互聯網醫院制度互聯網醫院制度互聯網醫院制度資料僅供參考文件編號：2022年4月互聯網醫院制度版本號：A修改號：1頁次：1.0審核：批準:發布日期：互聯網醫院管理工作制度（試行）2020年3月目錄第一部分互聯網醫院醫療常規管理1、在線分診管理制度--------------------------------12、在線預約轉診管理制度----------------------------23、在線診療管理制度--------------------------------24、在線協調檢驗檢查管理制度------------------------35、在線會診管理制度--------------------------------46、特殊病例上報管理制度----------------------------57、在線協調收入院管理制度--------------------------68、專家線下診治管理制度----------------------------69、在線協調轉院管理制度----------------------------710、院后在線隨訪管理制度---------------------------711、在線電子處方管理辦法---------------------------812、在線電子處方點評管理辦法-----------------------913.醫療安全（不良）事件和患者安全醫患報告管理辦法—1314、尊重患者隱私權的管理制度----------------------1515、醫療糾紛預防和處理辦法------------------------1616、無循證醫學證據的診療方法的管理規定------------1717、專業委員會制度--------------------------------18第二部分互聯網醫院醫師管理18、臨床醫師職責----------------------------------1919、醫療人員執業資質管理規定----------------------2020、醫師網上診療真實性的技術保障-----------------21目錄第二部分互聯網醫院醫師管理21、醫師誠信檔案體系建設制度----------------------22第三部分互聯網醫院病案管理22、在線電子病歷管理制度--------------------------2523、在線電子病歷質量質控制度----------------------27第四部分互聯網醫院藥事管理24.抗菌藥物分級使用管理制度-----------------------2825、藥品購買流程及制度----------------------------2926、藥品購買、配送環節的監督制度-------------------3027、簽約藥品互聯網電商的準入制度------------------31第五部分互聯網醫院信息安全管理28、醫院網站安全應急預案--------------------------3129、醫院網站故障應急預案--------------------------4930、信息安全管理制度------------------------------5231、網絡和系統防護制度----------------------------5932、應用數據防護制度------------------------------66互聯網醫院管理工作制度（試行）第一部分互聯網醫院醫療常規管理1.在線分診管理制度為提升醫患雙方在線診療有效性，利用分診體系對患者提交的病例進行歸類，提供在線科室分診，實現患者與醫生的精確匹配。一、在線醫患雙方匹配制度（一）專業匹配：根據醫生的擅長方向和患者的疾病類型做匹配。（二）難易匹配：根據醫生的權威程度和病例的嚴重程度做匹配。二、在線層級診療制度遵循層級診療原則進行分診，常見多發疾病優先匹配地市級醫生；疑難危重癥匹配北上廣權威專家，保證醫患匹配精準性。三、在線病例整理制度（一）分診專員需幫助患者進行病例整理，規范醫學用語，確保醫生查閱病例的流暢性。（二）對于病例不完整的咨詢申請，分診專員需引導患者補充病情/完善檢查資料。四、在線評分評級制度（一）系統評分：系統根據病程時長、既往就診醫院、是否異地就診等對咨詢進行客觀評分。（二）專業評分：分診員根據病情嚴重性、合并癥、并發癥及器官功能受累情況進行專業評分。五、在線醫患信息管理制度（一）禁止患者提交非疾病咨詢，如非法信息、隱私、臟話、反共言論等，屏蔽非醫療信息。（二）患者病情描述中涉及個人隱私信息，如姓名、手機號等需要屏蔽，最大限度地保證患者個人信息的安全性。（三）醫患雙方投訴，需按照投訴處理流程及時響應，有效解決，保障用戶權益。2.在線預約轉診管理制度幫助患者匹配專業醫生，做到院前分診，提高醫生診療效率。一、患者必須提供個人真實信息進行轉診申請（姓名、年齡、出生日期、身份證號）。二、病情優先制，患者病情符合醫生要求，才可通過轉診審核。三、已確定轉診患者若要取消轉診，須在規定時限內提出并獲得同意，爽約患者，取消下次預約轉診的權利。四、定期電話回訪患者就醫情況。3.在線診療管理制度通過在線方式了解患者情況，讓醫生提供必要的診療或合理性建議。一、患者需向醫生提供完整的病史和相關檢查資料。二、醫生給予患者的診療意見必須真實、有效，不能夸大診療效果或進行廣告宣傳。三、醫生應當及時應答患者問題，及時有效解答患者問題。四、醫生開具的電子處方藥品名稱、藥量和服用次數要規范書寫，確保患者能夠理解。五、患者享有對電子處方內容的詢問權利。六、醫生電子處方中的藥品需保證患者能夠線上或線下成功取藥。4.在線協調檢驗檢查管理制度該制度適用于異地患者在線求醫時，由于檢驗檢查資料不足，不足以支持醫生做出診療方案或建議，醫生要求患者補充檢驗檢查資料，患者可以就近在當地二級及以上醫院完成相應檢查，提供檢驗檢查結果給醫生，以便獲得更加有價值的診療。一、醫生需要根據患者情況，明確需要做的檢驗檢查。在線告知患者的同時告知分診中心。二、分診中心需根據醫囑，依據就近原則，為患者協調當地做檢查的二級及以上醫院或符合要求的機構，按時完成檢查。三、患者完成相關檢查后，上傳至互聯網醫院，分診中心負責核對報告是否符合醫生要求。如符合，通知醫生繼續診療過程。如不符合，需告知患者補充資料，至符合醫生要求。5.在線會診管理制度本辦法所稱會診是指醫師由互聯網醫院批準，為其他醫療機構特定的患者開展執業范圍內的診療活動。根據衛生部頒發的《醫師外出會診管理暫行規定》特制定本細則。一、會診流程（一）由接診醫師通過互聯網醫院的醫生終端（醫生APP）發起邀請，填寫電子會診單[在提交的申請單上明確寫清患者姓名、病情摘要（患者病情和當前診治方案）、擬邀請醫師、會診目的、會診時間]。（二）受邀醫師在醫生終端（醫生APP）選擇同意后，在約定的時間進入醫生終端（醫生APP）會診中心，系統采用合適的方式進行會診（手機視頻，圖文，語音等）。（三）會診時由接診醫師匯報患者病歷、診治情況以及要求會診的目的。通過討論，給出明確診療意見，并將會診結果上傳至終端完成會診。二、會診模式（一）院內會診1.單學科會診患者病情比較復雜，接診醫師無法獨立處理，需要科內會診，同級醫生或上下級醫生間討論后通過會診系統給出診療意見。2.科間會診患者病情需要其他科室專科醫生協同診治，進行科間會診。應邀科室需主治醫師以上職稱參與，會診后由會診醫師給出專科建議，同時上傳系統完成會診。（二）院外會診1.院外線上專科會診患者病情需要外院專科醫師給予診療建議，進行院外線上專科會診，醫生通過會診系統進行申請。會診對象：（1）疑難病例，互聯網醫院醫師無法診治；（2）診斷不明確，需要院外專科醫師給予專業支持；（3）患者本人積極要求會診者。2.院外線上多學科會診患者病情疑難，涉及多個專科科室協同診治，需進行院外線上多學科會診。會診對象：（1）病情跨學科，需要多個專科科室共同討論，擬定治療方案。（2）互聯網醫院內部會診無法解決患者問題，需要不同醫院頂尖專科科室的權威專家給出指導建議。