(一) 定     义

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

(二) 基本要求    

1. 医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2. 医疗机构主要负责人是患者诊疗信息安全管理第一责任人。

3. 医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

4. 医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

5. 医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6. 医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

7. 医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

【释义】

1.信息安全全流程系统性保障制度包括哪些方面?

答：医疗机构信息安全全流程应覆盖医院信息系统 (HIS)及其各子系统(RIS、LIS、PACS、OA等),医院信息上传与共享接口的所有内容。系统性保障应有对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上目标所形成的管理制度、规章与操作流程体系。

       信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。

       技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。

       安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。

       系统性保障制度必须关注信息系统“六类”安全，包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。

       医疗机构主要负责人是信息安全管理第一责任人。

2.如何进行信息安全等级划分?

答：根据《信息安全等级保护管理办法》(公通字〔2007〕43号)规定，计算机信息安全划分为五个等级。

       按照原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)要求，以下重要卫生信息系统安全保护等级原则上不低于第三级。

(1) 卫生统计网络直报系统、传染性 疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。

(2) 国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心。

(3) 三级甲等医疗机构的核心业务信息系统。

(4) 原卫生部网站系统。

(5) 其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

       卫生健康行业各单位在确定信息系统安全保护等级后，对第二级以上(含第二级)信息系统，应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统，由国家卫生健康委报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。

3.医疗信息安全的组织架构及分工职责是什么?

答：网络安全和信息化工作领导小组是医院层面负责信息安全工作的主要组织。网络安全和信息化工作领导小组组长由医疗机构主要负责人担任，按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责，对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。具体要求见《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)相关规定。

4.实施医疗机构信息安全管理问责制有哪些内容?

答：医疗机构主要负责人是信息安全管理第一责任人。

       医疗机构应建立与完善信息安全管理组织的工作制度与程序。

       建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。

       明确信息系统使用与管理人员的岗位职责，并对提供与使用的信息可信度及安全负责。

       明确计算机信息系统专职管理人员离岗制度与交接程序。

5.如何建立与完善计算机信息系统的安全管理制度与流程?

答：计算机信息系统的安全管理制度与流程的覆盖层面，至少包括关于患者的所有数据，对不同的数据资料制定不同的保护路径措施(比如，数字与图像),所有权属患者个人。

        根据数据安全保护制度建立技术标准，利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。

        建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。

        明确任何单位和个人不得用计算机信息系统从事的行为，有清单/目录告知有操作权限的员工，并定期对其进行培训和教育。

        定期、不定期由医院内部与外部信息安全评估组织，进行医院信息系统安全评估，用制度与程序来保障，将安全评估的结果用于网络安全持续改进活动。各医疗卫生机构在信息系统运营过程中，应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查及整改情况报上级卫生健康行政部门。

6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案?

答：患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式，患者信息还有进一步被泄露和篡改的风险。因此应急预案的拟定是必要的，也是应对信息安全风险的基础与前提。

预案应至少包括但不限于以下内容。

       组织机构：网络与信息安全应急小组应由领导小组、技术小组组成，应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。

       工作原则：逐级建立并落实统计信息系统责任制和应急机制；按照法规规定职责和流程；积极预防、及时预警；积极提升应急处理能力；各部门协同配合开展工作。

       应急措施：基本应急处理流程应至少包括报告和简单处理；故障分级分类判断与处理；网络线路故障排除；黑客入侵应急处理；患者信息泄露的应急预案；大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。

       运营应急措施：医院HIS局部或全部瘫痪状况下临床运营处置预案。

7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面?

答：患者诊疗信息是指医疗机构在提供医疗服务过程中产生的，以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息，包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。

       诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。

       获取制度原则包括获取行为的界定，例如，报销、外院就诊、案件审理、临床研究等；个人获取流程和必需材料；政府或社会组织获取流程和依据材料。

       修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。

       安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理，不得转出；患者资料通过分级权限管理保护及诊治；未经患者本人的许可，不得将其疾病及相关隐私信息传播给他人。

8.为什么要建立分级授权制度?

