河南数字化医院评审标准(2018版)

河南省数字化医院评审标准（2018版）河南省卫生信息学会河南省卫生计生委统计信息中心2018年7月I前言2014年10月，河南省卫生计生委河南省中医管理局印发《关于在全省开展数字化医院评审工作的通知》（豫卫办﹝2014﹞47号），并同文印发了《河南省数字化医院评审标准（试行）》（简称“评审标准”），正式建立了我省数字化医院建设与评审工作的长效机制。省卫生计生委统计信息中心、省卫生信息学会按照河南省数字化医院评审工作安排，依据评审标准，对全省申报数字化医院的48家单位进行了评审，并公布了首批河南省数字化医院名单。通过评审，规范了医院信息化建设，加快推进了全省医院信息化建设步伐，为我省全民健康信息化建设工作的推进打下了良好基础。评审工作受到了省卫生计生委、省中医药管理局的充分肯定，也得到了各省辖市卫生计生委和省直医疗卫生机构的大力支持。近年来随着全省数字化医院建设工作推进和医院信息平台与全民健康信息平台互联互通工作要求，以及国家卫健委印发的《医院信息平台应用功能指引》、《全国医院信息化建设标准与规范（试行）》要求，原有的评审标准已不能适应当前形势下对医疗信息化发展要求。为实施好全省数字化医院评审工作，在河南省卫生计生委指导下，省卫生计生委统计信息中心、省卫生信息学会依托省医学科技攻关项目支II持，组织专家在2014年版评审标准的基础上，根据委重点工作并结合我省实际情况，对标准进行了调整和完善。本评审标准与2014年版相比，更加侧重信息化应用、互联互通和标准化，将原基础设施与信息安全合并为信息安全，原应用系统、应用集成和信息利用合并为业务应用与信息利用，新增区域协同和标准符合性两项内容，仍采用500分制，各部分占分分别为组织管理20分，信息安全130分，业务应用与信息利用280分，区域协同40分，标准符合性30分，同时设置基础项、非必须项和附加项，不再区分西医医院和中医医院、综合医院和专科医院。编辑组2018年5月III目录一、组织管理（总分20分）....................-1-二、信息安全（总分130分）...................-4-三、业务应用与信息利用（总分280分）.........-9-四、区域协同（总分40分）...................-31-五、标准符合性（总分30分）.................-33-六、附加内容（20分）.......................-34--1-一、组织管理（总分20分）评审项目评审要点分值评审方法评审结果及扣分原因得分机构设置1、建立以院长为核心的医院信息化建设领导小组和信息安全领导小组21）建立了领导小组，职责职能明确；2）定期会议每年不得少于4次，有相关记录；3）建立了信息安全领导小组及组织机构；4）有定期相关工作部署（每年不少于2次，查看工作纪录）【每项0.5分】机构设置2、信息化建设专职机构11）有专职的机构（如信息科/中心/部）负责落实信息化建设规划，查看相关文件。2）有负责人任命文件【每项0.5分】人才队伍3、人才队伍建设2.5现场查看人员资格证明：1）现场查看人力资源保障措施及执行情况（查看人事部门人员编制计划或岗位设置）每100张开放床位须配备1名信息工作人员，（包括合同或协议约定的驻场工程师（现场查看合同））2）岗位要求：查看科室岗位分工文件，包括信息主管、网络安全、系统维护等岗位。3）现场考核系统管理人员对医院信息系统、规章制度、业务流程的熟悉程度。4）网络安全专业技术人员应具有与信息专业-2-相关的中级以上专业技术职称或持有权威机构颁发的相关证书。5）查看培训制度，每人每年至少40学时。查看人员培训证明材料，如培训证书、继教证书及相关论文等。【每项0.5分】★规划与投入4、建设规划与投入31）有中长期规划和年度计划，规划要和医院整体发展规划一致；2）有信息化建设及运行维护的年度预算规划和结算凭证；3）信息化建设年度投入占业务收入的比例：千张床位以下不低于1%，千张床位以上不低于0.5%。