医院信息安全制度

医院信息安全制度目的：为确保医院计算机网络的正常运行和健康发展，针对医院信息安全，确保医院保密信息不泄露，特制定本制度。范围：全院。定义3.1计算机网络系统：指为医疗、教育和科研而建立的计算机信息系统，其目的是利用计算机技术和网络通信技术，实现联网和信息资源共享。信息保密主要分为院内网和因特网〔Internet〕二大区域中的信息。3.2信息安全：确保信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。权责4.1医学工程与信息部：负责院内网的规划、建设、应用开发、运行维护与用户管理；负责院内IP地址的分配工作，负责内网电脑屏蔽U盘等存储接口的管理操作，屏蔽隔离操作的日常检查工作及数据库的日常维护工作。4.2药学部：负责维护内网HIS系统药品基础数据的维护工作。4.3财务部：负责维护内网HIS系统非药品基础数据的维护工作。4.4医务部：负责分配内网医生的操作权限。4.5护理部：负责分配内网护土的操作权限。4.6人力资源部：负责维护内网HIS系统员工基本信息。4.7医院办公室：负责收集全院各类新闻、通知、公告等，院办对全院的公告、新闻、通知等类别信息的更改善行审核和确认。制度内容5.1医院局域网〔院内网〕信息安全保密管理医院局域网〔院内网〕的工作人员和连入院内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规，严格执行本条例。院内网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参加，建立健全医院的计算机网络安全管理制度，配备信息联系员，负责本部门内网络的信息安全管理工作。院内网的管理部门是医学工程与信息部，负责院内网的规划、建设、应用开发、运行维护与用户管理。确保网络信息、运行环境的安全；确保网络系统的正常及安全运行，用户上网采纳工号登陆方式。院内网的信息安全监查工作由医学工程与信息部负责。院内网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采用的必要措施给予配合。院内网的计算机一律不准上公共网络〔Internet〕，与公共网络严格物理隔离，以防止病毒的感染和扩散。院内网的IP地址由医学工程与信息部统一管理，任何人不得擅自更改。为了防止计算机病毒的侵入，凡接入院内网工作站的一律禁止使用软驱、光驱、移动硬盘、U盘等设备。如果要安装必要新的应用程序，必须事先向医学工程与信息部申请并征得同意后，由医学工程与信息部派专人在固定的机器上确保无病毒后再操作，同时做如操作记录。禁止自行安装任何软、硬件，禁止更改、删除任何系统文件、设置等，违反规定造成病毒传播、系统软〔硬〕件损坏，对整个网络造成堵塞、瘫痪等严重后果的，按情节轻重严正处理。每台计算机必须安装防病毒软件，并定期对计算机进行查毒、杀毒，升级，落实预防措施。在院内网上不同意进行任何干扰网络用户、破坏网络服务和网络设备的活动。任何人不得盗用他人用户名和密码，妥善保管个人操作权限，并在离开电脑终端时及时退出所操作的系统，每位员工的密码每个季度定期改换1次，届时在登录系统进行操作时应用系统提醒其修改密码。医疗临床系统在一按时间内会自动屏幕锁定，必须输入密码才干解锁。院内网所有工作人员及用户必须对所提供的信息负责。任何人未通过授权不得修改数据库数据，包括存档病人资料及相关管理数据，未通过授权不得泄露病人信息，包括病人基本信息、检查结果、诊断信息、和医嘱信息等。接入其他公共信息网络的计算机〔含笔记本电脑〕不得处理、存储涉密信息，存储涉及工作秘密的涉密移动存储介质〔含移动硬盘、优盘、软盘、光盘等〕不得接入或安装在非涉密计算机上，复制和确因工作必须要外出携带涉密存储介质的，须经主管领导批准。各接入计算机信息系统〔HIS,PACS,LIS等〕部门要对医院信息资料的保密性负责，严禁外来人员登录医院信息系统查询、打印有关信息资料。外来人员要求医学工程与信息部查阅个人就诊记录的，则必须凭本人身份证和病历本到医务部或者医院办公室以及其他相应职能科室负责人填写的《信息必须求申请单》，假设非本人〔如公安司法机构、保险公司等〕米查阅信息，则必须提供单位介绍信、取信息者的身份证和就诊者身份证以及医务部或者医院办公室或者其他相应职能科室负责人填写的《信息必须求申请单》。涉及工作秘密的计算机〔含笔记本电脑〕和计算机信息系统，不得直接或间接地与其他公共信息网络相连接，必须执行物理隔离，以防止病毒的感染和扩散。涉密计算机〔含笔记本电脑〕专人专用，严禁擅自将涉密计算机〔含笔记本电脑〕带出办公场所。系统软件、应用软件及信息数据必须实施保密措施。信息保密资源面向区域主要分为以下几块，其中除可向因特网〔医院外网〕公开的信息外均属于保密信息。可向院内网公开的：由各科室科主任或负责人向医学工程与信息部提交文件资料，信息科负责操作。可向部门公开的：内网上有些模块设置权限，如不良事件报告系统〔医疗不良事件、护理不良事件、药品不良事件〕，本科室的只能看到本科室的不良事件，制定部门工作人员〔医务科、护理部、药剂科主任〕能看到所有上报的不良事件。