十八、信息安全管理制度
(一)定義
指醫療機構按照信息安全管理相關法律法規和技術標準要求,對醫療機構患者診療信息的收集、存儲、使用、傳輸、處理、發佈等進行全流程系統性保障的制度。
(二)基本要求
1.醫療機構應當依法依規建立覆蓋患者診療信息管理全流程的制度和技術保障體系,完善組織架構,明確管理部門,落實信息安全等級保護等有關要求。
2.醫療機構主要負責人是患者診療信息安全管理第一責任人。
3.醫療機構應當建立患者診療信息安全風險評估和應急工作機制,制定應急預案。
4.醫療機構應當確保實現本機構患者診療信息管理全流程的安全性、真實性、連續性、完整性、穩定性、時效性、溯源性。
5.醫療機構應當建立患者診療信息保護制度,使用患者診療信息應當遵循合法、依規、正當、必要的原則,不得出售或擅自向他人或其他機構提供患者診療信息。
6.醫療機構應當建立員工授權管理制度,明確員工的患者診療信息使用權限和相關責任。醫療機構應當爲員工使用患者診療信息提供便利和安全保障,因個人授權信息保管不當造成的不良後果由被授權人承擔。
7.醫療機構應當不斷提升患者診療信息安全防護水平,防止信息泄露、毀損、丟失。定期開展患者診療信息安全自查工作,建立患者診療信息系統安全事故責任管理、追溯機制。在發生或者可能發生患者診療信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定向有關部門報告。
【釋義】
1.信息安全全流程系統性保障制度包括哪些方面?
答:醫療機構信息安全全流程應覆蓋醫院信息系統(HIS)及其各子系統(RIS、LIS、PACS、0A等),醫院信息上傳與共享接口的所有內容。系統性保障應能對全流程所涉及的所有信息提供系統保護和相應的機密性和完整性服務能力。保障制度則是對應以上日標所形成的管理制度、規章與操作流程體系。
信息安全全流程系統性保障制度主要包括技術性安全文件體系和安全管理制度。
技術性安全文件體系主要對信息系統技術要求、物理安全、網絡安全、數據安全、主機安全和應用安全提出構建要求和基本配置要素。
安全管理制度包括醫療機構安全管理機構制度、安全管理制度、信息操作人員安全管理、系統建設管理制度、系統運行維護管理制度體系和安全應急預案。管理制度之下應建立標準化操作規程作爲補充。
系統性保障制度必須關注信息系統“六類”安全,包括真實性、完整性、保密性、可用性、可靠性和可控性。增強信息系統安全防護能力、隱患發現能力和應急響應能力。
醫療機構主要負責人是信息安全管理第一責任人。
2.如何進行信息安全等級劃分?
答:根據《中華人民共和國計算機信息系統安全保護條例》(1994年,國務院147號令)第九條的規定,計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定。
1999年9月13日,由公安部提出並組織制定,國家質量技術監督局發佈了《計算機信息系統安全保護等級劃分準則》(GB17859-1999),並於2001年1月1日實施。
其中把計算機信息安全劃分爲五個等級。第一級,用戶自主保護級;第二級,系統審計保護級;第三級,安全標記保護級;第四級,結構化保護級;第五級,訪問驗證保護級。
根據原衛生部《衛生行業信息安全等級保護工作的指導意見》(衛辦發[2011]85號)要求,以下重要衛生信息系統安全保護等級原則上不低於第三級。
(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統。
(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心。
(3)三級甲等醫療機構的核心業務信息系統。
(4)原衛生部網站系統。
(5)其他經過信息安全技術專家委員會評定爲第三級以上(含第三級)的信息系統。
衛生健康行業各單位在確定信息系統安全保護等級後,對第二級以上(含第二級)信息系統,應當報屬地公安機關及衛生健康行政部門備案。跨省全國聯網運行並由原衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
3.醫療信息安全的組織架構及分工職責是什麼?
