信息安全管理制度

信息安全管理制度

(一）目的
为保证医院计算机网络和医院信息系统的正常运行和健康发展，根据《中华人民共和国计算机信息系统安全保护条例》《中华人民共
和国计算机信息网络国际联网管理暂行规定》《关于加强信息安全保障工作的意见》和国家有关法律法规，制定本制度。
(二)定义
信息安全管理制度是指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
信息系统管理硬件设备包括计算机、打印机、扫码枪、读卡器等主机及外设，网络设备包括服务器、路由器、交换机、通信线路、不间断供电设备、机柜、配线架、信息点模块等提供网络服务的设施及设备。
信息系统是指利用电子计算机和通讯设备，为医院所属各部门提供患者诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。
数据信息是指在医院信息系统中产生的各种形式的医疗资料（包括患者基本信息、病历记录、诊断报告﹑化验检查结果、处方信息等)。
(三)基本要求
1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2.医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。
3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。
5.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。
7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。
(四)具体细则
1.医院应依照国家法规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等要求。

2.院长是医疗机构患者诊疗信息安全管理第一责任人。
3.医院确保医院内患者诊疗信息管理全流程的安全性、真实性、连续性、完整性稳定性、时效性、溯源性。建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。
4.建立患者责任管理、追溯机制。
5.医院对患者诊疗信息有职责明确、岗位权限清晰和严明可行的保护和处罚制度，使用患者诊疗信息遵循合法、依规、正当、必要的原则,对出售或擅自向他人或其他机构提供患者诊疗信息个人和部门应严格执行相关制度，情节严重者诉诸法律。
6.医院对员工授权要权责清晰，明确员工的患者诊疗信息使用权限和相关责任。在为员工使用患者诊疗信息提供便利和安全保障的同时，对执行个人授权信息保管不当造成的不良后果由被授权人承担相应的责任。

7.医院要对信息系统升级改造有定期预算和投资，不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。
8.定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。
9.在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。