5.如何建立與完善計算機(jī)信息系統(tǒng)的安全管理制度與流程?
答:計算機(jī)信息系統(tǒng)的安全管理制度與流程的覆蓋層面�,至少包括關(guān)于患者的所有數(shù)據(jù)���,對不同的數(shù)據(jù)資料制定不同的保護(hù)路徑措施(比如���,數(shù)字與圖像),所有權(quán)屬患者個人。
根據(jù)數(shù)據(jù)安全保護(hù)制度建立技術(shù)標(biāo)準(zhǔn)����,利用存儲及備份技術(shù)、網(wǎng)絡(luò)安全監(jiān)控技術(shù)、信息加密技術(shù)�、訪問控制技術(shù)加以保護(hù)。
建立與完善計算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度����、操作權(quán)限管理制度、用戶登記制度��、信息發(fā)布審查���、登記�����、保存�、清除和備份制度���。
明確任何單位和個人不得用計算機(jī)信息系統(tǒng)從事的行為���,有清單/目錄告知有操作權(quán)限的員工,并定期對其進(jìn)行培訓(xùn)和教育��。
定期�、不定期由醫(yī)院內(nèi)部與外部信息安全評估組織�����,進(jìn)行醫(yī)院信息系統(tǒng)安全評估�����,用制度與程序來保障�,將安全評估的結(jié)果用于網(wǎng)絡(luò)安全持續(xù)改進(jìn)活動�。各醫(yī)療衛(wèi)生機(jī)構(gòu)在信息系統(tǒng)運營過程中,應(yīng)每年開展文檔核驗�����、漏洞掃描、滲透測試等多種形式的安全自查����,及時發(fā)現(xiàn)可能存在的問題和隱患。針對安全自查����、監(jiān)測預(yù)警���、安全通報等過程中發(fā)現(xiàn)的安全隱患應(yīng)認(rèn)真開展整改加固���,防止網(wǎng)絡(luò)帶病運行����,并按要求將安全自查及整改情況報上級衛(wèi)生健康行政部門。
6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險評估的內(nèi)容制定應(yīng)急預(yù)案?
患者診療信息在錄入�����、儲存���、調(diào)閱��、輸出過程中始終存在安全風(fēng)險���。通過網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口�、第三方共享平臺等形式,患者信息還有進(jìn)一步被泄露和篡改的風(fēng)險���。因此應(yīng)急預(yù)案的擬定是必要的���,也是應(yīng)對信息安全風(fēng)險的基礎(chǔ)與前提��。
預(yù)案應(yīng)至少包括但不限于以下內(nèi)容�����。
組織機(jī)構(gòu):網(wǎng)絡(luò)與信息安全應(yīng)急小組應(yīng)由領(lǐng)導(dǎo)小組����、技術(shù)小組組成�����,應(yīng)由醫(yī)療機(jī)構(gòu)負(fù)責(zé)人擔(dān)任第一責(zé)任人����。小組負(fù)責(zé)信息安全日常事務(wù)處理、應(yīng)急處理及安全通報等事務(wù)��。
工作原則:逐級建立并落實統(tǒng)計信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制�����;按照法規(guī)規(guī)定職責(zé)和流程���;積極預(yù)防、及時預(yù)警�;積極提升應(yīng)急處理能力�����;各部門協(xié)同配合開展工作��。
應(yīng)急措施:基本應(yīng)急處理流程應(yīng)至少包括報告和簡單處理���;故障分級分類判斷與處理���;網(wǎng)絡(luò)線路故障排除�����;黑客入侵應(yīng)急處理���;患者信息泄露的應(yīng)急預(yù)案����;大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理等預(yù)案和處置原則����。
運營應(yīng)急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運營處置預(yù)案��。
7.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?
答:患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的,以一定形式記錄����、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息���,包括患者的個人基本信息、掛號信息、就診信息、住院醫(yī)囑信息、費用信息�����、影像資料和檢驗結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集�����。
診療信息保護(hù)制度應(yīng)包括獲取制度�、修改制度和安全保障制度�����。
獲取制度原則包括獲取行為的界定,例如,報銷、外院就診、案件審理�����、臨床研究等��;個人獲取流程和必需材料�;政府或社會組織獲取流程和依據(jù)材料����。
修改制度原則包括患者個人信息修改流程和醫(yī)務(wù)人員醫(yī)囑���、診斷等敏感信息修改流程����。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理����,不得轉(zhuǎn)出;患者資料通過分級權(quán)限管理保護(hù)及診治�����;未經(jīng)患者本人的許可�����,不得將其疾病及相關(guān)隱私信息傳播給他人。
