第五十八条 中医医院信息系统突发事件应急管理的基本要求包括: ——应对原则:统一领导、分级控制、预防为主、健全制度、快速响应、有效配合。 ——建立突发事件应对体系,包括组织机构、工作职责、应急预案、应急演练、通信系统以及必要的物资储备等。 ——应急预案采用手工、半手工、备用系统等多种可使业务持续运行的手段,对关键业务的处理流程制定应急操作步骤,定期按照计划实施演练。 ——建立信息系统预警等级制度,发生信息系统突发事件,立即上报和确定等级,启动相应应急预案。 ——定期开展应对信息系统突发事件的宣传和技术培训,保证应急预案的有效实施,不断提高信息系统的应急能力。
第五十九条 鼓励中医医院开展信息系统审计工作,建立信息系统审计制度,医院审计部门或委托第三方在系统设计、实施、运行、验收等阶段对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制。
第六十条 中医医院应当加强信息系统风险评估,定期对信息系统的风险进行有效的识别、分析和控制,包括硬件资源的破坏与丢失、数据与程序文件的破坏与丢失、对实现系统功能的不利影响和对系统资源的非法使用等;针对风险分析结果制定相应的预防措施;保密分析过程与结果,避免非法利用系统弱点。
第六十一条 中医医院应当评估应用大数据、人工智能、区块链等技术的安全风险,做好安全管控,达到应用与安全的平衡。
第六十二条 中医医院应当加强数据安全管理。 ——每年全面梳理数据资源,依据数据的重要程度以及遭到破坏后的危害程度对医院数据进行分类分级。 ——健全数据安全管理制度、操作规程及技术规范,建立完善数据使用申请及批准流程,实行事前审批、事中监管、事后审核,严格执行职能部门同意、医院领导核准的工作流程,指导数据活动流程合规。 ——严格执行信息安全和医疗数据保密的有关法律法规,不得私自复制、下载、传播和泄漏患者信息。 ——加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理,做好医疗数据安全存储和容灾备份,建立健全患者信息等敏感数据委托处理、对外共享影响评估制度。数据全生命周期活动应在境内开展,因业务确需向境外提供的,依法依规进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动须提交国家安全审查,防止数据安全事件发生。
第八章 数据管理与利用
第六十三条 中医医院应当充分利用数据资源,以数据产权、流通交易、收益分配、安全治理为重点,积极开展数据管理和利用,构建适应中医药数据特征的数据基础制度,实现数据要素价值。
第六十四条 中医医院应当积极探索建立数据资源管理制度。依法合规管理数据资源,保护中医药数据在收集、生成、存储、管理数据资源过程中的相关权益,组织梳理数据资源范围,确认数据资源目录清单,明晰数据资源权责关系,构建分类科学的数据资源产权体系。
第六十五条 中医医院应建立分类科学、分级准确、管理有序的数据治理体系,围绕数据全生命周期,建立数据治理服务平台,通过质量监控、诊断评估、清洗修复、数据维护等方式,提高数据质量,确保数据可用、易用。
第六十六条 中医医院应当稳妥推动数据资源开发利用,完善数据资源开发利用规则,推进形成权责清晰、过程透明、风险可控的数据资源开发利用机制,严格按照“原始数据不出域、数据可用不可见”要求和资产管理制度规定,探索开展数据资源开发利用新模式。
第六十七条 中医医院应当做好数据的分析、利用工作,加强大数据、人工智能等新一代信息技术应用,规范利用数据要素,构建中医医院数据分析和利用管理体系。包括但不限于以下内容: ——管理决策支持:支持指标管理、实时统计分析的管理辅助决策,支持基于大数据的疾病分析、智能报告、决策推演、移动决策等。 ——临床决策支持:包括病案智能分析、临床辅助诊断与决策支持、具备统计模型的大数据科研平台等。 ——名老中医经验传承:包括名老中医学术思想、临床经验等数据分析。 ——中医药文化传承:包括古籍知识、方剂知识、穴位知识、针灸处方、病症知识等数据分析利用。 ——中医药科技成果转化与推广:包括中医药科研数据交流共享、科研成果转化、专长绝技收集整理等。
第六十八条 中医医院应当做好数据共享利用工作,建设跨地域、跨部门、跨系统的数据共享机制,明确数据共享的原则、协议和安全管理措施,做好医院内及医院间数据共享工作,实现数据的互联、互通、互认。
|
