中医医院信息与数字化建设规范

第六章 标准与测评

　　第四十三条 中医医院信息标准建设与应用应当遵循国家和行业标准，按照标准先行、规范有序、统一共享、开放融合的基本要求，制定标准应用实施方案，积极采用国家、行业、地方信息标准，鼓励应用中医药信息团体标准。鼓励少数民族医医院根据自身条件应用相关标准。

　　第四十四条 中医医院应当基于国家、行业和地方信息标准规范，结合医院实际，制修订、应用、实施和管理医院相关信息标准，在信息化系统建设和运维管理时制订和应用实施相关标准，实现系统之间标准统一，现有系统逐步向标准规范过渡。

　　第四十五条 中医医院应当持续推进标准规范应用实施工作，形成学习标准、遵守标准、运用标准、贯彻标准的良好氛围，主动运用标准评价医院信息化应用水平和效果。

　　第四十六条 中医医院应当积极参加医院信息互联互通标准化成熟度测评及实际应用效果评价，实现诊前、诊中、诊后全流程各环节信息互联互通，三级医院达到医院信息互联互通标准化成熟度测评四级及以上水平，二级医院达到医院信息互联互通标准化成熟度测评三级及以上水平。少数民族医医院根据实际情况，参照执行。

　　第四十七条 中医医院应当持续推进智慧医疗、智慧服务、智慧管理“三位一体”的智慧医院建设，中医医院应当积极参加电子病历系统应用水平、智慧服务和智慧管理分级评估并达到相关要求。

第七章 安全防护

　　第四十八条 中医医院网络安全管理应当坚持“等级保护、突出重点、积极防御、综合防护”的基本要求，落实和实施网络安全等级保护制度，建立健全网络安全管理制度，明确网络安全管理岗位与职责，全面梳理分析网络安全保护需求，建立医院网络安全防护体系和总体安全策略。

　　第四十九条 中医医院应当按照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)进行网络安全等级保护定级、备案、测评、安全建设整改等。

　　第五十条 中医医院应当按照《密码法》等有关法律法规使用商用密码保护信息系统和网络设施，同步规划、同步建设、同步运行商用密码保障系统，定期委托商用密码检测机构开展商用密码应用安全性评估。

　　第五十一条 安全技术主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面进行安全防范和保护，基本要求包括：

　　——安全物理环境：从物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面实施安全防范。

　　——安全通信网络：包括网络架构、通信传输和可信验证，网络架构保证网络设备的业务处理能力，网络带宽满足业务高峰期需要，通信线路、关键网络设备和关键计算设备提供硬件冗余;通信传输采用校验技术或密码技术保证数据的完整性、保密性;可信验证对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证，并将验证结果形成审计记录送至安全管理中心。

　　——安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证，部署防火墙设备、网闸或其他访问控制设备，具备精细粒度的访问控制，部署检测设备实现探测网络入侵和非法外联行为。

　　——安全计算环境：主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等。

　　——安全管理中心：包括系统管理、审计管理、安全管理和集中管控。

　　——采用云计算、移动互联、物联网等技术时，按照《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)进行安全防护。

　　第五十二条 中医医院应当建立网络安全工作管理平台，实现对信息系统的安全定级备案、差距分析、整改建设、等级测评、监督检查、系统废止等全面管理。

　　第五十三条 中医医院应当每年开展文档核验、漏洞扫描、渗透测试等形式的安全自查，明确安全自查的频率，及时发现、整改可能存在的问题和隐患，并按要求将相关情况上报有关主管监管机构。

　　第五十四条 中医医院应当按照网络安全等级保护相关要求加强内部人员和外部人员的安全管理。

　　——内部人员安全管理：制定人员录用、管理考核、教育培训、离岗离职、保密协议等相关管理制度，定期开展技能考核

　　——外部人员安全管理：包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外部人员，以及临时来访的第三方人员，制定相应访问管理制度和操作规程。长期驻场的外部人员，参照内部人员安全要求管理。

　　第五十五条 中医医院运行维护安全管理应当实现体系化，对环境、资产、介质、设备、数据进行综合监控管理，对重要信息系统的资源进行监控保护;对信息系统安全运行维护所需要的密码保护、病毒扫描、变更等事件，建立运行维护管理制度，及时上报网络与信息安全漏洞、事件发生和处理情况。

　　第五十六条 中医医院应当建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度，定期检查或评估医疗设备信息和网络安全，并采取相应的安全管控措施，确保医疗设备网络安全。

　　第五十七条 中医医院应当遵守《数据安全法》《个人信息保护法》等法律法规，履行数据安全保护义务，坚持保障数据安全与发展并重，实行数据分类分级保护。关键信息基础设施运营者应当拟定关键信息基础设施安全保护计划，建立健全数据安全和个人信息保护制度。