指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求,對(duì)醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲(chǔ)�����、使用�、傳輸、處理�����、發(fā)布等進(jìn)行全流程系統(tǒng)性保障的制度���。
1.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系�,完善組織架構(gòu)����,明確管理部門�,落實(shí)信息安全等級(jí)保護(hù)等有關(guān)要求���。2.醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是患者診療信息安全管理第一責(zé)任人�。3.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制���,制定應(yīng)急預(yù)案����。4.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)確保實(shí)現(xiàn)本機(jī)構(gòu)患者診療信息管理全流程的安全性����、真實(shí)性、連續(xù)性����、完整性、穩(wěn)定性�����、時(shí)效性����、溯源性�����。
5.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立患者診療信息保護(hù)制度��,使用患者診療信息應(yīng)當(dāng)遵循合法��、依規(guī)���、正當(dāng)、必要的原則����,不得出售或擅自向他人或其他機(jī)構(gòu)提供患者診療信息���。
6.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度���,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障�,因個(gè)人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)。
7.醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護(hù)水平�����,防止信息泄露、毀損����、丟失。定期開(kāi)展患者診療信息安全自查工作��,建立患者診療信息系統(tǒng)安全事故責(zé)任管理�����、追溯機(jī)制�。在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損����、丟失的情況時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施�,按照規(guī)定向有關(guān)部門報(bào)告。
【要點(diǎn)釋義】
1.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?
答:患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過(guò)程中產(chǎn)生的�,以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息�����,包括患者的個(gè)人基本信息、掛號(hào)信息�����、就診信息��、住院醫(yī)囑信息��、費(fèi)用信息�、影像資料和檢驗(yàn)結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集。
診療信息保護(hù)制度應(yīng)包括獲取制度��、修改制度和安全保障制度���。
獲取制度原則包括獲取行為的界定����,例如報(bào)銷�、外院就診�、案件審理、臨床研究等���;個(gè)人獲取流程和必需材料���;政府或社會(huì)組織獲取流程和依據(jù)材料���。
修改制度原則包括患者個(gè)人信息修改流程和醫(yī)務(wù)人員醫(yī)囑、診斷等敏感信息修改流程��。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理�����,不得轉(zhuǎn)出���;患者資料通過(guò)分級(jí)權(quán)限管理保護(hù)及診治��;未經(jīng)患者本人的許可��,不得將其疾病及相關(guān)隱私信息傳播給他人���。
2.為什么要建立分級(jí)授權(quán)制度?答:醫(yī)院信息系統(tǒng)在實(shí)際意義上屬于開(kāi)放式系統(tǒng),大量個(gè)人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中���,并不斷被調(diào)閱使用���。另外���,還有大量的數(shù)據(jù)上傳和分享接口。大部分醫(yī)療機(jī)構(gòu)對(duì)外網(wǎng)頁(yè)還設(shè)置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面�。醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師�����,也包括大量系統(tǒng)外包的場(chǎng)地工程師��、系統(tǒng)維護(hù)人員等�。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生、護(hù)士����、管理人員以及醫(yī)學(xué)生、進(jìn)修生���、規(guī)培生等����。根據(jù)不同人員身份和崗位性質(zhì)���,設(shè)立嚴(yán)格的登錄和操作權(quán)限授權(quán)是非常必要的�??紤]到授權(quán)工作的唯一性和動(dòng)態(tài)變化,采取分級(jí)管理模式才具有可行性�。員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度和授權(quán)變更管理制度�。醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項(xiàng)的制度,必須明確各授權(quán)和審批的部門和責(zé)任人���。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項(xiàng)的制度執(zhí)行�。內(nèi)部人員授權(quán)管理由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始�,實(shí)施按層級(jí)分級(jí)授權(quán)和負(fù)責(zé)制度。外包人員授權(quán)管理應(yīng)由醫(yī)療機(jī)構(gòu)信息安全工作小組組長(zhǎng)授權(quán)��,并按層級(jí)和部門崗位予以授權(quán)���,并向授權(quán)方負(fù)責(zé)����。沒(méi)有經(jīng)過(guò)正式授權(quán)的臨時(shí)信息系統(tǒng)維護(hù)需求����,可由信息安全工作小組組長(zhǎng)臨時(shí)授權(quán)同意后補(bǔ)充授權(quán)記錄。重點(diǎn)加強(qiáng)對(duì)被授權(quán)者及其訪問(wèn)權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管,評(píng)估與記錄在案:①建立與完善記錄操作日志���,記錄一定周期內(nèi)的行為日志��,通過(guò)軟件系統(tǒng)逐一識(shí)別�����,確定操作行為的合規(guī)性���;②建立操作系統(tǒng)識(shí)別庫(kù),對(duì)于不屬于識(shí)別庫(kù)的行為�����,系統(tǒng)要給予報(bào)警�����,直至下調(diào)授權(quán)等次或中止授權(quán)�。
答:首先�����,應(yīng)按照信息安全等級(jí)要求,建立嚴(yán)格的信息分級(jí)安全管理系統(tǒng)和配套工作制度�����。
其次����,應(yīng)建立嚴(yán)格的信息分級(jí)授權(quán)制度體系和基于管理需求��、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運(yùn)行���。授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定�����。
最后�����,建立主數(shù)據(jù)雙備份制度�。對(duì)醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表����,并保持良好的兼容互通�����。
5.發(fā)生泄露事件后應(yīng)急預(yù)案要點(diǎn)有哪些?
