医院信息安全制度改进的相关事件

医院信息安全制度

为保证我院计算机网络的正常运行和健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律规定，结合我院实际情况，针对医院信息安全，特制定本规定。

（1）医院局域网（院内网）信息安全制度：

①医院局域网(院内网)的工作人员和连入院内网络的所有用户必须遵守《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和国家有关法律、法规，严格执行本条例。

②院内网信息安全管理实施工作责任制和责任追究制。医院成立网络安全领导小组，院领导挂帅各部门主要负责人参与，建立健全医院的计算机网络安全管理制度，配备网络安全员，负责本部门内网络的信息安全管理工作。

③院内网的管理部门是信息科，负责院内网的规划、建设、应用开发、运行维护与用户管理。保障网络信息、运行环境的安全;保障网络系统的正常及安全运行，用户上网采用工号登陆方式，上网操作人员须经信息科考核合格后才能上网操作。

④院内网的信息安全监查工作由信息科负责。院内网的所有工作人员和用户必须接受医院有关部门的监督检查，并对医院采取的必要措施给予配合。

⑤院内网的IP地址由信息科统一管理

中医医院医疗安全（不良）事件报告制度

医疗安全（不良）事件报告是发现医疗过程中存在的安全隐患、防范医疗事故、提高医疗质量、保障患者安全、促进医学发展和保护患者利益的重要措施。为达到卫生部提出的病人安全目标，落实建立与完善主动报告医疗安全（不良）事件与隐患缺陷的要求，特制定本制度。

一、目的

规范医疗安全（不良）事件的主动报告，增强风险防范意识，及时发现医疗不良事件和安全隐患，将获取的医疗安全信息进行分析，反馈并从医院管理体系、运行机制与规章制度上进行有针对性的持续改进。

二、适用范围

适用于医院发生的医疗安全（不良）事件与隐患缺陷的主动报告；但药品不良反应/事件、医疗器械不良事件、输血不良反应、院内感染个案报告需按特定的报告表格和程序上报，不属本医疗安全（不良）事件报告内容之列。

三、 医疗安全（不良）事件的定义和等级划分 （一）定义

医疗安全（不良）事件是指在临床诊疗活动中以及医院运行过程中，任何可能影响病人的诊疗结果、增加病人的痛苦和负担并可能引发医疗纠纷或医疗事故，以及影响医疗工作的正常运行和医务人员人身安全的因素和事件。

（二）等级划分

医疗安全（不良）事件按事件的严重程度分4个等级：

Ⅰ级事件（警告事件）—— 非预期的死亡，或是非疾病自然进展过程中造成

医院感染管理科

项 目 内 容

评 审 标 准

分 值

检 查 方 法

判 定 结 果

(2)医院应有医院感 染发病率监测和报 告制度， 告制度，医院感染 流行、 流行、暴发的报告 (四) 与控制制度， 与控制制度，消毒 隔离制度， 隔离制度，重点科 医 室医院感染管理制 院 度，医院环境卫生 感 学监测制度， 学监测制度，医院 染 感染管理知识全员 管 培训教育制度， 培训教育制度，医 院感染管理考核、 理 院感染管理考核、 考评奖惩制度， 考评奖惩制度，消 (5 毒药械购置、 毒药械购置、验收 5分) 及管理制度， 及管理制度，职业 暴露及员工职业安 全防控制度， 全防控制度，医疗 废物管理制度等。 废物管理制度等。

4

查阅文字资料， 查阅文字资料，现 场考核有关人员(5 人)对工作制度以 及报告流程熟练情 况，达到100%。抽 抽 查这些制度文件的 发布及落实情况。 发布及落实情况。

少1项制度扣 0.5分 0.5分；1人掌 握不熟练扣0.5 扣完为止。 分，扣完为止。 扣完为止

项 目 内 容

评 审 标 准

分 值

检 查 方 法

判 定 结 果

(四) 医院 (3)医院感染暴发 感染 处置制度完善、 处置制度完善、落 管理 实 (55 分)

3

查阅医院感染暴发

医院信息化建设相关管理制度

目 录

1、信息科部门职责?????????????????????2 2、信息科岗位职责?????????????????????2 3、信息科工作制度?????????????????????3 4、信息管理目标???? ???????????? ?????4 5、信息科业务工作规程与流程????????????????4 6、信息保密制度??????????????????????9 7、医院信息安全制度????????????????????11 8、信息统计管理制度????????????????????16 11、Internet网的管理规章制度???????????????16 12、医院信息系统（HIS）的人员职责?????????????18 12.1网络系统管理人员职责?????????????????18 12.2网络中心职责?????????????????????18 12.3系统维护人员职责???????????????????19 13、网络安全管理制度与规则????????????????23 14、医院信息系统故障处理应急预案??????????

ⅩⅩ州第一人民医院 医疗警讯事件报告制度

(试 行)

