創(chuàng)三甲知識應(yīng)知應(yīng)會：信息安全管理制度（一）

創(chuàng)三甲知識應(yīng)知應(yīng)會：信息安全管理制度（一）定義指醫(yī)療機構(gòu)按照信息安全管理相關(guān)法律法規(guī)和技術(shù)標準要求，對醫(yī)療機構(gòu)患者診療信息的收集、存儲、使用、傳輸、處理、發(fā)布等進行全流程系統(tǒng)性保障的制度?；疽?.醫(yī)療機構(gòu)應(yīng)當依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術(shù)保障體系，完善組織架構(gòu)，明確管理部門，落實信息安全等級保護等有關(guān)要求。2.醫(yī)療機構(gòu)主要負責人是患者診療信息安全管理第一責任人。3.醫(yī)療機構(gòu)應(yīng)當建立患者診療信息安全風險評估和應(yīng)急工作機制，制定應(yīng)急預(yù)案。4.醫(yī)療機構(gòu)應(yīng)當確保實現(xiàn)本機構(gòu)患者診療信息管理全流程的安全性、真實性、連續(xù)性、完整性、穩(wěn)定性、時效性、溯源性。5.醫(yī)療機構(gòu)應(yīng)當建立患者診療信息保護制度，使用患者診療信息應(yīng)當遵循合法、依規(guī)、正當、必要的原則，不得出售或擅自向他人或其他機構(gòu)提供患者診療信息。6.醫(yī)療機構(gòu)應(yīng)當建立員工授權(quán)管理制度，明確員工的患者診療信息使用權(quán)限和相關(guān)責任。醫(yī)療機構(gòu)應(yīng)當為員工使用患者診療信息提供便利和安全保障，因個人授權(quán)信息保管不當造成的不良后果由被授權(quán)人承擔。7.醫(yī)療機構(gòu)應(yīng)當不斷提升患者診療信息安全防護水平，防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作，建立患者診療信息系統(tǒng)安全事故責任管理、追溯機制。在發(fā)生或者可能發(fā)生患者診療信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定向有關(guān)部門報告。釋義信息安全全流程系統(tǒng)性保障制度包括哪些方面?醫(yī)療機構(gòu)信息安全全流程應(yīng)覆蓋醫(yī)院信息系統(tǒng)(HIS)及其各子系統(tǒng)(RIS、LIS、PACS、OA等)，醫(yī)院信息上傳與共享接口的所有內(nèi)容。系統(tǒng)性保障應(yīng)能對全流程所涉及的所有信息提供系統(tǒng)保護和相應(yīng)的機密性和完整性服務(wù)能力。保障制度則是對應(yīng)以上目標所形成的管理制度、規(guī)章與操作流程體系。信息安全全流程系統(tǒng)性保障制度主要包括技術(shù)性安全文件體系和安全管理制度。技術(shù)性安全文件體系主要對信息系統(tǒng)技術(shù)要求、物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、主機安全和應(yīng)用安全提出構(gòu)建要求和基本配置要素。安全管理制度包括醫(yī)療機構(gòu)安全管理機構(gòu)制度、安全管理制度、信息操作人員安全管理、系統(tǒng)建設(shè)管理制度、系統(tǒng)運行維護管理制度體系和安全應(yīng)急預(yù)案。管理制度之下應(yīng)建立標準化操作規(guī)程作為補充。系統(tǒng)性保障制度必須關(guān)注信息系統(tǒng)“六類”安全，包括真實性、完整性、保密性、可用性、可靠性和可控性。增強信息系統(tǒng)安全防護能力、隱患發(fā)現(xiàn)能力和應(yīng)急響應(yīng)能力。醫(yī)療機構(gòu)主要負責人是信息安全管理第一責任人。如何進行信息安全等級劃分?根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(1994年，國務(wù)院147號令)第九條的規(guī)定，計算機信息系統(tǒng)實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關(guān)部門制定。