0531-67800866
公司新闻 行业新闻 政策规定

【规范】明确自主可控、安全可信新规,要求中医医院等保、密评、数据安全、漏洞扫描、渗透测试等

发布时间:2024-12-20    浏览:0


         近日,国家中医药管理局发布了《中医医院信息与数字化建设规范(2024版)》(以下简称《规范(2024版)》),为中医医院建立健全信息与数字化工作的规范化管理体系提供了全新指导框架。


      《规范(2024版)》共10章82条,涵盖机构人员、规划与管理、基础设施、信息平台与业务应用、标准与评测、安全防护、数据管理与利用、运行维护等多个方面。

      《规范(2024版)》中提出了涉及自主可控、安全可信新规,要求等保、密评、数据安全、个人信息保护、漏洞扫描、渗透测试、应急响应等原则和要求。

自主可控、安全可信

        其中总则中提到"中医医院信息与数字化建设应当遵循以人为本、统筹规划,业务驱动、标准规范,信息互联、资源共享,安全可控、实用高效的原则。"

      "第四章 基础设施、第二十四条"提出:中医医院信息化基础设施应当选用自主可控、安全可信的先进技术,具备良好的可靠性、可扩展性、可管理性和高效性,做到安全适用、节能环保。(包括机房基础、服务器、存储、网络与安全设备、终端设备等硬件设施以及基础软件、客户端、其他辅助设施等。)

网络安全和数据安全

       总则提到"中医医院应当坚持安全与发展并重,履行网络安全和数据安全保护责任义务,严格执行网络安全等级保护、商用密码应用安全性评估、健康医疗数据分类分级、数据安全管理和个人信息保护要求,强化中医医院关键信息基础设施的安全防护"

       安全防护一章提到"中医医院应当按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)进行网络安全等级保护定级、备案、测评、安全建设整改等。"

      安全防护一章第五十条提到"中医医院应当按照《密码法》等有关法律法规使用商用密码保护信息系统和网络设施,同步规划、同步建设、同步运行商用密码保障系统,定期委托商用密码检测机构开展商用密码应用安全性评估。"

      安全防护一章第五十三条提到"中医医院应当每年开展文档核验、漏洞扫描、渗透测试等形式的安全自查,明确安全自查的频率,及时发现、整改可能存在的问题和隐患,并按要求将相关情况上报有关主管监管机构。"


图片


        通知原文如下:


