8.為什么要建立分級(jí)授權(quán)制度?
答:醫(yī)院信息系統(tǒng)在實(shí)際意義上屬于開(kāi)放式系統(tǒng),大量個(gè)人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中����,并不斷被調(diào)閱使用。另外,還有大量的數(shù)據(jù)上傳和分享接口�。大部分醫(yī)療機(jī)構(gòu)對(duì)外網(wǎng)頁(yè)還設(shè)置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面�����。
醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師�����,也包括大量系統(tǒng)外包的場(chǎng)地工程師�����、系統(tǒng)維護(hù)人員等���。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生��、護(hù)士��、管理人員以及醫(yī)學(xué)生�����、進(jìn)修生��、規(guī)培生等�����。根據(jù)不同人員身份和崗位性質(zhì)����,設(shè)立嚴(yán)格的登錄和操作權(quán)限授權(quán)是非常必要的?��?紤]到授權(quán)工作的唯一性和動(dòng)態(tài)變化�����,采取分級(jí)管理模式才具有可行性��。
9.員工授權(quán)管理制度包括哪些方面?
員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度和授權(quán)變更管理制度����。
醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項(xiàng)的制度,必須明確各授權(quán)和審批的部門和責(zé)任人�����。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項(xiàng)的制度執(zhí)行�。
內(nèi)部人員授權(quán)管理由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始,實(shí)施按層級(jí)分級(jí)授權(quán)和負(fù)責(zé)制度�����。
外包人員授權(quán)管理應(yīng)由醫(yī)療機(jī)構(gòu)信息安全工作小組組長(zhǎng)授權(quán),并按層級(jí)和部門崗位予以授權(quán)��,并向授權(quán)方負(fù)責(zé)�����。沒(méi)有經(jīng)過(guò)正式授權(quán)的臨時(shí)信息系統(tǒng)維護(hù)需求����,可由信息安全工作小組組長(zhǎng)臨時(shí)授權(quán)同意后補(bǔ)充授權(quán)記錄。
重點(diǎn)加強(qiáng)對(duì)被授權(quán)者及其訪問(wèn)權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管�,評(píng)估與記錄在案:
①建立與完善記錄操作日志,記錄一定周期內(nèi)的行為日志���,通過(guò)軟件系統(tǒng)逐一識(shí)別�����,確定操作行為的合規(guī)性�����;
②建立操作系統(tǒng)識(shí)別庫(kù)����,對(duì)于不屬于識(shí)別庫(kù)的行為,系統(tǒng)要給予報(bào)警���,直至下調(diào)授權(quán)等次或中止授權(quán)�。
10.如何防止醫(yī)療信息泄露�����、毀損和丟失?
答:首先����,應(yīng)按照信息安全等級(jí)要求,建立嚴(yán)格的信息分級(jí)安全管理系統(tǒng)和配套工作制度���。
其次,應(yīng)建立嚴(yán)格的信息分級(jí)授權(quán)制度體系和基于管理需求��、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運(yùn)行���。授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定��。
最后���,建立主數(shù)據(jù)雙備份制度���。對(duì)醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表,并保持良好的兼容互通����。
11.發(fā)生泄露事件后應(yīng)急預(yù)案要點(diǎn)有哪些?
泄密類信息安全事件不同于一般的信息安全事件。應(yīng)急處置基本原則要求有以下幾點(diǎn)���。
①泄密發(fā)現(xiàn)人員在第一時(shí)間先就泄密事件本身保密����;
②如已掌握涉密情況��,則選擇具有相應(yīng)涉密級(jí)別的人員進(jìn)行報(bào)告或直接報(bào)告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長(zhǎng)���;
③如未掌握涉密情況�����,應(yīng)向上一級(jí)信息安全主管報(bào)告��;
④處置過(guò)程保密���。
