醫(yī)院HIS系統(tǒng)崗位權(quán)限管理細(xì)則第一章總則1.1目的依據(jù)為規(guī)范醫(yī)院HIS（HospitalInformationSystem，醫(yī)院信息系統(tǒng)）崗位權(quán)限管理，保障系統(tǒng)數(shù)據(jù)安全，維護(hù)患者隱私，提高醫(yī)療服務(wù)效率，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《醫(yī)療保障基金使用監(jiān)督管理?xiàng)l例》《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》等法律法規(guī)及醫(yī)院《信息系統(tǒng)安全管理辦法》，結(jié)合醫(yī)院實(shí)際情況，制定本細(xì)則。1.2適用范圍本細(xì)則適用于醫(yī)院所有使用HIS系統(tǒng)的崗位及人員，包括臨床醫(yī)護(hù)人員、醫(yī)療管理人員、行政后勤人員、信息技術(shù)人員等。1.3管理原則1.最小必要原則：權(quán)限配置以完成崗位職責(zé)所需最小權(quán)限為限，避免超范圍授權(quán)。2.權(quán)責(zé)一致原則：權(quán)限與崗位職責(zé)嚴(yán)格對應(yīng)，誰授權(quán)誰負(fù)責(zé)，誰使用誰負(fù)責(zé)。3.動態(tài)調(diào)整原則：崗位變動時(shí)及時(shí)調(diào)整權(quán)限，離職時(shí)立即注銷權(quán)限，確保權(quán)限與當(dāng)前職責(zé)一致。4.分級審批原則：根據(jù)權(quán)限重要性，實(shí)行“部門負(fù)責(zé)人-信息管理部門-分管領(lǐng)導(dǎo)”分級審批，杜絕隨意授權(quán)。第二章崗位權(quán)限分類與定義2.1崗位類型劃分結(jié)合醫(yī)院業(yè)務(wù)流程，將HIS系統(tǒng)使用崗位分為四類：臨床崗位、醫(yī)療管理崗位、行政后勤崗位、信息管理崗位。2.2權(quán)限級別定義根據(jù)操作風(fēng)險(xiǎn)，將權(quán)限分為四級，明確操作邊界：查詢權(quán)：僅能查看數(shù)據(jù)（如患者基本信息、檢查結(jié)果），無法修改或刪除。修改權(quán)：能修改數(shù)據(jù)（如病歷書寫、護(hù)理記錄），但無法刪除。刪除權(quán)：能刪除數(shù)據(jù)（僅特殊崗位具備，如信息管理部門用于清理無效數(shù)據(jù)）。審批權(quán)：能審批其他用戶的申請（如醫(yī)囑審批、費(fèi)用結(jié)算審批）。2.3崗位權(quán)限清單（示例）1.臨床崗位醫(yī)生：患者基本信息查詢、病歷書寫/修改、醫(yī)囑開具（藥品/檢查/檢驗(yàn)）、檢查檢驗(yàn)結(jié)果查看、診斷報(bào)告出具、患者隨訪記錄錄入。護(hù)士：患者基本信息核對、醫(yī)囑執(zhí)行（輸液/注射）、護(hù)理記錄書寫、生命體征錄入、藥品領(lǐng)取發(fā)放。醫(yī)技人員（檢驗(yàn)/檢查/放射）：檢查申請接收、標(biāo)本處理、結(jié)果錄入/報(bào)告出具、結(jié)果查詢。2.醫(yī)療管理崗位醫(yī)務(wù)科：病歷質(zhì)量檢查、醫(yī)療糾紛病例查詢、醫(yī)療統(tǒng)計(jì)數(shù)據(jù)提取、醫(yī)生資質(zhì)管理。護(hù)理部：護(hù)理質(zhì)量檢查、護(hù)士資質(zhì)管理、護(hù)理記錄審核。質(zhì)控辦：醫(yī)療質(zhì)量指標(biāo)統(tǒng)計(jì)、醫(yī)療差錯(cuò)事故查詢、質(zhì)量考核數(shù)據(jù)提取。3.行政后勤崗位財(cái)務(wù)科：患者費(fèi)用查詢、收費(fèi)標(biāo)準(zhǔn)維護(hù)、費(fèi)用結(jié)算審核、財(cái)務(wù)報(bào)表統(tǒng)計(jì)。人事科：員工信息維護(hù)、崗位變動記錄、權(quán)限申請審核。設(shè)備科：設(shè)備使用記錄查詢、維護(hù)計(jì)劃錄入、庫存管理。4.信息管理崗位HIS系統(tǒng)管理員：用戶管理、權(quán)限配置/維護(hù)、系統(tǒng)日志查看、故障排查。