医疗机构患者数据安全事件专项应急预案（涵盖十二类子事件）

患者数据安全事件应急预案

「涵盖十二类子事件」

导语：根据《GB/T 20986—2023 信息安全技术 网络安全事件分类分级指南》，医院网络安全事件包括恶意程序事件、网络攻击事件、数据安全事件等十类。其中数据安全事件又分为十二类子事件。杏林职苑此前已发布《医院网络安全事件应急预案》（总体预案），本文为患者数据安全事件专项应急预案，包含十二类子事件应急预案，并附患者数据安全事件量化分级标准。本预案可供二级以上医疗机构参考。

目录

一、总则

（一）应急预案目的和适用范围

（二）法律法规依据

（三）应急组织体系与职责

（四）工作原则

二、数据安全事件分类与分级

（一）事件分类体系

（二）事件分级标准

三、应急预案

（一）数据篡改事件应急预案

（二）数据假冒事件应急预案

（三）数据泄露事件应急预案

（四）社会工程事件应急预案

（五）数据窃取事件应急预案

（六）数据拦截事件应急预案

（七）位置检测事件应急预案

（八）数据投毒事件应急预案

（九）数据滥用事件应急预案

（十）隐私侵犯事件应急预案

（十一）数据损失事件应急预案

（十二）其他数据安全事件应急预案

四、附则

附件1：患者数据安全事件分类

附件2：患者数据安全事件分级标准

一、总则

（一）应急预案目的和适用范围

本预案是本院针对患者数据安全事件的专项应急预案，旨在规范本院患者网络数据安全事件的应急响应流程，最大限度地减轻或消除网络安全事件的危害和影响，保障患者个人信息和医疗数据安全，保护患者隐私，维护医院正常运营秩序。

适用于本院院内发生的各类患者数据安全事件。患者数据安全事件指通过技术或其他手段对患者医疗数据实施篡改、假冒、泄露、窃取等导致业务损失或造成社会危害的网络安全事件，包括包括数据篡改事件、数据假冒事件、数据泄露事件、社会工程事件、数据窃取事件、数据拦截事件、位置检测事件、数据投毒事件、数据滥用事件、隐私侵犯事件、数据损失事件和其他数据安全事件等12类安全事件。

（二）法律法规依据

本预案主要依据以下法律法规和标准制定：

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《关键信息基础设施安全保护条例》

《网络数据安全管理条例》

《医疗机构数据安全管理办法》（国卫规划发〔2022〕29号）

《GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南》等

（三）应急组织体系与职责

应急组织体系包括：网络安全应急领导小组、应急响应办公室、应急工作组（技术处置组、医疗业务组、法律合规组、安全保障组、后勤保障组、宣传沟通组）。应急组织体系人员组成和职责分工详见本院《网络安全事件应急预案》（总体预案）。

（四）工作原则

生命优先，业务保障；预防为主，防治结合；统一领导，分级负责；协同联动，快速响应；依法依规，溯源追责。

二、数据安全事件分类与分级

（一）事件分类体系

根据GB/T 20986-2023标准，医疗机构患者数据安全事件分为12个子类（详见“附件1”）。

（二）事件分级标准

按照影响对象重要程度、业务损失严重程度、社会危害严重程度三要素，将事件分为特别重大、重大、较大、一般四级。

事件量化分级标准详见“附件2”。

三、应急预案

（一）数据篡改事件应急预案

1.数据篡改事件定义

数据篡改事件指未经授权接触或修改患者医疗数据的行为，包括电子病历、检查报告、诊断信息、用药记录等关键医疗数据的非法修改或删除。

2.识别特征

系统日志异常，出现未授权的操作记录

本专《医疗机构患者医疗信息规范管理指引》包括“患者医疗信息规范管理专项整治行动实施细则，患者医疗信息管理制度，电子病历系统分级授权与权限管理规定，患者医疗信息收集、存储、使用、传输、处理与发布规范”等内容。欢迎将本专栏加入收藏。