時間:2022-10-26 12:33:25
序論:在您撰寫醫療安全論文時,參考他人的優秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度。
該軟件針對大型綜合性醫院的醫療安全管理問題,主要包括五大主題:一是醫療投訴受理;二是醫療爭議處理;三是投訴評審;四是醫療安全檢查與預警;五是醫療安全教育和培訓。這五大主題密切聯系構成了一個完整的醫療安全管理系統,實現了醫療安全的網絡化和流程化的管理。
2.醫療投訴管理
投訴管理主要接受患者或家屬、上級部門等來電、來信、來訪、轉辦和市長熱線等投訴請求,由投訴科填寫投訴受理單,根據投訴事件的性質分為簡單投訴、普通投訴和重大投訴。對一些事實清楚、無需深入調查,一次溝通解釋后患方能理解接受的,包括情節簡單的差錯缺陷、患者的建議或誤解誤會等簡單投訴受理后,通過系統進入簡易程序處理,直接在受理平臺上處理,處理完成后辦結。普通投訴指患者反映的一般性問題,需要進一步調查,不能直接答復,或院方答復后患方不能理解接受,多次(來訪)的。重大投訴指發生患者死亡或可能為二級以上醫療事故或至少有3人以上人身損害后果的重大醫療過失行為,發生停尸、設靈堂、侮辱、威脅、恐嚇、圍攻、毆打醫務人員或非法限制醫務人員人身自由的、損壞公共財物、聚眾鬧事等嚴重影響正常醫療秩序的醫療糾紛,則提交醫療事故爭議的立案程序,通過系統發送投訴通知給當事人,當事人經客戶端查看后回復,投訴管理科進行調查核實,再回復患者,進行調解或建議醫療鑒定和法律程序處理。對同一投訴件的多次或多人投訴的相關信息記錄于信息中。對于簡單投訴和普通投訴一周內有初步答復意見并與患者或家屬溝通,重大投訴一月內給予回復。
3.醫療爭議處理
醫療投訴經過受理、初步調查,被認為案件時,提交部門負責人審核同意才能正式被確認為立案,進入案件處理程序,會產生一系列處理流程,包括受理、立案、通知、回復、調查、協商、協議、醫療(司法)鑒定、民事訴訟、辦結等流程環節。醫院投訴管理科工作人員按照投訴人敘述的情況填寫并生成投訴受理單,通過醫院網絡系統提交醫療投訴通知單到醫院內部當事人所在科室科主任、診療組長和當事人,一旦瀏覽過后,計算機自動記錄已瀏覽,同一醫療事故爭議可以多次通知。當事人可在科室通過醫院內部網絡登陸系統,填寫回復單并反饋給投訴科,形成反饋意見。投訴科對被投訴人進行調查形成調查筆錄,與投訴通知的回復作綜合分析形成調查報告,一個案件形成一份報告,不足部分可以補充。調查結論后與患者進行協商,協商成功雙方簽訂協議,案件進入辦結程序,若協商不成功,轉入行政處理、醫學鑒定和司法訴訟程序。在醫療爭議處理流程中,上述環節可以循環反復或跳躍進行,具體案例可以對照相應流程環節處理信息,形成文書形式的流程日志記錄。
4.缺陷評審
根據立案受理的醫療爭議,醫院醫療缺陷評審委員會定期召開投訴缺陷評審會,對案件進行分析、評判,評審意見作為認定醫療缺陷的院級結論,生成醫療投訴評審結果和整改通知單,提交醫院內部當事人所在科室科主任、診療組長和當事人,科室科主任、診療組長和當事人登陸系統中可查看投訴評審結果和整改通知,若對評審結果不接受,通過系統填寫申訴理由,形成投訴缺陷復審申請單,若接受則填寫回復單,超過規定時間默認為接受。
5.日常管理
日常管理主要包括科室每月召開醫療安全會議的記錄、科室醫療安全報告、醫療事故爭議登記,投訴科對科室的醫療安全檢查登記,醫療安全教育培訓登記等功能。各科室每月定期組織醫療安全會議,每月底至次月5號前填寫醫療安全報告表、醫療事故爭議(糾紛)報告表和醫療缺陷(差錯)報告表,通過科室子系統提交到投訴科,投訴科對報告進行相應的審核。如為重大投訴科室或當事人需立即口頭報告并在規定的時間內提交醫療事故爭議(糾紛)報告表。職能部門定期對各科室進行相應的安全檢查并記錄檢查結果。同時根據醫院目前情況,按照醫療安全管理的要求,制定一系列安全教育培訓計劃,有計劃組織醫務人員進行醫療安全教育培訓,提高醫務人員的安全醫療意識和法律意識,在工作中自覺遵守有關的法律法規和規章制度,提高醫療服務質量,減少事故發生。系統記錄參加安全教育和培訓的科室和人員,以及考試考核的成績,記錄每位醫務人員“教學培訓檔案”,定期輪換。
