一、定义
指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
二、主要内容
(一)医院应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,建立完善的组织架构,明确管理部门,落实信息安全等级保护等有关要求。
(二)医院主要负责人是患者诊疗信息安全管理第一责任人。
(三)医院应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。
(四)医院应当确保实现患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。
(五)医院应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。
(六)医院应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医院应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。
(七)医院应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。
三、具体细则
(一)医院依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。
1.建立覆盖患者诊疗信息管理全流程体系。
信息安全覆盖医院信息系统(HIS)及其各子系统(LIS、PACS、EMR)、医院信息上传与共享接口的所有内容。
(1)系统性保障制度主要包括技术性安全文件体系和安全管理制度。A.技术性安全文件体系:主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。B.安全管理制度:包括安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。
(2)系统性保障制度。含信息系统“六类”安全,包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。
2.建立与完善信息系统的安全管理制度与流程。
信息系统的安全管理制度与流程的覆盖层面,包括关于患者的所有数据和图片等,对不同的数据资料制定不同的保护路径措施(比如数字与图像),所有权属患者个人。
(1)根据数据安全保护制度建立技术标准,利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。
(2)建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。
(3)明确任何单位和个人不得用计算机信息系统从事的行为,有清单/目录告知有操作权限的员工,并定期对其进行培训和教育。
(4)定期、不定期由医院内部与外部信息安全评估组织,进行医院信息系统安全评估,用制度与程序来保障,将安全评估的结果用于网络安全持续改进活动。
3.建立医疗信息安全的组织架构,明确分工职责。
(1)医院信息化建设领导小组负责医院信息安全及组织建设工作。
信息化建设领导小组:
组 长:院长
副组长:副院长、纪委书记、总会计师
成 员:全院各部门、科室及下属单位负责人
(2)信息化建设领导小组主要职责:贯彻落实国家、国家卫生健康委员会、省卫生健康委员会等上级单位网络安全和信息化工作决策部署;全面负责医院信息化和信息安全管理工作,组织各部门、科室协同参与信息化建设和信息安全保障工作;建立和完善医院网络安全和信息化工作责任制;统筹医院网络安全和信息化重大问题;研究和制定医院信息化建设的总体规划、重大决策、任务和项目等;推动落实规划、政策规定和重点任务,不断提高医院网络安全和信息化发展水平。
信息化建设领导小组下设领导小组办公室及人力资源、医疗护理、行政管理、后勤管理、财务运营、科研教学等工作组。
4.实施医疗机构信息安全管理问责制。
(1)医院主要负责人是信息安全管理第一责任人。
(2)建立信息系统硬件与软件的论证、验收制度与程序。
(3)明确信息系统使用与管理人员的岗位职责,并对提供与使用的信息可信度及安全负责。
(4)明确信息系统专职管理人员离岗制度与交接程序。
5.落实信息安全等级保护。
根据《中华人民共和国计算机信息系统安全保护条例》第九条的规定,计算机信息系统实行安全等级保护。根据原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)要求,三级甲等医疗机构的核心业务信息系统。
(二)建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。
患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险,通过网络链接、数据接口、第三方共享平台等形式降低进一步被泄露和篡改的风险。同时,制定应急预案以应对信息安全风险。
1.患者诊疗信息。
在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。
2.诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。①获取制度:包括获取行为的界定,例如,报销、外院就诊、案件审理、临床研究等;制定个人获取流程和必需材料;政府或社会组织获取流程和依据材料。②修改制度:包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。③安全保障制度:包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医院内部管理,不得转出;患者资料通过分级权限管理保护及诊治;未经患者本人的许可,不得将其疾病及相关隐私信息传播给他人。
3.建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。
(1)建立员工授权管理制度:应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。医院信息系统相关的所有授权和审批事项的制度,必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。A.内部人员授权管理:由医院信息化建设领导小组主导并起始,实施按层级分级授权和负责制度。B.外包人员授权管理:应由医院信息化建设领导小组组长授权,并按层级和部门岗位予以授权,并向授权方负责。没有经过正式授权的临时信息系统维护需求,可由信息化领导小组组长临时授权同意后补充授权记录。
(2)重点加强对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案:建立与完善记录操作日志,记录一定周期内的行为日志,通过软件系统逐一识别,确定操作行为的合规性。建立操作系统识别库,对于不属于识别库行为,系统要给予报警,直至下调授权等次或终止授权。
(3)安全生产规定。根据“《中华人民共和国计算机信息系统安全保护条例》(国务院147号令”的要求,为保障医院计算机网络信息安全,加强医院信息数据查询和使用权限管理规范,避免发生计算机网络失密事件,防止医院信息数据及网站被泄露、篡改、攻击等。现对医院生产信息系统的使用者,作出以下规定:A.严格遵守医院信息保密制度及相关的信息安全制度。B.对信息查询的需求,科室须进入数据查询申请流程,填写申请单,经所在科室领导审批同意后方可查询,同时应对查询的数据结果保密,不能随意泄露。C.各科室工作人员禁止私接路由器、交换机,禁止将未经信息中心认证过的终端接入医院内网。D.计算机操作人员不得擅自更改医院数据和计算机的设置。禁止擅自将医院办公计算机连接互联网(外网)。E.各科室人员禁止将院内移动查房设备(PDA、笔记本电脑、手持终端等)带离医院,严禁私自更改移动设备上的网络设置。F.对个人登录信息系统的账号密码严格管理,不透露给其他无关人员。G.一旦发现异常情况,如:不明身份人员操作内网电脑或出现以上违规行为等,应立即向医学信息中心及保卫部举报。
4.发生泄露事件后应急预案要点。
泄密类信息安全事件不同于一般的信息安全事件,应急处置基本原则要求有以下几点:
(1)泄密发现人员在第一时间先就泄密事件本身保密;
(2)如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;
(3)如未掌握涉密情况,应向上一级信息安全主管报告;
(4)处置过程保密。
5.建立患者诊疗信息安全事故责任追溯机制。
根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。
(1)溯源技术标准体系主要为实现技术可行性。
(2)患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。
(3)溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。
