各省、自治區、直轄市中醫藥主管部門,新疆生產建設兵團衛生健康委,局機關各部門、直屬(管)各單位:
為進一步加強和規范中醫醫院信息化建設,提升中醫醫院信息化與數字化水平,我局對《中醫醫院信息化建設基本規范》(國中醫藥辦發〔2011〕46號)進行修訂,形成了《中醫醫院信息與數字化建設規范(2024版)》。現印發給你們,請參照執行。
國家中醫藥管理局
2024年12月5日
(信息公開形式:主動公開)
中醫醫院信息與數字化建設規范(2024版)
第一章 總則
第一條 為加強和規范中醫醫院信息與數字化建設,提升中醫醫院智慧化水平,保障醫療質量和安全,提高管理水平和服務效率,促進中醫藥與新一代信息技術快速融合發展,根據國家相關法律法規、標準規范和行業管理規定,結合中醫醫院實際,特制定本規范。
第二條 中醫醫院信息與數字化建設的目標是:以中醫醫院高質量發展為導向,以患者為中心,以業務應用為核心,以數據資源為關鍵要素,充分運用新一代信息技術,統籌發展和安全,重塑管理與服務模式,堅持傳承精華、守正創新,持續推動醫院業務與信息技術深度融合,構建中醫藥特色鮮明、服務管理規范、系統安全高效、信息互通共享的智慧中醫醫院。
第三條 中醫醫院信息與數字化建設應當遵循以人為本、統籌規劃,業務驅動、標準規范,信息互聯、資源共享,安全可控、實用高效的原則。
第四條 中醫醫院應當充分運用云計算、大數據、物聯網、移動互聯網、人工智能、區塊鏈等新一代信息技術,強化整體規劃與頂層設計,深化醫療業務智能應用,重塑患者服務體系,優化診療流程,貫通診前、診中、診后各環節,實現業務管理一體化、臨床科研一體化、線上線下一體化,創新中醫醫院醫療服務與管理模式,提升中醫醫院智慧化水平。
第五條 中醫醫院應當積極推進互聯網中醫醫院、互聯網中醫醫療服務和遠程醫療服務的發展,持續推進“互聯網+中醫藥”便民惠民服務向縱深發展,推動開展線上線下一體化服務,提升便捷化、智能化、人性化服務水平;優化中醫藥資源配置,促進優質中醫藥資源下沉,推進區域中醫藥資源整合共享,提高中醫藥服務能力、水平和效率。
第六條 中醫醫院應當充分發揮信息化對醫療聯合體的支撐作用,對接區域全民健康信息平臺和中醫館健康信息平臺,強化中醫藥特色應用和業務功能集成,推進醫療聯合體實現協同管理,促進電子健康檔案和中醫電子病歷的連續記錄與信息共享,實現醫療聯合體內信息互通共享。
第七條 中醫醫院應當以數據應用為導向,堅持價值引領、基礎先行、穩步推進、融合創新、安全發展、開放合作的原則,推動中醫藥數據合規高效流通使用,為中醫醫院傳承創新和高質量發展提供數據支撐。
第八條 中醫醫院應當堅持安全與發展并重,履行網絡安全和數據安全保護責任義務,嚴格執行網絡安全等級保護、商用密碼應用安全性評估、健康醫療數據分類分級、數據安全管理和個人信息保護要求,強化中醫醫院關鍵信息基礎設施的安全防護。
第九條 中醫醫院信息與數字化建設應當遵循國家和地方有關法律法規和管理制度,執行國家衛生健康委員會、國家中醫藥管理局等部門的相關標準與規范。
第十條 本規范適用于二級及以上中醫醫院、中西醫結合醫院、少數民族醫醫院。
第二章 機構人員
第十一條 中醫醫院應當成立網絡安全和信息化工作領導小組,由醫院主要負責人擔任組長,成員包括書記或院長、分管副院長、信息管理與技術部門以及相關部門負責人。主要職責:統一領導和管理醫院信息化和網絡安全工作,審議醫院信息化建設總體規劃、年度計劃,審核網絡安全和信息化管理制度,協調醫院網絡安全和信息化建設中的重大問題。
