首 页李顺海:基于案例的信息安全管理制度要点分析
信息安全管理制度是指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。国家卫生健康委制定的《医疗质量安全核心制度要点》(简称《要点》),是各级各类医疗机构实施医疗质量安全核心制度的基本要求。《要点》指出,信息安全管理制度基本要求共7条,目前信息安全管理制度要点在医疗落实过程中仍存在一些问题,本研究采用案例分析形式,对信息安全管理制度提供建议,旨在为规范信息安全管理制度落实,保障患者安全提供参考。
案例回顾
2023年9月,某区人民法院公布了一起侵犯公民个人信息罪案件,两名医院护工利用工作便利出售死亡患者个人信息获利10万余元,最终被依法判刑。
易某和唐某是某地某医院护工,两人利用工作便利,在跟随医院救护车急救过程中,未经同意擅自将包括急救病人及丧者家属的居住住址、联系方式等公民个人信息,分别按照每条2000元的价格非法出售给某殡葬服务公司实际控制人郑某(另案处理)。
案例分析建议
医疗信息的泄露是本次案例的核心重点。《要点》关于信息安全管理制度的第五条规定:医疗机构应当建立患者诊疗信息保护制度, 使用患者诊疗信息应当遵循合法依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。医疗核心制度信息安全制度第六条规定:医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。
笔者根据医疗核心制度规定提出以下建议。
1.建立全流程的信息安全管理体制
医院的信息安全需要有足够的力量去保证信息安全管理制度的有效实施。这尤其反映在与其他组织的协调、合作机制中。大量实践表明,信息安全管理部门应当与医务、人事等组织建立起良好而有效的长期工作关系。
(1) 招聘
从信息安全观点看,雇佣员工的过程中存在较多潜在的信息安全隐患。信息部门应与人力资源部门建立相应的沟通合作机制。一些常见的背景调查包括身份核查、教育和证书检查、历史工作经验验证、违法违规记录调查等。
(2) 在职
1)保密协议及信息资产访问授权确认。一旦候选人接受了工作,雇佣合同就成了重要的安全文件。在雇佣合同中可考虑增设医疗信息安全相关的保密协议。另外,涉及针对应用信息系统或重要资源的访问,还可考虑要求员工签署针对信息资产访问/使用权限的授权确认。
2)安全意识提升、培训和教育。后期篇幅将着重介绍。
(3)离职
在人员解聘过程中,应主要考虑加强对离任员工访问信息的限制。具体的实践可考虑:
1)离任员工对信息系统的访问授权必须失效。
2)离任员工应确认归还所使用的信息资产, 包括电脑、移动存储介质等。
3)应取消离任员工对敏感区域的物理访问授权。
针对安全等级较高岗位员工的离职,还可考虑开展离职审查、签署保密协议等。
2.建立患者诊疗信息保护制度
患者诊疗信息保护制度主要有以下核心内容:信息系统内存储的所有数据, 其所有权均归属医院。严禁个人未经批准将医院信息系统数据库中的资料以任何形式有偿或无偿地提供给非授权组织(包括其他科室、第三方)和个人。具体内容包括医务人员应根据医疗规范将患者的信息记录在病历资料等医疗文书中,不得记录在与医院规定的工作任务有关的文件中。在进行科研、教学时,除已取得权利人知情同意的情形外,不得披露患者的真实姓名等涉及隐私的信息。患者的医疗文书应受到妥善保管,任何人不得在未经授权的情况下翻阅和复制。必须通过电话、电子邮件等方式通报患者信息时, 医务人员需确认信息接受者为患者本人或其近亲属,否则应避免披露患者信息,除非处于紧急事态。保险机构要求调阅复印患者病历的,应当按照法律规定提供保险合同原件,承办人员的有效身份证明,患者本人或者其代理人同意的法定证明材料;患者死亡的,应当提供保险合同复印件,承办人员的有效身份证明,死亡患者近亲属或者其代理人同意的法定证明材料、合同或者法律另有规定的除外;患者的资料通过分级权限管理保护。
3.员工授权管理制度
通过对被授权者及其访问权限操作行为的合规性进行监管、评估与记录在案,建立与完善记录操作日志,记录一定周期内的行为日志,通过信息系统分析,确定操作行为的合理性。建议内容如下:
(1)一线主管医师可以建立、随时调阅并书写自己所管患者的病历。无特定授权的情况下, 无书写其他患者电子病历的权利。
(2)主管病区的主治医师及以上职称的医师可以调阅、书写、修改所管病区内所有患者电子病历;护士长可以调阅、书写、修改所管病区内所有患者的电子护理记录;主管护士可以调阅、书写、修改所管患者的电子护理记录。所有修改痕迹保存在电子版本。
(3)值班医务人员可以建立、调阅、书写当值病区内所有患者的电子病历。如值班的一线医师为需要在上级医师指导下工作者,应在当值班的有资质的医师账户下设立临时账户,并由后者负责对一线医师书写的病历及开具的医嘱进行审查和修改。
(4)值班的二线及以上职责医师可以调阅、书写、修改所管病区内所有患者的病历。
(5)各科室可以按照各自的工作流程需求设定医师或护士的医疗管理、病历管理人员的权限,但应符合医院各级医师及护士以及其他工作人员的工作职责要求。
4.实施信息安全培训制度
医院的组织是复杂的,不同工作岗位的人员,由于工作职责、岗位能力要求有差异,接触的医疗信息重要性和面临的风险状况不同,需要的信息安全知识和信息安全培训的侧重点也是不同的。针对不同岗位定制不同的信息安全知识和能力培训方案,将有效地降低工作中蕴含的风险隐患。
(1)医院领导层
领导层的信息安全培训,重点应该放在行业信息安全战略和信息安全意识宣导方面,应该帮助领导了解卫生行业信息安全战略方向、信息安全相关法律法规、主要的信息监管要求和监管趋势、当下信息安全新形势和管理新特点、信息安全组织架构、医疗机构信息安全的特性、需要保护的主要信息类别和分布情况、主要的风险事件案例等,为内部推行各类信息安全和风险控制措施奠定基础。
(2) 医院中层干部层
中层管理人员的信息安全培训应侧重于信息安全基本概念、信息安全相关法律法规、监管要求及趋势、信息安全管理体系、主要的风险事件案例、业界最新风险防控思路及措施等方面,使他们理解什么是信息安全, 为什么要重视信息安全,本人管辖领域内哪些工作会涉及信息安全, 以及怎样做好信息安全风险防控。
(3) 医院基层员工
基层员工的信息安全培训,应侧重于医院信息安全相关的制度和流程的具体内容、与信息安全行为相关的法律法规、敏感信息保护要求、敏感信息泄露行为导致的不良后果和真实案例、违规处罚措施、基本的信息安全操作技能和防护手段等方面,目的是帮助基层员工树立信息安全保护的理念,提高合规操作和风险防范的意识,掌握具体的信息安全风险防控技能,降低因员工工作疏忽、操作不规范或有意泄露而造成的威胁。
(4) 外包人员
外包人员的信息安全培训,应侧重于医院外包制度和流程的具体内容、信息安全保护具体要求、与信息安全行为相关的法律法规、泄密行为导致的不良后果和真实案例等方面,使外包人员树立信息安全保护意识,了解信息安全行为失当导致的严重后果,提高日常工作的合规性,产生对信息安全的"敬畏之心”。
作者简介
李顺海,笔名易兰珠,信息系统架构师、信息系统项目管理师,参与电子病历应用水平评级、医院互联互通成熟度评级等工作。
