关于修订信息安全管理制度实施细则的通知

ocukelk

关于修订信息安全管理制度实施细则的通知

各科室：

为进一步加强各项医疗核心制度的落实，规范我院医务人员的医疗行为，充分保障患者的医疗安全，按照《医疗质量管理办法》（国家卫计委令第10号）、《关于印发医疗质量安全核心制度要点的通知》（国卫医发〔2018〕8号）等文件要求，结合国家、省、市卫健委相关制度及规范更新，现对我院《信息安全管理制度实施细则》进行修订，请各科室认真组织学习、执行和落实。

太和皖北医院

附件：信息安全管理制度

（一）定义

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

（二）基本要求

1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2.医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。

3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

5.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

（三）实施细则

1.建立信息安全管理机制。医院主要负责人是医疗机构患者诊疗信息安全管理第一责任人。建立由医院主要院领导为组长、医疗主管院领导为副组长，医疗管理部门、病案管理部门、护理管理部门、药学管理部门、科研教学管理部门及信息网络部门为成员的诊疗信息安全管理委员会。

2.建立医疗信息访问授权管理制度和流程，医疗信息的访问包括借阅、编辑、修改、访问、查询等接触患者诊疗信息的行为。

（1）我院的纸质诊疗信息和医疗信息系统用户权限采用职能部门统一管理、统一授权的原则，根据业务工作需要设置业务科室权限范围。对新入职、下乡、支援、进修、规培、转岗、退休人员实行权限动态管理。授权操作人员应严格根据授权审批进行授权，禁止私自变更授权范围。

（2）信息网络部门建立工作人员和外来人员操作权限授权管理制度和流程，并与接触患者诊疗信息的员工签订患者诊疗信息安全保密责任书。医院与医疗信息系统的软件公司签订保密协议。

（3）医院使用有效的操作人员身份识别方式，使用用户名、密码登录，采用强密码登录规则，有条件的可使用数字认证方式。医务人员应妥善保管自己的用户名、密码或数字身份登录的Ukey，不得泄露、丢失与外借。各相关职能部门应加强医务人员身份登录管理，严禁使用他人用户名、密码或Ukey登录系统，确保患者诊疗信息的安全。

（4）各相关职能部门建立患者诊疗信息生成过程各环节的安全保护制度，防止诊疗过程中产生的患者诊疗信息的丢失和泄露。

（5）各职能部门定期对系统操作权限进行查核，发现授权错误或未及时终止的授权问题及时纠正。

3.建立患者诊疗信息全流程管理制度，确保患者诊疗信息管理全流程的时效性、真实性、连续性、完整性、准确性、稳定性、安全性和可溯源性。

（1）医务工作人员应客观、真实、准确、及时、完整记录患者诊疗信息，对输入计算机的数据时效性、真实性、连续性、完整性、准确性负责，不得随意增减或删除有效数据。

（2）建立患者诊疗信息创建、修改、归档等操作授权制度，确保患者诊疗信息可追溯性，严禁对后台原始数据进行修改。

（3）信息网络部门负责对医疗信息系统产生的患者诊疗信息的存储、备份、安全防护等，健全技术设施、数据安全管理制度和应急预案，确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源性。

4.医院建立患者诊疗信息安全保护制度和信息再利用的审批流程，明确医务人员使用患者诊疗信息权限和授权部门。医务人员应当遵循合法、依规、正当、必要的原则，不得擅自出售患者信息，不得未经批准擅自向他人或其他机构提供患者诊疗信息。

（1）建立健全对院内医务工作人员因科研、教学、学术交流等对患者诊疗信息的复制的审批制度和流程，明确脱敏范围。

（2）建立健全公安、监察、法院、审计、保险等机构对患者诊疗信息的调用的审批制度和流程，明确脱敏范围。

（3）建立健全患者诊疗信息向社会团体、AI智能诊断代理机构、院外数据平台、卫生行政部门附属机构等以各种形式提供或上传的审批制度和流程，明确脱敏范围。

（4）其他非卫生行政部门之外的患者诊疗数据的复制、上报、上传均应纳入数据再利用的制度和流程，明确脱敏范围。

（5）建立健全医疗设备工作站、从事医疗业务的计算机、带有存储功能的其他设备报废处置前的患者诊疗数据处理制度和流程。

（6）任何人不得未经批准擅自向他人或其他机构提供患者诊疗信息。

（7）任何人不得擅自出售患者信息。

5.医院实行信息安全等级保护和用户使用权限划分，明确授权部门及具体实施部门权限，并建立权限动态调整机制。定期开展患者诊疗信息安全自查工作，不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。要建立患者诊疗信息系统安全事故责任追究机制，在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

（1）建立患者诊疗信息安全定期检查机制，患者信息安全管理小组定期检查各项制度落实情况和信息安全保护情况。

（2）建立患者诊疗信息系统安全事故责任追究机制。

（3）在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

6.医院建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

（1）各职能管理部门针对职责范畴，每年进行不少于一次的信息安全风险评估。对在医疗流程中可能产生的信息泄露、丢失、毁损的环节的不安全因素采取有效措施，提高信息保护能力。

（2）信息网络部门围绕医疗数据的安全保护，设定专职岗位，培养技术人才，建立健全各项运维制度。至少每年对医疗数据中心的安全措施进行技术评估，采取有效措施，确保患者诊疗数据的安全。

（3）医院有充分的预算保障数据中心的安全架构、设备、环境、供电等处于有效状态。

（4）医院建立患者诊疗信息安全事故应急预案。