医院电子病历EMR与医嘱系统（季度）用户访问权限审查流程

适用对象：中大型医院EMR与医嘱（CPOE）系统，安全等级要求高度严格。流程遵循最小权限、职责分离、持续合规与可追溯原则，参考等保2.0、个人信息保护法/数据安全法、ISO/IEC 27001/27701、NIST 800-53（AC家族）等通用与本地监管要求。

1. 审查目标与范围明确说明

• 审查目标

  • 确认所有在岗用户权限与其岗位、资质、科室、班次及执业范围匹配，符合最小权限原则
  • 识别并消除超权、冗余、冲突和长期未用等高风险权限
  • 落实职责分离（SoD），防止单人可完成高风险闭环操作
  • 建立端到端可追溯证据链，满足监管与内外部审计要求
  • 为持续优化RBAC/ABAC模型与JML（入转离）流程提供数据支撑

• 系统与对象范围

  • 系统：EMR主系统、医嘱开立/核对/执行模块、处方审核与发药模块、报表与导出、移动端、接口网关/中间件（与HIS/LIS/PACS/药房/医保/CDSS接口）、管理控制台、数据库与备份运维入口
  • 账户类型：正式员工（医、护、药、技、行政）、培训生/住培/轮转、外包/供应商、临时与应急账号、服务账号/API密钥、机器人账号
  • 权限项：功能权限（查看/下达/修改/撤销/审核/核对/发药/执行/打印/导出）、数据域（科室/病区/患者分组/敏感专科如精神科、HIV、感染病、基因）、管理权限（系统配置、用户管理、审计）、特权（DBA/系统管理员/生产运维）

• 审查频率与覆盖

  • 频率：季度全量审查
  • 额外触发：人员变动/轮转、科室调整、系统重大变更、敏感事件后加审
  • 覆盖原则：高风险角色和特权账号100%逐项复核；低风险角色可在全量基础上增加抽样深挖

2. 详细的审查步骤和操作方法

• 阶段A：审查准备（T-10至T-1工作日）

  • 组建团队与RACI
    • 负责人：信息安全负责人（主责）
    • 系统所有者/数据所有者：EMR/CPOE产品负责人、医务/护理/药学/信息科代表
    • IAM管理员/目录服务（AD/IdP）管理员
    • 科室主管（直线经理）与人资（HR）
    • 合规/内审（监督与抽查）
  • 明确时间表与SLA
    • 收集与整合权限数据：3个工作日
    • 主管与系统所有者认证：5个工作日
    • 整改实施：5个工作日内完成，高风险项2个工作日内
    • 应急/破冰（break-glass）访问事后复核：24小时内完成
  • 数据与工具准备
    • 工具：IGA/IAM平台、工单/ITSM、SIEM/日志审计、PAM（特权访问）、DLP（导出监控）
    • 数据清单（只收集最小必要字段，避免携带医疗内容）
      • 身份：员工号/执业证号、姓名、岗位/职称、所在科室/病区/执业范围、在岗状态、合同到期日、雇佣类型
      • 账号：登录名、账号类型（人/服务/应急）、创建/上次登录时间、MFA启用情况、账号状态
      • 权限：角色列表、细粒度功能权限、数据域范围（科室/患者组/敏感标签）、有效期、授予路径（直接/组继承）
      • 特权：系统/数据库/生产运维权限、可提权路径、PAM纳管情况
      • 例外：历史批准的临时/长期例外及到期日
    • 基线与规则库
      • 标准角色-岗位映射表（RBAC矩阵）
      • ABAC策略（科室/班次/地点/在岗状态/资质等条件）
      • SoD冲突规则（示例：医嘱开立与审核不可同人；处方审核与发药不可同人；系统配置与审计不可同人；开发与生产变更发布不可同人）
  • 合规与保密
    • 数据脱敏：审查材料不包含患者明细，仅保留“敏感数据域访问标记”
    • 访问控制：审查材料仅限审查团队访问，启用水印与日志；存档加密并完整性校验（哈希）

