北京积水潭医院统方管理规定
一、为进一步规范医务人员医疗服务行为,加强行业作风建设,严禁为不正当商业目的统方,维护正常工作秩序,根据《关于印发加强医疗卫生行风建设“九不准”的通知》(国卫办发【2013】49号)及市卫生计生委有关法规制度,特制定本规定。
二、 “统方”是对医生用药信息量的统计。商业目的“统方”,是指医院中个人或科室为医药营销人员提供医生或科室一定时期内临床用药量、医用耗材用量等信息的行为。违反规定,未经批准擅自“统方”,或者为商业目的“统方”,属医药购销领域的商业贿赂行为。
三、医院严禁工作人员参与以下“统方”行为:
1、利用工作之便,为医药营销人员进行“统方”,提供用药量、耗材使用量等相关的信息。
2、利用工作之便或个人关系,为医药营销人员与本院有关人员或部门牵线搭桥,提供“统方”便利;
3、企业的医药代表,或充当医药营销人员在本院的代理人,进行私下“统方”活动。
4、未经医院批准或授权的其他“统方”行为。
四、建立信息统计审批权限
加强医院信息系统药品和耗材统计功能管理,信息中心采取授权、加密、控制终端信息采集范围等有效措施,对各科室信息查询权限实行分级管理,防止个别工作人员利用统计、报告、分析等方式,取得医生或部门用药的有关信息,透露给医药营销人员。确因工作需要查询药品、耗材用量信息,可能涉及“统方”行为的,必须在履行审批备案登记手续后,由信息中心指定人员在信息中心内实施查询,同时备齐所有文字资料审批手续备查。
五、强化信息监督管理
对因工作需要的相关模块,由信息中心加强监管,并建立查询日志,进行登记(包括操作者代号、操作时间等),定期监管分析,保障药品、高值耗材信息的安全。
六、加强实时在线监控
利用信息系统中安装的防统方软件,对“统方”行为实时监控与痕迹追踪,及时发现异常和可疑事件,避免和防范内部人员借助信息技术实施的违法行为。每位职工都有反商业贿赂的责任,要及时反对、阻止、举报“统方”行为,医院对举报人员予以保密。
七、加强风险岗位廉洁监督及责任追究
1、对统方的岗位,建立监督机制;加强对医院内部信息系统使用者、管理者的法律法规教育、思想政治教育和警示教育,结合典型案件,以案说法,警钟长鸣,自觉抵制各种违法违纪行为。
2、执行保密承诺制度。信息中心、药剂科、设备处等药品、医用耗材用量统计查询相关科室工作人员签订保密协议,作出廉政承诺。加强与上级行政管理部门、医保等部门的联系,落实外来接入系统前置机安全保密措施。
3、落实权限密码管理制度。加强用户权限管理,明确软件、操作系统以及数据库用户管理规定,按照最小授权原则,严格限制权限。服务器管理员和数据库管理员密码分开,专人管理,定期更新。定期对各类用户的权限分配合理性进行评审。
4、实施机房安全管理制度。加强计算机机房的安全管理工作,规范人员出入的批准授权,建立完善出入人员及设备进出、维护工作登记制度。
一经发现和查实有"统方"行为的人员,医院将依据情节轻重给予通报批评、扣发绩效工资、取消当年评优、职称晋升资格或缓聘、待聘直至解聘、提请取消执业资格,以及相应的党纪政纪处分等;构成犯罪的,移送司法机关依法追究其刑事责任。同时,除追究当事人的责任外,还要追究当事人所在科室负责人的责任。
5、加强终端安全防范。规范终端用户访问数据库的密码管理,定期修改密码;部署终端管理系统,实现对终端接入内网的认证准入管理、可运行应用软件的严格限制、IP地址与物理地址及操作人员密码绑定、usb接口及sd卡等存储卡接口的封闭等功能。及时更新补丁,防止操作系统漏洞,安装杀毒软件。
6、强化应用系统认证。应用软件必须实现对用户登录、查询统计敏感数据、修改用户权限等操作行为的审计功能;必须具备后台管理维护功能,既能最大限度减少信息技术人员直接访问数据库的操作,又满足日常工作需要。鼓励对数据库敏感信息字段进行加密处理,逐步实现应用软件的三层架构模式,鼓励采用数字证书、动态口令及指纹等技术强化应用系统认证。
7、配置部署堡垒主机。禁止所有计算机中心人员终端直接访问网络设备、服务器及数据库,通过堡垒主机等具有集中维护及审计功能的网络安全产品实现对所有信息管理人员日常系统维护操作的监控记录。
8、强化信息查询管理。严格管理应用软件中的敏感信息统计查询功能,卸除所有不必要的敏感信息统计模块,严格限制工作必需统计功能的权限分配,或将统计查询功能集中至独立的软件系统中,落实专人负责。对药品、高值耗材用量信息进行统计,必须征得医院主要领导的同意,并有监督人员在场监督,系统必须保留查询痕迹。
9、加强信息安全投入和管理。医院要加大信息安全工作经费投入。加强人才队伍建设,配强配齐信息中心管理人员和专业技术人员,合理设置机房管理、系统管理、数据库管理、审计分析等岗位,明确岗位职责,落实岗位责任。
八、强化审计监督:加强数据库审计。部署必要的数据库审计系统,对数据库访问的行为进行实时监控,具备基于异常行为分析知识库的审计分析能力及阻断能力。建立专人负责的核心主机及数据库访问行为审计分析机制。
九、加强检查评估
1、健全考核奖惩制度。各科室、部门的信息安全管理成效将纳入医院综合目标管理考核,与考核奖惩挂钩。对违反相关工作制度和规定的,要严肃处理,并按管理权限追究有关人员责任。
2、建立和落实督查制度。医院行政部门要对各科室落实本规定情况开展督查。信息中心要加强对全院信息安全的检查和指导。加大对信息管理部门人员的监督力度,确保相关制度落实到位。
行风办
2016年3月制定
2021年8月修订