医院云平台安全管理实施细则.docxVIP

医院云平台安全管理实施细则

第一章总则

1.1制定目的

为规范医院云平台全生命周期安全管理，防范网络攻击、数据泄露、系统中断等安全事件，保障医疗业务连续运行、患者数据安全合规，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《网络安全等级保护基本要求》（GB/T22239-2019）、《健康医疗数据安全指南》等法律法规及标准，结合医院实际业务场景制定本细则。

1.2适用范围

本细则适用于医院所有云平台相关场景，包括但不限于公有云承载的互联网诊疗、预约挂号、报告查询系统，私有云承载的HIS、EMR、LIS、PACS等核心业务系统，混合云跨域数据交互场景，以及云平台配套的计算资源、存储资源、网络资源、安全组件、运维工具、第三方接入系统的安全管理；覆盖云平台规划、建设、上线、运行、运维、下线全生命周期各环节。

1.3安全目标

等保合规：云平台承载的三级业务系统100%符合等保2.0三级要求，二级业务系统100%符合等保2.0二级要求，每年等保测评通过率100%；

数据安全：健康医疗数据全生命周期泄露事件发生率为0，敏感数据脱敏率100%，数据备份成功率100%，数据恢复时间目标（RTO）≤4小时，数据恢复点目标（RPO）≤30分钟；

业务连续：核心业务系统年可用率≥99.99%，非核心业务系统年可用率≥