5.如何建立与完善计算机信息系统的安全管理制度与流程?

答：计算机信息系统的安全管理制度与流程的覆盖层面，至少包括关于患者的所有数据，对不同的数据资料制定不同的保护路径措施(比如，数字与图像),所有权属患者个人。

根据数据安全保护制度建立技术标准，利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。

建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。

明确任何单位和个人不得用计算机信息系统从事的行为，有清单/目录告知有操作权限的员工，并定期对其进行培训和教育。

定期、不定期由医院内部与外部信息安全评估组织，进行医院信息系统安全评估，用制度与程序来保障，将安全评估的结果用于网络安全持续改进活动。各医疗卫生机构在信息系统运营过程中，应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查及整改情况报上级卫生健康行政部门。

6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案?

患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式，患者信息还有进一步被泄露和篡改的风险。因此应急预案的拟定是必要的，也是应对信息安全风险的基础与前提。

预案应至少包括但不限于以下内容。

组织机构：网络与信息安全应急小组应由领导小组、技术小组组成，应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。

工作原则：逐级建立并落实统计信息系统责任制和应急机制；按照法规规定职责和流程；积极预防、及时预警；积极提升应急处理能力；各部门协同配合开展工作。

应急措施：基本应急处理流程应至少包括报告和简单处理；故障分级分类判断与处理；网络线路故障排除；黑客入侵应急处理；患者信息泄露的应急预案；大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。

运营应急措施：医院HIS局部或全部瘫痪状况下临床运营处置预案。

7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面?

答：患者诊疗信息是指医疗机构在提供医疗服务过程中产生的，以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息，包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。

诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。

获取制度原则包括获取行为的界定，例如，报销、外院就诊、案件审理、临床研究等；个人获取流程和必需材料；政府或社会组织获取流程和依据材料。

修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。

安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理，不得转出；患者资料通过分级权限管理保护及诊治；未经患者本人的许可，不得将其疾病及相关隐私信息传播给他人。