(2023 第二版)
2016年,国家卫健委颁布《》(国家卫计委令第10号)确定了18项医疗质量安全核心制度,2018年4月,国家卫健委印发(国卫医发〔2018〕8号),10月,医政医管司组织编写并出版《》(第一版),对指导医疗机构落实核心制度、保障医疗质量安全发挥了重要作用。由于部分医疗机构对《要点》理解上的偏差,对部分管理要求缺乏深层次的认识,导致在执行层面存在偏差。国家卫健委医政司再次组织专家对《释义》进行了修订,形成第二版。对《要点》重新进行阐释和说明,使核心制度的内涵更加清晰,更具有指导性和操作性。
| |
| |
| |
| 3.各级、各类医疗机构如何制定本机构抗菌药物分级管理目录? | 3.各级、各类医疗机构如何制定本机构抗菌药物分级管理目录? |
| 4.医疗机构可否使用未纳入省级抗菌药物分级管理目录中的抗菌药物? | 4.医疗机构可否使用未纳入省级抗菌药物分级管理目录中的抗菌药物? |
| |
| 6.抗菌药物临床应用知识和规范化管理培训和考核内容包括哪些? | 6.抗菌药物临床应用知识和规范化管理培训和考核内容包括哪些? |
| |
| 8.特殊使用级抗菌药物会诊专家库组成人员包抬那些? |
| 9.抗菌药物遴选、采购、处方、调剂、临床应用和药物评价等工作中需要遵循的相关文件规定有哪些? | 9.抗菌药物遴选、采购、处方、调剂、临床应用和药物评价等工作中需要遵循的相关文件规定有哪些? |
| |
| |
指根据抗菌药物的安全性、疗效、细菌耐药性和价格等因素,对抗菌药物床应用进行分级管理的制度。1.根据抗菌药物的安全性、疗效、细菌耐药性和价格等因素,抗菌药物分为非限制使用级、限制使用级与特殊使用级三级。2.医疗机构应当严格按照有关规定建立本机构抗菌药物分级管理目录和医师抗菌药物处方权限,并定期调整。3.医疗机构应当建立全院特殊使用级抗菌药物会诊专家库,按照规定规范特殊使用级抗菌药物使用流程。4.医疗机构应当按照抗菌药物分级管理原则,建立抗菌药物遴选、采购、处方、调剂、临床应用和药物评价的管理制度和具体操作流程。答:为进一步加强抗菌药物临床应用管理,落实抗菌药物临床应用管理,根据原卫生部《》(2012年4月24目中华人民共和国卫生部细令第84号发布),根据安全性、疗效、细菌耐药性价格等因素,将抗菌药物分为三级。非限制使用级:经过长期临床应用证明安全、有效,对病原菌耐药性影响较小,价格相对较低的抗菌药物。应是己列入基本药物目录,《国家处方集》和《国家基本医疗保险、工伤保险和生育保险药品目录》收录的抗菌药物品种。限制使用级:经长期临床应用证明安全、有效,对病原菌耐药影响较大,或者价格相对较高的抗菌药物。 特殊使用级:具有明显或者严重不良反应,不宜随意使用;抗菌作用较强、抗菌谱广,经常或过度使用会使病原菌过快产生耐药的;疗效、安全性方面的临床资料较少,不优于现用药物的;新上市的,在适应证、疗效或安全性方面尚需进一步考证的、价格昂贵的抗菌药物。答:由于我国幅员辽阔,地区差异显著,细菌耐药性差异也非常显著,因此尚未形成全国统一的抗菌药物分级管理目录。目前由省级卫生行政部门,根据本地区社会经济状况、疾病谱、细菌耐药性的情况,制定省级抗菌药物分级管理目录。国家卫生健康委《关于持续做好抗菌药物临床应用管理有关工作的通知》(国卫办医发〔2018〕9号)中明确要求,加强儿童、老年患者、孕产妇等抗菌药物临床应用管理。3.各级、各类医疗机构如何制定本机构抗菌药物分级管理目录?答:各级各类医疗机构应结合本机构的情况,根据省级卫生健康行政主管部门制定的抗菌药物分级管理目录,制定本机构抗菌药物供应目录,原则上不能低于省级目录标准,并向核发其《医疗机构执业许可证》的卫生健康行政部门备案。各医疗机构应根据院内抗菌谱定期调整分级目录,调整周期原则上为2年最短不得少于1年。每次调整后15个工作目内向卫生健康行政部门备案。4.医疗机构可否使用未纳入省级抗菌药物分级管理目录中的抗菌药物?答:末纳入省级抗菌药物分级管理目录中的抗菌药物,如符合国家相关规定且有充分的循证医学证据,医疗机构也可采购使用,应参照省级抗菌药物分级管理目录中相应药物对其临床应用进行分级管理,并向核发其《医疗机构执业许可证》的卫生健康行政部门备案。答:根据《抗菌药物临床应用管理办法》(中华人民共和国卫生部令第84号)第二十四条的规定,“具有高级专业技术职务任职资格的医师,可授予特殊使用级抗菌药物处方权;具有中级以上专业技术职务任职资格的医师,可授予限制使用级抗菌药物处方权;具有初级专业技术职务任职资格的医师、最低级别医师,在乡、镇、村的医疗机构独立从事一般执业活动的执业助理医师以及乡村医师,可授予非限制使用级抗菌药物处方权。