电子病历信息安全管理规范

电子病历信息安全管理规范一、总则（一）目的依据。为规范电子病历信息安全管理，保障患者隐私，维护医疗秩序，依据《中华人民共和国网络安全法》《医疗健康信息安全管理办法》等法律法规制定本规范。（二）适用范围。本规范适用于各级医疗机构、第三方服务提供者及相关人员涉及电子病历信息的采集、存储、传输、使用、销毁等全生命周期管理。（三）基本原则。电子病历信息安全管理遵循合法合规、最小必要、分级分类、动态调整、全程监控的原则。二、组织架构与职责（一）权责划定。各单位主要负责人是第一责任人，分管领导负直接责任，信息管理部门牵头实施，临床科室及医务人员落实具体操作。（二）部门分工。信息管理部门负责制度制定、技术防护、应急响应；医务部门负责业务流程规范；护理部门负责数据准确性；财务部门负责安全投入保障。（三）岗位责任。电子病历系统管理员须通过专业培训持证上岗，定期开展安全检查；医务人员需签署保密协议，严格执行操作权限管理。三、数据分类分级管理（一）分类标准。电子病历信息分为核心类（患者身份标识、诊断结果等）、普通类（检查记录、医嘱等）、公开类（健康宣教、统计报告等）。（二）分级要求。核心类信息实行最高级别防护，访问需双因素认证；普通类信息实行部门内共享；公开类信息仅限脱敏后对外提供。（三）动态调整。根据诊疗活动需要，由医务部门提出申请，信息管理部门审核后调整信息分类，并记录调整依据。四、安全防护措施（一）技术防护。电子病历系统需部署防火墙、入侵检测系统，采用加密传输技术，数据库存储采用数据脱敏处理，定期进行漏洞扫描。（二）访问控制。建立基于角色的访问控制机制，实行多级授权，禁止越权访问；非工作时间访问需经审批，并记录操作日志。（三）终端管理。接入电子病历系统的终端设备须安装杀毒软件、终端准入管理系统，定期进行安全检测，禁止使用非授权移动存储介质。五、操作流程规范（一）数据采集。医务人员采集电子病历信息必须真实、完整、及时，禁止虚构、篡改；采集敏感信息前需向患者或家属说明用途。（二）数据存储。电子病历系统应具备异地备份功能，重要数据每日增量备份，每周全量备份，备份数据存储时间不少于3年。（三）数据传输。跨区域传输电子病历需采用专用网络通道，传输过程全程加密，传输完成后24小时内记录传输日志。六、应急响应机制（一）事件分级。将信息安全事故分为特别重大（造成患者死亡或重大社会影响）、重大（造成重要数据丢失）、较大（影响部分诊疗活动）、一般（影响个别患者信息）四级。（二）处置流程。发生一般事件立即隔离受影响系统，重大及以上事件立即上报主管部门，由应急小组制定处置方案，48小时内完成处置报告。（三）演练要求。每年至少开展2次应急演练，演练内容涵盖数据泄露、系统瘫痪、病毒攻击等场景，演练后形成评估报告并持续改进。七、监督与考核（一）内部监督。信息管理部门每月开展自查，重点检查访问日志、操作记录、安全配置等，发现问题及时整改并通报。（二）外部监督。接受卫生健康行政部门及第三方机构的监督检查，对检查发现的问题限期整改，整改情况书面报告。（三）考核奖惩。将电子病历信息安全管理纳入绩效考核，对未按规定落实责任的责任人依法依规处理，对表现突出的集体和个人予以表彰。八、附则（一）制度修订。本规范由信息管理部门负责解释，每年至少修订1次，修订后30日内印发实施。（二）培训要求。新入职人员必须接受电子病历信