医疗信息安全管理制度.docxVIP

医疗信息安全管理制度

一、总则

第一条【制定目的】

为加强医疗机构信息资产安全，保障患者隐私与医疗数据完整性、可用性、保密性，防范信息泄露、篡改、丢失及网络攻击事件，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》等法律法规，制定本制度。

第二条【适用范围】

本制度适用于本机构及其所属部门、分支机构、外包服务方在医疗信息系统建设、运行、维护、退役全生命周期中涉及的信息安全管理活动，包括但不限于电子病历、医学影像、检验检查、移动医疗、互联网医院、健康大数据平台、科研数据库、医保结算、供应链管理等系统。

第三条【基本原则】

医疗信息安全管理遵循“分级分类、最小够用、全程可控、责任到人、持续改进”原则，实行“同步规划、同步建设、同步运行”的三同步要求，确保安全技术措施与管理措施并重。

第四条【术语定义】

医疗信息：指在医疗服务与管理过程中产生、采集、存储、传输、处理、使用的，以电子或其他方式记录的患者个人信息、医疗活动信息、医学研究信息、设备日志及衍生数据。

敏感个人信息：指一旦泄露或非法使用，可能导致患者人格尊严受到侵害或人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

核心数据：指对国家安全、经济运行、社会稳定、公共健康有重大影响的医疗数据，如大规模人群