医院网络安全与数据保护

筑牢数字健康防线 守护患者隐私安全 人人都是责任人

 

2025年9月15日至21日，是国家网络安全宣传周，今年活动主题为“网络安全为人民、网络安全靠人民”——以高水平安全守护高质量发展，随着医疗大数据的推广应用不断深入，医疗行业网络安全现已成为网络安全的重要组成部分。如何做好医疗系统网络安全，那么这些知识很重要，请查收！

一、深入解读“三法”精髓 —— 法律红线，必须清楚！

作为医疗工作者，您每天接触的是最敏感的个人信息——健康数据。国家三部核心法律为您划定了安全底线：

 

1.《网络安全法》——医院是“网络运营者”，必须履责！

 

✅ 等级保护制度（等保2.0）

医院信息系统（如HIS、电子病历、LIS、PACS）必须依法定级、备案、测评、整改。您使用的系统可能属于“三级系统”，意味着必须严格访问控制、日志审计、漏洞修复。

 

✅ 安全义务

医院需保障网络稳定运行、防范攻击、制定应急预案。您有义务配合安全检查、不擅自安装软件、不关闭安全防护程序。

 

✅ 法律责任

发生重大数据泄露或系统瘫痪，医院将面临行政处罚（最高50万元罚款），直接责任人可能被追责！

 

2.《数据安全法》——医疗数据要“分类分级”，精准保护！

 

✅ 什么是重要/敏感数据？  

- 敏感数据：患者身份证号、电话、住址、病历、诊断结果、基因信息、手术记录。  

- 重要数据：医院运营数据、财务数据、科研数据、医保结算数据。

 

✅ 分类分级管理要求  

不同级别数据需采取不同保护措施。例如：  

- 敏感数据：必须加密存储、最小权限访问、操作留痕。  

- 普通数据：可适度放宽，但仍需基本防护。

 

✅ 数据处理“五必须”  

收集、存储、使用、传输、销毁数据，必须：合法正当、风险评估、安全措施、应急准备、责任到人。

 

3.《个人信息保护法》——患者信息，必须“知情同意+最小必要”！

 

✅ “知情同意”是前提  

采集患者信息前，必须明确告知用途（如：用于诊疗、科研、随访），并取得患者书面或电子单独同意（尤其是敏感健康信息）。

 

⛔ 禁止行为：  

- 未告知用途就采集信息  

- 用“默认勾选”代替患者同意  

- 超范围使用信息（如把门诊信息用于商业推广）

 

✅ “最小必要”是原则  

只收集诊疗必需的信息，只在必要范围内使用和共享。  

举例：挂号只需姓名+身份证+电话，无需采集家庭收入、宗教信仰。

 

✅ 患者有“八大权利”  

您需配合响应患者提出的：查阅、复制、更正、删除、撤回同意、限制处理、可携带、投诉等请求。

 

二、剖析医疗行业真实风险 —— 风险就在你我身边！

 

【真实案例警示】这些事，可能发生在我们医院！

 

▶ 案例1：内部人员拍照外泄病历，被追究刑责！  

某三甲医院护士用手机拍摄患者病历发至微信群“吐槽”，被患者截图举报，医院被罚20万元，护士被开除并承担民事赔偿。

 

▶ 案例2：点击钓鱼邮件，全院系统被勒索！  

某医院财务人员点击伪装成“医保通知”的邮件附件，导致勒索病毒入侵，HIS系统瘫痪48小时，急诊被迫手工操作，损失超千万。

 

▶ 案例3：弱密码+共享账号，黑客轻松盗取万份病历！  

某医院影像科多人共用“admin/123456”登录PACS系统，被黑客撞库攻破，5万份含患者隐私的影像数据在暗网售卖。

 

医疗行业五大高危风险点

 

请牢记：您的一次疏忽，可能让全院陷入危机！

三、传授实用防护技能 —— 安全操作，从我做起！

 

✅ 日常办公“安全七必须”

 

1. 密码必须强  

- 长度≥8位，含大小写字母+数字+符号（如：HealTh@2025!）  

- 不用生日、姓名、连续数字  

- 每90天更换一次，不同系统用不同密码  

- 禁止写在便签上或共享给他人❗

 

2. 邮件必须验  

- 收到“紧急通知”“奖金发放”“系统升级”邮件先别点！  

- 三查：查发件人邮箱是否官方、查链接鼠标悬停是否异常、查附件是否.exe/.zip可疑文件  

- 不确定？立即联系信息科确认！

 

3. U盘必须管  

- 严禁使用个人U盘拷贝患者数据！  

- 如需传输，使用医院加密U盘，并经审批登记  

- 插入U盘前先杀毒，用完立即拔出

 

4. 离座必须锁  

- 离开工位超1分钟，立即按 `Win+L` 锁屏！  

- 下班或长时间离开，关闭电脑/注销账号

 

5. 信息必须护  

- 患者病历、报告、影像严禁拍照、截图、外传  

- 打印/复印敏感文件，立即取走，废弃文件用碎纸机  

- 微信/QQ/网盘严禁传输患者信息！

 

6. 设备必须控  

- 医院配发电脑/手机，禁止安装游戏、炒股、非授权软件  

- 个人手机不处理工作信息，如必须，使用医院安全APP  

- 设备丢失立即报告信息科！

 

安全口诀（请牢记！）

 

> 密码要强不共享，

> 邮件链接先看清，

> 病历信息不外拍，

> 离座锁屏是本能，

> U盘使用要审批，

> 异常情况马上报，

> 患者隐私如生命，

> 网络安全我先行！

 

安全不是负担，而是对患者、对职业、对医院的庄严承诺！

 

— 让我们携手，共建安全、可信、合规的智慧医院！—