5.如何建立與完善計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程?
答:計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程的覆蓋層面��,至少包括關(guān)于患者的所有數(shù)據(jù)���,對(duì)不同的數(shù)據(jù)資料制定不同的保護(hù)路徑措施(比如�����,數(shù)字與圖像),所有權(quán)屬患者個(gè)人。
根據(jù)數(shù)據(jù)安全保護(hù)制度建立技術(shù)標(biāo)準(zhǔn)�����,利用存儲(chǔ)及備份技術(shù)��、網(wǎng)絡(luò)安全監(jiān)控技術(shù)�����、信息加密技術(shù)�、訪(fǎng)問(wèn)控制技術(shù)加以保護(hù)。
建立與完善計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全漏洞檢測(cè)和系統(tǒng)升級(jí)管理制度�、操作權(quán)限管理制度、用戶(hù)登記制度��、信息發(fā)布審查����、登記���、保存、清除和備份制度����。
明確任何單位和個(gè)人不得用計(jì)算機(jī)信息系統(tǒng)從事的行為,有清單/目錄告知有操作權(quán)限的員工��,并定期對(duì)其進(jìn)行培訓(xùn)和教育�����。
定期�����、不定期由醫(yī)院內(nèi)部與外部信息安全評(píng)估組織�,進(jìn)行醫(yī)院信息系統(tǒng)安全評(píng)估,用制度與程序來(lái)保障���,將安全評(píng)估的結(jié)果用于網(wǎng)絡(luò)安全持續(xù)改進(jìn)活動(dòng)�。各醫(yī)療衛(wèi)生機(jī)構(gòu)在信息系統(tǒng)運(yùn)營(yíng)過(guò)程中���,應(yīng)每年開(kāi)展文檔核驗(yàn)����、漏洞掃描、滲透測(cè)試等多種形式的安全自查��,及時(shí)發(fā)現(xiàn)可能存在的問(wèn)題和隱患�。針對(duì)安全自查、監(jiān)測(cè)預(yù)警��、安全通報(bào)等過(guò)程中發(fā)現(xiàn)的安全隱患應(yīng)認(rèn)真開(kāi)展整改加固�,防止網(wǎng)絡(luò)帶病運(yùn)行���,并按要求將安全自查及整改情況報(bào)上級(jí)衛(wèi)生健康行政部門(mén)�。
6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容制定應(yīng)急預(yù)案?
患者診療信息在錄入���、儲(chǔ)存���、調(diào)閱、輸出過(guò)程中始終存在安全風(fēng)險(xiǎn)����。通過(guò)網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口、第三方共享平臺(tái)等形式��,患者信息還有進(jìn)一步被泄露和篡改的風(fēng)險(xiǎn)��。因此應(yīng)急預(yù)案的擬定是必要的�����,也是應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的基礎(chǔ)與前提����。
預(yù)案應(yīng)至少包括但不限于以下內(nèi)容。
組織機(jī)構(gòu):網(wǎng)絡(luò)與信息安全應(yīng)急小組應(yīng)由領(lǐng)導(dǎo)小組��、技術(shù)小組組成�,應(yīng)由醫(yī)療機(jī)構(gòu)負(fù)責(zé)人擔(dān)任第一責(zé)任人。小組負(fù)責(zé)信息安全日常事務(wù)處理���、應(yīng)急處理及安全通報(bào)等事務(wù)�。
工作原則:逐級(jí)建立并落實(shí)統(tǒng)計(jì)信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制�;按照法規(guī)規(guī)定職責(zé)和流程;積極預(yù)防��、及時(shí)預(yù)警�;積極提升應(yīng)急處理能力���;各部門(mén)協(xié)同配合開(kāi)展工作。
應(yīng)急措施:基本應(yīng)急處理流程應(yīng)至少包括報(bào)告和簡(jiǎn)單處理�����;故障分級(jí)分類(lèi)判斷與處理�;網(wǎng)絡(luò)線(xiàn)路故障排除;黑客入侵應(yīng)急處理�����;患者信息泄露的應(yīng)急預(yù)案�;大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理等預(yù)案和處置原則�����。
運(yùn)營(yíng)應(yīng)急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運(yùn)營(yíng)處置預(yù)案����。
7.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?
答:患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過(guò)程中產(chǎn)生的,以一定形式記錄���、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息��,包括患者的個(gè)人基本信息���、掛號(hào)信息���、就診信息、住院醫(yī)囑信息��、費(fèi)用信息�����、影像資料和檢驗(yàn)結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集���。
診療信息保護(hù)制度應(yīng)包括獲取制度�、修改制度和安全保障制度�。
獲取制度原則包括獲取行為的界定,例如��,報(bào)銷(xiāo)����、外院就診、案件審理�、臨床研究等�;個(gè)人獲取流程和必需材料�;政府或社會(huì)組織獲取流程和依據(jù)材料。
修改制度原則包括患者個(gè)人信息修改流程和醫(yī)務(wù)人員醫(yī)囑���、診斷等敏感信息修改流程�。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理��,不得轉(zhuǎn)出����;患者資料通過(guò)分級(jí)權(quán)限管理保護(hù)及診治;未經(jīng)患者本人的許可����,不得將其疾病及相關(guān)隱私信息傳播給他人。
