電子病歷安全管理探究

摘要：本文就我國目前醫療信息化中的熱點問題——電子病歷的安全問題展開探討。介紹了我國電子病歷及其安全的涵義，電子病歷在我國的發展概況，根據筆者的調研列舉了電子病歷的安全現狀，最后從管理角度探討了醫院電子病歷安全管理策略，以期從管理層面解決電子病歷的安全問題。

關鍵詞：電子病歷安全管理管理策略

自2010年我國公立醫院改革進一步深入，電子病歷就被委以重任，備受關注。而影響電子病歷向前推進的重要因素之一，就是電子病歷在建設與應用過程中的安全問題。電子病歷的安全保障僅是信息社會醫院正常運轉的基礎，而且是維護患者信息安全的重要保證。因此，我們對電子病歷的安全管理問題必須予以重視。

一、電子病歷及其安全

(一)電子病歷的概念

2009年，國家衛生部和國家中醫藥管理局印發的<電子病歷基本架構與數據標準(試行)>，明確定義了電子病歷的基本概念：“電子病歷是由醫療機構以電子化方式創建、保存和使用的，重點針對門診、住院患者(或保健對象)臨床診療和指導干預信息的數據集成系統。是居民個人在醫療機構歷次就診過程中產生和被記錄的完整、詳細的臨床信息資源?！?/p>

2010年4月，衛生部發布的<電子病歷基本規范(試行)>中規定，電子病歷是指醫務人員在醫療活動過程中，使用醫療機構信息系統生成的文字，符號，圖表圖形，數據，影像等數字化信息，并能實現存儲，管理，傳輸和重現的醫療記錄，是病歷的一種記錄形式。是居民個人在醫療機構歷次就診過程中產生和被記錄的完整、詳細的臨床信息資源。同時也明確指出，醫療機構應用Word、WPS等文字處理軟件編輯、打印病歷，都不屬于真正意義上的電子病歷。

盡管在兩個文件中電子病歷的表述有所不同，但其基本涵義是一致的。正像衛生部統計信息中心主任饒克勤所說，“電子病歷的關鍵點是可分析、可利用，要能調取其中的任何字段，用于分析和利用，以支持臨床路徑、循證醫學等諸多后續的應用，而電子文檔記錄不具備這種功能?！?/p>

(二)電子病歷的安全

電子病歷是現代醫療機構開展高效、優質的臨床診療、科研以及醫療管理工作所必需的重要臨床信息資源，也是患者獲取有效醫療資源、尋求及時治療方案的最可靠工具。因而，電子病歷的安全需要引起格外重視。

筆者認為，電子病歷的安全主要指電子病歷系統資源和信息資源能有效避免自然和人為有害因素的威脅和危害，它包括電子病歷系統設備、設施的安全，電子病歷操作系統、應用軟件的安全，電子病歷信息的安全，以及電子病歷在運行過程中的安全。

由于電子病歷系統是一個復雜的人一機交換的信息系統，其安全性不僅涉及到技術問題，同時也涉及管理問題。在信息技術飛速發展的今天，技術問題不難解決，而電子病歷系統涉及到社會目前比較敏感的醫患雙方這些“人”的因素，因此管理問題就必須加以重視。本文主要從管理角度探討電子病歷的安全保障。

二、我國電子病歷發展及其安全現狀

(一)我國電子病歷發展概況

2009年12月，衛生部、國家中醫藥管理局印發《電子病歷基本架構與數據標準(試行)>，開始全面推進以醫院管理和電子病歷為重點的醫院信息化建設。2010年，公立醫院改革步入深水區，電子病歷被委以重任。在2010年2月公布的《關于公立醫院改革試點的指導意見》明確指出，“以醫院管理和電子病歷為重點推進公立醫院信息化建設，提高管理和服務水平”。2010年3月，衛生部印發了《電子病歷基本規范(試行)》，并于4月1日開始正式實施。2010年10月，衛生部發布《電子病歷試點工作方案》，在全國22個省(區、市)部分區域和醫院展開電子病歷試點工作?，F在國內超過35％三甲醫院已使用“電子病歷”(CHIMA2009)，上海超過80％的三甲醫院已經使用“電子病歷”。由此可見，作為醫療信息化的重點，電子病歷建設正在我國各個醫院如火如荼展開。

