醫(yī)院信息安全與隱私保護(hù)制度第一章總則第一條目的和依據(jù)本制度的目的是為了保護(hù)醫(yī)院的信息安全，有效保障患者和醫(yī)務(wù)人員的隱私權(quán)益。依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及相關(guān)法律法規(guī)，訂立本制度。第二條適用范圍本制度適用于醫(yī)院的各個(gè)部門、員工及相關(guān)系統(tǒng)，包含但不限于信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備、醫(yī)院電子病歷系統(tǒng)等。第三條定義信息安全：指醫(yī)院信息資源及其相關(guān)系統(tǒng)，不受未經(jīng)授權(quán)的訪問(wèn)、使用、披露、破壞、修改、復(fù)制等威逼的狀態(tài)。隱私保護(hù)：指對(duì)于個(gè)人、醫(yī)療記錄等敏感信息的保護(hù)措施，保證個(gè)人信息不被非法取得、使用和披露。第二章信息安全管理第四條信息安全責(zé)任醫(yī)院設(shè)立信息安全管理崗位，并明確崗位職責(zé)，負(fù)責(zé)信息安全管理工作。醫(yī)院領(lǐng)導(dǎo)層應(yīng)當(dāng)高度重視信息安全工作，落實(shí)信息安全責(zé)任制，保證信息安全管理的順利實(shí)施。第五條信息資產(chǎn)管理醫(yī)院應(yīng)建立信息資產(chǎn)清單，明確各類信息資源的價(jià)值、涉及的風(fēng)險(xiǎn)等級(jí)，并采取相應(yīng)的措施進(jìn)行保護(hù)。其中包含但不限于醫(yī)療記錄、患者個(gè)人信息、醫(yī)院內(nèi)部管理信息等。第六條訪問(wèn)掌控醫(yī)院應(yīng)訂立門禁制度，對(duì)各類信息資源的訪問(wèn)進(jìn)行權(quán)限掌控，實(shí)施身份驗(yàn)證和訪問(wèn)審計(jì)。員工需要經(jīng)過(guò)安全意識(shí)培訓(xùn)，并簽署保密協(xié)議，嚴(yán)格遵守醫(yī)院的信息安全規(guī)定。第七條網(wǎng)絡(luò)安全管理醫(yī)院應(yīng)建立安全網(wǎng)絡(luò)環(huán)境，采取防火墻、入侵檢測(cè)系統(tǒng)、反病毒系統(tǒng)等技術(shù)手段，防范網(wǎng)絡(luò)攻擊和信息泄露。醫(yī)務(wù)人員在使用醫(yī)院網(wǎng)絡(luò)時(shí)，應(yīng)注意網(wǎng)絡(luò)安全，不得隨便下載、安裝未經(jīng)授權(quán)的軟件，不得隨便訪問(wèn)未經(jīng)授權(quán)的網(wǎng)站。第八條存儲(chǔ)與備份醫(yī)院應(yīng)建立數(shù)據(jù)存儲(chǔ)和備份制度，確保信息數(shù)據(jù)的安全可靠。醫(yī)院應(yīng)定期備份數(shù)據(jù)，并對(duì)備份數(shù)據(jù)進(jìn)行安全存儲(chǔ)和管理，防止數(shù)據(jù)丟失或泄漏。第九條安全事件應(yīng)急響應(yīng)醫(yī)院應(yīng)建立完善的安全事件應(yīng)急響應(yīng)機(jī)制，包含安全事件的報(bào)告、記錄、調(diào)查、應(yīng)急響應(yīng)等。發(fā)生安全事件時(shí)，應(yīng)及時(shí)采取措施，進(jìn)行調(diào)查處理，并在法律法規(guī)規(guī)定的時(shí)間內(nèi)上報(bào)相關(guān)部門。第十條審計(jì)監(jiān)控醫(yī)院應(yīng)建立信息安全審計(jì)監(jiān)掌控度，對(duì)信息系統(tǒng)和網(wǎng)絡(luò)進(jìn)行定期審計(jì)，發(fā)現(xiàn)安全漏洞和風(fēng)險(xiǎn)，及時(shí)進(jìn)行修復(fù)和處理。第三章隱私保護(hù)管理第十一條隱私政策公告醫(yī)院應(yīng)當(dāng)發(fā)布隱私政策公告，明確患者個(gè)人信息的收集、使用、披露等事項(xiàng)，并明確保護(hù)隱私的措施。第十二條個(gè)人信息保護(hù)醫(yī)院在搜集、存儲(chǔ)、使用和披露患者個(gè)人信息時(shí)，應(yīng)遵從合法、正當(dāng)、必需的原則，并與患者簽訂合法合規(guī)的個(gè)人信息保護(hù)協(xié)議。第十三條數(shù)據(jù)共享與披露醫(yī)院在數(shù)據(jù)共享或披露情況下，應(yīng)事先與相關(guān)機(jī)構(gòu)或個(gè)人簽署保密協(xié)議，保護(hù)患者個(gè)人信息的安全。第十四條訪問(wèn)與修改權(quán)患者有權(quán)要求醫(yī)院供應(yīng)其個(gè)人信息的訪問(wèn)和修改，醫(yī)院應(yīng)依照合法合規(guī)的程序供應(yīng)相應(yīng)服務(wù)，并保證信息的準(zhǔn)確性和安全性。第十五條隱私事件應(yīng)急響應(yīng)醫(yī)院應(yīng)建立隱私事件應(yīng)急響應(yīng)機(jī)制，對(duì)隱私事件進(jìn)行及時(shí)、有效的處理，保護(hù)患者隱私權(quán)益。第十六條保密合同和保密義務(wù)醫(yī)院應(yīng)與員工、合作伙伴簽訂保密合同，明確保密義務(wù)和責(zé)任，加強(qiáng)對(duì)員工和合作伙伴的保密教育和管理。第四章監(jiān)督與懲罰第十七條監(jiān)督機(jī)制醫(yī)院應(yīng)建立健全信息安全與隱私保護(hù)的監(jiān)督機(jī)制，定期進(jìn)行內(nèi)部檢查和外部評(píng)估，及時(shí)發(fā)現(xiàn)問(wèn)題并進(jìn)行整改。第十八條違規(guī)處理對(duì)于違反本制度的行為，醫(yī)院將依照相關(guān)法律法規(guī)和內(nèi)部規(guī)定進(jìn)行相應(yīng)的懲罰，包含但不限于口頭警告、記過(guò)、降職、開(kāi)除等懲罰。第十九條法律責(zé)任醫(yī)院及其員工假如涉嫌違反有關(guān)信息安全和隱私保護(hù)的法律法規(guī)，將承當(dāng)相應(yīng)的法律責(zé)任，并承當(dāng)造成的全部損失。第五章附則第二十條本制度解釋權(quán)本制度的解釋權(quán)屬于醫(yī)院信息安全管理崗位，并在醫(yī)院內(nèi)部進(jìn)行公告和推廣。第二十一條本制度的修訂隨著法律法規(guī)的更改和醫(yī)院的實(shí)際情況，本制度將依據(jù)需要進(jìn)行修訂和完善，修訂后的制度將在醫(yī)院內(nèi)部進(jìn)行公告和推廣。第二十二條本制度的實(shí)施本制度自公布之日起