药师经培训并考核合格后,方可获抗菌药物调剂资格”。 上述授权均需经医疗机构培训并考核合格后方可授予。授权后要进行动态估、不适应的要进行调整。二级以上医疗机构应当定期(按年度)对医师和药师进行抗菌药物临床应用知识和规范化管理的培训。医师经本机构培训并考核合格后,方可获得相应的处方权。其他医疗机构依法享有处方权的医师、乡村医师和从事处方调剂工作的药师,由县级以上地方卫生健康行政部门组织相关培训考核。经考核合格的,授予相应的抗菌药物处方权或者抗菌药物调剂资格。《国家卫生健康委办公厅关于持续做好抗菌药物临床应用管理工作的通知》(国卫办医发[2020]8号)规定,二级以上医院要严格落实《抗菌药物临床应用管理办法》要求,定期对医师和药师进行抗菌药物临床应用知识和规范化管理的培训。医师未经本机构培训并考核合格,不得授予抗菌药物处方权。医院不得单纯依据医师职称授予相应处方权限。卫生健康行政部门要结合医疗机构合理用药考核,进一步规范抗菌药物处方权的授予和管理,督促工作落实。(第一版表述:《关于持续做好抗菌药物临床应用管理有关工作的通知》(国卫办医发[2018]9号)规定,严格落实抗菌药物分级和医师处方权限管理要从临床工作实际出发,根据不同科室诊疗需要,按照规定科学、合理地授予不同岗位医师不同级别抗菌药物处方权,切实发挥抗菌药物分级管理作用。要合理确定不同科室不同处方权限医师数量,处方权限向临床一线医师倾斜,避免医师外出等情况下影响抗菌药物处方的开具。不得将抗菌药物处方权限作为身份地位象征、权力象征授予无关人员)6.抗菌药物临床应用知识和规范化管理培训和考核内容包括哪些?(1)《药品管理法》《医师法》《抗菌药物临床应用管理办法》《》《》《抗菌药物临床应用指导原则》《国家基本药物处方集》《国家处方集》和《医疗机构处方点评管理规范(试行)》等相关法律、法规、规章和规范性文件。答:依照《抗菌药物临床应用指导原则》的规定,抗菌药物临床应用实行分级管理,处方权限与临床应用中有如下要求:(1)特殊使用级抗菌药物的选用应从严控制。临床应用特殊使用级抗菌药物应当严格掌握用药指征,经抗菌药物管理工作机构指定的专业技术人员会诊同意后,按程序由具有相应处方权医师开具处方。(3)有下列情况之一可考虑越级应用特殊使用级抗菌药物:①感染病情严重者;②免疫功能低下患者发生感染时;③已有证据表明病原菌只对特殊使用级抗菌药物敏感的感染。使用时间限定在24小时之内,其后需要补办审办手续并由具有处方权限的医师完善处方手续。8.特殊使用级抗菌药物会诊专家库组成人员包括哪些?答:依照《抗菌药物临床应用指导原则》的规定,抗菌药物临床应用实行分级管理,处方权限与临床应用中有如下要求。特殊使用级抗菌药物会诊人员应由医疗机构内部授权,具有抗菌药物临床应用经验的感染性疾病科、呼吸科、重症医学科、微生物检验科、药学部门等具有高级专业技术职务任职资格的医师和抗菌药物等相关专业临床药师担任。9.抗菌药物遴选、采购、处方、调剂、临床应用和药物评价等工作中需要遵循的相关文件规定有哪些?答:2012年,《抗菌药物临床应用管理办法》(卫生部令第84号)。2015年,《关于进一步加强抗菌药物临床应用管理工作的通知》(国卫办医发[2015]42号)及其附件《抗菌药物临床应用管理评价指标及要求》。2015年,《关于印发抗菌药物临床应用指导原则(2015年版)的通知》(国卫办医发[2015]43号)及其附件《抗菌药物临床应用指导原则(2015年版)》。2018年,《关于持续做好抗菌药物临床应用管理有关工作的通知中明确要求》(国卫办医发[2018]9号)。 2018年,《关于印发碳青霉烯类抗菌药物临床应用专家共识等3个技术文件的通知》(国卫办医函[2018]822号)。2019年,《关于持续做好抗菌药物临床应用管理工作的通知》(国卫办医发[2019]12号)。2020年,《关于持续做好抗菌药物临床应用管理工作的通知》(国卫办医发[2020]8号)。2021年,《关于进一步加强抗微生物药物管理遏制耐药工作的通知》(国卫医函[2021]73号)。各省、自治区、直辖市的抗菌药物临床应用分级管理目录。答:因抢救生命垂危的患者等紧急情况,医师可以越级使用一日剂量的抗菌药物。越级使用抗菌药物应当详细记录用药指征,并应当于24小时内补办越级使用抗菌药物的必要手续。有下列情况之一可考虑越级应用特殊使用级抗菌药物:①感染病情严重者;②免疫功能低下患者发生感染时;③已有证据表明病原菌只对特殊使用级抗菌药物敏感的感染。使用时间限定在24小时之内,其后需要补办会诊手续并且由具有处方权限的医师完善处方手续。 (王惠英、陈轶坚、庄良金、洪亚玲、李成)