第十二條 中醫醫院應當設立信息管理與技術部門(醫院一級職能部門)。主要職責:擬訂醫院網絡安全和信息化建設總體規劃、年度計劃、年度資金預算,制定醫院網絡安全、數據安全和信息化建設管理規章制度,負責醫院信息基礎設施、信息系統的建設與運維,負責網絡安全與數據安全管理,負責醫院數據資源的管理、分析和利用,負責信息技術的咨詢和服務,承擔其他信息化相關工作。
第十三條 中醫醫院應當成立信息化技術協調工作小組,信息管理與技術部門負責人擔任組長,成員包括信息管理與技術部門以及相關部門負責人和相關學科的專家。主要職責:負責信息化工作的技術協調、流程優化、需求分析、標準規范和管理制度制定、業務培訓以及軟硬件產品選型等。各部門、各業務科室應當設置專(兼)職信息員,負責聯系協調信息管理與技術部門開展有關信息化工作。
第十四條 中醫醫院應當按開放床位與人員比例原則上不低于100:1.5合理配備專職信息管理和技術人員,開設互聯網中醫醫院以及有第三方技術服務人員提供信息服務的情況下酌情增減。
第十五條 中醫醫院應當建立信息化工作定崗定責制度,明確崗位分工與崗位職責,重要崗位實行雙人負責制,敏感崗位實行輪崗制,簽訂安全保密協議。信息技術人員應當具備計算機技術、醫藥信息及相關專業的技術知識與技能。
第十六條 中醫醫院應當將信息管理與技術培訓、網絡安全與數據安全教育培訓納入醫院全員業務培訓計劃,開展包括入職培訓、定期培訓、項目培訓、專題培訓以及院外學習等培訓和考核,考核結果納入上崗條件和繼續教育的內容。
第三章 規劃與管理
第十七條 中醫醫院應當將信息化工作列入醫院發展的總體目標,加強整體規劃和頂層設計,制定醫院信息化長期規劃、年度計劃、網絡安全與數據安全計劃,滿足醫院整體發展的要求。
第十八條 中醫醫院應當將信息化建設與運維經費列入醫院年度預算,加大經費投入,確保醫院信息化建設快速發展。
第十九條 中醫醫院信息化建設規劃制定應當根據醫院發展戰略要求,按照系統性、實用性、先進性、安全性、擴展性的要求,做好現狀分析,明確醫院信息化發展目標、主要任務和保障措施,突出重點,處理好全局與局部、近期與長期的關系。
第二十條 中醫醫院信息化建設項目應當按照立項、采購、實施、驗收、審計和評估等流程建設與管理,根據國家和地方的相關政策,做好招投標管理、政府采購、固定資產投資管理、項目管理等工作。
第二十一條 中醫醫院應當以服務為導向,制定信息化工作管理制度,明確工作范圍,定期檢查執行情況及效果。管理制度包括信息化建設項目立項、實施、驗收及值班、用戶服務、數據服務、機房、數據備份、網絡安全、應急響應、資產、文檔、信息設備、信息系統、服務外包等。
第二十二條 中醫醫院應當積極開展互聯網中醫醫院、互聯網中醫醫療服務和遠程醫療服務建設,建立基于互聯網的醫療服務管理體系和相關管理制度、人員崗位職責、服務流程。管理制度包括醫療服務管理、信息系統使用管理、醫療質量控制和評價、在線處方管理、患者知情同意與登記、在線醫療文書管理、在線復診患者風險評估與突發狀況預防處置、人員培訓考核以及停電、斷網、設備故障、網絡安全等突發事件的應急預案等。
第二十三條 中醫醫院應當加強信息化工作考核管理,建立信息化工作考核獎懲制度,明確考核內容、形式、周期和方法。
第四章 基礎設施
第二十四條 中醫醫院信息化基礎設施一般包括機房基礎、服務器、存儲、網絡與安全設備、終端設備等硬件設施以及基礎軟件、客戶端、其他輔助設施等。基礎設施應當選用自主可控、安全可信的先進技術,具備良好的可靠性、可擴展性、可管理性和高效性,做到安全適用、節能環保。鼓勵發展綠色智能終端、綠色信息網絡等,推進綠色化發展。
第二十五條 數據中心機房基礎設施建設應當依據《數據中心設計規范》(GB 50174-2017)等相關要求和醫院實際,二級中醫醫院參照C級標準、三級中醫醫院參照B級標準進行規劃設計和建設,確保基礎設施設備與信息系統穩定、高效、節能、安全運行。在本地或異地應當建立與主機房同等級的容災備用機房,備用機房面積為主機房的50%及以上。