国家中医药管理局关于印发
《中医医院信息与数字化建设规范(2024版)》的通知
国中医药规财函〔2024〕259号

各省、自治区、直辖市中医药主管部门,新疆生产建设兵团卫生健康委,局机关各部门、直属(管)各单位:
  为进一步加强和规范中医医院信息化建设,提升中医医院信息化与数字化水平,我局对《中医医院信息化建设基本规范》(国中医药办发〔2011〕46号)进行修订,形成了《中医医院信息与数字化建设规范(2024版)》。现印发给你们,请参照执行。
  国家中医药管理局
  2024年12月5日
  (信息公开形式:主动公开)
中医医院信息与数字化建设规范(2024版)
第一章 总则
  第一条 为加强和规范中医医院信息与数字化建设,提升中医医院智慧化水平,保障医疗质量和安全,提高管理水平和服务效率,促进中医药与新一代信息技术快速融合发展,根据国家相关法律法规、标准规范和行业管理规定,结合中医医院实际,特制定本规范。
  第二条 中医医院信息与数字化建设的目标是:以中医医院高质量发展为导向,以患者为中心,以业务应用为核心,以数据资源为关键要素,充分运用新一代信息技术,统筹发展和安全,重塑管理与服务模式,坚持传承精华、守正创新,持续推动医院业务与信息技术深度融合,构建中医药特色鲜明、服务管理规范、系统安全高效、信息互通共享的智慧中医医院。
  第三条 中医医院信息与数字化建设应当遵循以人为本、统筹规划,业务驱动、标准规范,信息互联、资源共享,安全可控、实用高效的原则
  第四条 中医医院应当充分运用云计算、大数据、物联网、移动互联网、人工智能、区块链等新一代信息技术,强化整体规划与顶层设计,深化医疗业务智能应用,重塑患者服务体系,优化诊疗流程,贯通诊前、诊中、诊后各环节,实现业务管理一体化、临床科研一体化、线上线下一体化,创新中医医院医疗服务与管理模式,提升中医医院智慧化水平。
  第五条 中医医院应当积极推进互联网中医医院、互联网中医医疗服务和远程医疗服务的发展,持续推进“互联网+中医药”便民惠民服务向纵深发展,推动开展线上线下一体化服务,提升便捷化、智能化、人性化服务水平;优化中医药资源配置,促进优质中医药资源下沉,推进区域中医药资源整合共享,提高中医药服务能力、水平和效率。
  第六条 中医医院应当充分发挥信息化对医疗联合体的支撑作用,对接区域全民健康信息平台和中医馆健康信息平台,强化中医药特色应用和业务功能集成,推进医疗联合体实现协同管理,促进电子健康档案和中医电子病历的连续记录与信息共享,实现医疗联合体内信息互通共享。
  第七条 中医医院应当以数据应用为导向,坚持价值引领、基础先行、稳步推进、融合创新、安全发展、开放合作的原则,推动中医药数据合规高效流通使用,为中医医院传承创新和高质量发展提供数据支撑。
  第八条 中医医院应当坚持安全与发展并重,履行网络安全和数据安全保护责任义务,严格执行网络安全等级保护、商用密码应用安全性评估、健康医疗数据分类分级、数据安全管理和个人信息保护要求,强化中医医院关键信息基础设施的安全防护。
  第九条 中医医院信息与数字化建设应当遵循国家和地方有关法律法规和管理制度,执行国家卫生健康委员会、国家中医药管理局等部门的相关标准与规范。
  第十条 本规范适用于二级及以上中医医院、中西医结合医院、少数民族医医院。
第二章 机构人员
  第十一条 中医医院应当成立网络安全和信息化工作领导小组,由医院主要负责人担任组长,成员包括书记或院长、分管副院长、信息管理与技术部门以及相关部门负责人。主要职责:统一领导和管理医院信息化和网络安全工作,审议医院信息化建设总体规划、年度计划,审核网络安全和信息化管理制度,协调医院网络安全和信息化建设中的重大问题。
  第十二条 中医医院应当设立信息管理与技术部门(医院一级职能部门)。主要职责:拟订医院网络安全和信息化建设总体规划、年度计划、年度资金预算,制定医院网络安全、数据安全和信息化建设管理规章制度,负责医院信息基础设施、信息系统的建设与运维,负责网络安全与数据安全管理,负责医院数据资源的管理、分析和利用,负责信息技术的咨询和服务,承担其他信息化相关工作。
  第十三条 中医医院应当成立信息化技术协调工作小组,信息管理与技术部门负责人担任组长,成员包括信息管理与技术部门以及相关部门负责人和相关学科的专家。主要职责:负责信息化工作的技术协调、流程优化、需求分析、标准规范和管理制度制定、业务培训以及软硬件产品选型等。各部门、各业务科室应当设置专(兼)职信息员,负责联系协调信息管理与技术部门开展有关信息化工作。