答：医院信息系统在实际意义上属于开放式系统，大量个人信息和敏感数据存在于HIS和各子系统中，并不断被调阅使用。另外，还有大量的数据上传和分享接口。大部分医疗机构对外网页还设置了内网或协同办公系统登录界面。

       医院信息系统主要面向医院信息系统工作人员和使用人员。医院信息系统工作人员既包括医院信息工程师，也包括大量系统外包的场地工程师、系统维护人员等。医院信息系统使用人员包括医生、护士、管理人员 以及医学生、进修生、规培生等。根据不同人员身份和岗位性质，设立严格的登录和操作权限授权是非常必要的。考虑到授权工作的唯一性和动态变化，采取分级管理模式才具有可行性。

9.员工授权管理制度包括哪些方面?

答：员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。

       医院信息系统相关的所有授权和审批事项的制度，必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。

       内部人员授权管理由医疗机构信息安全领导小组主导并起始，实施按层级分级授权和负责制度。

       外包人员授权管理应由医疗机构信息安全工作小组组长授权，并按层级和部门岗位予以授权，并向授权方负责。没有经过正式授权的临时信息系统维护需求，可由信息安全工作小组组长临时授权同意后补充授权记录。

       重点加强对被授权者及其访问权限操作行为的合规性进行监管，评估与记录在案：①建立与完善记录操作日志，记录一定周期内的行为日志，通过软件系统逐一识别，确定操作行为的合规性；②建立操作系统识别库，对于不属于识别库的行为，系统要给予报警，直至下调授权等次或中止授权。

10.如何防止医疗信息泄露、毁损和丢失?

答：首先，应按照信息安全等级要求，建立严格的信息分级安全管理系统和配套工作制度 。

       其次，应建立严格的信息分级授权制度体系和基于管理需求、科研需求的信息数据使用管理规范并常态化运行。授权审批应严格根据工作岗位和工作内容而定。

       最后，建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表，并保持良好的兼容互通。

11.发生泄露事件后应急预案要点有哪些?

答：泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。

       ①泄密发现人员在第一时间先就泄密事件本身保密；②如已掌握涉密情况，则选择具有相应涉密级别的人员进行报告或直接报 告医院信息安全领导小组组长；③如未掌握涉密情况，应向上一级信息安全主管报告；④处置过程保密。

12.如何建立患者诊疗信息安全事故责任的追溯机制?

答：根据信息安全分级授权和信息分级保护要求，信息安全事故责任须进行逐级追溯。

       根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则，建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。

       溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。

13.如何实施软件安全管理?

答：实施软件安全管理，应从以下四个方面进行管理，但不限于此。

(1) 医疗机构临床信息系统软件的管理和维护，应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。

(2) 若由开发该软件的公司负责维护的医疗机构，应在维保协议中明确软件公司应书面报告每次维护的情况，经使用认可后报计算机信息系统专职管理员备案。

(3) 由各科室自行开发或应用的新软件，除上级或政府职能部门指定统一使用的外，均必须按照规定的程序申报，经网络安全和信息化工作领导小组讨论批准后方可应用。在原有系统上进行新功能的迭代开发的，应遵循信息系统项目管理和代码更新上传的标准规范流程进行。

(4) 为了防止计算机信息系统被病毒感染或者扩散病毒，任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U 盘等储存介质。

14.医疗机构如何对医疗数据的使用、处理和披露进行管理?

答：根据《医疗卫生机构网络安全管理办法》,各医疗卫生机构应建立健全数据安 全管理制度、操作规程及技术规范，涉及的管理制度每年至少修订一次，建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估，及时掌握数据安全状态。加强数据安全教育培训，组织安全意识教育和数据安全管理制度宣传培训。结合本单位实际，建立完善数据使用申请及批准流程，遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则，严格执行业务管理部门同意、医疗机构领导核准的工作程序，指导数据活动流程合规。