醫(yī)院信息安全管理制度

醫(yī)院信息安全管理制度一、定義信息安全管理制度是指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，對醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲、使用、傳輸、處理、發(fā)布等進(jìn)行全流程系統(tǒng)性保障的制度。二、具體要求（一）信息安全管理組織及職責(zé)1.醫(yī)院成立信息安全領(lǐng)導(dǎo)組和信息委員會，負(fù)責(zé)全院信息安全工作的統(tǒng)一領(lǐng)導(dǎo)和管理，審定并建立覆蓋患者診療信息管理全流程的制度、技術(shù)保障體系、信息系統(tǒng)安全事故責(zé)任管理與追溯機(jī)制，醫(yī)院主要領(lǐng)導(dǎo)是醫(yī)院患者診療信息安全管理第一責(zé)任人。2.網(wǎng)絡(luò)管理中心是醫(yī)院信息安全日常管理的常設(shè)機(jī)構(gòu)（職能部門），負(fù)責(zé)制定網(wǎng)絡(luò)信息安全制度和應(yīng)急預(yù)案，建立醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)準(zhǔn)入和訪問規(guī)則、醫(yī)務(wù)人員使用網(wǎng)絡(luò)信息系統(tǒng)的行為規(guī)則，執(zhí)行醫(yī)療核心數(shù)據(jù)的安全存儲方案、信息安全等級保護(hù)等網(wǎng)絡(luò)安全的具體工作。3.醫(yī)院各部門負(fù)責(zé)本部門信息安全管理工作，按照“誰使用、誰負(fù)責(zé)”的原則，配合和協(xié)助網(wǎng)絡(luò)管理中心完善和細(xì)化相關(guān)制度建設(shè)，落實(shí)本部門信息安全日常管理工作，部門主要負(fù)責(zé)人是本部門信息安全管理第一責(zé)任人。4.醫(yī)院各類人員（含衛(wèi)編、教編、招聘、返聘、聘用、勞務(wù)派遣、口腔醫(yī)院，學(xué)生:研究生、實(shí)習(xí)生、規(guī)培生、進(jìn)修生等）嚴(yán)格遵守和執(zhí)行醫(yī)院《網(wǎng)絡(luò)安全管理規(guī)定》等信息安全相關(guān)管理制度。（二）信息系統(tǒng)物理環(huán)境安全管理1.網(wǎng)絡(luò)管理中心負(fù)責(zé)建設(shè)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)，維護(hù)計(jì)算機(jī)終端，管理移動存儲介質(zhì)，制定并實(shí)施相應(yīng)管理制度。2.各部門負(fù)責(zé)部門內(nèi)部及所在公共區(qū)域網(wǎng)絡(luò)硬件安全管理，不得擅自破壞網(wǎng)絡(luò)硬件、占用通信線路、中斷設(shè)備供電、占用弱電間等。3.各部門負(fù)責(zé)部門內(nèi)部計(jì)算機(jī)終端安全管理，不得擅自挪動、拆裝、破壞計(jì)算機(jī)終端，不得擅自安裝或刪除軟件，不得使用計(jì)算機(jī)終端進(jìn)行與工作無關(guān)的活動，計(jì)算機(jī)故障時需及時報(bào)告網(wǎng)絡(luò)管理中心。4.網(wǎng)絡(luò)管理中心負(fù)責(zé)管理全院存儲介質(zhì)與敏感數(shù)據(jù)拷貝，各部門不得私自使用移動存儲介質(zhì)。（三）信息系統(tǒng)訪問控制及操作安全管理1.根據(jù)醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)準(zhǔn)入和訪問規(guī)則，網(wǎng)絡(luò)管理中心負(fù)責(zé)全院各類人員權(quán)限的設(shè)置。2.網(wǎng)絡(luò)管理中心負(fù)責(zé)建設(shè)、調(diào)試與維護(hù)醫(yī)院信息系統(tǒng)軟件及數(shù)據(jù)庫，存儲醫(yī)院核心數(shù)據(jù)，安裝各部門軟件客戶端，根據(jù)人力資源部、醫(yī)務(wù)部等職能部門通知或要求，管理全院工作人員角色，配相應(yīng)軟件賬號權(quán)限，制定并實(shí)施相應(yīng)管理制度，明確各類人員的患者診療信息使用權(quán)限和相關(guān)責(zé)任。3.各部門及其工作人員不得擅自安裝、卸載、復(fù)制、傳播軟件，擅自連接醫(yī)院數(shù)據(jù)庫，不得擅自增加、修改、刪除軟件配置。4.全院工作人員嚴(yán)格按醫(yī)院授予的賬號權(quán)限訪問信息系統(tǒng)，并妥善保管軟件賬號密碼及身份認(rèn)證文件，不得將賬號交與他人使用，不得越權(quán)使用軟件賬號。因個人賬號保管不當(dāng)造成的不良后果，由賬號的所有者承擔(dān)相應(yīng)責(zé)任。5.網(wǎng)絡(luò)管理中心工作人員不得擅自查看、泄露、修改醫(yī)院各類人員的賬號密碼信息。（四）信息系統(tǒng)數(shù)據(jù)安全管理1.網(wǎng)絡(luò)管理中心負(fù)責(zé)醫(yī)院各類人員數(shù)據(jù)及患者數(shù)據(jù)安全管理，制定實(shí)施信息安全保護(hù)相關(guān)管理制度，確保全院患者診療信息管理全流程的安全性、真實(shí)性、連續(xù)性、完整性、穩(wěn)定性、時效性、溯源性，防止信息泄露、毀損、丟失。2.全院工作人員使用患者診療信息應(yīng)遵循合法、依規(guī)、正當(dāng)、必要的原則，不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息。3.各部門及其工作人員不得非法統(tǒng)計(jì)、下載、傳播醫(yī)院敏感數(shù)據(jù)，不得將含有敏感數(shù)據(jù)的存儲介質(zhì)交予無關(guān)人員，不得利用醫(yī)院敏感數(shù)據(jù)獲取不正當(dāng)利益。4.醫(yī)務(wù)部負(fù)責(zé)審批并脫敏處理需要發(fā)布的病例資料；未經(jīng)醫(yī)院允許，各部門及其工作人員不得擅自通過社交軟件發(fā)布病人病例資料。5.網(wǎng)絡(luò)管理中心負(fù)責(zé)醫(yī)院核心數(shù)據(jù)備份，各部門有責(zé)任配合網(wǎng)絡(luò)管理中心完成生產(chǎn)數(shù)據(jù)備份工作。6.各部門在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損、丟失的情況時，應(yīng)當(dāng)立即向醫(yī)院網(wǎng)絡(luò)管理中心報(bào)告并采取補(bǔ)救措施，必要時啟動網(wǎng)絡(luò)安全應(yīng)急預(yù)案，或由醫(yī)院向上級主管部門報(bào)告。7.醫(yī)院各類人員不得利用技術(shù)缺陷或軟件漏洞，更改、新增、刪除生產(chǎn)系統(tǒng)任何數(shù)據(jù)。8.網(wǎng)絡(luò)管理中心定期組織開展全院信息安全風(fēng)險評估與督查工作，及時處理或解決危