医院医疗质量安全管理18项核心制度 - 信息安全管理制度.docx

信息安全管理制度一、医院信息安全领导小组和工作小组组成及职责：1 .成立医院信息安全领导小组和工作小组，负责医院信息安全工作；2 .信息安全领导小组由院长任组长，副院长和信息科负责人担任副组长。负 责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息 安全建设、业务连续性保障协调、安全组织与医院信息系统供应商的沟通等工作；3 .信息安全工作小组由信息科负责人任组长，信息中心所有人员参加，应覆 盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实 领导小组各项决议，并负责日常信息安全管理实施与督查；4 .领导小组和工作小组应拟定信息系统安全运行和维护手册、数据备份要求、 应急预案和安全配置指南等基本制度，每半年或发生重大变化时进行修订。5 .工作小组应定期组织信息安全培训和相关考核，开展新员工入职背景调查 并存档，制定第三方单位及人员信息安全管理制度。二、授权管理：1 .根据不同人员身份和岗位性质，设立严格的登录和操作权限，实行分级管 理授权，明确信息使用权限和相关责任。因个人授权信息保管不当造成的不良后 果由被授权人承担责任。2 .医院信息系统相关的所有授权和审批事项，制定明确的授权、审批的流程、 部门和责任人。对内部人员、外包人员实行分别授权管理。3 .没有经过正式授权的临时信息系统维护需求，可由信息安全工作小组组长 临时授权同意后补充授权记录。4 .对被授权者及其访问权限、操作行为进行监管与评估，实施动态授权。三、安全管理：(-)计算机信息系统安全管理：1 .完善计算机信息系统网络安全、漏洞检测、系统升级、操作权限、用户登 记、信息发布审查、登记保存、清除备份管理。2 .建立技术标准，利用存储及备份技术、网络安全监控技术、信息加密技术、 访问控制技术加以保护。3 .设定清单/目录，明确用户使用权限和责任，并定期对其进行培训和教育。4 .患者资料通过分级权限管理进行保护，内容包括个人基本信息、挂号信息、 就诊信息、住院医嘱信息、费用信息、影像资料、检验结果等各种临床和相关内 容组成的患者信息群集。5 .使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或 擅自向他人或其他机构提供患者诊疗信息。未经患者许可，不得将其疾病及相关 隐私信息泄露给他人。6 .根据个人、政府及社会组织获取信息的用途，明确审批程序、权限、范围 及所需证明材料7 .软件安全管理应包括但不限于以下内容：（1）信息系统软件的管理和维护，由本院信息科专职管理员负责；（2）由软件开发公司负责维护的系统，各科室应向医院专职管理员书面报 告维护情况并备案；（3）上级或政府职能部门指定统一使用的软件、各科室自行开发或新应用 的软件，均须按照规定程序申报，经医院信息安全管理组织批准后方可应用；（4）任何个人及部门未经许可不得自行使用软盘、光盘、U盘等。（二）计算机安全管理：1 .医务人员应按照计算机正确的使用方法操作计算机，严禁私自拆装计算机 或蓄意破坏计算机，若须拆装，应通知网络信息科人员进行。2 .计算机的软件安装和卸载工作必须由网络信息科人员进行。3 .计算机的使用应为其合法授权者，未经授权不得使用。医院内网计算机仅 限于医院内部工作使用，不得接入互联网。5 .因工作需要接入互联网的，需书面向网络信息科提出申请，经院长批准后 由网络信息科负责接入。接入互联网的计算机必须安装正版的反病毒软件并保 证反病毒软件实时升级。6 .医院任何科室如发现或怀疑有计算机病毒侵入，应立即断开网络，同时通 知网络信息科技术人员负责处理。网络信息科应采取措施清除，并向院长报告备 案07 .医院内网计算机不得安装游戏、即时通讯等与工作无关的软件，禁止在内网计算机上使用移动存储工具。（三）网络硬件安全管理:1 .