国家中医药管理局
二○一一年十月
目 录
第一章 总 则........................................ 1
第二章 机构人员...................................... 2
第三章 组织实施...................................... 3
第四章 基础设施...................................... 4
第五章 应用系统...................................... 6
第六章 运行维护..................................... 10
第七章 信息安全..................................... 13
第八章 附 则....................................... 16

第一章 总 则
第一条 为加强和规范中医医院信息化建设，进一步推进中医药
信息化，根据国家相关法律法规、标准规范和行业管理规定，结合中
医医院信息化建设的实际，特制定本规范。
第二条 中医医院信息化建设的目标是：综合运用计算机技术、
网络技术和通信技术，以医院管理和中医电子病历为重点，构建中医
药特色鲜明、技术平台先进、服务管理规范、系统安全高效的现代化
中医医院。
第三条 中医医院信息化建设应遵循整体规划、分步实施、系统
集成、互联互通、实用高效的原则。
第四条 中医医院应积极开展基于电子病历的医院信息平台建设
并突出中医药特色，实现医院内部和区域之间信息资源的高效统一、
系统整合、互联互通、信息共享，充分利用现代管理和信息技术，提
高医疗服务质量和效率，优化服务流程，预防和减少医疗差错，控制
和降低医疗成本，构建和谐医患关系。
第五条 中医医院信息化建设应遵循国家和地方的有关法律法规
和管理制度，执行卫生部、国家中医药管理局等部门的相关标准与规
范。
第六条 中医医院应将信息化工作列入医院建设的总体目标，制
定长期规划和年度计划，建立信息化组织管理体系，满足医院整体发
展的要求。
第七条 中医医院应将信息化建设经费列入医院年度预算，年均
投入应达到年医疗业务总收入的1%～5%。
第八条 本规范适用于中医医院、中西医结合医院、民族医医院。
综合医院可参照本规范执行。
第二章 机构人员
第九条 中医医院应成立信息化工作领导机构，成员包括院长、
主管副院长、信息部门以及医、药、护、技、管理等相关职能部门负
责人。主要职责是统一领导和管理医院信息化工作，制定医院信息化
建设总体规划、年度计划，核定资金预算，协调医院信息化建设中的
重大问题和事项。信息化工作领导机构办公室设在信息部门，负责日
常信息管理与技术工作。
第十条 中医医院应设立专门的信息管理与技术部门（简称信息
部门）。信息部门的主要职责：
1.拟订医院信息化建设总体规划、年度计划；
2.编制医院信息化建设年度资金预算；
3.制订医院信息化建设管理规章制度；
4.负责医院信息系统的建设、管理、运行和维护；
5.负责信息技术的咨询和服务。
第十一条 中医医院应按开放床位与人员比例100:1～100:2配备
信息管理和技术人员，开放床位低于100张床的医院人员配备应不低
于2人。
第十二条 信息部门应建立定岗定责制度，重要岗位应实行双人
负责制并签订安全保密协议书。信息技术人员应当具备计算机、医药
信息及相关专业的技术知识。
第十三条 医院各科室应设置专职或兼职信息员，负责联系协调
信息部门开展有关信息工作。
第十四条 中医医院应建立信息化工作考核奖惩制度。
第三章 组织实施
第十五条 中医医院信息化建设应做好需求分析，制定建设规划
和实施方案，有计划、有步骤地分期组织实施。
第十六条 中医医院信息化建设规划应遵循系统性、实用性、先
进性、安全性、扩展性的原则，充分利用现有资源，降低建设成本。
规划内容主要包括现状分析、指导思想、建设目标、主要任务、保障
措施、预期成果和发展前景等。
第十七条 中医医院信息化建设实行项目管理。项目按规定实行
招投标。
第十八条 承担信息化建设项目方案设计、系统集成、软件开发、
