患者诊疗信息保护制度.docx
《患者诊疗信息保护制度.docx》由会员分享,可在线阅读,更多相关《患者诊疗信息保护制度.docx(15页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、标题信息系统患者隐 私保护制度编号:YUT-XXGLZX-050-02生效日期:发布日期:发布部门:XXX审核人:XXX批准人:XXX页码:第1页,共15页信息系统患者诊疗信息保护制度医院信息系统中保存有门诊与住院患者在我院进行就诊的各种 信息,如患者基本资料、家庭地址、医嘱与病历、费用与报销。依照 国家有关法律及上级有关制度要求医院必须做好患者的隐私保护工 作,为此,我院特制定本制定。一、组织保障为不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、 丢失和更好的定期开展患者诊疗信息安全自查工作,因此成立患者诊 疗信息系统安全事故的最高决策机构。为在发生或者可能发生患者诊 疗信息泄露、毁损
2、、丢失的情况时,应当立即采取补救措施,按照规 定向组织结构汇报,以推动患者信息事故处理工作有序展开。1、患者诊疗信息安全工作小组组长:XXX (院长)副组长:XXX (副院长)成员:XXX(XXX主任)、XXX (医务部主任)、XXX (护理部主任)、 XX (财务管理中心主任)、XX (门办主任)、XX (医保管理中心主任)主要职责:信息系统的重要性来选择是否进行身份认证,对不同的用户选择恰当 的身份认证手段。访问控制策略要有时间维度和空间维度的限制,具 有访问权限的用户,只有在规定范围的时间和空间内,才可以访问医 疗信息系统。4、网络通信的安全保障:网络安全设备(防火墙,入侵检测系 统等)
3、可以监测网络的数据流、对危险的网络行为进行报警,自动检 测并处理安全事件,降低使用风险,确保医疗业务数据通信的安全性。5、安全审计:对每个事物所涉及的系统、用户、医疗工作人员、 患者、医疗信息数据的行为进行记录,保证医疗信息系统的可靠性和 安全性。6、信息资产的安全保护:信息资产的安全保护分为硬件和软件 两个方面。硬件方面,首先确保资产处在安全、合适的工作物理环境 当中,其次要确保能源供应,并做到冗余备份。软件方面,确保系统 软件的可靠性和安全性以及入网端点设备接口启用情况、注册表关键 值、系统运行进程等情况的安全性,系统管理员账号密码要具有足够 的长度和复杂度以保证用户账号密码的安全性。7、
4、访问控制技术:通过限制医疗信息系统使用者对信息资源的 访问权限,管理所有资源的访问请求,达到防止非法用户访问系统和 合法用户非法使用资源、使数据在合法范围内使用的目的。医疗信息 系统属于内容管理系统,用户体现的角色属性是其最显著的特点。按 照医疗人员、患者、管理员在系统中行使的权利划分不同的角色。8、按照信息安全等级要求建立严格的信息分级安全管理系统和 配套工作制度,建立严格的信息分级授权制度体系并常态化运行。授 权审批应严格根据工作岗位和工作内容而定。9、建立主数据双备份制度。对医疗信息均要求保存备份数据和 数据表,并保持良好的兼容互通。八、应急预案本预案为当患者信息发生泄漏事件处理专项预案
5、,其目的主要是 为了进一步规范对信息泄露事件的处理方法和处理程序,规范和明确 我院信息泄露引发突发事件的应急处理工作,维护医患双方的合法权 益,打造和谐的社会关系。1、基本原则(1)、防范为主,加强监控。通过加强信息安全防范意识,加强 数据保密和数据防泄露技术措施,完善信息泄露事件的日常监测、发 现机制,及时采取有效的应对措施,迅速控制事件影响范围,力争将 损失降到最低程度。从而缓解信息泄露安全威胁。(2)、以人为本,协调作战。把患者的合法权益的安全作为首要 任务。相关部门协同配合、具体实施、及时获取充分而准确的信息。 通过跟踪研判,果断决策,迅速处置,以最大程度地减少危害和影响。(3)、规范
6、操作,常备不懈。加强技术储备,规范信息泄露应急 处置措施与操作流程,确保应急预案切实有效,实现信息泄露突发事 件应急处置的科学化、程序化与规范化。2、事件处置阶段患者信息泄露是一类安全事件,在事件中敏感的、受保护的或机 密的数据有可能被未经授权的个人或组织剽窃、盗走或使用。患者诊 疗信息外泄最常见的是攻击者入侵医院电脑主机或网络窃取敏感数 据,但也可能是内部人员将一些敏感信息在有意或者无意的情况下泄 露出去。(一)服务器被入侵造成信息泄露处置方案(1)、信息中心人员发现服务器出现异常,经初步检查判断遭受 黑客攻击或者控制后,立即启动应急预案(2)、信息中心人员判断该服务器下线是否影响业务(是否
