信息安全管理制度

第一章

信息安全管理制度CONTENTS

01定義02基本要求03釋義01.定義第二節(jié)指醫(yī)療機(jī)構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求，對(duì)醫(yī)療機(jī)構(gòu)患者診療信息的收集、存儲(chǔ)、使用、傳輸、處理、發(fā)

布等進(jìn)行全流程系統(tǒng)性保障的制度。定義02.基本要求第二節(jié)制度與技術(shù)保障體系方面：醫(yī)療機(jī)構(gòu)要依法依規(guī)構(gòu)建起覆蓋患者診療信息管理全流程的制度以及相應(yīng)的技術(shù)保障體系，同時(shí)完善組織架構(gòu)，清晰明確管理部門，并且切實(shí)落實(shí)信息安全等級(jí)保護(hù)等相關(guān)要求，全方位保障診療信息管理工作有序且合規(guī)開展。責(zé)任主體方面：明確醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人為患者診療信息安全管理的第一責(zé)任人，強(qiáng)化責(zé)任落實(shí)，確保信息安全管理工作能有明確的責(zé)任歸屬。風(fēng)險(xiǎn)評(píng)估與應(yīng)急機(jī)制方面：需建立患者診療信息安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，制定完善的應(yīng)急預(yù)案，以便能提前察覺安全風(fēng)險(xiǎn)，并在出現(xiàn)突發(fā)情況時(shí)可以迅速、有效地應(yīng)對(duì)。基本要求信息質(zhì)量保障方面：要確保實(shí)現(xiàn)本機(jī)構(gòu)患者診療信息管理全流程具備安全性、真實(shí)性、連續(xù)性、完整性、穩(wěn)定性、時(shí)效性以及溯源性，保證診療信息在各個(gè)環(huán)節(jié)都能符合高質(zhì)量的要求，為醫(yī)療工作等提供可靠的數(shù)據(jù)基礎(chǔ)。信息保護(hù)原則方面：建立患者診療信息保護(hù)制度，在使用患者診療信息時(shí)遵循合法、依規(guī)、正當(dāng)、必要的原則，嚴(yán)格禁止出售或者擅自向他人或其他機(jī)構(gòu)提供患者診療信息，嚴(yán)守信息使用的底線。員工授權(quán)管理方面：建立員工授權(quán)管理制度，明確員工對(duì)于患者診療信息的使用權(quán)限以及相應(yīng)責(zé)任，既保障員工正常使用信息的便利性，又能通過責(zé)任明確來規(guī)范員工行為；同時(shí)規(guī)定因個(gè)人授權(quán)信息保管不當(dāng)造成不良后果由被授權(quán)人承擔(dān)，強(qiáng)化員工的責(zé)任意識(shí)?；疽蟀踩雷o(hù)與事故處理方面：不斷提升患者診療信息安全防護(hù)水平，積極防止信息出現(xiàn)泄露、毀損、丟失等情況。定期開展患者診療信息安全自查工作，建立相應(yīng)的系統(tǒng)安全事故責(zé)任管理、追溯機(jī)制，一旦發(fā)生或者有可能發(fā)生患者診療信息泄露、毀損、丟失的情況，要馬上采取補(bǔ)救措施，并按照規(guī)定向有關(guān)部門進(jìn)行報(bào)告，最大程度降低事故影響，維護(hù)信息安全?；疽?3.釋義第二節(jié)覆蓋范圍：涵蓋醫(yī)院信息系統(tǒng)（HIS）及其子系統(tǒng)（RIS、LIS、PACS、OA等），還有信息上傳與共享接口所有內(nèi)容。主要構(gòu)成：技術(shù)性安全文件體系：對(duì)信息系統(tǒng)技術(shù)要求、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、主機(jī)安全、應(yīng)用安全提構(gòu)建要求與配置要素。安全管理制度：含醫(yī)療機(jī)構(gòu)安全管理機(jī)構(gòu)制度、安全管理制度、信息操作人員安全管理、系統(tǒng)建設(shè)管理制度、系統(tǒng)運(yùn)行維護(hù)管理制度體系、安全應(yīng)急預(yù)案，并有標(biāo)準(zhǔn)化操作規(guī)程作補(bǔ)充。1.信息安全全流程系統(tǒng)性保障制度包括哪些方面?