指醫(yī)療機構按照信息安全管理相關法律法規(guī)和技術標準要求����,對醫(yī)療機構患者診療信息的收集�、存儲、使用���、傳輸�、處理��、發(fā)布等進行全流程系統(tǒng)性保障的制度��。
1.醫(yī)療機構應當依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術保障體系����,完善組織架構,明確管理部門�,落實信息安全等級保護等有關要求。2.醫(yī)療機構主要負責人是患者診療信息安全管理第一責任人�。3.醫(yī)療機構應當建立患者診療信息安全風險評估和應急工作機制,制定應急預案�����。4.醫(yī)療機構應當確保實現(xiàn)本機構患者診療信息管理全流程的安全性、真實性�、連續(xù)性、完整性��、穩(wěn)定性�����、時效性��、溯源性���。
5.醫(yī)療機構應當建立患者診療信息保護制度,使用患者診療信息應當遵循合法����、依規(guī)、正當��、必要的原則�����,不得出售或擅自向他人或其他機構提供患者診療信息。
6.醫(yī)療機構應當建立員工授權管理制度����,明確員工的患者診療信息使用權限和相關責任。醫(yī)療機構應當為員工使用患者診療信息提供便利和安全保障���,因個人授權信息保管不當造成的不良后果由被授權人承擔�。
7.醫(yī)療機構應當不斷提升患者診療信息安全防護水平���,防止信息泄露��、毀損����、丟失��。定期開展患者診療信息安全自查工作,建立患者診療信息系統(tǒng)安全事故責任管理�、追溯機制。在發(fā)生或者可能發(fā)生患者診療信息泄露����、毀損、丟失的情況時,應當立即采取補救措施��,按照規(guī)定向有關部門報告����。
【要點釋義】
1.醫(yī)療機構建立患者診療信息保護制度應當包含哪些方面?
答:患者診療信息是指醫(yī)療機構在提供醫(yī)療服務過程中產生的,以一定形式記錄���、保存的信息以及其他與醫(yī)療衛(wèi)生服務有關的信息�����,包括患者的個人基本信息�、掛號信息���、就診信息����、住院醫(yī)囑信息�����、費用信息����、影像資料和檢驗結果等各種臨床和相關內容組成的患者信息群集。
診療信息保護制度應包括獲取制度����、修改制度和安全保障制度。
獲取制度原則包括獲取行為的界定�,例如報銷、外院就診��、案件審理���、臨床研究等���;個人獲取流程和必需材料;政府或社會組織獲取流程和依據(jù)材料���。
修改制度原則包括患者個人信息修改流程和醫(yī)務人員醫(yī)囑��、診斷等敏感信息修改流程�����。
安全保障制度原則包括任何患者的所有電子信息資料在未經主管領導的批準下只許在醫(yī)療機構內部管理�,不得轉出;患者資料通過分級權限管理保護及診治���;未經患者本人的許可�����,不得將其疾病及相關隱私信息傳播給他人�����。
答:醫(yī)院信息系統(tǒng)在實際意義上屬于開放式系統(tǒng)���,大量個人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中,并不斷被調閱使用�����。另外����,還有大量的數(shù)據(jù)上傳和分享接口。大部分醫(yī)療機構對外網頁還設置了內網或協(xié)同辦公系統(tǒng)登錄界面��。醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員��。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師�����,也包括大量系統(tǒng)外包的場地工程師�����、系統(tǒng)維護人員等��。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生�、護士、管理人員以及醫(yī)學生�����、進修生�����、規(guī)培生等�����。根據(jù)不同人員身份和崗位性質���,設立嚴格的登錄和操作權限授權是非常必要的���?���?紤]到授權工作的唯一性和動態(tài)變化���,采取分級管理模式才具有可行性���。員工授權管理制度應包括內部人員授權管理制度、外包人員授權管理制度和授權變更管理制度�����。醫(yī)院信息系統(tǒng)相關的所有授權和審批事項的制度�,必須明確各授權和審批的部門和責任人。信息安全管理各環(huán)節(jié)的流程中授權和審批部分均需按照本授權和審批事項的制度執(zhí)行�。