第二十六條 服務器應當根據醫院規模和業務發展實際合理配置,滿足以下主要技術要求:
——基本要求:資源配置(CPU、內存、硬盤、I/O等)與業務需求相匹配,實現資源均衡發展與使用。
——可擴展性:具有橫向和縱向可擴展性,滿足信息系統的處理能力需求。
——高可靠性:服務器各部件在提供足夠性能的前提下,具有良好的可靠性,并能提供多種保護機制和冗余設計。
——管理自動化:提供標準化的接口以支持監控和管理功能。
第二十七條 存儲系統配置應當結合醫院業務總體需求特點綜合規劃,支持信息系統業務的連續性,基本技術要求包括:
——高可靠性:選用高可靠性存儲產品,設備充分考慮冗余、容錯能力。
——可擴展性:根據醫院業務的變化進行平滑擴充和升級。
——靈活性和簡便性:支持集中監控、分權管理,統一分配存儲資源,支持故障自動報警。
——高性能:具備高吞吐低延時能力,保證數據可靠高速傳輸。
第二十八條 終端設備配置應當滿足信息系統的運行需要,支持信息系統所需的各種接入設備,具有穩定性、安全性、兼容性、擴展性。
第二十九條 基礎軟件應當滿足以下基本技術要求:
——操作系統支持主流服務器、終端設備,支持應用開發的主流框架。
——服務器虛擬化軟件具備虛擬化集群、虛擬機配置管理、網絡策略管理、在線遷移、在線克隆模板等功能,支持主流基礎設施組件,具備報警管理、主流參數的閾值配置管理功能,支持主流內置備份模塊,具備I/O虛擬化、動態負載均衡、故障自動遷移等功能。
——桌面虛擬化軟件支持主流終端和外設、終端操作系統,具備批量部署、升級、桌面負載均衡等管理功能,支持應用快速部署、主流安全訪問控制技術。
——數據庫系統應當兼容主流服務器操作系統,滿足信息系統高并發要求。
第三十條 網絡系統建設應當符合國家相關技術標準和規范要求,充分體現高性能、高可用性、高擴展性、高安全性和先進性,提供足夠網絡帶寬容量,滿足醫院信息系統可靠性、安全性、災備的要求,根據業務需求劃分為不同網絡分別管理,支持設備級和鏈路級的冗余備份,滿足醫院業務需求及不間斷運行。
第三十一條 網絡設備應當根據信息化業務實際進行配置,核心設備技術要求包括:
——核心交換機的核心模塊應當冗余配置,支持主流轉發模式、堆疊技術、隧道及加密技術等,支持主流的二、三層網絡協議及安全加密傳輸技術,支持多業務板卡,并具備一定的擴展性。業務板卡支持熱插拔,支持千兆光電網口、萬兆光電網口。
——無線控制器支持主流接入控制、虛擬化、分層管理等技術,支持主流安全防御技術,支持無感知認證和主流轉發模式,吞吐性能和最大無線訪問接入點數量根據實際選配。
第三十二條 容災備份系統應當與醫院信息系統建設同步進行,充分利用已有資源,堅持成本和效益平衡,選擇適宜的技術架構,保障數據完整性和應用連續性。
第三十三條 中醫醫院選擇服務器、存儲設備等托管或租用服務,服務提供商應當具備相關資質,數據中心符合國家、行業相關標準和規范,并具備完善的機房設施、充足可靠的網絡資源、可靠的安全防護體系、專業的運維監控平臺以及容災備份系統等。
第五章 信息平臺與業務應用
第三十四條 中醫醫院應當開展以中醫電子病歷為核心的醫院信息平臺建設,突出中醫藥特色,實現醫院內部和區域之間信息資源的高效統一、系統整合、互聯互通、信息共享。注重人工智能等新一代信息技術的融合應用,加強對“算力”“算法”資源的利用。
第三十五條 基于中醫電子病歷的醫院信息平臺是以中醫電子病歷的信息采集、存儲和集中管理為基礎,連接臨床信息系統和管理信息系統的醫療信息共享和業務協作平臺,是醫院內不同業務系統之間實現統一集成、資源整合和高效運轉的基礎和載體,是跨機構醫療信息共享和業務協同服務的重要環節。