6.特殊病例上報管理制度一、根據《中華人民共和國傳染病防治法》，在診療過程中發現法定傳染病由專人負責，及時報患者所在地的疾控中心.。二、危及患者生命的急、重癥，如急性心肌梗死、腦出血、急性重癥胰腺炎等，由專人負責，病情屬實的情況下，幫患者聯系附近醫院，快速創建生命通道。7.在線協調收入院管理制度為需住院治療的患者提供便捷的預約住院通道，及時、精準找到醫生。一、在線問診后，對于病情需要住院且有相應需求的患者，需要在線提出申請。二、醫生收到申請后，需同意確認，線上開具相關收住院證明，并提前安排床位，保證患者順利入院。三、入院當天，患者需持相應證件和住院證明到醫院辦理入院手續。8.專家線下診治管理制度該制度適用于異地需住院或手術治療的患者。醫生需要到患者所在地醫院，協助當地醫生，對于住院的患者進行診治，包括手術治療。一、互聯網醫院“會診服務中心”，需協調好專家以及患者所在地醫院，做好專家前去患者當地所在醫院診療所需的前期準備。（一）確認患者疾病相關資料上傳；（二）專家通過會診平臺審核資料，給出初步醫囑；（三）確認已通過會診平臺安排線下會診（手術）時間及初步治療方法。二、診療（含手術）完成后，患者所在當地醫院主治醫生需完善會診單，并上傳至會診系統。三、需要通過“院后隨訪系統”，與上級醫生保持聯系，共同管理患者，至患者康復。四、患者當地所在醫院及主治醫生為患者的診療結果負責。五、上級專家做為診療（含手術）的專業支持者。9.在線協調轉院管理制度為了給患者提供方便、快捷、優質、連續性的醫療服務，加強醫院之間的聯系協作，逐步形成一個有序的轉診程序。一、申請人（院方、患者本人）在線申請轉院，需經科主任或院級領導審批通過。二、審批通過后，申請人需向分診中心上傳轉院申請單、提供患者病例摘要。三、分診中心負責協調、對接轉院醫院，保證患者順利轉院。四、轉入方負責安排床位與接診工作，確保患者及時入院治療。10.院后在線隨訪管理制度為了積極推行院前、院中、院后一體化醫療服務模式，將醫療服務延伸至社區及家庭，特制定患者院后隨訪管理制度。一、互聯網醫院醫師確定需要院后隨訪的患者，將其通過患者報到方式納入院后管理患者群。二、隨訪方式：通過APP院后隨訪管理系統，包括隨訪任務體系、患者教育體系、疾病管理日記、患者用藥日記、調查表、復查和復診任務等功能等方式，實現對患者的院后管理。四、隨訪內容包括：了解患者治療效果、病情變化和恢復情況，指導患者如何用藥、如何康復、何時回院復診、病情變化后的處置意見等專業技術指導。五、醫院應通過向社會公布的醫療、咨詢服務電話做好隨訪咨詢服務，工作人員應耐心解答患者及家屬的有關咨詢。11.在線電子處方管理辦法一、電子處方管理的一般規定（一）電子處方，是指由注冊的醫師在互聯網線上診療活動中為患者開具的、由取得藥學專業技術職務任職資格的藥師審核、調配、核對，并作為患者用藥憑證的醫療文書。（二）處方書寫規則1.電子處方按系統要求完成各項填寫；2.每張處方不得超過5種藥品，中草藥處方與西、成藥須分開開具；3.患者一般情況、臨床診斷填寫清晰、完整，并與病歷記載相一致；4.開具處方用藥應當使用經藥監局批準并公布的藥品通用名稱、新活性化合物的專利藥品名稱和復方制劑藥品名稱；藥品用法可用規范的中文、英文、拉丁文或者縮寫體書寫；藥品用法用量應當按照藥品說明書規定的常規用法用量使用，特殊情況需要超劑量使用時，應當注明原因并再次簽名。二、處方權的獲得已在互聯網醫院注冊多點執業的執業醫師應在院內取得相應處方權，其簽名式樣和專用簽章應在藥事管理中心留樣備查。三、處方的開具（一）醫師按照診療規范、藥品說明書中的藥品適應證、藥理作用、用法、用量、禁忌、不良反應和注意事項等開具處方。（二）處方開具當日有效。特殊情況下需延長有效期的，由開具處方的醫師注明有效期限，但有效期最長不得超過3天。（三）開藥量嚴格執行“急性病不超過3天用量，慢性病不超過7日用量，行動不便的不超過2周量；患高血壓、糖尿病、冠心病、慢性肝炎、肝硬化、結核病、癌癥、腦血管病、前列腺肥大等疾病，且病情穩定需長期服用同一類藥物的，可放寬到不超過1個月量”的原則。（四）不得開具毒、麻藥品和精神藥品。12.在線電子處方點評管理辦法一、電子處方點評的內容根據相關法律、法規、技術規范，對處方書寫的規范性及藥物臨床使用的適宜性（用藥適應證、藥物選擇、給藥途徑、用法用量、藥物相互作用、配伍禁忌等）進行評價，發現存在或潛在的問題，制定并實施干預和改進措施，促進臨床藥物合理應用。二、組織機構和人員（一）藥事管理與藥物治療學委員會由藥事、醫事管理中心等部門相關人員組成，負責互聯網醫院處方點評管理工作的開展。（二）處方點評專家組由藥事管理中心、醫事管理中心等部門和臨床醫學專家組成，為處方點評工作提供管理及專業技術咨詢。（三）處方點評工作小組由具有臨床用藥經驗和合理用藥知識的藥師組成處方點評工作小組，負責處方點評的具體工作。三、實施

（一）一般統計：定期對上月西藥處方進行分析，統計并填寫“在線處方分析結果表”，分析每月的總處方數、平均處方用藥品種、平均處方單價、平均品種單價、抗菌藥物處方比例、抗菌藥物金額比例、抗菌藥物平均品種單價、針劑處方比例和基本藥物處方比例等。（二）處方點評：藥師分別抽查一個月中7天的處方。依據衛生部制定的《醫院處方點評管理規范（試行）》（衛醫管發〔2010〕28號）標準檢查處方，填寫“處方點評審查統計表”，將不合理處方進行統計、分析。（三）專項處方點評：處方點評工作小組根據藥事管理和藥物臨床應用管理的現狀和存在的問題，確定點評的范圍和內容，對特定的藥物或特定疾病的藥物（如國家基本藥物、血液制品、中藥注射劑、腸外營養制劑、抗菌藥物、輔助治療藥物、激素等臨床使用及超說明書用藥、腫瘤患者、圍手術期用藥、降脂藥物、降壓藥物及降糖藥物等）使用情況進行處方點評。（四）處方點評工作小組定期召開例會，針對“在線處方分析結果表”、“在線處方點評審查統計表”中，在藥事管理、處方管理和臨床用藥方面存在的問題，進行匯總和綜合分析評價，提出質量改進建議，向藥事管理中心報告結果，并定期向藥事管理與藥物治療學委員會報告。四、結果處方點評結果分為合理處方和不合理處方。不合理處方包括不規范處方、用藥不適宜處方及超常處方。（一）不規范處方有下列情況之一的，應當判定為不規范處方：1.處方的前記、正文、后記內容缺項，書寫不規范的；2.西藥與中成藥未分別開具處方的；3.藥品的用法、用量不正確的；4.處方修改未簽名并注明修改日期，或藥品超劑量使用未注明原因和再次簽名的；5.開具處方未寫臨床診斷或臨床診斷書寫不全的；6.單張門診處方超過五種藥品的；7.無特殊情況下，處方超過7日用量，慢性病、老年病或特殊情況下需要適當延長處方用量未注明理由的；8.違規開具麻醉藥品、精神藥品、醫療用毒性藥品、放射性藥品等特殊管理藥品處方未執行國家有關規定的；9.醫師未按照抗菌藥物臨床應用管理規定開具抗菌藥物處方的。（二）用藥不適宜的處方有下列情況之一的，應當判定為用藥不適宜處方：1.適應癥不適宜的；2.藥品劑型或給藥途徑不適宜的；3.無正當理由不首選國家基本藥物的；4.用法、用量不適宜的；5.聯合用藥不適宜的；6.重復給藥的；7.有配伍禁忌或者不良相互作用的；8.其它用藥不適宜情況的。（三）超常處方有下列情況之一的，應當判定為超常處方：1.無適應證用藥；2.無正當理由開具高價藥的；3.無正當理由超說明書用藥的；4.無正當理由為同一患者同時開具2種以上藥理作用相同藥物的。五、點評結果的應用與持續改進互聯網醫院實施處方點評公示制度，每月將處方點評結果公布在互聯網醫院網站內網動態信息中可查詢。同時，針對重點問題定期予以講評。在藥事管理與藥物治療學委員會領導下，對處方實施動態監測及超常預警，發現可能造成患者損害的，及時采取改進措施，防止損害發生。六、監督管理每月處方點評小組將上月處方點評結果和不合理處方（包括不合理處方內容、原因分析，涉及責任人等）報藥事管理中心，由藥事管理中心匯總處方檢查結果，向當事人反饋并報互聯網醫院負責人。