6.醫療安全檢查與預警
建立實時(事前)安全預警和事后安全預警兩種方式的醫療安全預警,制定醫療安全的應急預案。前者實現:
(1)對檢驗、B超、心電圖、放射等醫技科室高危檢驗值和危急異常結果實時短信自動發送至主診醫生,醫務人員能在第一時間內捕捉到高危病人的安全隱患,及時進行緊急處理,最大程度挽救病人生命,提高醫院救治率;
(2)醫院內感染和傳染病的實時監測預警,及時捕捉相關信息,提高醫院快速反應能力;
(3)藥物咨詢及用藥安全事先監測預警;
(4)根據歷史數據推薦藥敏抗生素,合理選用抗菌藥物;
(5)電子病歷預警,對醫技科室高危檢驗值、危急異常結果和在規定時間內必須完成的記錄、操作進行事前和事后預警[3]。后者是一種面向醫院管理部門的多目標醫療安全預警系統,在積累大量的醫療事故爭議、投訴舉報、醫療糾紛、醫療檢查評分結果、醫療安全知識教育培訓,以及醫療賠款占業務收入比例等因素的基礎上,建立醫院、科室醫療安全評價模型,對醫院和各個科室的醫療安全的狀態做出相對客觀科學評價,指導醫院的醫療安全工作。根據歷年來醫療安全投訴(爭議)和醫療事故的統計和對構成安全要素的大量數據分析,依據統計學原理分析、提出一種安全預警的方法,建立醫療安全預警指標,設定警戒線,對越界和重復越界的安全事件,對所在科室和當事人進行預警。
7.醫療安全檔案管理
對產生的大量醫療事故爭議,結案后進行歸檔,建立檔案號、登記檢索關鍵字、日期、證據材料目錄、存放地點和處理結果等信息。還提供了借檔歸檔功能,以便對檔案進行管理。
8.綜合查詢
通過各種條件組合查詢,可以快速找到系統中存在的數據,并瀏覽相關信息。主要包括未結案查詢,結案查詢,投訴清單,評審查詢,卷案查詢等功能。
9.統計報表
大量醫療投訴爭議事件可形成圖文并茂的月度、季度、年度統計報表,具有統一性、全面性、周期性、可靠性等特點。目前系統已有投訴月報、年報,科室統計報表,投訴類別統計,醫療事故報告表,評審報表,醫療安全統計,安全檢查統計等一系列報表,還可根據醫院實際需求增加其他報表。
10.系統管理
基于用戶—角色的系統管理模式,建立用戶權限管理系統,采用角色、用戶組、用戶、功能配置和功能樹列表的方式,授權對系統信息的控制和訪問。另根據用戶屬性特征,對用戶訪問的數據邊界進行控制和隔離,保證系統信息的安全性、可控制性和實用性,對敏感性數據,對用戶密碼和用戶數據庫進行加密,防止盜用和泄密。
不斷提高醫務工作者的思想認識水平,增強搞好本職工作的積極性和自覺性,兢兢業業干好本職工作。一是對大家進行深入細致地宗旨意識教育,牢固樹立全心全意為人民服務的思想,牢固樹立為優撫對象服務的思想,想患者之所想,急患者之所急,幫患者之所需,及時、主動地糾正工作中的錯誤與不足,消除不安全隱患。二是樹立安全意識教育,增強搞好工作的責任感與使命感。要使大家愛院如家,與醫院同呼吸共命運,院興我榮,院衰我恥,事事為醫院著想,為患者著想,為醫院建設發展著想。三是進行醫療安全教育,增強安全意識,繃緊安全第一這根弦,及時堵塞不安全漏洞,主動消除事故隱患,保醫院安全,求醫院發展。四是加強職業道德教育,逐步樹立良好的醫德醫風,自覺遵守醫護職業道德,文明行醫,熱情服務,加強與患者之間的溝通與理解,減少摩擦,避免矛盾,為患者提供優良的就診環境。五是加強市場經濟知識學習,培養市場經濟意識,增強危機感和緊迫感。醫院要生存,先進的醫療設備要發展,并在市場競爭中立于不敗之地,必須以良好的醫術和熱情周到的服務來贏得患者,要善待患者,以患者為上帝,把患者的安全放在首位。
二、建立健全各項規章制度
并把制度的落實當作重中之重來抓,用制度來實現醫院醫療安全。經過數十年的實踐,總結出了一整套完整有效的規章制度,這些制度在保證醫療安全中起到了很大的作用,但是因形勢的發展,有些制度已不適應需要,有些制度還不盡完善。因此,一是要盡快完善制度,使之有較強的可操作性。二是要抓制度落實,再好的制度如不抓落實,則等于廢紙一張。三是制度的執行重在領導,重在醫院的管理者,管理者應率先垂范,自覺遵守制度,并在管理中堅持執行制度,敢于負責,不怕得罪人,尤其對個別責任心不強,違反操作規程,造成醫療安全隱患的人,要嚴肅查處,絕不手軟,確保制度的嚴肅性。四是廣大醫務工作者要學法、守法、用法,自覺遵守《執業醫師法》,《護士條例》及醫院的各項規章制度,增強遵紀守法意識,把遵守規章制度變成自己的自覺行動。
