2026年医疗卫生机构网络安全管理办法.docxVIP

2026年医疗卫生机构网络安全管理办法

第一条为规范医疗卫生机构网络安全管理，保障网络数据安全和信息系统稳定运行，维护患者隐私及机构正常诊疗秩序，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，结合医疗卫生行业特点，制定本办法。

第二条本办法适用于中华人民共和国境内依法设立的各类医疗卫生机构（含医院、基层医疗卫生机构、专业公共卫生机构及社会办医机构）的网络安全管理活动，包括信息系统建设、运行维护、数据处理及第三方合作中的安全保障。

第三条医疗卫生机构网络安全管理遵循以下原则：

（一）分级保护原则。根据机构规模、业务类型、数据敏感程度实施差异化防护，重点保障诊疗核心系统、患者个人信息及生物健康数据安全；

（二）动态防御原则。结合技术发展和威胁变化，持续优化安全策略，构建“监测-防护-响应-恢复”闭环管理机制；

（三）责任到人原则。明确法定代表人、分管负责人、部门及岗位的安全职责，确保管理要求可落实、可追溯；

（四）最小必要原则。数据采集、存储、使用严格限定于业务必需范围，避免过度收集和冗余留存。

第二章安全责任体系

第四条医疗卫生机构法定代表人是网络安全第一责任人，全面领导网络安全工作，履行以下职责：

（一）批准网络安全战略规划、年度计划及重大投入；

（二）定期听取网络安全工作汇报（每季度至少1次），研究解决重大安全问题；

（三）推动网络安全与业务发展同部署、同落实、同考核。

第五条分管网络安全工作的负责人（可由信息化分管负责人兼任）承担直接管理责任，具体职责包括：

（一）组织制定网络安全管理制度、技术规范及应急预案；

（二）协调业务部门与信息部门协同落实安全要求；

（三）监督安全事件处置及整改措施执行。

第六条设立网络安全管理部门（可与信息化部门合署，但需明确专职岗位），配备至少2名专职网络安全管理人员（三级医院应不少于5名），负责日常管理工作：

（一）实施网络安全监测、风险评估及漏洞修复（每月至少1次全面扫描）；

（二）审核信息系统上线、数据共享及第三方合作的安全方案；

（三）组织安全培训与应急演练（每半年至少1次全员培训，每年至少2次实战演练）；

（四）建立安全日志留存机制（至少保存6个月，重要日志保存1年以上）。

第七条业务部门负责人对本部门使用的信息系统及处理的数据承担直接安全责任，需落实：

（一）用户权限最小化配置（根据岗位职责设定访问范围，禁止默认全权限）；

（二）终端设备安全管理（禁止私接存储设备，移动办公设备需安装安全管理软件）；

（三）数据使用审批（对外提供数据需经业务部门负责人、网络安全部门负责人双审批）。

第三章数据安全管理

第八条医疗卫生机构应建立数据分类分级管理制度，明确以下数据类别及保护等级：

（一）一级数据（最高等级）：患者个人敏感信息（身份证号、联系方式、生物识别信息）、诊疗核心数据（电子病历、检验检查结果、用药记录）、突发公共卫生事件相关数据；

（二）二级数据：机构运营数据（财务信息、设备管理数据）、非核心诊疗数据（一般健康档案、预约信息）；

（三）三级数据：公开信息（机构简介、科室介绍、普通科普内容）。

第九条数据采集环节需遵守：

（一）通过信息系统采集时，自动标注数据来源、采集时间及采集人；

（二）人工录入数据需双人核对，防止错误或篡改；

（三）患者信息采集需取得明确同意（通过电子签名或书面授权），法律规定可豁免的除外。

第十条数据存储环节要求：

（一）一级数据采用加密存储（推荐AES-256算法），密钥与数据分离管理；

（二）本地存储与异地备份结合（三级医院需实现双活数据中心，二级医院需至少每日异地备份）；

（三）存储设备物理访问控制（限制非授权人员接触服务器、存储介质）。

第十一条数据传输环节规范：

（一）内部传输使用符合国密标准的加密协议（如SM4），外部传输需通过虚拟专用网络（VPN）或安全网关；

（二）移动存储介质传输需登记备案，禁止通过即时通讯工具传输一级数据；

（三）与第三方机构传输数据前，需签订安全协议，明确数据用途、销毁方式及违约责任。

第十二条数据使用与共享管理：

（一）一级数据使用需记录操作日志（包括用户、时间、操作类型），关键操作（如修改、删除）需二次验证；

（二）向科研机构、保险公司等外部主体共享数据前，需进行去标识化处理（达到“无法通过合理手段复原”标准），并报卫生健康行政部门备案；

（三）严禁将患者个人信息用于商业营销，禁止向未取得合法资质的机构提供数据。

第十三条数据销