医院网络安全责任书.docxVIP

医院网络安全责任书

为加强医院网络安全管理，明确网络安全责任主体及具体职责，保障医院信息系统稳定运行，保护患者隐私及医疗数据安全，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》《医疗信息系统安全等级保护基本要求》等法律法规及行业规范，结合医院实际情况，制定本责任书。

一、责任主体

甲方：XX医院（以下简称“医院”），法定代表人：XXX，地址：XX省XX市XX区XX路XX号。

乙方：XX部门（或XX岗位，具体根据责任归属确定，如信息中心、XX临床科室、XX行政部门等），负责人：XXX，联系方式：XXX（仅为内部办公电话，不公开）。

本责任书适用于医院所有涉及网络安全管理、系统运维、数据使用的部门及个人，包括但不限于信息中心、临床科室、医技科室、行政职能部门、外包服务供应商（需单独签署补充协议）等。乙方作为具体责任主体，需严格履行本责任书规定的各项义务。

二、责任范围

本责任书覆盖医院网络安全全生命周期管理，具体包括：

1.信息系统：医院核心业务系统（HIS医院信息系统、EMR电子病历系统、LIS检验系统、PACS影像系统、合理用药系统等）、管理信息系统（OA办公系统、人力资源系统、财务管理系统等）、互联网医疗系统（互联网医院平台、患者服务APP、微信公众号等）。

2.数据资产：患者个人信息（姓名、身份证号、联系方式、诊疗记录等）、医疗数据（检验检查结果、影像资料、病历文档等）、医院运营数据（财务报表、人员信息、设备管理数据等）。

3.网络基础设施：医院内网（核心交换机、汇聚交换机、接入交换机）、外网（互联网出口、虚拟专用网VPN）、无线局域网（Wi-Fi覆盖区域、无线接入点AP）、终端设备（医生工作站、护士站电脑、自助机、移动查房PAD、打印机、监控摄像头等）。

4.安全防护体系：防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）、杀毒软件、漏洞扫描工具、数据加密设备、日志审计系统、终端安全管理系统（EDR）等。

三、甲方（医院）主要职责

1.制度与策略制定：负责制定医院网络安全总体策略、管理制度及操作规范，包括但不限于《网络安全管理办法》《数据分类分级保护制度》《信息系统访问控制规则》《终端设备管理规定》《网络安全事件应急预案》等，并根据法律法规更新及医院业务发展动态修订。

2.资源保障：为网络安全工作提供必要的人力、财力、物力支持，包括配备专职网络安全管理人员（至少2名注册信息安全专业人员CISP）、定期采购安全防护设备及服务（如年度漏洞扫描、渗透测试）、保障安全运维经费（不低于年度信息化预算的15%）。

3.培训与教育：组织全院网络安全培训，每年至少开展2次全员培训（涵盖法律法规、安全意识、操作规范）、1次重点岗位专项培训（如信息中心、临床科室系统管理员），培训覆盖率需达100%，留存培训记录（签到表、课件、考核成绩）。

4.监督与检查：通过信息中心日常巡查、第三方机构专项审计（每年1次）、上级主管部门抽查等方式，对乙方网络安全责任落实情况进行监督，检查内容包括制度执行、设备状态、日志记录、事件处置等，形成检查报告并反馈整改要求。

5.应急协调：统筹医院网络安全事件应急处置，成立应急指挥部（由分管信息化副院长任组长，信息中心、医务科、保卫科等部门负责人为成员），负责跨部门协调、外部资源对接（如公安网安部门、卫生健康信息中心）及事件上报（重大事件需在2小时内报告）。

四、乙方（具体责任部门/岗位）主要职责

（一）通用责任

1.遵守制度规范：严格执行医院制定的网络安全管理制度及操作规范，熟悉本部门涉及的信息系统、数据资产及网络设备的安全要求，不得以任何理由绕过安全控制措施（如禁用杀毒软件、关闭防火墙、使用默认弱口令）。

2.安全使用终端设备：

-所有终端设备（包括个人办公电脑、移动查房PAD、自助机等）需完成医院注册备案，绑定使用人及IP地址，未经批准不得接入非注册设备。

-终端设备需安装医院统一的杀毒软件（如XX杀毒）、终端安全管理软件（如XXEDR），并保持实时更新；禁止安装非必要软件（如游戏、视频播放器），确需安装业务相关软件的，需经信息中心审批。

-移动设备（如PAD、U盘）需严格管理：移动查房PAD仅限在院内使用，外出携带需登记备案；存储患者数据的U盘需加密（AES-256），禁止外借或连接私人电脑；设备丢失后需立即报告信息中心，启动数据擦除流程。

3.保护数据安全：

-严格遵循“最小必要”原则访问数据，仅获取完成岗位职责所需的最小数据范围（如医生仅访问本科室患者病历，护士仅查看护理相关信息），禁止越权查询、下载、复制