(一)定义
指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
(二)基本要求
1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。
2.医疗机构主要负责人是患者诊疗信息安全管理第一责任人。
3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。
4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。
5.医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。
6.医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。
7.医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。
答:医疗机构信息安全全流程应覆盖医院信息系统(HIS)及其各子系统(RIS、LIS、PACS、0A等),医院信息上传与共享接口的所有内容。系统性保障应能对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上日标所形成的管理制度、规章与操作流程体系。
信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。
技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。
安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。
系统性保障制度必须关注信息系统“六类”安全,包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。
医疗机构主要负责人是信息安全管理第一责任人。
答:根据《中华人民共和国计算机信息系统安全保护条例》(1994年,国务院147号令)第九条的规定,计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年9月13日,由公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999),并于2001年1月1日实施。
其中把计算机信息安全划分为五个等级。第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级。
根据原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)要求,以下重要卫生信息系统安全保护等级原则上不低于第三级。
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。
(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心。
(3)三级甲等医疗机构的核心业务信息系统。
(4)原卫生部网站系统。
(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。
卫生健康行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
答:医院信息安全领导小组和工作小组是医院层面负责信息安全工作的主要机构。
信息安全领导小组由院长任组长,主管信息化的副院长和信息管理部门负责人担任副组长。领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、安全组织与供应商的沟通。
信息安全工作小组由信息管理职能部门负责人任组长,信息中心所有人员参加,应覆盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实领导小组各项决议,并负责日常信息安全管理实施与督查。
领导小组和工作组应拟定包括安全运维手册、数据备份要求、应急响应预案和安全配置指南在内的基本制度,并每隔半年或在发生重大变化时进行修订。
工作小组应定期组织信息安全培训和相关考核,开展新员工入职背景调查并存档,制定第三方单位及人员信息安全管理制度。
答:医疗机构主要负责人是信息安全管理第一责任人。
医疗机构应建立与完善信息安全管理组织的工作制度与程序。
建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。
明确信息系统使用与管理人员的岗位职责,并对提供与使用的信息可信度及安全负责。
明确计算机信息系统专职管理人员离岗制度与交接程序。
答:计算机信息系统的安全管理制度与流程的覆盖层面,至少包括关于患者的所有数据和图片等,对不同的数据资料制定不同的保护路径措施(比如,数字与图像),所有权属患者个人。
根据数据安全保护制度建立技术标准,利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。
建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。
明确任何单位和个人不得用计算机信息系统从事的行为,有清单/目录告知有操作权限的员工,并定期对其进行培训和教育。
定期、不定期由医院内部与外部信息安全评估组织,进行医院信息系统安全评估,用制度与程序来保障,将安全评估的结果用于网络安全持续改进活动。
患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式,患者信息还有进步被泄露和篡改的风险。因此应急预案的拟定是必要的,也是应对信息安全风险的基础与前提。
预案应至少包括但不限于以下内容。组织机构:网络与信息安全应急小组应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。
工作原则:逐级建立并落实统计信息系统责任制和应急机制;按照法规规定职责和流程;积极预防、及时预警;积极提升应急处理能力;各部门协同配合开展工作。
应急措施:基本应急处理流程应至少包括报告和简单处理;故障判断与排除;网络线路故障排除;黑客入侵应急处理;大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。
运营应急措施:医院HIS局部或全部瘫痪状况下临床运营处置预案。
答:患者诊疗信息是指医疗机构在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。
诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。
获取制度原则包括获取行为的界定,例如,报销、外院就诊、案件审理、临床研究等;个人获取流程和必需材料;政府或社会组织获取流程和依据材料。
修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。
安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理,不得转出;患者资料通过分级权限管理保护及诊治;未经患者本人的许可,不得将其疾病及相关隐私信息传播给他人。
医院信息系统在实际意义上属于开放式系统,大量个人信息和敏感数据存在于HIS和各子系统中,并不断被调阅使用。另外,还有大量的数据上传和分享接口。大部分医疗机构对外网页还设置了内网或协同办公系统登录界面。
医院信息系统工作人员既包括医院信息工程师,也包括大量系统外包的场地工程师、系统维护人员等。根据不同人员身份和岗位性质,设立严格的登录和操作权限授权是非常必要的。考虑到授权工作的唯一性和动态变化,采取分级管理模式才具有可行性。
员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。
医院信息系统相关的所有授权和审批事项的制度,必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。
内部人员授权管理由医疗机构信息安全领导小组主导并起始,实施按层级分级授权和负责制度。
外包人员授权管理应由医疗机构信息安全工作小组组长授权,并按层级和部门岗位予以授权,并向授权方负责。没有经过正式授权的临时信息系统维护需求,可由信息安全工作小组组长临时授权同意后补充授权记录。
重点加强对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案:①建立与完善记录操作日志,记录一定周期内的行为日志,通过软件系统逐一识别,确定操作行为的合规性;②建立操作系统识别库,对于不属于识别库行为,系统要给予报警,直至下调授权等次或中止授权。
答:首先,应按照信息安全等级要求,建立严格的信息分级安全管理系统和配套工作制度。
其次,应建立严格的信息分级授权制度体系并常态化运行。
授权审批应严格根据工作岗位和工作内容而定。
最后,建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表,并保持良好的兼容互通。
泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。
①泄密发现人员在第一时间先就泄密事件本身保密;②如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;③如未掌握涉密情况,应向上一级信息安全主管报告;④处置过程保密。
答:根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。
根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。
溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。
答:实施软件安全管理,应从以下四个方面进行管理,但不限于此。
(1)医疗机构临床信息系统软件的管理和维护,应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。
(2)若由开发该软件的公司负责维护的医疗机构,各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案。
(3)由各科室自行开发或应用新的软件、上级或政府职能部门指定统一使用的,均必须按照规定的程序申报,经医院信息安全管理组织讨论批准后方可应用。
(4)为了防止计算机信息系统被病毒感染或者扩散病毒,任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。