天津
电子病历系统异常访问行为
监测与处置制度
导语:根据《医疗机构患者医疗信息规范管理专项整治行动方案》(国家卫生健康委办公厅等三部门,2025年6月23日),“异常访问预警机制缺失,存在权限滥用、超范围超时限查询和使用患者医疗信息等问题”被纳入重点整治范围。为此,杏林职苑特编制医疗机构《电子病历系统异常访问行为监测与处置制度》,包括总则、职责分工、异常访问行为监测、异常访问行为处置、责任追究、附则等内容,并附3个表单,可供各级各类医疗机构参考。
目录
一、总则
二、职责分工
三、异常访问行为监测
(一)监测范围
(二)异常访问行为判定标准
(三)监测技术平台
(四)监测方式与频次
四、异常访问行为处置
(一)处置分级
(二)处置流程
(三)处置记录与归档
五、责任追究
(一)用户责任
(二)管理责任
六、附则
附件1:异常访问行为报告表(模板)
附件2:异常访问行为调查报告(模板)
附件3:异常访问行为处置记录表(模板)
一、总则
1.目的
为规范电子病历系统(以下简称“EMR系统”)异常访问行为的监测、识别与处置流程,保障患者隐私和医疗数据安全,根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《电子病历应用管理规范(试行)》《医疗卫生机构网络安全管理办法》《GB/T 39725—2020 信息安全技术 健康医疗数据安全指南》等法律法规及标准,结合本院实际,制定本制度。
2.定义
异常访问行为:指违反EMR系统权限管理规则、未经授权或超出授权范围的操作,包括但不限于未授权访问、越权操作、异常时间/地点访问、批量数据操作、高频次违规操作等(具体见本制度第二章 )。
3.适用范围
本制度适用于全院所有通过终端设备(包括电脑、移动设备等)访问EMR系统的人员(含医务人员、行政管理人员、技术维护人员、进修实习人员、临时授权人员等),以及与EMR系统相关的网络、硬件、软件及数据管理活动。
4.基本原则
预防为主:建立常态化监测机制,提前识别潜在风险,减少异常访问行为发生。
分级处置:根据异常行为的风险等级,采取相应的处置措施,确保响应及时、适度。
责任明确:明确各部门及人员在监测、处置、追责等环节的职责,确保责任到岗到人。
全程记录:对异常访问行为的监测、处置、调查等过程进行完整记录,留存可追溯证据。
二、职责分工
1.网络安全应急领导小组:统筹协调全院电子病历系统异常访问行为监测与处置工作,审批重大处置决策,监督各部门职责履行情况。
2.信息科:负责搭建监测技术平台、实时监测EMR系统运行状态、系统权限分级管理、操作日志审计及异常访问监测与预警、系统故障应急处置。
3.医务部:负责异常访问行为涉及的医疗行为核查,确认是否影响患者诊疗安全,对相关医务人员进行调查处理。
4.科教科:负责对实习、规培、进修等教学人员的异常访问行为进行核查,确认是否符合教学范围和时限要求。
5.质控科/病案科:负责核查电子病历修改的合规性,协助判断异常操作对病历质量的影响。
6.纪检监察办:负责对异常访问行为涉及的违规违纪情况进行调查核实,提出处理意见,落实责任追究。
7.法务部:负责对异常访问行为涉及的法律风险进行评估,提供法律咨询,协助处理相关纠纷。
8.各临床/医技科室:负责本科室医务人员的日常管理,及时上报发现的异常访问行为,配合调查处置。
三、异常访问行为监测
(一)监测范围
1.访问主体:包括用户账号、IP地址、终端设备标识、访问权限等级等。
本专《医疗机构患者医疗信息规范管理指引》包括“患者医疗信息规范管理专项整治行动实施细则,患者医疗信息管理制度,电子病历系统分级授权与权限管理规定,患者医疗信息收集、存储、使用、传输、处理与发布规范”等内容。欢迎将本专栏加入书架收藏。
