18信息安全管理制度.pdfVIP

18信息安全管理制度 （一）定义 指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、 使用、传输、处理、发布等进行全流程系统性保障的制度。 （二）基本要求 1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明 确管理部门，落实信息安全等级保护等有关要求。 2.医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。 3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。 4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定 性、时效性、溯源性。 5.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原 则，不得出售或擅自向他人或其他机构提供患者诊疗信息。 6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当 为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承 担。 7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗 信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊 疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。 （三）信息安全管理制度实施细则 1.建立信息安全管理机制。医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。建立由 医院主要院领导为组长、医疗主管院领导为副组长，医疗管理部门、病案管理部门、护理管理部门、药 学管理部门、科研教学管理部门及信息网络部门为成员的诊疗信息安全管理委员会。 2.建立医疗信息访问授权管理制度和流程，医疗信息的访问包括借阅、编辑、修改、访问、查询等接触 患者诊疗信息的行为。 （1）医疗机构的纸质诊疗信息和医疗信息系统用户权限采用职能部门统一管理、统一授权的原则，根 据业务工作需要设置业务科室权限范围。对新入职、下乡、支援、进修、规培、转岗、退休人员实行权 限动态管理。授权操作人员应严格根据授权审批进行授权，禁止私自变更授权范围。 （2）信息网络部门建立工作人员和外来人员操作权限授权管理制度和流程，并与接触患者诊疗信息的 员工签订患者诊疗信息安全必威体育官网网址责任书。医疗机构应与医疗信息系统的软件公司签订必威体育官网网址协议。 （3）医疗机构应使用有效的操作人员身份识别方式，使用用户名、密码登录的，应采用强密码登录规 则，有条件的可使用数字认证方式。医务人员应妥善保管自己的用户名、密码或数字身份登录的Ukey， 不得泄露、丢失与外借。各相关职能部门应加强医务人员身份登录管理，严禁使用他人用户名、密码或 Ukey登录系统，确保患者诊疗信息的安全。 （4）各相关职能部门建立患者诊疗信息生成过程各环节的安全保护制度，防止诊疗过程中产生的患者 诊疗信息的丢失和泄露。 （5）各职能部门定期对系统操作权限进行查核，发现授权错误或未及时终止的授权问题及时纠正。 3.建立患者诊疗信息全流程管理制度，确保患者诊疗信息管理全流程的时效性、真实性、连续性、完整 性、准确性、稳定性、安全性和可溯源性。 （1）医务工作人员应客观、真实、准确、及时、完整记录患者诊疗信息，对输入计算机的数据时效 性、真实性、连续性、完整性、准确性负责，不得随意增减或删除有效数据。 （2）建立患者诊疗信息创建、修改、归档等操作授权制度，确保患者诊疗信息可追溯性，严禁对后台 原始数据进行修改。 （3）信息网络部门负责对医疗信息系统产生的患者诊疗信息的存储、备份、安全防护等，健全技术设 施、数据安全管理制度和应急预案，确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源 性。 4.医疗机构应当建立患者诊疗信息安全保护制度和信息再利用的审批流程，明确医务人员使用患者诊疗 信息权限和授权部门。医务人员应当遵循合法、依规、正当、必要的原则，不得擅自出售患者信息，不 得未经批准擅自向他人或其他机构提供患者诊疗信息。 （1）建立健全对院内医务工作人员因科研、教学、学术交流等对患者诊疗信息的复制的审批制度和流 程，明确脱敏范围。 （2）建立健全公安、监察、法院、审计、保险等机构对患者诊疗信息的调用的审批制度和流程，明确 脱敏范围。 （3）建立健全患者诊疗信息向社会团体、AI智能诊断代理机构、院外数据平台、卫生行政部门附属机 构等以各种形式提供或上传的审批制度和流程，明确脱敏范围。 （4）其他非卫生行政部门之外的患者诊疗数据的复制、上报、上传均应纳入数据再利用的制度