医疗信息化安全与隐私保护手册（执行版）.docxVIP

医疗信息化安全与隐私保护手册（执行版）

第1章总则与合规管理

1.1法律法规与标准体系解读

依据《中华人民共和国网络安全法》第二十一条规定，网络运营者应当制定网络安全事件应急预案，定期组织演练。医疗机构作为特殊行业，更需遵循《数据安全法》第三十八条关于个人信息保护的要求，建立专门的数据保护制度。必须对照GB/T22239-2019《信息安全技术网络安全等级保护基本要求》（等保2.0）进行合规自查，确保信息系统划分为三级，三级系统需满足三级安全要求。

需严格遵循《个人信息保护法》第五十一条，明确个人信息处理者应当制定个人信息保护策略，并开展个人信息保护影响评估（PIA）。依据《医疗卫生机构信息安全管理办法》（卫医发〔2022〕4号），医疗数据实行分类分级管理，核心医疗数据应部署在专用的医疗数据服务器中。应落实《电子签名法》第十三条，利用数字证书（CA认证）对电子病历、处方流转、检验报告等关键业务数据进行签名，确保法律效力。

需参照《信息安全技术网络安全分级保护技术要求》（GB/T22240-2020），对医院HIS、EMR等核心系统进行定级，并据此配置相应的安全产品。

1.2组织信息安全责任体系构建

医院应成立由院长任组长、医务科、信息科、护理部、医保办等部门负责人组成的“医院信息安全领导小组”，明确各方职责分工。建立“首问负责制”和“全