(二)電子病歷的安全隱患

盡管在《電子病歷基本規范(試行)》中，從多個方面對電子病歷、電子病歷管理、電子病歷系統的安全可信提出了要求，但是通過筆者對我市應用電子病歷的醫院進行摸查走訪，發現電子病歷應用過程中存在諸多安全隱患。如不加以重視，勢必影響電子病歷的應用與發展。主要的安全隱患列舉如下：

第一，電子病歷系統使用存在安全隱患。醫生對電子病歷的安全問題不夠重視，盡管目前大多采用用戶名密碼方式來登陸系統，但是在實際工作中，醫生要么密碼設置過于簡單，容易被人盜?。阂礊榱藭鴮懡涣鞣奖悖剖裔t生共用一個密碼。

第二，電子病歷信息的準確性難以保證。電子病歷是患者診治過程的記錄，需要如實反映患者的真實情況。然而，很多醫生為了節省時間，都是對病歷簡單復制，僅修改姓名等明顯存在差異的項目，致使很多病歷錯誤百出，患者個人信息真實性無法保證。

第三，電子病歷系統運行過程存在安全隱患。電子病歷系統一般是在醫院局域網運行，電子病歷信息在局域網傳輸過程中的安全不能很好保證，有可能被竊取并篡改，無法保障醫務人員在系統終端上輸入和瀏覽的電子病歷信息的完整性、真實性。

第四，電子病歷的安全管理缺乏必要監督。在《電子病歷基本規范(試行)》第十三條規定“嚴禁篡改、偽造、隱匿、搶奪、竊取和毀壞電子病歷。”電子病歷一旦生成，只有后臺系統管理人員可以操作，然而在電子病歷實際推行過程中，有的醫生在終端輸入，提交病歷后可以在后臺修改，整個過程無人監督。使患者診治信息的原始性遭到破壞，一旦發生醫患糾紛，給患者造成利益的損失。

三、電子病歷安全管理策略

(一)建立醫院電子病歷安全保障機構

鑒于電子病歷的安全的重要性，需要在醫院范圍內樹立電子病歷安全保障機制的權威性。因此，我們認為，醫院的主管信息化建設的主要領導必須主管電子病歷的安全工作，對電子病歷的安全工作高度重視。同時在醫院建立一個從上到下的完整的安全組織體系，從醫院到各個科室、到各個臨床醫療小組逐級建立電子病歷安全防范責任制，各級職責劃分明確，進行電子病歷的安全落實工作。

(二)確立醫院電子病歷風險管理體系

樹立風險管理觀念，有助于喚起風險意識，有效地提示醫院所有參與生成、管理和使用電子病歷系統的人避免風險事故，承擔風險責任，逐步形成與電子病歷管理規律相適應的管理觀念，使電子病歷安全得到全方位、安全、有效的保護。

1.對醫院電子病歷系統進行風險管理

第一，對醫院電子病歷系統進行評估。首先明確醫院的電子病歷系統的相關設備情況，分析其面臨的可能的威脅：諸如，系統漏洞、黑客、醫務人員誤操作、醫務人員惡意攻擊、外部人員惡意攻擊、病毒等等，并且排序。其次進行系統的脆弱性識別，包括系統在技術上的脆弱性、系統操作過程中的缺陷，以及管理策略上的漏洞等等。

第二，依據以上評估結果，采用定性與定量方法進行風險度量，以確定風險的優先級別，一般可分為低風險、一般風險和高風險等級別，進而對電子病歷的系統存在的風險進行綜合評價。

