医院信息系统安全规范.docxVIP

医院信息系统安全规范

1总则

1.1制定目的

为规范医院信息系统（以下简称HIS，含电子病历系统EMR、医学影像系统PACS、检验信息系统LIS、收费结算系统、医保对接系统、物资管理系统等全业务信息系统）的安全管理，防范数据泄露、系统瘫痪、ransomware攻击等安全事件，保障医疗业务连续性、患者信息保密性、医疗数据完整性，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《网络安全等级保护2.0标准》等法律法规及行业要求，结合医院实际运营场景制定本规范。

1.2适用范围

本规范适用于医院所有涉及信息系统建设、运维、使用、对接的部门、人员，以及为医院提供信息系统开发、运维、技术服务的第三方机构及人员。

1.3基本原则

医院信息系统安全管理坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，落实安全建设与业务发展同步规划、同步建设、同步使用的“三同步”要求，构建“技术防护+制度管理+应急处置”三位一体的安全防护体系。

2安全管理组织与职责

2.1领导机构

成立由医院院长任组长，分管信息工作的副院长任副组长，信息科、医务科、护理部、财务科、医保科、设备科、后勤保障科、门诊部、住院部负责人为成员的网络安全与数据安全工作领导小组，全面负责医院信息系统安全工作的统筹决策、资源调配、责任落实。领导小组