还剩3页未读,继续阅读
文本内容:
XXXX医院豆疗信息安全管理制度
一、定义
二、目的
三、内容
(一)信息安全领导小组及职责
(二)医院患者诊疗信息的收集
(三)医院患者诊疗信息的存储
(四)医院患者诊疗信息的使用
(五)医院患者诊疗信息的传输
(六)医院患者诊疗信息的处理
(七)医院患者诊疗信息的发布
(八)信息安全应急预案
一、定义指医院按照信息安全管理相关法律法规和技术标准要求,对医院患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度
二、目的为增强我院信息安全保护的整体性、针对性和实效性,加强患者诊疗信息的安全管理,保证数据信息免受不良影响,保证数据信息的可用性、完整性和机密性,保障患者隐私等权益,制定本制度
三、内容
(一)信息安全领导小组及职责医院院长信息安全管理第一责任人;信息分管院长统筹协调信息系统建设和信息安全建设;信息科科长负责医院信息安全的整体规划、建设和日常管理,以达到信息安全等级保护第三级的要求;网络管理员负责对交换机、路由器、防火墙等网络设备和网络拓扑的规划和日常维护,以确保网络系统免受非法入侵和病毒感染主机管理员负责对服务器、存储资源的建设规划和日常运维,以确保主机资源能够支撑医院业务的正常运行,免受偶然性故障的影响系统管理员主持医院核心业务系统的开发和维护,评估临床和业务主管部门对信息系统改造需求的可行性和安全性数据库管理员负责医院核心业务系统数据库的日常维护、定期备份和应急恢复相关职能科主任负责患者诊疗全业务流程的梳理和流程安全性评估以及患者诊疗信息使用、处理、发布等合法性的审查
(二)医院患者诊疗信息的收集
1.患者首次来院就诊时应正确填写真实信息,挂号处、住院处要仔细核对患者身份证、联系方式等重要信息并正确录入到医院信息系统的必填项中,医院信息平台将根据患者姓名和身份证号码等关键要素生成患者主索引,并将患者今后的在医院的所有诊疗记录均通过主索引进行关联
2.医生和护士均应及时、准确、真实地记录患者的诊疗过程,满足条件的病种尽可能纳入临床路径管理体系,确保患者诊疗信息收集的及时性和完整性
(三)医院患者诊疗信息的存储
1.信息科应对医院核心业务的存储介质做虚拟化处理,并将其分布于两个不同楼宇的信息机房中,确保不会因为存储设备的单节点故障导致患者诊疗数据的写入失败或丢失
2.信息科每天应对医院核心业务系统的数据库做容灾备份,以确保即使主备机房在极端情况下遭受物理破坏时患者诊疗数据的可恢复性
3.医院业务系统信息网络与公共互联网原则上物理隔离,确实因业务对接需要的,关键节点必须部署防火墙等安全设备任何部门和个人不得利用医院信息管理上的安全漏洞在未取得信息科审批的情况下将局域网内的计算机连入互联网或者将未授权的计算机连入医院局域网系统,以确保患者诊疗信息数据库免受非法入侵或病毒破坏
(四)医院患者诊疗信息的使用
1.医院对员工使用患者诊疗信息实行安全等级保护和用户使用权限划分,权限设置由各类人员的业务主管部门分配和管理,原则上非经治医生不得查阅患者的诊疗信息所有被授权人每3个月均应及时更换密码,如因个人密码保管不当被他人恶意使用,视同被授权人行为,造成的不良后果由被授权人自行承担
2.患者的所有诊疗信息资料只许在医院内部供诊疗相关医务人员使用,未经医务科授权不得转出
3.信息科通过技术手段原则上禁止移动硬盘、U盘、刻录机等在内网网络电脑的使用需要拷取内网数据的,必须通过相关职能科室审批,并在信息科专用电脑上拷取
(五)医院患者诊疗信息的传输
1.医院建立了HIS、EMR、LIS、PACS等系统,确保患者诊疗信息归集的便捷性、正确性和高效性
2.任何第三方提供的新系统或自主开发的新程序都必须通过信息科审查,并做交互接口,以确保各业务系统数据的一致性和正确性
3.医院各楼宇汇聚交换机与医院主、备信息机房的核心交换机均采用双链路冗余配置,服务器集群采用虚拟化配置,以确保服务器出现单点故障或楼宇间光纤被物理破坏时,患者诊疗信息数据读写和传输的快速恢复
(六)医院患者诊疗信息的处理
1.患者诊疗信息模板、临床路径等由各临床科室根据国家标准结合实际需要自行设计或配置,经相关职能科室审核后生效
2.所有患者诊疗信息尽可能做到数据的结构化,以减少不同医务人员书写的个体差异,尽可能做到诊疗信息质量的同质化
3.医院HIS等核心系统应配置智能控制模块,以有效降低诊疗风险保障患者生命安全
4.信息系统设备或配置变更、程序更新或版本升级均需要经过信息科长审批后才能上线(详见《需求提出流程单》),对于有可能导致患者信息安全受到重大影响的还要事前做好风险评估报告,向信息主管领导和院长汇报,拟定风险防控措施并通告相关部门做好应急预案,确保患者诊疗信息的安全可控对于因配置变更或程序发布造成不良后果的,应启动信息不良事件上报流程并及时采取补救措施,未经审批擅自变更造成不良后果的将通报主管领导并追究当事人的责任
(七)医院患者诊疗信息的发布
1.医院发布患者的诊疗信息必须充分顾及患者个人隐私等权益,未经允许不得向第三方透露患者个人信息
2.门诊叫号、检查检验等排队叫号大显示屏上,不得直接显示患者全名,应隐去姓名中间的那个字,以达到公共场所保护患者隐私的目的
3.患者通过微信、手机APP等进行报告查询时,必须进行身份认证和诊疗卡绑定,确保是患者本人授权查询
(八)信息安全应急预案
1.主服务器采用虚拟服务器集群并分布于不同的物理机房,机房及服务器电源采用双路不间断电源交叉供电,核心交换机采用冗余配置,常规配备楼层交换机等主要设备当发生单点故障时,第一时间向信息科报修,信息科请示科长后根据不同的设备故障切换启用不同的备用设备,以快速恢复业务
2.发生局部或系统性系统瘫痪时,第一时间报告信息科长,信息科长初步判断故障原因后,根据故障严重度报告信息分管院长,急救病人可直接启用全手工应急流程,普通病人在出现故障30分钟不能解决的,由信息科长向分管院长汇报,由分管院长发布启动应急预案,各部门和科室自行制定在信息系统发生故障时的手工应急预案参见信息科《计算机网络系统应急预案》。