18 信息安全管理制度一)定义指医疗机构按照信息安全管理相关法律法规和技术标准要 求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、 发布等进行全流程系统性保障的制度二)基本要求1. 医疗机构应当依法依规建立覆盖患者诊疗信息管理全流 程的制度和技术保障体系,完善组织架构,明确管理部门,落实 信息安全等级保护等有关要求2. 医疗机构主要负责人是医疗机构患者诊疗信息安全管理 第一责任人3. 医疗机构应当建立患者诊疗信息安全风险评估和应急工 作机制,制定应急预案4. 医疗机构应当确保实现本机构患者诊疗信息管理全流程 的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性5. 医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗 信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自 向他人或其他机构提供患者诊疗信息6. 医疗机构应当建立员工授权管理制度,明确员工的患者诊 疗信息使用权限和相关责任医疗机构应当为员工使用患者诊疗 信息提供便利和安全保障,因个人授权信息保管不当造成的不良 后果由被授权人承担7. 医疗机构应当不断提升患者诊疗信息安全防护水平,防止 信息泄露、毁损、丢失定期开展患者诊疗信息安全自查工作, 建立患者诊疗信息系统安全事故责任管理、追溯机制。
在发生或 者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即 采取补救措施,按照规定向有关部门报告三)信息安全管理制度实施细则1. 建立信息安全管理机制医疗机构主要负责人是医疗机构 患者诊疗信息安全管理第一责任人建立由医院主要院领导为组 长、医疗主管院领导为副组长,医疗管理部门、病案管理部门、 护理管理部门、药学管理部门、科研教学管理部门及信息网络部 门为成员的诊疗信息安全管理委员会2. 建立医疗信息访问授权管理制度和流程,医疗信息的访问 包括借阅、编辑、修改、访问、查询等接触患者诊疗信息的行为1)医疗机构的纸质诊疗信息和医疗信息系统用户权限采 用职能部门统一管理、统一授权的原则,根据业务工作需要设置 业务科室权限范围对新入职、下乡、支援、进修、规培、转岗、 退休人员实行权限动态管理授权操作人员应严格根据授权审批 进行授权,禁止私自变更授权范围2)信息网络部门建立工作人员和外来人员操作权限授权 管理制度和流程,并与接触患者诊疗信息的员工签订患者诊疗信 息安全保密责任书医疗机构应与医疗信息系统的软件公司签订 保密协议3)医疗机构应使用有效的操作人员身份识别方式,使用 用户名、密码登录的,应采用强密码登录规则,有条件的可使用 数字认证方式。
医务人员应妥善保管自己的用户名、密码或数字 身份登录的Ukey,不得泄露、丢失与外借各相关职能部门应 加强医务人员身份登录管理,严禁使用他人用户名、密码或 Ukey 登录系统,确保患者诊疗信息的安全4) 各相关职能部门建立患者诊疗信息生成过程各环节的 安全保护制度,防止诊疗过程中产生的患者诊疗信息的丢失和泄 露5) 各职能部门定期对系统操作权限进行查核,发现授权 错误或未及时终止的授权问题及时纠正3. 建立患者诊疗信息全流程管理制度,确保患者诊疗信息管 理全流程的时效性、真实性、连续性、完整性、准确性、稳定性、 安全性和可溯源性1) 医务工作人员应客观、真实、准确、及时、完整记录 患者诊疗信息,对输入计算机的数据时效性、真实性、连续性、 完整性、准确性负责,不得随意增减或删除有效数据2) 建立患者诊疗信息创建、修改、归档等操作授权制度 确保患者诊疗信息可追溯性,严禁对后台原始数据进行修改3)信息网络部门负责对医疗信息系统产生的患者诊疗信 息的存储、备份、安全防护等,健全技术设施、数据安全管理制 度和应急预案,确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源性4. 医疗机构应当建立患者诊疗信息安全保护制度和信息再 利用的审批流程,明确医务人员使用患者诊疗信息权限和授权部 门。
医务人员应当遵循合法、依规、正当、必要的原则,不得擅 自出售患者信息,不得未经批准擅自向他人或其他机构提供患者 诊疗信息1) 建立健全对院内医务工作人员因科研、教学、学术交 流等对患者诊疗信息的复制的审批制度和流程,明确脱敏范围2) 建立健全公安、监察、法院、审计、保险等机构对患 者诊疗信息的调用的审批制度和流程,明确脱敏范围3) 建立健全患者诊疗信息向社会团体、AI智能诊断代理 机构、院外数据平台、卫生行政部门附属机构等以各种形式提供 或上传的审批制度和流程,明确脱敏范围 4)其他非卫生行政部门之外的患者诊疗数据的复制、上 报、上传均应纳入数据再利用的制度和流程,明确脱敏范围 5)建立健全医疗设备工作站、从事医疗业务的计算机、 带有存储功能的其他设备报废处置前的患者诊疗数据处理制度 和流程 6 )任何人不得未经批准擅自向他人或其他机构提供患者 诊疗信息7)任何人不得擅自出售患者信息5. 医疗机构应当实行信息安全等级保护和用户使用权限划 分,明确授权部门及具体实施部门权限,并建立权限动态调整机 制定期开展患者诊疗信息安全自查工作,不断提升患者诊疗信 息安全防护水平,防止信息泄露、毁损、丢失。
要建立患者诊疗 信息系统安全事故责任追究机制,在发生或者可能发生患者诊疗 信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照 规定向有关部门报告1)建立患者诊疗信息安全定期检查机制,患者信息安全管理小组定期检查各项制度落实情况和信息安全保护情况2)建立患者诊疗信息系统安全事故责任追究机制3)在发生或者可能发生患者诊疗信息泄露、毁损、丢失 的情况时,应当立即采取补救措施,按照规定向有关部门报告6. 医疗机构应当建立患者诊疗信息安全风险评估和应急工 作机制,制定应急预案1)各职能管理部门针对职责范畴,每年进行不少于一次 的信息安全风险评估对在医疗流程中可能产生的信息泄露、丢 失、毁损的环节的不安全因素采取有效措施,提高信息保护能力2)信息网络部门围绕医疗数据的安全保护,设定专职岗 位,培养技术人才,建立健全各项运维制度至少每年对医疗数 据中心的安全措施进行技术评估,采取有效措施,确保患者诊疗 数据的安全3)医疗机构应有充分的预算保障数据中心的安全架构、 设备、环境、供电等处于有效状态4)医疗机构应建立患者诊疗信息安全事故应急预案。