三、加強醫護人員的再教育、再培養
不斷提高業務水平和操作技能,杜絕醫療不安全事故發生。要通過培訓使醫務人員及時了解掌握醫療新知識和新的治療方法,學習新的醫學理念和護理理念,逐步提高醫務人員整體醫療護理水平,提高醫護效果,避免因醫技水平低而造成的不安全隱患。
四、自覺完善聘任制和崗位目標責任制
1.1具有開放性,治安情況較復雜
醫院是一種開放性公共場所,人員具有流動頻繁、結構復雜等特點,且服務對象的不確定性以及巨大的現金流量都造成了醫院環境的不安全性。許多不法分子行騙盜竊時往往會盯住來醫院治療疾病的患者,因為這些患者為了治病往往籌集了大量現金,這些都成為犯罪分子實施不法行為的目標。另外,醫院內毀壞醫療設施、偷竊非機動車輛、張貼小廣告等事件對醫院正常工作造成了嚴重困擾,這就需要保衛部門加強平時巡邏工作力度。以本院即安康市中心醫院為例,由于我院車庫正在建設當中,來院的車輛較多,停車位有限,加之金州南路取締停車位給保衛科的管理工作增加了很大難度,為此保衛科安排專人每天在醫院各個路點指揮疏堵來院車輛,確保了院內車輛停放有序,車輛正常通行,即為應急醫療救治保障了救生通道,也為患者進出醫院提供了便捷的綠色通道。
1.2易燃易爆特殊物品多,存在大量潛在隱患
醫院往往會為了方便群眾就醫,將各項診斷、檢查以及實驗的場地集中在一起,目的在于縮短醫療流程,由于各種檢測儀以及治療儀比較多,再加上持續使用時間長、負載大以及線路老化等特點,使得醫院中存在大量潛在隱患。而且醫院保存有很多腐蝕性強、可燃性強的試劑或者藥品,在運轉過程中,也會存在大量隱患。除此之外,醫院內部出于對供氣、供電、供暖、制冷以及供氧的需要,往往擁有中心供氧、配電房以及鍋爐房等重要要害部位,這些部分也極易發生爆炸、火災以及其他一些人為破壞事故。
1.3醫患糾紛頻發,情況復雜
隨著國家對法律知識的廣泛普及和宣傳,人們對自身權益的保護觀念也越來越重,另一方面,一些醫護人員由于自身繁重的護理和醫療工作,不排除個別醫護人員會存在安全責任意識淡薄的情況,這樣就極易造成醫療糾紛。當醫患矛盾發生時,雙方往往會因為調查取證難等問題通過協商來解決,但是一旦意見產很分歧,就極易引發矛盾進而發生沖突,最后演變為治安糾紛乃至刑事案件。醫院保衛科應當合理進行人力、行為的處置,有效疏導或制止群體性鬧事事件發生。安康中心醫院保衛科就嚴格遵循工作規范,在2014年醫患糾紛的處理表現良好,上半年共協調處理"三無患者"9名,處理尸體2名;追討疑難患者欠費40余萬元,遣送疑難患者8名以及協助處理醫療糾紛3起等。
2.強化醫院安全保衛管理的措施
2.1提高思想認識,落實領導責任
醫院負責人必須從自身做起,充分認識到醫院安全保衛工作的重要性,提高自身參與的意識,將醫院安全保衛工作作為重要議程列入到醫院行政管理項目中去,只有這樣才能抓好、抓實安全保衛工作。如果醫院出現安全秩序混亂,治安事件以及醫患糾紛事件頻發等問題,不僅對患者的信心造成了打擊,對醫護人員的積極性也造成惡劣的影響。醫院的安全穩定,必須依靠和諧的醫患關系和人際關系,這樣才能確保醫院各項工作的有序開展。安康市中心醫院的相關領導高度重視醫院的綜合治理工作,把該工作納入重要議事日程,常抓不懈,成立了安全生產委員會,落實領導責任制,上半年共召開綜合治理專題會議5次,安全檢查15次,下發綜合治理整改通知書5份。
2.2提高人員素質,加強隊伍建設
醫院保衛科工作人員應當加強對業務知識和政治的學習,認真掌握有關工作的法規、法律,在實際工作中,對社會上的不良風氣堅決杜絕,并且嚴厲打擊違法分子。保衛干部應定期組織安保人員學習法律法規,并在安保基礎知識和業務技能上下功夫,對新形式的安全保衛工作進行探討,盡力打造出一支政治過硬、技術高超的安全保衛隊伍。本文的研究對象為安康市中心醫院,2014年上半年我院就成立了義務消防隊,上半年進行一次消防演練,讓職工掌握消防知識,人人學會使用滅火器材,2人參加了陜西省消防專業資質培訓。2、5月份邀請消防專家到醫院舉辦培訓講座,200余人參加了消防培訓,從而提高了職工的消防安全意識。
