信息安全管理制度
定義
指醫(yī)療機構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)要求,對醫(yī)療機構(gòu)患者診療信息的收集�、存儲�����、使用�、傳輸�、處理����、發(fā)布等進行全流程系統(tǒng)性保障的制度�����。
基本要求
1.醫(yī)療機構(gòu)應(yīng)當(dāng)依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系,完善組織架構(gòu)�����,明確管理部門�����,落實信息安全等級保護等有關(guān)要求���。
2.醫(yī)療機構(gòu)主要負責(zé)人是醫(yī)療機構(gòu)患者診療信息安全管理第一責(zé)任人���。
3.醫(yī)療機構(gòu)應(yīng)當(dāng)建立患者診療信息安全風(fēng)險評估和應(yīng)急工作機制�,制定應(yīng)急預(yù)案���。
4.醫(yī)療機構(gòu)應(yīng)當(dāng)確保實現(xiàn)本機構(gòu)患者診療信息管理全流程的安全性、真實性��、連續(xù)性、完整性��、穩(wěn)定性、時效性�、溯源性。
5.醫(yī)療機構(gòu)應(yīng)當(dāng)建立患者診療信息保護制度���,使用患者診療信息應(yīng)當(dāng)遵循合法����、依規(guī)���、正當(dāng)���、必要的原則���,不得出售或擅自向他人或其他機構(gòu)提供患者診療信息。
6.醫(yī)療機構(gòu)應(yīng)當(dāng)建立員工授權(quán)管理制度�,明確員工的患者診療信息使用權(quán)限和相關(guān)責(zé)任。醫(yī)療機構(gòu)應(yīng)當(dāng)為員工使用患者診療信息提供便利和安全保障��,因個人授權(quán)信息保管不當(dāng)造成的不良后果由被授權(quán)人承擔(dān)��。
7.醫(yī)療機構(gòu)應(yīng)當(dāng)不斷提升患者診療信息安全防護水平���,防止信息泄露�、毀損�、丟失�。定期開展患者診療信息安全自查工作,建立患者診療信息系統(tǒng)安全事故責(zé)任管理�、追溯機制。在發(fā)生或者可能發(fā)生患者診療信息泄露���、毀損���、丟失的情況時,應(yīng)當(dāng)立即采取補救措施����,按照規(guī)定向有關(guān)部門報告。
釋義
Q1信息安全全流程系統(tǒng)性保障制度包括哪些方面?
答: 醫(yī)療機構(gòu)信息安全全流程應(yīng)覆蓋醫(yī)院信息系統(tǒng)(HIS)及其各子系統(tǒng)(RIS�����、LIS��、PACS�、OA等),醫(yī)院信息上傳與共享接口的所有內(nèi)容。系統(tǒng)性保障應(yīng)能對全流程所涉及的所有信息提供系統(tǒng)保護和相應(yīng)的機密性和完整性服務(wù)能力����。保障制度則是對應(yīng)以上目標(biāo)所形成的管理制度����、規(guī)章與操作流程體系��。
信息安全全流程系統(tǒng)性保障制度主要包括技術(shù)性安全文件體系和安全管理制度����。
技術(shù)性安全文件體系主要對信息系統(tǒng)技術(shù)要求���、物理安全�����、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、主機安全和應(yīng)用安全提出構(gòu)建要求和基本配置要素�。
安全管理制度包括醫(yī)療機構(gòu)安全管理機構(gòu)制度����、安全管理制度�、信息操作人員安全管理��、系統(tǒng)建設(shè)管理制度�����、系統(tǒng)運行維護管理制度體系和安全應(yīng)急預(yù)案���。管理制度之下應(yīng)建立標(biāo)準(zhǔn)化操作規(guī)程作為補充�����。
系統(tǒng)性保障制度必須關(guān)注信息系統(tǒng)“六類”安全�,包括真實性、完整性���、保密性�����、可用性����、可靠性和可控性�。增強信息系統(tǒng)安全防護遺力�����、隱患發(fā)現(xiàn)成力和應(yīng)急響應(yīng)能力。
醫(yī)療機構(gòu)主要負責(zé)人是信息安全管理第一責(zé)任人��。
Q2如何進行信息安全等級劃分?
