电子病历安全管理探究

摘要：本文就我国目前医疗信息化中的热点问题――电子病历的安全问题展开探讨。介绍了我国电子病历及其安全的涵义，电子病历在我国的发展概况，根据笔者的调研列举了电子病历的安全现状，最后从管理角度探讨了医院电子病历安全管理策略，以期从管理层面解决电子病历的安全问题。

关键词：电子病历安全管理管理策略

自2010年我国公立医院改革进一步深入，电子病历就被委以重任，备受关注。而影响电子病历向前推进的重要因素之一，就是电子病历在建设与应用过程中的安全问题。电子病历的安全保障仅是信息社会医院正常运转的基础，而且是维护患者信息安全的重要保证。因此，我们对电子病历的安全管理问题必须予以重视。

一、电子病历及其安全

(一)电子病历的概念

2009年，国家卫生部和国家中医药管理局印发的，明确定义了电子病历的基本概念：“电子病历是由医疗机构以电子化方式创建、保存和使用的，重点针对门诊、住院患者(或保健对象)临床诊疗和指导干预信息的数据集成系统。是居民个人在医疗机构历次就诊过程中产生和被记录的完整、详细的临床信息资源。”

2010年4月，卫生部的中规定，电子病历是指医务人员在医疗活动过程中，使用医疗机构信息系统生成的文字，符号，图表图形，数据，影像等数字化信息，并能实现存储，管理，传输和重现的医疗记录，是病历的一种记录形式。是居民个人在医疗机构历次就诊过程中产生和被记录的完整、详细的临床信息资源。同时也明确指出，医疗机构应用Word、WPS等文字处理软件编辑、打印病历，都不属于真正意义上的电子病历。

尽管在两个文件中电子病历的表述有所不同，但其基本涵义是一致的。正像卫生部统计信息中心主任饶克勤所说，“电子病历的关键点是可分析、可利用，要能调取其中的任何字段，用于分析和利用，以支持临床路径、循证医学等诸多后续的应用，而电子文档记录不具备这种功能。”

(二)电子病历的安全

电子病历是现代医疗机构开展高效、优质的临床诊疗、科研以及医疗管理工作所必需的重要临床信息资源，也是患者获取有效医疗资源、寻求及时治疗方案的最可靠工具。因而，电子病历的安全需要引起格外重视。

笔者认为，电子病历的安全主要指电子病历系统资源和信息资源能有效避免自然和人为有害因素的威胁和危害，它包括电子病历系统设备、设施的安全，电子病历操作系统、应用软件的安全，电子病历信息的安全，以及电子病历在运行过程中的安全。

由于电子病历系统是一个复杂的人一机交换的信息系统，其安全性不仅涉及到技术问题，同时也涉及管理问题。在信息技术飞速发展的今天，技术问题不难解决，而电子病历系统涉及到社会目前比较敏感的医患双方这些“人”的因素，因此管理问题就必须加以重视。本文主要从管理角度探讨电子病历的安全保障。

二、我国电子病历发展及其安全现状

(一)我国电子病历发展概况

2009年12月，卫生部、国家中医药管理局印发《电子病历基本架构与数据标准(试行)>，开始全面推进以医院管理和电子病历为重点的医院信息化建设。2010年，公立医院改革步入深水区，电子病历被委以重任。在2010年2月公布的《关于公立医院改革试点的指导意见》明确指出，“以医院管理和电子病历为重点推进公立医院信息化建设，提高管理和服务水平”。2010年3月，卫生部印发了《电子病历基本规范(试行)》，并于4月1日开始正式实施。2010年10月，卫生部《电子病历试点工作方案》，在全国22个省(区、市)部分区域和医院展开电子病历试点工作。现在国内超过35％三甲医院已使用“电子病历”(CHIMA2009)，上海超过80％的三甲医院已经使用“电子病历”。由此可见，作为医疗信息化的重点，电子病历建设正在我国各个医院如火如荼展开。

(二)电子病历的安全隐患

尽管在《电子病历基本规范(试行)》中，从多个方面对电子病历、电子病历管理、电子病历系统的安全可信提出了要求，但是通过笔者对我市应用电子病历的医院进行摸查走访，发现电子病历应用过程中存在诸多安全隐患。如不加以重视，势必影响电子病历的应用与发展。主要的安全隐患列举如下：

第一，电子病历系统使用存在安全隐患。医生对电子病历的安全问题不够重视，尽管目前大多采用用户名密码方式来登陆系统，但是在实际工作中，医生要么密码设置过于简单，容易被人盗取：要么为了书写交流方便，科室医生共用一个密码。

第二，电子病历信息的准确性难以保证。电子病历是患者诊治过程的记录，需要如实反映患者的真实情况。然而，很多医生为了节省时间，都是对病历简单复制，仅修改姓名等明显存在差异的项目，致使很多病历错误百出，患者个人信息真实性无法保证。

第三，电子病历系统运行过程存在安全隐患。电子病历系统一般是在医院局域网运行，电子病历信息在局域网传输过程中的安全不能很好保证，有可能被窃取并篡改，无法保障医务人员在系统终端上输入和浏览的电子病历信息的完整性、真实性。