2.3開展宣傳教育,提高安全防范意識
要做好醫院的保衛工作,也必須注重對安全防范宣傳教育工作的重視,經常性地開展安全知識宣傳活動,必須結合醫院安保工作的任務、特點及形勢,才能全面提高醫院全體人員的安全防范意識。具體宣傳可以通過網站、院報、演習等方式對職工進行廣角度、多層次的安全、消防知識宣傳。只有有的放矢才能提高人員安全防范意識和應對能力,進而嚴防各類治安事件的發生。安康市中心醫院于2014年就組織了多次宣傳活動,包括3、6月份在白天鵝廣場參加市委組織的安全生產月宣傳活動,發放消防安全宣傳資料200余份。以及,制定火災應急預案和消防知識宣傳資料,在每個科室進行宣傳學習,每月定期或不定期對全院各科室進行消防安全生產檢查,通過檢查整改,徹底排除了安全隱患。上半年共發消防隱患4處,整改5處,因因消防工作不重視通報2個科室,通報個人4人次。
2.4加強三防工作(人防、物防、技防)
現如今,醫院內部往往存在人際混雜等情況,在這樣的情況下醫療環境也逐步發生了變化,鑒于此開展三防工作就顯得尤為重要,保衛工作的各個環節都迫在眉睫。安康市中心醫院2014年就進一步加強了人防力量建設的投入,科室今年新增保安兩名,工作人員一名。實行定崗責任制,醫院實行24小時巡邏簽名制,做到重點位置,重點科室重點巡邏制度。此外,醫院應當注重治安防范的網絡化,安全管理網絡化不僅起到震懾作用還能對醫務人員的服務行為進行規范。安康市中心醫院就加大技防投入建設,醫院對全院技防實行"全覆蓋,無死角"的原則3月份請設計公司進行設計,計劃投入近300萬對醫院監控系統進行改造,現一期工程已開始,預計12月份全部安裝調試完成,"全覆蓋、無死角"既保證了醫院、患者醫療安全,也全面提供了詳實的視頻資料,為各類醫患糾紛提供了有力證明。此外,該醫院還增加物防投入建設,按照公安部衛計委要求對警務室進行完善,購置鋼叉10個,警棍20根,辣椒水10瓶,電警棍5個,鋼盔10個。正是人防、技防和物防的有效投入,對各種違法分子起到了震懾左右,醫院2014年上半年未發生重大的治安案件和刑事案件。
2.5網絡安全管理防范
1.1安全意識不強
護理人員在護理工作中常存在僥幸心理,對不安全隱患因素認知不足,并對規章制度不認真執行,極易在疲勞狀態超負荷工作下發生疏漏等,這都是護理人員在平常工作中最常犯的錯誤。另外,少數護理人員還存在缺少法律意識、思念觀念陳舊、規范意識不強、對患者權益不夠尊重,缺乏對患者心理及生理的感受與體驗等,這就極易激發與患者或患者家屬的矛盾與糾紛。
1.2護理制度及相關規范執行不嚴
少數護理人員在護理工作中沒有嚴格按照醫囑執行,違反常規操作、不嚴于職守。急救藥品和護理單元藥品的擺放和管理混亂,沒有進行四查八對。對患者疼痛、發熱、陰道出血等癥狀觀察不夠仔細;對病人疾病的判斷、發展趨向和轉歸等都不能做出準確判斷。甚至出現隱瞞或不主動報告護理不良事件,拒收危重病人等,這些都是引發醫患糾紛的主要因素。
1.3醫療信息及專業技術素質不對稱
有些護理中的安全隱患源自于護理工作技術上的信息不對稱所造成的意見分歧。患者及家屬自身相關專業知識相對有限,不能正確認識相應醫療護理中出現的問題,對臨床治療技術及護理工作產生誤解,往往就出現會對護理人員的職業態度和敬業精神產生不應有的質疑態度。如果護理人員在工作實踐中與患者及其家屬未能進行及時、有效的溝通,則無法進一步消除患方的不滿情緒、疑慮等,就會導致矛盾激化,產生不必要的醫患問題。因此,需加強對病患以及病患家屬的相關專業知識科普和健康教育掃盲;提升護理人員的整體素質、溝通技巧和防范差錯意識,才能夠有效避免護理中安全隱患、差錯事故的發生,減少醫患之間的矛盾糾紛,從而構建良好的護患關系。
2安全隱患具體防范措施
2.1加強護理人員的安全意識