關(guān)注重點(diǎn)：關(guān)注信息系統(tǒng)“六類”安全（真實(shí)性、完整性、保密性、可用性、可靠性、可控性），增強(qiáng)安全防護(hù)、隱患發(fā)現(xiàn)、應(yīng)急響應(yīng)能力。責(zé)任主體：醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是信息安全管理第一責(zé)任人。1.信息安全全流程系統(tǒng)性保障制度包括哪些方面?等級(jí)劃分依據(jù)：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》（公通字〔2007〕43號(hào)）規(guī)定，計(jì)算機(jī)信息安全劃分為五個(gè)等級(jí)。重要衛(wèi)生信息系統(tǒng)等級(jí)要求：按照原衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)〔2011〕85號(hào)）要求，以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第三級(jí)：衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國(guó)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)。國(guó)家、省、地市三級(jí)衛(wèi)生信息平臺(tái)，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國(guó)家級(jí)數(shù)據(jù)中心。三級(jí)甲等醫(yī)療機(jī)構(gòu)的核心業(yè)務(wù)信息系統(tǒng)。原衛(wèi)生部網(wǎng)站系統(tǒng)。其他經(jīng)過信息安全技術(shù)專家委員會(huì)評(píng)定為第三級(jí)以上（含第三級(jí)）的信息系統(tǒng)。2.如何進(jìn)行信息安全等級(jí)劃分?備案要求：衛(wèi)生健康行業(yè)各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后，對(duì)第二級(jí)以上（含第二級(jí)）信息系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)及衛(wèi)生健康行政部門備案。跨省全國(guó)聯(lián)網(wǎng)運(yùn)行并由原衛(wèi)生部定級(jí)的信息系統(tǒng)，由國(guó)家衛(wèi)生健康委報(bào)公安部備案；在各地運(yùn)行、應(yīng)用的分支系統(tǒng)，應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。2.如何進(jìn)行信息安全等級(jí)劃分?組織架構(gòu)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組承擔(dān)醫(yī)院層面信息安全工作，是主要負(fù)責(zé)組織。分工職責(zé)領(lǐng)導(dǎo)小組組長(zhǎng)：由醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人擔(dān)任。職責(zé)確定原則：按照“誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則來明確各部門相應(yīng)職責(zé)。具體工作內(nèi)容：在網(wǎng)絡(luò)建設(shè)過程中，各相關(guān)部門（如主管部門、運(yùn)營(yíng)部門、信息化部門、使用部門等）需對(duì)本單位運(yùn)營(yíng)范圍內(nèi)的網(wǎng)絡(luò)開展等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、安全建設(shè)整改等工作。規(guī)定依據(jù)：具體要求詳見《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》（國(guó)衛(wèi)規(guī)劃發(fā)〔2022〕29號(hào)）相關(guān)規(guī)定。3.醫(yī)療信息安全的組織架構(gòu)及分工職責(zé)是什么?