答:根據(jù)有關(guān)規(guī)定�����,計算機信息系統(tǒng)實行安全等級保護��。安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法���,由公安部會同有關(guān)部門制定。
1999年9月13日,由公安部提出并組織制定����,國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》(GB17859—1999),并于2001年1月1日實施�����。其中把計算機信息安全劃分為五個等級����。第一級����,用戶自主保護級����;第二級��,系統(tǒng)審計保護級�����;第三級�,安全標(biāo)記保護級����;第四級�,結(jié)構(gòu)化保護級�;第五級�,訪問驗證保護級���。
根據(jù)原衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》(衛(wèi)辦發(fā)〔2011〕85號)要求,以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級�。
(1)衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)���、衛(wèi)生監(jiān)督信息報告系統(tǒng)�����、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)��。
(2)國家���、省、地市三級衛(wèi)生信息平臺���,新農(nóng)合��、衛(wèi)生監(jiān)督����、婦幼保健等國家級數(shù)據(jù)中心。
(3)三級甲等醫(yī)療機構(gòu)的核心業(yè)務(wù)信息系統(tǒng)�����。
(4)原衛(wèi)生部網(wǎng)站系統(tǒng)����。
(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)。
衛(wèi)生健康行業(yè)各單位在確定信息系統(tǒng)安全保護等級后����,對第二級以上(含第二級)信息系統(tǒng),應(yīng)當(dāng)報屬地公安機關(guān)及衛(wèi)生健康行政部門備案�。跨省全國聯(lián)網(wǎng)運行并由原衛(wèi)生部定級的信息系統(tǒng)����,由衛(wèi)生部報公安部備案;在各地運行���、應(yīng)用的分支系統(tǒng)���,應(yīng)當(dāng)報屬地公安機關(guān)備案��。
Q3醫(yī)療信息安全的組織架構(gòu)及分工職責(zé)是什么����?
答:醫(yī)院信息安全領(lǐng)導(dǎo)小組和工作小組是醫(yī)院層面負責(zé)信息安全工作的主要機構(gòu)�����。
信息安全領(lǐng)導(dǎo)小組由院長任組長�����,主管信息化的院長和信息管理部門負責(zé)人擔(dān)任副組長����。領(lǐng)導(dǎo)小組主要負責(zé)信息安全規(guī)劃����、日常信息安全方向指引、上級主管部門政策與文件落實�����、信息安全建設(shè)�、業(yè)務(wù)連續(xù)性保障協(xié)調(diào)�����、安全組織與供應(yīng)商的溝通�。
信息安全工作小組由信息管理職能部門負責(zé)人任組長����,信息中心所有人員參加,應(yīng)覆蓋系統(tǒng)管理�、數(shù)據(jù)庫管理、網(wǎng)絡(luò)管理和安全保障管理等崗位�。工作小組負責(zé)落實領(lǐng)導(dǎo)小組各項決議,并負責(zé)日常信息安全管理實施與督查�����。
領(lǐng)導(dǎo)小組和工作組應(yīng)擬定包括安全運維手冊�、數(shù)據(jù)備份要求、應(yīng)急響應(yīng)預(yù)案和安全配置指南在內(nèi)的基本制度���,并每隔半年或在發(fā)生重大變化時進行修訂����。
工作小組應(yīng)定期組織信息安全培訓(xùn)和相關(guān)考核��,開展新員工入職背景調(diào)查并存檔,制定第三方單位及人員信息安全管理制度����。
Q4實施醫(yī)療機構(gòu)信息安全管理問責(zé)制有哪些內(nèi)容?
答:醫(yī)療機構(gòu)主要負責(zé)人是信息安全管理第一責(zé)任人��。
醫(yī)療機構(gòu)應(yīng)建立與完善信息安全管理組織的工作制度與程序�。
建立與完善計算機信息系統(tǒng)硬件與軟件的采購、驗收制度與程序����。
明確信息系統(tǒng)使用與管理人員的崗位職責(zé)�����,并對提供與使用的信息可信度及安全負責(zé)��。
明確計算機信息系統(tǒng)專職管理人員離崗制度與交接程序��。
Q5如何建立與完善計算機信息系統(tǒng)的安全管理制度與流程���?