  第十四条 中医医院应当按开放床位与人员比例原则上不低于100:1.5合理配备专职信息管理和技术人员,开设互联网中医医院以及有第三方技术服务人员提供信息服务的情况下酌情增减。
  第十五条 中医医院应当建立信息化工作定岗定责制度,明确岗位分工与岗位职责,重要岗位实行双人负责制,敏感岗位实行轮岗制,签订安全保密协议。信息技术人员应当具备计算机技术、医药信息及相关专业的技术知识与技能。
  第十六条 中医医院应当将信息管理与技术培训、网络安全与数据安全教育培训纳入医院全员业务培训计划,开展包括入职培训、定期培训、项目培训、专题培训以及院外学习等培训和考核,考核结果纳入上岗条件和继续教育的内容。
第三章 规划与管理
  第十七条 中医医院应当将信息化工作列入医院发展的总体目标,加强整体规划和顶层设计,制定医院信息化长期规划、年度计划、网络安全与数据安全计划,满足医院整体发展的要求。
  第十八条 中医医院应当将信息化建设与运维经费列入医院年度预算,加大经费投入,确保医院信息化建设快速发展。
  第十九条 中医医院信息化建设规划制定应当根据医院发展战略要求,按照系统性、实用性、先进性、安全性、扩展性的要求,做好现状分析,明确医院信息化发展目标、主要任务和保障措施,突出重点,处理好全局与局部、近期与长期的关系。
  第二十条 中医医院信息化建设项目应当按照立项、采购、实施、验收、审计和评估等流程建设与管理,根据国家和地方的相关政策,做好招投标管理、政府采购、固定资产投资管理、项目管理等工作。
  第二十一条 中医医院应当以服务为导向,制定信息化工作管理制度,明确工作范围,定期检查执行情况及效果。管理制度包括信息化建设项目立项、实施、验收及值班、用户服务、数据服务、机房、数据备份、网络安全、应急响应、资产、文档、信息设备、信息系统、服务外包等。
  第二十二条 中医医院应当积极开展互联网中医医院、互联网中医医疗服务和远程医疗服务建设,建立基于互联网的医疗服务管理体系和相关管理制度、人员岗位职责、服务流程。管理制度包括医疗服务管理、信息系统使用管理、医疗质量控制和评价、在线处方管理、患者知情同意与登记、在线医疗文书管理、在线复诊患者风险评估与突发状况预防处置、人员培训考核以及停电、断网、设备故障、网络安全等突发事件的应急预案等。
  第二十三条 中医医院应当加强信息化工作考核管理,建立信息化工作考核奖惩制度,明确考核内容、形式、周期和方法。
第四章 基础设施
  第二十四条 中医医院信息化基础设施一般包括机房基础、服务器、存储、网络与安全设备、终端设备等硬件设施以及基础软件、客户端、其他辅助设施等。基础设施应当选用自主可控、安全可信的先进技术,具备良好的可靠性、可扩展性、可管理性和高效性,做到安全适用、节能环保。鼓励发展绿色智能终端、绿色信息网络等,推进绿色化发展。
  第二十五条 数据中心机房基础设施建设应当依据《数据中心设计规范》(GB 50174-2017)等相关要求和医院实际,二级中医医院参照C级标准、三级中医医院参照B级标准进行规划设计和建设,确保基础设施设备与信息系统稳定、高效、节能、安全运行。在本地或异地应当建立与主机房同等级的容灾备用机房,备用机房面积为主机房的50%及以上。
  第二十六条 服务器应当根据医院规模和业务发展实际合理配置,满足以下主要技术要求:
  ——基本要求:资源配置(CPU、内存、硬盘、I/O等)与业务需求相匹配,实现资源均衡发展与使用。
  ——可扩展性:具有横向和纵向可扩展性,满足信息系统的处理能力需求。
  ——高可靠性:服务器各部件在提供足够性能的前提下,具有良好的可靠性,并能提供多种保护机制和冗余设计。
  ——管理自动化:提供标准化的接口以支持监控和管理功能。
  第二十七条 存储系统配置应当结合医院业务总体需求特点综合规划,支持信息系统业务的连续性,基本技术要求包括:
  ——高可靠性:选用高可靠性存储产品,设备充分考虑冗余、容错能力。
  ——可扩展性:根据医院业务的变化进行平滑扩充和升级。
  ——灵活性和简便性:支持集中监控、分权管理,统一分配存储资源,支持故障自动报警。
  ——高性能:具备高吞吐低延时能力,保证数据可靠高速传输。
