医疗信息安全风险评估和应急工作制度.docxVIP

医疗信息安全风险评估和应急工作制度

一、医疗信息安全风险评估实施规范

（一）评估范围与对象界定

医疗信息安全风险评估覆盖医院信息系统全生命周期，包括但不限于核心业务系统（电子病历系统、HIS系统、LIS系统、PACS系统）、支撑系统（数据中心、灾备中心、网络基础设施）、终端设备（医生工作站、护士站终端、移动查房设备、医疗物联网设备）及存储介质（服务器硬盘、移动存储设备、云存储平台）。评估对象包含信息资产（患者诊疗数据、检查检验结果、药品管理数据、财务结算信息等）、技术环境（网络架构、系统配置、安全防护措施）、管理体系（安全制度、操作流程、人员权限）及物理环境（机房安全、设备运维条件）。

（二）评估流程与方法体系

1.资产识别与分类分级

建立动态更新的信息资产清单，按业务关联性、数据敏感性、系统关键性进行三级分类：一级资产为直接影响患者诊疗安全或医院核心运营的系统（如电子病历系统、急诊分诊系统）及高敏感数据（患者身份证号、基因检测结果、医保结算明细）；二级资产为支撑业务协同的系统（如药品管理系统、耗材追溯系统）及中敏感数据（患者姓名、联系方式、一般检查报告）；三级资产为辅助性系统（如内部OA系统、后勤管理系统）及低敏感数据（公共通知、会议记录）。采用定性与定量结合的方法，依据《个人信息保护法》《数据安全法》及医疗行业标准（如《卫生信息数据元目录》），对每类资产标