关于开展网络与数据安全保护自评报告.docxVIP

关于开展网络与数据安全保护自评报告

为了进一步做好我院网络与数据安全自查工作，提高安全防护能力和水平，预防重大网络数据安全事件的发生，切实加强医院各业务信息系统安全防范工作，创造良好的网络环境。近期，我院进行了网络与数据安全自查，现就自查工作情况汇报如下：

数据安全管理方面

一是我院制定了《患者诊疗信息系统安全事故责任管理制度》、《患者个人信息保密制度》、《授权审批及人员离岗制度》、《信息系统巡查制度》等多项制度确保患者信息保密，对于外来人员进出中心机房实行进出登记、陪同管理。二是我院以自建机房形式作为存储数据的数据中心，对于数据资产实行登记造册，医院现共有73台应用和存储服务器，共计35个业务信息系统，占用存储空间约40TB，各业务系统数据库表结构及各服务器登录用户名和密码造册由专人进行管理。三是对第三方运维管理公司均以合同形式明确患者信息保密义务。四是自2023年4月后，对于新上线的业务系统均进行上线评估，如中国联通全院WIFI覆盖服务，人力资源管理系统均进行了网络安全测试和密码应用评估。

二、数据安全防护措施方面

一是我院现有360网络安全防火墙、360waf、数据库审计系统、明御探针管理系统、天翼电信安全大脑等一系列网络边界防护数据安全。二是在医院内部对于医护人员日常患者数据访问管理，使用CA安全认证进行身份鉴别，使用安恒分布式杀毒软件对业务电脑进行监控和非授权业务电脑进行USB接口封禁，防止内部泄露，各项数据的访问均按照《信息系统员工分级授权管理制度》，以医务科、护理部的授权为准，由信息科对各医务人员的权限进行设置。三是在数据对外接口管理上，均以租用中国电信、中国联通网络专线形式与省卫健委进行三级医院绩效考核进行对接、与市医保局进行医保结算对接，确保数据传输安全可靠。四是我院为有效保障患者信息可靠保存，实行异地容灾备份策略，并制订《信息系统应急预案》指导各类应急事件发生处理流程，保障安全措施有效性。

三、数据处理活动方面

涉及数据处理活动包括数据收集、存储、使用、加工、删除等多个方面。如数据加工方面，主要根据国家、省卫健委相关文件要求，对例如脑卒中患者早期康复介入率进行上报，则需要通过数据挖掘后进行加工得出。对外提供数据方面，要求进行严格审批，根据《卫生计生委中医药局关于印发医疗机构病历管理规定（2013年版）》的文件精神，提供有效的个人或机构证明文件，经医务科审核，方可提取所需患者病历资料。

个人信息保护要求方面

一是患者数据均用于医疗活动，医院各工作人员签订了《网络安全承诺书》，遵守合法、正当、必要、诚信原则，共同努力维护良好的网络安全环境，二是在医院就诊流程中，注重对患者隐私的保护，对个人信息如姓名，身份证号码等进行星号标注，脱敏处理。三是畅通个人信息投诉举报机制，设立客户服务中心听取患者提出的意见建议并逐一调查落实，不断提升患者满意度。

下一步工作

通过自查，网络数据安全风险意识有待进一步加强，我们将重点加强以下三点：一是建章立制，制定《数据分类分级保护制度》、《数据安全培训制度》、《第三方人员管理制度》等一系列制度，确保数据安全防护有章可循。二是增加对网络和数据安全检测评估，如商用密码应用安全评估、数据安全管理认证等，提高整体安全系数。三是增强在个人信息加密、脱敏、去标识化方面的安全技术能力，确保措施得当，有效保护个人隐私。