5.如何建立與完善計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程?
答:計(jì)算機(jī)信息系統(tǒng)的安全管理制度與流程的覆蓋層面����,至少包括關(guān)于患者的所有數(shù)據(jù),對(duì)不同的數(shù)據(jù)資料制定不同的保護(hù)路徑措施(比如,數(shù)字與圖像),所有權(quán)屬患者個(gè)人�����。
根據(jù)數(shù)據(jù)安全保護(hù)制度建立技術(shù)標(biāo)準(zhǔn)�����,利用存儲(chǔ)及備份技術(shù)�、網(wǎng)絡(luò)安全監(jiān)控技術(shù)、信息加密技術(shù)��、訪問控制技術(shù)加以保護(hù)�。
建立與完善計(jì)算機(jī)信息系統(tǒng)網(wǎng)絡(luò)安全漏洞檢測和系統(tǒng)升級(jí)管理制度、操作權(quán)限管理制度�、用戶登記制度、信息發(fā)布審查��、登記�����、保存���、清除和備份制度��。
明確任何單位和個(gè)人不得用計(jì)算機(jī)信息系統(tǒng)從事的行為��,有清單/目錄告知有操作權(quán)限的員工�,并定期對(duì)其進(jìn)行培訓(xùn)和教育。
定期��、不定期由醫(yī)院內(nèi)部與外部信息安全評(píng)估組織�����,進(jìn)行醫(yī)院信息系統(tǒng)安全評(píng)估���,用制度與程序來保障,將安全評(píng)估的結(jié)果用于網(wǎng)絡(luò)安全持續(xù)改進(jìn)活動(dòng)����。各醫(yī)療衛(wèi)生機(jī)構(gòu)在信息系統(tǒng)運(yùn)營過程中,應(yīng)每年開展文檔核驗(yàn)��、漏洞掃描�����、滲透測試等多種形式的安全自查��,及時(shí)發(fā)現(xiàn)可能存在的問題和隱患��。針對(duì)安全自查���、監(jiān)測預(yù)警����、安全通報(bào)等過程中發(fā)現(xiàn)的安全隱患應(yīng)認(rèn)真開展整改加固,防止網(wǎng)絡(luò)帶病運(yùn)行���,并按要求將安全自查及整改情況報(bào)上級(jí)衛(wèi)生健康行政部門��。
6.如何根據(jù)醫(yī)療機(jī)構(gòu)患者診療信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容制定應(yīng)急預(yù)案?
患者診療信息在錄入�����、儲(chǔ)存��、調(diào)閱�����、輸出過程中始終存在安全風(fēng)險(xiǎn)���。通過網(wǎng)絡(luò)鏈接、數(shù)據(jù)接口�、第三方共享平臺(tái)等形式,患者信息還有進(jìn)一步被泄露和篡改的風(fēng)險(xiǎn)�。因此應(yīng)急預(yù)案的擬定是必要的���,也是應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的基礎(chǔ)與前提。
預(yù)案應(yīng)至少包括但不限于以下內(nèi)容����。
組織機(jī)構(gòu):網(wǎng)絡(luò)與信息安全應(yīng)急小組應(yīng)由領(lǐng)導(dǎo)小組、技術(shù)小組組成�����,應(yīng)由醫(yī)療機(jī)構(gòu)負(fù)責(zé)人擔(dān)任第一責(zé)任人�����。小組負(fù)責(zé)信息安全日常事務(wù)處理�����、應(yīng)急處理及安全通報(bào)等事務(wù)�����。
工作原則:逐級(jí)建立并落實(shí)統(tǒng)計(jì)信息系統(tǒng)責(zé)任制和應(yīng)急機(jī)制��;按照法規(guī)規(guī)定職責(zé)和流程��;積極預(yù)防�����、及時(shí)預(yù)警�;積極提升應(yīng)急處理能力;各部門協(xié)同配合開展工作���。
應(yīng)急措施:基本應(yīng)急處理流程應(yīng)至少包括報(bào)告和簡單處理��;故障分級(jí)分類判斷與處理����;網(wǎng)絡(luò)線路故障排除�����;黑客入侵應(yīng)急處理�����;患者信息泄露的應(yīng)急預(yù)案�����;大規(guī)模病毒(含惡意軟件)攻擊的應(yīng)急處理等預(yù)案和處置原則。
運(yùn)營應(yīng)急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運(yùn)營處置預(yù)案���。
7.醫(yī)療機(jī)構(gòu)建立患者診療信息保護(hù)制度應(yīng)當(dāng)包含哪些方面?
答:患者診療信息是指醫(yī)療機(jī)構(gòu)在提供醫(yī)療服務(wù)過程中產(chǎn)生的�,以一定形式記錄���、保存的信息以及其他與醫(yī)療衛(wèi)生服務(wù)有關(guān)的信息����,包括患者的個(gè)人基本信息����、掛號(hào)信息、就診信息�����、住院醫(yī)囑信息���、費(fèi)用信息、影像資料和檢驗(yàn)結(jié)果等各種臨床和相關(guān)內(nèi)容組成的患者信息群集����。
診療信息保護(hù)制度應(yīng)包括獲取制度���、修改制度和安全保障制度。
獲取制度原則包括獲取行為的界定���,例如���,報(bào)銷、外院就診�����、案件審理����、臨床研究等;個(gè)人獲取流程和必需材料���;政府或社會(huì)組織獲取流程和依據(jù)材料����。
修改制度原則包括患者個(gè)人信息修改流程和醫(yī)務(wù)人員醫(yī)囑���、診斷等敏感信息修改流程���。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領(lǐng)導(dǎo)的批準(zhǔn)下只許在醫(yī)療機(jī)構(gòu)內(nèi)部管理���,不得轉(zhuǎn)出;患者資料通過分級(jí)權(quán)限管理保護(hù)及診治��;未經(jīng)患者本人的許可��,不得將其疾病及相關(guān)隱私信息傳播給他人���。