• 阶段B：数据收集与质量校验（T0至T+2）

  • 多源采集：IdP/IAM、EMR/CPOE应用DB、PAM、HR、工单系统、日志平台
  • 身份关联：以员工号/执业证号为主键合并，识别同人多账号与共享账号
  • 质量校验：缺失字段/重复/跨系统不一致；与HR在岗状态对比；与轮转计划对比

• 阶段C：权限分析与分发认证（T+3至T+7）

  • 自动化检测（见第3节异常规则）
    • 孤儿/休眠/过期/超范围/SoD冲突/特权过度/例外到期/服务账号滥用等
  • 风险分级与清单化
    • 生成高/中/低风险清单，标注处置建议与负责人
  • 分发与认证（双通道认证）
    • 直线主管（人员在岗与岗位确认、轮转有效性）
    • 系统/数据所有者（权限与数据域匹配性确认）
    • 特权账号需经信息安全负责人复核
    • 未响应自动升级：科室主任→分管院领导→合规/内审

• 阶段D：问题处置与变更实施（T+8至T+12）

  • 工单化处置：撤销/收敛到标准角色/细化数据域/启用MFA/PAM纳管/设置有效期
  • SoD冲突整治：拆分角色、调整流程，必要时启用四眼审批
  • 临时例外：最小期限+到期自动回收+业务说明+负责人签批+补偿控制（增强日志、抽查）
  • 变更验证：变更后回归测试（关键科室验证不影响医疗安全）、记录证据与时间戳

• 阶段E：收尾与存档（T+13至T+15）

  • 复核关闭：确认高风险项100%关闭或有批准例外
  • 指标产出：覆盖率、发现率、整改及时率、例外比例、回收权限数、SoD冲突数、重复账号数
  • 存档：报告、签批、数据快照、工单与日志索引；保留期限不低于法规或内部制度要求的年限（建议≥3年），加密留存并定期完整性校验

3. 权限异常判断标准和处理流程

• 异常分类与判定标准

  • 严重（Critical）
    • 在离职/停岗/轮转结束后仍可访问
    • SoD关键冲突：同用户同时拥有医嘱开立与审核/处方审核与发药/系统配置与审计/开发与生产发布
    • 超级管理员数量超标或未纳入PAM；应急账号长期启用或共享使用
    • 未启用MFA的特权/远程访问
  • 高风险（High）
    • 休眠账号（>90天未登录）仍保留敏感访问
    • 外包/临时账号无到期日或超过合同期仍有效
    • 超范围数据域（可访问非所在科室/敏感专科）且与职责不符
    • 服务账号具有人类交互权限或多余的写入/导出权限
  • 中风险（Medium）
    • 角色叠加造成冗余功能
    • 历史例外未按期复核
    • 移动端或外网访问未满足条件限制（地点/时间/设备合规）
  • 低风险（Low）
    • 描述不规范、无业务备注、责任人未标注等文档性问题

• 处理流程与SLA

  • 分流与确认：信息安全初判→所有者确认→定级
  • 处置措施：
    • 撤销或收敛到标准角色；限定数据域；启用MFA；纳入PAM并设置JIT提权；设置到期自动回收
    • SoD冲突必须在2个工作日内解消；无法即刻拆分时，启用临时双人审批与强化审计，7个工作日内完成永久修复
    • 应急账号事件后24小时内审计与回收
  • 验证与关闭：变更后功能与医疗流程验证，记录证据，更新基线与台账
  • 记录例外：业务必要性、范围、期限（≤30天为默认上限）、补偿控制、批准人、复核计划

4. 审查报告模板和记录要求

• 报告目录

  • 摘要：审查周期、范围、方法、总体结论、重大风险项
  • 合规映射：与等保2.0、个人信息保护法/数据安全法、ISO 27001控制项的对应
  • 系统概览：账户与权限规模、角色模型、数据域分类
  • 发现汇总（按严重度）
  • 详细清单（附件形式）
  • 整改计划与责任分配
  • 指标与趋势：与上季度对比
  • 例外台账：原因、期限、补偿控制、下次复核时间
  • 审签页：系统所有者、信息安全负责人、合规/内审签字与日期