數(shù)據(jù)庫管理員：數(shù)據(jù)庫備份/恢復(fù)、數(shù)據(jù)加密、數(shù)據(jù)訪問權(quán)限管理。第三章權(quán)限申請與審批流程3.1申請條件1.申請人應(yīng)為醫(yī)院在職員工，且崗位需要使用HIS系統(tǒng)。2.申請權(quán)限應(yīng)與崗位職責(zé)一致，符合最小必要原則。3.提交材料：《HIS系統(tǒng)權(quán)限申請表》（附件1）、崗位證明材料（如崗位任命書、勞動合同）。3.2審批流程1.部門審核：申請人將申請表提交所在部門負(fù)責(zé)人，部門負(fù)責(zé)人確認(rèn)申請權(quán)限與崗位職責(zé)一致，簽字確認(rèn)。2.信息管理部門審核：部門審核通過后，申請表提交信息管理部門。信息管理部門核對《崗位權(quán)限清單》，確認(rèn)申請權(quán)限是否符合最小必要原則，提出審核意見。3.分管領(lǐng)導(dǎo)審批：信息管理部門審核通過后，提交分管領(lǐng)導(dǎo)審批。分管領(lǐng)導(dǎo)確認(rèn)權(quán)限的必要性和合規(guī)性，簽字批準(zhǔn)。4.配置與通知：信息管理部門根據(jù)審批結(jié)果，通過RBAC（角色-based訪問控制）模型配置權(quán)限（如為申請人分配“住院醫(yī)生”角色，角色關(guān)聯(lián)“病歷書寫”“醫(yī)囑開具”等權(quán)限）。配置完成后，信息管理部門通知申請人權(quán)限生效時(shí)間及使用注意事項(xiàng)（如保護(hù)患者隱私、禁止超權(quán)限使用），申請人簽字確認(rèn)收到通知。第四章權(quán)限配置與維護(hù)4.1配置依據(jù)1.《醫(yī)院HIS系統(tǒng)崗位權(quán)限清單》：由信息管理部門會同各業(yè)務(wù)部門制定，明確每個(gè)崗位的權(quán)限類型和級別，經(jīng)分管領(lǐng)導(dǎo)審批后生效。2.崗位變動通知：當(dāng)員工崗位變動時(shí)，所在部門應(yīng)及時(shí)向信息管理部門提交《崗位變動通知書》（附件2），信息管理部門根據(jù)新崗位的權(quán)限清單調(diào)整權(quán)限。4.2配置方法采用RBAC模型，將權(quán)限分配給角色，角色分配給用戶。例如：角色“住院醫(yī)生”關(guān)聯(lián)權(quán)限：患者信息查詢、病歷書寫、醫(yī)囑開具。將角色“住院醫(yī)生”分配給所有住院醫(yī)生用戶。4.3維護(hù)流程1.權(quán)限調(diào)整：當(dāng)崗位變動時(shí)，信息管理部門在收到《崗位變動通知書》后1個(gè)工作日內(nèi)調(diào)整權(quán)限；當(dāng)《崗位權(quán)限清單》修訂時(shí)，及時(shí)更新角色權(quán)限。2.權(quán)限注銷：當(dāng)員工離職時(shí)，所在部門應(yīng)在離職前1個(gè)工作日向信息管理部門提交《離職通知書》（附件3），信息管理部門立即注銷該員工的HIS系統(tǒng)賬號和權(quán)限。3.定期review：每季度末，信息管理部門會同各業(yè)務(wù)部門對權(quán)限進(jìn)行review，檢查權(quán)限與崗位職責(zé)是否一致，形成《權(quán)限r(nóng)eview報(bào)告》，提交分管領(lǐng)導(dǎo)。第五章權(quán)限審計(jì)與監(jiān)督5.1審計(jì)內(nèi)容1.權(quán)限申請與審批記錄：檢查申請表是否填寫完整、部門負(fù)責(zé)人和分管領(lǐng)導(dǎo)是否簽字、申請理由是否合理。2.權(quán)限使用記錄：檢查用戶是否超權(quán)限使用（如護(hù)士修改病歷）、是否泄露患者信息（如查詢非分管患者的信息）、是否修改或刪除不應(yīng)修改的數(shù)據(jù)。3.權(quán)限維護(hù)記錄：檢查崗位變動時(shí)是否及時(shí)調(diào)整權(quán)限、離職時(shí)是否及時(shí)注銷權(quán)限。5.2審計(jì)頻率1.日常審計(jì)：信息管理部門每日查看系統(tǒng)日志，發(fā)現(xiàn)異常情況（如多次超權(quán)限訪問）及時(shí)預(yù)警。2.