信息安全管理制度是指醫療機構按照信息安全管理相關法律法規和技術標準要求，對醫療機構患者診療信息的收集、存儲、使用、傳輸、處理、發布等進行全流程系統性保障的制度。國家衛生健康委制定的《醫療質量安全核心制度要點》(簡稱《要點》)，是各級各類醫療機構實施醫療質量安全核心制度的基本要求。《要點》指出，信息安全管理制度基本要求共7條，目前信息安全管理制度要點在醫療落實過程中仍存在一些問題，本研究采用案例分析形式，對信息安全管理制度提供建議，旨在為規范信息安全管理制度落實，保障患者安全提供參考。

案例回顧

　　2023年9月，某區人民法院公布了一起侵犯公民個人信息罪案件，兩名醫院護工利用工作便利出售死亡患者個人信息獲利10萬余元，最終被依法判刑。

　　易某和唐某是某地某醫院護工，兩人利用工作便利，在跟隨醫院救護車急救過程中，未經同意擅自將包括急救病人及喪者家屬的居住住址、聯系方式等公民個人信息，分別按照每條2000元的價格非法出售給某殯葬服務公司實際控制人鄭某(另案處理)。

案例分析建議

　　醫療信息的泄露是本次案例的核心重點?！兑c》關于信息安全管理制度的第五條規定：醫療機構應當建立患者診療信息保護制度， 使用患者診療信息應當遵循合法依規、正當、必要的原則，不得出售或擅自向他人或其他機構提供患者診療信息。醫療核心制度信息安全制度第六條規定：醫療機構應當建立員工授權管理制度，明確員工的患者診療信息使用權限和相關責任。醫療機構應當為員工使用患者診療信息提供便利和安全保障，因個人授權信息保管不當造成的不良后果由被授權人承擔。

　　筆者根據醫療核心制度規定提出以下建議。

　　1.建立全流程的信息安全管理體制

　　醫院的信息安全需要有足夠的力量去保證信息安全管理制度的有效實施。這尤其反映在與其他組織的協調、合作機制中。大量實踐表明，信息安全管理部門應當與醫務、人事等組織建立起良好而有效的長期工作關系。

　　(1) 招聘

　　從信息安全觀點看，雇傭員工的過程中存在較多潛在的信息安全隱患。信息部門應與人力資源部門建立相應的溝通合作機制。一些常見的背景調查包括身份核查、教育和證書檢查、歷史工作經驗驗證、違法違規記錄調查等。

　　(2) 在職

　　1)保密協議及信息資產訪問授權確認。一旦候選人接受了工作，雇傭合同就成了重要的安全文件。在雇傭合同中可考慮增設醫療信息安全相關的保密協議。另外，涉及針對應用信息系統或重要資源的訪問，還可考慮要求員工簽署針對信息資產訪問/使用權限的授權確認。

　　2)安全意識提升、培訓和教育。后期篇幅將著重介紹。

　　(3)離職

　　在人員解聘過程中，應主要考慮加強對離任員工訪問信息的限制。具體的實踐可考慮：

　　1)離任員工對信息系統的訪問授權必須失效。

　　2)離任員工應確認歸還所使用的信息資產， 包括電腦、移動存儲介質等。

　　3)應取消離任員工對敏感區域的物理訪問授權。

　　針對安全等級較高崗位員工的離職，還可考慮開展離職審查、簽署保密協議等。

　　2.建立患者診療信息保護制度

　　患者診療信息保護制度主要有以下核心內容：信息系統內存儲的所有數據， 其所有權均歸屬醫院。嚴禁個人未經批準將醫院信息系統數據庫中的資料以任何形式有償或無償地提供給非授權組織(包括其他科室、第三方)和個人。具體內容包括醫務人員應根據醫療規范將患者的信息記錄在病歷資料等醫療文書中，不得記錄在與醫院規定的工作任務有關的文件中。在進行科研、教學時，除已取得權利人知情同意的情形外，不得披露患者的真實姓名等涉及隱私的信息。患者的醫療文書應受到妥善保管，任何人不得在未經授權的情況下翻閱和復制。必須通過電話、電子郵件等方式通報患者信息時， 醫務人員需確認信息接受者為患者本人或其近親屬，否則應避免披露患者信息，除非處于緊急事態。保險機構要求調閱復印患者病歷的，應當按照法律規定提供保險合同原件，承辦人員的有效身份證明，患者本人或者其代理人同意的法定證明材料;患者死亡的，應當提供保險合同復印件，承辦人員的有效身份證明，死亡患者近親屬或者其代理人同意的法定證明材料、合同或者法律另有規定的除外;患者的資料通過分級權限管理保護。