明確責(zé)任主體：醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人作為信息安全管理第一責(zé)任人，承擔(dān)首要責(zé)任。完善組織制度：建立與完善信息安全管理組織的工作制度與程序，以此規(guī)范組織內(nèi)部的管理及運(yùn)作流程。規(guī)范采購驗(yàn)收：建立與完善計(jì)算機(jī)信息系統(tǒng)硬件與軟件的采購、驗(yàn)收制度與程序，從源頭把控信息系統(tǒng)相關(guān)產(chǎn)品的質(zhì)量及安全性。明晰崗位責(zé)任：明確信息系統(tǒng)使用與管理人員的崗位職責(zé)，要求其對(duì)所提供與使用的信息可信度及安全負(fù)責(zé)，強(qiáng)化個(gè)人在工作中的責(zé)任擔(dān)當(dāng)。離崗交接規(guī)定：明確計(jì)算機(jī)信息系統(tǒng)專職管理人員離崗制度與交接程序，確保人員變動(dòng)時(shí)信息系統(tǒng)相關(guān)工作能平穩(wěn)、安全過渡，避免因交接不清出現(xiàn)信息安全隱患。4.實(shí)施醫(yī)療機(jī)構(gòu)信息安全管理問責(zé)制有哪些內(nèi)容?5.如何建立與完善計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程?數(shù)據(jù)覆蓋與權(quán)屬明確計(jì)算機(jī)信息系統(tǒng)安全管理制度與流程要涵蓋患者的所有數(shù)據(jù)，針對(duì)如數(shù)字、圖像等不同類型的數(shù)據(jù)資料制定相應(yīng)保護(hù)路徑措施，且明確這些數(shù)據(jù)的所有權(quán)歸患者個(gè)人。依據(jù)制度構(gòu)建技術(shù)標(biāo)準(zhǔn)按照數(shù)據(jù)安全保護(hù)制度來建立技術(shù)標(biāo)準(zhǔn)，借助以下技術(shù)手段對(duì)信息系統(tǒng)加以保護(hù)：存儲(chǔ)及備份技術(shù)：保障數(shù)據(jù)的存儲(chǔ)安全以及可恢復(fù)性。網(wǎng)絡(luò)安全監(jiān)控技術(shù)：實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行情況，及時(shí)發(fā)現(xiàn)異常與潛在安全威脅。信息加密技術(shù)：對(duì)重要信息進(jìn)行加密處理，防止信息泄露與非法獲取。5.如何建立與完善計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程?完善各項(xiàng)具體管理制度網(wǎng)絡(luò)安全漏洞檢測(cè)和系統(tǒng)升級(jí)管理制度：定期檢測(cè)系統(tǒng)安全漏洞，及時(shí)安排系統(tǒng)升級(jí)，確保系統(tǒng)安全穩(wěn)定運(yùn)行。操作權(quán)限管理制度：清晰劃分并明確各崗位人員在信息系統(tǒng)中的操作權(quán)限范圍。用戶登記制度：對(duì)使用信息系統(tǒng)的所有用戶進(jìn)行詳細(xì)登記，便于管理與追溯用戶行為。信息發(fā)布審查、登記、保存、清除和備份制度：把控信息發(fā)布全流程，從審查、登記到合理保存、適時(shí)清除及備份信息，確保信息發(fā)布合規(guī)、安全。規(guī)范禁止行為與員工教育梳理出任何單位和個(gè)人不得利用計(jì)算機(jī)信息系統(tǒng)從事的行為清單或目錄，傳達(dá)給有操作權(quán)限的員工，同時(shí)定期開展相關(guān)培訓(xùn)和教育工作，增強(qiáng)員工信息安全意識(shí)與合規(guī)操作意識(shí)。5.如何建立與完善計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程?安全評(píng)估與持續(xù)改進(jìn)安全評(píng)估組織與保障：定期、不定期安排醫(yī)院內(nèi)部與外部的信息安全評(píng)估組織對(duì)醫(yī)院信息系統(tǒng)進(jìn)行安全評(píng)估，依靠相應(yīng)制度與程序保障評(píng)估工作有序開展。結(jié)果應(yīng)用與自查改進(jìn)：將安全評(píng)估結(jié)果用于網(wǎng)絡(luò)安全持續(xù)改進(jìn)活動(dòng)，各醫(yī)療衛(wèi)生機(jī)構(gòu)每年需開展文檔核驗(yàn)、漏洞掃描、滲透測(cè)試等多種形式的安全自查，及時(shí)發(fā)現(xiàn)問題隱患后，針對(duì)這些隱患認(rèn)真落實(shí)整改加固措施，防止網(wǎng)絡(luò)“帶病”運(yùn)行，按要求將安全自查及整改情況上報(bào)上級(jí)衛(wèi)生健康行政部門。6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容