答:計算機信息系統(tǒng)的安全管理制度與流程的覆蓋層面��,至少包括關(guān)于患者的所有數(shù)據(jù)和圖片等���,對不同的數(shù)據(jù)資料制定不同的保護路徑措施(比如�,數(shù)字與圖像)�,所有權(quán)屬患者個人。
根據(jù)數(shù)據(jù)安全保護制度建立技術(shù)標(biāo)準(zhǔn)��,利用存儲及備份技術(shù)��、網(wǎng)絡(luò)安全監(jiān)控技術(shù)���、信息加密技術(shù)�����、訪問控制技術(shù)加以保護�。
建立與完善計算機信息系統(tǒng)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度����、操作權(quán)限管理制度、用戶登記制度����、信息發(fā)布審查、登記�����、保存、清除和備份制度�����。
明確任何單位和個人不得用計算機信息系統(tǒng)從事的行為�,有清單/目錄告知有操作權(quán)限的員工,并定期對其進行培訓(xùn)和教育����。
定期、不定期由醫(yī)院內(nèi)部與外部信息安全評估組織�����,進行醫(yī)院信息系統(tǒng)安全評估�,用制度與程序來保障�����,將安全評估的結(jié)果用于網(wǎng)絡(luò)安全持續(xù)改進活動���。
Q6如何根據(jù)醫(yī)療機構(gòu)患者診療信息安全風(fēng)險評估的內(nèi)容制定應(yīng)急預(yù)案��?
答:患者診療信息在錄入�����、儲存���、調(diào)閱����、輸出過程中始終存在安全風(fēng)險�。通過網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口��、第三方共享平臺等形式�,患者信息還有進一步被泄露和篡改的風(fēng)險。因此應(yīng)急預(yù)案的擬定是必要的����,也是應(yīng)對信息安全風(fēng)險的基礎(chǔ)與前提。
預(yù)案應(yīng)至少包括但不限于以下內(nèi)容�����。
組織機構(gòu):網(wǎng)絡(luò)與信息安全應(yīng)急小組應(yīng)由醫(yī)療機構(gòu)負責(zé)人擔(dān)任第一責(zé)任人。小組負責(zé)信息安全日常事務(wù)處理���、應(yīng)急處理及安全通報等事務(wù)�����。
工作原則:逐級建立并落實統(tǒng)計信息系統(tǒng)責(zé)任制和應(yīng)急機制��;按照法規(guī)規(guī)定職責(zé)和流程�����;積極預(yù)防���、及時預(yù)警;積極提升應(yīng)急處理能力����;各部門協(xié)同配合開展工作。
應(yīng)急措施:基本應(yīng)急處理流程應(yīng)至少包括報告和簡單處理�;故障判斷與排除���;網(wǎng)絡(luò)線路故障排除�;黑客入侵應(yīng)急處理;大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理等預(yù)案和處置原則����。
運營應(yīng)急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運營處置預(yù)案。
Q7醫(yī)療機構(gòu)建立患者診療信息保護制度應(yīng)當(dāng)包含哪些方面�?
答:患者診療信息是指醫(yī)療機構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的,以一定形式記錄�����、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息�,包括患者的個人基本信息、掛號信息�、就診信息、住院醫(yī)囑信息���、費用信息����、影像資料和檢驗結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集�����。
診療信息保護制度應(yīng)包括獲取制度�����、修改制度和安全保障制度。
獲取制度原則包括獲取行為的界定�,例如,報銷�、外院就診、案件審理����、臨床研究等;個人獲取流程和必需材料����;政府或社會組織獲取流程和依據(jù)材料。
修改制度原則包括患者個人信息修改流程和醫(yī)務(wù)人員醫(yī)囑�����、診斷等敏感信息修改流程�。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機構(gòu)內(nèi)部管理,不得轉(zhuǎn)出�����;患者資料通過分級權(quán)限管理保護及診治��;未經(jīng)患者本人的許可�,不得將其疾病及相關(guān)隱私信息傳播給他人?�;颊咴\療信息是指醫(yī)療機構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的�,以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息����,包括患者的個人基本信息、掛號信息����、就診信息、住院醫(yī)囑信息���、費用信息�����、影像資料和檢驗結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集����。
Q8為什么要建立分級授權(quán)制度����?
答:醫(yī)院信息系統(tǒng)在實際意義上屬于開放式系統(tǒng)�����,大量個人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中�����,并不斷被調(diào)閱使用�����。另外�����,還有大量的數(shù)據(jù)上傳和分享接口����。大部分醫(yī)療機構(gòu)對外網(wǎng)頁還設(shè)置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面����。
醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師,也包括大量系統(tǒng)外包的場地工程師��、系統(tǒng)維護人員等。根據(jù)不同人員身份和崗位性質(zhì)�����,設(shè)立嚴(yán)格的登錄和操作權(quán)限授權(quán)是非常必要的���。考慮到授權(quán)工作的唯一性和動態(tài)變化�,采取分級管理模式才具有可行性。
Q9員工授權(quán)管理制度包括哪些方面��?
