病历及信息安全管理制度.docxVIP

病历及信息安全管理制度

一、总则

为规范医疗机构病历信息管理流程，保障患者隐私权益及医疗数据安全，防范病历信息泄露、篡改、滥用等风险，依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《医疗纠纷预防和处理条例》《电子病历应用管理规范（试行）》等法律法规及行业标准，结合本机构实际业务需求，制定本制度。

本制度适用于本机构所有涉及病历信息（含纸质病历与电子病历）采集、生成、存储、传输、访问、共享、销毁等全生命周期管理的部门及人员，包括临床科室、医技科室、信息科、病案室、行政管理部门及外包服务供应商（如有）。

二、管理职责

（一）机构主要负责人

作为病历信息安全第一责任人，负责审批病历信息安全战略规划、重大安全事件处置方案及年度安全投入预算；监督信息安全管理部门履行职责，定期听取安全工作汇报，确保病历信息安全与医疗业务发展同步推进。

（二）信息安全管理部门

1.统筹制定病历信息安全管理制度、操作规范及技术标准，明确各环节安全控制要求；

2.组织病历信息安全风险评估，每年度至少开展1次全面风险测评，针对高风险场景制定整改计划并跟踪落实；

3.监督各部门执行病历信息安全制度，定期检查电子病历系统访问日志、纸质病历借阅登记等记录，对违规行为提出处理建议；

4.组织开展全员病历信息安全培训，每年至少覆盖2次（含线上与线下），培