第一条、为了提高医务人员风险意识，加强患者安全医疗管理，及时妥善处理安全隐患事件，保证医院的安全运行，将“事后处理”，变为“事前预防”，特制定此报告制度。

第二条、本办法所指安全医疗警讯事件是指:即将发生或已发生的对安全医疗有明显危害的事件；

1、可能引起患者人身损害或者死亡的事件； 2、可能引起患者额外经济损失事件； 3、可能引发医疗纠纷的事件； 4、可能给医院带来经济损失的事件；

5、可能给医务人员带来人身损害或经济损失的事件； 6、可能给医院带来声誉等各种无形损失的事件。

第三条、本办法将易发生医疗警讯事件的重点病人分为五类，依次为：

A类：危重、疑难、疗效不佳、入院后预计会发生或已发生严重并发症、预后差、诊疗期间病情突然变化、医疗缺陷造成不良后果、有医疗纠纷苗头的病人；

B类：应用新技术、新项目、新疗法以及存在医疗纠纷隐患、经反复沟通告知仍不理解或不予配合的病人，医疗费用超过正常情况下2倍、科室认为有必要上报的病人；

C类：涉及司法案件、交通事故、刑事案件、工伤等易产生纠纷隐患的病人；

D类： 新生儿、手术患者、离退休人员、劳模、人大代表、政协委员等有一定社会影响或有一定特殊社

内蒙古自治区人民医院

信息安全等级保护制度

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，我院按照卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发[2011]85号）、卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函[2011]1126号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）、内蒙古卫生厅做好卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（内卫信[2012]20号）、关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知（内卫信字[2012]665号）、转发卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知（内卫信字[2012]21号）、关于开展信息安全等级保护大检查工作的通知（内卫信字[2012]1号）等文件的精神，根据我院自身情况，制定了内蒙古自治区人民医院信息安全等级保护制度。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在我院全

经历20多年的发展，中国医疗信息化建设已初具规模，医院信息系统(HIS)为医院的正常运营和科学化管理提供保障，然而，医院信息管理系统在信息安全保密方面依然是医疗信息化建设的短板，严重影响或制约了信息化进程。

谁为医疗信息补漏

随着信息技术的不断发展，在医院这种社会公共服务领域，收集和储存了大量的公民个人信息。但在当前对医疗行业提供的网络安全技术解决方案中，仍以防火墙(FW)防病毒(AV)为为主流选择，但是这些传统的安全技术手段只能阻挡部分从从外部到内部的攻击，并且对来自内部的信息窃取完全无能能为力，这就导致了“泄密门”事件一次次发生，引发重要要数据的丢失、破坏，不仅严重影响到医院网络的正常运行行，还直接威胁到患者的隐私和生命安全。

安全隐患暴露露最近，深圳就发生了一次全市的孕妇信息库泄露露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、、暂住、常住)、家庭住址、联系电话、以及就诊医院及预预产期的信息以每条0.3元的价格进行销售，更令人咂舌舌的是这些信息每月还“滚动更新”，累计达到了10万条条。

而据记者调查发现，很多乳品厂商也通过固定的渠道道从医院套取孕妇的个人信息来达到赚钱的目的。甚至，某某些医

编号： 题目：信息系统安全制度 附件： 颁布者： 批准人： 首次领发日期： 修改日期： 回顾日期： 管理制度 页码：32—1 1 政策

为医院工作人员在工作中，必须严格遵守的信息系统安全制度。 2 目的

保证医院信息系统的正常运行，更好地协助医务人员完成临床工作。 3 标准

3.1安全管理制度总则 3.1.1保密协议

因电脑部是医院内涉密较多的部门之一，电脑部所有在职员工、新入职员工已全部签署《竞业禁止保密协议》，该协议对电脑部员工的工作实现了较严格的限制和制约。 3.1.2医院敏感数据定义

涉及医院内经营运作的财务数据，医院经营性单位的日常运作数据，医院内员工薪资数等等可能被竞争对手利用的敏感信息。具体牵涉部门/科室： 3.1.2.1医院财务部：医院运营财务数据；员工工资数据。 3.1.2.2医院人事部：员工资料、薪酬、花红等信息。 3.1.2.3医院各科室：日常经营信息；患者病历等信息。

3.1.2.4医院电脑部：医院IT资产数量、分布信息；各类自行开发软件的源代码信息；各

医院突发事件应急处理制度

（2013年3月23日修改版）

一、目的

为了快速、正确地处理突发事件，更好地维护企业形象和利益，特制订同步齿科突发事件应急处理制度。 二、突发事件的概念和范畴

突发事件是指超出门诊及公司日常经营计划范围内，已经或可能对公司的正常经营、财务管理、品牌形象等产生严重影响的事件。包括有计划停电、有计划停水、有通知的行政检查、记者采访等紧急事件及突发性停水、突发性停电、无通知的行政检查、记者暗访、不利传言等突发性事件。 三、突发事件处理的原则 （一）保证门诊正常运营的原则 （二）突发事件首先上报的原则 四、突发事件责任人

门诊（部门）负责人为门诊（部门）突发事件的第一责任人，其中设有门诊总监的门诊，门诊总监为突发事件第一责任人，未设置门诊总监的门诊，门诊主任为突发事件第一责任人。 五、紧急、突发事件的处理 （一）有计划性停水事件

1. 接到停水通知的员工应向发出停水通知的部门或机构了解停水的具体情况，包括停水时间、原因、恢复供水时间等，并将此详细信息在30分钟内上报门诊（部门）负责人。

2. 门诊（部门）负责人接到停水信息后，第一时间将相关情况上报分管副总经理，同时关闭门诊非营业区域的水龙头或水阀，保证储备用水能够

信息安全事件管理指南

1 范围

本指导性技术文件描述了信息安全事件的管理过程。提供了规划和制定信息安全事件管理策略和方案的指南。给出了管理信息安全事件和开展后续工作的相关过程和规程。

本指导性技术文件可用于指导信息安全管理者，信息系统、服务和网络管理者对信息安全事件的管理。 2规范性引用文件

下列文件中的条款通过本指导性技术文体的引用两成为本指导性技术文件的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内骞）或修订版均不适用于本指导性技术文件，然而，鼓励根据本指导性技术文件达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用子本指导性技术文件。 GB/T 19716—2005信息技术信息安全管理实用规则(ISO/IEC 17799：2000．MOD)

GB/Z 20986—2007信息安全技术信息安全事件分类分级指南

ISO/IEC 13335-I：2004信息技术安念技术信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型 3 术语和定义

GB/T 19716--2005、ISO/IEC 13335-I：2004中确立