指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求�,對醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲�����、使用、傳輸���、處理�����、發(fā)布等進(jìn)行全流程系統(tǒng)性保障的制度����。
1.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系�,完善組織架構(gòu),明確管理部門��,落實信息安全等級保護(hù)等有關(guān)要求�����。2.醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是患者診療信息安全管理第一責(zé)任人���。3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息安全風(fēng)險評估和應(yīng)急工作機(jī)制����,制定應(yīng)急預(yù)案。4.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)確保實現(xiàn)本機(jī)構(gòu)患者診療信息管理全流程的安全性���、真實性����、連續(xù)性�����、完整性�����、穩(wěn)定性�����、時效性�����、溯源性�。
5.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度����,使用患者診療信息應(yīng)當(dāng)遵循合法��、依規(guī)���、正當(dāng)、必要的原則��,不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息�����。
6.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度���,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任�。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障��,因個人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)��。
7.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平����,防止信息泄露、毀損����、丟失�。定期開展患者診療信息安全自查工作�����,建立患者診療信息系統(tǒng)安全事故責(zé)任管理��、追溯機(jī)制���。在發(fā)生或者可能發(fā)生患者診療信息泄露��、毀損�、丟失的情況時��,應(yīng)當(dāng)立即采取補(bǔ)救措施����,按照規(guī)定向有關(guān)部門報告。
【要點釋義】
1.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?
答:患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的�����,以一定形式記錄�����、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息�����,包括患者的個人基本信息����、掛號信息、就診信息����、住院醫(yī)囑信息、費(fèi)用信息��、影像資料和檢驗結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集����。
診療信息保護(hù)制度應(yīng)包括獲取制度、修改制度和安全保障制度�����。
獲取制度原則包括獲取行為的界定����,例如報銷�����、外院就診���、案件審理、臨床研究等����;個人獲取流程和必需材料;政府或社會組織獲取流程和依據(jù)材料���。
修改制度原則包括患者個人信息修改流程和醫(yī)務(wù)人員醫(yī)囑����、診斷等敏感信息修改流程�。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理,不得轉(zhuǎn)出��;患者資料通過分級權(quán)限管理保護(hù)及診治��;未經(jīng)患者本人的許可,不得將其疾病及相關(guān)隱私信息傳播給他人。
答:醫(yī)院信息系統(tǒng)在實際意義上屬于開放式系統(tǒng),大量個人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中���,并不斷被調(diào)閱使用���。另外,還有大量的數(shù)據(jù)上傳和分享接口���。大部分醫(yī)療機(jī)構(gòu)對外網(wǎng)頁還設(shè)置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面���。醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師�����,也包括大量系統(tǒng)外包的場地工程師�����、系統(tǒng)維護(hù)人員等����。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生、護(hù)士、管理人員以及醫(yī)學(xué)生�����、進(jìn)修生��、規(guī)培生等�。根據(jù)不同人員身份和崗位性質(zhì),設(shè)立嚴(yán)格的登錄和操作權(quán)限授權(quán)是非常必要的����。考慮到授權(quán)工作的唯一性和動態(tài)變化�,采取分級管理模式才具有可行性。員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度�����、外包人員授權(quán)管理制度和授權(quán)變更管理制度��。醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項的制度���,必須明確各授權(quán)和審批的部門和責(zé)任人����。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項的制度執(zhí)行。內(nèi)部人員授權(quán)管理由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始�����,實施按層級分級授權(quán)和負(fù)責(zé)制度����。外包人員授權(quán)管理應(yīng)由醫(yī)療機(jī)構(gòu)信息安全工作小組組長授權(quán)���,并按層級和部門崗位予以授權(quán)�,并向授權(quán)方負(fù)責(zé)��。沒有經(jīng)過正式授權(quán)的臨時信息系統(tǒng)維護(hù)需求���,可由信息安全工作小組組長臨時授權(quán)同意后補(bǔ)充授權(quán)記錄��。重點加強(qiáng)對被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管�,評估與記錄在案:①建立與完善記錄操作日志�����,記錄一定周期內(nèi)的行為日志�����,通過軟件系統(tǒng)逐一識別,確定操作行為的合規(guī)性����;②建立操作系統(tǒng)識別庫,對于不屬于識別庫的行為����,系統(tǒng)要給予報警,直至下調(diào)授權(quán)等次或中止授權(quán)�����。
4.如何防止醫(yī)療信息泄露��、毀損和丟失?