強化對護理人員進行衛生管理法律、行政法規以及相關診療護理規范等各方面規章制度的教育工作;醫院應定期對護理人員進行常規培訓和職業道德教育;經常組織普法教育及醫療行政法規的專題講座與坐談交流,進一步提高護理人員自身的安全意識。當前,護理工作人員必須具有良好的學習態度,通過自學相關專業知識,樹立依法行醫意識,規范自身護理工作行為。
2.2強化護理人員職業素養教育
全面提升護理人員的專業知識水平、人文素養。規范行為舉止,積極樹立其敬業精神,如著裝整齊、發型符合要求;表情謙和、面帶微笑;佩戴胸牌;尊重患者的信仰、飲食習慣。對病人及其家屬熱情接待、禮貌待人、仔細傾聽、耐心解答。并且要具備良好的交流技巧;言談舉止間體現出優秀、專業的護士形象。與此同時,為了進一步提高護理人員的責任心以及護理工作的實效性,護理部還要客觀的對不同崗位和不同工作性質的護理人員,制定出相對應的教育與培訓計劃;并對各項規章制度及操作流程加以制定和完善。另外,為避免護理不良事件的發生,如用藥錯誤、壓瘡、藥物外滲、非計劃拔管、墜床等,還須制定相關的防范制度。為了進一步強化護理工作的規范化管理,還應制定出一套科學、合理的護理規范評價制度,最大程度地避免或降低護理不良事件的發生。通過對護理人員的職業素養培訓與教育,要求相關人員必須熱愛本職工作,服從工作安排,態度積極主動;在“以人為本”的理念之下,護理人員應主動詢問、發現病患及其家屬的要求,最大程度的幫助解決;同時,在尊重病人及家屬的前提下,確保病人隱私。護理人員應具有較強的組織溝通能力,善于與其他科室醫護人員進行溝通、合作;學會換位思考,積極為病人著想,遵循倫理法律原則,全面維護科室及醫院的公眾形象。護理人員還必須善于判斷、發現護理工作中存在的潛在問題,積極做好預見性護理;秉承對患者高度負責的態度、規范化護理的原則,全面確保醫護質量和醫護安全。
2.3建立醫院護理安全制度,健全質量管理機制
護理部門應加強在護理質量、技術及制度方面的管理;建立一整套合理、有效的質量管理機制,明確各級護理人員的崗位職責。如護理例會制度;護士、護士長考核制度;獎懲制度;護理管理制度;護理制度;護理質量檢查及質量控制制度等等。同時,還應對護理會診、搶救工作、護理單元藥品管理、處理突發事件預案、標本采集、送檢以及護理人員安全培訓等工作均應健全其相應的管理制度。另外,還應加強對質量的控制,培養護理人員養成主動參與檢查、監控以及管理的積極性以及嚴謹、敬業的工作作風。與此同時,還應建立、健全婦產科危急重癥患者的救護流程;建立有效的護理安全事件上報系統;建立護理部以及病區護理安全自查、自檢制度等等。并對以上規章制度予以嚴格執行,徹底保證護理工作的質量。
2.4加強護患溝通,融洽護患關系
婦產科護理過程中,必須樹立“以人為本”思想,全面增強護理人員自主服務意識以及工作態度,實現與患者之間的“無距離”溝通,為防范擴理糾紛奠定基礎。由于,婦產科病患在住院期間均存在著不同程度的心理壓力,導致其產生一些負面情緒;此時,病患往往希望得到更多的心理安慰、人格上的尊重以及相關健康知識、疾病知識的了解。這就需要護理人員須以謙和、熱情的工作態度,主動而耐心地做好病患的心理護理、健康護理、膳食護理、用藥護理等工作,主動巡視、主動關心病患,視其為自己的姐妹,耐心幫助其解除憂慮、不安、疑慮等問題,避免與病患及其家屬發生沖突。并通過理解、寬容的態度,謙和、理智地對待病患及其家屬所表現出的疑慮、誤會、不配合,甚至是一些不禮貌的行為,才能最大程度地預防發生護患矛盾。
3結語
我們北京市公共衛生信息中心(原北京市衛生局信息中心),是北京市衛生和計劃生育委員會直屬的事業單位,負責全市醫療衛生行業網絡與信息安全指導工作。北京市的信息安全等級保護工作是從2007年開始開展的。總結來說,主要有以下幾點做法:
1.強化組織,落實責任。每年年初組織召開北京市醫療衛生信息化工作會,市衛生計生委領導、市公安局領導均出席會議,對全年信息安全工作提出部署,明確全行業信息安全保障重點任務,為落實全年信息安全工作的組織開展奠定了堅實的基礎。