對每季度出現5次及以上開具不合理處方的醫師，對其提出警告；對于1年內2個季度不合格的醫師，取消其處方權。13.醫療安全（不良）事件和患者安全醫患報告管理辦法為了確保互聯網醫院的醫療安全，提高醫務人員風險意識，及時妥善處理醫療不良事件及患者安全隱患，減少或避免醫療差錯和事故的發生，促進從不良事件和差錯中吸取教訓，持續提高醫療服務質量，特制定本管理辦法。一、醫療安全（不良）事件和安全隱患的界定及內容（一）醫療安全（不良）事件本規定所稱的醫療不良事件是指以下情況：1.在疾病醫療過程中由于診療活動而非疾病本身造成的患者機體與功能損害；2.雖然發生了錯誤事實，但未給患者機體與功能造成損害，或有輕微后果可以康復的事件；3藥物不良事件及藥品不良反應事件；4.其他醫療安全（不良）事件等。（二）患者安全隱患本規定所稱的患者安全隱患是指以下情況：1.在線診療過程中發現存在缺陷或漏洞，但未形成事實的隱患事件；2.在線診療過程中不能確定是否存在過失差錯，尚未造成明顯損傷后果，但存在轉化為不良事件可能性的事件；3.患者對在線醫療或服務不滿意，可能發生糾紛或出現問題的事件；4、其他患者安全隱患等。二、報告要求及流程（一）醫療安全（不良）事件報告流程1.醫療安全（不良）事件實行強制報告制度；2.當事醫師有按本規定報告的責任；3.醫療安全（不良）事件發生后，當事醫師得知信息后立即上報醫事管理中心；4.造成死亡、傷殘或重要器官功能損傷的嚴重醫療安全（不良）事件應在事件發生后立即報告醫事管理中心；5.藥品不良反應事件報告由藥品配送企業負責上報國家藥品不良反應監測中心，并同時報告互聯網醫院藥事管理中心。（二）患者安全隱患報告流程1.患者安全隱患實行主動報告原則；2.鼓勵醫務人員主動報告安全隱患。安全隱患當事人和任何發現安全隱患的人員，都有責任向醫事管理中心報告。醫事管理中心對于上報的安全隱患信息，只用作工作流程改進，不作為對醫療過失差錯當事人處罰的依據；3.上報流程同醫療不良事件。（三）處理流程接到醫療不良事件和患者安全隱患報告后，由職能部門會同相關部門制定整改防范措施，并反饋報告人和相關部門，落實持續改進，同時由醫事管理中心匯集和管理，上報上級衛生計生行政主管部門。14.尊重患者隱私權的管理制度一、維護患者的隱私權（一）規范服務行為，保護患者隱私。要求醫務人員深切理解患者就醫心理，通過規范服務取得患者的信任、增強安全感。（二）對涉及患者隱私的病歷書寫，除相關診療人員因醫療活動需要外，其他人員不得進行。（三）其他無關人員不能查閱患者的所有資料。二、尊重和維護患者的民族風俗習慣及宗教信仰（一）要尊重患者的民族風俗習慣。（二）根據患者的文化背景及需求，在溝通中要尊重患者的民族風俗習慣及宗教信仰。15.醫療糾紛預防和處理辦法為了有效預防和處理醫療糾紛，保護醫患雙方合法權益，維護醫療秩序，促進互聯網醫院投訴和糾紛處理制度化、程序化、規范化，特制定本辦法。本辦法所稱醫療糾紛，是指患者于互聯網醫院及其醫務人員之間因診療等醫療服務行為造成的后果及原因、責任、賠償等問題，產生分歧而引發的爭議。一、互聯網醫院各部門應嚴把醫療質量管理，加強醫療安全意識，嚴格執行各項醫療制度，做到預防為主，調解先行，責任明晰，處理恰當。二、互聯網醫院客戶管理中心負責醫院醫療糾紛的預警和應急處置，發布醫療糾紛的處理方式和流程。三、醫療糾紛發生后，接到投訴的工作人員應積極、主動與投訴人溝通并立即做好安撫工作。四、客戶管理中心應與當事醫生取得聯系，對醫療糾紛情況進行調查核實，保存各類證據材料，并作出初步調查意見和處理方案，向患方通報和解釋。五、對以下類型的醫療糾紛，客戶管理中心應提出和解方案，并與患方溝通解決。（一）在線服務價格不滿意；（二）在線醫生服務質量、態度不滿意；（三）藥品質量、價格不滿意；（四）治療效果不滿意；（五）其他未造成醫療損害、索賠金額較小的情形。六、對以下類型的醫療糾紛，客戶管理中心應根據事件的性質。大小、責任分擔，依法作出賠償預算，上報互聯網醫院負責人和衛生計生行政管理部門，并通知醫師責任險的承保機構。（一）導致患者傷殘、死亡等嚴重后果的；（二）導致3人以上人身損害后果的；（三）醫患矛盾激烈的；（四）其他情況復雜，爭議較大，造成嚴重醫療損害的情形。七、醫患雙方協商一致且確定賠付方案的，應簽署書面協議。八、如醫患雙方和解不成，互聯網醫院負責人應當在上報衛生計生行政管理部門的同時，告知患方可選擇以下途徑解決糾紛：（一）向人民調解委員會申請人民調解；（二）向人民法院提起訴訟；（三）法律、行政法規、規章規定的其他途徑。九、對發生重大醫療糾紛的醫務人員，互聯網醫院將根據情況給予關閉服務權限，取消服務資格的處理。情節嚴重的，報衛生計生行政部門并依照國家有關法律法規、部門規章給予處罰。16.無循證醫學證據的診療方法的管理規定為防止患者利益受損，規范醫療行為，互聯網醫院鼓勵醫生采用規范診療方案。任何不符合疾病治療指南以及未經臨床研究證明有效的療法，不允許在互聯網醫院使用，醫療質量控制部門需嚴格控制，特殊情況必須經過專業委員會審核。審核的目的是為了遵循循證醫學，確保互聯網醫院給患者提供的方案，最大限度保護患者利益。一、互聯網醫院醫生使用如下治療方式，必須經專業委員會審核，包括但不限于：（一）干細胞治療非血液系統疾病；（二）神經元靶向治療各種疾病，如癲癇、腦癱等；（三）腫瘤的生物、免疫療法；（四）自體免疫治療各種疾病；二、下述疾病領域的醫療行為屬高危違規領域，需高度關注診療方案的規范性：包括但不限于：腫瘤治療、癲癇、腦癱、帕金森、截癱、白癜風、銀屑病、魚鱗病等。17.專業委員會制度為確保互聯網醫院的醫療服務品質及專業化程度，特設專業委員會制度。一、人員構成分為內部和外部兩部分：內部：各業務部門抽調的醫學專家，均是專業教育背景并有臨床工作經驗的成員；外部：來自各個醫學專業領域，非常權威的專家，作為顧問。二、工作職責（一）合作醫療機構資質的審核：包括民營醫院、軍隊醫院等；（二）多點執業在互聯網醫院醫生專業資質的審核（三）判斷在互聯網醫院采用的各種診斷治療方式的合理性三、工作流程業務部門提交申請，專業委員會（包括內外部）進行評估，在專業委員會內部達成共識，給出意見，由業務部門完成后續操作。第二部分互聯網醫院醫師管理18.臨床醫師職責一、在互聯網醫院工作的醫師，必須取得醫師資格證書并多點執業注冊在互聯網醫院。二、醫師應按照約定時間出診，與患者通過圖文、電話或者視頻等方式進行交流，并及時處理患者就診需求。三、堅持首診負責制，不推諉患者。四、醫師必須嚴格遵守各項規章制度，對患者進行診斷、治療，開寫處方，按照病歷書寫規范認真書寫病歷。五、負責報告診斷、治療中存在的問題以及患者病情變化，提出轉診或轉院。六、對所管患者應全面負責。七、嚴格執行處方管理辦法，醫保患者的處方應嚴格按基本醫療保險規定藥量開取，并遵守市醫保政策的相關規定。八、尊重患者合法權益，嚴格執行知情同意管理辦法。九、醫師應定期接受其所在醫院組織的培訓，并按要求通過醫師定期考核。19.醫療人員執業資質管理規定一、多點執業備案在互聯網醫院獨立從事臨床醫療工作的醫師，必須同時具備《醫師資格證書》和已辦理在互聯網醫院多點執業的《醫師執業證書》。多點執業備案按照市相關部門的要求完成。備案資料要求：（一）多點執業備案表1.醫師需要根據《多點執業備案表》中的內容，清楚、正確的填寫，并且需要在表格中附件一寸照片；2.備案表中需要簽字或印章；3.備案表中所填寫的內容需與相關證件中的內容相符。（二）醫師提供《身份證》照片或掃描件。（三）醫師提供《醫師執業證》的第一頁、第二頁照片或掃描件。（四）醫師提供《職稱證》的照片或掃描件。（五）醫師提供最新日期的“定期考核”合格的記錄照片或掃描件。（六）上述資料報備政府相關部門，同時內部存檔。二、醫師開通在線執醫業務條件（一）需在互聯網醫院申請多點執業備案。（二）備案資料審核通過的醫生可以和互聯網醫院簽訂聘任合同。（三）互聯網醫院統一為簽訂聘任合同的醫生投保醫責險。（四）在互聯網醫院設置電子簽名。三、醫師必須嚴格按照其注冊的執業類別、執業范圍從事醫療活動。