  第二十八条 终端设备配置应当满足信息系统的运行需要,支持信息系统所需的各种接入设备,具有稳定性、安全性、兼容性、扩展性。
  第二十九条 基础软件应当满足以下基本技术要求:
  ——操作系统支持主流服务器、终端设备,支持应用开发的主流框架。
  ——服务器虚拟化软件具备虚拟化集群、虚拟机配置管理、网络策略管理、在线迁移、在线克隆模板等功能,支持主流基础设施组件,具备报警管理、主流参数的阈值配置管理功能,支持主流内置备份模块,具备I/O虚拟化、动态负载均衡、故障自动迁移等功能。
  ——桌面虚拟化软件支持主流终端和外设、终端操作系统,具备批量部署、升级、桌面负载均衡等管理功能,支持应用快速部署、主流安全访问控制技术。
  ——数据库系统应当兼容主流服务器操作系统,满足信息系统高并发要求。
  第三十条 网络系统建设应当符合国家相关技术标准和规范要求,充分体现高性能、高可用性、高扩展性、高安全性和先进性,提供足够网络带宽容量,满足医院信息系统可靠性、安全性、灾备的要求,根据业务需求划分为不同网络分别管理,支持设备级和链路级的冗余备份,满足医院业务需求及不间断运行。
  第三十一条 网络设备应当根据信息化业务实际进行配置,核心设备技术要求包括:
  ——核心交换机的核心模块应当冗余配置,支持主流转发模式、堆叠技术、隧道及加密技术等,支持主流的二、三层网络协议及安全加密传输技术,支持多业务板卡,并具备一定的扩展性。业务板卡支持热插拔,支持千兆光电网口、万兆光电网口。
  ——无线控制器支持主流接入控制、虚拟化、分层管理等技术,支持主流安全防御技术,支持无感知认证和主流转发模式,吞吐性能和最大无线访问接入点数量根据实际选配。
  第三十二条 容灾备份系统应当与医院信息系统建设同步进行,充分利用已有资源,坚持成本和效益平衡,选择适宜的技术架构,保障数据完整性和应用连续性。
  第三十三条 中医医院选择服务器、存储设备等托管或租用服务,服务提供商应当具备相关资质,数据中心符合国家、行业相关标准和规范,并具备完善的机房设施、充足可靠的网络资源、可靠的安全防护体系、专业的运维监控平台以及容灾备份系统等。
第五章 信息平台与业务应用
  第三十四条 中医医院应当开展以中医电子病历为核心的医院信息平台建设,突出中医药特色,实现医院内部和区域之间信息资源的高效统一、系统整合、互联互通、信息共享。注重人工智能等新一代信息技术的融合应用,加强对“算力”“算法”资源的利用。
  第三十五条 基于中医电子病历的医院信息平台是以中医电子病历的信息采集、存储和集中管理为基础,连接临床信息系统和管理信息系统的医疗信息共享和业务协作平台,是医院内不同业务系统之间实现统一集成、资源整合和高效运转的基础和载体,是跨机构医疗信息共享和业务协同服务的重要环节。
  第三十六条 中医医院信息平台基本要求包括:
  ——软件架构:具有消息路由功能,支持医院自动化业务流程编排和人工参与的工作流,支持基于事件驱动的消息传输机制,支持服务的发布与订阅。
  ——管理功能:提供管理所有业务系统集成节点的工具,监控医院信息平台运行状态,及时反馈运行状态信息;支持对访问内容的用户授权及认证,支持数据防篡改及隐私数据保密,支持业务流程的追踪与审计,支持日志的记录与查看,支持消息可靠性传递及消息追踪等;提供二次开发环境,支持基础业务组件的封装和维护管理。
  ——交互信息:支持医疗健康与中医药数据标准。
  ——集成能力:支持使用主流技术对院内服务和区域服务进行封装和集成。
  ——稳定性:保持系统的稳定、可靠、持续运行。
  ——安全性:满足网络安全等级保护相关要求。
  第三十七条 中医医院信息平台基本功能要求包括:
  ——业务及数据服务:对主数据进行注册登记,建立唯一标识和资源索引,实现服务资源共享;提供主数据共享管理和应用服务,实现患者主索引生成、维护及应用服务,支持电子病历档案的获取、组织和共享管理服务。
  ——数据访问与存储:对信息系统提供标准的数据交换和共享服务,实现平台数据的统一存储、处理和管理,支持对数据进行评价和分析。
  ——业务协同基础:提供与医疗业务协同相关的管理和服务,实现多种协同服务工具的组件化和统一管理。
  ——服务接入与管控:实现用户仅登录一次即可访问所有授权信息系统,对平台接入的服务进行可视化的配置管理,支持对平台运行状态的智能监控和故障分析。
