医院HIS系统岗位权限管理细则

医院HIS系统岗位权限管理细则第一章总则1.1目的依据为规范医院HIS（HospitalInformationSystem，医院信息系统）岗位权限管理，保障系统数据安全，维护患者隐私，提高医疗服务效率，根据《中华人民共和国网络安全法》《医疗保障基金使用监督管理条例》《医疗机构病历管理规定》等法律法规及医院《信息系统安全管理办法》，结合医院实际情况，制定本细则。1.2适用范围本细则适用于医院所有使用HIS系统的岗位及人员，包括临床医护人员、医疗管理人员、行政后勤人员、信息技术人员等。1.3管理原则1.最小必要原则：权限配置以完成岗位职责所需最小权限为限，避免超范围授权。2.权责一致原则：权限与岗位职责严格对应，谁授权谁负责，谁使用谁负责。3.动态调整原则：岗位变动时及时调整权限，离职时立即注销权限，确保权限与当前职责一致。4.分级审批原则：根据权限重要性，实行“部门负责人-信息管理部门-分管领导”分级审批，杜绝随意授权。第二章岗位权限分类与定义2.1岗位类型划分结合医院业务流程，将HIS系统使用岗位分为四类：临床岗位、医疗管理岗位、行政后勤岗位、信息管理岗位。2.2权限级别定义根据操作风险，将权限分为四级，明确操作边界：查询权：仅能查看数据（如患者基本信息、检查结果），无法修改或删除。修改权：能修改数据（如病历书写、护理记录），但无法删除。删除权：能删除数据（仅特殊岗位具备，如信息管理部门用于清理无效数据）。审批权：能审批其他用户的申请（如医嘱审批、费用结算审批）。2.3岗位权限清单（示例）1.临床岗位医生：患者基本信息查询、病历书写/修改、医嘱开具（药品/检查/检验）、检查检验结果查看、诊断报告出具、患者随访记录录入。护士：患者基本信息核对、医嘱执行（输液/注射）、护理记录书写、生命体征录入、药品领取发放。医技人员（检验/检查/放射）：检查申请接收、标本处理、结果录入/报告出具、结果查询。2.医疗管理岗位医务科：病历质量检查、医疗纠纷病例查询、医疗统计数据提取、医生资质管理。护理部：护理质量检查、护士资质管理、护理记录审核。质控办：医疗质量指标统计、医疗差错事故查询、质量考核数据提取。3.行政后勤岗位财务科：患者费用查询、收费标准维护、费用结算审核、财务报表统计。人事科：员工信息维护、岗位变动记录、权限申请审核。设备科：设备使用记录查询、维护计划录入、库存管理。4.信息管理岗位HIS系统管理员：用户管理、权限配置/维护、系统日志查看、故障排查。数据库管理员：数据库备份/恢复、数据加密、数据访问权限管理。第三章权限申请与审批流程3.1申请条件1.申请人应为医院在职员工，且岗位需要使用HIS系统。2.申请权限应与岗位职责一致，符合最小必要原则。3.提交材料：《HIS系统权限申请表》（附件1）、岗位证明材料（如岗位任命书、劳动合同）。3.2审批流程1.部门审核：申请人将申请表提交所在部门负责人，部门负责人确认申请权限与岗位职责一致，签字确认。2.信息管理部门审核：部门审核通过后，申请表提交信息管理部门。信息管理部门核对《岗位权限清单》，确认申请权限是否符合最小必要原则，提出审核意见。3.分管领导审批：信息管理部门审核通过后，提交分管领导审批。分管领导确认权限的必要性和合规性，签字批准。4.配置与通知：信息管理部门根据审批结果，通过RBAC（角色-based访问控制）模型配置权限（如为申请人分配“住院医生”角色，角色关联“病历书写”“医嘱开具”等权限）。配置完成后，信息管理部门通知申请人权限生效时间及使用注意事项（如保护患者隐私、禁止超权限使用），申请人签字确认收到通知。第四章权限配置与维护4.1配置依据1.《医院HIS系统岗位权限清单》：由信息管理部门会同各业务部门制定，明确每个岗位的权限类型和级别，经分管领导审批后生效。2.