设备供应、外包服务、工程监理的单位，应具备相应资质。
第十九条 中医医院信息化建设的项目实施包括基础准备、软件
实施和硬件实施三个部分。基础准备应按照规划要求，做好思想、组
织、人员、技术、资金和物资等准备；软件实施包括需求分析、系统
研发、基础数据准备、模拟运行、单轨运行和正式运行等环节；硬件
实施包括调研、招标、安装和验收等环节。
第二十条 中医医院信息化工作领导机构负责组织信息化项目的
验收。验收应根据设计方案或合同要求等，制订验收方案，形成验收
报告；组织相关部门或专家组审定验收报告。
第二十一条 中医医院信息化工作领导机构组织开展医院信息化
建设项目的综合评估，主要包括系统设计、系统功能、系统应用的评
价、经济效益和社会效益的评估，提出改进意见等。
第二十二条 信息系统管理与操作的培训，应坚持分类考核、合
格上岗的原则，纳入医院职工业务培训内容，考核结果纳入职称晋升
条件和继续教育学分评定内容。
第二十三条 建立健全机房管理、网络管理、设备管理、用户管
理、技术文档管理等制度，明确系统管理、网络管理、数据库管理、
信息安全管理等岗位职责，定期检查执行情况及效果。
第四章 基础设施
第二十四条 基础设施包括计算机硬件系统、基础软件、网络及
其他辅助设施。基础设施应选用先进、成熟的技术与市场主流产品，
具有良好的技术支持和售后服务。
第二十五条 计算机硬件系统包括服务器、客户端、网络设备、
存储与备份设备和其他相关设备。
1.服务器配置的基本要求：
1）具有高可用性、可管理性、可维护性；
2）具有先进性、扩展性、稳定性；
3）有足够的处理内存和存储空间，实现安全可靠的数据访问；
4）用户数、并发用户数及使用率满足实际需求；
5）主服务器应采用冗余方式配置。
2.客户端配置的基本要求：
1）满足应用系统的实际运行需要；
2）安全运行被服务器认可的操作系统；
3）支持应用系统所需的各种接入设备，具有扩展性。
3.网络设备是保证网络高效、安全、可靠运行的硬件设备，包括
交换机、路由器、入侵检测设备、网络脆弱性扫描设备、防火墙等。
配置的基本要求：
1）符合系统架构、协议和应用系统的网络需求；
2）可靠性、兼容性、安全性以及标准化程度和效率满足实际需
求；
3）具有通用性、易操作性、可管理性和可维护性；
4）满足网络拓展需求；
5）核心交换机等关键设备应采用冗余方式配置。
4.存储与备份设备是容灾的基础设备。包括磁盘阵列、磁带库、
光盘塔等。配置的基本要求：
1）构架设计应具有先进性、合理性、实用性和可扩展性；
2）具有高可用性、数据安全性、易操作性、可管理性和可维护
性；
3）支持灵活的容量调整、数据备份和远程复制。
第二十六条 基础软件是对计算机硬件资源进行利用和管理，为
应用软件提供服务与支撑的软件。包括系统软件及其他基础软件。
系统软件是控制和协调计算机及外部设备、支持应用软件运行的
计算机程序，包括操作系统和各种服务支撑软件。选用的基本要求：
使用正版的系统软件，具有高安全性，能持续提供更新和技术支持服
务。
其他基础软件选用的基本要求：能与相关应用系统有效集成，系
统稳定、安全性能高、技术文档齐全，有良好的扩展性，维护、管理
方便。
第二十七条 网络及其他辅助设施包括综合布线系统、机房及供
配电系统等设施。采用先进、成熟、环保的技术、设备和材料，保障
系统可靠稳定运行，满足信息技术发展和技术升级的需要。
1.综合布线系统是以双绞线、光缆及无线通讯系统为传输媒介，
面向建筑屋内或建筑群之间的信息传输通道。实施流程包括方案论
证、系统选择、工程施工、工程验收和应用培训等环节。基本要求：
1）设计、施工、验收、监理等符合国家和行业相关标准和规范；
2）通信电缆线材品牌相对一致；
3）无线网络宜覆盖医疗业务各环节和行政、办公场所；
4）线路应有备份和冗余，关键部位应有应急线路。
2.机房及配套设施应按照《电子信息系统机房设计规范》等标准，
结合医院实际，进行设计、建设与管理。
第五章 应用系统
第二十八条 中医医院信息系统是利用计算机软硬件技术、网络
通信技术等现代化手段，对中医医院的人流、财流、物流进行综合管
理，对中医医疗活动各阶段产生的数据进行采集、储存、处理、分析、