• 关键清单字段（示例）

  • 用户权限清单
    • 员工号/姓名/部门/岗位/在岗状态/账号类型/最后登录/MFA状态
    • 角色列表/功能权限/数据域（科室/敏感标签）/授予路径/有效期
    • 风险级别/整改建议/负责人/工单号/预计完成日/关闭日期
  • SoD冲突清单
    • 用户/冲突规则/证据（日志或权限快照）/临时补偿控制/整改方案与SLA
  • 特权账号清单
    • 账号/特权类型/PAM纳管/会话审计/提权审批流/上次使用/所有者
  • 例外台账
    • 例外编号/业务原因/授权范围/到期日/批准人/复核周期/补偿控制
  • 证据与日志索引
    • 数据快照哈希/生成时间/生成人/存储位置/访问控制列表

• 记录与存档要求

  • 完整性：对导出快照进行哈希校验；关键材料电子签名
  • 访问控制：仅限审查团队，最小权限，访问留痕
  • 保留期限：依法规和内部制度执行（建议≥3年）；到期安全销毁并记录

5. 后续跟踪和改进措施

• 机制与频率优化

  • 建立季度固定节奏与里程碑；对高风险科室（急诊、ICU、药学）可增加月度轻量复核
  • 轮转与实习岗引入“自动到期+自动回收”，与HR/教学系统对接实时触发

• 模型与流程优化

  • 完善RBAC矩阵与ABAC策略：以岗位/职称/科室/班次/执业范围为条件，减少角色叠加
  • 扩展SoD规则库：覆盖医嘱全流程、药事管理、系统运维全链路
  • 强化JML流程：入职即配准、转岗即调整、离职≤4小时内完成回收；临时访问强制设置到期

• 技术与自动化

  • 引入/优化IGA平台：自动收集、比对、发起认证与回收；与PAM联动实现JIT提权与会话审计
  • 指标看板：覆盖率、超期项、平均整改时间、例外占比、特权账号使用频度、休眠回收率
  • 日志与告警：异常导出、跨地域/异常时段登录、越权操作实时告警与周报复核

• 安全控制与培训

  • 强制MFA：特权与远程访问、敏感数据域操作必须MFA
  • 账号治理：禁止共享账号；服务账号最小权限与密钥周期轮换；应急账号“封存+启用即审”
  • 意识培训：面向科室主管与系统所有者的权限审查职责培训；面向全员的最小权限与数据出境/导出合规培训

• 审计与合规

  • 内部审计年度抽样核查审查过程与证据
  • 按适用监管要求保留记录，定期自评与外部评估（如等保测评前专项复核）
  • 事件反哺：针对安全事件复盘，更新SoD规则与基线模型

以上流程侧重可操作性与可度量性，覆盖准备、分析、处置、报告与持续改进的全生命周期，确保在高安全等级要求下，EMR与医嘱系统的用户访问权限持续合规、最小、可追溯与可审计。

多租户云数据平台与作业编排中心—用户访问权限审查流程（半年度/大型/严格）

1. 审查目标与范围明确说明

• 审查目标

  • 验证最小权限与职责分离（SoD）是否落实，防止超权、滥权与越权访问。
  • 确保多租户隔离有效，杜绝跨租户、跨环境（Prod/Stage/Dev）不当访问。
  • 识别并整改高风险权限与异常账户（含人/机身份），降低潜在数据泄露与业务中断风险。
  • 满足合规性与可追溯性要求（参考：ISO 27001 A.9/A.12、SOC 2 CC6/CC7、PCI DSS 4.0 Req.7、HIPAA 164.308(a)(4)）。
  • 建立持续改进与自动化审查机制，量化成效与闭环整改。

