18 信息安全管理制度(一)定义指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。(二)基本要求1. 医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。2. 医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。3. 医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。4. 医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性5. 医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。6. 医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。7. 医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。(三)信息安全管理制度实施细则1. 建立信息安全管理机制。医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。建立由医院主要院领导为组长、医疗主管院领导为副组长,医疗管理部门、病案管理部门、护理管理部门、药学管理部门、科研教学管理部门及信息网络部门为成员的诊疗信息安全管理委员会。2. 建立医疗信息访问授权管理制度和流程,医疗信息的访问包括借阅、编辑、修改、访问、查询等接触患者诊疗信息的行为。(1)医疗机构的纸质诊疗信息和医疗信息系统用户权限采用职能部门统一管理、统一授权的原则,根据业务工作需要设置业务科室权限范围。对新入职、下乡、支援、进修、规培、转岗、退休人员实行权限动态管理。授权操作人员应严格根据授权审批进行授权,禁止私自变更授权范围。(2)信息网络部门建立工作人员和外来人员操作权限授权管理制度和流程,并与接触患者诊疗信息的员工签订患者诊疗信息安全保密责任书。医疗机构应与医疗信息系统的软件公司签订保密协议。(3)医疗机构应...