【每项1分】完善制度5、制度建设及执行5一、院级制定的信息化相关制度；1)岗位职责2)值班管理制度3)机房管理制度4)网络管理制度5)安全管理制度6)反统方管理制度7)信息系统软件变更、更新、发布、配置、增补制度及相关记录8)IT设备维修管理制度9)应急预案及演练制度10)对应用部门的培训制度【满分3分，缺一项扣0.5分】-3-二、建立信息化建设的多方（供应方、内部各部门）沟通协调机制（包括联合查房、协调会议、信息员管理）。查看制度及执行记录。【1分】三、信息化建设管理规范，信息系统运行良好，各部门对信息工作满意。以现场了解情况为准。【1分】项目应用6、购置软硬件项目论证会及项目验收51)系统总体设计2)需求分析报告（含招标文件）3)项目合同4)实施文档5)测试报告6)验收文档7)培训手册8)维护手册（含数据字典）9)数据结构与业务流程图10)日常运维记录、软件升级维护机制【每项0.5分】软件正版化7、软件正版化工作1.5审查医院服务器操作系统、数据库系统软件的正版化授权情况(以授权函或许可证书为依据)。-4-二、信息安全（总分130分）评审项目评审要点分值评审方法评审结果及扣分原因得分一、物理安全（40）1.机房物理位置选择31)机房场地应避免设在建筑物的顶层或地下室，以及用水设备的下层或隔壁（1分）2)主机房面积（床位500张,面积≥60㎡；床位1000张,面积≥80㎡;床位2000张,面积≥100㎡;床位≥2000张,面积≥140㎡），核定床位与机房实际面积相符（2分）2.容灾（备份）机房4实地查看容灾（备份）机房建设情况3.机房动力和环境设备集中管理监控2环境动力监控系统4.物理访问控制41)专人值守，配置门禁系统，控制、鉴别和记录进入的人员2)机房分区管理，至少具备电池间、设备间【每项2分】5.防盗窃和防破坏41)机房防盗报警系统【1分】2)视频监控系统【1分】3)防生物侵害设施：具有入口防护、电源和信号线的线路防护等措施【2分】6.防雷击2机房安装防雷和接地线，设置防雷保安器，防止感应雷【2分】7.防火21)设有火灾自动气体消防系统；【1分】2)消防功能设计合理，处于可用状态【1分】-5-8.防静电2防静电地板【2分】9.电力供应41)配置稳压器和过电压防护设备【1分】2)设置冗余或并行的电力电缆线路【1分】3)UPS电源设备能供电2小时以上【2分】10.电磁防护21)电源线和通信线缆隔离铺设，2)关键设备和磁介质具有电磁屏蔽措施。【每项1分】11.防水和防潮2有防水、防潮措施12.温湿度控制31)设有机房专用空调、新风系统【2分】2)设备运行状态正常【1分】13.资料管理61)机房各大型设备上应有设备标签，包括设备型号、用途、日期、主要管理信息等【1分】，配线线标【1分】2)维护资料齐全，包括配线图、维护事项、检查管理日志、资料更新等【4分】二、网络安全（20）1.网络结构安全101)提供现用最新的全院网络拓扑图，与在用网络相符得2分，网络设计合理得1分，共3分2)现场查看网络主干、核心设备冗余情况：网络主干为双链路得2分，核心交换设备有冗余得2分，共4分3)划分不同的安全域、网段或VLAN【2分】4)实现内、外网隔离【1分】2.网络安全审计2医院核心交换机部署网络行为监控与审计系统-6-3.网络设备防护31)登录网络设备的用户进行身份鉴别，用户名必须唯一，口令设置需3种以上字符、长度不少于8位，并定期更换2)对网络设备的管理员登录地址进行限制3)具有登录失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施【每项1分】4.网络可信接入2网络准入控制及终端安全管理5.资料管理31)提供医院近几年新建建筑的弱电设计及弱电工程验收文件资料，1分2)查看网络设备的配置、管理及维护资料的备份归档情况（纸质或电子版均可），备份归档资料完整得2分三、主机/应用环境安全（25）1.