一、定义
指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
一、医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。 二、医疗机构主要负责人是患者诊疗信息安全管理第一责任人。 三、医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。 四、医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。 五、医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。 六、医疗机构应当建立员工授权管理制度,明确员工的对患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。 七、医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。 答:首先,应按照信息安全等级要求,建立严格的信息分级安全管理系统和配套工作制度。 其次,应建立严格的信息分级授权制度体系和基于管理需求、科研需求的信息数据使用管理规范并常态化运行。授权审批应严格根据工作岗位和工作内容而定。 最后,建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表,并保持良好的兼容互通。 答:泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。 ①泄密发现人员在第一时间先就泄密事件本身保密;②如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;③如未掌握涉密情况,应向上一级信息安全主管报告;④处置过程保密。 答:根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。 根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。二、基本要求
三、重点解读
(一)问:如何防止医疗信息泄露、毁损和丢失?
(二)问:发生泄露事件后应急预案要点有哪些?
(三)问:如何建立患者诊疗信息安全事故责任的追溯机制?
