医院电子病历系统信息安全解决方案

引自 http://mp.weixin.qq.com/s?__biz=MjM5NTYxNDUzMA==&mid=2650800877&idx=1&sn=21f1139bbc50487b7d38780c6ab4c5cf&scene=23&srcid=0616vhwOwxkLA0i1oLZ3u0hz#rd

一、需求分析

随着电子病历系统在医院的普遍使用，病历无纸化存储再也不是空谈概念，消除纸张病历这一信息孤岛的思想已经深入人心。众所周知，病历不仅是病程记录，也是重要的、具有法律效力的文件，在解决医患纠纷中有着不可替代的作用。正因如此，在全面无纸化建设的过程中，医院心存诸多顾虑，包括，电子病历中的电子签名是否获得法律认可、电子病历容易复制是否能保证法律依据的唯一性，担心电子形态的病历会成为患者投诉医院的依据。归根结底，就是如何全面解决电子病历与纸质病历具有同等的法律效力。

我国《电子签名法》已明确了数据电文的法律效力，其核心是要引入可靠的电子签名。但可靠电子签名的技术实现尚未细化到医疗文书的书写和医疗文书的保存中，因此需要从医院实际使用需求出发，设计电子签名的技术实现，具体需求包括：

1用户身份的真实性

对临床医生、主治医生和护士等医务人员进行身份可靠认证，确保账户安全，同时有效确保病人的诊疗信息安全。

2 电子病历的隐私性

医疗信息系统中包含了大量的敏感数据，这些信息在医院局域网传输过程中应采用加密手段。同时，电子病历要求一旦经过上级审签后，用户不能对病程、医嘱、诊断、处方等电子病历内容进行篡改。

3 医疗行为的责任性

电子病历在医院的流转过程中，涉及到各级医务人员对电子病历的创建、修改、删除等操作，鉴于医患纠纷的普遍性及社会关注度，需建立有效的责任认定机制来确保电子病历的合法性。

4 纸质文书的可信性

纸质文书作为患者手持的重要凭证，涉及到产生医患纠纷时的举证问题，需要采用有效手段保证纸质文书内容不会被随意伪造篡改。

二、方案特点

本方案解决了电子病历的真实可靠问题，确保了电子病历与纸质病历具有同等的法律效力。

1 保证电子病历的合法性

依据《电子病历基本规范（试行）》以及《电子病历基本架构与数据标准（试行）》等行业规范，并在《中华人民共和国电子签名法》和《卫生系统电子认证服务管理办法（试行）》等电子认证服务领域规范的指引下设计本方案，符合相关法律法规的要求，贴合行业特点，具有可实施性。

2 保证电子病历的安全性

为电子病历提供安全认证的环境基础，实现了用户的强身份认证，确保了电子病历传输的保密性和完整性；采用电子签名技术以及时间戳技术，确保了电子病历的可信化管理，从而真正实现了电子病历系统的“进不去、看不到、改不了、赖不掉”。

三、医院电子病历系统信息安全解决方案

针对医院的上述需求，新疆数字证书认证中心遵照《中华人民共和国电子签名法》、《卫生系统电子认证服务管理办法》以及《电子病历基本规范（试行）》相关规定，基于数字签名技术，为医院设计了一套无纸化安全解决方案，方案从“签发数字证书与电子签章”、“数字认证登录”和“电子病历可信处理”三个方面设计，全面保障电子病历的合法性，从根本上扫清了电子病历应用的后顾之忧。

1 签发数字证书与电子签章

按照《电子签名法》的要求，对于医护人员这类长期从事医疗活动的群体，新疆数字证书认证中心为其签发有效的“个人数字证书”，对于患者/患者家属这类群体，新疆数字证书认证中心为采集的患者手写签名进行防篡改处理。