第三十六條 中醫醫院信息平臺基本要求包括:
——軟件架構:具有消息路由功能,支持醫院自動化業務流程編排和人工參與的工作流,支持基于事件驅動的消息傳輸機制,支持服務的發布與訂閱。
——管理功能:提供管理所有業務系統集成節點的工具,監控醫院信息平臺運行狀態,及時反饋運行狀態信息;支持對訪問內容的用戶授權及認證,支持數據防篡改及隱私數據保密,支持業務流程的追蹤與審計,支持日志的記錄與查看,支持消息可靠性傳遞及消息追蹤等;提供二次開發環境,支持基礎業務組件的封裝和維護管理。
——交互信息:支持醫療健康與中醫藥數據標準。
——集成能力:支持使用主流技術對院內服務和區域服務進行封裝和集成。
——穩定性:保持系統的穩定、可靠、持續運行。
——安全性:滿足網絡安全等級保護相關要求。
第三十七條 中醫醫院信息平臺基本功能要求包括:
——業務及數據服務:對主數據進行注冊登記,建立唯一標識和資源索引,實現服務資源共享;提供主數據共享管理和應用服務,實現患者主索引生成、維護及應用服務,支持電子病歷檔案的獲取、組織和共享管理服務。
——數據訪問與存儲:對信息系統提供標準的數據交換和共享服務,實現平臺數據的統一存儲、處理和管理,支持對數據進行評價和分析。
——業務協同基礎:提供與醫療業務協同相關的管理和服務,實現多種協同服務工具的組件化和統一管理。
——服務接入與管控:實現用戶僅登錄一次即可訪問所有授權信息系統,對平臺接入的服務進行可視化的配置管理,支持對平臺運行狀態的智能監控和故障分析。
——醫院門戶:實現醫院各類信息基于瀏覽器的集成展示和發布,具備各種應用系統、數據資源和互聯網資源等多項信息集成訪問及發布功能。
第三十八條 中醫醫院信息平臺安全與性能基本要求包括:
——滿足《信息安全技術 信息系統災難恢復規范》(GB/T 20988-2007)等相關標準對系統災備恢復的要求。
——保證數據傳輸通暢、快捷、安全。
——帶寬能保證系統正常訪問。
——提供多種接入方式,必要時需提供安全認證手段。
第三十九條 中醫醫院應當推進業務應用系統建設,保障醫療質量和安全,提高醫療服務效率,突出中醫藥特色應用,改善群眾就醫體驗,提升便民服務能力,加強醫療服務監管,為人民群眾提供全方位醫療服務。
——實現診療服務環節全覆蓋:將電子病歷數字化向門診、藥學、護理、麻醉手術、影像、檢驗、病理以及中醫藥特色治療等診療環節拓展,全面提升臨床診療工作的數字化程度,實現電子病歷數字化診療服務環節全覆蓋。
——提供臨床診療決策支持:將臨床路徑、臨床診療指南、技術規范和用藥指南等嵌入信息系統,提高臨床診療規范化水平。
——改善醫療服務體驗:推進便捷就醫服務,優化醫療服務流程,貫通診前、診中、診后各環節,為患者提供線上預約、移動支付、診間結算、床旁結算、就診提醒、結果查詢、信息推送等便捷服務。
——強化診療行為監管:開發并應用數字化評判工具,分析判斷診療行為是否符合相關法律法規、核心制度、技術規范、用藥指南等要求。強化診療權限管理,將醫師資格、護士資格、醫師處方權、手術級別權限、抗菌藥物處方權限等信息納入中醫電子病歷系統,實現后臺控制與管理,對醫務人員登錄電子病歷系統記錄、查閱、修改病歷信息和簽署醫療文書等分級分類設置權限,防止出現超權限診療行為。
——加強中醫醫療質量控制和評價:利用中醫電子病歷系統開展醫療服務質量控制、效果和效率指標的統計分析和評價。建立質量控制數字化指標體系,確立質控節點和方法,實施全程、實時、全面醫療質量控制。
