十八、信息安全管理制度

（一）定义

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

（二）基本要求

1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，完善组织架构，明确管理部门，落实信息安全等级保护等有关要求。

2.医疗机构主要负责人是患者诊疗信息安全管理第一责任人。

3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

5.医疗机构应当建立患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

6.医疗机构应当建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

7.医疗机构应当不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

【释义】

1.信息安全全流程系统性保障制度包括哪些方面？

答：医疗机构信息安全全流程应覆盖医院信息系统（HIS）及其各子系统（RIS、LIS、PACS、0A等），医院信息上传与共享接口的所有内容。系统性保障应能对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上日标所形成的管理制度、规章与操作流程体系。

信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。

技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。

安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。

系统性保障制度必须关注信息系统“六类”安全，包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。

医疗机构主要负责人是信息安全管理第一责任人。

2.如何进行信息安全等级划分？

答：根据《中华人民共和国计算机信息系统安全保护条例》（1994年，国务院147号令）第九条的规定，计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

1999年9月13日，由公安部提出并组织制定，国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》（GB17859-1999），并于2001年1月1日实施。

其中把计算机信息安全划分为五个等级。第一级，用户自主保护级；第二级，系统审计保护级；第三级，安全标记保护级；第四级，结构化保护级；第五级，访问验证保护级。

根据原卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发[2011］85号）要求，以下重要卫生信息系统安全保护等级原则上不低于第三级。

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心。

（3）三级甲等医疗机构的核心业务信息系统。

（4）原卫生部网站系统。

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

卫生健康行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统，由卫生部报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。

3.医疗信息安全的组织架构及分工职责是什么？

答：医院信息安全领导小组和工作小组是医院层面负责信息安全工作的主要机构。

信息安全领导小组由院长任组长，主管信息化的副院长和信息管理部门负责人担任副组长。领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、安全组织与供应商的沟通。

信息安全工作小组由信息管理职能部门负责人任组长，信息中心所有人员参加，应覆盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实领导小组各项决议，并负责日常信息安全管理实施与督查。

领导小组和工作组应拟定包括安全运维手册、数据备份要求、应急响应预案和安全配置指南在内的基本制度，并每隔半年或在发生重大变化时进行修订。

工作小组应定期组织信息安全培训和相关考核，开展新员工入职背景调查并存档，制定第三方单位及人员信息安全管理制度。

4.实施医疗机构信息安全管理问责制有哪些内容？

答：医疗机构主要负责人是信息安全管理第一责任人。

医疗机构应建立与完善信息安全管理组织的工作制度与程序。

建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。

明确信息系统使用与管理人员的岗位职责，并对提供与使用的信息可信度及安全负责。

明确计算机信息系统专职管理人员离岗制度与交接程序。