7、单点), 如不影响业务则立刻下线服务器,如影响关键业务不能立即下线也应 向领导汇报情况,并进行网络隔离等切断外网访问。(3)、对数据库操作和查询日志、服务器进程、服务器和网络日 志、可疑文件等进行排查,检查是否有信息泄露。如有发现信息泄露, 应立刻向领导汇报情况,并进行应急处理。同时根据已有攻击方式和 可疑文件等,整理出排查方式,对其他服务器进行安全排查,对可能 遭受跳板攻击的服务器进行重点排查。(4)、对所有的服务器进行排查,确认是否遭受攻击,是否有信 息泄露。对所有遭受攻击的服务器进行处理和清除,确保安全。如不 能保证安全处理,立即报警给公安局网络技术人员到现场,依法维护 患者安全权益。(
8、5)、注意对各种日志和恶意文件进行备份,如事态严重,可能 需要在向领导和中心请示后向公安部门报警。(6)、紧急处置完成后,还应进行后续安全加固工作,对内外部 系统进行风险分析,对存在的问题进行整改和加固,不能立即解决的 问题应排期处理,确保无风险隐患残留。(二)数据库业务数据泄密处置方案(1)、在数据库操作日志,数据库审计日志排查中发现业务数据 泄密,或在外网上发现患者就诊数据泄露之后,需要立即向领导汇报, 并成立应急响应协同工作。(2)、对泄露的数据进行分析,快速定位排查泄露来源。(3)、对数据泄露源进行详细排查分析,修补安全薄弱环节和漏 洞,防止进一步泄露所造成危害。(4)、紧急处置完成后
9、,还应进行后续安全加固工作,对内外部 系统进行风险分析,对存在的问题进行整改和加固,不能立即解决的 问题应排期处理,确保无风险隐患残留。(5)由医院领导决策是否发布对外事故声明。(三)、内部人员信息泄露处置方案(1)、主要泄密风险除了黑客攻击、木马病毒等外因素外,内部 员工泄密以及内部管理措施缺失等内部因素成为引发数据泄密事件 的也是一个重要因素。(2)、内部员工无意泄露信息:员工在浏览网页或者卸载软件时, 很容易感染木马病毒,导致电脑数据泄露。对这种情况应及时按照病 毒处置程序,定位发生问题的电脑,立即断网进行处理,最好是重装 系统,并进行全网排查。同时对全体员工进行信息安全意识培训,提 供
10、防护意识。(3)、内部员工有意泄密机密信息:一部门员工出于利益诱惑, 盗取医院患者就诊信息,卖给第三方。对于这种情况,立即收集日志 信息,判断泄露人员,并立即限制其账号和权限并汇报领导。情节严 重时在向领导请示后向公安部门报警(4)、紧急处置完成后,还应进行后续安全加固工作,对核心数 据和敏感数据进行加密存储,增加数据库审计等防护措施。3、总结分析(一)、完成病毒、木马、攻击文件的清除工作后,应立刻 加固 系统和进行漏洞补丁升级使系统避免再次受到相同攻击。(二)、全面排查各内外部信息系统,理清信息泄露隐患,对关 键核心数据和个人隐私数据等需进行加密存储和防泄露措施,对存在 高安全隐患的硬件和软
11、件先切断互联网连接,待整改后再开放。(三)、为提高应急处理的速度,提高应急响应小组成员对信息 泄露事件处理的熟练程度,应定期对信息泄露处置流程进行演练。(四)、应根据数据加密和防泄露技术的发展和系统的变化及时 对规程进行修订,修订后的规程经评审通过后发布生效。九、责任追究机制(一)、根据信息安全分级授权和信息分级保护要求,信息安全 事故责任须进行逐级追溯。(二)、根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、 溯源监管制度和溯源奖惩制度。(三)、溯源技术标准体系主要为实现技术可行性。患者诊疗数 据使用登记制度为实现数据跟踪和溯源有迹
12、可循,溯源监管和奖惩制 度主要是强化溯源机制的威慑与强制作用。十、附则第二十四条 本制度由XXX部门、医务部负责解释。第二十五条 本制度自发布之日起施行。XXX2020年1月6日(一)、建立患者诊疗信息全流程管理制度,确保患者诊疗信息 管理全流程的时效性、真实性、连续性、完整性、准确性、稳定性、 安全性和可溯源性。(二)、医务工作人员应客观、真实、准确、及时、完整记录患 者诊疗信息,对输入计算机的数据时效性、真实性、连续性、完整性、 准确性负责,不得随意增减或删除有效数据。(三)、建立患者诊疗信息创建、修改、归档等操作授权制度, 确保患者诊疗信息可追溯性,严禁对后台原始数据进行修改。(四)、X
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 患者 诊疗 信息 保护 制度
限制150内