創(chuàng)三甲知識應(yīng)知應(yīng)會：信息安全管理制度（二）

創(chuàng)三甲知識應(yīng)知應(yīng)會：信息安全管理制度（二）01如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評估的內(nèi)容制定應(yīng)急預(yù)案?患者診療信息在錄入、儲存、調(diào)閱、輸出過程中始終存在安全風(fēng)險(xiǎn)。通過網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口、第三方共享平臺等形式，患者信息還有進(jìn)步被泄露和篡改的風(fēng)險(xiǎn)。因此應(yīng)急預(yù)案的擬定是必要的，也是應(yīng)對信息安全風(fēng)險(xiǎn)的基礎(chǔ)與前提。預(yù)案應(yīng)至少包括但不限于以下內(nèi)容。組織機(jī)構(gòu):網(wǎng)絡(luò)與信息安全應(yīng)急小組組應(yīng)由醫(yī)療機(jī)構(gòu)負(fù)責(zé)人擔(dān)任第一責(zé)任人。小組負(fù)責(zé)信息安全日常事務(wù)處理、應(yīng)急處理及安全通報(bào)等事務(wù)。工作原則:逐級建立并落實(shí)統(tǒng)計(jì)信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制;按照法規(guī)規(guī)定職責(zé)和流程;積極預(yù)防、及時(shí)預(yù)警;積極提升應(yīng)急處理能力;各部門協(xié)同配合開展工作。應(yīng)急措施:基本應(yīng)急處理流程應(yīng)至少包括報(bào)告和簡單處理;故障判斷與排除;網(wǎng)絡(luò)線路故障排除;黑客入侵應(yīng)急處理;大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理等預(yù)案和處置原則。運(yùn)營應(yīng)急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運(yùn)營處置預(yù)案。02醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的，以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息，包括患者的個(gè)人基本信息、掛號信息、就診信息、住院醫(yī)囑信息、費(fèi)用信息、影像資料和檢驗(yàn)結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集。診療信息保護(hù)制度應(yīng)包括獲取制度、修改制度和安全保障制度。獲取制度原則包括獲取行為的界定，例如，報(bào)銷、外院就診、案件審理、臨床研究等;個(gè)人獲取流程和必需材料;政府或社會組織獲取流程和依據(jù)材料。修改制度原則包括患者個(gè)人信息修改流程和醫(yī)務(wù)人員醫(yī)囑、診斷等敏感信息修改流程。安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理，不得轉(zhuǎn)出;患者資料通過分級權(quán)限管理保護(hù)及診治;未經(jīng)患者本人的許可，不得將其疾病及相關(guān)隱私信息傳播給他人。03為什么要建立分級授權(quán)制度?醫(yī)院信息系統(tǒng)在實(shí)際意義上屬于開放式系統(tǒng)，大量個(gè)人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中，并不斷被調(diào)閱使用。另外，還有大量的數(shù)據(jù)上傳和分享接口。大部分醫(yī)療機(jī)構(gòu)對外網(wǎng)頁還設(shè)置了內(nèi)網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師，也包括大量系統(tǒng)外包的場地工程師、系統(tǒng)維護(hù)人員等。根據(jù)不同人員身份和崗位性質(zhì)，設(shè)立嚴(yán)格的登錄和操作權(quán)限授權(quán)是非常必要的。考慮到授權(quán)工作的唯一性和動(dòng)態(tài)變化，采取分級管理模式才具有可行性。04員工授權(quán)管理制度包括哪些方面?