《医院信息安全管理制度.docx》由会员分享,可在线阅读,更多相关《医院信息安全管理制度.docx(9页珍藏版)》请在优知文库上搜索。
1、XXXX医院信息安全管理制度一、目的落实医疗质量管理办法医疗质量安全核心制度要点要求,保护患者信息安全和医院信息系统安全,促进医院信息系统的应用和发展,保障医院信息系统稳定运行。二、定义信息安全管理制度,指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。三、适用范围全院临床科室、医技科室、职能部门。四、制度内容本制度包括:组织保障、硬件安全、软件安全、网络安全、信息安全、授权管理、操作管理、安全培训、和安全监控。(一)组织保障信息管理委员会是信息安全工作的最高决策机构(二)硬件安全1.各部门/科室应妥善
2、保管安置在本部门/科室的计算机和辅助设备、网络设施,信息中心负责统一维护。2计算机、服务器、网络通讯电缆设备,未经信息部门同意不得擅自挪动、转移、增加、安装、拆卸。3 .对外来磁盘要先杀毒,后使用。各计算机一旦发现病毒,必须立即清除,否则不得使用该计算机,更不能向服务器上传数据。4 .计算机或网络出现故障后应及时报告信息中心安排处理,不得擅自拆卸机箱和插拔网线。5 .各部门/科室必须严格保证计算机周围卫生、通风情况,不得乱放杂物在计算机周围,爱护计算机,让水、强磁性物品、零食等远离计算机。6 .在接入计算机的电路上不得任意接入其它任何电器,以防止意外发生。7 .任何人不得将含有医院信息的计算机
3、或各种存储介质交与无关人员。更不得利用医院数据信息获取不正当利益。8 .硬件设施设备配置应符合等级保护要求。(三)软件安全1 .医院信息系统软件的管理和维护,应由信息中心的专职管理员负责实施日常的管理和维护。2 .由开发公司负责维护的软件,各科室应向信息中心专职管理员书面报告每次维护的情况并备案。3 由各科室自行开发或应用新的软件、上级或政府职能部门指定统一使用的,均必须按照规定的程序申报,经医院信息安全管理委员会讨论批准后方可应用。4对于信息系统平台软件体系,要做好周期性安全保护工作,主要包括系统安全补丁、最新系统漏洞保护,病毒防护、木马防护等方面的工作。其次要做好系统日志分析工作,包括HS
4、日志、系统日志等,发现问题及时汇报,并拿出有效的处理措施。5 .对于信息系统要通过合理科学的手段,对程序的运行进行监控,及时修补程序Bug,做好安全方面的设置工作,要保障系统管理员与程序员的通信畅通,发现问题联动处理,以确保安全。6 .对于发现存在重大安全隐患的信息系统,必要时可以申请停机调试。(四)网络安全1计算机网络系统实行安全等级保护和用户使用权限控制。安全等级和用户使用权限以及用户口令密码的分配、设置由信息中心专人负责制定和实施。7 任何人不得擅自超越权限使用网络资源及网络信息。3 .网络的使用人员应妥善保管各自的密码及身份认证文件,不得将密码及身份认证文件交与他人使用。4 .在计算机
5、网络系统设施附近实施的维修、改造及其它活动,不得危害计算机网络系统的安全。如无法避免而影响计算机网络系统设施安全的作业,须事先通知信息中心,经负责人同意并采取相应的保护措施后,方可实施作业。5 .计算机网络系统的使用单位和个人,都必须遵守计算机安全使用规则,以及有关的操作规程和规定制度。对计算机网络系统中发生的问题,有关使用部门负责人应当立即向信息中心网络管理员报告。6 .对计算机病毒和危害网络系统安全的其它有害数据信息的防范工作,由信息中心负责处理。7 .所有局域网计算机严禁连接国际互联网或与院外其它公共网络直接连接。8 .网络使用人员行为规范(1)不得在医院网络中制作、复制、查阅和传播国家
6、法律、法规所禁止的信息。(2)不得在医院网络中进行国家相关法律法规所禁止的活动。(3)未经允许,不得擅自修改计算机中与网络有关的设置。(4)未经允许,不得私自添加、删除与医院网络有关的软件。(5)未经允许,不得进入医院网络或者使用医院网络资源。(6)未经允许,不得对医院网络功能进行删除、修改或者增加。(7)未经允许,不得对医院网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。(8)不得故意制作、传播计算机病毒等破坏性程序。(9)不得进行其他危害医院网络安全及正常运行的活动。(五)信息安全1患者诊疗信息是指医院在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生
