国家卫健委印发《医疗机构临床决策支持系统应用管理规范(试行)》,明确医疗机构CDSS的安全保障要求

发布时间:2023-08-02 17:40:31    浏览次数:1227     来源:国家卫生健康委办公厅

7月26日,国家卫生健康委办公厅发布《医疗机构临床决策支持系统应用管理规范(试行)》,指导各地卫生健康行政部门和有关医疗机构推进和加强CDSS应用管理。

《规范》共分六章十七条,主要明确了以下内容。一是《规范》的适用范围、基本概念等。二是CDSS应满足的基本要求,包括临床知识来源应具有权威性并及时更新。三是医疗机构实施CDSS应具备的信息化基础要求,包括医疗机构应具备较为完备的医疗信息系统基础,各系统应实现系统整合、互联互通或数据共享,数据应统一、规范、完整、准确等。四是医疗机构CDSS的应用管理要求,包括组织管理、培训、监测评价以及CDSS知识库维护更新等。五是医疗机构应用CDSS的安全要求。

其中,在安全保障方面《规范》要求:

第十四条 医疗机构应当明确技术支持部门和人员,负责CDSS相关信息系统建设、运行、维护和保障等工作。

第十五条 医疗机构应用CDSS的安全要求:

(一)满足《网络安全法》《数据安全法》和《个人信息保护法》的要求,落实网络安全等级保护制度及相关标准,确保网络安全。CDSS部署在医疗机构的可控内部网络时,应与互联网隔离,其安全管控应达到医疗机构内部信息系统同等安全级别;CDSS部署于医疗机构内部网络以外时,应通过审批、授权及个人信息隐藏等管理和技术管控措施,确保患者和医疗信息安全。

(二)明确CDSS的使用风险,强制进行风险告知。

(三)建立CDSS运维管理制度,加强运维管理,确保所有运维操作可授权、可追踪、可审查。

(四)加强对数据操作的监控和审计。系统使用环节涉及个人隐私信息处理时,应当合理确定个人隐私信息处理的操作权限。

(五)加强CDSS网络安全应急管理,持续监测CDSS运行状态,发现运行或重要配置等异常情况时,及时通报预警并处置。


国家卫生健康委办公厅关于印发医疗机构临床决策支持系统应用管理规范(试行)的通知

国卫办医政函〔2023〕268号

各省、自治区、直辖市及新疆生产建设兵团卫生健康委:

为促进智慧医院建设发展,适应医院信息化工作需要,规范医疗机构临床决策支持系统应用管理,我委组织制定了《医疗机构临床决策支持系统应用管理规范(试行)》,现印发给你们,请结合实际组织实施。

国家卫生健康委办公厅

2023年7月17日

医疗机构临床决策支持系统应用管理规范(试行)

第一章 总 则

第一条 为促进智慧医院建设发展,适应医院信息化工作需要,规范医疗机构临床决策支持系统(Clinical Decision Support System,以下简称CDSS)应用管理,提升医疗安全和质量,保证医患双方合法权益,依据《中华人民共和国基本医疗卫生与健康促进法》《医疗机构管理条例》等,制定本规范。

第二条 实施CDSS的二级以上综合医院、专科医院、妇幼保健院,其CDSS的建设、应用、安全和管理等适用本规范。其他级别、类别的医疗机构实施CDSS,可参照本规范执行。

第三条 CDSS是通过应用信息技术,综合分析医学知识和患者信息,为医务人员的临床诊疗活动提供多种形式帮助,支持临床决策的一种计算机辅助信息系统。

第四条 国家卫生健康委负责指导全国医疗机构CDSS应用管理工作。地方各级卫生健康行政部门负责本行政区域内医疗机构CDSS的应用管理工作。

第五条 CDSS是临床决策的辅助工具,其产生的结果供医务人员参考使用,医务人员结合实际诊疗情况可选择使用。

第二章 CDSS的基本要求

第六条 CDSS应满足以下基本要求:

(一)临床知识来源应具有权威性,包括但不限于法律法规、部门规章、规范性文件,国家认可的药品说明书、医疗器械注册证、临床路径、临床诊疗指南、技术操作规范、标准、医学教材、专家共识、专著、文献等。

(二)临床知识库应及时更新,更新周期一般不长于半年。知识库内容应有退出机制,对不适用的知识应及时删除或更新。

(三)CDSS的使用应留存审计日志,可对使用情况进行溯源评价。

第三章 医疗机构信息化基础要求

第七条 医疗机构实施CDSS应具备以下条件:

(一)医疗机构应具备较为完备的医疗信息系统基础,包括但不限于医疗机构信息平台、电子病历系统、医院信息管理系统、医嘱系统、病案系统、医务质控系统、实验室信息管理系统、医学影像系统、放射信息管理系统等。

(二)医疗机构各系统应实现系统整合、互联互通或数据共享。

(三)医疗机构信息系统中的数据应统一、规范、完整、准确,并能够为CDSS提供所需的结构化数据。

第四章 医疗机构CDSS的应用管理

第八条 医疗机构应当明确责任部门和人员,负责CDSS的管理和监控,建立、健全CDSS管理的相关制度和规程,明确使用范围、规范使用流程,包括知识搜集、规则编写、审核发布、反馈评估等。

第九条 医疗机构应用的CDSS产品应符合国家相关规定,医疗机构内相应管理部门应对其进行伦理、安全、权限等方面的审核。

第十条 医疗机构应当定期组织对医务人员开展CDSS应用培训。

第十一条 医疗机构应当根据需要对CDSS的知识库进行自主完善、补充、维护与更新,知识更新应有明确的审核机制、周期、流程和记录,并加强知识产权保护。

第十二条 医疗机构应当建立CDSS使用和不良事件反馈机制,及时总结应用情况,定期对CDSS应用的稳定性、有效性进行质量监测、效果评价、动态调整。

第十三条 鼓励有条件的医疗机构利用CDSS作为提升医疗质量和安全的智能化工具。

第五章 医疗机构CDSS的安全保障

第十四条 医疗机构应当明确技术支持部门和人员,负责CDSS相关信息系统建设、运行、维护和保障等工作。

第十五条 医疗机构应用CDSS的安全要求:

(一)满足《网络安全法》《数据安全法》和《个人信息保护法》的要求,落实网络安全等级保护制度及相关标准,确保网络安全。CDSS部署在医疗机构的可控内部网络时,应与互联网隔离,其安全管控应达到医疗机构内部信息系统同等安全级别;CDSS部署于医疗机构内部网络以外时,应通过审批、授权及个人信息隐藏等管理和技术管控措施,确保患者和医疗信息安全。

(二)明确CDSS的使用风险,强制进行风险告知。

(三)建立CDSS运维管理制度,加强运维管理,确保所有运维操作可授权、可追踪、可审查。

(四)加强对数据操作的监控和审计。系统使用环节涉及个人隐私信息处理时,应当合理确定个人隐私信息处理的操作权限。

(五)加强CDSS网络安全应急管理,持续监测CDSS运行状态,发现运行或重要配置等异常情况时,及时通报预警并处置。

第六章 附 则

第十六条 省级卫生健康行政部门可依据本规范制定实施细则。

第十七条 本规范自发布之日起施行。

关键字: 网络安全