有一个疑惑，我在医院的信息数据安全吗？

来自：行迪智库-国内首款基于等级医院评审标准的质量持续改进的管理软件（医院等级评审，学科，名院名科） | 2021-12-13 15:27:16

编者语

患者在医院的数据安全是第一位，哪怕医院整体的信息化程度低。

对于医院来说，医院信息安全管理制度涵盖范围非常广，涉及医院信息系统（HIS)及其各子系统（RIS、LIS、PACS、0A、精细化管理平台…等）及医院信息上传、共享、接口的所有相关内容。

在信息化高度发达的今天，追求医院高质量，医院信息安全管理，各家医院必须严格重视，当然也是管理者必备的硬核能力！接下来，我们来看看如何做好信息的安全管理。

 

— 1 —
何为信息安全管理制度

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对患者诊疗信息的汇总收集、储存使用、传输处理等全流程的保护计算机硬件、软件、数据不因偶然的原因而受到破坏、更改、泄露。
【等级医院评审条款】
6.6.3实施国家信息安全等级保护制度，实行医院信息系统操作权限分级管理，保障网络信息安全，保护患者隐私；推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性。
6.6.3.1加强医院信息系统的安全保障和患者隐私保护。
6.3.3.2加强医院信息系统运行维护。

 

（来源：网络）

— 2 —
如何理解患者信息安全?

患者安全，除了身体的安全外，还要保护好他们的信息安全，是医院在提供医疗服务过程中，产生的资料，以一定形式记录、保存的信息以及其他医疗服务有关的记录，如：患者的个人基本信息、就诊信息、住院医嘱、诊断结果、影像资料和检查检验结果等资料，必须受到严密保护的。

 

— 3—
信息安全遵循的原则

 

1.信息部门依法规建立，覆盖患者诊疗信息管理制度，和技术保障体系，落实信息安全等级保护等有关要求。

2. 全体医务人员确保患者诊疗信息的安全性、真实性、连续性、完整性、稳定性、时效性、可溯源性。

3.信息部门应建立诊疗信息安全风险评估，医务人员应当熟知信息安全应急预案(需有演练)。

4. 医院负责人是信息安全管理第一责任人。

5.医务人员应遵守患者诊疗信息保护制度，使用患者诊疗信息应合法、依规、正当、必要的原则，不得擅自对外提供患者诊疗信息。

6.信息部门建立员工授权管理制度，明确员工的使用权限和相关责任，因个人造成的不良后果由被授权人承担。

7.信息部门负责对医疗信息系统，产生的患者诊疗信息进行存储、备份(异地备份)、安全防护等，健全技术设施、数据安全管理制度和应急预案，确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源性。

8.信息部门应不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。

9.不得随意窜改增减或删除有效数据。

10.医务人员应当遵循医疗信息的访问规定，包括借阅、编辑、修改、访问、查询等接触患者诊疗信息的行为。

11.定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理和追溯机制。

12.医务人员应当遵循信息安全管理制度，不能利用职务方便违法行事。

 

— 4—
信息管理部门如何组织与分工?

1.有专责部门：医院信息安全领导小组和工作小组，负责信息安全工作。

2.信息管理职能部门负责人任组长，主管信息化的分管院长和信息管理部门负责人担任副组长。(如有设管理委员会则分管院长为第一责任人)

3.领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策落实、信息安全建设、安全运维、业务连续性保障协调、与供应商的沟通。

 

（参考来源：武汉协和医院）

— 5—
信息部门如何分级管理?

1.医院信息系统工作人员：(包括医院信息工程师，系统外包的场地工程师、系统维护人员等)。

2.根据不同人员身份和岗位性质，设立严格的登录和操作权限授权，考虑到唯一性和动态变化，采取分级管理模式。

3.员工授权管理：依内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度，实施按层级分级授权和负责制度。

4.外包人员授权管理应由医疗机构信息安全工作小组组长授权，并按层级和部门岗位予以授权，并向授权方负责。

5.没有经过正式授权的临时信息系统维护需求，可由信息安全工作小组组长临时授权同意后补充授权记录。

 

— 6—
如何防止
医疗信息泄露、毁损和丢失?

1.院方应按照信息安全等级要求，建立严格的信息分级安全管理系统和配套工作制度。

2.建立严格的信息分级授权制度体系并常态化运行。

3.授权审批流程严格根据工作岗位和工作内容而定。

4.必须建立主数据双备份制度。

5.对医疗信息均要求保存备份数据和数据表，保持有良好的兼容互通性。

 

— 7—
软件：安全管理重点?

应从以下四个方面进行管理，但不限于此。

1.信息系统软件的管理和维护，有专职管理员负责实施日常的管理和维护。

2.若由开发该软件的公司负责维护的医院，各科室应向信息系统专职管理员书面报告每次维护的情况并备案。

3.由各科室自行开发或应用新的软件、上级或政府职能部门指定统一使用的，均必须按照规定的程序申报，经医院讨论批准后方可应用。

4.为防止信息系统被病毒感染或者扩散病毒，任何个人及部门科室均不得自行使用杀毒的软盘、外界硬盘光盘、U盘等储存介质。

（来源：网络）

— 8—
服务器：安全管理重点?