第三，進行風險控制。醫院根據風險評價，結合自身經濟實力，制定適合本院的安全控制措施，從而降低醫院可能面對的安全風險。

2.在醫院范圍建立應急響應機制

電子病歷系統的應急響應工作主要內容包括：確定應急響應組織的編制，明確責任的劃分；應急措施的制定與演練，突發事件發生后的信息通報，應急搶救步驟，備份系統的啟用，以及應急工作后期處置等等。

(三)嚴格制定執行醫院安全管理制度

1.建立電子病歷全程管理制度

醫院應建立電子病歷專職管理部門，受如前所述的本院電子病歷安全保障機構的直接監督和領導。電子病歷專職管理人員應該負責電子病歷形成、收集、質量鑒定、歸檔、保存、利用直至銷毀的整個過程，并且制定每個環節非常具體的管理制度，在全院執行。

2.用戶訪問控制管理規定

根據工作需要，對醫院電子病歷終端用戶進行嚴格的權限分類、界定，設置不同的登錄密碼并嚴格執行，定期修改密碼。醫院電子病歷管理人員可以被任命為特權管理員，統一管理、監督醫院所有用戶的使用情況，對用戶實行身份和操作的合法性檢查。除此之外，還要設置特殊情況下的動態授權機制，比如會診、檢查等。

3.明確獎懲制度

除了在制度上規定電子病歷系統運作過程中各醫務人員的權利與責任，需要輔之以配套的獎懲制度，以作為政策執行的激勵。對于一定時間段內在電子病歷使用過程中無任何安全事故的人員以資獎勵，而對有意或無意操作造成安全事件或電子病歷的泄露的人員，分級別進行懲罰。

(四)加強醫院醫務人員安全管理

1.提高醫務人員電子病歷安全意識

醫院電子病歷安全保障機構需要通過醫院教育、媒體宣傳、政策引導等多種方法和途徑進行電子病歷的安全教育活動，使所有電子病歷系統相關者重視電子病歷的安全，了解一旦電子病歷安全受到破壞產生的嚴重后果。并且學習本院的電子病歷安全制度，牢記個人的安全職責，加強醫務人員的職業道德修養，切實從自身做起，保護電子病歷的安全。

2.加強醫務人員的安全技術教育

對于大多數的醫務人員來說，精通醫術是本職，而精通計算機安全技術的人員少之又少。根據CDW的一項針對醫生的調查發現，30％的醫生缺乏反病毒軟件，34％的醫生并沒有良好的網絡防火墻。而在電子病歷實施過程中，每個人都是電子病歷系統終端的用戶，因此掌握必要的計算機技術、信息安全技術、網絡安全技術成為必需。由此可見，對醫務人員進行安全技術教育和培訓，可以防止其在操作電子病歷系統時由于誤操作，或者安全保護手段缺乏而引入安全威脅，對醫院的電子病歷安全造成影響。

總之，電子病歷的建設任重道遠，而電子病歷的安全保障是重中之重。為了保障電子病歷的安全，我們可以借鑒信息安全學、檔案學等相關領域的知識、經驗，結合醫院電子病歷建設制定本院的安全措施，從而保證電子病歷的系統與信息的安全，使醫患雙方都對電子病歷充滿信心，推動電子病歷的順利推廣。

注釋：

①衛生部.《電子病歷基本架構與數據標準(試行)》，2009年12月.

②衛生部.《電子病歷基本規范(試行)》，2010年4月.

③孟麗莉.電子病歷現狀與《電子病歷基本規范》.http：//nhbbs.ccw.com.cn/viewthread.php?tid=24extra=page％3D1，2011年7月16日訪問。

④沈建苗編譯.電子病歷安全嗎?[N]，計算機世界，2010-15-18.

⑤曹印專.略論電子病歷的原始性問題[J].中國衛生事業管理，2003，(10)：639.

作者單位：河北大學管理學院