传输及交换，为中医医院的整体运行提供全面的、自动化的管理及各
种服务的信息系统。
第二十九条 中医医院信息系统基本要求：
1.具有合法的版权；
2.支持以患者为中心的信息资源整合与利用，支持基于医院信息
集成平台的医疗服务与医院管理的协同机制，支持区域医疗卫生服务
协同；
3.系统应向平台化、服务化方向发展，支持开放式的系统架构，
适应各种政策、技术和业务发展；
4.支持中医电子病历形成，全面采集和存储患者诊疗信息，实现
医疗与临床科研信息共享；
5.支持医院经济核算和绩效考核，实现医院人、财、物管理和绩
效考评的信息化；
6.提供全面、实时、可靠的营运数据和数据分析，支持数据挖掘
与分析利用，满足医院科学管理和辅助决策的需要；
7.支持中医医疗质量监测、中医药特色评价和考核；
8.支持医院科研、教学、行政和后勤等信息化管理，实现医院工
作的流程化管理。
第三十条 中医医院信息系统运行的基本要求：
1.系统应有备份与冗余，保证不间断安全运行，有条件的医院建
立异地灾备系统；
2.建立基于中医电子病历的医院信息集成平台，充分共享信息资
源；
3.系统数据处理应准确无误；
4.用户界面友好，支持鼠标或键盘单独操作；
5.支持可定制化设置和调整各种单据、报表以及打印输出格式；
6.相对独立的系统应支持单机和网络两种环境运行；
7.支持电子签名、数字认证以及无线移动设备的使用；
8.具有详细的日志记录，应当包括：系统运行，重要信息的统计，
权限修改，用户的增加、删除和修改，数据的修改和删除等。
第三十一条 软件产品开发和管理过程的主要文档应符合《计算
机软件文档编制规范》要求，提供归档的技术文档，应当包括：
1.可行性分析（研究）报告；
2.软件（或项目）开发计划；
3.软件需求规格说明；
4.数据需求规格说明；
5.接口需求规格说明；
6.系统/子系统设计（结构设计）说明；
7.软件（结构）设计说明；
8.接口设计说明；
9.数据库设计说明；
10.软件用户手册；
11.软件测试计划；
12.软件测试报告；
13.操作手册；
14.维护手册。
第三十二条 中医医院信息系统应建立数据中心，各应用系统信
息应实时上传和自动备份到医院数据中心和第三方存储中心，实现数
据资源共享，保障数据安全。
第三十三条 数据库的基本要求：设计和使用应保证数据的准确
性、可靠性、可扩展性、完整性、安全性，使用多种技术手段保护数
据库的安全，数据的安全应符合国家有关规定。
第三十四条 中医医院信息系统数据技术要求：
1.数据输入：提供准确、快速、完整的数据输入手段，实现数据
源发生地实时输入数据，提供多种数据字典辅助录入功能；
2.数据共享：建立患者主索引，提供医院信息系统各分系统之间
及与其他相关系统之间数据共享功能，包括数据交换解决方案、标准
数据接口等；
3.数据通信：具备通过网络自动通信交换数据的功能，避免通过
介质（软盘、磁带、光盘等）交换数据；
4.数据备份：包括自动定时数据备份、程序操作备份和手工操作
备份，应建立数据异地备份机制；
5.数据恢复：包括程序操作数据恢复和手工操作数据恢复；
6.数据安全：包括数据安全和数据保密功能；
7.数据权限：提供数据使用权限设置功能，用户对数据的操作权
限与其工作职责权限相对应；
8.数据字典：包括国家标准数据字典、行业标准数据字典、地方
标准数据字典和用户数据字典，对已有的国家、行业及地方的数据字
典，不得自行修改与定义，允许用户扩充的字典，应按照标准的编码
原则扩充，新标准出台后应立即改用标准编码。由于技术限制导致已
经使用的系统不能更换字典，应建立自定义字典与标准编码字典的对
照表，并开发相应的检索和数据转换程序。
第三十五条 中医医院信息系统各分系统功能模块之间应实现互
联互通、数据共享，相关数据之间应相互关联和相互制约，具备通用、
标准的外部接口。
第三十六条 中医医院信息系统分为基础功能与医院信息集成平
台、临床服务部分和医院管理部分。中医医院信息系统各分系统与功
能可根据业务需求与业务流程进行组合，不断补充和完善。
第六章 运行维护
第三十七条 运行维护主要包括系统日常管理，系统检查和评价
工作，系统恢复工作。系统维护应保证系统不间断运行，持久地满足