1.信息部门人员负责管理医院服务器、用户与密码，不得外泄。

2.定期检查服务器运行情况，如业务软件系统数据库出现异常情况，及时向主管领导汇报，提出应急解决方案。

3.数据库是医院信息数据的核心部位，非经信息系统管理主管同意，不得擅自进入数据库访问或者查询数据。

4.信息系统各终端使用者登陆密码不能设置为空或简易密码（如123、123456等），并每半年定期更新一次。

5.机房重地，设置门禁，严禁入内，人员进出须实名登记。

 

— 9—
网络：安全管理重点?

1.医院网络系统包括：服务器、路由器、交换机、及各部门电脑主机，由信息部的网管负责维护，任何人在没有得到允许的情况下，不得使用和更改医院网络系统的硬件及软件资源。

2.医院一旦发现计算机病毒应当及时清除。

3.对于系统软件和应用软件的安全隐患，信息科人员必须及时从系统软件开发商和应用软件开发商获取相关的补救措施，如安装补丁软件、制定新的安全策略等。

4.医院各部门人员，严禁私自在办公计算机上安装其他软件，以免造成病毒伤害。

5.除管理员和有权限的人员外，其他任何人不得擅自操作网络设备、修改网络IP地址设置…等。

6.科室对新人入职员工进行计算机、医院信息系统操作进行培训(专业教育训练很重要)

 

— 10—
禁止性规定

确保医院网络稳定、高效、安全运转，杜绝影响医院业务及网络安全事件发生，规定如下（参考）：

1.医院网络计算机及其连接设备，须妥善保管，指定专人负责。

2.因业务需要开通、移位网络信息点的，报计算机管理中心批准和执行。

3. 严禁私自通过任何方式接入医院网络，严禁擅自修改医院网络终端设备的网络配置。

4.使用医疗网时，严禁擅自拆卸计算机及其外接设备、加装或更换未经允许的设备或部件。

5. 严禁自行将各类计算机及外接设备、网络设备、智能终端、移动硬盘与U盘等存储设备接入医疗网。

6.严禁私自修改医疗网中计算机的参数和配置。

7. 医疗网中的计算机，严禁安装未经许可的软件，严禁医疗网和办公网交叉使用。

8. 医疗网用户应严格规范操作，对录入数据的准确性负责，严禁一切影响信息系统稳定运行的行为，无关人员不允许接触或使用医疗网设备。

9.严禁制作、传播计算机病毒。严禁破坏计算机及网络设备等基础设施。

10. 不得利用医院网络从事危害国家安全、泄露国家机密和医院敏感信息以及与工作无关的活动。

 

— 11—
责任追究
对存在下列情形的，应明确责任，严肃问责（参考）。

1.信息系统或网站被攻击篡改，没有及时报告和处置。

2.发生重要敏感数据泄露。

3.瞒报网络安全事件，对发现的问题和风险隐患不及时整改。

4.其他严重危害网络安全行为的。

5.利用医院信息系统违规从事“统方”等行为，以及未能正确履行本规定的，根据造成的影响与损失，依据院纪院规处罚。

 

行迪有话

信息系统（Information Systems）：从技术上说是为了支持组织决策和控制，收集、处理、存储、分配信息的一组相互关联的组件。

信息安全管理是医院管理的重要工作内容之一，这个制度的目的是为了保证医院信息系统的安全性、可靠性，确保数据准确性，防止网络失密、泄密事件发生。

一般而言，医务人员很少去关注信息数据安全，但还要明白其规定的意义，尤其敏感数据涉及病人隐私。

庞大的信息数据的管理，都不能轻忽，要牢记信息系统的真实性、完整性、保密性、可用性、可靠性和可控性等“六类”安全系统性保障。

毕竟，有效管理的信息系统管理(information system management)能为医院决策提供支持，在医院发展过程中，发挥着巨大作用，迅速准确地处理大量数据和信息，信息部门扮演着极重要角色（疫情防控，信息系统占据举足轻重的作用）

 

 

结篇语:

18项核心制度系列推文，这期过后就结束啦，感谢一直学习、指导、分享的我们内容的医道同行人。

行迪医管公众号本着能用最简单的、最易懂的文字，帮助大家理解医疗领域中标准的、基本的、容易犯错的管理知识。

未来，我们依然坚持初衷，持续提供对大家有用的知识点，为国内医疗质量的提升提供一份智慧，向各位业界老师致敬与感谢。

下期系列预告：等级医院评审标准解读系列文章，欢迎各位医道同行持续关注“行迪医管”，我们会将辅导医院的经验，给大家提供学习。

 

 

 

来源：行迪智库-国内首款基于等级医院评审标准的质量持续改进的管理软件（医院等级评审，学科，名院名科）