泄密類信息安全事件不同于一般的信息安全事件�����。應(yīng)急處置基本原則要求有以下幾點(diǎn)�����。
①泄密發(fā)現(xiàn)人員在第一時(shí)間先就泄密事件本身保密����;
②如已掌握涉密情況��,則選擇具有相應(yīng)涉密級(jí)別的人員進(jìn)行報(bào)告或直接報(bào)告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長(zhǎng)��;
③如未掌握涉密情況�,應(yīng)向上一級(jí)信息安全主管報(bào)告;
④處置過(guò)程保密���。
答:實(shí)施軟件安全管理�����,應(yīng)從以下四個(gè)方面進(jìn)行管理���,但不限于此��。(1)醫(yī)療機(jī)構(gòu)臨床信息系統(tǒng)軟件的管理和維護(hù)��,應(yīng)由本機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)的專職管理員負(fù)責(zé)實(shí)施日常的管理和維護(hù)。
(2)若由開(kāi)發(fā)該軟件的公司負(fù)責(zé)維護(hù)的醫(yī)療機(jī)構(gòu)����,應(yīng)在維保協(xié)議中明確軟件公司應(yīng)書面報(bào)告每次維護(hù)的情況,經(jīng)使用認(rèn)可后報(bào)計(jì)算機(jī)信息系統(tǒng)專職管理員備案��。
(3)由各科室自行開(kāi)發(fā)或應(yīng)用的新軟件����,除上級(jí)或政府職能部門指定統(tǒng)一使用的外,均必須按照規(guī)定的程序申報(bào)�����,經(jīng)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組討論批準(zhǔn)后方可應(yīng)用��。在原有系統(tǒng)上進(jìn)行新功能的迭代開(kāi)發(fā)的���,應(yīng)遵循信息系統(tǒng)項(xiàng)目管理和代碼更新上傳的標(biāo)準(zhǔn)規(guī)范流程進(jìn)行�����。
(4)為了防止計(jì)算機(jī)信息系統(tǒng)被病毒感染或者擴(kuò)散病毒�,任何個(gè)人及部門科室均不得自行使用殺毒的軟盤、光盤��、U盤等儲(chǔ)存介質(zhì)��。
7.醫(yī)療機(jī)構(gòu)如何對(duì)醫(yī)療數(shù)據(jù)的使用�����、處理和披露進(jìn)行管理?答:根據(jù)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》,各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度��、操作規(guī)程及技術(shù)規(guī)范����,涉及的管理制度每年至少修訂一次,建議相關(guān)人員每年度簽署保密協(xié)議��。每年對(duì)本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估�����,及時(shí)掌握數(shù)據(jù)安全狀態(tài)。加強(qiáng)數(shù)據(jù)安全教育培訓(xùn)��,組織安全意識(shí)教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)�����。結(jié)合本單位實(shí)際��,建立完善數(shù)據(jù)使用申請(qǐng)及批準(zhǔn)流程��,遵循“誰(shuí)主管����、誰(shuí)審查”��、遵循事前申請(qǐng)及批準(zhǔn)����、事中監(jiān)管、事后審核原則���,嚴(yán)格執(zhí)行業(yè)務(wù)管理部門同意�、醫(yī)療機(jī)構(gòu)領(lǐng)導(dǎo)核準(zhǔn)的工作程序��,指導(dǎo)數(shù)據(jù)活動(dòng)流程合規(guī)。
本文摘自《醫(yī)療質(zhì)量安全核心制度要點(diǎn)釋義(第二版)》
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容����,出于傳遞更多信息而非盈利之目的,同時(shí)并不代表贊成其觀點(diǎn)或證實(shí)其描述��,內(nèi)容僅供參考����。版權(quán)歸原作者所有,若有侵權(quán)��,請(qǐng)聯(lián)系我們刪除�。
凡來(lái)源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng),轉(zhuǎn)載需獲授權(quán)��。
