8.為什么要建立分級授權(quán)制度?
答:醫(yī)院信息系統(tǒng)在實際意義上屬于開放式系統(tǒng),大量個人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中,并不斷被調(diào)閱使用���。另外,還有大量的數(shù)據(jù)上傳和分享接口����。大部分醫(yī)療機構(gòu)對外網(wǎng)頁還設置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面。
醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員��。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師��,也包括大量系統(tǒng)外包的場地工程師�����、系統(tǒng)維護人員等����。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生、護士�、管理人員以及醫(yī)學生、進修生���、規(guī)培生等���。根據(jù)不同人員身份和崗位性質(zhì),設立嚴格的登錄和操作權(quán)限授權(quán)是非常必要的����。考慮到授權(quán)工作的唯一性和動態(tài)變化��,采取分級管理模式才具有可行性����。
9.員工授權(quán)管理制度包括哪些方面?
員工授權(quán)管理制度應包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度和授權(quán)變更管理制度��。
醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項的制度�����,必須明確各授權(quán)和審批的部門和責任人����。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項的制度執(zhí)行。
內(nèi)部人員授權(quán)管理由醫(yī)療機構(gòu)信息安全領(lǐng)導小組主導并起始�,實施按層級分級授權(quán)和負責制度。
外包人員授權(quán)管理應由醫(yī)療機構(gòu)信息安全工作小組組長授權(quán)�,并按層級和部門崗位予以授權(quán)��,并向授權(quán)方負責�。沒有經(jīng)過正式授權(quán)的臨時信息系統(tǒng)維護需求�����,可由信息安全工作小組組長臨時授權(quán)同意后補充授權(quán)記錄��。
重點加強對被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進行監(jiān)管�����,評估與記錄在案:
①建立與完善記錄操作日志�,記錄一定周期內(nèi)的行為日志,通過軟件系統(tǒng)逐一識別��,確定操作行為的合規(guī)性�����;
②建立操作系統(tǒng)識別庫���,對于不屬于識別庫的行為����,系統(tǒng)要給予報警,直至下調(diào)授權(quán)等次或中止授權(quán)�。
10.如何防止醫(yī)療信息泄露��、毀損和丟失?
答:首先���,應按照信息安全等級要求��,建立嚴格的信息分級安全管理系統(tǒng)和配套工作制度�。
其次�����,應建立嚴格的信息分級授權(quán)制度體系和基于管理需求����、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運行。授權(quán)審批應嚴格根據(jù)工作崗位和工作內(nèi)容而定���。
最后�,建立主數(shù)據(jù)雙備份制度����。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表����,并保持良好的兼容互通����。
11.發(fā)生泄露事件后應急預案要點有哪些?
泄密類信息安全事件不同于一般的信息安全事件。應急處置基本原則要求有以下幾點�����。
①泄密發(fā)現(xiàn)人員在第一時間先就泄密事件本身保密��;
②如已掌握涉密情況�����,則選擇具有相應涉密級別的人員進行報告或直接報告醫(yī)院信息安全領(lǐng)導小組組長����;
③如未掌握涉密情況,應向上一級信息安全主管報告����;
④處置過程保密��。
