天津
患者医疗信息安全
技术防护管理规定
- 导语:根据《医疗机构患者医疗信息规范管理专项整治行动方案》(国家卫生健康委办公厅等三部门,2025年6月23日),以下问题被纳入重点整治范围:“医疗机构未建立电子病历信息安全防护体系,信息安全等级保护制度落实不到位,缺乏日常监测、预警和流程追溯等技术手段,不能及时发现和应对信息泄露及黑客攻击风险;未定期开展信息系统安全风险检测,对发现的漏洞未能明确责任,不能闭环管理,安全漏洞整改不及时、不彻底,导致安全漏洞长期存在、反复出现。”为此,杏林职苑依据相关政策法规与标准,特编制《患者医疗信息安全技术防护管理规定》,以供各级各类医疗机构参考。
目录
一、总则
二、组织机构与职责
三、技术防护要求
(一)网络安全防护
(二)系统安全防护
(三)数据安全防护
(四)物理安全防护
(五)新技术应用
四、安全管理要求
(一)日常监测与预警
(二)安全评估与整改
(三)应急处置
(四)培训与考核
五、监督与责任追究
(一)监督检查
(二)责任追究
六、附则
一、总则
1.目的与依据
为切实加强医疗机构患者医疗信息安全技术防护,保障患者医疗信息的保密性、完整性和可用性,有效防范信息安全风险,依据《网络安全法》《数据安全法》《个人信息保护法》《电子签名法》《GB/T 39725—2020信息安全技术健康医疗数据安全指南》《WS/T 4472014基于电子病历的医院信息平台技术规范》《GB/T 22239—2019信息安全技术网络安全等级保护基本要求》《医疗卫生机构网络安全管理办法》《智慧医疗分级评价方法及标准(2025版)》《电子病历系统功能规范(试行)》等法律法规、标准及政策文件,结合本院实际,制定本规定。
2.适用范围
本规定适用于本院患者医疗信息的收集、存储、传输、使用等全生命周期的安全技术防护管理活动。
3.基本原则
患者医疗信息安全技术防护管理应遵循以下基本原则:
(1)安全可控、依法管理:严格执行国家网络安全等级保护制度,重点保障关键信息基础设施及第三级(含)以上网络的安全运行。
(2)保障数据安全与发展并重:通过综合管理与技术手段,实现数据安全与开发利用的协调统一。
(3)最小必要原则:依据岗位职责与业务需求,实施分级分类访问控制,确保权限分配最小化。
(4)全程防护原则:采取有效技术措施,保障患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性和溯源性。
二、组织机构与职责
1.网络安全和信息化工作领导小组
负责审批信息安全政策、制度及体系建设规划,部署并协调信息安全体系建设工作,领导信息系统等级保护相关工作。负责日常信息安全方向的指导、上级主管部门政策与文件的落实、业务连续性保障的协调,以及与安全组织及供应商的沟通。
本专《医疗机构患者医疗信息规范管理指引》包括“患者医疗信息规范管理专项整治行动实施细则,患者医疗信息管理制度,电子病历系统分级授权与权限管理规定,患者医疗信息收集、存储、使用、传输、处理与发布规范”等内容。欢迎将本专栏加入收藏。