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| 10.输血前如何向患者及其近亲属告知输血的目的和风险? | |
| |
| 12.输血不良反应监测和处置流程的主要内容有哪些? | 12.输血不良反应监测和处置流程的主要内容有哪些? |
| 13.输血相容性检测实验室的管理的主要内容有哪些? | 13.输血相容性检测实验室的管理的主要内容有哪些? |
指在临床用血全过程中,对与临床用血相关的各项程序和环节进行审核和评估,以保障患者临床用血安全的制度。1.医疗机构应当严格落实国家关于医疗机构临床用血的有关规定,设立临床用血管理委员会或工作组,制定本机构血液预订、接收、入库、储存、出库、库存预警、临床合理用血等管理制度,完善临床用血申请、审核、监测、分析、评估、改进等管理制度、机制和具体流程。2.临床用血审核包括但不限于用血申请、输血治疗知情同意、适应证判断、配血、取血发血、临床输血、输血中观察和输血后管理等环节,并全程记录,保障信息可追溯,健全临床合理用血评估与结果应用制度、输血不良反应监测和处置流程。3.医疗机构应当完善急救用血管理制度和流程,保障急救治疗需要。答:临床用血的关键环节及执行顺序一般包括:适应证判断、用血申请、输血治疗知情同意、配血、取血发血、输血前双人核对、临床输血、输血中观察和输血后管理等环节。答:医疗机构应根据《》,不断完善临床用血组织体系建设、血液管理制度建设以及临床合理用血管理制度建设,明确输血科、医务管理部门和临床科室职责,确保临床用血审核制度落到实处。医疗机构对特殊情况下的紧急输血有相关规定与批准流程。答:临床科室及医务人员在具体诊疗工作中应严格遵守本机构临床用血管理相关制度,完善输血前评估工作,按照输血适应证申请与审核用血,注意节约血液资源,合理应用,杜绝不必要的输血,并保证患者临床用血全程记录无缺失。答:医疗机构应当配合血站建立血液库存动态预警机制,当血液库存紧张时,以合适方式提醒临床用血紧张,以保障临床用血需求和正常医疗秩序。答:《医疗机构临床用血管理办法》中明确,除急救用血外,应按照用血量不同分为三个层级对临床用血医嘱进行审核。(1)同一患者一天申请备血量少于800毫升的,由具有中级以上专业技术职务任职资格的医师提出申请,上级医师核准签发后,方可备血。(2)同一患者一天申请备血量在800~1600毫升的,由具有中级以上专业技术职务任职资格的医师提出申请,经上级医师审核,科室主任核准签发后,方可备血。(3)同一患者一天申请备血量达到或超过1600毫升的,由具有中级以上专业技术职务任职资格的医师提出申请,科室主任核准签发后,并与输血科沟通后(第二版删除),报医务部门批准,方可备血。急救用血除外(第二版删除)答:配血完成后,发血和取血过程需严格执行核对制度和签发手续。血液交接双方必须共同核对用血者基本信息、血液有效期、配血试验结果、血袋完整性以及血液外观等,确保患者信息一致及血液质量符合要求,双方共同签字后方可发血与取血。临床科室护士接收到血库(或输血科)送来的血液时须检查血袋上的采血日期、有效期,血/血制品有无凝血块/溶血、变色、气泡,血袋有无破损及封口是否严密,并且要核对血袋上受血者和供血者的信息是否与交叉配血单上的信息相符。不符合以上任何情况之一,应立即将血液退回血库。答:输血前,由两名医护人员核对交叉配血报告单及血袋标签各项内容,检查血袋有无破损渗漏,血液颜色是否正常,检查血液制品和输血装置是否在有效期内,准确无误方可输血。输血时,由两名医护人员带病历(第二版删除)共同到患者床旁核对患者姓名、性别、年龄、住院/门急诊号、病案号、血型等,确认与配血报告相符,再次核对血液制品后,用符合标准的输血器进行输血。答:输血全过程的血液管理的主要内容,建议包括但不限于以下内容。(1)医疗机构有明确规定的流程,确保患者输血过程中的安全。(2)输血前医师对患者进行输血前评估。临床输血操作时,应在患者床旁由两名医务人员准确核对受血者和血液信息。(4)制定使用输血器和辅助设备(如血液复温)的操作规范与流程。(6)输血中要监护输血过程,及时发现输血不良反应,及时处理。答:按照相关规定,对准备输血的患者进行ABO、Rh血型、抗体筛选及感染筛查(肝功能、乙肝五项、HCV、HIV、梅毒抗体)的相关检测。