第一章  总则

第一条 为加强四川大学华西临床医学院（华西医院）（以下简称医（学）院）信息安全管理，保护患者诊疗信息安全，保障医（学）院信息系统稳定运行，引导部（处）、科（室）和员工树立正确的安全意识和责任感，根据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》及《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）等有关法律法规标准，制定本办法。

第二条 本办法所称的网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。本办法所称的数据是指我院通过网络收集、存储、传输、处理和产生的各种数据，包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

第三条 信息安全体系的建立是全院各部（处）、科（室）共同的职责，全院应按照“管业务就要管安全”，“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，落实信息安全责任制，明确各方责任，书面约定并落实医（学）院信息化建设参与单位及相关医疗设备生产经营企业的网络安全义务和违约责任， 避免发生信息安全事件和意识形态问题，持续推动信息安全体系的完善和改进。

第四条 本办法是院内所有信息相关安全行为和规范的指导原则，是建立覆盖患者诊疗信息管理全流程的制度和技术保障体系的根本依据。

第二章  组织机构及职责

第五条 由医（学）院信息化建设管理委员会负责信息安全领导工作，包括信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、与安全组织与供应商的沟通。医（学）院信息化建设管理委员会由院长任主任委员，为医（学）院信息安全管理第一责任人。分管信息化的副院长和分管医疗的副院长任副主任委员，信息中心负责人任秘书，医（学）院各职能部处负责人及医疗、教学、科研专家代表任委员。

第六条 由医（学）院信息安全工作小组负责信息安全具体工作，包括落实领导小组各项决议，并负责日常信息安全管理实施与督查。医（学）院信息安全工作小组由信息中心主任任组长，设机房管理、系统管理、数据库管理、网络管理和安全管理专岗，信息中心所有人员参与。

第三章  网络安全管理

第七条 医（学） 院信息化建设管理委员会负责领导制定网络安全管理制度，每年至少组织召开一次网络安全办公会，部署安全重点工作，落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求，开展医疗系统（HIS、RIS、LIS、PACS等）、教学系统、科研系统、大数据集成应用平台、办公系统（OA等）、对外门户（官网、华医通等）等院内网络的等级保护定级、备案、测评、安全建设整改等工作：

（一）全面梳理分析网络安全保护需求，按照“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，制定符合网络安全保护等级要求的整体规划和建设方案，加强信息系统自行开发或外包开发过程中的安全管理，全面落实安全保护措施。

（二）根据网络的功能、服务范围、服务对象和处理数据等情况，依据相关标准科学确定网络的安全保护等级，并报上级主管部门审核同意。对已定级备案网络的安全性进行检测评估，每年至少一次开展网络安全等级测评。

（三）针对等级测评中发现的问题隐患，结合外在的威胁风险，按照法律法规、政策和标准要求，制定网络安全整改方案，有针对性地开展整改，及时消除风险隐患，补强管理和技术短板，提升安全防护能力。

第八条 依托国家网络安全信息通报机制，加强院内网络安全通报预警力量建设。探索态势感知平台建设，及时收集、汇总、分析各方网络安全信息，加强威胁情报工作，组织开展网络安全威胁分析和态势研判，及时通报预警和处置，防止网络被破坏、数据外泄等事件。

第九条 建立应急处置机制，制定应急预案，每年至少组织一次应急演练和网络攻防演练，有效处理网络中断、网络攻击、数据泄露等安全事件，提高应对网络安全事件能力。积极参加上级部门组织的网络安全攻防演练，提升保护和对抗能力。

第十条 依据上级主管监管机构要求，完成信息资产梳理，摸清网络定级、备案等情况，形成资产清单。每年开展文档核验、漏洞扫描、渗透测试等安全自查，及时发现可能存在的问题和隐患，组织整改，并按要求将安全自查整改情况向主管监管机构报备。

第十一条 对安全管理相关负责人和关键岗位人员进行安全背景审查，加强院内和第三方网络运营人员管理，明确各类人员接触网络时的申请及批准流程，做好实名登记、人员背景审查、保密协议签署等工作，防止因人员资质及违规操作引发的安全风险。

第十二条 加强网络运维管理，制定运维操作规范和工作流程。加强物理安全防护，完善机房、办公环境及运维现场等安全控制措施，防止非授权访问物理环境造成信息泄露。加强远程运维管理，因业务确需通过互联网远程运维的，应进行评估论证，并采取相应的安全管控措施，防止远程端口暴露引发安全事件。

第十三条 加强业务连续性管理并持续监测网络运行状态。对HIS、RIS、LIS、PACS等涉及医疗和患者安全的关键系统，建立应用级容灾备份，防止关键业务中断。对其他网络系统，加强保障关键链路、关键设备冗余备份。

第十四条 应用大数据、人工智能、区块链等新技术开展业务时，上线前应评估新技术的安全风险并进行安全管控，达到应用与安全的平衡。

第十五条 规范和加强医疗设备数据、个人信息保护和网络安全管理，定期检查或评估医疗设备网络安全，并采取相应的安全管控措施，确保医疗设备网络安全。

第十六条 按照《密码法》等有关法律法规和密码应用相关标准规范，在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码产品和服务。