第四，电子病历的安全管理缺乏必要监督。在《电子病历基本规范(试行)》第十三条规定“严禁篡改、伪造、隐匿、抢夺、窃取和毁坏电子病历。”电子病历一旦生成，只有后台系统管理人员可以操作，然而在电子病历实际推行过程中，有的医生在终端输入，提交病历后可以在后台修改，整个过程无人监督。使患者诊治信息的原始性遭到破坏，一旦发生医患纠纷，给患者造成利益的损失。

三、电子病历安全管理策略

(一)建立医院电子病历安全保障机构

鉴于电子病历的安全的重要性，需要在医院范围内树立电子病历安全保障机制的权威性。因此，我们认为，医院的主管信息化建设的主要领导必须主管电子病历的安全工作，对电子病历的安全工作高度重视。同时在医院建立一个从上到下的完整的安全组织体系，从医院到各个科室、到各个临床医疗小组逐级建立电子病历安全防范责任制，各级职责划分明确，进行电子病历的安全落实工作。

(二)确立医院电子病历风险管理体系

树立风险管理观念，有助于唤起风险意识，有效地提示医院所有参与生成、管理和使用电子病历系统的人避免风险事故，承担风险责任，逐步形成与电子病历管理规律相适应的管理观念，使电子病历安全得到全方位、安全、有效的保护。

1.对医院电子病历系统进行风险管理

第一，对医院电子病历系统进行评估。首先明确医院的电子病历系统的相关设备情况，分析其面临的可能的威胁：诸如，系统漏洞、黑客、医务人员误操作、医务人员恶意攻击、外部人员恶意攻击、病毒等等，并且排序。其次进行系统的脆弱性识别，包括系统在技术上的脆弱性、系统操作过程中的缺陷，以及管理策略上的漏洞等等。

第二，依据以上评估结果，采用定性与定量方法进行

风险度量，以确定风险的优先级别，一般可分为低风险、一般风险和高风险等级别，进而对电子病历的系统存在的风险进行综合评价。

第三，进行风险控制。医院根据风险评价，结合自身经济实力，制定适合本院的安全控制措施，从而降低医院可能面对的安全风险。

2.在医院范围建立应急响应机制

电子病历系统的应急响应工作主要内容包括：确定应急响应组织的编制，明确责任的划分；应急措施的制定与演练，突发事件发生后的信息通报，应急抢救步骤，备份系统的启用，以及应急工作后期处置等等。

(三)严格制定执行医院安全管理制度

1.建立电子病历全程管理制度

医院应建立电子病历专职管理部门，受如前所述的本院电子病历安全保障机构的直接监督和领导。电子病历专职管理人员应该负责电子病历形成、收集、质量鉴定、归档、保存、利用直至销毁的整个过程，并且制定每个环节非常具体的管理制度，在全院执行。

2.用户访问控制管理规定

根据工作需要，对医院电子病历终端用户进行严格的权限分类、界定，设置不同的登录密码并严格执行，定期修改密码。医院电子病历管理人员可以被任命为特权管理员，统一管理、监督医院所有用户的使用情况，对用户实行身份和操作的合法性检查。除此之外，还要设置特殊情况下的动态授权机制，比如会诊、检查等。

3.明确奖惩制度

除了在制度上规定电子病历系统运作过程中各医务人员的权利与责任，需要辅之以配套的奖惩制度，以作为政策执行的激励。对于一定时间段内在电子病历使用过程中无任何安全事故的人员以资奖励，而对有意或无意操作造成安全事件或电子病历的泄露的人员，分级别进行惩罚。

(四)加强医院医务人员安全管理

1.提高医务人员电子病历安全意识

医院电子病历安全保障机构需要通过医院教育、媒体宣传、政策引导等多种方法和途径进行电子病历的安全教育活动，使所有电子病历系统相关者重视电子病历的安全，了解一旦电子病历安全受到破坏产生的严重后果。并且学习本院的电子病历安全制度，牢记个人的安全职责，加强医务人员的职业道德修养，切实从自身做起，保护电子病历的安全。

2.加强医务人员的安全技术教育

对于大多数的医务人员来说，精通医术是本职，而精通计算机安全技术的人员少之又少。根据CDW的一项针对医生的调查发现，30％的医生缺乏反病毒软件，34％的医生并没有良好的网络防火墙。而在电子病历实施过程中，每个人都是电子病历系统终端的用户，因此掌握必要的计算机技术、信息安全技术、网络安全技术成为必需。由此可见，对医务人员进行安全技术教育和培训，可以防止其在操作电子病历系统时由于误操作，或者安全保护手段缺乏而引入安全威胁，对医院的电子病历安全造成影响。

总之，电子病历的建设任重道远，而电子病历的安全保障是重中之重。为了保障电子病历的安全，我们可以借鉴信息安全学、档案学等相关领域的知识、经验，结合医院电子病历建设制定本院的安全措施，从而保证电子病历的系统与信息的安全，使医患双方都对电子病历充满信心，推动电子病历的顺利推广。

注释：

①卫生部.《电子病历基本架构与数据标准(试行)》，2009年12月.

②卫生部.《电子病历基本规范(试行)》，2010年4月.

③孟丽莉.电子病历现状与《电子病历基本规范》.省略w.省略/viewthread.php?tid=24&extra=page％3D1，2011年7月16日访问。

④沈建苗编译.电子病历安全吗?[N]，计算机世界，2010-15-18.

⑤曹印专.略论电子病历的原始性问题[J].中国卫生事业管理，2003，(10)：639.

作者单位：河北大学管理学院