答:输血前医师向患者、近亲属或委托人充分说明使用血液成分的必要性、使用的风险和利弊及可选择的其他替代办法,并记录在病历中。(1)取得患者或委托人知情同意后,签署《输血治疗知情同意书》。(2)《输血治疗知情同意书》中须明确其他输血方式的可选择信息。(4)因抢救生命垂危的患者等特殊情况需紧急输血,不能取得患者或者其近亲属意见的,经医疗机构负责人或者授权的负责人批准后实施。答:对输血治疗病程记录的主要内容建议包括但不限于以下内容:(1)输血治疗病程记录完整详细,至少包括输血原因,输注成分、血型和数量,输血前评估(实验室指标+临床表现),输注过程观察情况,有无输血不良反应,不良反应的处置,输血后评估(实验室指标+临床表现)等内容。(4)手术输血患者手术记录、麻醉记录、护理记录、术后记录中出血与输血量要完整一致,输血量与发血量一致。12.输血不良反应监测和处置流程的主要内容有哪些?答:输血不良反应监测和处置流程的主要内容,建议包括但不限于以下内容。(1)监测输血的医务人员经培训,能识别潜在的输血不良反应症状。(3)发生疑似输血反应时医务人员有章可循,并应立即向输血科和患者的主管医师报告。(4)一旦出现可能为速发型输血反应症状时(不包括风疹和循环超负荷),立即停止输血,并调查其原因。(5)输血科应根据既定流程调查发生不良反应的原因,确定是否发生了溶血性输血反应。立即查证以下几项。①患者和血袋标签确认输给患者的血是与患者进行过交叉配血的血。②查看床旁和实验室所有记录,是否可能将患者或血源弄错。 ③肉眼观察受血者发生输血反应后的血清或血浆是否溶血。如果可能,该标本应和受血者输血前的标本进行比较。④受血者发生输血反应后的标本应考虑做抗人球蛋白试验、游离胆红素等试验。⑤实验室应制定加做其他相关试验的要求,做相关试验的标准。⑥输血科负责解释上述试验结果并永久(第二版删除)记录到受血者的临床病历中。⑦当输血反应调查结果显示存在血液成分管理不当等系统间题时,输血科主任应积极参与解决。⑧输血后献血员和受血者标本应依法至少保存7天,以便出现输血反应时重新进行测试。⑨医疗管理部门会同输血科对输血不良反应评价结果向临床科室的反馈率为100%。⑩相关部门应根据既定流程调查输血发生不良反应,有记录。13.输血相容性检测实验室的管理的主要内容有哪些?答:输血前的输血相容性检测管理的主要内容,建议包括但不限于以下内容。(1)凡遇有输血史、妊娠史或短期内需要接受多次输血的患者,应开展不规则抗体筛检。(2)按照要求规范开展输血前检验项目:ABO正反定型、Rh(第一版为RhD)、交叉配血、输血感染性疾病免疫标志物等指标。(3)交叉配血必须采用能检查不完全抗体的实验方法。(4)血液发出后,受血者和供血者标本于2~6℃保存至少7天。(6)用于输血相容性检测的试剂仪器设备应符合相应标准。十八、信息安全管理制度
| |
| |
| |
| |
| |
| 5.如何建立与完善计算机信息系统的安全管理制度与流程? | 5.如何建立与完善计算机信息系统的安全管理制度与流程? |
| 6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案? | 6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案? |
| 7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面? | 7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面? |
| |
| |
| |
| |
| 12.如何建立患者诊疗信息安全事故责任的追溯机制? | 12.如何建立患者诊疗信息安全事故责任的追溯机制? |
| 14.医疗机构如何对医疗数据的使用、处理和披露进行管理? |
