患者數據安全事件應急預案

「涵蓋十二類子事件」

導語：根據《GB/T 20986—2023 信息安全技術 網絡安全事件分類分級指南》，醫(yī)院網絡安全事件包括惡意程序事件、網絡攻擊事件、數據安全事件等十類。其中數據安全事件又分為十二類子事件。杏林職苑此前已發(fā)布《醫(yī)院網絡安全事件應急預案》（總體預案），本文為患者數據安全事件專項應急預案，包含十二類子事件應急預案，并附患者數據安全事件量化分級標準。本預案可供二級以上醫(yī)療機構參考。

目錄

一、總則

（一）應急預案目的和適用范圍

（二）法律法規(guī)依據

（三）應急組織體系與職責

（四）工作原則

二、數據安全事件分類與分級

（一）事件分類體系

（二）事件分級標準

三、應急預案

（一）數據篡改事件應急預案

（二）數據假冒事件應急預案

（三）數據泄露事件應急預案

（四）社會工程事件應急預案

（五）數據竊取事件應急預案

（六）數據攔截事件應急預案

（七）位置檢測事件應急預案

（八）數據投毒事件應急預案

（九）數據濫用事件應急預案

（十）隱私侵犯事件應急預案

（十一）數據損失事件應急預案

（十二）其他數據安全事件應急預案

四、附則

附件1：患者數據安全事件分類

附件2：患者數據安全事件分級標準

一、總則

（一）應急預案目的和適用范圍

本預案是本院針對患者數據安全事件的專項應急預案，旨在規(guī)范本院患者網絡數據安全事件的應急響應流程，最大限度地減輕或消除網絡安全事件的危害和影響，保障患者個人信息和醫(yī)療數據安全，保護患者隱私，維護醫(yī)院正常運營秩序。

適用于本院院內發(fā)生的各類患者數據安全事件?；颊邤祿踩录竿ㄟ^技術或其他手段對患者醫(yī)療數據實施篡改、假冒、泄露、竊取等導致業(yè)務損失或造成社會危害的網絡安全事件，包括包括數據篡改事件、數據假冒事件、數據泄露事件、社會工程事件、數據竊取事件、數據攔截事件、位置檢測事件、數據投毒事件、數據濫用事件、隱私侵犯事件、數據損失事件和其他數據安全事件等12類安全事件。

（二）法律法規(guī)依據

本預案主要依據以下法律法規(guī)和標準制定：

《中華人民共和國網絡安全法》

《中華人民共和國數據安全法》

《中華人民共和國個人信息保護法》

《關鍵信息基礎設施安全保護條例》

《網絡數據安全管理條例》

《醫(yī)療機構數據安全管理辦法》（國衛(wèi)規(guī)劃發(fā)〔2022〕29號）

《GB/T 20986-2023 信息安全技術 網絡安全事件分類分級指南》等

（三）應急組織體系與職責

應急組織體系包括：網絡安全應急領導小組、應急響應辦公室、應急工作組（技術處置組、醫(yī)療業(yè)務組、法律合規(guī)組、安全保障組、后勤保障組、宣傳溝通組）。應急組織體系人員組成和職責分工詳見本院《網絡安全事件應急預案》（總體預案）。

（四）工作原則

生命優(yōu)先，業(yè)務保障；預防為主，防治結合；統(tǒng)一領導，分級負責；協(xié)同聯(lián)動，快速響應；依法依規(guī)，溯源追責。

二、數據安全事件分類與分級

（一）事件分類體系

根據GB/T 20986-2023標準，醫(yī)療機構患者數據安全事件分為12個子類（詳見“附件1”）。

（二）事件分級標準

按照影響對象重要程度、業(yè)務損失嚴重程度、社會危害嚴重程度三要素，將事件分為特別重大、重大、較大、一般四級。

事件量化分級標準詳見“附件2”。

三、應急預案

（一）數據篡改事件應急預案

1.數據篡改事件定義

數據篡改事件指未經授權接觸或修改患者醫(yī)療數據的行為，包括電子病歷、檢查報告、診斷信息、用藥記錄等關鍵醫(yī)療數據的非法修改或刪除。

2.識別特征

系統(tǒng)日志異常，出現(xiàn)未授權的操作記錄

本專《醫(yī)療機構患者醫(yī)療信息規(guī)范管理指引》包括“患者醫(yī)療信息規(guī)范管理專項整治行動實施細則，患者醫(yī)療信息管理制度，電子病歷系統(tǒng)分級授權與權限管理規(guī)定，患者醫(yī)療信息收集、存儲、使用、傳輸、處理與發(fā)布規(guī)范”等內容。歡迎將本專欄加入收藏。