內部人員授權管理由醫(yī)療機構信息安全領導小組主導并起始,實施按層級分級授權和負責制度���。外包人員授權管理應由醫(yī)療機構信息安全工作小組組長授權���,并按層級和部門崗位予以授權�����,并向授權方負責。沒有經過正式授權的臨時信息系統(tǒng)維護需求�,可由信息安全工作小組組長臨時授權同意后補充授權記錄。重點加強對被授權者及其訪問權限操作行為的合規(guī)性進行監(jiān)管�����,評估與記錄在案:①建立與完善記錄操作日志�,記錄一定周期內的行為日志,通過軟件系統(tǒng)逐一識別��,確定操作行為的合規(guī)性�;②建立操作系統(tǒng)識別庫,對于不屬于識別庫的行為�,系統(tǒng)要給予報警,直至下調授權等次或中止授權����。
答:首先����,應按照信息安全等級要求�,建立嚴格的信息分級安全管理系統(tǒng)和配套工作制度�。
其次,應建立嚴格的信息分級授權制度體系和基于管理需求���、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運行�。授權審批應嚴格根據(jù)工作崗位和工作內容而定���。
最后����,建立主數(shù)據(jù)雙備份制度�����。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表��,并保持良好的兼容互通�。
泄密類信息安全事件不同于一般的信息安全事件。應急處置基本原則要求有以下幾點�����。
①泄密發(fā)現(xiàn)人員在第一時間先就泄密事件本身保密����;
②如已掌握涉密情況�,則選擇具有相應涉密級別的人員進行報告或直接報告醫(yī)院信息安全領導小組組長����;
③如未掌握涉密情況����,應向上一級信息安全主管報告;
④處置過程保密��。
答:實施軟件安全管理�����,應從以下四個方面進行管理��,但不限于此�。(1)醫(yī)療機構臨床信息系統(tǒng)軟件的管理和維護,應由本機構計算機信息系統(tǒng)的專職管理員負責實施日常的管理和維護���。
(2)若由開發(fā)該軟件的公司負責維護的醫(yī)療機構��,應在維保協(xié)議中明確軟件公司應書面報告每次維護的情況����,經使用認可后報計算機信息系統(tǒng)專職管理員備案。
(3)由各科室自行開發(fā)或應用的新軟件�,除上級或政府職能部門指定統(tǒng)一使用的外,均必須按照規(guī)定的程序申報��,經網絡安全和信息化工作領導小組討論批準后方可應用�。在原有系統(tǒng)上進行新功能的迭代開發(fā)的,應遵循信息系統(tǒng)項目管理和代碼更新上傳的標準規(guī)范流程進行�。
(4)為了防止計算機信息系統(tǒng)被病毒感染或者擴散病毒,任何個人及部門科室均不得自行使用殺毒的軟盤����、光盤、U盤等儲存介質��。
7.醫(yī)療機構如何對醫(yī)療數(shù)據(jù)的使用��、處理和披露進行管理?答:根據(jù)《醫(yī)療衛(wèi)生機構網絡安全管理辦法》,各醫(yī)療衛(wèi)生機構應建立健全數(shù)據(jù)安全管理制度�、操作規(guī)程及技術規(guī)范,涉及的管理制度每年至少修訂一次��,建議相關人員每年度簽署保密協(xié)議�����。每年對本單位的數(shù)據(jù)進行數(shù)據(jù)安全風險評估,及時掌握數(shù)據(jù)安全狀態(tài)。加強數(shù)據(jù)安全教育培訓����,組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓。結合本單位實際��,建立完善數(shù)據(jù)使用申請及批準流程��,遵循“誰主管�、誰審查”�����、遵循事前申請及批準、事中監(jiān)管�、事后審核原則,嚴格執(zhí)行業(yè)務管理部門同意�����、醫(yī)療機構領導核準的工作程序�����,指導數(shù)據(jù)活動流程合規(guī)��。
本文摘自《醫(yī)療質量安全核心制度要點釋義(第二版)》
特別聲明:智慧醫(yī)療網轉載其他網站內容����,出于傳遞更多信息而非盈利之目的,同時并不代表贊成其觀點或證實其描述��,內容僅供參考��。版權歸原作者所有��,若有侵權�����,請聯(lián)系我們刪除。
凡來源注明智慧醫(yī)療網的內容為智慧醫(yī)療網原創(chuàng)����,轉載需獲授權。