指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。2.医疗机构主要负责人是医疗机构患者诊疗信息安全管理第一责任人。3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。 4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。5.医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。6.医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。7.医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。答:医疗机构信息安全全流程应覆盖医院信息系统(HIS)及其各子系统(RIS、LIS、PACS、OA等),医院信息上传与共享接口的所有内容。系统性保障应有对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上目标所形成的管理制度、规章与操作流程体系。信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。系统性保障制度必须关注信息系统“六类”安全,包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。答:根据《信息安全等级保护管理办法》(公通字[2007]43号)规定,计算机信息安全划分为五个等级。(第一版表述:根据《中华人民共和国计算机信息系统安全保护条例》(1994年,国务院147号令)第九条的规定,计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 1999年9月13日,由公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999),并于2001年1月1日实施。其中把计算机信息安全划分为五个等级。第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级)按照原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)要求,以下重要卫生信息系统安全保护等级原则上不低于第三级。(1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。(2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心。(5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。卫生健康行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统,由国家卫生健康委报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。3.医疗信息安全的组织架构及分工职责是什么?
答:网络安全和信息化工作领导小组是医院层面负责信息安全工作的主要组织。网络安全和信息化工作领导小组组长由医疗机构主要负责人担任,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。具体要求见《医疗卫生机构网络安全管理办法》(国卫规划发[2022]29号)相关规定。
(第一版表述:医院信息安全领导小组和工作小组是医院层面负责信息安全工作的主要机构。
信息安全领导小组由院长任组长,主管信息化的院长和信息管理部门负责人担任副组长。领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、安全组织与供应商的沟通。
信息安全工作小组由信息管理职能部门负责人任组长,信息中心所有人员参加,应覆盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实领导小组各项决议,并负责日常信息安全管理实施与督查。
领导小组和工作组应拟定包括安全运维手册、数据备份要求、应急响应预案和安全配置指南在内的基本制度,并每隔半年或在发生重大变化时进行修订。
工作小组应定期组织信息安全培训和相关考核,开展新员工入职背景调查并存档,制定第三方单位及人员信息安全管理制度)
4.实施医疗机构信息安全管理问责制有哪些内容?
答:医疗机构主要负责人是信息安全管理第一责任人。
医疗机构应建立与完善信息安全管理组织的工作制度与程序。
建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。
明确信息系统使用与管理人员的岗位职责,并对提供与使用的信息可信度及安全负责。
明确计算机信息系统专职管理人员离岗制度与交接程序。
5.如何建立与完善计算机信息系统的安全管理制度与流程?
