信息安全管理制度

一、定义

指医疗机构按照信息安全管理相关法律法规和技术标准要求，对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

二、基本要求

（一）信息科应依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，落实信息安全等级保护等有关要求。

（二）医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。

（三）信息科应建立患者诊疗信息安全风险评估和应急工作机制，制定应急预案。

（四）医务人员应确保实现本院患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

（五）医务人员应遵守患者诊疗信息保护制度，使用患者诊疗信息应当遵循合法、依规、正当、必要的原则，不得出售或擅自向他人或其他机构提供患者诊疗信息。

（六）信息科建立员工授权管理制度，明确员工的患者诊疗信息使用权限和相关责任。信息科应为员工使用患者诊疗信息提供便利和安全保障，因个人授权信息保管不当造成的不良后果由被授权人承担。

（七）信息科应不断提升患者诊疗信息安全防护水平，防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作，建立患者诊疗信息系统安全事故责任管理和追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定向有关部门报告。

三、信息安全管理制度实施细则

（一）医务人员应当遵循信息安全管理制度。

（二）医务人员应当遵循医疗信息访问授权管理制度和流程，医疗信息的访问包括借阅、编辑、修改、访问、查询等接触患者诊疗信息的行为。

（三）医务工作人员应客观、真实、准确、及时、完整记录患者诊疗信息，对输入计算机的数据时效性、真实性、连续性、完整性、准确性负责，不得随意增减或删除有效数据。

（四）信息科负责对医疗信息系统产生的患者诊疗信息进行存储、备份、安全防护等，健全技术设施、数据安全管理制度和应急预案，确保信息的可恢复性、患者诊疗信息的完整性、稳定性和可溯源性。

（五）医务人员应当遵循合法、依规、正当、必要的原则，不得擅自出售患者信息，不得未经批准擅自向他人或其他机构提供患者诊疗信息。

（六）医务人员应当熟知信息安全应急预案。