四、任何醫師不得從事不符合自己執業范圍的診療行為，不得出具與自己執業范圍無關或者與執業類別不相符的各種醫學文件。五、醫師要嚴格執行本規定，如有違反者將依據國家法律法規給予個人相應處理。20.醫師網上診療真實性的技術保障一、凡在互聯網醫院完成注冊和認證的醫師，其注冊賬號均綁定了唯一手機號，并經過驗證。二、醫師在互聯網醫院網上行醫，必須設置其唯一的行醫憑證。三、醫師在互聯網醫院開具處方時，必須準確輸入其唯一的數字憑證才可完成處方提交，以確保該處方由其本人開具。四、醫師未進行憑證設置，則不可以使用在線執醫相關服務。五、若醫師忘記憑證，可通過手機號驗證身份后重新設置。21.醫師誠信檔案體系建設制度醫事管理中心負責在線醫師誠信檔案建設工作，建立互聯網醫院醫師行為規范、誠實守信、優質服務的誠信檔案體系。一、誠信檔案建設主要內容互聯網醫院要為所有在互聯網醫院執業的醫師建立誠信檔案，誠信檔案體系由電子身份認證碼、誠信評級、誠信公示三部分組成。（一）依托患者在線對醫生的服務態度和治療效果的點評結果，患者就診分享內容，評價誠信執醫、誠信診療、誠信服務、誠信收費各個維度的誠信狀況；（二）電子身份認證碼是面向互聯網醫院醫師的身份標識，承載著具有公信力的誠信體系和權益服務，是真實醫師在線誠信執醫的基礎。（三）誠信級別分為優秀、良好、一般、較差四個等級，誠信等級將成為醫師在互聯網醫院平臺搜索排序、流量分配、推薦服務活動機會是否優先的判斷標準。（四）誠信公示包含醫師的執業信息、專業方向、出停診信息，所有收費價格及明細，以及醫師誠信檔案情況。二、醫師誠信檔案要求（一）救死扶傷，盡職盡責，全心全意為患者服務。（二）尊重患者的權利，為患者保守醫療秘密。1.對患者不分民族、性別、職業、地位、貧富都平等對待，不得歧視。2.維護患者的合法權益，尊重患者的知情權、選擇權和隱私權，為患者保守醫療秘密。（三）遵紀守法，廉潔行醫。1.嚴格遵守衛生法律法規、衛生行政規章制度和醫學倫理道德，嚴格執行各項醫療工作制度，堅持依法執業，廉潔行醫，保證醫療質量和安全。2.在醫療服務活動中，不收受、不索要患者及其親友的財物。3.不利用工作之便謀取私利，不收受藥品等生產、經營企業或經銷人員給予的財物、回扣以及其他不正當利益，不以介紹患者到其他單位檢查、治療和購買藥品、醫療器械等為由，從中牟取不正當利益。4.不開具虛假醫學證明，不參與虛假醫療廣告宣傳和藥品醫療器械促銷，不隱匿、偽造或違反規定涂改、銷毀醫學文書及有關資料。5.不采用任何不符合疾病治療指南以及未經臨床研究證明有效的療法。否則，將計入醫生誠信檔案；（四）文明禮貌，優質服務，構建和諧醫患關系。1.關心、體貼患者，做到熱心、耐心、愛心、細心。2.認真踐行醫療服務承諾，加強與患者的交流和溝通，自覺接受監督，構建和諧醫患關系。（五）因病施治，規范醫療服務行為。1.嚴格執行診療規范和用藥指南，堅持合理檢查、合理治療、合理用藥。2.嚴格執行醫療服務和藥品價格政策，不多收、亂收和私自收取費用。三、誠信檔案考評結果及應用誠信檔案結果分為四個等級：優秀、良好、一般、較差。對模范遵守誠信檔案，評價為優秀者，互聯網醫院給予表彰和推薦；對誠信檔案評價為一般者，給予警告提醒；對誠信檔案評價為較差者（八種情況），給予停診處理，并反饋其所在醫院依據國家法律法規及其他有關規定進行處理。醫師在考評周期內有下列情形之一的，醫德醫風考評結果應當認定為較差：（一）在醫療服務活動中索要患者及其親友財物或者牟取其他不正當利益的；（二）在臨床診療活動中，收受藥品等生產、經營企業或經銷人員以各種名義給予的財物或提成的；（三）違反醫療服務和藥品價格政策，多記費、多收費或者私自收取費用，情節嚴重的；（四）隱匿、偽造或擅自銷毀醫學文書及有關資料的；（五）不認真履行職責，導致發生醫療事故或嚴重醫療差錯的；（六）出具虛假醫學證明文件或參與虛假醫療廣告宣傳和藥品醫療器械促銷的；（七）醫療服務態度惡劣，造成惡劣影響或者嚴重后果的；（八）其他嚴重違反職業道德和醫學倫理道德的情形。第三部分互聯網醫院病案管理22.在線電子病歷管理制度為規范互聯網醫院的電子病歷管理，保證醫患雙方合法權益，根據《電子病歷基本規范》制定本管理制度。本規范適用于互聯網醫院電子病歷的建立、使用、保存和管理。一、醫事管理中心負責電子病歷的收集、保存、調閱、復制等管理工作。技術中心負責電子病歷技術方面建設、運行和維護。二、電子病歷是指醫務人員在醫療活動過程中,使用互聯網醫院信息系統生成的文字、符號、圖表、圖形、數據、影像等數字化信息,并能實現存儲、管理、傳輸和重現的醫療記錄,是病歷的一種記錄形式。患者診療活動過程中產生的非文字資料（CT、磁共振、超聲等醫學影像信息，心電圖，錄音，錄像等）應當納入電子病歷系統管理，應確保隨時調閱、內容完整。三、電子病歷系統應當為操作人員提供專有的身份標識和識別手段，并設置有相應權限；操作人員對本人身份標識的使用負責。醫務人員采用身份標識登錄電子病歷系統完成各項記錄等操作并予確認后，系統應當顯示醫務人員電子簽名。四、電子病歷系統應當設置醫務人員審查、修改的權限和時限。醫務人員修改時，電子病歷系統應當進行身份識別、保存歷次修改痕跡、標記準確的修改時間和修改人信息。病歷記錄以接診醫師錄入確認即為歸檔，歸檔后不得修改。五、建立電子病歷信息安全保密制度，設定醫務人員和有關醫院管理人員調閱、復制、打印電子病歷的相應權限，建立電子病歷使用日志，記錄使用人員、操作時間和內容。未經授權，任何單位和個人不得擅自調閱、復制電子病歷。六、電子病歷系統應當為患者建立個人信息數據庫，授予唯一標識號碼并確保與患者的醫療記錄相對應。七、電子病歷系統應當滿足國家信息安全等級保護制度與標準。嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。八、電子病歷系統應當為病歷質量監控、醫療衛生服務信息以及數據統計分析和醫療保險費用審核提供技術支持，利用系統優勢建立醫療質量考核體系，提高工作效率，保證醫療質量，規范診療行為，提高互聯網醫院管理水平。九、互聯網醫院建立電子病歷系統應當具備以下條件：（一）技術中心配備專門的管理部門和人員，負責電子病歷系統的建設、運行和維護。（二）具備電子病歷系統運行和維護的信息技術、設備和設施，確保電子病歷系統的安全、穩定運行。（三）建立、健全電子病歷使用的相關制度和規程，包括人員操作、系統維護和變更的管理規程，出現系統故障時的應急預案等。（四）具備保障電子病歷數據安全的制度和措施，有數據備份機制，并定期對備份數據進行恢復試驗，確保電子病歷數據能夠及時恢復。應當建立信息系統災備體系。應當能夠落實系統出現故障時的應急預案，確保電子病歷的連續性。當電子病歷系統更新、升級時，應當確保原有數據的繼承與使用。（五）對操作人員的權限實行分級管理，保護患者的隱私。（六）具備對電子病歷創建、編輯、歸檔等操作的追溯能力。（七）電子病歷使用的術語、編碼、模板和標準數據應當符合有關規范要求。23.在線電子病歷質量質控制度為確保互聯網醫院的醫療文書符合當前法律法規和醫療行業管理要求，提高醫療質量，防范醫療風險，減少或杜絕因病歷質量問題在醫療糾紛處理過程中所造成的負面影響，建立醫院病歷質量管理體系，提高互聯網醫院的病歷質量并持續改進。一、組織管理病歷質控小組由醫事管理中心和臨床專家組成。二、病歷質量檢查病歷質控小組定期進行病歷抽查。通過檢查使臨床醫師能夠及時發現病歷書寫中的問題，并且及時修正，進一步提高病案的質量。三、病歷問題通知單對于存在問題的病歷，檢查人員將病歷問題通知單發給當時病歷書寫者，病歷書寫者應按照病歷問題通知單中提出的問題，在3天內進行及時改正。對于問題較嚴重的，質控中心將安排復查。四、公示制度病歷的檢查結果將在互聯網醫院內網上定期公示，檢查結果將納入醫師誠信檔案。第四部分互聯網醫院藥事管理24.抗菌藥物分級使用管理制度為加強對抗菌藥物臨床應用的管理，依照衛生部《抗菌藥物臨床應用指導原則》和安徽省抗菌藥物分級管理規定，根據抗菌藥物特點、臨床療效、細菌耐藥、不良反應及藥品價格等因素，制定互聯網醫院《抗菌藥物分級使用管理制度》。