定义
指医疗机构及人员按照信息安全管理相关法律法规和技术标准,对工作中的行为进行规范的管理制度。
基本要求 1、医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。 2、医疗机构主要负责人是信息安全管理第一负责人,各科室负责人是科室信息安全管理负责人。 3、医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。 4、医疗机构应当建立员工授权管理制度,因个人授权信息保管不当造成的不良后果由被授权人承担。 释义 1、日常医疗网络安全包括哪些方面? 答:(1)遵守相关法律、法规、规章、制度的要求,包括《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人信息保护法》等。 (2)注意保护患者隐私。 (3)不为商业统方提供便利及不进行商业统方。 (4)保护个人账号密码,不将账号借给他人和不借用他人账号。 (5)不得在医院网络中进行病毒的传播或者攻击医院网络、系统和服务器。 2、互联网医院工作是否要遵循信息安全管理制度? 答:互联网医院也是我们医院工作的一部分,同样需要遵守。 3、患者敏感信息包括哪些? 答:《中华人民共和国个人信息保护法》第二十八条规定 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 在医疗行业中,以下信息被确定为敏感信息: (1)在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息; (2)突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等; (3)医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息; (4)人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息; (5)人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息; (6)计划生育服务过程中涉及的个人隐私; (7)个人和家族的遗传信息; (8)生命登记信息。 4、数据泄露包括哪些方面? 答:数据泄露是最常见的医疗行业网络安全问题,所有行业中医疗行业的数据泄露概率最高。最常见的数据泄露类型是基于恶意软件的黑客攻击。犯罪黑产团伙将非法获取的医疗数据及医疗记录拿去售卖,具体包括患者个人敏感数据,药品和高值耗材的统方等。 5、科室是否可以随意将各种设备和电脑接入我院网络? 答:不可以,为保障我院的网络安全和数据安全,设备接入内网系统需要联系信息中心并走OA流程,同时需要安装终端安全准入系统及杀毒软件。设备接入外网可以需要安装杀毒软件。 6、科室和门诊上的电脑是否可以让非我院工作人员随便使用? 答:不可以,非我院工作人员的不规范操作可能会导致网络安全隐患或事件。各科室和门诊要做到属地化管理,禁止非我院工作人员使用我院内外网电脑,发现非我院工作人员操作电脑的,应确认其身份或授权,信息中心派遣的工作人员请及时联系信息中心值班电话68616746进行确认。 7、厂家赠送的信息系统是否可以直接作为医疗系统使用? 答:不可以。信息系统的信息化建设包括了网络安全等级保护测评、互联互通建设(接口对接、数据字典统一等)、容灾备份机制、服务器及终端的运维管理等,在每一个信息系统接入前,都必须与信息中心进行对接,做好以上的工作。 8、信息系统的二次开发是否需要与信息中心对接? 答:需要,信息系统的二次开发涉及代码修改、接口变更、规范变更、字典变更等,会产生网络安全隐患和漏洞,必须与信息中心对接修改后,由信息中心进行漏洞扫描,确认不存在网络安全漏洞后,才能验收通过并上线运行。 9、厂家运维人员需要临时接入我院网络时,是否需要报备? 答:需要,厂家运维人员的设备、电脑可能存在危害我院网络安全和数据安全的软件、病毒、木马等,如盲目任其接入我院网络,有可能会造成不必要的损失。应该首先联系信息中心值班电话68616746进行报备,待确认厂家设备或电脑安全后,授权定时接入。 10、厂家对现有设备进行系统重装时,是否需要提前联系信息中心? 答:需要,现有设备重装系统后,需要重新进行准入认证并安装杀毒软件。 11、科室工作与网络安全工作有关系么? 答:有,科室负责人为网络安全工作第一负责人,全体人员都需要参与到网络安全工作中。同时科室应设立网络安全联络员,联络员负责与信息中心网络安全管理员进行对接。 12、在发生网络安全事件的时候如何处置? 答:第一时间应该保证人员的人身安全,对发生的网络安全事件进行证据固定,可以使用书面记录、拍照、录像、第三人的形式,可以的情况下,中断网络连接。同时联系信息中心值班电话68616746进行报备处置。 13、我院职工WiFi:SZY_Internet的密码是否需要保密? 答:需要,我院的职工WiFi:SZY_Internet是提供给全院职工进行业务系统连接使用的,该WiFi与我院内部系统相连。如果泄露给患者或者第三方人员,会产生不确定的网络安全隐患,可能会成为不法分子入侵我院网络的渠道。患者使用我院提供的免费WiFi:SZY_Freewifi进行连接。 14、个人授权包括哪些?如何会泄露?防范措施有哪些? 答:(1)个人授权包括证件、工牌、账号密码、短信验证码、签字、人脸特征、指纹、虹膜等。 (2)泄露方式最常见的是将证件和工牌借与他人,账号密码和短信验证码口头或者书面泄露(比如HIS工号和密码写在电脑上或纸条上),还有就是密码使用弱口令被猜测出来(弱口令是指默认密码、没有包括字母、数字、特殊符号的两种及以上且少于8位的口令)。 (3)防范措施包括不要随意将证件、工牌借给他人,对账号密码保密,使用强口令且定期更改密码。