——大力推進中醫藥特色應用:建立智能化的輔助決策系統和名老中醫藥專家經驗傳承及推廣應用系統,積極開展共享中藥房和中醫藥健康管理智慧化建設,強化中醫藥特色治療過程與質量的智慧化管理和控制,持續提升中醫藥特色治療療效、服務質量和管理水平,為患者提供全流程的數字化、智能化中醫藥特色服務。
——促進線上線下醫療服務融合發展:應用互聯網等信息技術拓展醫療服務空間和內容,推進遠程監測、遠程指導、健康教育,允許醫師在掌握患者病歷資料后在線開展部分常見病、慢性病復診及開具處方,藥師在線審核處方及藥品配送等。
——推進系統整合和互聯互通:加強醫院信息平臺建設,形成基于平臺的整體統一的中醫電子病歷系統,實現醫院各診療環節信息互聯互通,建立緊密型醫療聯合體的中醫醫院,實現醫聯體內各醫療機構電子病歷系統互聯互通。
第四十條 中醫醫院業務應用系統應當參照《全國醫院信息化建設標準與規范(試行)》及中醫醫院相關業務應用系統標準規范開展建設。
第四十一條 中醫醫院業務應用包括但不限于以下功能點:
——便民服務:包括互聯網服務、預約服務、就診服務、信用服務、陪護服務、藥品配送服務、滿意度評價、信息推送與公開等。
——醫療服務:包括中醫醫療業務、中醫護理業務、醫技業務、治未病業務、慢病業務、中醫藥特色業務等。
——醫療管理:包括醫務管理、護理管理、藥事管理、院感管理、衛生應急管理、數據上報管理、煎藥管理等。
——醫療協同:包括院內協同、區域協同等。
——運營管理:包括財務管理、預算成本管理、資產管理、設備管理、物資管理、基建管理等。
——科研管理:包括科研項目管理、科研輔助管理、應用轉化管理、臨床試驗等。
——教育管理:包括學分管理、培訓管理、考試管理、繼續教育管理以及師承教育管理等。
——人力資源管理:包括人力資源信息管理、績效管理、戰略規劃、執行管理等。
——后勤管理:包括樓宇智能管理、醫療輔助管理、會議管理等。
第四十二條 中醫醫院開展互聯網診療、遠程醫療和設置互聯網醫院應當遵循國家衛生健康委員會、國家中醫藥管理局等行政主管部門的相關規定。
第六章 標準與測評
第四十三條 中醫醫院信息標準建設與應用應當遵循國家和行業標準,按照標準先行、規范有序、統一共享、開放融合的基本要求,制定標準應用實施方案,積極采用國家、行業、地方信息標準,鼓勵應用中醫藥信息團體標準。鼓勵少數民族醫醫院根據自身條件應用相關標準。
第四十四條 中醫醫院應當基于國家、行業和地方信息標準規范,結合醫院實際,制修訂、應用、實施和管理醫院相關信息標準,在信息化系統建設和運維管理時制訂和應用實施相關標準,實現系統之間標準統一,現有系統逐步向標準規范過渡。
第四十五條 中醫醫院應當持續推進標準規范應用實施工作,形成學習標準、遵守標準、運用標準、貫徹標準的良好氛圍,主動運用標準評價醫院信息化應用水平和效果。
第四十六條 中醫醫院應當積極參加醫院信息互聯互通標準化成熟度測評及實際應用效果評價,實現診前、診中、診后全流程各環節信息互聯互通,三級醫院達到醫院信息互聯互通標準化成熟度測評四級及以上水平,二級醫院達到醫院信息互聯互通標準化成熟度測評三級及以上水平。少數民族醫醫院根據實際情況,參照執行。
第四十七條 中醫醫院應當持續推進智慧醫療、智慧服務、智慧管理“三位一體”的智慧醫院建設,中醫醫院應當積極參加電子病歷系統應用水平、智慧服務和智慧管理分級評估并達到相關要求。
第七章 安全防護
第四十八條 中醫醫院網絡安全管理應當堅持“等級保護、突出重點、積極防御、綜合防護”的基本要求,落實和實施網絡安全等級保護制度,建立健全網絡安全管理制度,明確網絡安全管理崗位與職責,全面梳理分析網絡安全保護需求,建立醫院網絡安全防護體系和總體安全策略。
第四十九條 中醫醫院應當按照《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240-2020)進行網絡安全等級保護定級、備案、測評、安全建設整改等。