  ——医院门户:实现医院各类信息基于浏览器的集成展示和发布,具备各种应用系统、数据资源和互联网资源等多项信息集成访问及发布功能。
  第三十八条 中医医院信息平台安全与性能基本要求包括:
  ——满足《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)等相关标准对系统灾备恢复的要求。
  ——保证数据传输通畅、快捷、安全。
  ——带宽能保证系统正常访问。
  ——提供多种接入方式,必要时需提供安全认证手段。
  第三十九条 中医医院应当推进业务应用系统建设,保障医疗质量和安全,提高医疗服务效率,突出中医药特色应用,改善群众就医体验,提升便民服务能力,加强医疗服务监管,为人民群众提供全方位医疗服务。
  ——实现诊疗服务环节全覆盖:将电子病历数字化向门诊、药学、护理、麻醉手术、影像、检验、病理以及中医药特色治疗等诊疗环节拓展,全面提升临床诊疗工作的数字化程度,实现电子病历数字化诊疗服务环节全覆盖。
  ——提供临床诊疗决策支持:将临床路径、临床诊疗指南、技术规范和用药指南等嵌入信息系统,提高临床诊疗规范化水平。
  ——改善医疗服务体验:推进便捷就医服务,优化医疗服务流程,贯通诊前、诊中、诊后各环节,为患者提供线上预约、移动支付、诊间结算、床旁结算、就诊提醒、结果查询、信息推送等便捷服务。
  ——强化诊疗行为监管:开发并应用数字化评判工具,分析判断诊疗行为是否符合相关法律法规、核心制度、技术规范、用药指南等要求。强化诊疗权限管理,将医师资格、护士资格、医师处方权、手术级别权限、抗菌药物处方权限等信息纳入中医电子病历系统,实现后台控制与管理,对医务人员登录电子病历系统记录、查阅、修改病历信息和签署医疗文书等分级分类设置权限,防止出现超权限诊疗行为。
  ——加强中医医疗质量控制和评价:利用中医电子病历系统开展医疗服务质量控制、效果和效率指标的统计分析和评价。建立质量控制数字化指标体系,确立质控节点和方法,实施全程、实时、全面医疗质量控制。
  ——大力推进中医药特色应用:建立智能化的辅助决策系统和名老中医药专家经验传承及推广应用系统,积极开展共享中药房和中医药健康管理智慧化建设,强化中医药特色治疗过程与质量的智慧化管理和控制,持续提升中医药特色治疗疗效、服务质量和管理水平,为患者提供全流程的数字化、智能化中医药特色服务。
  ——促进线上线下医疗服务融合发展:应用互联网等信息技术拓展医疗服务空间和内容,推进远程监测、远程指导、健康教育,允许医师在掌握患者病历资料后在线开展部分常见病、慢性病复诊及开具处方,药师在线审核处方及药品配送等。
  ——推进系统整合和互联互通:加强医院信息平台建设,形成基于平台的整体统一的中医电子病历系统,实现医院各诊疗环节信息互联互通,建立紧密型医疗联合体的中医医院,实现医联体内各医疗机构电子病历系统互联互通。
  第四十条 中医医院业务应用系统应当参照《全国医院信息化建设标准与规范(试行)》及中医医院相关业务应用系统标准规范开展建设。
  第四十一条 中医医院业务应用包括但不限于以下功能点:
  ——便民服务:包括互联网服务、预约服务、就诊服务、信用服务、陪护服务、药品配送服务、满意度评价、信息推送与公开等。
  ——医疗服务:包括中医医疗业务、中医护理业务、医技业务、治未病业务、慢病业务、中医药特色业务等。
  ——医疗管理:包括医务管理、护理管理、药事管理、院感管理、卫生应急管理、数据上报管理、煎药管理等。
  ——医疗协同:包括院内协同、区域协同等。
  ——运营管理:包括财务管理、预算成本管理、资产管理、设备管理、物资管理、基建管理等。
  ——科研管理:包括科研项目管理、科研辅助管理、应用转化管理、临床试验等。
  ——教育管理:包括学分管理、培训管理、考试管理、继续教育管理以及师承教育管理等。
  ——人力资源管理:包括人力资源信息管理、绩效管理、战略规划、执行管理等。
  ——后勤管理:包括楼宇智能管理、医疗辅助管理、会议管理等。
  第四十二条 中医医院开展互联网诊疗、远程医疗和设置互联网医院应当遵循国家卫生健康委员会、国家中医药管理局等行政主管部门的相关规定。
第六章 标准与测评