2.聯合檢查,摸清底數。自2008年起,我們每年都與市公安局聯合開展醫療衛生行業信息安全檢查工作。在市公安局的指導下,我們針對衛生行業機構眾多的特點,設立了由市區兩級衛生行政部門與市區兩級公安部門聯合檢查的工作機制。全市三級醫療機構及市衛生局直屬單位由市衛生計生委、市公安局負責,區縣醫療衛生機構由區縣衛生局與區縣公安分局聯合進行。目前,我市所有三級以上醫療機構和重要公共衛生部門均已完成了信息安全等級保護定級和備案工作。
3.政策落實,推動整改。近幾年,市財政、市經信委大力支持衛生行業信息安全等級保護工作,在2012年度至2014年度的市衛生信息化項目申報指南中,明確規定了信息安全等級保護建設屬于政府支持項目。到目前為止已有10家市屬三級醫院(世紀壇醫院、朝陽醫院、地壇醫院、兒童醫院、安定醫院、北京胸科醫院、友誼醫院、佑安醫院、中醫醫院、首都兒童研究所)完成信息整改項目的申報工作,已由市經濟信息委審核通過項目資金共計3670.902萬元,現在建設資金正在陸續撥付到位。通過安全整改、等級測評,完成信息安全等級保護工作,切實提高了本市醫療衛生機構信息安全保障能力。
4.制定預案,強化值守。
5.及時總結,持續改進。
二、信息安全等級保護工作的體會
從2007年開始參與信息安全等級保護工作,我個人經歷了北京市等級保護工作推動的全過程,在這里談幾點個人對于信息安全等級保護相關工作的思考。
1.信息安全等級保護制度為我們醫療衛生行業帶來了很大的變化。第一是看待信息安全工作視角的變化。以前,我們可能更關注技術本身,有了等級保護要求之后,使得我們從一個整體的角度來看待信息安全這件事情。因為信息安全是符合木桶原理的,最薄弱的地方往往是最容易出現問題的地方,也代表著整個安全防護的水平。第二個變化是讓我們更清晰地梳理了醫療衛生行業的信息系統,以往可能主要從系統功能來區分,現在會考慮從業務連續性的高低、數據安全防護需求的高低來區分。
2.通過對信息系統的梳理、劃分也清楚了信息安全等級保護要求里哪些要求對我們醫療衛生行業更適用。信息安全等級保護相關標準是各行業通用的,因此在行業內推動時,一定要結合行業特點,按照信息安全等級保護工作要求制定適合本行業的標準和規范。我們之前推出的《細則》其實就是基于這個思路,但由于行業的復雜性,真正形成一套適合醫療衛生行業的完整的標準規范,難度還是非常大的。
3.醫院的院長、信息中心主任在增加新的信息系統時,都應從信息安全的角度對信息系統進行分析,在項目規劃申報階段就將信息安全需求整合考慮。現在大部分醫院都上線了移動醫療、移動護理,面向公眾開通了微信、手機App,增加這樣一些新的業務之后,醫院原有信息安全防護體系發生了較大改變,具體應如何解決?另外數字醫療設備信息安全的問題也應得到廣泛的關注,根據我們的調研,隨著影像檢查、生化檢驗等設備的數字化,這些設備都接入到醫院的信息網絡當中,但對這些設備的安全管理基本屬于空白,存在較多安全隱患。其實這些問題都可以在信息安全等級保護要求的指導下通過技術手段和管理制度的完善而解決。
4.既然面臨這么多問題,那么我們信息安全等級保護工作到底應該怎么做?從衛生行政部門、從專家的角度,如何推進等級保護工作?答案是將信息安全等級保護制度跟國外的信息安全最佳實踐,如信息安全管理體系ISMS、ISO/IEC27001等結合起來落實。不管是增加什么樣的新系統、新業務,都不要就這個應用本身去考慮太多,而應該按照一個整體思路方式來進行梳理,進行考慮。因此我市醫療機構在信息安全等級保護整改建設工作中,都重點考慮了將等級保護的管理要求和信息安全管理體系結合。
目前,在我國醫療信息化過程中,醫院內部信息安全、病人隱私保護,以及一系列與安全相關的問題,都沒有引起有關部門的足夠重視。我國醫療信息化建設還存在信息安全保障建設的嚴重滯后,缺少必要的信息安全保障手段。對于復雜的醫療信息化而言,安全問題其實不是一個簡單的問題,盡快制定信息安全相關機制,確定信息安全的邊界,才有利于開展醫療信息化建設。筆者將從醫療信息系統的安全現狀出發,探究如何建立適應未來發展趨勢的信息安全可用性體系。
二、醫療信息的安全威脅
