电子病历安全法规与技术选读.ppt

第二章 电子病历的基本功能 第二章 电子病历的基本功能 第二章 电子病历的基本功能 电子病历系统 5.1 电子病历数据安全相关的法律法规 第五章 电子病历安全法规与技术 电子病历系统不但承载着医疗机构运行的必要临床数据，而且需要满足服务质量保证、医学伦理、患者隐私、司法举证等各方面的需求，因此用户对电子病历系统的数据安全有更高的要求。 1．必威体育官网网址性 2．可靠性 3．一致性 5.1 电子病历数据安全相关的法律法规 5.1.1 病历管理相关法规政策 第五章 电子病历安全法规与技术 自2002年以来，卫生部颁布了如下一系列病历管理相关法规政策： ● 《医疗机构病历管理规定》（2002年卫生部）。 ● 《电子病历基本规范（试行）》（2010年卫生部）。 ● 《卫生系统电子认证服务管理办法（试行）》（2010年卫生部）。 5.1 电子病历数据安全相关的法律法规 5.1.2 信息行业相关法律法规 第五章 电子病历安全法规与技术 和电子病历信息系统相关的信息行业相关法律法规主要有 ● 《中华人民共和国电子签名法》（2004年全国人民代表大会）。 ● 《电子认证服务管理办法》（2009年工业和信息化产业部）。 5.1 电子病历数据安全相关的法律法规 5.1.3 地方性相关法规 第五章 电子病历安全法规与技术 作为国家电子病历法规的配套性文件，一些医疗信息化发展较成熟的地方政府近年来逐渐开始制定、实施相关地方法规，例如： ● 《江苏省医疗机构电子病历管理暂行规定（征求意见稿）》（2009年江苏省卫生厅）。 ● 《上海市电子病历管理办法》（2009年上海市卫生局）。 5.2 电子病历使用管理规章 5.2 电子病历使用管理规章 第五章 电子病历安全法规与技术 为促进医院电子病历的应用与发展，规范电子病历的使用行为，维护电子病历实施各方当事人的合法权益，医院在电子病历系统实施前，需要根据卫生部关于《电子病历基本功能规范（试行）》和《卫生系统电子认证服务管理办法（暂行）》的要求，制定医院内部电子病历的使用管理办法。 具体规章制度请参考下面是北京某甲级医院制定的《医院电子病历管理办法》（供参考） 课本181页 5.3 电子病历安全相关技术 5.3 电子病历安全相关技术 第五章 电子病历安全法规与技术 “数字签名”与“数字证书”都是PKI的组成部分。PKI是指用于数字证书生成、管理、颁发、使用、存储和收回的一整套软件、硬件、人员、策略和流程体系。 5.3.1 数字签名与数字证书 哈希文档摘要算法 对称加密算法 非对称加密算法 PKI体系的三项基本加密技术 PKI的完整流程 5.3 电子病历安全相关技术 第五章 电子病历安全法规与技术 5.3.1 数字签名与数字证书 PKI体系的两大脆弱之处 （1）CA服务器在发放数字证书的时候，必须有效地验证用户的身份，确保证书被发放到正确的用户手中。 （2）个人证书私钥的管理和存放必须是安全的，不论是存放于物理介质上的证书还是直接保存在客户端的证书文件都有可能被非授权人员滥用，即便是加了密码保护，仍然有可能被管理不善的系统用户泄露和传播。 作为一种成熟的数据安全技术，PKI体系的两大脆弱之处都不是技术问题，而是管理问题： 因此，在公钥基础设施建立中，相关规章和管理培训措施的落实和保证是系统整体运行流畅有效的关键步骤。 5.3 电子病历安全相关技术 第五章 电子病历安全法规与技术 5.3.2 身份认证与时间戳服务 在电子病历系统的建设中，PKI基础架构体系除了可以用于对电子病历文档传输过程的加密和认证之外，还可以支持另外两个常用服务：统一用户身份认证（Single Sign On，SSO）和数字时间戳服务（Digital Time-stamping Service，DTS）。 基本的单点登录（SSO）系统架构 基于PKI的单点登录（SSO）系统架构 5.3 电子病历安全相关技术 第五章 电子病历安全法规与技术 5.3.2 身份认证与时间戳服务 数字时间戳技术 如同合同、信件等有法律效力的文件一样，电子病历文件对时间标记的要求十分严格。在小规模的电子病历系统阶段，可以通过设定数据服务器时间与实际服务器时间一致来解决这个问题，但是一旦需要实现电子病历数据的跨机构传输和文件归档保存的法律效力，就需要用到DTS了。 5.3 电子病历安全相关技术 第五章 电子病历安全法规与技术 5.3.3 患者隐私保护 电子病历系统在向教学和临床研究系统导出数据的时候，需要对患者姓名、住院号等可能泄露患者