网络硬件包括服务器、路由器、交换机、通信线路、不间断供电设备、机 柜、配线架、信息点模块等提供网络服务的设施及设备。各职能部门、各科室应 妥善保管安置在本部门的网络设备、设施。2 .不得破坏网络设备、设施。由于施工或事故原因造成的网络连接中断的， 应根据其情节轻重对责任人予以处罚或赔偿。3 .不得擅自中断网络硬件设备及设施的供电。因特殊原因必须停电的，应提 前通知网络管理人员做好相应应急预案。4 .不得擅自挪动、转移、增加、安装、拆卸网络设施及设备。特殊情况应提 前通知网络管理人员，书面申请，批准后后方可实施。5 .硬件设施设备配置应符合等级保护要求。（四）软件及信息安全管理：1 .计算机及外设所配软件及驱动程序交网络信息科网络管理人员保管，以便 于统一维护和管理。2 .管理系统软件由网络管理人员按使用范围进行安装，其他任何人不得安装、 复制、传播此类软件3 .网络资源及网络信息的使用权限由网络管理人员按医院的有关规定予以 分配，任何人不得擅自越权使用网络资源及网络信息。4 .网络使用人员应妥善保管各自的密码及身份认证文件，不得将密码及身份 认证文件交与他人使用。5 .任何人不得将含有医院信息的计算机或各种存储介质交与无关人员。更不 得利用医院数据信息获取不正当利益。违者予以相应的处罚。造成严重后果触犯 刑律的，移送司法机关处理。（五）网络使用人员行为管理：1 .不得在网络中制作、复制、查阅和传播国家法律、法规所禁止的信息。2 .不得在网络中进行国家相关法律法规所禁止的活动。3 .不得擅自修改计算机中与网络有关的设置。4 .不得私自添加、删除与医院网络有关的软件。5 .不得私自进入医院网络或者使用医院网络资源。6 .不得对医院网络功能进行删除、修改或者增加。7 .不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改 或者增加。不得故意制作、传播计算机病毒等破坏性程序。8 .不得进行其他危害医院网络安全及正常运行的活动。9 .违反规定者，予以相应的处罚，造成严重后果触犯刑律的，移送司法机关 处理。四、制定信息安全应急预案：1 .组织机构：网络与信息安全应急小组应由院长担任第一责任人。信息安全 应急小组小组负责信息安全日常事务处理、应急处理及安全通报等事务。2 .工作原则：逐级建立并落实信息系统责任制和应急机制；按照法规规定职 责和流程工作；积极预防、及时预警信息安全隐患；积极提升应急处理能力；全 院各部门协同配合开展工作。3 .应急处理：制定因停电、火灾、网络线路故障、黑客入侵、大规模病毒（含 恶意软件）攻击等，导致医院HIS系统局部或全部瘫痪的应急流程，包括报告、 简单处理、排除故障等措施。4 .泄密类信息安全事件的处理：发现泄密的人员应对该事件保密；如已掌握 涉密情况，向具有相应涉密级别的人员报告，或直接向医院信息安全领导小组组 长报告；如未掌握涉密情况，应向上一级信息安全主管报告；处置过程保密。五、制度落实监督管理：1 .严格执行国家关于中华人民共和国信息系统安全保护条例及中华人 民共和国保守国家秘密法和相关规定，依据全国医疗机构信息化建设标准与 规范（试行）进行信息化建设和管理。2 .组织开展信息安全管理相关制度和工作流程的培训，相关科室医务人员对 信息安全管理制度全员知晓。3 .职能部门定期对信息安全管理制度进行考核，检查医务人员的知晓、 执行情况，将信息安全管理制度的相关内容纳入医院质量考核体系。发现问 题，及时反馈、整改，达到持续改进。4 .医院需要不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢 失。定期开展患者诊疗信息安全自查工作，对患者诊疗信息系统安全事故责任进 行管理和追溯。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时， 应当立即采取补救措施，按照规定向网络信息科、院长和有关部门报告。