• 审查范围（对象与边界）

  • 身份来源与联邦：企业IdP/IGA（如 Entra ID/Okta/OneLogin）与平台本地账户、SSO、SAML/OIDC。
  • 权限域与资源
    • 云数据平台：数据仓库/湖（角色/权限、资源监控、行列级/标签级访问控制）、计算集群/SQL仓库、共享与外部表、密钥与凭据仓库、作业产物存储（对象存储/文件系统）。
    • 作业编排中心：工作流定义、DAG/Pipeline、触发器、运行身份（Run-As）、队列/执行器、审批流与发布通道。
    • 管理与网络：平台控制平面、租户管理、审计日志、网络策略（IP 允许列表/私网端点）、PAM/PIM（临时提权）、APIs/CLI/Pat Token。
  • 身份类型：人类用户（员工/外包/合作伙伴）、服务账号（Service Account）、工作负载身份（OIDC/Federation）、机器人/CI/CD、共享或紧急（Break-glass）账号。
  • 环境：生产/预生产/测试/开发、所有租户/项目空间（Workspace/Project）。

• 审查频率与触发

  • 固定频率：半年度全量审查（100%账户与权限）。
  • 事件触发：重大组织变更、租户合并/新租、泄露/安全事件、敏感业务上线前。

• 角色与职责（RACI）

  • 审查负责人（CISO/IAM 经理）：总体策划、标准批准、风险接受。
  • 平台管理员（平台/安全团队）：数据导出与技术核验、整改落地。
  • 业务/数据所有者（各租户/域）：访问授权的业务必要性复核与确认。
  • IAM/IGA 管理员：身份目录、群组/角色、工作流与证据归档。
  • 审计/合规：独立抽样复核、合规映射与留痕检查。
  • 变更管理：变更窗口、回滚与沟通协调。

2. 详细的审查步骤和操作方法

阶段一：审查准备

• 2.1 制定审查计划与基线

  • 输出：审查计划（范围、时间线、RACI、变更窗口、风险准入/例外策略、SLA）。
  • 建立“权限基线目录”：定义每类岗位/系统角色的最小权限集合与 SoD 矩阵（示例：开发者不可直接在生产执行审批与部署）。
  • 明确高风险权限清单（例如：跨租户管理、管理密钥/凭据、创建共享/外部表、Job Run-As 任意切换、全数据读取、网络策略变更、禁用审计日志、令牌管理）。

• 2.2 数据收集与固化

  • 身份与授权清单：从 IdP/IGA、云平台 IAM、数据平台与编排中心导出“有效权限”而非仅显示授予（需展开群组嵌套与角色继承）。
  • 非人类身份：服务账号/工作负载身份、PAT/API Key/证书、密钥库条目、运行身份映射（Job->Service Account）。
  • 审计与使用证据：过去180天的登录、API 调用、作业执行、令牌使用、数据访问热点、审批记录。
  • 环境与租户映射：用户-租户-环境-资源的关联表。
  • 输出：统一数据包（CSV/JSON），存入受控证据库（只读、时间戳、签名/哈希）。

• 2.3 工具与访问

  • 建议工具：CIEM/IGA（权限分析与认证流程）、SIEM（日志）、云审计日志（如 CloudTrail/Activity Logs）、数据平台审计日志、编排中心运行日志。
  • 准备可复用脚本或查询用于识别异常（例如：未使用权限、人机混用、跨环境高权、令牌过期、SoD 冲突）。

阶段二：权限分析

• 2.4 自动化检测（系统侧）

  • 账户状态：离职/合同到期未禁用、90天未登录（可按业务调整为60/90天）、无所有者的服务账号。
  • 权限超配：直接授予资源权限（绕过角色/群组）、通配符权限（*）、跨租户角色、生产与开发同时具备“创建/审批/执行”组合。
  • SoD 冲突：编排审批人=同一工作流提交人；数据工程师兼任安全管理员；计费/配额管理员兼任开发运营。
  • 令牌与密钥：PAT/API Key/证书超过90天未轮换或180天未使用仍有效；共享Token；未绑定IP/环境限制。
  • 作业运行身份：Run-As=提交者，且提交者为人类账号在生产执行；服务账号被多个无关工作流共享；无最小桶/数据库权限。
  • 数据平面：缺失行级/列级或标签级控制；跨租户共享未记录业务批准与到期；资源监控阈值缺失。
  • 审计与防篡改：关键操作无审计记录或可被管理员关闭；日志保留期低于合规门槛（建议≥400天，依合规要求调整）。
  • 网络与边界：生产租户未启用IP 允许列表/私网；跨租户网络策略异常放宽。