一、互聯網醫院所有的抗菌藥物實行分級使用管理。分為限制使用和非限制使用二級。（一）限制使用的抗菌藥物（根據醫院實際情況制定目錄，并符合國家的抗菌藥物分級目錄要求）1.注射劑：頭孢哌酮/舒巴坦、哌拉西林/舒巴坦、哌拉西林/他唑巴坦、頭孢他啶、氟康唑、美洛西林鈉舒巴坦鈉、頭孢硫脒、頭孢尼西、頭孢唑肟、拉氧頭孢、頭孢米諾、頭孢西丁、阿奇霉素、妥布霉素、依替米星、異帕米星、厄他培南、莫西沙星。亞胺培南、替考拉寧、萬股孟蘇、頭孢吡肟等。2.口服劑型：莫西沙星、米諾環素、頭孢丙烯、頭孢泊肟酯、頭孢地尼、頭孢克肟、伊曲康唑口服液、伏立康唑。（二）非限制使用的抗菌藥物以上品種以外的其他抗菌藥品，特殊使用的除外。二、凡開具限制使用抗菌藥物處方必須有細菌感染診斷依據或理由，不允許局部使用；單純病毒感染不宜使用抗菌藥物。25.藥品購買流程及制度一、購藥途徑（一）通過互聯網醫院的線上購藥：依據處方，通過互聯網醫院簽約并實現系統對接的藥品互聯網電商購買藥品。（二）線下實體醫院或藥店購藥：依據處方，在醫院或實體藥店中購買。二、購藥方式（一）線上購藥1.醫生處方后，需患者同意，并在線操作確認，電子處方通過系統傳至互聯網醫院簽約藥品互聯網電商。2.患者完成支付后，藥品互聯網電商按照國家相關規定，完成藥品配送。3.藥品互聯網電商，通過系統完成購藥后的處方保存、配送記錄，并確保處方僅一次性使用。4.藥品互聯網電商，需要將患者購藥相關信息與互聯網醫院共享。包括但不限于購藥數量、價格、配送方式、送達時間、患者購藥體驗滿意度等。（二）線下購藥患者依據在線電子處方，在線下實體藥店購藥，并按照國家相關規定，給實體藥店提供購藥所需支持材料。26.藥品購買、配送環節的監督制度一、與互聯網醫院簽約藥品互聯網電商服務品質監管（一）重點監測配藥的準確率、及時性、品種的豐富度。（二）藥事管理中心每周對于藥品電商提供的相關數據進行分析，月度出具報告，對于發現的問題及時反饋。（三）對于藥品互聯網電商實行差錯分級管理，按照電商服務品質，每半年做出評估。（四）根據評估結果，由藥事管理中心給出繼續合作、限期整改、終止合作的決定。（五）簽約藥品互聯網電商在服務流程及內容等方面做出調整時，需要事前通知到互聯網醫院，供藥事管理中心評估。二、與互聯網醫院簽約藥品互聯網電商價格監管（一）簽約藥品互聯網電商需將所有線上藥品價格報備互聯網醫院。（二）簽約藥品互聯網電商在進行藥品價格調整時，需至少提前3個工作日書面通知互聯網醫院，并需留存互聯網醫院相關部門的“已收到”的回執（郵件或書面），確保信息傳遞到位。（三）簽約藥品互聯網電商需確保所售藥品價格符合國家相關規定，如出現違背國家相關規定的情況，所產生的后果由藥品互聯網電商承擔。27.簽約藥品互聯網電商的準入制度一、簽約互聯網藥品電商，必須由國家相關部門批準成立，具有《互聯網藥品交易服務資格證》等相關資質，同時具有線下實體藥店運營經驗。二、對于藥品質量做最嚴格把控，采用一票否決制，一旦出現“偽劣”藥品投訴，經過證實后，立即終止合作，并向其追償。（一）互聯網醫院內任何途徑收到的患者關于藥品品質相關的投訴，需要第一時間給到藥事管理中心。（二）由藥事管理中心根據投訴情況，決定采用電話核實、或者是現場核實等方式確認“偽劣”藥品投訴的真實性。三、簽約藥品互聯網電商的準入，由藥事管理中心評估，每年進行一次綜合評估，采用末位淘汰制，更新簽約合作藥品互聯網電商。第五部分互聯網醫院信息安全管理28.醫院網站安全應急預案為迅速、有效地處置信息系統被網絡攻擊的突發事件，最大限度地保信息系統的正常運行，維護互聯網醫院信息系統的安全、暢通，特制定本應急預案。一、攻擊行為分類（一）流量攻擊DDoS攻擊的一個致命趨勢是使用復雜的欺騙技術和基本協議，如HTTP，Email等協議，而不是采用可被阻斷的非基本協議或高端口協議，非常難識別和防御，通常采用的包過濾或限制速率的措施只是通過停止服務來簡單停止攻擊任務，但同時合法用戶的請求也被拒絕，造成業務的中斷或服務質量的下降；DDoS事件的突發性，往往在很短的時間內，大量DDoS攻擊數據可使網絡資源和服務資源消耗殆盡。（二）木馬病毒系統遭受各種木馬病毒的感染。（三）惡意網絡入侵惡意的網絡入侵包括了惡意掃描、通過應用程序漏洞進行黑客行為。二、攻擊行為應急處理流程網站應急響應流程主要分為：分析確認、啟動應急預案，故障修復、恢復運行、詳細備案。（一）DDos流量攻擊應急處理收到預警后，第一時間聯系機房服務方進行流量的清洗。必要情況下直接接入安全服務商的云防護清洗平臺。查看防火墻日志，確定非正常訪問的ip。對此ip進行阻斷。分析原因和損失。歸納總結并編寫報告。根據惡意情況制定系統加固方案進行加固。生成報告留存。對外發布致歉信息。（二）木馬病毒的應急處理收到預警后，首先中斷重要設備與互聯網的連接。對外發布致歉信息。升級殺毒軟件病毒庫到最新，然后進行全面的殺毒。對病毒樣本進行分析，尋找專殺工具進行查殺。通過命令的詳細信息，完全監控計算機上的連接，查找異常的連接。查看系統的服務項，禁用不明的服務。查看注冊表信息，刪除懷疑的病毒感染鍵值。查找木馬病毒爆發的原因。對外進行加固防護，對內進行懲罰和高標準的規范以及技術防護。總結原因生成報告留存。對外發布故障解決完成并再次致歉。（三）惡意入侵的應急處理1.遭受黑客攻擊時的應急響應流程工作時間內，發現黑客攻擊應在第一時間通知具體責任人。具體責任人接到通知后，應詳細記錄有關現象和顯示器上出現的信息，將被攻擊的服務器等設備從網絡中隔離出來，保護現場。同時通知總負責人，召集相關技術人員共同分析攻擊現象，提供解決方法，主機系統管理員和應用軟件系統管理員負責被攻擊或破壞系統的恢復與重建工作。視情況向集團公司領導匯報事件情況。非工作時間內發現的攻擊事件，值班人員應首先立即切斷被攻擊外網服務器的網絡連接，并做好相關記錄；然后通知具體責任人按流程處理。2.頁面被篡改、出現非法言論的應急響應流程工作時間內發現頁面被篡改，應在第一時間通知具體責任人。具體責任人接到通知后：將服務器從網絡中隔離，抓屏、保存非法言論的頁面。修復網頁內容、刪除網站上的非法言論。網頁修復后，對網站全部內容進行一次查看，確保沒有被篡改的或非法的言論后解除站點服務器的隔離。會同技術人員共同追查非法篡改、非法言論來源，盡可能確定信息發布者。向總負責人報告情況，視情況向集團公司領導匯報事件情況。非工作時間內發現的篡改事件，值班人員應首先立即通知集團公司部，請其切斷被攻擊外網服務器的網絡連接，并做好相關記錄；然后通知具體責任人按流程處理。（四）網站無法訪問發現網站無法訪問的情況后，立即通知具體負責人。具體負責人接到通知后，應及時確定故障原因。如因主機設備或軟件系統故障導致且不能在2小時內解決，應及時啟動備用網站。三、應急處置工作原則（一）統一領導、規范管理。網站突發事件由技術中心應急建設領導小組統一協調領導，遵照“統一領導、綜合協調、各司其職”的原則協同配合、具體實施，完善應急工作體系和機制。（二）明確責任，分級負責，保證對網絡與信息安全事件做到快速覺察、快速反應、及時處理、及時恢復。（三）預防為主，加強監控。積極做好日常安全工作，提高應對突發網絡與信息安全事件的能力。建立和完善信息安全監控體系，加強對網絡與信息安全隱患的日常監測，重點監控網頁是否被篡改、信息發布是否異常、網站運行是否異常等問題。四、應急預防保障措施（一）對于流量攻擊，網絡邊界部署了防火墻、IPS等設備，公司內部已經建立了完善的監控系統，可以對信息系統的運行狀態進行監控。發現異常會第一時間報警到相關負責人緊急處理。并且機房購買了流量清洗服務以及與第三方安全公司簽訂了流量清洗云服務。（二）對于系統漏洞，網絡中部署的IPS可以進行虛擬化補丁修復，信息系統采用了隱藏真實IP技術，所有重要系統服務器都部署在內網，邊界部署了防火墻，嚴格限制了訪問規則。24小時技術人員值班，每天跟進最新的漏洞詳情并結合我單位的實際情況進行核實、檢測是否存在問題并且及時測試、更新。