开栏语

医疗质量直接关系到人民群众的健康权益和对医疗服务的切身感受。为持续改进医疗质量、保障医疗安全，推出医疗质量安全核心制度学习专栏，敬请关注！

信息安全管理制度

【定义】

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2.医疗机构主要负责人是患者诊疗信息安全管理第一责任人。

3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

5.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

1.信息安全全流程系统性保障制度包括哪些方面?

答：医疗机构信息安全全流程应覆盖医院信息系统(HIS)及其各子系统(RIS、LIS、PACS、OA等),医院信息上传与共享接口的所有内容。系统性保障应有对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上目标所形成的管理制度、规章与操作流程体系。

信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。

技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。

安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。

系统性保障制度必须关注信息系统“六类”安全，包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。

医疗机构主要负责人是信息安全管理第一责任人。