• 2.5 人工复核（业务侧）

  • 发起“访问认证（Access Review/Recertification）”：各租户数据/系统所有者逐项确认每个身份的业务必要性、权限级别、到期时间。
  • 针对高风险权限与生产环境账号要求二次确认与书面说明。
  • 输出：每条权限的“保留/收敛/移除/例外”决策与证据（审批记录、需求单、合规条款）。

阶段三：问题处理（变更与风险控制）

• 2.6 整改优先级与方案

  • 分级（见第3节）：Critical/High 优先，先“降权/冻结/隔离”，再优化结构性权限。
  • 人类账户
    • 立即禁用：离职/无业务归属/90天未登录的高权账号。
    • 收敛：将直接授予迁移至标准角色；去除跨环境/跨租户；强制启用 MFA/PIM（Just-In-Time）。
  • 服务账号/工作负载身份
    • 拆分：按工作流/系统最小化；每个工作流独立SA与密钥；限定命名空间/队列/资源。
    • 轮换：PAT/API Key/证书轮换≤90天；启用短期令牌与OIDC联邦，减少长期静态凭据。
    • 绑定：Run-As 固定为服务账号；禁用“以提交者身份运行”。
  • 作业编排与变更流程
    • 强制四眼原则：开发提交->安全/平台审批->生产执行分离；部署通过CI/CD，禁止直接在生产修改DAG。
    • 引入策略：仅受控仓库来源的DAG可被调度；敏感任务需变更单与时间窗。

• 2.7 变更实施与验证

  • 通过ITSM工单执行，每项变更含：影响评估、回滚方案、变更窗口、验证步骤、责任人。
  • 先非生产验证，再逐步推广至生产；关键变更后进行监控与日志审计核对。
  • 输出：变更单号、执行记录、验证截图/日志、回执。

阶段四：报告与归档

• 2.8 汇总与通报
  • 形成标准化报告（见第4节模板）；包含发现、风险等级、整改措施、完成率、逾期项与例外清单。
  • 向管理层与合规部门汇报，记录风险接受与例外批准。

阶段五：持续改进

• 2.9 自动化与度量
  • 接入CIEM/IGA定期任务、策略即代码（Policy-as-Code）、基线对比与漂移检测。
  • KPI/度量：覆盖率、超权消减、SoD违规清零时间、令牌轮换达标率、审计缺口数、平均整改时长（MTTR）。
  • 例外管理：设定到期自动复审与到期前提醒；未续批则自动回收。

3. 权限异常判断标准和处理流程

• 异常分类与判定标准（可根据业务微调）

  • Critical（需24小时内处置）
    • 跨租户管理权限或跨环境（含生产）同时拥有创建/审批/执行的组合权限。
    • 能关闭审计/修改日志保留的权限被非安全保管；审计被关闭或失效。
    • Break-glass 账号使用无事件工单/未在规定时限内复盘。
    • 共享账户/凭据用于生产访问；运行身份为人类账号执行生产任务。
  • High（72小时内处置）
    • 直接授权高权（绕过标准角色）、通配符权限（*）、外部共享无审批或过期。
    • 服务账号无所有者/用途说明；PAT/API Key>90天未轮换或>180天未使用仍有效。
    • 未启用MFA的高权人类账户；生产未启用IP 允许列表/私网端点。
  • Medium（两周内处置）
    • 90天未登录的人类账号仍保留一般权限；群组成员超配（相较基线）。
    • Run-As 未绑定服务账号；多个工作流共享同一服务账号且权限过宽。
  • Low（一个审查周期内处置）
    • 标签/行列级策略不完善、描述不规范；非生产资源残留高权但无数据敏感性。

• 处理流程（标准化闭环）

  1. 识别与分级：自动规则+人工判定；生成唯一ID与风险等级。
  2. 隔离/临时降权：Critical/High 先执行最小可行降权或禁用；保留回滚方案。
  3. 根因分析：角色设计缺陷/群组膨胀/流程漏洞（如直授绕过、例外未过期）。
  4. 修复与验证：通过ITSM变更，执行最小化重构（角色化、分层、按环境分离）；在非生产验证后推广。
  5. 证据与复盘：上传前后对比清单、日志、截图；记录是否需要更新基线或策略。
  6. 例外管理：必须含业务说明、到期日、风险接受人；默认≤90天，到期自动触发复审与回收。

