医院信息系统保密制度.docxVIP

医院信息系统保密制度

一、适用范围

本制度适用于医院所有信息系统（含HIS医院信息系统、EMR电子病历系统、LIS检验系统、PACS影像系统、OA办公系统及各类移动端应用等）的规划、建设、运行、维护及数据处理全生命周期管理，涵盖系统内存储、传输、使用的患者信息、诊疗数据、管理数据、科研数据等各类电子信息，以及经系统生成或关联的纸质记录（如打印病历、检查报告等）。本制度约束对象包括医院全体工作人员（含在编职工、合同工、规培生、实习生、进修人员、外包服务人员等）、系统访问授权的外部协作单位人员（如药品供应商、设备厂商技术支持人员）及其他经审批接入医院信息系统的第三方主体。

二、管理原则

（一）最小授权原则：信息系统访问权限严格遵循“必要知晓”标准，根据岗位职能、业务需求动态配置，禁止超权限访问。

（二）全程留痕原则：所有系统操作（含登录、查询、修改、删除、导出等）须完整记录操作时间、终端IP、用户账号、操作内容及结果，日志留存期限不低于5年。

（三）动态防护原则：针对系统漏洞、数据风险及外部威胁变化，定期更新安全策略，实施技术防护措施（如加密、访问控制、入侵检测等），确保防护能力与风险等级相匹配。

（四）分级负责原则：实行“院级-部门-岗位”三级责任体系，明确各级管理人员及操作用户的保密职责，将保密要求纳入岗位职责与绩效考核。

三、组织架构与职责

（一）医院保密管理委员会

由院长任主任，分管信息、医疗、护理、质控的副院长任副主任，成员包括信息中心、医务科、护理部、质控科、保卫科、人事科、纪检监察室等部门负责人。主要职责：

1.审议医院信息系统保密策略、制度及重大安全事件处置方案；

2.审批核心数据访问权限、跨部门数据共享需求及第三方系统接入申请；

3.监督保密制度执行情况，对重大违规行为作出处理决议；

4.每年至少召开2次专题会议，研究解决信息系统保密工作中的突出问题。

（二）信息中心

作为信息系统保密工作的技术执行部门，设专职安全管理员（不少于2人），主要职责：

1.制定信息系统安全技术方案（含访问控制、加密传输、日志管理等）并组织实施；

2.定期开展系统安全检测（漏洞扫描、渗透测试等），及时修复安全隐患；

3.监控系统运行状态，对异常操作（如高频次查询、跨科室数据访问、大文件导出等）进行预警并核查；

4.管理系统账号权限，定期（每季度）清理冗余账号，审核权限变更申请；

5.保管系统密钥、备份介质等核心安全资源，建立登记台账；

6.组织信息系统保密技术培训，指导各部门落实保密措施。

（三）科室保密员

各临床、医技、行政科室指定1名工作人员（原则上为科室秘书或质控员）担任保密员，主要职责：

1.监督本科室人员信息系统操作行为，纠正违规操作（如共享账号、私存数据等）；

2.审核本科室人员系统权限申请，对超出岗位职责的权限需求提出异议；

3.配合信息中心开展本科室数据安全检查，提供操作日志等相关材料；

4.组织本科室人员参与保密培训，传达最新保密要求；

5.报告本科室发现的信息泄露隐患或疑似事件。

（四）操作用户

所有使用信息系统的人员（以下简称“用户”）须履行以下义务：

1.严格遵守系统操作规范，不得越权访问、复制、传播信息；

2.妥善保管个人账号及登录凭证（密码、数字证书等），禁止转借或共享；

3.发现系统异常（如账号被盗、数据错误、访问限制失效等）立即报告信息中心；

4.离职或调离岗位时，配合完成账号注销、数据交接及保密承诺确认。

四、数据分类与标识管理

（一）数据分级标准

医院信息系统数据按敏感程度分为三级，实行差异化保护：

1.核心数据：涉及患者隐私及医疗安全的关键信息，包括但不限于：

-患者个人身份信息（身份证号、联系方式、住址、社保/医保编号等）；

-诊疗核心数据（基因检测结果、精神类疾病诊断、传染病史、隐私部位影像等）；

-医疗质量数据（重大医疗过失记录、患者投诉处理细节等）；

-科研原始数据（涉及受试者个人信息的临床研究数据）。

2.重要数据：支撑医疗业务正常运行的关键业务数据，包括但不限于：

-电子病历正文（主诉、现病史、检查检验结果、治疗方案等）；

-药品/耗材管理数据（特殊药品使用记录、高值耗材流向）；

-财务数据（单病种成本、职工薪酬明细）；

-设备管理数据（精密医疗设备维修记录、校准参数）。

3.一般数据：非敏感且不直接影响医疗安全或患者权益的信息，包括但不限于：

-医院公共信息（科室分布、专家门诊时间、健康