員工授權(quán)管理制度應(yīng)包括內(nèi)部人員授權(quán)管理制度、外包人員授權(quán)管理制度和授權(quán)變更管理制度。醫(yī)院信息系統(tǒng)相關(guān)的所有授權(quán)和審批事項(xiàng)的制度，必須明確各授權(quán)和審批的部門和責(zé)任人。信息安全管理各環(huán)節(jié)的流程中授權(quán)和審批部分均需按照本授權(quán)和審批事項(xiàng)的制度執(zhí)行。內(nèi)部人員授權(quán)管理由醫(yī)療機(jī)構(gòu)信息安全領(lǐng)導(dǎo)小組主導(dǎo)并起始，實(shí)施按層級分級授權(quán)和負(fù)責(zé)制度。外包人員授權(quán)管理應(yīng)由醫(yī)療機(jī)構(gòu)信息安全工作小組組長授權(quán)，并按層級和部門崗位予以授權(quán)，并向授權(quán)方負(fù)責(zé)。沒有經(jīng)過正式授權(quán)的臨時(shí)信息系統(tǒng)維護(hù)需求，可由信息安全工作小組組長臨時(shí)授權(quán)同意后補(bǔ)充授權(quán)記錄。重點(diǎn)加強(qiáng)對被授權(quán)者及其訪問權(quán)限操作行為的合規(guī)性進(jìn)行監(jiān)管，評估與記錄在案:①建立與完善記錄操作日志，記錄一定周期內(nèi)的行為日志，通過軟件系統(tǒng)逐一識別，確定操作行為的合規(guī)性;②建立操作系統(tǒng)識別庫，對于不屬于識別庫行為，系統(tǒng)要給予報(bào)警，直至下調(diào)授權(quán)等次或中止授權(quán)。05如何防止醫(yī)療信息泄露、毀損和丟失?首先，應(yīng)按照信息安全等級要求，建立嚴(yán)格的信息分級安全管理系統(tǒng)和配套工作制度。其次，應(yīng)建立嚴(yán)格的信息分級授權(quán)制度體系并常態(tài)化運(yùn)行。授權(quán)審批應(yīng)嚴(yán)格根據(jù)工作崗位和工作內(nèi)容而定。最后，建立主數(shù)據(jù)雙備份制度。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表，并保持良好的兼容互通。06發(fā)生泄露事件后應(yīng)急預(yù)案要點(diǎn)有哪些?泄密類信息安全事件不同于一般的信息安全事件。應(yīng)急處置基本原則要求有以下幾點(diǎn)。①泄密發(fā)現(xiàn)人員在第一時(shí)間先就泄密事件本身保密;②如已掌握涉密情況，則選擇具有相應(yīng)涉密級別的人員進(jìn)行報(bào)告或直接報(bào)告醫(yī)院信息安全領(lǐng)導(dǎo)小組組長;③如未掌握涉密情況，應(yīng)向上一級信息安全主管報(bào)告;④處置過程保密。07如何建立患者診療信息安全事故責(zé)任的追溯機(jī)制?根據(jù)信息安全分級授權(quán)和信息分級保護(hù)要求，信息安全事故責(zé)任須進(jìn)行逐級追溯。根據(jù)隱私泄露溯源應(yīng)從最終數(shù)據(jù)應(yīng)用者向個(gè)人數(shù)據(jù)源頭搜尋的原則，建立溯源技術(shù)標(biāo)準(zhǔn)體系、患者診療數(shù)據(jù)使用登記制度、溯源監(jiān)管制度和溯源獎(jiǎng)懲制度。溯源技術(shù)標(biāo)準(zhǔn)體系主要為實(shí)現(xiàn)技術(shù)可行性。患者診療數(shù)據(jù)使用登記制度為實(shí)現(xiàn)數(shù)據(jù)跟蹤和溯源有跡可循。溯源監(jiān)管和獎(jiǎng)懲制度主要是強(qiáng)化溯源機(jī)制的威懾與強(qiáng)制作用。08如何實(shí)施軟件安全管理?實(shí)施軟件安全管理，應(yīng)從以下四個(gè)方面進(jìn)行管理，但不限于此。(1)醫(yī)療機(jī)構(gòu)臨床信息系統(tǒng)軟件的管理和維護(hù)，應(yīng)由本機(jī)構(gòu)計(jì)算機(jī)信息系統(tǒng)的專職管理員負(fù)責(zé)實(shí)施日常的管理和維護(hù)。(2)若由開發(fā)該軟件的公司負(fù)責(zé)維護(hù)的醫(yī)療機(jī)構(gòu)，各科室應(yīng)向計(jì)算機(jī)信息系統(tǒng)專職管理員書面報(bào)告每次維護(hù)的情況并備案。(3)由各科室自行開發(fā)或應(yīng)用新的軟件、