用户需求。运行维护的年度平均费用投入应达到信息化建设总体投入
的8%～15%。
第三十八条 运行维护的基本要求：建立医院信息系统运行与维
护管理机制，明确系统运行的管理部门、维护部门、使用部门和个人
的职责；建立用户请求服务机制和重大事件上报制度；定期检查与监
督管理制度、操作规程的执行情况。
第三十九条 建立运行维护管理对象文档，文档管理工作的基本
要求：确定管理对象，建立统一的命名规则，建立相应的管理对象文
档，设专人管理文档并确保文档的准确性和完整性。
1.管理对象应当包括：
1）用户身份、权限和密码；
2）用户端计算机、系统软件、应用软件；
3）服务器硬件、软件及配置；
4）网络系统、网络设备及配置；
5）机房及设备间设施；
6）布线系统和配置；
7）各类技术说明书。
2.管理对象文档应当包括：
1）管理对象的标识、位置、拥有者/责任人、购置/保修信息等；
2）管理对象的技术文档，如系统配置清单、配置参数和系统安
装、配置手册、图纸以及与之相关的管理对象列表和关系等；
3）管理对象的操作手册、用户指南；
4）管理对象的维护文档，如系统维护日志、数据库备份日志、
机房值班登记表、重大事件报告、硬件报修表等。
第四十条 制定硬件设备、软件系统以及环境设施的操作规程，
如服务器、网络设备、存储设备的操作规程，数据库的操作规程，基
础数据的维护规程，系统软件的安装规程，客户端设备环境和应用软
件的安装规程，机房或设备间的空调和不间断电源等操作规程，常见
故障的处理规程等。
操作规程应文档化，内容包括：操作目的、内容、步骤、结果、
正常反应及异常反应、出现异常反应时的处理及处理的时间和环境要
求等。
第四十一条 服务器运行维护工作的基本要求：
1.统一分配和管理服务器资源；
2.做好服务器的日常维护与软件升级；
3.监控服务器运行状况，确保服务器正常运作；
4.排查、分析和处理服务器故障；
5.记录服务器日常监控和维护日志。
第四十二条 客户端运行维护工作的基本要求：
1.统一客户端硬件管理和软件部署；
2.监测与反馈客户端运行情况；
3.定期对客户端进行检测、整理、升级等维护工作；
4.记录客户端日常监控和维护日志；
5.建立备用客户端机制。
第四十三条 网络运行维护工作的基本要求：
1.统一分配和管理网络资源；
2.监控网络运行，保障网络安全；
3.改进和优化网络结构、网络技术和网络管理；
4.排查、分析和处理网络故障；
5.记录网络日常监控和维护日志。
第四十四条 机房管理维护工作的基本要求：
1.具备防静电、防水、防火、防尘、防盗、防鼠、防雷击等安全
防范措施，保持恒温、恒湿，确保机房的运行环境；
2.建立机房人员出入、设备出入管理制度；
3.记录日常监控日志和维护日志。
第四十五条 数据库运行维护工作的基本要求：
1.统一管理数据库，包括数据库资源管理、数据用户权限管理等；
2.监测与反馈应用系统数据库运行情况；
3.定期对数据库进行清理、归档等维护工作；
4.建立数据备份机制，包括备份数据、资料整理和保管工作；
5.记录数据库日常监控和维护日志。
第四十六条 应用系统运行维护工作的基本要求：
1.统一应用系统的管理；
2.实时监测并反馈应用系统运行情况；
3.做好基础数据的维护工作；
4.建立数据质量控制的管理机制；
5.建立应用系统备份和管理机制。
第四十七条 建立系统的变更、升级和扩展操作的管理规程，包
括软件、硬件、网络设备和文档等。制订完整的升级、扩展和变更实
施方案，经审核和测试后实施。基本要求：
1.对升级、扩展和变更潜在的风险、影响及需要的资源进行分析；
2.制订实施计划、测试计划、回退计划等；
3.进行预先测试，形成测试报告；
4.避免在业务高峰期间进行操作；
5.兼容历史数据。
第七章 信息安全
第四十八条 遵循信息安全等级保护要求，从技术和管理两方面
构建医院信息平台的综合防御机制，保证中医医院信息系统的稳定运
行以及业务数据的安全可靠。
第四十九条 建立健全信息安全管理组织、规章制度、岗位职责
以及检查审核和风险评估机制，制订完备的系统恢复及应急预案，完
善信息安全技术措施，保障中医医院信息系统安全、平稳和高效的运
