治理,明确业务部门和治理部门在数据收集合法性中的主体责任。实行数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露。 (二)在数据分类分级的根底上,进一步明确不同安全级别数据的加密传输要求。加强传输过程中的接口安全掌握,确保在通过接口传输时的安全性,防止数据被窃取。 (三)各医疗卫生气构应根据有关法规标准,选择适宜的数据存储架构和介质在境内存储,并实行备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。数据存储周期不应超出数据使用规章确定的
31、保存期限。加强存储过程中访问掌握安全、数据副本安全、数据归档安全管控。 (四)各医疗卫生气构应严格规定不同人员的权限,加强数据使用过程中的申请及批准流程治理,确保数据在可控范围内使用,加强日志留存及治理工作,杜绝篡改、删除日志的现象发生,防止数据越权使用。各数据使用部门和数据使用人须严格根据申请所述用途与范围使用数据,对数据的安全负责。未经批准,任何部门和个人不得将未对外公开的信息数据传递至部门外,不得以任何方式将其泄露。 (五)各医疗卫生气构公布、共享数据时应当评估可能带来的安全风险,并实行必要的安全防控措施;涉及数据上报时,应由数据上报提出方负责解读上报要求,确定上报范围和上报规章,确保数
32、据上报安全可控。 (六)各医疗卫生气构开展人脸识别或人脸辨识时,应同时供应非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其根本业务功能,人脸识别数据不得用于除身份识别之外的其他目的,包括但不限于评估或猜测数据主体工作表现、经济状况、安康状况、偏好、兴趣等。各医疗卫生气构应实行安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采纳物理或规律隔离方式分别存储人脸识别和个人身份信息等。 (七)数据销毁时应采纳确保数据无法复原的销毁方式,重点关注数据残留风险及数据备份风险。 第四章监视治理 其次十三条各医疗卫生气构应积极协作有关主管监管机构监视治
33、理,承受网络安全治理日常检查,做好网络安全防护等工作。 其次十四条各医疗卫生气构应准时整改有关主管监管机构检查过程中发觉的漏洞和隐患等问题,杜绝重大网络安全大事发生。 其次十五条发生个人信息和数据泄露、毁损、丧失等安全大事和网络系统遭攻击、入侵、掌握等网络安全大事,或者发觉网络存在漏洞隐患、网络安全风险明显增大时,各医疗卫生气构应当马上启动应急预案,实行必要的补救和处置措施,准时以电话、短信、邮件或信函等多种方式告知相关主体,并根据要求向有关主管监管部门报告。 其次十六条各级卫生安康行*部门应建立网络安全大事通报工作机制,准时通报网络安全大事。 其次十七条发生网络安全大事时,各医疗卫生气构应准
34、时向卫生安康行*部门、公安机关报告,做好现场爱护、留存相关记录,为公安机关等监管部门依法维护国家安全和开展侦查调查等活动供应技术支持和帮助。 第五章治理保障 其次十八条各医疗卫生气构应高度重视网络安全治理工作,将其列入重要议事日程,加强统筹领导和规划设计,依法依规落实人员、经费投入、安全爱护措施建立等重大问题,保证信息系统建立时安全爱护措施同步规划、同步建立和同步使用。 其次十九条各医疗卫生气构应加强网络安全业务沟通,严格执行网络安全连续教育制度,鼓舞治理岗位和技术岗位持证上岗。通过组织开展学术沟通及比武竞赛的方式,发觉选拔网络安全人才,建立人才库,建立健全人才发觉、培育、选拔和使用机制,为做
