医院信息网络安全工作计划.docxVIP

医院信息网络安全工作计划

作为在医院信息科摸爬滚打了十年的“老网安”，我太清楚信息网络安全对一家医院意味着什么——患者的电子病历、检验检查数据、医保结算记录、药品库存信息……这些关系着诊疗安全、患者隐私甚至医院生存的核心数据，全在网络这张“网”上跑。说句实在的，我们信息科最怕半夜接到电话——“系统登不上去了”“检查报告传不过来”。过去几年，科室经历过钓鱼邮件导致的终端中毒，遇到过老旧系统漏洞引发的局部断网，也见证了国家对医疗行业网络安全监管的层层加码。痛定思痛，今年必须把网络安全工作做细、做深、做扎实。结合医院实际需求与行业最新标准，现制定本年度信息网络安全工作计划如下：

一、工作目标：织密“防护网”，守住“生命线”

本年度网络安全工作的核心目标可概括为“三零两提升”：

“三零”：全年信息系统零重大安全事件（即因网络攻击或安全漏洞导致核心业务中断超2小时、患者隐私数据泄露超500条的事件）、关键业务系统零高危漏洞未修复、外部攻击零成功渗透；

“两提升”：全员网络安全意识达标率从去年的72%提升至95%以上，安全事件应急响应平均时间从40分钟压缩至20分钟以内。

这组目标不是拍脑袋定的。去年年底，我们梳理了近三年的安全事件台账：80%的小事故源于医护人员误点钓鱼链接，65%的漏洞修复延迟是因为对风险等级判断模糊，而唯一一次“险棋”——某第三方厂商系统被植入勒索病毒，正是因为应急响应慢了半小时，差点导致全院影像系统瘫痪。今年的目标，既是对过去问题的“精准打击”，也是对患者和临床科室的一份承诺。

二、重点任务：从“被动补漏”到“主动防御”

理清了目标，接下来要明确具体该“做什么”“怎么做”。结合医院信息化建设现状与等保2.0、医疗行业数据安全规范等要求，我把重点任务拆解成四个核心板块，环环相扣、由表及里。

（一）扎紧制度“篱笆”：让安全要求“有章可循”

制度是网络安全的“根基”。过去我们的制度文件不少，但存在“重制定、轻执行”“条款笼统、操作性差”的问题。今年要重点做好三件事：

第一，修订完善制度体系。以《个人信息保护法》《数据安全法》和《医疗卫生机构网络安全管理办法》为依据，重新梳理《医院信息系统安全管理制度》《数据访问权限管理办法》《第三方系统接入安全规范》等12项制度。比如，原《数据访问权限管理办法》只写“按岗位职责分配权限”，这次要细化到“医生仅能访问本科室患者数据，护士仅能查看所管床位患者的基础信息”，并明确“权限申请-审批-开通-注销”全流程时限（申请后24小时内完成审批）。

第二，压实责任链条。过去网络安全责任多落在信息科头上，但“谁使用、谁负责”的理念没落实到位。今年要推动将网络安全纳入科室主任、护士长的岗位职责，签订《网络安全责任书》，明确临床科室需承担“终端设备安全管理、人员安全培训参与、异常情况及时上报”等责任。比如，护士站电脑若因私接U盘导致病毒感染，除信息科处理技术问题外，科室负责人也要承担管理责任。

第三，建立常态化检查机制。每季度由信息科联合院办、审计科开展一次网络安全专项检查，内容包括终端设备是否安装杀毒软件、账号是否多人共用、重要数据是否定期备份等。检查结果与科室绩效考核挂钩（占比3%），对连续两次检查不合格的科室，在院周会上通报批评。

（二）筑牢技术“城墙”：让攻击行为“无处下手”

技术防护是网络安全的“硬支撑”。结合去年漏洞扫描结果（全院系统共发现高危漏洞23个、中危漏洞56个）和外部威胁监测数据（日均拦截恶意攻击200余次），今年重点在三个方向发力：

强化边界防护与终端管控

升级防火墙与入侵检测系统（IDS）：原有防火墙策略已使用3年，规则老旧，今年将引入基于AI的智能防火墙，自动识别“仿冒医院OA系统”“伪装成检查报告附件”等新型攻击特征；同时，将IDS监测范围从核心服务器扩展至所有接入内网的终端（包括医护手机、检查设备），一旦发现异常外联（如终端尝试连接境外IP），立即阻断并预警。

推行“零信任”终端管理：不再默认内网绝对安全，所有终端接入网络前需验证“设备序列号+登录账号+动态验证码”三重身份。特别是医生、护士使用的移动终端（如查房平板），必须开启“设备定位+屏幕锁+数据加密”功能，若设备丢失，可远程锁定并删除敏感数据（如患者检查报告）。

深化数据安全保护

实施数据分类分级管理：将数据分为“公共数据（如医院介绍）、内部数据（如员工通讯录）、敏感数据（如患者身份证号）、核心数据（如电子病历）”四级，对后两级数据采取“加密存储+访问审计+脱敏输出”措施。比如，对外提供统计数据时，患者姓名、身份证号必须脱敏（显示为“张*”）。

部署数据库审计系统：过去数据库操作只有简单日志，无法追踪“谁在什么时间查了哪些数据”。今年将上线数据库审计工具，对“查询、修改、删除”等操作全程记录