制定應(yīng)急預(yù)案?明確風(fēng)險(xiǎn)背景患者診療信息在錄入、儲(chǔ)存、調(diào)閱、輸出等環(huán)節(jié)一直存在安全風(fēng)險(xiǎn)，并且通過網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口、第三方共享平臺(tái)等途徑，還有信息被泄露和篡改的風(fēng)險(xiǎn)，所以制定應(yīng)急預(yù)案很有必要，它是應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的基礎(chǔ)前提。設(shè)定組織機(jī)構(gòu)成立網(wǎng)絡(luò)與信息安全應(yīng)急小組，該小組由領(lǐng)導(dǎo)小組、技術(shù)小組構(gòu)成，醫(yī)療機(jī)構(gòu)負(fù)責(zé)人擔(dān)任第一責(zé)任人。小組負(fù)責(zé)信息安全日常事務(wù)處理、應(yīng)急處理以及安全通報(bào)等事務(wù)，明確各層級(jí)在應(yīng)對(duì)信息安全問題時(shí)的組織架構(gòu)與職責(zé)分工。6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容

制定應(yīng)急預(yù)案?確定工作原則落實(shí)責(zé)任與機(jī)制：逐級(jí)建立并落實(shí)統(tǒng)計(jì)信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制，確保每個(gè)層級(jí)都清楚自身責(zé)任，整個(gè)應(yīng)急體系能有效運(yùn)轉(zhuǎn)。遵循法規(guī)流程：嚴(yán)格按照法規(guī)規(guī)定的職責(zé)和流程開展工作，保證應(yīng)急行動(dòng)合法合規(guī)。預(yù)防預(yù)警優(yōu)先：秉持積極預(yù)防、及時(shí)預(yù)警的理念，提前做好防范措施，盡早察覺風(fēng)險(xiǎn)信號(hào)并發(fā)出預(yù)警。提升應(yīng)急能力：積極提升應(yīng)急處理能力，通過培訓(xùn)、演練等方式增強(qiáng)應(yīng)對(duì)突發(fā)情況的本領(lǐng)。協(xié)同配合工作：強(qiáng)調(diào)各部門協(xié)同配合開展工作，打破部門壁壘，形成應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的合力。6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容

制定應(yīng)急預(yù)案?制定應(yīng)急措施基本應(yīng)急處理流程涵蓋方面：報(bào)告和簡(jiǎn)單處理：規(guī)定出現(xiàn)問題時(shí)如何及時(shí)報(bào)告情況，并進(jìn)行初步的簡(jiǎn)單處理，爭(zhēng)取在第一時(shí)間控制事態(tài)發(fā)展。故障分級(jí)分類判斷與處理：對(duì)可能出現(xiàn)的各種故障按照嚴(yán)重程度、類型等進(jìn)行分級(jí)分類，針對(duì)不同級(jí)別和類型制定相應(yīng)的處理辦法，使應(yīng)對(duì)更具針對(duì)性和科學(xué)性。網(wǎng)絡(luò)線路故障排除：明確網(wǎng)絡(luò)線路出現(xiàn)故障時(shí)的排查和修復(fù)流程，保障網(wǎng)絡(luò)暢通，減少對(duì)診療信息相關(guān)業(yè)務(wù)的影響。