2025年医院外包安全服务自查报告.docxVIP

2025年医院外包安全服务自查报告

一、外包安全服务自查工作概况

本次自查工作以《医疗机构安全管理规范（2023修订版）》《信息安全技术个人信息安全规范》及医院《外包服务安全管理手册（2024版）》为依据，聚焦“风险识别-问题整改-机制强化”主线，覆盖信息系统运维、后勤保障（含消防、安保、医疗废物转运）、医疗设备维护、餐饮服务四大类12项外包服务，涉及合作方7家（其中一级外包商4家，二级分包商3家）。自查周期为2025年3月1日至4月30日，通过资料调阅（核查合同、运维日志、培训记录等文件217份）、现场检查（覆盖门诊、住院、医技、行政等18个区域）、人员访谈（访谈外包人员56人、医院对接人23人）、系统检测（利用漏洞扫描工具、日志审计系统等技术手段）等方式开展，共发现安全隐患32项，其中一般风险25项、较大风险7项，已完成整改29项，剩余3项纳入持续跟踪清单（具体详见附件1《外包安全隐患整改台账》）。

二、重点领域自查情况及问题分析

（一）信息系统运维外包安全

合作方为A科技有限公司（2023年续签，服务范围：HIS、LIS、PACS、电子病历系统及医院内网运维）。自查重点为数据安全、网络安全及应急响应能力。

1.数据安全管理：

-问题1：外包人员权限管理存在漏洞。核查2025年1-3月运维日志发现，3名工程师存在超权限访问行为（其中2次为查询非负责科室患者电子病历，1次为导出检验数据），均未提前申请审批。

-问题2：数据脱敏机制未全覆盖。LIS系统外包运维过程中，部分检验报告（如HIV初筛结果）导出时未自动脱敏，存在患者隐私泄露风险。

-问题3：数据备份合规性不足。PACS系统影像数据备份频率为每周1次（合同约定应每日备份），且3月15日因存储设备故障导致1天影像数据丢失，依赖第三方恢复耗时12小时（合同约定恢复时间≤4小时）。

2.网络安全防护：

-问题4：漏洞修复滞后。3月20日使用漏扫工具扫描发现医院内网存在5个中高危漏洞（包括SSH弱口令、Web服务器跨站脚本漏洞），外包方承诺48小时内修复，但实际完成时间为72小时，期间存在被攻击风险。

-问题5：终端安全管理松散。外包工程师使用的3台运维终端未安装医院统一的终端安全管理软件（ESM），其中1台终端感染“勒索病毒”（3月28日医院监控发现，未造成数据损失）。

3.应急响应能力：

-问题6：应急预案演练不足。2025年1-4月仅开展1次网络安全事件演练（合同约定每季度至少2次），且演练场景单一（仅覆盖服务器宕机），未包含数据泄露、勒索攻击等复杂情形。

（二）后勤保障类外包安全

包含消防维保（B消防工程公司）、安保服务（C保安服务公司）、医疗废物转运（D环保科技公司）三项外包。

1.消防维保：

-问题7：设施维护不及时。3月10日现场检查住院部12层，发现2个烟感报警器故障（无报警响应），外包方维保记录显示“已检修”，但实际未更换配件；3月25日抽查门诊楼灭火器，5具干粉灭火器压力值低于绿区（其中2具接近红区）。

2.安保服务：

-问题8：监控覆盖存在盲区。地下车库B2层西北角、中药房后窗区域无监控覆盖（总面积约120㎡），3月18日该区域发生患者电动车电瓶被盗事件（无影像证据）；

-问题9：巡逻记录造假。核查3月巡逻台账，发现夜间23:00-次日6:00时段，3次巡逻记录时间间隔仅10分钟（合同约定每小时至少1次），且部分签到点（如门诊大厅东侧）实际未到达（调取监控确认）。

3.医疗废物转运：

-问题10：分类与交接不规范。3月15日检查感染性废物暂存点，发现2袋化学性废物（含废弃消毒剂）混入感染性废物（标识错误）；3月22日核查交接联单，某科室未填写“产生时间”“数量”字段（共7次记录缺失），外包方未当场要求补正。

-问题11：转运时效性不足。合同约定医疗废物“日产日清”，但3月7日、19日因转运车辆故障，感染性废物在暂存点滞留超24小时（最长28小时），存在环境污染风险。

（三）医疗设备维护外包安全

合作方为E医疗设备服务有限公司（服务范围：MRI、CT、呼吸机等15类高值设备维护）。

1.预防性维护执行不到位：核查2025年1-3月维护记录，MRI设备（型号：Siemens3.0T）应每季度进行1次预防性维护（含梯度线圈检测、冷却系统清洁），但实际仅完成1次（2月10日），3月未执行（外包方称“工程师调配冲突”）。

2.应急响应延迟：3月28日急诊室1台呼吸机故障（无法正常供气），医院10:00报修，外包方工程师12:30到达（合同约定响