综合医院网络安全管理指南.docxVIP

综合医院网络安全管理指南

一、总则

1.1编制目的

为强化综合医院网络安全保障能力，规范网络安全管理流程，有效防范网络攻击、数据泄露、系统瘫痪等安全事件，保障医疗业务连续性、患者数据隐私安全及医院核心资产安全，依据相关法律法规及行业标准，制定本指南。

1.2编制依据

本指南依据以下法律法规、行业标准及上级文件编制：

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《网络安全等级保护条例》

《医疗卫生机构网络安全管理办法》

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

《健康医疗数据安全指南》（GB/T39725-2020）

国家卫生健康委员会《关于加强医疗卫生机构网络安全管理的通知》

1.3适用范围

本指南适用于综合医院内所有与网络安全相关的部门、岗位及人员，涵盖医疗业务系统、办公系统、物联网设备、医疗数据、网络基础设施等所有网络安全管理对象。同时，适用于为医院提供技术服务、数据处理的第三方服务商。

1.4基本原则

安全与业务协同原则：以保障医疗业务正常开展为核心，平衡安全防护与业务效率，避免过度防护影响诊疗服务。

最小权限原则：所有人员、设备、系统的访问权限均遵循“必要、最小、临时”原则，严禁超权限操作。

分层防护原则：针对不同安全域、不同重要程度的资产，实施分层、分类的差异化安全防护措施。