信息安全管理制度.pptx

第一章;CONTENTS;01.定义;指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。;02.基本要求;制度与技术保障体系方面：

医疗机构要依法依规构建起覆盖患者诊疗信息管理全流程的制度以及相应的技术保障体系，同时完善组织架构，清晰明确管理部门，并且切实落实信息安全等级保护等相关要求，全方位保障诊疗信息管理工作有序且合规开展。

责任主体方面：

明确医疗机构主要负责人为患者诊疗信息安全管理的第一责任人，强化责任落实，确保信息安全管理工作能有明确的责任归属。

风险评估与应急机制方面：

需建立患者诊疗信息安全风险评估和应急工作机制，制定完善的应急预案，以便能提前察觉安全风险，并在出现突发情况时可以迅速、有效地应对。

;信息质量保障方面：

要确保实现本机构患者诊疗信息管理全流程具备安全性、真实性、连续性、完整性、稳定性、时效性以及溯源性，保证诊疗信息在各个环节都能符合高质量的要求，为医疗工作等提供可靠的数据基础。

信息保护原则方面：

建立患者诊疗信息保护制度，在使用患者诊疗信息时遵循合法、依规、正当、必要的原则，严格禁止出售或者擅自向他人或其他机构提供患者诊疗信息，严守信息使用的底线。

员工授权管理方面：

建立员工授权管理制度，明确员工对于患者诊疗信息的使用权限以及相应责任，既保障员工正常使用信息的便利性，又能通过责任明确来规范员工行为；同时规定因个人授权信息保管不当造成不良后果由被授权人承担，强化员工的责任意识。;安全防护与事故处理方面：

不断提升患者诊疗信息安全防护水平，积极防止信息出现泄露、毁损、丢失等情况。

定期开展患者诊疗信息安全自查工作，建立相应的系统安全事故责任管理、追溯机制，一旦发生或者有可能发生患者诊疗信息泄露、毁损、丢失的情况，要马上采取补救措施，并按照规定向有关部门进行报告，最大程度降低事故影响，维护信息安全。;03.释义;覆盖范围：

涵盖医院信息系统（HIS）及其子系统（RIS、LIS、PACS、OA???），还有信息上传与共享接口所有内容。

主要构成：

技术性安全文件体系：对信息系统技术要求、物理安全、网络安全、数据安全、主机安全、应用安全提构建要求与配置要素。

安全管理制度：含医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系、安全应急预案，并有标准化操作规程作补充。;关注重点：

关注信息系统“六类”安全（真实性、完整性、必威体育官网网址性、可用性、可靠性、可控性），增强安全防护、隐患发现、应急响应能力。

责任主体：

医疗机构主要负责人是信息安全管理第一责任人。

;等级划分依据：

根据《信息安全等级保护管理办法》（公通字〔2007〕43号）规定，计算机信息安全划分为五个等级。

重要卫生信息系统等级要求：

按照原卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号）要求，以下重要卫生信息系统安全保护等级原则上不低于第三级：

卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。

国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心。

三级甲等医疗机构的核心业务信息系统。

原卫生部网站系统。

其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。;备案要求：

卫生健康行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生健康行政部门备案。

跨省全国联网运行并由原卫生部定级的信息系统，由国家卫生健康委报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。;组织架构

网络安全和信息化工作领导小组承担医院层面信息安全工作，是主要负责组织。

分工职责

领导小组组长：由医疗机构主要负责人担任。

职责确定原则：按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则来明确各部门相应职责。

具体工作内容：在网络建设过程中，各相关部门（如主管部门、运营部门、信息化部门、使用部门等）需对本单位运营范围内的网络开展等级保护定级、备案、测评、安全建设整改等工作。

规定依据：具体要求详见《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）相关规定。;明确责任主体：医疗机构主要负责人作为信息安全管理第一责任人，承担首要责任。

完善组织制度：建立与完善信息安全管理组织的工作制度与程序，以此规范组织内部的管理及运作流程。

规范采购验收：建立与完善计算机信息系统硬件与软件的采购、验收制度与程序，从源头把控信息系统相关产品的质量及安全性。

明晰岗位责任：明确信息系统使用与管理人员的岗位职责，要求