  第四十三条 中医医院信息标准建设与应用应当遵循国家和行业标准,按照标准先行、规范有序、统一共享、开放融合的基本要求,制定标准应用实施方案,积极采用国家、行业、地方信息标准,鼓励应用中医药信息团体标准。鼓励少数民族医医院根据自身条件应用相关标准。
  第四十四条 中医医院应当基于国家、行业和地方信息标准规范,结合医院实际,制修订、应用、实施和管理医院相关信息标准,在信息化系统建设和运维管理时制订和应用实施相关标准,实现系统之间标准统一,现有系统逐步向标准规范过渡。
  第四十五条 中医医院应当持续推进标准规范应用实施工作,形成学习标准、遵守标准、运用标准、贯彻标准的良好氛围,主动运用标准评价医院信息化应用水平和效果。
  第四十六条 中医医院应当积极参加医院信息互联互通标准化成熟度测评及实际应用效果评价,实现诊前、诊中、诊后全流程各环节信息互联互通,三级医院达到医院信息互联互通标准化成熟度测评四级及以上水平,二级医院达到医院信息互联互通标准化成熟度测评三级及以上水平。少数民族医医院根据实际情况,参照执行。
  第四十七条 中医医院应当持续推进智慧医疗、智慧服务、智慧管理“三位一体”的智慧医院建设,中医医院应当积极参加电子病历系统应用水平、智慧服务和智慧管理分级评估并达到相关要求。
第七章 安全防护
  第四十八条 中医医院网络安全管理应当坚持“等级保护、突出重点、积极防御、综合防护”的基本要求,落实和实施网络安全等级保护制度,建立健全网络安全管理制度,明确网络安全管理岗位与职责,全面梳理分析网络安全保护需求,建立医院网络安全防护体系和总体安全策略。
  第四十九条 中医医院应当按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)进行网络安全等级保护定级、备案、测评、安全建设整改等
  第五十条 中医医院应当按照《密码法》等有关法律法规使用商用密码保护信息系统和网络设施,同步规划、同步建设、同步运行商用密码保障系统,定期委托商用密码检测机构开展商用密码应用安全性评估。
  第五十一条 安全技术主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面进行安全防范和保护,基本要求包括:
  ——安全物理环境:从物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面实施安全防范。
  ——安全通信网络:包括网络架构、通信传输和可信验证,网络架构保证网络设备的业务处理能力,网络带宽满足业务高峰期需要,通信线路、关键网络设备和关键计算设备提供硬件冗余;通信传输采用校验技术或密码技术保证数据的完整性、保密性;可信验证对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并将验证结果形成审计记录送至安全管理中心。
  ——安全区域边界:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证,部署防火墙设备、网闸或其他访问控制设备,具备精细粒度的访问控制,部署检测设备实现探测网络入侵和非法外联行为。
  ——安全计算环境:主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等。
  ——安全管理中心:包括系统管理、审计管理、安全管理和集中管控。
  ——采用云计算、移动互联、物联网等技术时,按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)进行安全防护。
  第五十二条 中医医院应当建立网络安全工作管理平台,实现对信息系统的安全定级备案、差距分析、整改建设、等级测评、监督检查、系统废止等全面管理。
  第五十三条 中医医院应当每年开展文档核验、漏洞扫描、渗透测试等形式的安全自查,明确安全自查的频率,及时发现、整改可能存在的问题和隐患,并按要求将相关情况上报有关主管监管机构。
  第五十四条 中医医院应当按照网络安全等级保护相关要求加强内部人员和外部人员的安全管理。
  ——内部人员安全管理:制定人员录用、管理考核、教育培训、离岗离职、保密协议等相关管理制度,定期开展技能考核。
  ——外部人员安全管理:包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外部人员,以及临时来访的第三方人员,制定相应访问管理制度和操作规程。长期驻场的外部人员,参照内部人员安全要求管理。
