肿瘤医院网络设备肿瘤信息安全加固制度​.doc

肿瘤医院网络设备肿瘤信息安全加固制度?

一、总则

1.为加强我院网络设备及肿瘤信息的安全防护，确保医疗业务的正常运行，保护患者隐私及医院数据安全，依据国家相关法律法规及医疗卫生行业的信息安全要求，特制定本制度。

2.本制度适用于医院内所有涉及网络设备使用以及肿瘤信息处理的部门、科室和人员。

二、网络设备安全管理

1.设备采购与部署

-采购网络设备时，需选择符合国家信息安全标准、具备可靠安全性能的产品。采购前应进行充分的市场调研和安全评估，确保设备满足医院业务需求及安全要求。

-网络设备的部署应遵循医院的网络架构规划，由专业的网络技术人员进行操作，并做好详细的记录，包括设备型号、安装位置、配置参数等信息。

2.设备访问控制

-为每个网络设备设置独立的管理账号和强密码，密码应定期更换（至少每三个月一次），且不得与其他系统或设备的密码相同。密码强度要求包含大小写字母、数字和特殊字符，长度不少于12位。

-严格限制网络设备的访问权限，仅允许经过授权的网络技术人员进行远程或本地访问。访问时需进行身份验证，记录所有的访问操作，包括访问时间、操作人员、操作内容等信息。

-禁止在网络设备上使用默认的管理账号和密码，防止未经授权的访问。

3.设备安全配置

-网络技术人员应根据医院的安全策略和业务需求，对网络设备进行合理的安全配置，包括但不限于防火墙策略设置、入侵检测/防范系统（IDS/IPS）配置、虚拟专用网络（VPN）安全设置等。

-定期对网络设备的安全配置进行检查和更新，确保配置的有效性和适应性。安全配置的更改需经过严格的审批流程，记录所有的变更信息，并进行必要的测试，以避免对医院网络和业务造成影响。

4.设备维护与巡检

-制定网络设备的维护计划，定期对设备进行硬件检查、软件升级和故障排除。维护计划应明确维护周期、维护内容和责任人，确保设备始终处于良好的运行状态。

-网络技术人员应每日对网络设备进行巡检，检查设备的运行状态、日志信息等，及时发现并处理潜在的安全隐患。巡检记录应详细、准确，保存至少两年。

三、肿瘤信息安全管理

1.信息分类与标识

-根据肿瘤信息的敏感程度和重要性，对其进行分类，如患者基本信息、病历资料、检查检验结果、科研数据等。不同类别的信息应采取相应的安全保护措施。

-对各类肿瘤信息进行明确的标识，以便在信息的存储、传输和使用过程中进行有效的识别和管理。标识应包含信息类别、保密级别、来源等关键信息。

2.信息存储安全

-肿瘤信息应存储在安全的服务器和存储设备中，采取数据加密技术对敏感信息进行加密存储，防止数据在存储过程中被窃取或篡改。加密算法应符合国家相关标准，密钥管理应严格保密，定期更新。

-建立数据备份机制，定期对肿瘤信息进行备份。备份数据应存储在异地，以防止因本地灾害或设备故障导致数据丢失。备份数据的恢复能力应定期进行测试，确保在需要时能够及时、准确地恢复数据。

-对存储肿瘤信息的服务器和存储设备进行严格的访问控制，只有经过授权的人员才能访问和操作数据。访问记录应详细记录操作人员、访问时间、访问内容等信息，以便进行审计和追溯。

3.信息传输安全

-在肿瘤信息传输过程中，应采用安全的传输协议，如SSL/TLS等，对数据进行加密传输，防止数据在网络传输过程中被窃取或篡改。

-对涉及肿瘤信息传输的网络连接进行监控和审计，及时发现并阻止异常的信息传输行为。对于通过移动设备或外部网络传输肿瘤信息的情况，应采取额外的安全措施，如身份认证、数据加密等，确保信息传输的安全性。

4.信息使用安全

-医院工作人员因工作需要使用肿瘤信息时，应遵循“最小化授权”原则，仅授予其完成工作所需的最低权限。授权过程应经过严格的审批流程，记录授权人员、授权时间、授权内容等信息。

-禁止将肿瘤信息泄露给无关人员，严禁在未经授权的情况下将信息用于商业目的或其他非法用途。医院工作人员应签署保密协议，明确其在信息使用过程中的责任和义务。

-对肿瘤信息的使用情况进行审计和监控，定期检查信息使用记录，发现异常行为及时进行调查和处理。

四、人员安全意识培训

1.医院应定期组织网络设备和信息安全相关的培训，培训对象包括所有涉及网络设备操作和肿瘤信息处理的工作人员。培训内容应涵盖信息安全法律法规、医院信息安全制度、网络设备安全操作规范、信息安全防范技术等方面。

2.新入职员工应在入职后一周内接受信息安全基础知识培训，确保其了解医院的信息安全要求和自身的安全责任。培训合格后方可正式上岗操作网络设备和接触肿瘤信息。

3.定期开展信息安全意识教