　　3.員工授權管理制度

　　通過對被授權者及其訪問權限操作行為的合規性進行監管、評估與記錄在案，建立與完善記錄操作日志，記錄一定周期內的行為日志，通過信息系統分析，確定操作行為的合理性。建議內容如下：

　　(1)一線主管醫師可以建立、隨時調閱并書寫自己所管患者的病歷。無特定授權的情況下， 無書寫其他患者電子病歷的權利。

　　(2)主管病區的主治醫師及以上職稱的醫師可以調閱、書寫、修改所管病區內所有患者電子病歷;護士長可以調閱、書寫、修改所管病區內所有患者的電子護理記錄;主管護士可以調閱、書寫、修改所管患者的電子護理記錄。所有修改痕跡保存在電子版本。

　　(3)值班醫務人員可以建立、調閱、書寫當值病區內所有患者的電子病歷。如值班的一線醫師為需要在上級醫師指導下工作者，應在當值班的有資質的醫師賬戶下設立臨時賬戶，并由后者負責對一線醫師書寫的病歷及開具的醫囑進行審查和修改。

　　(4)值班的二線及以上職責醫師可以調閱、書寫、修改所管病區內所有患者的病歷。

　　(5)各科室可以按照各自的工作流程需求設定醫師或護士的醫療管理、病歷管理人員的權限，但應符合醫院各級醫師及護士以及其他工作人員的工作職責要求。

　　4.實施信息安全培訓制度

　　醫院的組織是復雜的，不同工作崗位的人員，由于工作職責、崗位能力要求有差異，接觸的醫療信息重要性和面臨的風險狀況不同，需要的信息安全知識和信息安全培訓的側重點也是不同的。針對不同崗位定制不同的信息安全知識和能力培訓方案，將有效地降低工作中蘊含的風險隱患。

　　(1)醫院領導層

　　領導層的信息安全培訓，重點應該放在行業信息安全戰略和信息安全意識宣導方面，應該幫助領導了解衛生行業信息安全戰略方向、信息安全相關法律法規、主要的信息監管要求和監管趨勢、當下信息安全新形勢和管理新特點、信息安全組織架構、醫療機構信息安全的特性、需要保護的主要信息類別和分布情況、主要的風險事件案例等，為內部推行各類信息安全和風險控制措施奠定基礎。

　　(2) 醫院中層干部層

　　中層管理人員的信息安全培訓應側重于信息安全基本概念、信息安全相關法律法規、監管要求及趨勢、信息安全管理體系、主要的風險事件案例、業界最新風險防控思路及措施等方面，使他們理解什么是信息安全， 為什么要重視信息安全，本人管轄領域內哪些工作會涉及信息安全， 以及怎樣做好信息安全風險防控。

　　(3) 醫院基層員工

　　基層員工的信息安全培訓，應側重于醫院信息安全相關的制度和流程的具體內容、與信息安全行為相關的法律法規、敏感信息保護要求、敏感信息泄露行為導致的不良后果和真實案例、違規處罰措施、基本的信息安全操作技能和防護手段等方面，目的是幫助基層員工樹立信息安全保護的理念，提高合規操作和風險防范的意識，掌握具體的信息安全風險防控技能，降低因員工工作疏忽、操作不規范或有意泄露而造成的威脅。

　　(4) 外包人員

　　外包人員的信息安全培訓，應側重于醫院外包制度和流程的具體內容、信息安全保護具體要求、與信息安全行為相關的法律法規、泄密行為導致的不良后果和真實案例等方面，使外包人員樹立信息安全保護意識，了解信息安全行為失當導致的嚴重后果，提高日常工作的合規性，產生對信息安全的"敬畏之心”。

　　作者簡介

　　李順海，筆名易蘭珠，信息系統架構師、信息系統項目管理師，參與電子病歷應用水平評級、醫院互聯互通成熟度評級等工作。