答:首先����,應(yīng)按照信息安全等級要求,建立嚴(yán)格的信息分級安全管理系統(tǒng)和配套工作制度�����。
其次�,應(yīng)建立嚴(yán)格的信息分級授權(quán)制度體系和基于管理需求����、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運(yùn)行����。授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定。
最后����,建立主數(shù)據(jù)雙備份制度。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表���,并保持良好的兼容互通。
5.發(fā)生泄露事件后應(yīng)急預(yù)案要點有哪些?
泄密類信息安全事件不同于一般的信息安全事件��。應(yīng)急處置基本原則要求有以下幾點��。
①泄密發(fā)現(xiàn)人員在第一時間先就泄密事件本身保密�����;
②如已掌握涉密情況��,則選擇具有相應(yīng)涉密級別的人員進(jìn)行報告或直接報告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長�����;
③如未掌握涉密情況,應(yīng)向上一級信息安全主管報告�����;
④處置過程保密�����。
答:實施軟件安全管理����,應(yīng)從以下四個方面進(jìn)行管理,但不限于此����。(1)醫(yī)療機(jī)構(gòu)臨床信息系統(tǒng)軟件的管理和維護(hù),應(yīng)由本機(jī)構(gòu)計算機(jī)信息系統(tǒng)的專職管理員負(fù)責(zé)實施日常的管理和維護(hù)����。
(2)若由開發(fā)該軟件的公司負(fù)責(zé)維護(hù)的醫(yī)療機(jī)構(gòu),應(yīng)在維保協(xié)議中明確軟件公司應(yīng)書面報告每次維護(hù)的情況��,經(jīng)使用認(rèn)可后報計算機(jī)信息系統(tǒng)專職管理員備案��。
(3)由各科室自行開發(fā)或應(yīng)用的新軟件,除上級或政府職能部門指定統(tǒng)一使用的外��,均必須按照規(guī)定的程序申報�����,經(jīng)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組討論批準(zhǔn)后方可應(yīng)用��。在原有系統(tǒng)上進(jìn)行新功能的迭代開發(fā)的�����,應(yīng)遵循信息系統(tǒng)項目管理和代碼更新上傳的標(biāo)準(zhǔn)規(guī)范流程進(jìn)行����。
(4)為了防止計算機(jī)信息系統(tǒng)被病毒感染或者擴(kuò)散病毒����,任何個人及部門科室均不得自行使用殺毒的軟盤、光盤����、U盤等儲存介質(zhì)。
7.醫(yī)療機(jī)構(gòu)如何對醫(yī)療數(shù)據(jù)的使用����、處理和披露進(jìn)行管理?答:根據(jù)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》,各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度�����、操作規(guī)程及技術(shù)規(guī)范��,涉及的管理制度每年至少修訂一次�����,建議相關(guān)人員每年度簽署保密協(xié)議�����。每年對本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險評估�,及時掌握數(shù)據(jù)安全狀態(tài)��。加強(qiáng)數(shù)據(jù)安全教育培訓(xùn)���,組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)���。結(jié)合本單位實際,建立完善數(shù)據(jù)使用申請及批準(zhǔn)流程,遵循“誰主管��、誰審查”���、遵循事前申請及批準(zhǔn)�����、事中監(jiān)管�、事后審核原則����,嚴(yán)格執(zhí)行業(yè)務(wù)管理部門同意、醫(yī)療機(jī)構(gòu)領(lǐng)導(dǎo)核準(zhǔn)的工作程序���,指導(dǎo)數(shù)據(jù)活動流程合規(guī)�。
本文摘自《醫(yī)療質(zhì)量安全核心制度要點釋義(第二版)》
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容���,出于傳遞更多信息而非盈利之目的�����,同時并不代表贊成其觀點或證實其描述,內(nèi)容僅供參考���。版權(quán)歸原作者所有���,若有侵權(quán)����,請聯(lián)系我們刪除��。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)����,轉(zhuǎn)載需獲授權(quán)。