  第五十五条 中医医院运行维护安全管理应当实现体系化,对环境、资产、介质、设备、数据进行综合监控管理,对重要信息系统的资源进行监控保护;对信息系统安全运行维护所需要的密码保护、病毒扫描、变更等事件,建立运行维护管理制度,及时上报网络与信息安全漏洞、事件发生和处理情况。
  第五十六条 中医医院应当建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度,定期检查或评估医疗设备信息和网络安全,并采取相应的安全管控措施,确保医疗设备网络安全。
  第五十七条 中医医院应当遵守《数据安全法》《个人信息保护法》等法律法规,履行数据安全保护义务,坚持保障数据安全与发展并重,实行数据分类分级保护。关键信息基础设施运营者应当拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。
  第五十八条 中医医院信息系统突发事件应急管理的基本要求包括:
  ——应对原则:统一领导、分级控制、预防为主、健全制度、快速响应、有效配合。
  ——建立突发事件应对体系,包括组织机构、工作职责、应急预案、应急演练、通信系统以及必要的物资储备等。
  ——应急预案采用手工、半手工、备用系统等多种可使业务持续运行的手段,对关键业务的处理流程制定应急操作步骤,定期按照计划实施演练。
  ——建立信息系统预警等级制度,发生信息系统突发事件,立即上报和确定等级,启动相应应急预案。
  ——定期开展应对信息系统突发事件的宣传和技术培训,保证应急预案的有效实施,不断提高信息系统的应急能力。
  第五十九条 鼓励中医医院开展信息系统审计工作,建立信息系统审计制度,医院审计部门或委托第三方在系统设计、实施、运行、验收等阶段对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制。
  第六十条 中医医院应当加强信息系统风险评估,定期对信息系统的风险进行有效的识别、分析和控制,包括硬件资源的破坏与丢失、数据与程序文件的破坏与丢失、对实现系统功能的不利影响和对系统资源的非法使用等;针对风险分析结果制定相应的预防措施;保密分析过程与结果,避免非法利用系统弱点。
  第六十一条 中医医院应当评估应用大数据、人工智能、区块链等技术的安全风险,做好安全管控,达到应用与安全的平衡。
  第六十二条 中医医院应当加强数据安全管理
  ——每年全面梳理数据资源,依据数据的重要程度以及遭到破坏后的危害程度对医院数据进行分类分级。
  ——健全数据安全管理制度、操作规程及技术规范,建立完善数据使用申请及批准流程,实行事前审批、事中监管、事后审核,严格执行职能部门同意、医院领导核准的工作流程,指导数据活动流程合规。
  ——严格执行信息安全和医疗数据保密的有关法律法规,不得私自复制、下载、传播和泄漏患者信息。
  ——加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理,做好医疗数据安全存储和容灾备份,建立健全患者信息等敏感数据委托处理、对外共享影响评估制度。数据全生命周期活动应在境内开展,因业务确需向境外提供的,依法依规进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动须提交国家安全审查,防止数据安全事件发生。
第八章 数据管理与利用
  第六十三条 中医医院应当充分利用数据资源,以数据产权、流通交易、收益分配、安全治理为重点,积极开展数据管理和利用,构建适应中医药数据特征的数据基础制度,实现数据要素价值。
  第六十四条 中医医院应当积极探索建立数据资源管理制度。依法合规管理数据资源,保护中医药数据在收集、生成、存储、管理数据资源过程中的相关权益,组织梳理数据资源范围,确认数据资源目录清单,明晰数据资源权责关系,构建分类科学的数据资源产权体系。
  第六十五条 中医医院应建立分类科学、分级准确、管理有序的数据治理体系,围绕数据全生命周期,建立数据治理服务平台,通过质量监控、诊断评估、清洗修复、数据维护等方式,提高数据质量,确保数据可用、易用。
