某医院PACS系统CA认证项目测试可行性报告.doc

某医院PACS系统CA认证项目 测试可行性报告 1项目提要 1.1项目名称∶某医院PACS系统CA认证项目 1. 2项目承办单位∶西部安全认证中心有限责任公司 1. 3建设性质∶CA认证集成 1. 4项目提出的理由与过程 电子病历是医疗信息化的一个重要的组成部分，是属于医院信息化水平的高级阶段，是建立在基本的医院信息管理系统（HIS） 、临床信息系统（CIS） ，医生工作站、护士工作站等应用系统和相关数据库的基础之上，既是医院内部的一种诊疗过程记录，同时也是一种具有法律性质的文书，既然病历是一种法律性质的文书就要确保电子病历的真实性和安全性。电子病历是由 CIS 中的医生工作站、护士工作站、PACS、LIS 和相关的医疗设备以及其他系统采集的信息，通过网络传输把信息保存在后台数据库上的数字电文，可见电子病历的数据采集、传输、存储都是由医院的 CIS 来完成。目前国内医院 CIS的电子病历的数据采集、传输、存储都没有统一的规范和标准，而且 CIS在医疗业务和信息技术上都是一个庞大复杂的管理系统，很多CIS 只关注其功能的实现，对数据安全考虑较少，因此人们会对电子病历数据的安全性、真实性和合法性带来质疑。本文把电子病历结合了数字证书进行应用，利用合法的第三方机构的 CA 认证来确保电子病历数据的真实性、安全性和合法性。 1. 5编制的目的 （1）阐述PACS系统CA认证功能集成实现。 （2）PACS系统集成CA认证后测试试用可行性。 （3）PACS系统集成CA认证后测试试用必要性。 （4）测试前提条件与方法。 1. 4项目概况 为贯彻《电子签名法》和《电子病历基本规范》，保障医疗管理信息系统的安全，规避医疗行为的法律风险，卫生部于2010年1月7日发布了《卫生系统电子认证服务管理办法（试行）》，从行业角度提出使用电子认证服务保障卫生信息系统安全，满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。随后，卫生部于2010年5月7日发布了《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》，制定了《卫生系统电子认证服务规范（试行）》等五个电子认证服务技术规范，研究部署在全国卫生系统推广电子认证服务应用。 某医院响应卫生部对医疗信息化安全规范，并结合自身实际需求，首先在PACS系统中集成CA认证功能，现功能开发、功能自测完成，需要选取相关业务科室在实际应用环境中进行功能测试。 2需求分析 ??? 目前，电子病历系统缺乏一种有效、安全的手段来规范约束患者和医院双方对病历的操作，缺乏完善的机制来解决医患纠纷问题，因此从技术上乃至法律角度严格保证患者病历的真实性、隐私性以及医疗行为的规范性等，是电子病历发展过程中亟待解决的问题。 用户身份的真实性 　　 对临床医生、主治医生和护士等医务人员进行身份可靠认证，确保账户安全，同时有效确保病人的诊疗信息安全。 电子病历的隐私性 　　 电子病历系统中包含了大量的敏感数据，这些信息在医院局域网传输过程中应采用加密手段。同时，电子病历要求一旦经过上级审签后，用户不能对病程、医嘱、诊断、处方等电子病历内容进行篡改。 医疗行为的责任性 　　 电子病历在医院的流转过程中，涉及到各级医务人员对电子病历的创建、修改、删除等操作，鉴于医患纠纷的普遍性及社会关注度，需建立有效的责任认定机制来确保电子病历的合法性。 医疗协同的可信性 　　电子病历作为区域健康档案系统等区域卫生平台信息系统的重要数据来源，及数据传输的安全性以及交换过程中的责任性是医疗卫生信息系统实现互联互通的前提条件。设计思路 　　：利用数字证书，实现对医护人员身份真实性认证，利用数字签名和时间戳等技术实现数据的可靠性、合法性保证，建立基于“可信身份、可信数据、可信时间、可信行为”的安全保证机制。 　　方案设计 　　按照设计思路，针对的安全需求，CA依据《中华人民共和国电子签名法》和《电子病历基本规范（试行）》，采用PKI技术，为系统设计如下应用安全解决方案。（1）基于CA合法的第三方电子认证机构，利用数字证书，对医护人员身份进行可靠认证，并为电子病历的操作行为的不可抵赖和数据安全奠定基础。 　　（2）通过在部署时间戳服务，确保生命周期中重要业务环节的行为和时间可信化认证，从而保证了确保了电子病历的法律效力，有效建立了医患纠纷的责任认定机制。 　　（3）通过部署数字签名/验证服务器，实现数据交换过程中的安全传输以及责任认定。 　　方案特点 　　PKI技术的应用使得整个产生全过程受法律许可的第三方机构CA监控并公证，与纸质病历一样受法律认可，从而彻底解决了的真实可靠问题，确保了的法律效力。 　　（1）合法性保证 依据《电子病历基本规范（试行）》以及《电子病历基本架构与数据