信息安全,不是装个杀毒软件就行——事前、事中、事后,一篇讲透-夜雨聆风

信息安全,不是装个杀毒软件就行——事前、事中、事后,一篇讲透

“老人的信息，我们自己记着就行。”“我们电脑都设了密码，不会泄露的。”“监控？装了就完事了，谁有空去看？”这是很多机构的真实写照。信息安全，往往是“不出事就没人重视”。可一旦出事——老人个人信息泄露、健康档案丢失、监控画面外泄——轻则赔偿、声誉受损，重则行政处罚、甚至承担法律责任。

今天我们就来拆一拆信息安全——它是7大安全领域的第七项，也是最容易因“隐形化”而被遗忘的领域。

【在整体框架中的位置】

先帮大家复习一下我们正在搭建的安全体系三层架构：

层级	是什么	核心内容
顶层	1个安全管理体系	组织架构 + 三大运行机制（会议、检查、报告）
中间层	7项核心安全制度	责任、教育、规范、检查、事故处理、应急、奖惩
落地层	7大安全领域	设备设施安全、食品安全、消防安全、医疗护理安全、人身安全、财产安全、信息安全

我们正在讲的是落地层——7大安全领域。信息安全是“软安全”，既靠人防（意识、制度），也靠物防（加密、锁柜）和技防（防火墙、备份）。

【从顶层到落地：信息安全如何运行？】

顶层：组织架构（谁来管）

根据《养老机构安全管理》（MZT 032-2012）和《中华人民共和国个人信息保护法》要求，信息安全管理遵循四级责任体系：

层级	角色	核心职责
第一级	安全责任人（院长）	全面负责信息安全工作，保障制度、人员和设备投入
第二级	安全管理人（分管副院长/信息主管）	组织制定信息安全制度，督促落实，定期检查
第三级	部门安全管理员（档案管理员、财务主管）	本部门日常信息安全管理，监督信息使用和流转
第四级	岗位员工（护理员、文员、财务人员）	规范记录、使用和保管信息，发现异常及时报告

中层：7项核心安全制度（用什么管）

制度	在信息安全中的应用
安全责任制度	明确院长、信息主管、档案管理员、护理员各自的信息安全职责
安全教育制度	员工隐私保护培训，学习《个人信息保护法》，签署保密承诺书
安全操作规范	信息收集、录入、借阅、流转、销毁的操作规范
安全检查制度	每日检查档案柜是否上锁，每月检查信息系统权限和日志，每季度检查网络安全
事故处理与报告制度	信息泄露事件24小时内上报，分析原因，持续改进
突发事件应急预案	网络攻击、系统瘫痪、信息泄露等突发事件应急预案
考核与奖惩制度	信息安全管理履职考核、泄密事件追责、保密标兵奖励

运行机制：三大机制形成闭环

信息安全管理同样遵循“检查→报告→会议→整改→再检查”的闭环：

检查机制发现问题（日巡查、月检查、季度大查）
报告机制将问题上报（填写隐患登记表、口头或书面报告）
会议机制分析问题、制定整改方案
整改执行落实方案
检查机制复查验收
会议机制总结评估

【第一部分：信息安全包含什么？】

根据《养老机构安全管理》（MZT 032-2012）和《中华人民共和国个人信息保护法》要求，我们将信息安全归纳为三大核心领域，并按“人防、物防、技防”分类：

分类	领域	核心内容	关键点
人防	人员管理	保密承诺、安全培训、权限控制、离职回收	全员签署保密承诺书；每半年至少1次培训；按岗位设置信息访问权限；员工离职当日注销账号、收回门禁
制度执行	信息收集、借阅流转、废弃处置	收集信息告知老人并取得同意；借阅登记备案；废弃档案碎纸机销毁
物防	档案保管	纸质档案存放、借阅登记、环境安全	带锁档案柜、专人管理、借阅登记表；档案室防火、防潮、防虫
设备管理	电脑、移动存储、监控设备	办公电脑设置登录密码；U盘加密管理；监控仅限公共区域，禁止对准居室和卫生间
技防	信息系统	老人管理系统、收费系统安全	设置强密码、定期更换；每日数据备份；操作日志完整保留≥6个月
网络安全	防火墙、杀毒软件、等级保护	安装防火墙和杀毒软件并定期更新；重要信息系统开展网络安全等级保护测评

【第二部分：为什么信息安全这么重要？】

养老机构信息安全面临的主要风险：

个人信息泄露风险：老人身份信息、健康状况、家属联系方式泄露，可能引发诈骗、骚扰
健康档案丢失风险：病历、评估表丢失，影响连续照护，甚至引发医疗纠纷
监控画面外泄风险：公共区域监控画面被私自拍摄传播，侵犯老人隐私，损害机构声誉
法律责任风险：违反《中华人民共和国个人信息保护法》《养老机构管理办法》，可能面临行政处罚、民事赔偿甚至刑事责任

