医疗信息安全风险评估制度.docxVIP

医疗信息安全风险评估制度

医疗信息安全风险评估是医疗机构保障患者信息安全、维护医疗业务连续性、满足法律法规要求的核心管理手段。本制度以《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗质量安全管理办法》《卫生行业信息安全等级保护工作的指导意见》等法律法规及行业规范为依据，结合医疗机构信息系统特性，明确风险评估的全流程管理要求，确保评估过程科学、客观、可追溯，评估结果有效指导信息安全防护体系优化。

一、评估对象与范围

风险评估对象覆盖医疗机构信息系统全生命周期涉及的所有要素，具体包括：

1.基础设施层：含服务器、存储设备、网络设备（交换机、路由器、防火墙、入侵检测系统等）、终端设备（医生工作站、护士站终端、自助机、移动查房设备等）、机房环境（供电系统、制冷系统、物理访问控制装置）等硬件设施，以及操作系统、数据库系统、中间件等基础软件。

2.数据资产层：以患者为核心的诊疗数据（电子病历、影像数据、检验检查报告、用药记录）、个人信息（姓名、身份证号、联系方式、住址）、医疗支付信息（医保卡号、结算记录），以及医疗机构运营数据（财务信息、员工信息、设备管理数据）、科研数据（临床研究数据、统计分析数据）等，需区分静态存储数据与动态传输数据。

3.应用系统层：各类业务系统（HIS医院信息系统、EMR电子病历系统、LIS实验室信息系统、PACS影像归档与通信系统、RIS放射信息系统、体检系统、互联网医院平台）、管理系统（OA办公系统、人力资源系统、物资管理系统）及接口系统（与医保平台、卫健委监管平台、第三方检验机构的对接系统）。

4.管理与人员层：信息安全管理制度（访问控制、数据备份、应急响应、权限管理等制度）、操作流程（系统登录、数据修改、权限审批等流程）、人员角色（信息科技术人员、临床医护人员、管理人员、外包服务人员）的安全意识与操作合规性。

二、评估原则

1.合规性原则：严格遵循国家及行业法律法规要求，重点覆盖《个人信息保护法》中“最小必要”“知情同意”原则，《数据安全法》中数据分类分级保护要求，以及《信息安全技术个人信息安全规范》（GB/T35273）对个人信息处理活动的具体规定。

2.动态性原则：建立“日常监控+定期评估+事件触发”的动态评估机制。常规评估周期为每年1次；当信息系统发生重大变更（如系统升级、数据迁移、网络架构调整）、发生信息安全事件（如数据泄露、系统宕机）或外部监管要求变化时，需立即启动专项评估。

3.最小影响原则：评估过程需优先选择非侵入式方法（如文档审查、日志分析），减少对业务系统运行的干扰；确需实施侵入式测试（如渗透测试）时，需选择业务低峰期（如夜间或周末），并提前3个工作日向业务部门报备，制定应急预案。

4.全员参与原则：评估团队需涵盖信息安全管理部门、信息技术部门、临床业务部门、法律合规部门代表，确保技术风险与业务影响的双重维度分析。

三、评估流程与操作要求

（一）评估准备阶段

1.组建评估团队：由分管信息安全的院领导任组长，信息中心主任任副组长，成员包括信息安全工程师（2-3名）、临床科室信息联络人（每科室1名）、合规专员（1名）、第三方评估机构专家（必要时）。团队需明确分工：技术组负责系统检测与漏洞分析，业务组负责业务影响评估，合规组负责法律符合性审查。

2.制定评估计划：根据评估目标（如年度合规检查、系统升级前风险排查），明确评估范围、时间节点（准备阶段5个工作日、实施阶段15个工作日、报告阶段7个工作日）、技术工具（漏洞扫描工具选择Nessus或Qualys，渗透测试工具使用BurpSuite或Metasploit）、数据收集清单（包括系统架构图、权限分配表、近6个月安全事件记录、数据流程图等）。

3.资料收集与确认：技术组收集信息系统拓扑图、资产清单（含设备IP地址、责任人、用途）、安全策略文档（如防火墙规则、访问控制列表）；业务组收集业务流程图（如患者就诊全流程数据流转）、关键业务中断影响分析（如HIS系统宕机30分钟对门诊量的影响）；合规组收集近3年监管检查整改记录、患者投诉数据泄露案例。

（二）评估实施阶段

1.资产识别与赋值

-资产分类：按技术属性分为硬件、软件、数据、服务；按业务属性分为关键资产（如电子病历系统、PACS系统）、重要资产（如OA系统）、一般资产（如公共查询终端）。

-资产赋值：从保密性（患者隐私数据赋值5分，运营数据赋值3分）、完整性（诊疗数据赋值5分，统计数据赋值2分）、可用性（HIS系统赋值5分，体检预约系统赋值3分）三个维度，采用5分制（1分最低，5分最高）进行量化评分，形成《资产价值评估表》。

2.威胁识别与分析

-威胁分类：外部威胁（网络攻击如SQL注入、勒索软件；物理