8.为什么要建立分级授权制度?

答：医院信息系统在实际意义上属于开放式系统，大量个人信息和敏感数据存在于HIS和各子系统中，并不断被调阅使用。另外，还有大量的数据上传和分享接口。大部分医疗机构对外网页还设置了内网或协同办公系统登录界面。

医院信息系统主要面向医院信息系统工作人员和使用人员。医院信息系统工作人员既包括医院信息工程师，也包括大量系统外包的场地工程师、系统维护人员等。医院信息系统使用人员包括医生、护士、管理人员以及医学生、进修生、规培生等。根据不同人员身份和岗位性质，设立严格的登录和操作权限授权是非常必要的。考虑到授权工作的唯一性和动态变化，采取分级管理模式才具有可行性。

9.员工授权管理制度包括哪些方面?

员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。

医院信息系统相关的所有授权和审批事项的制度，必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。

内部人员授权管理由医疗机构信息安全领导小组主导并起始，实施按层级分级授权和负责制度。

外包人员授权管理应由医疗机构信息安全工作小组组长授权，并按层级和部门岗位予以授权，并向授权方负责。没有经过正式授权的临时信息系统维护需求，可由信息安全工作小组组长临时授权同意后补充授权记录。

重点加强对被授权者及其访问权限操作行为的合规性进行监管，评估与记录在案：

①建立与完善记录操作日志，记录一定周期内的行为日志，通过软件系统逐一识别，确定操作行为的合规性；

②建立操作系统识别库，对于不属于识别库的行为，系统要给予报警，直至下调授权等次或中止授权。

10.如何防止医疗信息泄露、毁损和丢失?

答：首先，应按照信息安全等级要求，建立严格的信息分级安全管理系统和配套工作制度。

其次，应建立严格的信息分级授权制度体系和基于管理需求、科研需求的信息数据使用管理规范并常态化运行。授权审批应严格根据工作岗位和工作内容而定。

最后，建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表，并保持良好的兼容互通。

11.发生泄露事件后应急预案要点有哪些?

泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。

①泄密发现人员在第一时间先就泄密事件本身保密；

②如已掌握涉密情况，则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长；

③如未掌握涉密情况，应向上一级信息安全主管报告；

④处置过程保密。