答:醫院信息安全領導小組和工作小組是醫院層面負責信息安全工作的主要機構。
信息安全領導小組由院長任組長,主管信息化的副院長和信息管理部門負責人擔任副組長。領導小組主要負責信息安全規劃、日常信息安全方向指引、上級主管部門政策與文件落實、信息安全建設、業務連續性保障協調、安全組織與供應商的溝通。
信息安全工作小組由信息管理職能部門負責人任組長,信息中心所有人員參加,應覆蓋系統管理、數據庫管理、網絡管理和安全保障管理等崗位。工作小組負責落實領導小組各項決議,並負責日常信息安全管理實施與督查。
領導小組和工作組應擬定包括安全運維手冊、數據備份要求、應急響應預案和安全配置指南在內的基本制度,並每隔半年或在發生重大變化時進行修訂。
工作小組應定期組織信息安全培訓和相關考覈,開展新員工入職背景調查並存檔,制定第三方單位及人員信息安全管理制度。
4.實施醫療機構信息安全管理問責制有哪些內容?
答:醫療機構主要負責人是信息安全管理第一責任人。
醫療機構應建立與完善信息安全管理組織的工作制度與程序。
建立與完善計算機信息系統硬件與軟件的採購、驗收制度與程序。
明確信息系統使用與管理人員的崗位職責,並對提供與使用的信息可信度及安全負責。
明確計算機信息系統專職管理人員離崗制度與交接程序。
5.如何建立與完善計算機信息系統的安全管理制度與流程?
答:計算機信息系統的安全管理制度與流程的覆蓋層面,至少包括關於患者的所有數據和圖片等,對不同的數據資料制定不同的保護路徑措施(比如,數字與圖像),所有權屬患者個人。
根據數據安全保護制度建立技術標準,利用存儲及備份技術、網絡安全監控技術、信息加密技術、訪問控制技術加以保護。
建立與完善計算機信息系統網絡安全漏洞檢測和系統升級管理制度、操作權限管理制度、用戶登記制度、信息發佈審查、登記、保存、清除和備份制度。
明確任何單位和個人不得用計算機信息系統從事的行爲,有清單/目錄告知有操作權限的員工,並定期對其進行培訓和教育。
定期、不定期由醫院內部與外部信息安全評估組織,進行醫院信息系統安全評估,用制度與程序來保障,將安全評估的結果用於網絡安全持續改進活動。
6.如何根據醫療機構患者診療信息安全風險評估的內容制定應急預案?
患者診療信息在錄入、儲存、調閱、輸出過程中始終存在安全風險。通過網絡鏈接、數據接口、第三方共享平臺等形式,患者信息還有進步被泄露和篡改的風險。因此應急預案的擬定是必要的,也是應對信息安全風險的基礎與前提。
預案應至少包括但不限於以下內容。組織機構:網絡與信息安全應急小組應由醫療機構負責人擔任第一責任人。小組負責信息安全日常事務處理、應急處理及安全通報等事務。
工作原則:逐級建立並落實統計信息系統責任制和應急機制;按照法規規定職責和流程;積極預防、及時預警;積極提升應急處理能力;各部門協同配合開展工作。
應急措施:基本應急處理流程應至少包括報告和簡單處理;故障判斷與排除;網絡線路故障排除;黑客入侵應急處理;大規模病毒(含惡意軟件)攻擊的應急處理等預案和處置原則。
運營應急措施:醫院HIS局部或全部癱瘓狀況下臨牀運營處置預案。
7.醫療機構建立患者診療信息保護制度應當包含哪些方面?
答:患者診療信息是指醫療機構在提供醫療服務過程中產生的,以一定形式記錄、保存的信息以及其他與醫療衛生服務有關的信息,包括患者的個人基本信息、掛號信息、就診信息、住院醫囑信息、費用信息、影像資料和檢驗結果等各種臨牀和相關內容組成的患者信息羣集。
診療信息保護制度應包括獲取制度、修改制度和安全保障制度。
獲取制度原則包括獲取行爲的界定,例如,報銷、外院就診、案件審理、臨牀研究等;個人獲取流程和必需材料;政府或社會組織獲取流程和依據材料。
修改制度原則包括患者個人信息修改流程和醫務人員醫囑、診斷等敏感信息修改流程。
安全保障制度原則包括任何患者的所有電子信息資料在未經主管領導的批准下只許在醫療機構內部管理,不得轉出;患者資料通過分級權限管理保護及診治;未經患者本人的許可,不得將其疾病及相關隱私信息傳播給他人。
8.爲什麼要建立分級授權制度?