第五十條 中醫醫院應當按照《密碼法》等有關法律法規使用商用密碼保護信息系統和網絡設施,同步規劃、同步建設、同步運行商用密碼保障系統,定期委托商用密碼檢測機構開展商用密碼應用安全性評估。
第五十一條 安全技術主要從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等方面進行安全防范和保護,基本要求包括:
——安全物理環境:從物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等方面實施安全防范。
——安全通信網絡:包括網絡架構、通信傳輸和可信驗證,網絡架構保證網絡設備的業務處理能力,網絡帶寬滿足業務高峰期需要,通信線路、關鍵網絡設備和關鍵計算設備提供硬件冗余;通信傳輸采用校驗技術或密碼技術保證數據的完整性、保密性;可信驗證對通信設備的系統引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證,并將驗證結果形成審計記錄送至安全管理中心。
——安全區域邊界:包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證,部署防火墻設備、網閘或其他訪問控制設備,具備精細粒度的訪問控制,部署檢測設備實現探測網絡入侵和非法外聯行為。
——安全計算環境:主要包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護和個人信息保護等。
——安全管理中心:包括系統管理、審計管理、安全管理和集中管控。
——采用云計算、移動互聯、物聯網等技術時,按照《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)進行安全防護。
第五十二條 中醫醫院應當建立網絡安全工作管理平臺,實現對信息系統的安全定級備案、差距分析、整改建設、等級測評、監督檢查、系統廢止等全面管理。
第五十三條 中醫醫院應當每年開展文檔核驗、漏洞掃描、滲透測試等形式的安全自查,明確安全自查的頻率,及時發現、整改可能存在的問題和隱患,并按要求將相關情況上報有關主管監管機構。
第五十四條 中醫醫院應當按照網絡安全等級保護相關要求加強內部人員和外部人員的安全管理。
——內部人員安全管理:制定人員錄用、管理考核、教育培訓、離崗離職、保密協議等相關管理制度,定期開展技能考核。
——外部人員安全管理:包括軟件開發商、產品供應商、系統集成商、設備維護商和服務提供商等外部人員,以及臨時來訪的第三方人員,制定相應訪問管理制度和操作規程。長期駐場的外部人員,參照內部人員安全要求管理。
第五十五條 中醫醫院運行維護安全管理應當實現體系化,對環境、資產、介質、設備、數據進行綜合監控管理,對重要信息系統的資源進行監控保護;對信息系統安全運行維護所需要的密碼保護、病毒掃描、變更等事件,建立運行維護管理制度,及時上報網絡與信息安全漏洞、事件發生和處理情況。
第五十六條 中醫醫院應當建立健全醫療設備招標采購、安裝調試、運行使用、維護維修、報廢處置等相關網絡安全管理制度,定期檢查或評估醫療設備信息和網絡安全,并采取相應的安全管控措施,確保醫療設備網絡安全。
第五十七條 中醫醫院應當遵守《數據安全法》《個人信息保護法》等法律法規,履行數據安全保護義務,堅持保障數據安全與發展并重,實行數據分類分級保護。關鍵信息基礎設施運營者應當擬定關鍵信息基礎設施安全保護計劃,建立健全數據安全和個人信息保護制度。
第五十八條 中醫醫院信息系統突發事件應急管理的基本要求包括:
——應對原則:統一領導、分級控制、預防為主、健全制度、快速響應、有效配合。
——建立突發事件應對體系,包括組織機構、工作職責、應急預案、應急演練、通信系統以及必要的物資儲備等。
——應急預案采用手工、半手工、備用系統等多種可使業務持續運行的手段,對關鍵業務的處理流程制定應急操作步驟,定期按照計劃實施演練。
——建立信息系統預警等級制度,發生信息系統突發事件,立即上報和確定等級,啟動相應應急預案。
——定期開展應對信息系統突發事件的宣傳和技術培訓,保證應急預案的有效實施,不斷提高信息系統的應急能力。
第五十九條 鼓勵中醫醫院開展信息系統審計工作,建立信息系統審計制度,醫院審計部門或委托第三方在系統設計、實施、運行、驗收等階段對信息系統及其業務應用的效能、效率、安全性進行監測、評估和控制。
第六十條 中醫醫院應當加強信息系統風險評估,定期對信息系統的風險進行有效的識別、分析和控制,包括硬件資源的破壞與丟失、數據與程序文件的破壞與丟失、對實現系統功能的不利影響和對系統資源的非法使用等;針對風險分析結果制定相應的預防措施;保密分析過程與結果,避免非法利用系統弱點。
第六十一條 中醫醫院應當評估應用大數據、人工智能、區塊鏈等技術的安全風險,做好安全管控,達到應用與安全的平衡。
第六十二條 中醫醫院應當加強數據安全管理。
——每年全面梳理數據資源,依據數據的重要程度以及遭到破壞后的危害程度對醫院數據進行分類分級。
——健全數據安全管理制度、操作規程及技術規范,建立完善數據使用申請及批準流程,實行事前審批、事中監管、事后審核,嚴格執行職能部門同意、醫院領導核準的工作流程,指導數據活動流程合規。
——嚴格執行信息安全和醫療數據保密的有關法律法規,不得私自復制、下載、傳播和泄漏患者信息。
——加強數據收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理,做好醫療數據安全存儲和容災備份,建立健全患者信息等敏感數據委托處理、對外共享影響評估制度。數據全生命周期活動應在境內開展,因業務確需向境外提供的,依法依規進行安全評估或審核,針對影響或者可能影響國家安全的數據處理活動須提交國家安全審查,防止數據安全事件發生。
第八章 數據管理與利用
第六十三條 中醫醫院應當充分利用數據資源,以數據產權、流通交易、收益分配、安全治理為重點,積極開展數據管理和利用,構建適應中醫藥數據特征的數據基礎制度,實現數據要素價值。
第六十四條 中醫醫院應當積極探索建立數據資源管理制度。依法合規管理數據資源,保護中醫藥數據在收集、生成、存儲、管理數據資源過程中的相關權益,組織梳理數據資源范圍,確認數據資源目錄清單,明晰數據資源權責關系,構建分類科學的數據資源產權體系。
第六十五條 中醫醫院應建立分類科學、分級準確、管理有序的數據治理體系,圍繞數據全生命周期,建立數據治理服務平臺,通過質量監控、診斷評估、清洗修復、數據維護等方式,提高數據質量,確保數據可用、易用。
第六十六條 中醫醫院應當穩妥推動數據資源開發利用,完善數據資源開發利用規則,推進形成權責清晰、過程透明、風險可控的數據資源開發利用機制,嚴格按照“原始數據不出域、數據可用不可見”要求和資產管理制度規定,探索開展數據資源開發利用新模式。
第六十七條 中醫醫院應當做好數據的分析、利用工作,加強大數據、人工智能等新一代信息技術應用,規范利用數據要素,構建中醫醫院數據分析和利用管理體系。包括但不限于以下內容:
——管理決策支持:支持指標管理、實時統計分析的管理輔助決策,支持基于大數據的疾病分析、智能報告、決策推演、移動決策等。
——臨床決策支持:包括病案智能分析、臨床輔助診斷與決策支持、具備統計模型的大數據科研平臺等。
