卫生院信息安全自查整改报告.docxVIP

卫生院信息安全自查整改报告

为贯彻落实国家卫生健康委员会《关于加强全民健康信息安全保障工作的指导意见》及省、市卫生健康部门关于信息安全管理的相关要求，切实保障我院信息系统稳定运行和患者隐私数据安全，我院于2023年6月1日至6月30日开展了为期一个月的信息安全全面自查工作。本次自查覆盖信息系统全生命周期管理、网络安全防护、数据安全保护、终端设备管控及应急响应能力等核心领域，通过制度核查、技术检测、现场访谈等方式深入排查风险隐患，并针对问题制定整改方案，于7月1日至7月31日完成集中整改。现将具体情况报告如下：

一、自查工作组织与实施

为确保自查工作系统性、规范性，我院成立了由分管副院长任组长，信息科、医务科、护理部、院感科、财务科等部门负责人为成员的信息安全自查领导小组，制定《XX卫生院信息安全自查工作方案》，明确自查范围、标准、责任分工及时间节点。组织召开专题培训会3次，邀请市卫健委信息中心专家进行《卫生行业信息安全等级保护2.0标准》《个人信息保护法》等专题授课，覆盖临床、医技、行政等岗位人员216人次，确保全员掌握信息安全基本要求。

自查过程中，信息科牵头组建技术核查组，采用“制度+技术”双轨模式：一方面对照《信息安全管理制度汇编》《网络安全事件应急预案》等12项制度文件，核查制度完整性、执行有效性；另一方面利用漏洞扫描工具（Nessus）对核心业务系统（HIS、电子病历、LIS、PACS）进行安全检测，对127台终端设备开展弱口令筛查、非法软件安装检查，对数据存储服务器（包括本地存储、云端备份）进行访问权限审计。同时，通过随机抽取50份患者电子病历、30条检查检验报告，核查数据访问日志的完整性与可追溯性；对收费窗口、药房、医生工作站等高频操作场景进行现场巡查，观察工作人员是否落实“人离锁屏”“账号专用”等安全规范。

二、自查发现的主要问题

通过全面排查，共梳理出信息安全风险点17项，主要集中在制度执行、技术防护、人员意识三个层面：

（一）制度层面

1.部分制度条款滞后于业务发展。现行《信息系统权限管理制度》制定于2020年，未涵盖2022年新上线的远程会诊系统权限分配规则，导致该系统存在“默认全权限”现象，6名临床医生账号可访问非本科室患者病历。

2.数据安全责任落实不够细化。《患者隐私保护制度》仅笼统规定“不得泄露患者信息”，未明确不同岗位（如收费员、护士、信息管理员）的具体操作权限及违规处罚标准，导致2例因收费员误操作将患者手机号导出至公共U盘的事件。

（二）技术防护层面

1.网络边界防护能力不足。互联网接入区仅部署传统防火墙，未启用入侵防御系统（IPS），6月15日监测到1起针对HIS系统的SQL注入攻击尝试，因防火墙规则未及时更新，攻击流量一度穿透至业务服务器边界。

2.终端设备管理存在漏洞。32台门诊医生工作站终端未安装统一杀毒软件（部分医生自行卸载），其中7台检测出“勒索病毒”感染痕迹（均为历史残留，未造成数据损失）；15台护士站终端存在弱口令（如“123456”“admin”），占护士站终端总数的34%。

3.数据备份与恢复机制不完善。核心业务数据库采用每日一次全量备份，但未配置异地容灾备份，且最近3个月仅开展1次恢复测试（要求每季度至少2次），恢复时间超过4小时（目标为2小时内）。

（三）人员意识层面

1.安全操作规范执行不到位。现场巡查发现，12名工作人员存在“账号共享”现象（如值班医生借用他人账号登录电子病历系统）；8个科室未落实“人离锁屏”要求，其中药房窗口因未锁屏导致1名患者误触打印了他人检验报告。

2.应急处置能力薄弱。6月20日开展的“服务器宕机”应急演练中，信息科3名值班人员对《网络安全事件应急预案》流程不熟悉，设备切换操作耗时18分钟（标准为10分钟内），且未及时向领导小组汇报事件进展。

三、整改措施与落实情况

针对自查发现的问题，我院立即召开整改专题会议，制定《信息安全问题整改清单》，明确责任部门、整改时限及验收标准，确保“一问题一方案”。

（一）制度优化与责任压实

1.修订完善制度体系。组织信息科、医务科、法规科对现有12项制度进行全面梳理，新增《远程会诊系统权限管理办法》《患者数据访问审计规范》2项制度，修订《信息系统权限管理制度》《患者隐私保护制度》等5项制度，重点细化远程会诊、移动护理等新业务场景的权限分配规则（如远程会诊账号仅开放“查看”“下载”权限，禁止“修改”“删除”），明确各岗位数据操作“正面清单”与“负面清单”（如收费员仅可访问患者姓名、缴费金额，禁止查看诊断结果）。

2.强化责任落实。将信息安全纳入科室年度考核指标（占比10%），与科主任、护士长签订《信息安全责任