  第六十六条 中医医院应当稳妥推动数据资源开发利用,完善数据资源开发利用规则,推进形成权责清晰、过程透明、风险可控的数据资源开发利用机制,严格按照“原始数据不出域、数据可用不可见”要求和资产管理制度规定,探索开展数据资源开发利用新模式。
  第六十七条 中医医院应当做好数据的分析、利用工作,加强大数据、人工智能等新一代信息技术应用,规范利用数据要素,构建中医医院数据分析和利用管理体系。包括但不限于以下内容:
  ——管理决策支持:支持指标管理、实时统计分析的管理辅助决策,支持基于大数据的疾病分析、智能报告、决策推演、移动决策等。
  ——临床决策支持:包括病案智能分析、临床辅助诊断与决策支持、具备统计模型的大数据科研平台等。
  ——名老中医经验传承:包括名老中医学术思想、临床经验等数据分析。
  ——中医药文化传承:包括古籍知识、方剂知识、穴位知识、针灸处方、病症知识等数据分析利用。
  ——中医药科技成果转化与推广:包括中医药科研数据交流共享、科研成果转化、专长绝技收集整理等。
  第六十八条 中医医院应当做好数据共享利用工作,建设跨地域、跨部门、跨系统的数据共享机制,明确数据共享的原则、协议和安全管理措施,做好医院内及医院间数据共享工作,实现数据的互联、互通、互认。
第九章 运行维护
  第六十九条 中医医院信息系统运行维护应当做好服务规划、系统日常事务处理、变更与升级管理、供应商管理和沟通协同工作,保证系统不间断运行,持久地满足用户需求。
  第七十条 中医医院应当建立医院信息系统运行与维护管理机制,明确系统运行的管理部门、维护部门、使用部门和个人的职责。建立用户请求服务机制和重大事件上报制度,定期检查与监督管理制度、操作规程的执行情况。
  第七十一条 中医医院应当根据信息系统对医院正常运营影响情况的重要性、紧急性等进行分级,针对不同分级信息系统区分制定维护管理要求和目标,包括资源保障、组织与人员要求、服务过程、供应商等要求。
  第七十二条 中医医院应当建立与医院内部人员以及患者之间的运维服务沟通协同机制和信息服务平台,包括运维服务的宣传与介绍、服务过程中的协同、服务完成后的评价。
  第七十三条 中医医院应当加强对供应商服务的管理,制定供应服务商(含外包服务)管理制度和工作流程,内容包括服务的范围和内容、职责与权利、服务期限、驻场要求、人员能力要求、文件化的服务级别管理要求等。与供应商及其服务人员签订安全与保密协议和承诺书。
  第七十四条 中医医院应当制定医院软硬件系统运行维护操作规程,主要包括医院软硬件系统的安装、日常操作、变更、升级、维护和故障处理等方面。内容包括操作目的、内容、步骤、结果、正常反应及异常反应、出现异常反应时的处理方法及处理时间和环境要求等。
  第七十五条 中医医院应当加强远程运维管理,因业务确需通过互联网远程运维的,应当评估论证安全风险,并采取相应的安全管控措施,防止远程端口暴露引发安全事件。
  第七十六条 中医医院应当确立运行维护服务管理对象,明确运行维护的操作内容、维护频度和对应的责任人等服务内容,做到可追踪可管理。运行维护服务管理对象主要包括基础设施、系统与数据、管理工具、人员等。
  第七十七条 中医医院应当依据运行维护管理环节、管理内容、管理要求制定统一的运行维护工作流程,实现运行维护工作的标准化、规范化和自动化。内容包括事件管理、问题管理、变更管理、配置管理以及其他维护服务管理。
  第七十八条 中医医院应当加强信息设备与网络运行维护工作,主要包括安装操作、日常管理与维护、故障处理等内容,按规程进行安装操作,记录日常监控和维护日志,定时检查信息设备以及辅助设备运行、性能、资源情况,制定故障处理详细步骤和风险预防措施,确保信息设备和网络正常运行。
  第七十九条 中医医院应当加强应用系统及数据库管理系统运行维护工作,建立数据质量控制和备份容灾的管理机制,统一应用系统和数据库系统的管理,实时监测并反馈运行情况,记录数据库日常监控和维护日志,做好基础数据和系统配置的维护。
  第八十条 中医医院应当建立系统变更、升级和扩展操作的管理规程,包括软件、硬件、数据和文档等。制订完整的升级、扩展和变更实施方案,经审核和测试后实施。
第十章 附则
  第八十一条 本规范由国家中医药管理局负责解释。
  第八十二条 本规范自发布之日起施行。2011年国家中医药管理局发布的《中医医院信息化建设基本规范》同时废止。


      文章来源:信创之路