《信息技术外包服务安全管理制度》讲解了为了加强医院信息技术外包服务的安全管理,确保信息系统运行环境稳定的相关规则。本制度明确了信息技术外包服务的内容和涵盖范围,即包含信息技术咨询服务、运行维护服务、技术培训及相关信息化建设的服务项目,强调了这些服务对信息建设的重要性,并详细划分了咨询、运维以及培训服务的具体任务和要求。此外,《制度》定义了安全管理这一概念并指出外包服务安全管理应遵循商业准则和法律法规的要求,确立了以预防为主的安全管理原则。具体包括成立专门的管理团队负责安全事务、建立信息安全保密制度以明确各方责任,与外部服务商签署相关协议保障安全。对于外包服务方,提出从人员素质、技术水平等多方面进行安全资质管理的要求,信息中心设置专责职位监督服务执行过程中的安全性问题,对外包服务质量进行评估和调整,并根据安全状态实施访问控制,以期构建一套完整的医院信息外包服务体系,保证医疗系统的信息安全不受威胁,促进医院信息化建设和日常运营的顺畅。
《信息技术外包服务安全管理制度》适用于各类医疗机构及其合作的信息技术服务提供方。对于医疗机构而言,在面对信息化发展进程中涉及的众多外部技术服务时,本文件能指导医院有效管理外包服务商带来的潜在风险,确保医院内部网络及信息系统安全稳定运作;同时它也是外包服务供应商的行为指南,为他们提供服务时须遵守的行为规范和服务质量标准。此外,适用于卫生主管部门或行业内监管机构作为监督审核的参照依据。