黑客入侵應(yīng)急處理：制定應(yīng)對(duì)黑客入侵的應(yīng)急策略，包括如何發(fā)現(xiàn)入侵跡象、阻斷攻擊以及修復(fù)被破壞的系統(tǒng)和數(shù)據(jù)等內(nèi)容?；颊咝畔⑿孤兜膽?yīng)急預(yù)案：針對(duì)患者信息泄露這一嚴(yán)重情況，規(guī)劃詳細(xì)的應(yīng)對(duì)預(yù)案，例如如何及時(shí)止損、開展調(diào)查、通知相關(guān)方以及進(jìn)行后續(xù)補(bǔ)救等措施。大規(guī)模病毒（含惡意軟件）攻擊的應(yīng)急處理：準(zhǔn)備好應(yīng)對(duì)大規(guī)模病毒或惡意軟件攻擊的預(yù)案，確定查殺病毒、隔離受感染區(qū)域、恢復(fù)系統(tǒng)正常運(yùn)行等處置原則。6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容

制定應(yīng)急預(yù)案?制定應(yīng)急措施運(yùn)營(yíng)應(yīng)急措施：制定醫(yī)院HIS（醫(yī)院信息系統(tǒng)）局部或全部癱瘓狀況下臨床運(yùn)營(yíng)處置預(yù)案，確保即便信息系統(tǒng)出現(xiàn)嚴(yán)重故障，臨床工作依然能夠有序開展，最大程度降低對(duì)醫(yī)療服務(wù)的影響。7.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?診療信息定義患者診療信息是醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的，以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息，涵蓋患者個(gè)人基本信息、掛號(hào)信息、就診信息、住院醫(yī)囑信息、費(fèi)用信息、影像資料和檢驗(yàn)結(jié)果等各類臨床及相關(guān)內(nèi)容所組成的信息群集。保護(hù)制度構(gòu)成主要包含獲取制度、修改制度和安全保障制度這幾個(gè)方面，具體如下：獲取制度：獲取行為界定：明確規(guī)定在哪些情況下可獲取患者診療信息，例如用于報(bào)銷、外院就診、案件審理、臨床研究等正當(dāng)用途。個(gè)人獲取流程及材料：詳細(xì)說明患者個(gè)人若要獲取自身診療信息時(shí)需遵循的流程以及需要準(zhǔn)備的必需材料。政府或社會(huì)組織獲取流程及依據(jù)材料：針對(duì)政府部門或社會(huì)組織獲取患者診療信息的情況，制定相應(yīng)的獲取流程，并明確其依據(jù)的相關(guān)材料要求。7.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?保護(hù)制度構(gòu)成修改制度：患者個(gè)人信息修改流程：規(guī)范患者個(gè)人信息需要修改時(shí)應(yīng)遵循的具體操作流程，保障修改過程合規(guī)、準(zhǔn)確。醫(yī)務(wù)人員醫(yī)囑、診斷等敏感信息修改流程：對(duì)醫(yī)務(wù)人員涉及醫(yī)囑、診斷這類較為敏感的診療信息修改，明確相應(yīng)的修改流程，避免隨意更改，確保信息的嚴(yán)肅性和準(zhǔn)確性。安全保障制度：內(nèi)部管理限制：規(guī)定任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)批準(zhǔn)的情況下，只允許在醫(yī)療機(jī)構(gòu)內(nèi)部進(jìn)行管理，嚴(yán)禁轉(zhuǎn)出機(jī)構(gòu)，防止信息外流。分級(jí)權(quán)限管理：通過分級(jí)權(quán)限管理的方式來保護(hù)患者資料，依據(jù)不同崗位人員的職責(zé)需求賦予相應(yīng)權(quán)限，便于開展診治工作的同時(shí)保障信息安全。隱私信息傳播限制：強(qiáng)調(diào)未經(jīng)患者本人許可，不得將其疾病及相關(guān)隱私信息傳播給他人，嚴(yán)格保護(hù)患者隱私權(quán)益。8.為什么要建立分級(jí)授權(quán)制度?系統(tǒng)特性與信息情況：醫(yī)院信息系統(tǒng)為開放式，含大量個(gè)人及敏感數(shù)據(jù)，有眾多數(shù)據(jù)接口及登錄界面，信息易被不當(dāng)獲取，需授權(quán)管控。