35、好网络安全工作供应人才保障。 第三十条各医疗卫生气构应保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建立整改、安全爱护平台建立、密码保障系统建立、运维、教育培训等经费投入。新建信息化工程的网络安全预算不低于工程总预算的5%。 第三十一条各医疗卫生气构应进一步完善网络安全考核评价制度,明确考核指标,组织开展考核。鼓舞有条件的医疗卫生气构将考核与绩效挂钩。 第六章附则 第三十二条违反本方法规定,发生个人信息和数据泄露,或者消失重大网络安全大事的,按网络安全法密码法根本医疗卫生与安康促进法数据安全法个人信息爱护法关键信息根底设施安全爱护条例以及网络安全等级爱护制度等法律法规处理。 第三十三条
36、涉及国家隐秘的网络,根据国家有关规定执行。 第三十四条本方法自印发之日起实施。 医疗机构信息安全治理制度7 一、目的 为保障互联网医院平台信息系统正常运行,维护互联网医院平台信息安全和互联网医院正常工作次序,特制定本制度。 二、范围 适用于供应医疗效劳的医务人员及注册使用的患者 三、职责 3.1院方接入审核、专家资质审核、效劳资源查询、效劳监管、质量评价、绩效考评应用 3.2效劳平台通过APP、公众号、应用程序、便携式设备等手段供应的医疗效劳、分级诊疗、信息惠民、安康治理等各类医疗安康效劳,并对相关用户的注册信息供应隐私爱护。 四、依据 中华人民共和国计算机信息系统安全爱护条例 五、流程*:
37、无 六、内容 6.1系统安全内容 6.1.1互联网医院效劳平台包含效劳功能、监管功能、根底功能等3各局部。 6.1.2效劳功能是指借助移动通信、物联网、高清视频等新技术,向医生、患者通过APP、公众号、应用程序、便携式设备等手段供应的医疗效劳、分级诊疗、信息惠民、安康治理等各类医疗安康效劳。 6.1.3监管功能是指为医院供应的医疗效劳机构接入审核、专家资质审核、效劳资源查询、效劳监管、质量评价、绩效考评应用。 6.1.4系统根底功能是整个系统的支撑,用于保障远程医疗业务和远程医疗监管业务的开展,主要包括注册治理、业务支撑、运行维护、安全保障等。 6.1.4.1注册治理:实现医院的信息资源的注册
38、效劳和消费效劳,包括卫生气构、专家、患者等信息资源。 6.1.4.2业务支撑:采纳多层系统构造设计,面对“互联网+医疗安康”效劳应用供应即时通讯、远程协作、效劳治理、呼叫中心、信息共享交换、财务治理等支撑功能,使跨地区、跨机构“互联网+医疗安康”效劳的信息交互场景实现成为可能。 6.1.4.3运行维护:为“互联网+医疗安康”效劳系统供应牢靠运行保障,供应信息系统的运维监控、系统日志、系统备份功能,为“互联网+医疗安康”效劳供应安全、牢靠、稳定运行的信息系统。 6.1.4.4安全保障。“互联网+医疗安康”效劳系统供应用户身份认证、系统角色、操作权限、操作审计、数据加密传输功能,确保系统的数据安全
39、、应用安全、通讯安全。 6.1.4.5互联网医院效劳平台需要与医院内部的门诊预约、缴费、检查预约等系统进展集成。 6.1.4.6互联网医院效劳平台需要部署在医院的DMZ区或外联网区,并通过加固的网络通道与医院内部网络进展通讯。 6.1.4.7平台使用的视频采集设备、显示设备及便携式监测设备符合相关的行业标准与标准。 6.1.4.8互联网医院效劳平台应用数字证书效劳、数字签名验证效劳、电子签章和时间戳效劳等技术,从“可信身份、可信行为、可信数据和可信时间四个范畴搭建可信医疗效劳平台,从而真正实现“互联网+医疗安康”效劳的可信业务环境建立。 6.1.4.9互联网医院效劳平台根据信息系统等级爱护三级
40、(或以上)的要求进展安全建立,安全设计遵循已公布的相关国家标准。通过安全体系的建立,首先满意用户治理及用户权限掌握的需要,并为用户供应隐私爱护,防止其个人信息泄露。此外,安全体系为全部医疗数据供应信息安全支持并就用户的操作行为进展审计追踪,保证信息的安全性和可溯源性。 6.1.4.10系统对传输的数据进展保密性和完整性爱护。应用系统和设备自身WEB访问传输建议采纳SSL方式传输爱护或数据自身加密;远程网络通信传输建议采纳数据自身加密;数据爱护采纳加密算法对传输数据加密、数据校验采纳完整性校验保证数据传输的完整性,爱护算法需支持国密算法。 6.2系统安全治理 6.2.1供应互联网医院效劳平台、智