（三）每周對所有信息系統進行一次安全掃描、安全配置檢查，能夠及時的發現被植入的病毒、后門程序，第一時間進行清除并及時修復安全問題。（四）與世紀互聯、安全寶公司簽訂安全服務關系，對DNS劫持、網絡釣魚等安全問題能夠進行很好的防護。（五）與第三方安全漏洞平臺友好合作，定期參加眾測。（六）建立健全網絡與信息安全管理預案，加強對網站網絡信息的日常監測、監控，強化安全管理，對可能引發網絡與信息安全事件的有關信息，要認真收集、分析判斷，發現有異常情況時，及時處理并逐級報告。（七）做好網站文件和數據庫備份。備份采用完全備份策略與部分備份策略相結合，服務器管理員負責每天對網站數據庫進行一次完整備份，每季度對網站文件進行一次完整備份。（八）特殊時期啟動網絡與信息安全應急值班制度。在特殊時期進行24小時應急值班，對網絡和信息數據加強保護，進行不間斷監控，一旦發生網絡與信息安全事件，立即啟動應急預案，判定事件危害程度，采取應急處置措施，并立即將情況報告有關領導。在處置過程中，及時報告處置工作進展情況，直至處置工作結束。屬于重大事件或存在非法犯罪行為的，及時向公安機關報告。（九）保持與安全廠商溝通渠道的暢通，確保在應急處理過程中遇到困難或問題時能及時獲得安全廠商的技術支援。五、應急處理措施（一）網站、網頁出現非法言論事件緊急處置措施發現網站出現非法信息或內容被篡改，立即通知應急小組及上級領導，將非法信息或篡改信息從網絡中隔離出來，必要時斷開網絡服務器。情況嚴重，保護現場，保存非法信息或篡改頁面，并斷開網絡服務器，立即向公安機關報警。網站管理員應同時作好必要記錄，追查非法信息來源，清理或修復非法信息，妥善保存有關記錄，強化安全防范措施，并將網站重新投入運行。將處理結果向公安機關匯報。（二）系統軟件遭受破壞性攻擊、網站癱瘓的緊急處置系統軟件遭到破壞性攻擊，網站癱瘓，立即向應急小組和上級領導報告，并將系統停止運行。情況嚴重的，要保護好現場，保存非法信息或篡改頁面，并斷開網絡服務器，立即向公安機關報警。待公安部門提取相關資料后，技術維護人員會同技術服務商檢查日志等資料，確認攻擊來源。修復系統，重新配置運行環境，恢復數據。做好相應的記錄，實施必要的安全加固措施，將網站重新投入運行。（三）硬件故障或意外情況的應急處理出現線路問題，由世紀互聯數據中心負責處理。網絡設備、計算機系統、網絡系統出現故障，由技術中心運維部負責緊急維護。機房遇到失火、盜竊，及時世紀互聯數據中心和應急小組報告，必要時請公安部門或消防部門提供幫助。以上情況均做好必要的記錄，并妥善保存。六、常見安全漏洞管理（一）跨站腳本編制危害：可能會竊取或操縱客戶會話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執行事務。風險級別：中級整改建議：應對跨站點腳本編制的主要方法有兩點：一是不要信任用戶的任何輸入，盡量采用白名單技術來驗證輸入參數；二是輸出的時候對用戶提供的內容進行轉義處理。（二）基于DOM的跨站腳本編制危害：可能會竊取或操縱客戶會話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執行事務。風險級別：高級整改建議：建議分析并加強客戶端(JavaScript)代碼。清理攻擊者所能影響的輸入源。（三）SQL注入與SQL盲注危害：可能會查看、修改或刪除數據庫條目和表。嚴重的注入漏洞還可能以當然數據庫用戶身份遠程執行操作系統命令。風險級別：高級整改建議：補救方法在于對用戶輸入進行清理。通過驗證用戶輸入，保證其中未包含危險字符，便可能防止惡意的用戶導致應用程序執行計劃外的任務，例如：啟動任意SQL查詢、嵌入將在客戶端執行的Javascript代碼、運行各種操作系統命令，等等。（四）文件目錄遍歷危害：程序中如果不能正確地過濾客戶端提交的../和./之類的目錄跳轉符，惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。風險級別：高級整改建議：在程序中過濾../和./之類的目錄跳轉符，或者加強網站訪問權限控制，禁止網站目錄的用戶瀏覽權限。（五）腳本代碼暴露1.危害：攻擊者可以收集敏感信息(數據庫連接字符串，應用程序邏輯)。這些信息可以被用來發動進一步襲擊。2.風險級別：中級3.整改建議：許多方式可以誘使Web應用程序顯示其源代碼。要確保應用程序不允許Web用戶訪問源代碼，請執行下列操作：（1）檢查已安裝與源代碼泄露相關的所有系統補丁。（2）檢查未將應用程序源代碼留在HTML注釋中。（3）檢查已從生產環境中除去所有源代碼文件。（六）已解密的登錄請求危害：用戶登錄密碼為明文，可通過http報文截取登錄用戶密碼。風險級別：中級整改建議：確保所有登錄請求都以加密方式發送到服務器。請確保敏感信息，一律以加密方式傳給服務器。（七）目錄列表危害：可能會查看和下載特定Web應用程序虛擬目錄的內容，其中可能包含受限文件。風險級別：高級整改建議：將Web服務器配置成拒絕列出目錄。根據Web服務器或Web應用程序上現有的問題來下載特定安全補丁。部分已知的目錄列表問題列在這個咨詢的“引用”字段中。（八）CSRF跨站請求偽造危害：攻擊者可以盜用身份，發送惡意請求。CSRF能夠做的事情包括：發消息，盜取賬號，甚至于購買商品，虛擬貨幣轉賬等。造成的問題包括：個人隱私泄露以及財產安全。風險級別：中級整改建議：驗證HTTPReferer字段：Referer為空或為外域就禁止（性價比最高，但不能保證瀏覽器沒有漏洞，在一定程度上還可以結合XSS繞過Referer校驗，比如在留言簿上發條<imgsrc="url">,url為攻擊url的話，此時就可生效，但前提是存在XSS漏洞）在請求地址中添加token并驗證：用戶登錄后往session里面寫一個隨機token，輸出到頁面時使用js將此token放到每個請求（包括form、ajax）的參數之后，收到請求時服務器端將參數中的token與session中的進行比對。（為什么攻擊者拿不到此token：因為只有受害者自己才能看到token。但不是絕對的，攻擊者可以抓包得到token）在HTTP頭中自定義屬性并驗證（將token不放到參數中，而是放到httpheader中）關鍵請求使用驗證碼。（九）文件上傳漏洞危害：由于文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型，導致允許攻擊者向某個可通過Web訪問的目錄上傳任意后綴文件，并能將這些文件傳遞給腳本解釋器，就可以在遠程服務器上執行任意腳本或惡意代碼。風險級別：高級整改建議：對網站所有上傳接口在服務器端進行嚴格的類型、大小等控制，防止攻擊者利用上傳接口上傳惡意程序。（十）文件包含危害：開發者將可重復使用的代碼插入到單個的文件中，并在需要的時候將它們包含在特殊的功能代碼文件中，然后包含文件中的代碼會被解釋執行。由于并沒有針對代碼中存在文件包含的函數入口做過濾，導致客戶端可以提交惡意構造語句，并交由服務器端解釋執行。風險級別：中級整改建議：修改程序源代碼，禁止服務器端通過動態包含文件方式的文件鏈接。（十一）后臺管理危害：站點信息的更新通常通過后臺管理來實現，web應用程序開發者或者站點維護者可能使用常用的后臺地址名稱來管理，比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標站點，獲取站點的后臺管理地址，從而可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后臺管理系統后可以直接對網站內容進行增加、篡改或刪除。風險級別：中級整改建議：為后臺管理系統設置復雜訪問路徑，防止被攻擊者輕易找到；增加驗證碼后臺登錄身份驗證措施，防止攻擊者對后臺登錄系統實施自動暴力攻擊；修改網站源代碼，對用戶提交數據進行格式進行限制，防止因注入漏洞等問題導致后臺驗證繞過問題；加強口令管理，從管理和技術上限定口令復雜度及長度。