仅限于个人使用的：医院OA办公系统，工资奖金系统，必须要使用本人工号和密码登录，只能查看与本人有关的信息。凡因违章操作，导致计算机系统病毒感染，造成严重后果者将追究当事人责任。使用人员必须加以爱护、坚持整洁，并确保优良的使用环境。院内网的所有用户有义务向网络管理员和有关部门报告违法犯罪行为和有害、不健康的信息，如发现有上述行为者，用户必须在24小时内报告医学工程与信息部。为了切实做好病毒防治工作，确保医院的计算机网络不会因感染病毒而造成停机和不必要的损失，全院各部门必须服从医学工程与信息部人员的管理，积极配合做好工作。5.2信息数据安全管理信息数据定义：医院信息数据是指在医院现有信息系统运行过程中产生的各类医嘱、病历、药品、材料、价格、费用等信息的数字化表现形式。管理总则：医院信息数据的安全性直接关系到医院决策和患者的利益，任何人在未通过授权的状况下不得擅自改动和查询医院的信息数据。信息数据故障系统升级、变更、数据库死锁、软件制定缺陷等系统原因引起的信息数据丢失、关联错误。关于以上原因引起的信息错误，经临床科室反映后，医学工程信息部人员及时做出调整和修改，以保证信息系统的正常运行。人为的错记、漏记等原因引起的信息数据错误。关于以上原因引起的信息错误，经当事科室要求，确实必须要修改数据，依据不同状况，按照以下规定进行修改。5.2.3.2.1患者性质属于自费：请当事科室护士或者医生〔建议由经手人〕来医学工程信息部信息管理办公室具体填写信息数据修改审批记录单，做好各项审批工作，并配合信息数据维护人员完成该项数据的修改工作。患者性质属于医保、农合：在院病人参照5.2.3.2.1所示规定进行修改；出院病人则按照医保、农合政策的规定，经该病人所属辖管机构审批后方可进行修改，否则不予修改，在取得审批同意书后再参照所示规定执行。如涉及跨月数据〔所有病人〕，则必须先上报财务部，经过财务部审核同意后，方可遵照以及所示规定进行修改；修改完成后，医学工程信息部应对修改结果形成书面报告，经医学工程信息部主任签字确认后，再由当事科室将修改报告送至财务部，财务部收到报告后及时对该月报表进行调整。由于特别原因修改临床业务数据，须有相关临床科室填写审批记录单，须医务部同意，分管院长签字，医学工程信息部主任确认后，方可修改。涉及多个子系统时，必须注意数据的一致性。信息数据查询统计规定因单位内部工作以及迎接检查等状况的必须要，确实必须要查询〔统计〕数据的，医学工程信息部人员可由相关部门提交申请单后，由医学工程信息部主任签字确认后对相关信息数据进行查询、统计以及调整。公安、司法机关等公检法系统必须查阅信息数据时，应出具采集证据的法定证实。保险公司在处理保险赔偿时，必须出具保险公司的介绍信以及其身份证实，经医院医务部批准后，凭书面通知方可进行查询。病人本人及其近亲属可在医务部批准同意后，查阅医院信息系统中病人的自然信息〔病人的基本状况〕、入院记录、体温单、医嘱检查、检验单、手术及麻醉记录、护理记录及出院记录、费用信息、医院核实的检查资料、特别检查〔治疗〕同意书、手术同意书、病理报告，其他资料不可查阅。关于上报外部机构数据，必须报请院领导批准，医学工程信息部主任确认后，方可传输、E报。管理措施：关于信息系统重要数据，如患者医嘱、费用、医疗文书等的修改、删除，必须有日志记录。能记录到操作人、操作时间、操作电脑的MAC地址。医疗文书修改有痕迹可查询。5.3外网信息安全保密管理所有计算机用户必须遵守《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》以及国家有关法律、法规，严格执行本条例。涉及工作秘密的计算机〔含笔记本电脑〕和计算机信息系统，不得直接或间接地与其它公共信息网络相连接，必须执行物理隔离，以确保防止病毒的感染和扩散。涉密计算机〔含笔记本电脑〕专人专用，严禁擅自将涉密计算机〔含笔记本电脑〕带出办公场所。院外网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参加，建立健全医院的计算机网络安全管理制度，配备网络管理员，负责本部门内网络的信息安全管理工作。院外网的管理部门是党委宣扬部，技术支持部门是医学工程与信息部，确保网络系统的正常及安全运行。院外网的信息安全监查工作由党委宣扬部负责。上网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采用的必要措施给予配合。院外网的IP地址由医学工程与信息部统一管理，任何人不得擅自更改。确因业务展开必须要上外网，须经分管院长审批同意后由医学工程与信息部开通。不得利用网络资源看电影、玩游戏、聊天或做其他任何与工作无关的事情。严禁修改本机及任何计算机的网络设置。不得随意搬动已联网的电脑或私自将其他电脑接入优待。不得使用软件或硬件的方法窃取他人密码，非法入侵他人计算机系统，阅读他人文件或电子邮件，乱用网络资源，攻击计算机系统，不得随便打开来历不明的电子邮件附件。不得在网络上编造事实侮辱、诽谤、损害他人、单位或地区声誉的信息。不得