定期審計(jì)：每月末，信息管理部門生成《HIS系統(tǒng)權(quán)限審計(jì)報(bào)告》，內(nèi)容包括：權(quán)限申請審批情況、超權(quán)限使用情況、權(quán)限維護(hù)情況，提交給分管領(lǐng)導(dǎo)。3.專項(xiàng)審計(jì)：當(dāng)發(fā)生信息泄露、系統(tǒng)故障等事件時(shí)，進(jìn)行專項(xiàng)審計(jì)，查找原因。5.3監(jiān)督機(jī)制1.內(nèi)部監(jiān)督：各業(yè)務(wù)部門負(fù)責(zé)人定期檢查本部門員工的權(quán)限使用情況，發(fā)現(xiàn)問題及時(shí)向信息管理部門報(bào)告。2.外部監(jiān)督：患者或員工可以通過醫(yī)院投訴熱線、郵箱等方式舉報(bào)違規(guī)授權(quán)或使用的情況，醫(yī)院紀(jì)檢部門負(fù)責(zé)調(diào)查處理，處理結(jié)果反饋給舉報(bào)人。3.第三方審計(jì)：每年委托第三方機(jī)構(gòu)對HIS系統(tǒng)權(quán)限管理進(jìn)行審計(jì)，出具審計(jì)報(bào)告，提出改進(jìn)建議。第六章責(zé)任追究6.1違規(guī)行為類型1.未經(jīng)審批授權(quán)：未通過正常流程申請，私自獲取權(quán)限。2.超權(quán)限使用：使用超出崗位職責(zé)的權(quán)限（如護(hù)士開具醫(yī)囑）。3.泄露患者信息：將患者信息泄露給無關(guān)人員（如出售患者手機(jī)號、病歷）。4.違規(guī)審批：部門負(fù)責(zé)人或分管領(lǐng)導(dǎo)審批不符合規(guī)定的權(quán)限申請（如為非臨床崗位審批病歷修改權(quán)限）。5.未及時(shí)維護(hù)權(quán)限：崗位變動或離職后，未及時(shí)調(diào)整或注銷權(quán)限，導(dǎo)致違規(guī)使用。6.2責(zé)任認(rèn)定與處罰1.輕微違規(guī)（如第一次超權(quán)限查詢患者信息，未造成后果）：口頭警告，責(zé)令整改，扣減當(dāng)月績效的5%。2.一般違規(guī)（如未經(jīng)審批授權(quán)，使用權(quán)限；超權(quán)限修改數(shù)據(jù)，造成輕微后果）：書面警告，扣減當(dāng)月績效的10%，取消當(dāng)年評優(yōu)資格。3.嚴(yán)重違規(guī)（如泄露患者信息，造成患者損失；超權(quán)限刪除數(shù)據(jù)，導(dǎo)致系統(tǒng)數(shù)據(jù)丟失）：降薪、降職，解除勞動合同，承擔(dān)相應(yīng)的民事賠償責(zé)任；情節(jié)嚴(yán)重的，移送司法機(jī)關(guān)追究法律責(zé)任。4.違規(guī)審批：部門負(fù)責(zé)人或分管領(lǐng)導(dǎo)審批不符合規(guī)定的權(quán)限申請，導(dǎo)致違規(guī)使用的，扣減當(dāng)月績效的15%，情節(jié)嚴(yán)重的，給予行政處分。6.3責(zé)任認(rèn)定流程1.調(diào)查：信息管理部門或紀(jì)檢部門收到違規(guī)舉報(bào)或?qū)徲?jì)發(fā)現(xiàn)問題后，及時(shí)開展調(diào)查，收集證據(jù)（如系統(tǒng)日志、申請表、證人證言）。2.取證：對違規(guī)行為進(jìn)行核實(shí)，確認(rèn)違規(guī)事實(shí)。3.聽證：通知當(dāng)事人到場，聽取當(dāng)事人的陳述和申辯。4.決定：根據(jù)調(diào)查結(jié)果和聽證意見，作出責(zé)任認(rèn)定和處罰決定，書面通知當(dāng)事人。5.申訴：當(dāng)事人對處罰決定不服的，可以在收到通知后3個(gè)工作日內(nèi)提出申訴，由醫(yī)院申訴委員會復(fù)查，復(fù)查結(jié)果為最終決定。第七章附則7.1生效日期本細(xì)則自2024年X月X日起生效。7.2解釋權(quán)本細(xì)則由醫(yī)院信息管理部門負(fù)責(zé)解釋。7.3修訂流程當(dāng)法律法規(guī)修訂或醫(yī)院業(yè)務(wù)流程調(diào)整時(shí)，信息管理部門會同各業(yè)務(wù)部門修訂本細(xì)則，經(jīng)分管領(lǐng)導(dǎo)審批后生效。7.4附件1.附件