（十二）危險端口危害：開放危險端口（數據庫、遠程桌面、telnet等），可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令，或利用開放的端口進行DDOS拒絕服務攻擊。風險級別：中級整改建議：加強網站服務器的端口訪問控制，禁止非必要端口對外開放。例如數據庫連接端口1433、1521、3306等；謹慎開放遠程管理端口3389、23、22、21等，如有遠程管理需要，建議對端口進行更改或者管理IP進行限制。（十三）中間件危害：WEB應用程序的搭建環境會利用到中間件，如：IIS、Nginx、Apache、Weblogic等，而這些中間件軟件都存在一些漏洞，如：拒絕服務漏洞，代碼執行漏洞、跨站腳本漏洞等。惡意攻擊者利用中間件的漏洞可快速成功攻擊目標網站。風險級別：中級整改建議：加強網站web服務器、中間件配置，及時更新中間件安全補丁，尤其注意中間件管理平臺的口令強度。（十四）配置文件危害：未做嚴格的權限控制，惡意攻擊者可直接訪問配置文件，將會泄漏配置文件內的敏感信息。風險級別：高級整改建議：加強對網站常見默認配置文件比如數據庫連接文件、備份數據庫等文件的管理，避免使用默認配置路徑及默認格式存放，防止攻擊者針對網站類型直接獲取默認配置文件。（十五）系統漏洞危害：系統漏洞問題是與時間緊密相關的。一個系統從發布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來。如果系統中存在安全漏洞沒有及時修復,并且計算機內沒有防病毒軟件等安全防護措施，很有可能會被病毒、木馬所利用，輕則使計算機操作系統某些功能不能正常使用，重則會使用戶賬號密碼丟失、系統破壞等。風險級別：高級整改建議：及時更新網站服務器、中間件、網站應用程序等發布的安全漏洞補丁或安全增強措施；如果因特殊情況不宜升級補丁，則應該根據漏洞情況使用一些第三方的安全防護措施防止漏洞被利用；如有條件，建議經常對網站進行系統層漏洞檢測。（十六）錯誤的認證和會話管理危害：攻擊者可以竊取用戶名、密碼，竊取會話的sessionid，冒充用戶進行登錄。風險級別：中級整改建議：要整體審視架構。認證機制本身必須是簡單、集中和標準化的；使用容器提供給標準sessionid；確保在任何時候用SSL來保護我們的密碼和sessionid。驗證認證的實現機制。檢查SSL的實現方法，驗證所有與認證相關的函數，確保“注銷登錄”的動作能夠關閉所有的會話。（十七）不安全的加密存儲危害：攻擊者能夠取得或是篡改機密的或是私有的信息；攻擊者通過這些秘密的竊取從而進行進一步的攻擊；造成企業形象破損，用戶滿意度下降，甚至會有法律訴訟等。風險級別：中級整改建議：識別所有的敏感數據；識別這些數據存放的所有位置；確保所應用的威脅模型能夠應付這些攻擊；使用加密手段來應對威脅。使用一定的機制來進行保護文件加密；數據庫加密；數據元素加密。使用標準的強算法；合理的生成，分發和保護密鑰；準備密鑰的變更。確保使用了標準的強算法；確保所有的證書、密鑰和密碼都得到了安全的存放；（十八）遠程代碼執行漏洞危害：由于開發人員編寫源碼，沒有針對代碼中可執行的特殊函數入口做過濾，導致客戶端可以提交惡意構造語句提交，并交由服務器端執行。命令注入攻擊中WEB服務器沒有過濾類似system(),eval()，exec()等函數是該漏洞攻擊成功的最主要原因。風險級別：高級整改建議：建議假定所有輸入都是可疑的，嘗試對所有輸入提交可能執行命令的構造語句進行嚴格的檢查或者控制外部輸入，系統命令執行函數的參數不允許外部傳遞。不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。不要僅僅在客戶端做數據的驗證與過濾，關鍵的過濾步驟在服務端進行。對輸出的數據也要檢查，數據庫里的值有可能會在一個大網站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點時也要進行安全檢查。（十九）弱口令危害：弱口令很容易被他人猜到或破解，可以直接對信息系統造成破壞。風險級別：高級整改建議：避免使用top200內的弱口令，口令的復雜度應該強健，至少大于8位，數字、字母大小寫、特殊符號的非規律性組合。七、安全漏洞掃描與評估為盡早發現操作系統或應用程序自身存在的安全問題，我們將在信息系統生命周期的多個階段開展安全漏洞定期掃描和實時安全掃描評估。安全漏洞掃描評估主要分三個大板塊內容：（一）操作系統基線配置安全掃描評估在操作系統安裝完成之后，將對系統基線進行安全配置，主要涉及：（1）系統賬號和口令安全設置；（2）系統服務開放和訪問權限設置；（3）日志審計。具體操作要求將按照《互聯網醫院平臺操作系統基線安全配置規范》內容執行。為了保障系統安全配置加固實施效果，將對系統進行基線安全掃描評估。主要采用安全配置自動化檢測工具和部分人工checklist方式進行全面安全檢查。如有不達標將按照配置規范進行限期整改。（二）系統服務和組件（通用型）漏洞掃描評估在系統安裝時，將根據“最小化安裝系統”的原則進行操作。根據業務需求，嚴格刪除默認自帶的系統服務，比如ftp文件傳輸服務、psftfix郵件服務等。將必要的系統服務升級到最新版本。系統安裝完成之后，將采用一些專項系統漏洞檢測工具進行安全漏洞掃描評估。比如采取X-Scan，NMAP，Nessus、IBMAppScan，以及AcunetixWebVulnerabilityScanner等掃描工具。（三）應用軟件自身（專業型）漏洞掃描評估應用軟件上線前，將采取黑白盒混合方式進行代碼安全評估。代碼上線提交前，將采取Web專項安全漏洞掃描工具進行代碼漏洞安全檢測。按不同業務漏洞類型，將采用WebInspect、Nessus、Acunetix、WebVulnerabilityScanner、AppScan等web綜合掃描工具進行安全漏洞評估。采用BurpSuite、Sqlmap、Pangolin等工具對SQL注入專項漏洞進行安全評估。采用Jsky、Xelenium等工具進行XSS跨站腳本漏洞專項安全檢測。通過安全評估報告和漏洞級別制度，評定出安全漏洞風險級別，最后根據業務上線漏洞管理制度進行業務安全上線操作。八、責任歸屬運維部信息安全組負責漏洞的發現、通知整改、整改跟進以及復測。研發、運維等各部門履行漏洞的修復職責。各部門人員可在能力范圍內進行漏洞的檢測工作，發現問題后發送給運維部信息安全組，經過運維部信息安全組確認以后，給與獎勵。九、漏洞的管理規定為了降低公司信息系統的安全風險，特制定以下漏洞管理規定：（一）發現信息系統安全漏洞，經過分析確認后，郵件發送給責任部門領導。并根據漏洞的風險級別和漏洞的數量預定修復完成時間。（二）責任部門領導收到郵件后進行漏洞的確認，并制定相關的修復方案和并對預定的修復完成時間節點進行合理性考量評估，確定具體的方案和完成時間后郵件回復運維部信息安全組。（三）運維部信息安全組及時跟進修復進度、修復結果，并對修復完成后的系統進行復測檢查。（四）責任部門應該把收到的漏洞反饋、漏洞詳情、修復方案、修復結果進行綜合整理并歸檔。（五）如責任部門沒有在規定的時間內修復完成，請及時反饋原因、并指定具體修復完成的時間通知運維部信息安全組。（六）對信息系統安全漏洞沒有修復或者沒有按時修復而不反饋原因的責任部門依據醫院的考核制度進行合理處罰。29.醫院網站故障應急預案本預案適用于互聯網醫院網站系統發生故障或遭受攻擊的情況下的應急響應工作。一、網站故障應急領導小組組長：技術中心負責人成員：技術中心各二級部門負責人應急小組負責“互聯網醫院網站系統故障應急預案”的實施和網站系統日常安全運行管理的組織協調及決策工作。二、互聯網醫院網站系統故障分級及處理原則根據故障發生的原因和性質不同，歸類以下幾類：（一）網絡鏈路故障：運營商骨干網絡鏈路中斷、IDC網絡中斷（二）硬件設備故障：網絡、安全設備，服務器出現硬件損壞（三）軟件故障：操作系統、應用環境、數據庫環境、系統負載、IO、磁盤空間（四）業務應用故障:應用程序代碼部署、回滾（五）網絡安全：(見安全管理手冊)（六）容災機制：網絡層雙機熱備、應用層群集負載均衡三、故障分級標準：各類故障按照對業務影響的不通程度劃分3大類5個級別類型級別描述重大事故1全站業務不可用中度事故2業務重要功能不可用，大面積影響用戶3業務重要功能不可用，僅影響部分用戶輕微事故4業務次要功能不可用，輕微影響用戶四、網站發生故障時的應急響應流程五、故障發生時的具體應急措施技術支持在接受故障反饋時必須在1分鐘內進行響應，并確認問題聯系相關技術人員確認處理，如故障時間超過5分鐘，進行問題升級到運維部處理，超過15分鐘無法解決以及特大問題升級到CEO、COO并且啟動緊急預案，如果是硬件問題，緊急啟用備用設備，并聯系廠家進行維修或者更換（原則上硬件設備都必須有冗余，并且定時對設備進行巡檢），硬件廠商需要在1小時內響應，24小時內本地化服務支持。（一）設備應急處置手冊