第十七条 关注整个网络全链条参与者的安全管理，涉及非本院的第三方时，对设计、建设、运行、维护等服务实施安全管理，采购安全的网络产品和服务，防止发生第三方安全事件。

第十八条 加强废止网络的安全管理，对废止网络的相关设备进行风险评估，及时对其采取封存或销毁措施，确保废止网络中的数据处置安全，防止网络数据泄露。

第四章  数据安全管理

第十九条 医（学）院信息化建设管理委员会负责领导制定数据安全管理制度，每年至少组织修订一次。遵照国家数据安全相关法律法规确定医院相关责任主体数据安全保护义务。坚持保障数据安全与发展并重，通过管理和技术手段保障数据安全和数据应用的有效平衡。建立数据安全管理组织架构，规范院内各部（处）、科（室）在数据安全管理全生命周期当中的权责。

第二十条 每年对数据资产进行全面梳理，依据数据的重要程度以及遭到破坏后的危害程度建立数据分类分级标准，遵循合法合规原则、可执行原则、时效性原则、自主性原则、差异性原则及客观性原则。

第二十一条 涉及数据管理的相关人员每年度签署保密协议。每年进行数据安全风险评估，及时掌握数据安全状态。加强数据安全教育培训，组织安全意识教育和数据安全管理制度宣传培训。建立数据使用申请及批准流程，遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则，严格执行工作程序，指导数据活动流程合规。

第二十二条 加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作，数据全生命周期活动应在境内开展，因业务确需向境外提供的，按照相关法律法规及有关要求进行安全评估或审核，针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查，防止数据安全事件发生。

（一）加强数据收集合法性管理，采取数据脱敏、数据加密、链路加密等防控措施，防止数据收集过程中数据被泄露。

（二）在数据分类分级的基础上，明确不同安全级别数据的加密传输要求。加强传输过程中的接口安全控制，确保在通过接口传输时的安全性，防止数据被窃取。

（三）选择合适的数据存储架构和介质在境内存储，并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时，应评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。加强存储过程中访问控制安全、数据副本安全、数据归档安全管控。

（四）严格规定人员权限，加强数据使用过程中的申请及批准流程管理，确保数据在可控范围内使用，加强日志留存及管理工作，杜绝篡改、删除日志的现象发生，防止数据越权使用。各数据使用部（处）科（室）和数据使用人须严格按照申请所述用途与范围使用数据，对数据的安全负责。未经批准，任何部（处）科（室）和个人不得将未对外公开的信息数据传递至部（处）科（室）外，不得以任何方式将其泄露。

（五）公开发布、共享数据时应评估可能带来的安全风险，并采取必要的安全防控措施；涉及数据上报时，应由数据上报提出方负责解读上报要求，确定上报范围和上报规则,确保数据上报安全可控。

（六）开展人脸识别或人脸辨识时，应同时提供非人脸识别的身份识别方式，不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能，人脸识别数据不得用于除身份识别之外的其他目的，包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。采取安全措施存储和传输人脸识别数据，包括但不限于加密存储和传输人脸识别数据，采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。

（七）数据销毁时应采用确保数据无法还原的销毁方式，重点关注数据残留风险及数据备份风险。

第五章  监督管理

第二十三条 积极配合有关主管监管机构监督管理，接受网络安全管理日常检查，做好网络安全防护等工作。

第二十四条 及时整改有关主管监管机构检查过程中发现的漏洞和隐患等问题，杜绝重大网络安全事件发生。

第二十五条 发生个人信息和数据泄露、毁损、丢失等安全事件和网络系统遭攻击、入侵、控制等网络安全事件，或者发现网络存在漏洞隐患、网络安全风险明显增大时，立即启动应急预案，采取必要的补救和处置措施，及时以电话、短信、邮件或信函等多种方式告知相关主体，并按照要求向有关主管监管部门报告。

第二十六条 建立院内网络安全事件通报工作机制，及时通报网络安全事件。

第二十七条 发生网络安全事件时，及时向卫生健康行政部门、公安机关报告，做好现场保护、留存相关记录，为公安机关等监管部门依法维护国家安全和开展侦查调查等活动提供技术支持和协助。

第六章  管理保障

第二十八条 将网络安全管理工作列入医（学）院信息化建设管理委员会重要议事日程，加强统筹领导和规划设计，依法依规落实人员、经费投入、安全保护措施建设等重大问题，保证信息系统建设时安全保护措施同步规划、同步建设和同步使用。

第二十九条 加强网络安全业务交流，严格执行网络安全继续教育制度，鼓励管理岗位和技术岗位持证上岗。通过组织开展学术交流及比武竞赛的方式，发现选拔网络安全人才，建立人才库，建立健全人才发现、培养、选拔和使用机制，为做好网络安全工作提供人才保障。

第三十条 保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。新建信息化项目的网络安全预算不低于项目总预算的5%。

第三十一条 建立院内网络安全考核评价制度，明确考核指标，组织开展网络安全考核，将考核结果与各部（处）科（室）年终绩效挂钩。

第七章  附则

第三十二条 违反本办法规定，发生个人信息和数据泄露，或者出现重大网络安全事件的，按医（学）院缺陷管理规定处理。

第三十三条 涉及国家秘密的网络，按照国家有关规定执行。

第三十四条 本办法由医（学）院信息中心负责解释，自印发之日起实施，试行两年。