面向人員多樣性：系統(tǒng)面向多種人員，工作人員和使用人員身份、崗位不同，對(duì)信息需求和操作要求有別，需設(shè)權(quán)限授權(quán)。授權(quán)工作特點(diǎn)：授權(quán)具唯一性和動(dòng)態(tài)變化特點(diǎn)，分級(jí)管理模式可滿足差異化需求并靈活調(diào)整權(quán)限，具可行性。9.員工授權(quán)管理制度包括哪些方面?整體構(gòu)成方面：?jiǎn)T工授權(quán)管理制度包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度以及授權(quán)變更管理制度，從不同人員類型及權(quán)限變動(dòng)角度進(jìn)行全面涵蓋。授權(quán)審批明確方面：針對(duì)醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項(xiàng)，必須清晰明確各授權(quán)和審批的部門以及責(zé)任人，且信息安全管理各環(huán)節(jié)流程中涉及授權(quán)和審批的部分，都要依照此授權(quán)和審批事項(xiàng)的制度嚴(yán)格執(zhí)行，確保授權(quán)審批工作有章可循、責(zé)任明確。內(nèi)部人員授權(quán)管理方面：由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并開啟相關(guān)工作，實(shí)施按層級(jí)分級(jí)授權(quán)和負(fù)責(zé)制度，通過層級(jí)劃分來明確不同級(jí)別人員的權(quán)限范圍及相應(yīng)責(zé)任，實(shí)現(xiàn)內(nèi)部人員授權(quán)管理的有序性。9.員工授權(quán)管理制度包括哪些方面?外包人員授權(quán)管理方面：由醫(yī)療機(jī)構(gòu)信息安全工作小組組長(zhǎng)進(jìn)行授權(quán)，依據(jù)層級(jí)、部門崗位等因素來給予相應(yīng)權(quán)限，并且要向授權(quán)方負(fù)責(zé)。對(duì)于沒有經(jīng)過正式授權(quán)的臨時(shí)信息系統(tǒng)維護(hù)需求，可由信息安全工作小組組長(zhǎng)臨時(shí)授權(quán)同意后補(bǔ)充授權(quán)記錄，以此規(guī)范外包人員授權(quán)流程，保障臨時(shí)需求也能合理處理。授權(quán)行為監(jiān)管方面：重點(diǎn)加強(qiáng)對(duì)被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管、評(píng)估并記錄在案，具體措施如下：操作日志記錄：建立與完善記錄操作日志，記錄一定周期內(nèi)的行為日志，借助軟件系統(tǒng)逐一識(shí)別，用以確定操作行為的合規(guī)性，便于追溯和監(jiān)督人員操作情況。操作系統(tǒng)識(shí)別庫建立：建立操作系統(tǒng)識(shí)別庫，對(duì)于那些不屬于識(shí)別庫的行為，系統(tǒng)要給予報(bào)警，甚至根據(jù)情況下調(diào)授權(quán)等次或中止授權(quán)，以此強(qiáng)化對(duì)異常操作行為的管控。。10.如何防止醫(yī)療信息泄露、毀損和丟失?建立信息分級(jí)安全管理系統(tǒng)與配套制度：按照信息安全等級(jí)要求，構(gòu)建起嚴(yán)格的信息分級(jí)安全管理系統(tǒng)，同時(shí)制定與之相匹配的工作制度。通過對(duì)信息進(jìn)行分級(jí)管理，依據(jù)不同級(jí)別采取相應(yīng)的安全防護(hù)措施，從整體上把控信息安全，降低信息泄露、毀損和丟失的風(fēng)險(xiǎn)。完善信息分級(jí)授權(quán)與使用管理規(guī)范：建立嚴(yán)格的信息分級(jí)授權(quán)制度體系，明確不同崗位、不同工作內(nèi)容對(duì)應(yīng)的授權(quán)范圍，確保只有獲得相應(yīng)授權(quán)的人員才能接觸和使用相關(guān)醫(yī)療信息。同時(shí)，制定基于管理需求、科研需求等的信息數(shù)據(jù)使用管理規(guī)范，并使其常態(tài)化運(yùn)行，嚴(yán)格規(guī)范信息使用流程，防止因不當(dāng)使用引發(fā)信息安全問題，保障信息在授權(quán)范圍內(nèi)安全使用。