指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。
医疗机构信息安全全流程应覆盖医院信息系统(HIS)及其各子系统(RISLIS、PACS、OA 等),医院信息上传与共享接口的所有内容。 系统性保障应有对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上目标所形成的管理制度、规章与操作流程体系。
技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全主机安全和应用安全提出构建要求和基本配置要素。
安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。
系统性保障制度必须关注信息系统“六类”安全,包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。
根据《信息安全等级保护管理办法》(公通字[2007]43 号)规定,计算机信息安全划分为五个等级。
按照原卫生部《卫生行业信息安全等级保护工作的指导意见》( 卫办发 [2011]85号)要求,以下重要卫生信息系统安全保护等级原则上不低于第。
(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等国联网运行的信息系统。
卫生健康行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统,由国家卫生健康委报备案;在各地运行、应用的分支系统,应当报属地公安机关备案。
网络安全和信息化工作领导小组是医院层面负责信息安全工作的主要组织。网络安全和信息化工作领导小组组长由医疗构主要负责人担任,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。具体要求见《医疗卫生机构网络安全管理办法》(国卫规划发[2022]29号)相关规定。
患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式,患者信息还有进一步被泄露和篡改的风险。因此应急预案的拟定是必要的,也是应对信息安全风险的基础与前提。
组织机构:网络与信息安全应急小组应由领导小组、技术小组组成,应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。
工作原则:逐级建立并落实统计信息系统责任制和应急机制;按照法规规定职责和流程;积极预防、及时预警;积极提升应急处理能力;各部门协同配合开展工作。
应急措施:基本应急处理流程应至少包括报告和简单处理;故障分级分类判断与处理;网络线路故障排除;黑客入侵应急处理;患者信息泄露的应急预案;大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。
其次,应建立严格的信息分级授权制度体系和基于管理需求、科研需求的信息数据使用管理规范并常态化运行。授权审批应严格根据工作岗位和工作内容而定。
② 如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;