答:计算机信息系统的安全管理制度与流程的覆盖层面,至少包括关于患者的所有数据,对不同的数据资料制定不同的保护路径措施(比如,数字与图像),所有权属患者个人。
根据数据安全保护制度建立技术标准,利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。
建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。明确任何单位和个人不得用计算机信息系统从事的行为,有清单/目录告知有操作权限的员工,并定期对其进行培训和教育。 定期、不定期由医院内部与外部信息安全评估组织,进行医院信息系统安全评估,用制度与程序来保障,将安全评估的结果用于网络安全持续改进活动。各医疗卫生机构在信息系统运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固,防止网络带病运行,并按要求将安全自查及整改情况报上级卫生健康行政部门。6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案?答:患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式,患者信息还有进一步被泄露和篡改的风险。因此应急预案的拟定是必要的,也是应对信息安全风险的基础与前提。组织机构:网络与信息安全应急小组应由领导小组、技术小组组成,应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。工作原则:逐级建立并落实统计信息系统责任制和应急机制;按照法规规定职责和流程;积极预防、及时预警;积极提升应急处理能力;各部门协同配合开展工作。应急措施:基本应急处理流程应至少包括报告和简单处理;故障分级分类判断与处理(第一版:排除);网络线路故障排除;黑客入侵应急处理;患者信息泄露的应急预案;大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。运营应急措施:医院HIS局部或全部瘫痪状况下临床运营处置预案。7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面?答:患者诊疗信息是指医疗机构在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。获取制度原则包括获取行为的界定,例如,报销、外院就诊、案件审理、临床研究等;个人获取流程和必需材料;政府或社会组织获取流程和依据材料。 修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理,不得转出;患者资料通过分级权限管理保护及诊治;未经患者本人的许可,不得将其疾病及相关隐私信息传播给他人。答:医院信息系统在实际意义上属于开放式系统,大量个人信息和敏感数据存在于HIS和各子系统中,并不断被调阅使用。另外,还有大量的数据上传和分享接口。大部分医疗机构对外网页还设置了内网或协同办公系统登录界面。医院信息系统主要面向医院信息系统工作人员和使用人员。医院信息系统工作人员既包括医院信息工程师,也包括大量系统外包的场地工程师、系统维护人员等。医院信息系统使用人员包括医生、护士、管理人员以及医学生、进修生、规培生等。根据不同人员身份和岗位性质,设立严格的登录和操作权限授权是非常必要的。考虑到授权工作的唯一性和动态变化,采取分级管理模式才具有可行性。答:员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。医院信息系统相关的所有授权和审批事项的制度,必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。内部人员授权管理由医疗机构信息安全领导小组主导并起始,实施按层级分级授权和负责制度。外包人员授权管理应由医疗机构信息安全工作小组组长授权,并按层级和部门岗位予以授权,并向授权方负责。没有经过正式授权的临时信息系统维护需求,可由信息安全工作小组组长临时授权同意后补充授权记录。重点加强对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案:①建立与完善记录操作日志,记录一定周期内的行为日志,通过软件系统逐一识别,确定操作行为的合规性;②建立操作系统识别库,对于不属于识别库的行为,系统要给予报警,直至下调授权等次或中止授权。 答:首先,应按照信息安全等级要求,建立严格的信息分级安全管理系统和配套工作制度。其次,应建立严格的信息分级授权制度体系和基于管理需求、科研需求的信息数据使用管理规范并常态化运行。授权审批应严格根据工作岗位和工作内容而定。最后,建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表,并保持良好的兼容互通。答:泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。①泄密发现人员在第一时间先就泄密事件本身保密;②如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;③如未掌握涉密情况,应向上一级信息安全主管报告;④处置过程保密。12.如何建立患者诊疗信息安全事故责任的追溯机制?答:根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。答:实施软件安全管理,应从以下四个方面进行管理,但不限于此。(1)医疗机构临床信息系统软件的管理和维护,应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。 (2)若由开发该软件的公司负责维护的医疗机构,应在维保协议中明确软件公司应书面报告每次维护的情况,经使用认可后报计算机信息系统专职管理员备案。(第一版表述:各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案)(3)由各科室自行开发或应用的新软件,除上级或政府职能部门指定统一使用的外,均必须按照规定的程序申报,经网络安全和信息化工作领导小组讨论批准后方可应用。在原有系统上进行新功能的迭代开发的,应遵循信息系统项目管理和代码更新上传的标准规范流程进行。(4)为了防止计算机信息系统被病毒感染或者扩散病毒,任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。14.医疗机构如何对医疗数据的使用、处理和披露进行管理?答:根据《医疗卫生机构网络安全管理办法》,各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订一次,建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态。加强数据安全教育培训,组织安全意识教育和数据安全管理制度宣传培训。结合本单位实际,建立完善数据使用申请及批准流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务管理部门同意、医疗机构领导核准的工作程序,指导数据活动流程合规。» 点击「阅读原文」,即可下载《医疗质量安全核心制度要点释义(第二版)》全文。
来源:医疗质量安全核心制度要点释义 (2023 第二版)
还没有评论,来说两句吧...