美國聯邦調查局曾于2006年對2066家公司和組織進行了計算機安全犯罪及事故調查,統計結果表明發生概率排在前四位的分別是:①病毒;②信息的未授權訪問;③內部網絡資源濫用;④計算機或移動設備失竊。可見,隨著互聯網技術的改變,各種混合型威脅相繼出現,這種混合型威脅直接導致了信息安全建設的復雜性和艱巨性。因此,醫療網絡的安全威脅已不僅僅是來自于蠕蟲病毒、木馬等攻擊帶來的風險。醫療信息系統在日常運行中面臨的各種風險大致可歸納為內網和外網兩類攻擊。來自外網的安全挑戰主要是由網絡病毒、黑客入侵等方式直接導致的系統效率下降甚至癱瘓。其主要原因是操作系統補丁沒有及時更新、安全軟件不能及時升級或垃圾郵件的肆意泛濫等造成的。目前絕大多數的醫院已經部署了網絡防火墻,客戶端防病毒等產品,但醫院網絡依然會不斷遭受蠕蟲、特洛伊木馬、間諜軟件、廣告軟件等威脅的攻擊。針對此類問題,應當研究如何保證內部終端用戶的補丁和病毒庫始終處于最新狀態,有效隔離安全隱患機器的接入。內網威脅主要是指內部工作人員無意或有意導致的資源丟失、信息泄露等問題。醫院的重要信息經常以電子郵件,文件傳輸甚至移動設備等形式輕而易舉地流出,大部分內容涉及病人的隱私、藥品采購、財務信息等。此類問題屬于面向醫療信息本身的安全性問題,需要對其產生、使用、傳輸、存儲等各個環節予以控制。因此醫院應設立相應的技術措施和管理制度,避免核心機密的違規泄露和拷貝。
三、面向外網的安全治理
醫療信息系統的軟硬件系統本身面臨的威脅越來越多樣化和頻繁化,各種新型威脅層出不窮。針對當前各類相互融合的網絡攻擊手段,應從如下多個層次上實施外網的安全控制策略。
(1)端點防控
提升終端自身的安全防護力度,在內部各網關及重要網段配置防火墻和入侵檢測軟件。強制保證操作系統補丁定時更新,反病毒軟件實時運行以及病毒庫的及時更新。對于不符合安全標準的終端,在網絡設備的接入點將對其進行隔離,限制或拒絕其對內網進行訪問。
(2)權限設置
部署網絡內部強制訪問控制策略和權限等級設置,根據口令信息為數據流提供明確的允許或拒絕訪問指令。準入控制的成功實施取決于控制粒度的大小,而控制流程的自動化決定了使用者的接受度和控制機制的適應性。
(3)行為監測
在一些信息系統安全級別相對較高的網段部署安全監控措施,對非授權設備的私自接入或網絡發送行為進行檢查,并予以有效阻斷,發生嚴重泄漏事件時應提供報警。
(4)數據備份與恢復
信息系統的核心內容是數據,因為操作系統、軟件等被破壞后都可以重新安裝,但數據丟失是無法挽回的。軟件級別的單點恢復技術對于火災,地震等災難性事故是無法應對的。因此除了客戶端的定期軟件備份以外,還有必要提供異地數據備份功能,利用通信網絡將關鍵數據定時批量地傳送至遠程的容災中心保存。
四、面向內網的安全治理
在復雜的醫療信息運行環境中,針對外網不安全因素的監視和攔截可視為第一道防線,但僅僅依靠這類單一手段必然無法達到理想的安全治理水平。只有面向信息本身的安全,實現從被動防御到主動防御的轉變,才能進一步加強安全體系的防御深度,排除不可預測的潛在風險。面向信息本身的安全性即面向數據的安全性,主要涉及數據的私密性、真實性、完整性和不可否認性。這些性質應用于不同的醫療活動中。
(1)私密性
私密性要求敏感信息不能泄露給未經授權的人,授予了病人控制醫療信息泄露的權利。這對于完善居民電子健康檔案、電子病歷等涉及居民隱私的網絡信任體系是十分重要的。通過加密、數字信封和匿名化等技術能有效解決這一問題,保證信息安全無誤的送達已授權的第三方或安全存儲于服務器的數據庫中。在利用非對稱密鑰機制解決這類問題時,只需對解密密鑰保密,因此從加密密鑰破解出解密密鑰的過程必須設計得足夠復雜,以致難以實施。
(2)真實性、完整性
醫療診斷信息在醫院使用和流動過程中可能遭受惡意篡改或刪除,從而影響最終的治療效果。尤其是在經過復雜網絡傳輸的遠程醫療中,信息的來源真實性和可用性更為重要。采用公開密鑰加密體制PKI和數字簽名相結合的技術,把病人的隱私信息加密后作為水印載荷的一部分嵌入文件中來傳遞,用于驗證文檔完整性和來源可靠性,能有效杜絕外來入侵導致的敏感信息的惡意篡改,同時確認信息來源的真實性。
(3)不可否認性
