医院信息安全制度

医院信息安全制度

1.目的：为保证医院计算机网络的正常运行和健康发展，针对医院信息安全，保障医院保密信息不泄露，特制定本制度。

2.范围：全院。

3.定义

3.1计算机网络系统：指为医疗、教育和科研而建立的计算机信息系统，其目的是利用计算机技术和网络通信技术，实现联网和信息资源共享。信息保密主要分为院内网和因特网（Internet）二大区域中的信息。

3.2信息安全：保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

4.权责

4.1医学工程与信息部：负责院内网的规划、建设、应用开发、运行维护与用户管理；负责院内IP地址的分配工作，负责内网电脑屏蔽U盘等存储接口的管理操作，屏蔽隔离操作的日常检查工作及数据库的日常维护工作。

4.2药学部：负责维护内网HIS系统药品基础数据的维护工作。

4.3财务部：负责维护内网HIS系统非药品基础数据的维护工作。

4.4医务部：负责分配内网医生的操作权限。

4.5护理部：负责分配内网护土的操作权限。

4.6人力资源部：负责维护内网HIS系统员工基本信息。

4.7医院办公室：负责收集全院各类新闻、通知、公告等，院办对全院的公告、新闻、通知等类别信息的更改进行审核和确认。

5.制度内容

5.1医院局域网（院内网）信息安全保密管理

5.1.1医院局域网（院内网）的工作人员和连入院内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规，严格执行本条例。

5.1.2院内网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参与，建立健全医院的计算机网络安全管理制度，配备信息联络员，负责本部门内网络的信息安全管理工作。

5.1.3院内网的管理部门是医学工程与信息部，负责院内网的规划、建设、应用开发、运行维护与用户管理。保障网络信息、运行环境的安全；保障网络系统的正常及安全运行，用户上网采用工号登陆方式。

5.1.4院内网的信息安全监查工作由医学工程与信息部负责。院内网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采取的必要措施给予配合。

5.1.5院内网的计算机一律不准上公共网络（ Internet），与公共网络严格物理隔离，以防止病毒的感染和扩散。

5.1.6院内网的IP地址由医学工程与信息部统一管理，任何人

不得擅自更改。

5.1.7为了防止计算机病毒的侵入，凡接入院内网工作站的一律禁止使用软驱、光驱、移动硬盘、U盘等设备。如果要安装必要新的应用程序，必须事先向医学工程与信息部申请并征得同意后，由医学工程与信息部派专人在固定的机器上确保无病毒后再操作，同时做如操作记录。

5.1.8禁止自行安装任何软、硬件，禁止更改、删除任何系统文件、设置等，违反规定造成病毒传播、系统软（硬）件损坏，对整个网络造成堵塞、瘫痪等严重后果的，按情节轻重严肃处理。

5.1.9每台计算机必须安装防病毒软件，并定期对计算机进行查毒、杀毒，升级，落实预防措施。

5.1.10在院内网上不允许进行任何干扰网络用户、破坏网络服务和网络设备的活动。任何人不得盗用他人用户名和密码，妥善保管个人操作权限，并在离开电脑终端时及时退出所操作的系统，每位员工的密码每个季度定期更换1次，届时在登录系统进行操作时应用系统提醒其修改密码。医疗临床系统在一定时间内会自动屏幕锁定，必须输入密码才能解锁。

5.1.11院内网所有工作人员及用户必须对所提供的信息负责。任何人未经授权不得修改数据库数据，包括存档病人资料及相关管理数据，未经授权不得泄露病人信息，包括病人基本信息、检查结果、诊断信息、和医嘱信息等。接入其他公共信息网络的计算机（含笔记本电脑）不得处理、存储涉密信息，存储涉及工作秘密的涉密移动存

储介质（含移动硬盘、优盘、软盘、光盘等）不得接入或安装在非涉密计算机上，复制和确因工作需要外出携带涉密存储介质的，须经主管领导批准。

5.1.12各接入计算机信息系统（HIS， PACS， LIS等）部门要对医院信息资料的保密性负责，严禁外来人员登录医院信息系统查询、打印有关信息资料。外来人员要求医学工程与信息部查阅个人就诊记录的，则需凭本人身份证和病历本到医务部或者医院办公室以及其他相应职能科室负责人填写的《信息需求申请单》，若非本人（如公安司法机构、保险公司等）米查阅信息，则需提供单位介绍信、取信息者的身份证和就诊者身份证以及医务部或者医院办公室或者其他相应职能科室负责人填写的《信息需求申请单》。

5.1.13涉及工作秘密的计算机（含笔记本电脑）和计算机信息系统，不得直接或间接地与其他公共信息网络相连接，必须实行物理隔离，以防止病毒的感染和扩散。涉密计算机（含笔记本电脑）专人专用，严禁擅自将涉密计算机（含笔记本电脑）带出办公场所。

5.1.14系统软件、应用软件及信息数据必须实施保密措施。信息保密资源面向区域主要分为以下几块，其中除可向因特网（医院外网）公开的信息外均属于保密信息。

5.1.14.1可向院内网公开的：由各科室科主任或负责人向医学工程与信息部提交文件资料，信息科负责操作。

5.1.14.2可向部门公开的：内网上有些模块设置权限，如不良事件报告系统（医疗不良事件、护理不良事件、药品不良事件），本

科室的只能看到本科室的不良事件，制定部门工作人员（医务科、护理部、药剂科主任）能看到所有上报的不良事件。

5.1.14.3仅限于个人使用的：医院OA办公系统，工资奖金系统，需要使用本人工号和密码登录，只能查看与本人有关的信息。

5.1.15凡因违章操作，导致计算机系统病毒感染，造成严重后果者将追究当事人责任。使用人员必须加以爱护、保持整洁，并保证良好的使用环境。

5.1.16院内网的所有用户有义务向网络管理员和有关部门报告违法犯罪行为和有害、不健康的信息，如发现有上述行为者，用户必须在24小时内报告医学工程与信息部。

5.1.17为了切实做好病毒防治工作，确保医院的计算机网络不会因感染病毒而造成停机和不必要的损失，全院各部门必须服从医学工程与信息部人员的管理，积极配合做好工作。

5.2信息数据安全管理

5.2.1信息数据定义：医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、病历、药品、材料、价格、费用等信息的数字化表现形式。

5.2.2管理总则：医院信息数据的安全性直接关系到医院决策和患者的利益，任何人在未经授权的情况下不得擅自改动和查询医院的信息数据。

5.2.3信息数据故障

5.2.3.1系统升级、变更、数据库死锁、软件设计缺陷等系统原