三级医院需实施等级保护制度 发生网络安全事件延期评审
《三级医院评审标准(2020 年版)》于近日正式发布,此次标准共3 个部分101 节,设置448 条标准和监测指标。适用于三级医院,二级医院可参照使用。其中关于网络安全的相关条款一哥在此做一个整理,供大家学习。
第一部分为前置要求部分。共设3 节25 条评审前置条款。
医院在评审周期内发生一项及以上情形的,延期一年评审。延期期间原等次取消,按照“未定等”管理。旨在进一步发挥医院评审工作对于推动医院落实相关法律法规制度要求和改革政策的杠杆作用。
第一部分前置要求
三、安全管理与重大事件
(五)发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果。
我:这一点非常重要,也就是说在三级医院评审周期内如果发生了大规模医疗数据泄露或其他重大网络安全事件,造成严重后果的,那么将直接延期一年评审,延期期间原等次取消,按照“未定等”管理。所以网络安全工作可以说是在三级医院评审过程中的一票否决项,请各医院特别是主管领导务必重视,不可忽视网络安全问题,如果保证不发生大规模医疗数据泄露或其他重大网络安全事件,唯有在日常工作中踏踏实实地做好网络安全工作。
第三部分现场检查
第二章临床服务质量与安全管理
二、医疗质量安全核心制度
(四十三)实施电子病历的医院,应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。
(四十六)建立信息安全管理制度。明确医院主要负责人是患者诊疗信息安全管理第一责任人,依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系。
四、信息管理
(一百五十三)建立以院长为核心的医院信息化建设领导小组,有负责信息管理的专职机构,建立各部门间的组织协调机制,制订信息化发展规划,有与信息化建设配套的相关管理制度。
(一百五十五)落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。
我:这里我们可以看到三级医院的电子病历系统肯定要开展等级保护工作,而且三级医院的电子病历系统应当定为三级系统。同时我们的网络安全工作应按照《网络安全法》的要求,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。可以讲在三级医院的网络安全工作中应全面落实国家信息安全等级保护制度,实行信息系统按等级保护分级管理。三级医院没有开展等级保护工作,或者只做了一个核心系统的医院,其网络安全工作肯定落实还不够。一哥看到现在有部分医院为了省钱或者被部分人忽悠,刻意将多个系统打包合并成一个医院信息系统,这种做法其实是错误的。首先大部分医院的信息化系统是较为独立的各个业务系统;其次等保的初衷就是对不同等级的系统进行分级管理,理清重点,重点保护,如果等级都一样或者合成了一个,还谈什么实行信息系统按等级保护分级管理?
第一部分为前置要求部分。共设3 节25 条评审前置条款。
医院在评审周期内发生一项及以上情形的,延期一年评审。延期期间原等次取消,按照“未定等”管理。旨在进一步发挥医院评审工作对于推动医院落实相关法律法规制度要求和改革政策的杠杆作用。
第一部分前置要求
三、安全管理与重大事件
(五)发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果。
我:这一点非常重要,也就是说在三级医院评审周期内如果发生了大规模医疗数据泄露或其他重大网络安全事件,造成严重后果的,那么将直接延期一年评审,延期期间原等次取消,按照“未定等”管理。所以网络安全工作可以说是在三级医院评审过程中的一票否决项,请各医院特别是主管领导务必重视,不可忽视网络安全问题,如果保证不发生大规模医疗数据泄露或其他重大网络安全事件,唯有在日常工作中踏踏实实地做好网络安全工作。
第三部分现场检查
第二章临床服务质量与安全管理
二、医疗质量安全核心制度
(四十三)实施电子病历的医院,应当建立电子病历的建立、记录、修改、使用、存储、传输、质控、安全等级保护等管理制度。
(四十六)建立信息安全管理制度。明确医院主要负责人是患者诊疗信息安全管理第一责任人,依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系。
四、信息管理
(一百五十三)建立以院长为核心的医院信息化建设领导小组,有负责信息管理的专职机构,建立各部门间的组织协调机制,制订信息化发展规划,有与信息化建设配套的相关管理制度。
(一百五十五)落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。推动系统运行维护的规范化管理,落实突发事件响应机制,保证业务的连续性。
我:这里我们可以看到三级医院的电子病历系统肯定要开展等级保护工作,而且三级医院的电子病历系统应当定为三级系统。同时我们的网络安全工作应按照《网络安全法》的要求,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。可以讲在三级医院的网络安全工作中应全面落实国家信息安全等级保护制度,实行信息系统按等级保护分级管理。三级医院没有开展等级保护工作,或者只做了一个核心系统的医院,其网络安全工作肯定落实还不够。一哥看到现在有部分医院为了省钱或者被部分人忽悠,刻意将多个系统打包合并成一个医院信息系统,这种做法其实是错误的。首先大部分医院的信息化系统是较为独立的各个业务系统;其次等保的初衷就是对不同等级的系统进行分级管理,理清重点,重点保护,如果等级都一样或者合成了一个,还谈什么实行信息系统按等级保护分级管理?