41、能医疗设备以及关键信息根底设施、数据应用效劳的信息防护,对仪器、设备、设施、信息系统进展定期检测、登记、维护、改造、升级,确保“互联网+医疗安康”效劳系统处于正常运行状态,满意开展“互联网+医疗安康”效劳的需要。 6.2.2互联网医院效劳平台符合国家相关技术标准、标准和信息安全等级要求,确保网络信息质量和安全。 6.2.3医院需对“互联网+医疗安康”效劳全过程全程留痕,同时向监管部门开放端口,承受监管。 6.2.4“互联网+医疗安康”效劳数据包括“互联网+医疗安康”效劳过程中使用和产生的业务数据和治理数据(效劳对象信息、病历资料、效劳过程资料、音视频记录、行*治理、效劳统计等)。 6.2.5医
42、院将患者各种病历资料、专家医师意见单以及相关资料的统计数据存档治理。依据医疗机构治理条例实施细则第53条规定,各种病历的保存期不得少于15年。 6.2.6“互联网+医疗安康”效劳数据采集、存储、处理、应用、共享、开放及其相关治理效劳活动,做到管控和追溯合一;严格执行信息安全和安康医疗数据保密规定,建立完善个人隐私信息爱护制度,严格治理患者信息、用户资料、基因数据等. 6.2.7患者信息等敏感数据存储在境内;确需用于科研的,依照有关规定进展安全评估。 6.2.8安全体系从安全技术、安全治理为要素进展框架设计: 6.2.8.1从网络安全(根底网络安全和边界安全)、主机安全(终端系统安全、效劳端系统
43、安全)、应用安全、数据安全几个层面实现安全技术类要求; 6.2.8.2从安全治理制度、安全治理机构、人员安全治理、系统建立治理和系统运维治理几个层面实现安全治理类要求。 6.2.9安全技术从安全治理制度、安全治理机构、人员安全治理、系统建立治理和系统运维治理几个方面进展标准,详细参考信息安全技术网络安全等级爱护根本要求GB/T22239、基于居民安康档案的区域卫生信息平台技术标准(WST448-2023)中的相关内容。 6.2.10安全治理满意安全治理制度、安全治理机构、人员安全治理、系统建立治理和系统运维治理几个方面的要求,详细参考信息安全技术网络安全等级爱护根本要求GB/T22239中的相
44、关内容。 6.2.11隐私爱护标准个人信息掌握者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。满意个人信息安全标准(GB/T35273-2023)、人口安康信息治理方法(试行)中的要求。 医疗机构信息安全治理制度8 (一)目的 为保证医院计算机网络和医院信息系统的正常运行和安康进展,依据中华人民共和国计算机信息系统安全爱护条例中华人民共和国计算机信息网络国际联网治理暂行规定关于加强信息安全保障工作的意见和国家有关法律法规,制定本制度。 (二)定义 信息安全治理制度是指医疗机构根据信息安全治
45、理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、公布等进展全流程系统性保障的制度。 信息系统治理硬件设备包括计算机、打印机、扫码*、读卡器等主机及外设,网络设备包括效劳器、路由器、交换机、通信线路、不连续供电设备、机柜、配线架、信息点模块等供应网络效劳的设施及设备。 信息系统是指利用电子计算机和通讯设备,为医院所属各部门供应患者诊疗信息和行*治理信息的收集、存储、处理、提取和数据交换的力量并满意授权用户的功能需求的平台。 数据信息是指在医院信息系统中产生的各种形式的医疗资料(包括患者根本信息、病历记录、诊断报告、化验检查结果、处方信息等)。 (三)根本要求 1.医疗机构应当依法依规建立掩盖患者诊疗信息治理全流程的等级爱护等有关要求。 2.医疗机构主要负责人是医疗机构患者诊疗信息安全治理第一责任人。 3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急