實(shí)行主數(shù)據(jù)雙備份制度：針對(duì)醫(yī)療信息建立主數(shù)據(jù)雙備份制度，要求對(duì)所有醫(yī)療信息都保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表，并且保證備份的數(shù)據(jù)與原始數(shù)據(jù)以及不同備份之間能夠保持良好的兼容互通。這樣在出現(xiàn)數(shù)據(jù)毀損、丟失等意外情況時(shí)，可以利用備份數(shù)據(jù)及時(shí)恢復(fù)，確保醫(yī)療信息的完整性和可用性。11.發(fā)生泄露事件后應(yīng)急預(yù)案要點(diǎn)有哪些?保密第一原則：泄密發(fā)現(xiàn)人員在察覺到泄密事件的第一時(shí)間，要先對(duì)泄密事件本身嚴(yán)格保密，避免事件影響因過早擴(kuò)散而進(jìn)一步擴(kuò)大，防止涉密信息被更多無關(guān)人員知曉，控制信息泄露范圍。報(bào)告對(duì)象選擇：已掌握涉密情況時(shí)：需選擇具有相應(yīng)涉密級(jí)別的人員進(jìn)行報(bào)告，或者直接向醫(yī)院信息安全領(lǐng)導(dǎo)小組組長(zhǎng)報(bào)告，確保報(bào)告對(duì)象具備相應(yīng)涉密處理能力和權(quán)限，能合理應(yīng)對(duì)后續(xù)處置工作。未掌握涉密情況時(shí)：應(yīng)向上一級(jí)信息安全主管報(bào)告，按照層級(jí)管理秩序，讓更有經(jīng)驗(yàn)、更具決策能力的上級(jí)來統(tǒng)籌后續(xù)應(yīng)對(duì)舉措。處置全程保密：在整個(gè)泄密事件的處置過程中，都要嚴(yán)格做好保密工作，無論是調(diào)查過程、采取的補(bǔ)救措施還是內(nèi)部溝通協(xié)調(diào)等環(huán)節(jié)，防止因處置環(huán)節(jié)的疏忽導(dǎo)致涉密信息再次泄露，保障處置工作在保密狀態(tài)下有序開展。12.如何建立患者診療信息安全事故責(zé)任的追溯機(jī)制?責(zé)任追溯原則：依信息安全分級(jí)授權(quán)和信息分級(jí)保護(hù)要求，對(duì)事故責(zé)任逐級(jí)追溯。相關(guān)制度構(gòu)建：建立溯源技術(shù)標(biāo)準(zhǔn)體系確保技術(shù)可行性。建立患者診療數(shù)據(jù)使用登記制度實(shí)現(xiàn)數(shù)據(jù)有跡可循。建立溯源監(jiān)管和獎(jiǎng)懲制度強(qiáng)化溯源機(jī)制作用。13.如何實(shí)施軟件安全管理?臨床信息系統(tǒng)軟件管理維護(hù)：醫(yī)療機(jī)構(gòu)臨床信息系統(tǒng)軟件的日常管理和維護(hù)工作，需交由本機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)的專職管理員負(fù)責(zé)實(shí)施，明確責(zé)任主體，保障軟件能得到專業(yè)且規(guī)范的日常運(yùn)維管理。軟件公司維保情況管理：對(duì)于由開發(fā)該軟件的公司負(fù)責(zé)維護(hù)的醫(yī)療機(jī)構(gòu)，要在維保協(xié)議里明確規(guī)定軟件公司應(yīng)書面報(bào)告每次維護(hù)的具體情況，并且這些報(bào)告需經(jīng)過使用方認(rèn)可后，再報(bào)給計(jì)算機(jī)信息系統(tǒng)專職管理員進(jìn)行備案，以此確保軟件維護(hù)過程的透明性與可追溯性。13.如何實(shí)施軟件安全管理?新軟件應(yīng)用及迭代開發(fā)管理：新軟件應(yīng)用：各科室自行開發(fā)或應(yīng)用的新軟件，除上級(jí)或政府職能部門指定統(tǒng)一使用的情況外，都必須按照規(guī)定的程序申報(bào)，經(jīng)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組討論批準(zhǔn)后，才可以應(yīng)用，嚴(yán)格把控新軟件的準(zhǔn)入關(guān)。迭代開發(fā)：在原有系統(tǒng)上進(jìn)行新功能的迭代