身份鉴别41)对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性2)服务器操作系统和数据库系统的登录名、密码实现受控和分段管理，口令必须具备采用3种以上字符、长度不少于8位并定期更换；3)应用系统的用户登录名和密码受控管理，密码加密存储4)启用登陆失败处理功能，登陆失败后采取结束会话、限制非法登录次数和自动退出等措施【每项1分】-7-2.访问控制31)具有用户账号申请、审批、变更及撤销工作流程2)具有用户授权管理功能，权限控制采用最小化授权原则3)严格限制默认账户的访问权限，避免共享账户的存在【每项1分】3.安全审计2数据库审计系统4.入侵防范2入侵检测系统5.恶意代码防范2网络版防病毒系统6.资源控制31)HIS、EMR等系统的敏感业务窗口具有操作超时自动结束或锁定会话功能。2)单站点登录功能3)电子病历具备历次修改痕迹保存且标记准确的修改时间和修改人员信息【每项1分】7.患者隐私保护3非正常医疗服务（如归档电子病历的调阅、复制和打印）中患者信息的提取实行匿名化服务。8.数据备份3重要业务系统数据级备份9.应用容灾3重要业务系统应用级容灾四、区域边界安全（10）1.边界访问控制3在各安全域边界部署防火墙产品2.边界完整性检查4终端安全管理系统3.边界入侵防御保障3部署入侵防护系统（IPS）-8-五、系统安全审计（10）1.主机审计4部署终端安全管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能2.应用审计4应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。3.电子签名2医疗文书业务系统实现数字证书管理六、信息安全等级评估（20）信息安全等级评估20现场查看医院在管辖其的公安部门进行相关信息系统（必须包括HIS、LIS、PACS、EMRS）等级保护备案的证明材料，医院级别与对应的等保级别应相符（已报备5分、评测中10分、整改中15分、通过20分）。七、应急管理（5）具有应急管理措施3应急管理制度与流程2应急演练：有应急演练方案和演练记录且每年至少1次-9-三、业务应用与信息利用（总分280分）评审项目评审要点分值评审方法评审结果及扣分原因备注门急诊业务身份识别3支持“一卡通”就诊流程★一、门急诊业务系统门急诊挂号系统31）支持医生排班管理2）支持号源统一管理3）支持银行卡、居民健康卡、社保卡和二代身份证等介质识别功能（儿童专科医院不要求支持二代身份证）、患者基本信息录入和注册功能4）支持预约及分段预约挂号5）支持多形式挂号信息自动采集6）支持各类统计报表查询【每项0.5分】门急诊收费系统21）能够从医生工作站获取患者各类费用信息2）支持银行卡、社保卡、微信、支付宝、现金付费等多种支付形式3）支持先诊疗后付费模式4）支持各类统计报表查询【每项0.5分】门急诊医生工作站【含急诊、普通门诊及病191）能自动获取或录入患者基本信息、分诊信息，能适时补充和完善患者信息-10-历】2）支持诊区分诊叫号3）支持门急诊病历书写（含急诊留观）4）能够获取药品信息、能够开具电子处方、具有指导合理用药功能和抗生素分级使用功能5）能够开具检验检查申请单并发往检验系统（LIS）和影像系统（PACS）等医疗辅助系统，并从这些系统获取检查检验报告、医学影像、危急值、病理报告等。6）建立患者连续就诊记录并支持历史就诊记录查看、调用7）支持院前急救患者各种信息的采集8）支持各类申请单或导引单打印9）支持中医特色诊断、证候信息采集10）提供中医经典处方、科研处方、协定处方、成组医嘱等具有中医特色模板的创建与编辑功能，支持中药用法11）支持院内会诊处理12）上报诊断触发，临床医生诊断后自动触发上报13）支持日间手术业务开展14）具有危急值处理功能15）支持院感质控信息的处置16）支持处方点评信息的处置17）支持诊间支付18）电子病历实现CA认证、具备时间戳功