行。
第五十条 中医医院信息安全管理组织应由医院主要领导及相关
职能部门负责人组成。主要职责：
1.制定统一的安全策略和信息系统安全管理制度；
2.审核、发布和实施信息系统安全保护和安全防范技术方案；
3.组织信息系统安全教育及技术培训；
4.开展信息系统安全自查，发现问题，及时整改；
5.组织信息系统安全防范、应急演练。
第五十一条 中医医院信息系统安全管理执行《信息安全等级保
护管理办法》等规定，开展定级备案工作。中医医院信息系统安全按
照等级保护第二级要求进行安全建设。根据中医医院服务受众的多少
和对应用系统依赖的程度，重要信息系统推荐参照等级保护第三级要
求进行安全建设。
第五十二条 中医医院信息安全技术管理主要包括身份认证、访
问控制与授权、数据备份与灾备系统、安全分域及边界防护、防病毒
系统、入侵检测、漏洞扫描、补丁管理、邮件安全网关、远程接入、
网络审计等，应建立与之相配套的管理制度。基本要求：
1.身份认证管理：计算机入网运行应经备案批准，重要主机的用
户名、开机口令、应用口令和数据库口令实施重点管理，严格控制设
备存取及加密；
2.访问控制与授权管理：根据网络主机不同的安全级别采取相应
的访问控制、数据保护、监控管理和系统安全等技术措施，定期对网
上用户的访问及授权情况进行检查，不得超过授权设置权限；
3.备份与恢复管理：建立备份和恢复的管理制度和操作规程，定
期对备份和恢复策略进行测试，制定系统恢复的预案并定期演练；
4.边界安全的防护管理：根据安全区域划分情况明确安全防护边
界，实施有效的访问控制策略和机制，应在网络系统或安全域边界的
关键点采用严格的安全防护机制；
5.病毒防护管理：部署有效的网络病毒防范软硬件系统、入侵检
测系统，制定相应的病毒防范管理办法、计算机病毒和恶意代码防护
策略以及规章制度，实施对计算机网络病毒和安全事件的监控和有效
防范；
6.远程接入管理：在有效部署防火墙、入侵检测和防病毒系统的
基础上实施远程接入，使用公用网络应采取安全措施，内网业务与外
网业务应进行隔离，涉密计算机禁止与非涉密网络联接；
7.数据安全管理：制定保密防范措施，重要数据、软件的修改应
留有操作痕迹，并具有恢复功能。严格审查数据的输入、处理、存储、
输出；重要数据须加密存储，对存储介质的文件和数据，应有软件保
护措施；
8.网络审计管理：部署有效的网络安全审计系统，制定相应的安
全审计策略及规章制度，对网络系统中的网络设备运行状况、网络流
量、用户行为等进行日志记录。
第五十三条 保护信息系统医疗信息和患者隐私，不得利用医疗
信息从事商业活动或其他与治疗无关的活动，不得私自复制、下载、
传播和泄漏患者信息。
第五十四条 医院信息系统突发事件管理的基本要求：
1.信息系统突发事件应对原则：统一领导、分级控制、预防为主、
健全制度、快速响应、有效配合；
2.建立突发事件应对体系，包括组织机构、工作职责、应急预案、
通讯系统以及必要的物资储备；
3.应急预案应采用手工、半手工、备用系统等多种可使业务持续
运行的手段，对关键业务的处理流程制定应急操作步骤，制定定期应
急预案演练计划，并按照计划实施演练；
4.建立信息系统预警等级制度，发生信息系统突发事件，应立即
上报和确定等级，启动相应应急预案；
5.应对信息系统突发事件的宣传和技术培训，保证应急预案的有
效实施，不断提高信息系统的应急能力。
第五十五条 信息系统审计是对信息系统及其业务应用的效能、
效率、安全性进行监测、评估和控制的过程。应建立审计制度，配备
经验丰富的高级技术人员为专职或者兼职审计人员，在系统设计、实
施、运行阶段应有审计人员参加，审计工作应长期进行。
第五十六条 信息系统风险评估的基本要求：定期对信息系统进
行风险分析，包括硬件资源的破坏与丢失、数据与程序文件的破坏与
丢失、对实现系统功能的不利影响和对系统资源的非法使用等；针对
风险分析结果制定相应的预防措施；保密分析过程与结果，避免非法
利用系统弱点。
第八章 附 则
第五十七条 本规范由国家中医药管理局负责解释。
第五十八条 本规范自发布之日起施行。2003年国家中医药管理
局发布的《中医医院信息化建设基本规范（试行）》同时废止。