医院信息安全管理制度

医院信息安全管理制度

　　在充满活力，日益开放的今天，接触到制度的地方越来越多，制度是指在特定社会范围内统一的、调节人与人之间社会关系的一系列习惯、道德、法律(包括宪法和各种具体法规)、戒律、规章(包括政府制定的条例)等的总和它由社会认可的非正式约束、国家规定的正式约束和实施机制三个部分构成。那么什么样的制度才是有效的呢？以下是小编精心整理的医院信息安全管理制度，欢迎大家借鉴与参考，希望对大家有所帮助。

　　基本要求

　　1.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

　　2.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

　　3.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

　　实施细则

　　1. 医疗机构应当建立患者诊疗信息保护制度：

　　（1）患者诊疗信息是指医疗机构在提供医疗服务过程中产生的，以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息，包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。

　　（2）诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。

　　①获取制度原则包括获取行为的界定,例如：报销、外院就诊、案件审理、临床研究等；个人获取流程和必需材料；政府或社会组织获取流程和依据材料。

　　②修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。

　　③安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理，不得转出；患者资料通过分级权限管理保护及诊治；未经患者本人的许可，不得将其疾病及相关隐私信息传播给他人。

　　2.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。

　　（1）员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。

　　（2）医院信息系统相关的所有授权和审批事项的制度，必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权

　　和审批部分均需按照本授权和审批事项的制度执行。

　　（3）内部人员授权管理由医疗机构信息安全领导小组主导并起始，实施按层级分级授权和负责制度。

　　（4）外包人员授权管理应由医疗机构信息安全工作小组组长授权，并按层级和部门岗位予以授权，并向授权方负责。没有经过正式授权的临时信息系统维护需求，可由信息安全工作小组组长临时授权同意后补充授权记录。

　　（5）重点加强对被授权者及其访问权限操作行为的合规性进行监管，评估与记录在案：

　　①建立与完善记录操作日志，记录一定周期内的行为日志，通过软件系统逐一识别，确定操作行为的合规性；

　　②建立操作系统识别库，对于不属于识别库行为，系统要给予报警，直至下调授权等次或中止授权。

　　3. 医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。

　　（1）医疗机构应按照信息安全等级要求，建立严格的信息分级安全管理系统和配套工作制度。

　　（2）应建立严格的信息分级授权制度体系并常态化运行。

　　（3）授权审批应严格根据工作岗位和工作内容而定。

　　（4）建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表，并保持良好的兼容互通。

　　4.发生或可能发生患者诊疗信息泄露事件时，应急处置基本原则

　　要求以下几点：

　　（1）泄密发现人员在第一时间先就泄密事件本身保密；

　　（2）如已掌握涉密情况，则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长；

　　（3）如未掌握涉密情况，应向上一级信息安全主管报告；

　　（4）处置过程保密。

　　5.医疗机构要建立患者诊疗信息安全事故责任追溯机制。

　　（1）根据信息安全分级授权和信息分级保护要求，信息安全事故责任须进行逐级追溯。

　　（2）根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则，建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。

　　（3）溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。

　　6.医疗机构实施软件安全管理，应从以下四个方面进行管理，但不限于此：

　　（1）医疗机构临床信息系统软件的管理和维护，应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。

　　（2）若由开发该软件的公司负责维护的医疗机构，各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案。

　　（3）由各科室自行开发或应用新的软件、上级或政府职能部门 指定统一使用的，均必须按照规定的程序申报，经医院信息安全管理组织讨论批准后方可应用。

　　（4）为了防止计算机信息系统被病毒感染或者扩散病毒，任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。

【医院信息安全管理制度】相关文章：

医院网络信息安全管理制度范本（精选5篇）08-10

医院信息管理制度10-11

医院信息化安全管理制度（通用6篇）08-09

医院信息化安全管理制度范本（精选5篇）08-17

医院信息管理制度大全08-31

信息安全管理制度07-01

信息安全管理制度06-20

医院信息系统安全管理制度（通用10篇）09-27

医院安全管理制度06-08