——名老中醫經驗傳承:包括名老中醫學術思想、臨床經驗等數據分析。
——中醫藥文化傳承:包括古籍知識、方劑知識、穴位知識、針灸處方、病癥知識等數據分析利用。
——中醫藥科技成果轉化與推廣:包括中醫藥科研數據交流共享、科研成果轉化、專長絕技收集整理等。
第六十八條 中醫醫院應當做好數據共享利用工作,建設跨地域、跨部門、跨系統的數據共享機制,明確數據共享的原則、協議和安全管理措施,做好醫院內及醫院間數據共享工作,實現數據的互聯、互通、互認。
第九章 運行維護
第六十九條 中醫醫院信息系統運行維護應當做好服務規劃、系統日常事務處理、變更與升級管理、供應商管理和溝通協同工作,保證系統不間斷運行,持久地滿足用戶需求。
第七十條 中醫醫院應當建立醫院信息系統運行與維護管理機制,明確系統運行的管理部門、維護部門、使用部門和個人的職責。建立用戶請求服務機制和重大事件上報制度,定期檢查與監督管理制度、操作規程的執行情況。
第七十一條 中醫醫院應當根據信息系統對醫院正常運營影響情況的重要性、緊急性等進行分級,針對不同分級信息系統區分制定維護管理要求和目標,包括資源保障、組織與人員要求、服務過程、供應商等要求。
第七十二條 中醫醫院應當建立與醫院內部人員以及患者之間的運維服務溝通協同機制和信息服務平臺,包括運維服務的宣傳與介紹、服務過程中的協同、服務完成后的評價。
第七十三條 中醫醫院應當加強對供應商服務的管理,制定供應服務商(含外包服務)管理制度和工作流程,內容包括服務的范圍和內容、職責與權利、服務期限、駐場要求、人員能力要求、文件化的服務級別管理要求等。與供應商及其服務人員簽訂安全與保密協議和承諾書。
第七十四條 中醫醫院應當制定醫院軟硬件系統運行維護操作規程,主要包括醫院軟硬件系統的安裝、日常操作、變更、升級、維護和故障處理等方面。內容包括操作目的、內容、步驟、結果、正常反應及異常反應、出現異常反應時的處理方法及處理時間和環境要求等。
第七十五條 中醫醫院應當加強遠程運維管理,因業務確需通過互聯網遠程運維的,應當評估論證安全風險,并采取相應的安全管控措施,防止遠程端口暴露引發安全事件。
第七十六條 中醫醫院應當確立運行維護服務管理對象,明確運行維護的操作內容、維護頻度和對應的責任人等服務內容,做到可追蹤可管理。運行維護服務管理對象主要包括基礎設施、系統與數據、管理工具、人員等。
第七十七條 中醫醫院應當依據運行維護管理環節、管理內容、管理要求制定統一的運行維護工作流程,實現運行維護工作的標準化、規范化和自動化。內容包括事件管理、問題管理、變更管理、配置管理以及其他維護服務管理。
第七十八條 中醫醫院應當加強信息設備與網絡運行維護工作,主要包括安裝操作、日常管理與維護、故障處理等內容,按規程進行安裝操作,記錄日常監控和維護日志,定時檢查信息設備以及輔助設備運行、性能、資源情況,制定故障處理詳細步驟和風險預防措施,確保信息設備和網絡正常運行。
第七十九條 中醫醫院應當加強應用系統及數據庫管理系統運行維護工作,建立數據質量控制和備份容災的管理機制,統一應用系統和數據庫系統的管理,實時監測并反饋運行情況,記錄數據庫日常監控和維護日志,做好基礎數據和系統配置的維護。
第八十條 中醫醫院應當建立系統變更、升級和擴展操作的管理規程,包括軟件、硬件、數據和文檔等。制訂完整的升級、擴展和變更實施方案,經審核和測試后實施。
第十章 附則
第八十一條 本規范由國家中醫藥管理局負責解釋。
第八十二條 本規范自發布之日起施行。2011年國家中醫藥管理局發布的《中醫醫院信息化建設基本規范》同時廢止。
相關鏈接:《中醫醫院信息與數字化建設規范(2024版)》解讀
郵箱
微信