岗位变动通知：当员工岗位变动时，所在部门应及时向信息管理部门提交《岗位变动通知书》（附件2），信息管理部门根据新岗位的权限清单调整权限。4.2配置方法采用RBAC模型，将权限分配给角色，角色分配给用户。例如：角色“住院医生”关联权限：患者信息查询、病历书写、医嘱开具。将角色“住院医生”分配给所有住院医生用户。4.3维护流程1.权限调整：当岗位变动时，信息管理部门在收到《岗位变动通知书》后1个工作日内调整权限；当《岗位权限清单》修订时，及时更新角色权限。2.权限注销：当员工离职时，所在部门应在离职前1个工作日向信息管理部门提交《离职通知书》（附件3），信息管理部门立即注销该员工的HIS系统账号和权限。3.定期review：每季度末，信息管理部门会同各业务部门对权限进行review，检查权限与岗位职责是否一致，形成《权限review报告》，提交分管领导。第五章权限审计与监督5.1审计内容1.权限申请与审批记录：检查申请表是否填写完整、部门负责人和分管领导是否签字、申请理由是否合理。2.权限使用记录：检查用户是否超权限使用（如护士修改病历）、是否泄露患者信息（如查询非分管患者的信息）、是否修改或删除不应修改的数据。3.权限维护记录：检查岗位变动时是否及时调整权限、离职时是否及时注销权限。5.2审计频率1.日常审计：信息管理部门每日查看系统日志，发现异常情况（如多次超权限访问）及时预警。2.定期审计：每月末，信息管理部门生成《HIS系统权限审计报告》，内容包括：权限申请审批情况、超权限使用情况、权限维护情况，提交给分管领导。3.专项审计：当发生信息泄露、系统故障等事件时，进行专项审计，查找原因。5.3监督机制1.内部监督：各业务部门负责人定期检查本部门员工的权限使用情况，发现问题及时向信息管理部门报告。2.外部监督：患者或员工可以通过医院投诉热线、邮箱等方式举报违规授权或使用的情况，医院纪检部门负责调查处理，处理结果反馈给举报人。3.第三方审计：每年委托第三方机构对HIS系统权限管理进行审计，出具审计报告，提出改进建议。第六章责任追究6.1违规行为类型1.未经审批授权：未通过正常流程申请，私自获取权限。2.超权限使用：使用超出岗位职责的权限（如护士开具医嘱）。3.泄露患者信息：将患者信息泄露给无关人员（如出售患者手机号、病历）。4.违规审批：部门负责人或分管领导审批不符合规定的权限申请（如为非临床岗位审批病历修改权限）。5.未及时维护权限：岗位变动或离职后，未及时调整或注销权限，导致违规使用。6.2责任认定与处罚1.轻微违规（如第一次超权限查询患者信息，未造成后果）：口头警告，责令整改，扣减当月绩效的5%。2.一般违规（如未经审批授权，使用权限；超权限修改数据，造成轻微后果）：书面警告，扣减当月绩效的10%，取消当年评优资格。3.严重违规（如泄露患者信息，造成患者损失；超权限删除数据，导致系统数据丢失）：降薪、降职，解除劳动合同，承担相应的民事赔偿责任；情节严重的，移送司法机关追究法律责任。4.违规审批：部门负责人或分管领导审批不符合规定的权限申请，导致违规使用的，扣减当月绩效的15%，情节严重的，给予行政处分。6.3责任认定流程1.调查：信息管理部门或纪检部门收到违规举报或审计发现问题后，及时开展调查，收集证据（如系统日志、申请表、证人证言）。2.取证：对违规行为进行核实，确认违规事实。3.听证：通知当事人到场，听取当事人的陈述和申辩。4.决定：根据调查结果和听证意见，作出责任认定和处罚决定，书面通知当事人。5.申诉：当事人对处罚决定不服的，可以在收到通知后3个工作日内提出申诉，由医院申诉委员会复查，复查结果为最终决定。第七章附则7.1生效日期本细则自2024年X月X日起生效。7.2解释权本细则由医院信息管理部门负责解释。7.3修订流程当法律法规修订或医院业务流程调整时，信息管理部门会同各业务部门修订本细则，经分管领导审批后生效。7.4附件1.附件