不可否認性是現有醫療體系中很容易被忽略的一個問題,也是最容易引起醫患糾紛的一個問題。利用數字簽名技術,不論醫生或是患者都可以基于自身的私鑰對認定的文件進行簽名,從而確認文件已簽署這一事實,事后對有關事件或行為均具有不可抵賴性。此外,基于雙重加密原理的數字簽名還可以保證信息自簽發后未曾作過修改,結合數字時間戳可進一步對簽發文件的時間提供佐證。這些關鍵性內容對于醫療事故的責任認定都是很有價值的。
五、安全管理體系建設
醫療信息系統的安全運行除了系統本身的安全之外,相關的醫療信息管理體系的構建也起著至關重要的作用。管理體系的建設目標是實現法律層面和道德層面的雙重約束。一個完善的醫療信息系統通常需要足夠的人力來進行安全維護,因此真正起到管理執行命令的主體還是醫療信息管理人員。面對醫療機構對于復合型人才的缺乏現狀,需要加大對于醫療復合型人才的投入,提高技術管理人員對職業道德、安全意識、法律法規的認識。同時,設立專門的信息安全管理機構,通過安全管理制度明確相關人員的責任。在政策調控方面,宏觀上,應制定一系列與醫療信息安全有關的法律法規和標準,以保證健康保險流通性,降低醫療欺詐行為,并強制醫療信息標準,以保護電子健康信息安全及隱私。微觀上,應制定符合醫療行業規范的信息安全管理制度和執行流程,主要包括醫療信息系統應急預案、網絡系統管理員崗位職責、網絡服務器故障的應急處理流程等制度,確保信息系統的安全、穩定、高效運行,以及與醫療有關的個人身份信息、醫療記錄等信息在傳輸、交換、存貯、使用過程中的安全管理。
六、結論
1.1環境原則
對于放射診療設備而言,機器的放置應在背陰處,確保放置范圍內的空氣流通、干燥、陰涼,不能夠存放于陽光直射、高溫等環境條件較為惡劣的區域。對于機器本身而言,其表面的干凈、整潔、光亮是外觀的基本要求,此外,控制臺的使用頻率較高,應保證每半年或一年清理一次,還需要仔細除塵、檢修。
1.2電源電壓管理原則
放射診療設備運行所需要的電源、電壓是有嚴格要求的,在使用設備的同時,應該仔細檢查其電源的電阻,以免出現過大的變化和浮動,確保電源、電壓符合機器的使用要求。
2放射診療設備的安全管理措施
在日常的工作中,嚴格遵循《放射性同位素與射線裝置安全和防護條例》《放射工作人員職業健康管理辦法》等條例。同時我院將以下過程進行改革和創新,包括放射診療設備的采購、安裝、調試、使用、維修、淘汰等。在上述過程中,相關工作人員的專業性優勢得以體現,各司其職,在放射診療設備運作的整體過程中對其進行質量安全管理。具體包括如下幾方面:
(1)務必做到職業安全衛生設施與主體工程“同時設計、同時施工、同時投產”的“三同時”方針。
(2)根據國家相關法律、法規的要求,我院成立由主管副院長和各相關職能部門負責人構成的放射防護和輻射安全管理委員會,其中由主管副院長擔任組長。
(3)我院嚴格執行在放射診療儀器取得放射診療許可證后方可投入臨床使用。每年都邀請具有相應資質的檢測機構對我院放射診療儀器進行性能檢測,及時了解機器的性能并及時做出調整以確保患者的檢查質量。我院核醫學科的活度計、表面污染檢測儀等設備屬于特殊設備,按照要求送到指定部門進行檢測。
(4)提升相關技術人員的專業水平。第一,組織我院相關技術人員參加各種防護學習及學術考試,以競爭模式提升技術人員的專業高度;第二,組織我院工程技術人員進行院內、科室內部的培訓;第三,我院與設備經銷商協作,對放射診療設備的使用以及維護進行專業培訓。上述方案落實后,我院每年委派一定數量的工程師外出學習,定期培養優秀的臨床工程師。
(5)加強醫護人員及檢查患者的個人防護措施。規范醫護人員及患者的檢查步驟,穿戴好相應的防護服。我院PET-CT中心在加強醫護人員及對患者的個人防護方面做得非常好,不但設有專門的病人行走通道,檢查休息室及病人出口,更有一套嚴格的檢查流程,保證到醫護人員及患者的個人防護安全。
(6)保證放射診療設備的運行質量及檔案管理規范化。我院正在建立院內放射診療設備管理檔案,對每臺設備的參數、安全系數、所屬科室、運行時間、啟用日期、防護檢測、維修記錄等要點進行詳細的備案。并且在我院內網設備科專欄區實現了實時報修,維修跟進,維修后使用情況的信息化。
3結束語
