亡故患者信息安全管理制度.docxVIP

亡故患者信息安全管理制度

一、总则

（一）目的与依据

为规范医疗机构亡故患者信息的处理活动，保障亡故患者信息的机密性、完整性和可用性，维护患者及家属合法权益，促进医疗机构信息安全管理规范化、制度化，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗质量安全核心制度要点》《医疗健康数据安全管理规范》等法律法规、部门规章及行业标准，结合医疗机构实际情况制定本制度。

（二）适用范围

本制度适用于医疗机构内所有涉及亡故患者信息处理、存储、传输、使用、销毁等活动的部门（包括临床科室、医技科室、信息科、病案科、科研管理部门等）及相关人员（包括医务人员、管理人员、科研人员、信息技术人员、保洁人员等）。外部合作方范围：为医疗机构提供与亡故患者信息处理相关服务的外包服务商、合作研究机构等，应遵守本制度要求。客体范围：本制度所称亡故患者信息，是指患者在医疗机构接受诊疗服务过程中形成及产生的，能够单独或与其他信息结合识别患者个人身份的各种信息，包括但不限于：1.个人基本信息：姓名、性别、出生日期、身份证号、联系方式、家庭住址、工作单位等；2.健康与诊疗信息：病历记录（门诊病历、住院病历、病程记录、手术记录等）、检查检验结果（影像学资料、实验室报告等）、诊断证明、治疗记录、用药信息、手术及麻醉记录、护理记录等；3.生物识别信息：指纹、虹膜、人脸、基因等；4.遗传信息及生物样本信息：血液、组织等生物样本及其相关遗传数据；5.其他与亡故患者相关的敏感信息：医疗费用信息、医保信息、伦理审查信息等。

（三）基本原则

1.合法合规原则：亡故患者信息的处理活动应当遵守法律法规、规章和标准要求，符合数据分类分级管理规范，不得非法收集、使用、存储、传输、泄露、篡改、毁损亡故患者信息。处理涉及亡故患者个人信息时，应遵循《个人信息保护法》关于死者个人信息处理的规定，不得违反死者生前意愿或公共利益。

2.最小必要原则：处理亡故患者信息应限于实现特定目的所必需的最小范围，不得过度收集或处理与目的无关的信息。例如，临床诊疗仅必要获取与当前诊疗相关的信息，科研使用应仅获取研究必需的脱敏或匿名化信息。

3.权责一致原则：医疗机构各部门及人员对其在职责范围内处理的亡故患者信息安全承担直接责任，主要负责人为第一责任人。明确信息处理各环节的责任主体和责任边界，确保责任落实到人。

4.全程管控原则：对亡故患者信息实施全生命周期安全管理，包括信息产生、采集、存储、传输、使用、共享、销毁等各环节，制定相应管控措施，确保信息在各环节的安全可控。

5.特殊保护原则：亡故患者信息虽涉及已故主体，但其信息可能涉及家属隐私、社会公共利益或医学研究价值，应采取比一般个人信息更严格的保护措施，防止未授权访问、滥用或非法交易。

二、组织架构与职责

（一）组织设置

1.信息安全管理委员会的组建

医疗机构应成立信息安全管理委员会，作为亡故患者信息安全管理的最高决策机构。委员会由院长或分管副院长担任主任，成员包括信息科、病案科、临床科室、科研管理部门及法务部门的负责人，必要时邀请外部专家参与。委员会每月召开一次例会，审议信息安全政策、评估风险事件、协调跨部门协作。例如，当发生信息泄露时，委员会需在24小时内启动应急响应，组织调查并制定整改措施。委员会下设办公室，设在信息科，负责日常事务处理，如政策宣传、文件归档和会议记录。办公室配备专职安全专员，确保委员会决策的落实和追踪。

2.各部门职责分工

信息科负责技术层面的安全管控，包括亡故患者信息的加密存储、访问权限设置和系统维护。具体操作中，信息科需部署防火墙和入侵检测系统，定期更新软件补丁，防止黑客攻击。同时，建立数据备份机制，确保信息在硬件故障时能快速恢复。病案科侧重于物理和流程管理，负责患者档案的归档、借阅和销毁。例如，病案室需安装监控摄像头，实施双人锁柜制度，档案借阅需经科室主任审批，并记录在案。临床科室如内科、外科等，在诊疗过程中需遵守信息保密规范，如电子病历录入后立即锁定，避免未授权修改。科研管理部门则监督科研项目的数据使用，确保研究团队在获取亡故患者信息时签署保密协议，并匿名化处理数据。各部门职责需通过制度文件明确，每年更新一次，以适应业务变化。

（二）人员管理

1.人员培训与认证

医疗机构应建立全员培训体系，确保所有接触亡故患者信息的人员掌握安全知识。培训内容包括制度解读、操作演练和案例分析，例如模拟信息泄露场景，让员工练习应对流程。培训分为新员工入职培训和在职员工年度培训，新员工培训时长不少于8小时，在职员工每季度参加一次线上课程，并通过考核认证。考核不合格者需重新培训，直至达标。此外，设立信息安全专员岗位，由信息科选拔经验丰富的员工担任，负责部门内的日常指导和监督。专员需每半