答:員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度���、外包人員授權(quán)管理制度和授權(quán)變更管理制度���。
醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項的制度,必須明確各授權(quán)和審批的部門和責(zé)任人�。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項的制度執(zhí)行。
內(nèi)部人員授權(quán)管理由醫(yī)療機構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始����,實施按層級分級授權(quán)和負責(zé)制度。
外包人員授權(quán)管理應(yīng)由醫(yī)療機構(gòu)信息安全工作小組組長授權(quán)�,并按層級和部門崗位予以授權(quán)�,并向授權(quán)方負責(zé)�。沒有經(jīng)過正式授權(quán)的臨時信息系統(tǒng)維護需求,可由信息安全工作小組組長臨時授權(quán)同意后補充授權(quán)記錄�����。
重點加強對被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進行監(jiān)管�����,評估與記錄在案:①建立與完善記錄操作日志��,記錄一定周期內(nèi)的行為日志�����,通過軟件系統(tǒng)逐一識別��,確定操作行為的合規(guī)性�;②建立操作系統(tǒng)識別庫,對于不屬于識別庫行為����,系統(tǒng)要給予報警,直至下調(diào)授權(quán)等次或中止授權(quán)���。
Q10如何防止醫(yī)療信息泄露���、毀損和丟失�?
答:首先�,應(yīng)按照信息安全等級要求,建立嚴(yán)格的信息分級安全管理系統(tǒng)和配套工作制度�。
其次��,應(yīng)建立嚴(yán)格的信息分級授權(quán)制度體系并常態(tài)化運行�����。
授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定��。
最后��,建立主數(shù)據(jù)雙備份制度���。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表���,并保持良好的兼容互通。
Q11發(fā)生泄露事件后應(yīng)急預(yù)案要點有哪些�?
答:泄密類信息安全事件不同于一般的信息安全事件�。應(yīng)急處置基本原則要求有以下幾點���。
①泄密發(fā)現(xiàn)人員在第一時間先就泄密事件本身保密���;②如已掌握涉密情況,則選擇具有相應(yīng)涉密級別的人員進行報告或直接報告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長�����;③如未掌握涉密情況����,應(yīng)向上一級信息安全主管報告;④處置過程保密����。
Q12如何建立患者診療信息安全事故責(zé)任的追溯機制?
答:根據(jù)信息安全分級授權(quán)和信息分級保護要求���,信息安全事故責(zé)任須進行逐級追溯����。
根據(jù)隱私泄露溯源應(yīng)從最終數(shù)據(jù)應(yīng)用者向個人數(shù)據(jù)源頭搜尋的原則,建立溯源技術(shù)標(biāo)準(zhǔn)體系�、患者診療數(shù)據(jù)使用登記制度、溯源監(jiān)管制度和溯源獎懲制度�。
溯源技術(shù)標(biāo)準(zhǔn)體系主要為實現(xiàn)技術(shù)可行性?����;颊咴\療數(shù)據(jù)使用登記制度為實現(xiàn)數(shù)據(jù)跟蹤和溯源有跡可循�。溯源監(jiān)管和獎懲制度主要是強化溯源機制的威懾與強制作用。
Q13如何實施軟件安全管理�?
答:實施軟件安全管理,應(yīng)從以下四個方面進行管理�,但不限于此���。
(1)醫(yī)療機構(gòu)臨床信息系統(tǒng)軟件的管理和維護��,應(yīng)由本機構(gòu)計算機信息系統(tǒng)的專職管理員負責(zé)實施日常的管理和維護�。
(2)若由開發(fā)該軟件的公司負責(zé)維護的醫(yī)療機構(gòu)�����,各科室應(yīng)向計算機信息系統(tǒng)專職管理員書面報告每次維護的情況并備案�����。
(3)由各科室自行開發(fā)或應(yīng)用新的軟件、上級或政府職能部門指定統(tǒng)一使用的��,均必須按照規(guī)定的程序申報����,經(jīng)醫(yī)院信息安全管理組織討論批準(zhǔn)后方可應(yīng)用。
(4)為了防止計算機信息系統(tǒng)被病毒感染或者擴散病毒���,任何個人及部門科室均不得自行使用殺毒的軟盤����、光盤����、U盤等儲存介質(zhì)