4. 审查报告模板和记录要求

• 报告结构（提交至管理层/审计/合规）

  • 执行摘要
    • 审查周期、范围、关键发现数量（按等级）、总体风险态势、整改完成率、主要改进点。
  • 审查范围与方法
    • 系统/租户/环境清单、数据来源、自动化检测规则、抽样/全量策略、人员与职责。
  • 发现与分析
    • 每项发现含：唯一ID、描述、影响范围（租户/资源/身份）、证据链接、风险等级、合规条款映射、根因。
  • 整改计划与进度
    • 措施、责任人、目标完成日期、状态（完成/进行中/阻塞）、回滚与验证结果。
  • 指标与趋势
    • KPI：权限超配率、SoD 违规数、令牌轮换达标率、Inactive 账户清理率、平均整改用时、例外数与到期率。
  • 例外与风险接受
    • 例外清单：理由、批准人、到期时间、缓解措施。
  • 附录与证据
    • 导出清单（哈希校验）、审计日志片段、审批截图、脚本版本与哈希、术语与基线目录版本。

• 记录与留存要求

  • 证据存储：受控仓库（WORM/不可篡改策略优先），记录生成时间、生成工具、签名/哈希。
  • 保留周期：≥审计/法规最长期限（常见建议≥1年，按监管要求调整）。
  • 可追溯性：每条权限决策可追溯至业务所有者与审批记录；每项变更对应ITSM工单与验证结果。

5. 后续跟踪和改进措施

• 定期机制与自动化

  • 半年度全量复审 + 季度重点抽检（高权与生产环境）。
  • 上线CIEM/IGA自动化认证与回收；策略即代码（OPA/ABAC/RBAC 模板化）与基线漂移告警。
  • 引入PIM/JIT：高权访问按需申请、时限授权、操作全量审计。

• 权限模型优化

  • 三层模型：环境分层（Prod/Non-Prod）+ 租户分割 + 角色分离（查看/开发/运营/审批/安全/计费）。
  • 禁用直接授权与通配符；强制通过标准角色与群组；服务账号“单一用途、最小权限、短期凭据”。

• 作业编排与数据安全强化

  • 运行身份固定为服务账号；DAG/Workflow 变更走CI/CD与审批；敏感任务强制双人复核。
  • 数据访问实施行列级/标签级控制；外部共享需要合同/审批与到期；资源监控与预算告警启用。

• 密钥与令牌治理

  • 全面迁移到OIDC/STS短期令牌；PAT/API Key 最长90天轮换；所有密钥在企业金库托管（审计开启）。
  • 配置IP 允许列表/私网访问；禁用匿名/公共端点。

• 培训与演练

  • 对租户管理员/数据所有者开展最小权限与SoD培训；季度针对Break-glass与审计丢失的演练。

• 指标与监督

  • 每季度向管理层报告KPI趋势与未决高风险项；对逾期整改进行问责或风险再评估。

附：可操作清单（示例，作为执行参考）

• 必做项
  • 导出并归档：有效权限矩阵（展开继承/群组）、账户使用日志、令牌与密钥清单、Run-As 映射。
  • 禁用/收敛：离职/不活跃高权、Run-As=人类的生产作业、跨租户/跨环境高权组合、通配符权限。
  • 强制：MFA、PIM/JIT、日志不可篡改/≥400天保留（按法规调整）、CI/CD 发布与审批分离。
  • 轮换：PAT/API Key/证书≤90天；服务账号逐一绑定工作流并最小化权限。
  • 审批与留痕：所有保留高权需业务说明与到期；例外≤90天并自动复审。

本流程面向大型用户规模与严格安全等级的多租户云数据平台与作业编排中心，覆盖端到端的准备、分析、整改、报告与持续改进，确保审查过程的可操作性、可追溯性与合规性。