（用于硬件設備發生故障）網絡設備硬件故障：1.網絡工程師判定設備問題2.聯系H3C代理商進行設備報修更換服務。服務器硬件故障：（1）運維工程師登陸故障服務器使用DSET工具獲取系統硬件狀態日志并發送郵件給硬件管理員（2）硬件管理員聯系IDC機房人員記錄故障服務器快速服務編碼（3）硬件管理員撥打戴爾800售后進行故障報修（需提供服務編碼||日志包||故障現象和截圖等）（4）等待DELL售后確認硬件問題（5）預約時間，機房授權現場更換六、后續保障措施為了確保網站可用性和安全事件處理工作的順利開展，以下幾點應給予充分保障：加強日常監控，系統工程師每天對服務器的運行進行日巡查，每周對用戶賬號的使用進行檢查，每月對主機系統進行一次安全檢查，每半年進行一次全面健康檢查；定期機房巡檢，系統于網絡工程師每月對IDC機房服務器及網絡設備進行現場勘查；加強系統和數據備份，服務器操作系統的備份采用完全備份策略，系統工程師負責每季度對操作系統進行一次完整備份；確保和IDC機房服務商溝通渠道的暢通，在本單位應急處理過程中遇到困難或問題時能及時獲得服務商的支援。30.信息安全管理制度第一章總則第一條為加強互聯網醫院信息安全管理，推進信息安全體系建設，保障信息系統安全穩定運行，根據國家有關法律、法規和互聯網醫院的相關規定，制定本辦法。第二條本辦法所指的信息安全管理，是指計算機網絡及信息系統（以下簡稱信息系統）的硬件、軟件、數據及環境受到有效保護，確保互聯網醫院信息系統能連續、穩定、安全、高效的運行。第三條互聯網醫院信息安全管理堅持“誰主管誰負責、誰運行誰負責”的基本原則，各業務系統的主管部門、運營和使用部門各自履行相關的信息系統安全建設和管理的義務與責任，數據使用合法。第四條信息安全管理，包括管理組織與職責、信息安全目標與工作原則、信息安全工作基本要求、信息安全監控、信息安全風險評估、信息安全培訓、信息安全檢查與考核。第五條本辦法適用于互聯網醫院全體員工。第二章信息安全管理組織與職責第六條互聯網醫院信息安全委員會是信息安全工作的最高決策機構，負責信息安全政策、制度和體系建設規劃的審批，部署并協調信息安全體系建設，領導信息系統等級保護工作。第七條互聯網醫院建立和健全由各相關部門核心人員組成的信息安全委員會，形成協調一致、密切配合的信息安全組織和責任體系。各級信息安全組織均要明確主管領導，確定相關責任，設置相應崗位，配備必要人員。第八條風控部是互聯網醫院信息安全的歸口管理部門，負責落實信息安全委員會的決策，實施互聯網醫院信息安全建設與管理，確保重要信息系統的有效保護和安全運行。具體職責包括：組織制定和實施互聯網醫院信息安全政策標準、管理制度和體系建設規劃，組織實施信息安全項目和培訓，組織信息安全工作的監督和檢查。第九條互聯網醫院風控部負責信息安全工作中有關保密工作的監督、檢查和指導。第十條互聯網醫院風控部負責本醫院信息安全的管理，具體職責包括：在本醫院宣傳和貫徹執行信息安全政策與標準，確保本醫院信息系統的安全運行，實施本醫院信息安全項目和培訓，追蹤和查處本醫院信息安全違規行為，組織本醫院信息安全工作檢查，完成互聯網醫院部署的信息安全工作。第十一條技術中心運維部安全組在風控部的領導下，承擔所負責的信息系統的信息安全管理任務，主要包括：在所維護的系統內貫徹信息安全政策與標準，確保所負責信息系統的安全運行。第十二條技術中心運維部安全組設立信息安全管理和技術崗位，包括信息安全、應用系統、數據庫、操作系統、網絡負責人和管理員，重要崗位應設置兩個員工互為備份。設置AB崗替補。第十三條信息安全崗位的設立應遵循職責分離的要求，包括：制度監督者與執行者分離，信息系統授權者與操作者分離，應用系統管理員與數據庫管理員分離，程序開發人員不應具備對生產環境的訪問權限。第十四條互聯網醫院員工必須嚴格遵守互聯網醫院信息安全政策、管理制度、技術標準和信息系統控制要求，必須經過市公安局網絡安全備案，符合國家網絡安全二級及以上要求，承擔相關安全義務和責任，及時報告信息安全事件。第三章信息安全目標與工作原則第十五條信息安全工作的總體目標是：實施信息系統安全等級保護，建立和健全先進實用、完整可靠的信息安全體系，保證系統和信息的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應用，支撐互聯網醫院業務持續、穩定、健康發展。第十六條信息安全體系建設必須堅持以下原則1.堅持統一原則信息安全體系必須統一規劃、統一標準、統一設計、統一投資、統一建設、統一管理。2.保障應用原則保障網絡和信息系統，特別是全局網絡和重要業務信息系統不間斷穩定運行及其信息的安全，實現以應用促安全，以安全保應用。符合法規。信息安全體系要滿足法律法規要求，包括國家對信息系統等級保護、企業內部控制要求，積極采用法律法規允許的、成熟的先進技術和專業安全服務。3.綜合防范原則管理與技術并重，相互補充。從組織與流程、制度與人員、場地與環境、網絡與系統、數據與應用等多方面著手，在系統設計、建設和運維的多環節進行綜合防范。4.集中共享原則建立集中、統一的信息安全技術服務平臺和集中專業化的信息安全隊伍。第四章信息安全工作基本要求第十七條根據互聯網醫院信息安全專項規劃和總體方案，分層次建立以安全組織體系為核心、安全管理體系為保障、安全技術體系為支撐的全面信息安全體系，并保持三個體系穩定、均衡發展。第十八條建立全面的信息安全管理體系：制定并實施統一的信息安全策略、管理制度和技術標準。實行信息系統資產管理責任制，保護信息系統，特別是核心信息系統的設備、軟件、數據和技術文檔的安全。建立信息系統物理環境、網絡、系統、應用、數據等各層面的安全管理流程，實現對信息系統全生命周期的安全管理。實現對信息系統的安全風險管理，及時發現和防范安全隱患。第十九條建立有效的信息安全技術體系：強化網絡、桌面和應用系統的安全防護體系；按照自主定級、自主保護的原則，評估確定各信息系統保護等級并實施相應的保護措施。建立統一的網絡安全信任體系，加強網絡實體身份管理與認證，為網絡和信息系統安全運行提供信任基礎。建立完善有效的安全監控和預警體系，監控重要網絡和核心業務系統，及時發現安全隱患。建立全面有效的應急響應體系，制定并落實完整、規范的應急處理和響應流程，完善信息安全報告、處理機制。建立包括同城和異地容災備份中心的信息系統災難恢復體系，定期進行災難恢復的測試和演練，確保災難發生后能夠充分發揮備份的效能，盡可能降低災害造成的影響和損失。第五章信息安全監控第二十條信息安全監控的目的是對威脅系統、數據庫及網絡安全的因素進行有效控制，防止由于技術或人為因素導致的異常和損失，同時為其他安全措施的設計和實施提供可靠依據。安全監控的結果要保存一年以上。第二十一條信息系統的運行和維護部門，在國家法律和互聯網醫院有關規定許可的范圍內，具體進行規范、合理、有效的信息安全監控。使用互聯網醫院網絡及應用系統的用戶有義務接受必要的監控。監控不能影響、泄漏涉及安全問題的網上行為和個人隱私內容。第二十二條技術中心運維部安全組負責制定和實施信息安全監控計劃，包括日常監控、應急處理和定期匯報。第二十三條日常監控分為實時監控和定期檢查，包括應用系統、數據庫、操作系統、網絡、物理環境