医疗机构信息安全管理制度.doc

医疗机构信息安全管理制度

TOC\o1-2\h\u22454第一章信息安全基本规定 3

268601.1信息安全政策 3

73401.1.1本医疗机构坚持信息安全政策，保证信息资源的安全、完整、可用和必威体育官网网址性。 3

213031.1.2信息安全政策旨在指导医疗机构的信息安全工作，保障医疗业务正常运行，保护患者隐私，维护医疗机构形象和利益。 3

251861.1.3信息安全政策遵循以下原则： 3

255831.1.4信息安全政策包括以下内容： 3

153081.2信息安全组织架构 4

86011.2.1本医疗机构设立信息安全领导小组，负责制定和落实信息安全政策，协调、指导、监督信息安全工作。 4

243741.2.2信息安全领导小组由以下成员组成： 4

296351.2.3信息安全领导小组下设信息安全办公室，负责信息安全日常管理工作。 4

160321.2.4信息安全办公室主要职责如下： 4

129111.2.5各部门应当设立信息安全联络员，负责本部门信息安全工作的沟通和协调。 4

20474第二章信息安全管理责任 4

271042.1信息安全责任划分 4

277232.1.1医疗机构应明确信息安全责任划分，保证各级管理人员、技术人员和医务人员均明确自身的信息安全职责。 4

157772.1.2机构主要负责人为信息安全第一责任人，对机构信息安全工作负总责。其主要职责包括： 5

94812.1.3信息安全管理部门负责人负责组织制定信息安全管理制度，监督执行信息安全政策，保证信息安全措施的落实。 5

279092.1.4信息安全技术人员负责信息系统安全防护、风险评估、安全事件应对等工作。 5

105352.1.5医务人员应遵守信息安全规定，保护患者隐私，保证医疗信息的安全。 5

195702.2信息安全职责履行 5

244882.2.1机构主要负责人应定期组织召开信息安全工作会议，研究解决信息安全工作中的问题，保证信息安全工作的顺利进行。 5

251402.2.2信息安全管理部门负责人应建立健全信息安全管理制度，定期对信息安全工作进行自查自纠，发觉问题及时整改。 5

193842.2.3信息安全技术人员应定期对信息系统进行安全检查，发觉安全隐患及时整改，保证信息系统安全稳定运行。 5

27282.2.4医务人员应严格执行信息安全规定，不得泄露患者隐私，发觉信息安全问题及时报告。 5

119262.3信息安全培训与考核 5

263652.3.1医疗机构应定期组织信息安全培训，提高全体员工的信息安全意识和技术水平。 5

158382.3.2培训内容应包括信息安全法律法规、信息安全意识、信息安全技能等方面。 5

130362.3.3培训结束后，应对员工进行考核，保证培训效果。 5

145652.3.4对于考核不合格的员工，应进行补训，直至合格。 5

166402.3.5医疗机构应建立健全信息安全培训档案，记录员工培训情况。 6

15950第三章信息安全防护措施 6

67713.1物理安全防护 6

28233.1.1目的与意义 6

262863.1.2防护措施 6

220823.2数据安全防护 6

81583.2.1目的与意义 6

230843.2.2防护措施 6

13593.3网络安全防护 7

223843.3.1目的与意义 7

3513.3.2防护措施 7

4556第四章信息安全事件应对 7

103134.1信息安全事件分类 7

302654.2信息安全事件报告 7

240944.2.1报告原则 7

244474.2.2报告流程 7

260154.3信息安全事件处理 8

215404.3.1处理原则 8

263314.3.2处理流程 8

12565第五章信息安全审计 8

132405.1审计策略与程序 8

37225.2审计结果分析与处理 9

468第六章信息安全风险管理 10

227556.1风险评估与分类 10

195546.1.1风险评估目的 10

96196.1.2风险评估流程 10

260896.1.3风险分类 10

195476.2风险应对策略 10

166626.2.1风险预防 10

203216.2.2风险转移 11

289266.2.3风险减轻