信息安全的三道防线：

事前预防：制度建设、保密承诺、权限管控、数据备份
事中控制：日常巡查、借阅登记、系统日志监控、网络防护
事后改进：事件分析、制度完善、加强培训、等级保护

【第三部分：关键内容】——按“事前、事中、事后”分类

阶段	核心内容	关键要求
事前预防	制度建设	建立信息档案管理制度、保密制度、信息系统安全制度
人员管理	全员签订保密承诺书，每半年至少1次信息安全培训
权限控制	根据岗位设置信息访问权限，非必要不接触
设施配备	配备带锁档案柜、防火墙、杀毒软件、数据备份设备
等级保护	涉及个人信息的信息系统应开展网络安全等级保护测评
事中控制	日常巡查	每日检查档案柜是否上锁、电脑是否锁屏
借阅流转	信息借阅须登记，第三方查阅须经老人同意
监控管理	公共区域监控画面严禁私自拍摄传播，居室、卫生间、浴室禁止安装
数据备份	每日重要数据自动备份，定期检查备份完整性
日志审计	系统操作日志保留不少于6个月，定期审查异常访问
事后改进	事件报告	发生信息泄露24小时内上报，保护现场
事件分析	分析原因，查找漏洞，评估影响范围
整改落实	针对问题制定整改措施，通知受影响人员，必要时报警
制度完善	修订制度，加强培训，防止再次发生

关键数字/频次：

保密承诺书：入职签订，每年重签
安全培训：每半年至少1次
数据备份：每日自动备份
日志保留：不少于6个月
监控存储：不少于30天（重点区域≥90天）
事件上报：24小时内
等级保护测评：建议每2年一次

【第四部分：怎么做？——分级检查清单】

根据四级责任体系，信息安全的检查分为每日、每月、每季度三个层级。

【表一：岗位员工每日巡查表】（第四级责任）

使用人：护理员、文员、保安频率：每日上班后、下班前各一次

检查区域	检查内容	合格标准	发现问题怎么办
档案柜	是否上锁	锁闭状态	立即锁好，报告主管
办公电脑	是否锁屏	锁屏状态	立即锁屏，教育本人
老人房间	有无随意放置的老人信息单据	无随意暴露	收好放入指定文件夹
公共区域	有无无关人员长时间逗留	无异常	盘查、报告
监控设备	画面是否正常、有无对准隐私区域	正常、无隐私区域	调整角度，报修

【表二：部门安全员每月检查表】（第三级责任）

使用人：档案管理员、信息主管频率：每月一次

检查项目	检查要点	合格标准	发现问题怎么办
保密承诺书	新员工是否签订、老员工是否到期	全员覆盖，未过期	补签、重签
信息系统权限	权限设置是否与岗位匹配	匹配，无越权	调整权限，记录
操作日志	有无异常访问记录	无异常	分析异常，报告上级
数据备份	备份是否完整、可恢复	完整、可恢复	重新备份，检查设备
借阅登记表	登记是否完整	完整，无遗漏	补登记，教育当事人
档案室环境	防火、防潮、防虫措施	符合要求	补充设备，整改
监控录像	存储时间是否≥30天、有无外泄风险	≥30天，无外泄	联系维保，培训教育

【表三：安全责任人每季度检查表】（第一级+第二级责任）

使用人：院长、分管副院长频率：每季度一次

检查维度	检查内容	检查要点	发现问题怎么办
制度执行	信息安全管理制度执行情况	制度健全、执行到位	修订制度，强化执行
培训考核	培训记录、考核合格率	培训覆盖率100%，合格率≥90%	安排补训，加强考核
权限审计	信息系统权限审计报告	无异常越权	追责，调整权限
等保测评	是否按要求开展等保测评	已完成或计划中	安排测评，落实整改
事件分析	上季度信息事件分析、整改措施	有分析、有改进	跟踪整改，纳入下季度重点
应急预案	是否演练、员工是否知晓	每半年演练，员工知晓	组织演练，加强宣教

【一张表看懂信息安全管理】

防线	核心要求	关键内容
人员管理	保密承诺、安全培训、离职回收	入职签保密书，每半年培训，离职注销账号
档案管理	带锁保管、借阅登记、规范销毁	每日锁柜，借阅留痕，碎纸机销毁
信息系统	权限控制、数据备份、日志审计	按岗授权，每日备份，日志保留≥6个月
网络安全	防火墙、杀毒软件、等保测评	定期更新，建议三级等保
监控管理	公共区域、严禁隐私、严禁传播	居室浴室禁装，画面严禁外传
应急处置	事件报告、分析整改、预案演练	24小时上报，闭环整改，每半年演练

【大白说】

信息安全，不是“装个杀毒软件就行”，而是：

人员管理——签保密书，定期培训，离职注销档案管理——带锁保管，借阅登记，碎纸销毁信息系统——权限控制，每日备份，日志审计网络安全——防火墙更新，落实等保监控管理——公区设防，隐私禁装，画面禁传应急处置——24小时上报，闭环整改

记住三句话：

保密承诺人人签，权限岗位要匹配
档案上锁借阅记，废弃碎纸不乱丢
监控公区不对房，画面严禁传上网

本文为「大白养老手记」原创，欢迎分享转发。如需转载，请注明出处，谢谢。

【互动】

您在信息安全管理过程中遇到过什么难题？欢迎在评论区留言，咱们同行之间互相学习。

【资料下载】

想获取《养老机构安全管理》（MZT 032-2012）请看往期文章(篇号96)

养老国家和行业标准下载，全网最全、最新汇总（附篇号索引，持续更新）

关注「大白养老手记」，一起学习养老知识，守护长者安全。

【安全管理合集】

养老机构安全管理