1999年9月13日，由公安部提出并組織制定，國家質(zhì)量技術(shù)監(jiān)督局發(fā)布了《計算機信息系統(tǒng)安全保護等級劃分準則》(GB17859-1999)，并于2001年1月1日實施。其中把計算機信息安全劃分為五個等級。第一級，用戶自主保護級;第二級，系統(tǒng)審計保護級;第三級，安全標記保護級;第四級，結(jié)構(gòu)化保護級;第五級，訪問驗證保護級。根據(jù)原衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)[2011]85號)要求，以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級。(1)衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)。(2)國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心。(3)三級甲等醫(yī)療機構(gòu)的核心業(yè)務(wù)信息系統(tǒng)。(4)原衛(wèi)生部網(wǎng)站系統(tǒng)。(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)。衛(wèi)生健康行業(yè)各單位在確定信息系統(tǒng)安全保護等級后，對第二級以上(含第二級)信息系統(tǒng)，應(yīng)當報屬地公安機關(guān)及衛(wèi)生健康行政部門備案。跨省全國聯(lián)網(wǎng)運行并由原衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案;在各地運行、應(yīng)用的分支系統(tǒng)，應(yīng)當報屬地公安機關(guān)備案。醫(yī)療信息安全的組織架構(gòu)及分工職責是什么?醫(yī)院信息安全領(lǐng)導小組和工作小組是醫(yī)院層面負責信息安全工作的主要機構(gòu)。信息安全領(lǐng)導小組由院長任組長，主管信息化的副院長和信息管理部門負責人擔任副組長。領(lǐng)導小組主要負責信息安全規(guī)劃、日常信息安全方向指引、上級主管部門政策與文件落實、信息安全建設(shè)、業(yè)務(wù)連續(xù)性保障協(xié)調(diào)、安全組織與供應(yīng)商的溝通。信息安全工作小組由信息管理職能部門負責人任組長，信息中心所有人員參加，應(yīng)覆蓋系統(tǒng)管理、數(shù)據(jù)庫管理、網(wǎng)絡(luò)管理和安全保障管理等崗位。工作小組負責落實領(lǐng)導小組各項決議，并負責日常信息安全管理實施與督查。領(lǐng)導小組和工作組應(yīng)擬定包括安全運維手冊、數(shù)據(jù)備份要求、應(yīng)急響應(yīng)預(yù)案和安全配置指南在內(nèi)的基本制度，并每隔半年或在發(fā)生重大變化時進行修訂。工作小組應(yīng)定期組織信息安全培訓和相關(guān)考核，開展新員工入職背景調(diào)查并存檔，制定第三方單位及人員信息安全管理制度。實施醫(yī)療機構(gòu)信息安全管理問責制有哪些內(nèi)容?醫(yī)療機構(gòu)主要負責人是信息安全管理第一責任人。醫(yī)療機構(gòu)應(yīng)建立與完善信息安全管理組織的工作制度與程序。建立與完善計算機信息系統(tǒng)硬件與軟件的采購、驗收制度與程序。明確信息系統(tǒng)使用與管理人員的崗位職責，并對提供與使用的信息可信度及安全負責。明確計算機信息系統(tǒng)專職管理人員離崗制度與交接程序。如何建立與完善計算機信息系統(tǒng)的安全管理制度與流程?計算機信息系統(tǒng)的安全管理制度與流程的覆蓋層面，至少包括關(guān)于患者的所有數(shù)據(jù)和圖片等，對不同的數(shù)據(jù)資料制定不同的保護路徑措施(比如，數(shù)字與圖像)，所有權(quán)屬患者個人。根據(jù)數(shù)據(jù)安全保護制度建立技術(shù)標準，利用存儲及備份技術(shù)、網(wǎng)絡(luò)安全監(jiān)控技術(shù)、信息加密技術(shù)、訪問控制技術(shù)加以保護。建立與完善計算機信息系統(tǒng)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級管理制度、操作權(quán)限管理制度、用戶登記制度、信息發(fā)布審查、登記、保存、清除