醫院信息系統在實際意義上屬於開放式系統,大量個人信息和敏感數據存在於HIS和各子系統中,並不斷被調閱使用。另外,還有大量的數據上傳和分享接口。大部分醫療機構對外網頁還設置了內網或協同辦公系統登錄界面。
醫院信息系統工作人員既包括醫院信息工程師,也包括大量系統外包的場地工程師、系統維護人員等。根據不同人員身份和崗位性質,設立嚴格的登錄和操作權限授權是非常必要的。考慮到授權工作的唯一性和動態變化,採取分級管理模式才具有可行性。
9.員工授權管理制度包括哪些方面?
員工授權管理制度應包括內部人員授權管理制度、外包人員授權管理制度和授權變更管理制度。
醫院信息系統相關的所有授權和審批事項的制度,必須明確各授權和審批的部門和責任人。信息安全管理各環節的流程中授權和審批部分均需按照本授權和審批事項的制度執行。
內部人員授權管理由醫療機構信息安全領導小組主導並起始,實施按層級分級授權和負責制度。
外包人員授權管理應由醫療機構信息安全工作小組組長授權,並按層級和部門崗位予以授權,並向授權方負責。沒有經過正式授權的臨時信息系統維護需求,可由信息安全工作小組組長臨時授權同意後補充授權記錄。
重點加強對被授權者及其訪問權限操作行爲的合規性進行監管,評估與記錄在案:①建立與完善記錄操作日誌,記錄一定週期內的行爲日誌,通過軟件系統逐一識別,確定操作行爲的合規性;②建立操作系統識別庫,對於不屬於識別庫行爲,系統要給予報警,直至下調授權等次或中止授權。
10.如何防止醫療信息泄露、毀損和丟失?
答:首先,應按照信息安全等級要求,建立嚴格的信息分級安全管理系統和配套工作制度。
其次,應建立嚴格的信息分級授權制度體系並常態化運行。
授權審批應嚴格根據工作崗位和工作內容而定。
最後,建立主數據雙備份制度。對醫療信息均要求保存備份數據和數據表,並保持良好的兼容互通。
11.發生泄露事件後應急預案要點有哪些?
泄密類信息安全事件不同於一般的信息安全事件。應急處置基本原則要求有以下幾點。
①泄密發現人員在第一時間先就泄密事件本身保密;②如已掌握涉密情況,則選擇具有相應涉密級別的人員進行報告或直接報告醫院信息安全領導小組組長;③如未掌握涉密情況,應向上一級信息安全主管報告;④處置過程保密。
12.如何建立患者診療信息安全事故責任的追溯機制?
答:根據信息安全分級授權和信息分級保護要求,信息安全事故責任須進行逐級追溯。
根據隱私泄露溯源應從最終數據應用者向個人數據源頭搜尋的原則,建立溯源技術標準體系、患者診療數據使用登記制度、溯源監管制度和溯源獎懲制度。
溯源技術標準體系主要爲實現技術可行性。患者診療數據使用登記制度爲實現數據跟蹤和溯源有跡可循。溯源監管和獎懲制度主要是強化溯源機制的威懾與強制作用。
13.如何實施軟件安全管理?
答:實施軟件安全管理,應從以下四個方面進行管理,但不限於此。
(1)醫療機構臨牀信息系統軟件的管理和維護,應由本機構計算機信息系統的專職管理員負責實施日常的管理和維護。
(2)若由開發該軟件的公司負責維護的醫療機構,各科室應向計算機信息系統專職管理員書面報告每次維護的情況並備案。
(3)由各科室自行開發或應用新的軟件、上級或政府職能部門指定統一使用的,均必須按照規定的程序申報,經醫院信息安全管理組織討論批准後方可應用。
(4)爲了防止計算機信息系統被病毒感染或者擴散病毒,任何個人及部門科室均不得自行使用殺毒的軟盤、光盤、U盤等儲存介質。