信息安全管理制度的定义？

　　指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

　　有哪些基本要求？

　　1.应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

　　2.医疗机构主要负责人是患者诊疗信息安全管理第一责任人，各科室负责人是科室信息安全管理负责人。

　　3.应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

　　4.应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

　　5.应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

　　6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

　　7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

　　信息安全全流程系统性保障制度

　　包括哪些方面？

　　主要包括技术性安全文件体系和安全管理制度。

　　1.技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。

　　2.安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。

　　3.系统性保障制度必须关注信息系统“六类”安全，包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。

　　医疗信息安全的组织架构及分工职责是什么？

　　医院信息安全领导小组和工作小组是医院层面负责信息安全工作的主要机构。

　　1.信息安全领导小组由院长任组长，主管信息化的副院长和信息管理部门负责人担任副组长。领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、安全组织与供应商的沟通。

　　2.信息安全工作小组由信息管理职能部门负责人任组长，信息中心所有人员参加，应覆盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实领导小组各项决议，并负责日常信息安全管理实施与督查。

　　3.领导小组和工作组应拟定包括安全运维手册、数据备份要求、应急响应预案和安全配置指南在内的基本制度，并每隔半年或在发生重大变化时进行修订。

　　4.工作小组应定期组织信息安全培训和相关考核，开展新员工入职背景调查并存档，制定第三方单位及人员信息安全管理制度。

　　实施医疗机构信息安全管理问责制

　　有哪些内容？

　　1.应建立与完善信息安全管理组织的工作制度与程序。

　　2.建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。

　　3.明确信息系统使用与管理人员的岗位职责，并对提供与使用的信息可信度及安全负责。

　　4.明确计算机信息系统专职管理人员离岗制度与交接程序。

　　如何建立与完善计算机信息系统的

　　安全管理制度与流程？

　　计算机信息系统的安全管理制度与流程的覆盖层面，至少包括关于患者的所有数据和图片等，对不同的数据资料制定不同的保护路径措施（比如，数字与图像），所有权属患者个人。

　　1.根据数据安全保护制度建立技术标准，利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。

　　2.建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。

　　3.明确任何单位和个人不得使用计算机信息系统从事的行为，有清单/目录告知有操作权限的员工，并定期对其进行培训和教育。

　　4.定期、不定期由医院内部与外部信息安全评估组织，进行医院信息系统安全评估，用制度与程序来保障，将安全评估的结果用于网络安全持续改进活动。

　　如何制定应急预案？

　　患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式，患者信息还有进一步被泄露和篡改的风险。

　　1.预案应至少包括但不限于以下内容。组织机构：网络与信息安全应急小组应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。

　　2.工作原则：逐级建立并落实统计信息系统责任制和应急机制；按照法规规定职责和流程；积极预防、及时预警；积极提升应急处理能力；各部门协同配合开展工作。

　　3.应急措施：基本应急处理流程应至少包括报告和简单处理；故障判断与排除；网络线路故障排除；黑客入侵应急处理；大规模病毒（含恶意软件）攻击的应急处理等预案和处置原则。

　　4.运营应急措施：医院HIS局部或全部瘫痪状况下临床运营处置预案。

　　患者诊疗信息保护制度应当包含哪些方面？

　　患者诊疗信息包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。

　　1.诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。

　　2.获取制度原则包括获取行为的界定，例如，报销、外院就诊、案件审理、临床研究等；个人获取流程和必需材料；政府或社会组织获取流程和依据材料。

　　3.修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。

　　4.安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理，不得转出；患者资料通过分级权限管理保护及诊治；未经患者本人的许可，不得将其疾病及相关隐私信息传播给他人。

　　科室是否可以随意将各种设备和电脑

　　接入我院网络？

　　不可以，为保障我院网络安全和数据安全，设备接入内网系统需要联系信息科并走呈签流程，同时需要安装终端安全准入系统及杀毒软件。

　　如何防止医疗信息泄露、毁损和丢失？

　　应按照信息安全等级要求，建立严格的信息分级安全管理系统和配套工作制度。

　　应建立严格的信息分级授权制度体系并常态化运行。

　　授权审批应严格根据工作岗位和工作内容而定。

　　建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表，并保持良好的兼容互通。

　　发生泄露事件后应急预案要点有哪些？

　　泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。

　　1.泄密发现人员在第一时间就泄密事件本身保密；

　　2.如已掌握涉密情况，则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长；

　　3.如未掌握涉密情况，应向上一级信息安全主管报告；

　　4.处置过程保密。

　　如何实施软件安全管理？

　　（1）临床信息系统软件的管理和维护，应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。

　　（2）若由开发该软件的公司负责维护的医疗机构，各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案。

　　（3）由各科室自行开发或应用新的软件、上级或政府职能部门指定统一使用的，均必须按照规定的程序申报，经医院信息安全管理组织讨论批准后方可应用。

　　（4）为了防止计算机信息系统被病毒感染或者扩散病毒，任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。

　　来源：联勤保障部队第945医院

　　供稿：信息化与后勤保障科

　　一审：姚丽钦

　　二审：詹文青

　　三审：罗柏友