7、服务有关的信息,包括一般性患者信息(个人基本信息)和特异性患者信息。(1)一般性患者信息:患者的姓名、性别、年龄、出生地、住址、职业、婚姻状况、身份证号码、联系电话、亲属信息等;(2)特异性患者信息:患者健康状态相关资料,包括处方、用药史、病史、体格检查、辅助检查、疾病诊断和治疗方案等病历资料。2患者诊疗信息安全保护是指患者在诊疗过程中的相关信息应遵照有关规定采集、传递和利用。患者信息在使用过程中应得到有效保护,不得外泄。未经有效授权或批准,任何组织和个人均不得获取和使用患者信息。3.患者诊疗信息安全保护的基本原则(D限制性原则:患者信息应在受限制的范围内使用,除非诊疗和管理所必需,任何人不得
8、私自获取和使用。(2)授权性原则:一般情况下患者信息应依职责获取和使用,特殊情形下应有患者授权。(3)控制性原则:患者信息应处于有效的保护之下,不得向他人泄露。4患者诊疗信息安全保护的具体要求:(1)患者信息资料采集、传递和使用应由专门部门和人员负责。(2)在公共区域显示或展示患者信息时应采取必要的隐私保护措施,去除一般性患者信息,以防止患者隐私泄露。(3)严格禁止医院工作人员将涉及隐私的患者信息在互联网等公共媒介上发布和传播。5.工作人员保管好个人的登录名及密码,并对登录名及密码丢失,所造成的数据泄密事件负全部责任。6信息中心系统管理及数据库管理人员,不得利用职务之便,非法提取数据库数据。(
9、六)授权管理1根据不同人员身份和岗位性质,设立严格的登录和操作权限,实行分级管理授权,明确信息使用权限和相关责任。因个人授权信息保管不当造成的不良后果由被授权人承担责任。(1)内部人员授权管理由信息安全管理委员会主导并起始,实施按层级分级授权和负责制度(2)外包人员授权管理由信息安全工作组组长授权,并按层级和部门岗位予以授权,并向授权方负责。(3)没有经过正式授权的临时信息系统维护需求,可由信息安全工作小组组长临时授权同意后补充授权记录。2.权限分配按以下原则根据人员职责分配不同的访问权限:(1)角色分离,如访问请求、访问授权、访问管理;(2)满足工作需要的最小权限;(3)未经明确允许,则一律
10、禁止。3.特殊权限限制和控制特殊访问权限的分配和使用:(1)标识出每个系统或程序的特殊权限;(2)按照按需使用、一事一议”的原则分配特殊权限;(3)记录特殊权限的授权与使用过程;(4)特殊访问权限的分配需要信息安全管理委员会的批准。注:特殊权限是系统超级用户、数据库管理等系统管理权限。4根据临床工作需要设置临床科室权限范围。对新入职、下乡、支援、进修、规培、转岗、退休人员实行权限动态管理。授权操作人员应严格根据授权审批进行授权,禁止私自变更授权范围。5 .信息中心建立内部人员和外来人员操作权限授权管理制度和流程,并与接触患者诊疗信息的员工签订患者诊疗信息安全保密责任书。医院应与医院信息系统的软
11、件公司签订保密协议。6 .定期对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案。(1)建立与完善记录操作日志,记录一定周期的行为日志,通过软件系统逐一识别,确定操作行为的合规性;(2)建立操作系统识别库,对于不属于识别库行为,系统要给予报警,直至下调授权等次或中止授权。七)操作管理1 .各科室计算机禁止无关人员在工作站上进行系统操作,实习生须在带教医师的指导下才可以使用计算机。任何操作人员离开计算机后必须先退出系统。2 .外来人员未经科室领导和专业人员同意不得操作计算机,以免发生病毒感染和其他损失。3 .不得在计算机上进行与工作无关(如做游戏、下棋、打扑克等)的操作。4 .各科室
12、负责人要加强对本科室计算机的使用管理,如操作人员违反制度,造成不良后果的,除追究当事人责任外,还要追究科室负责人的责任。(八)安全培训1信息安全工作组负责制定医院信息安全培训计划,组织、实施信息安全管理和技术培训。2信息安全工作组应对应用系统、数据库、操作系统和网络管理员、开发人员进行信息安全技术培训,提高信息安全管理和维护水平。3.信息安全工作组应分层次、分类型对员工进行信息安全培训,包括针对业务和技术管理人员进行管理层面的信息安全管理培训,针对从事日常业务处理人员进行操作层面基本安全知识培训。4信息安全政策与标准发生重大调整、新建和升级的信息系统投入使用前,开展必要的安全培训,明确相关调整和变更所带来的信息安全权限和责任的变化。(九)安全监控1 信息中心对信息系统安全保护工作行使下列监督职权;2 .监督、检查、指导信息系统安全维护工作;3 .查处危害信息系统安全的违章行为;4 .履行信息系统安全工作的其他监督职责;5 .信息中心工程技术人员发现影响信息安全系统的隐患时,可立即采取各种有效措施予以制止;6 .信息中心工程技术人员在紧急情况下,可以就涉及信息安全的特定事项采取特殊措施进行防范。