医院电子认证服务必要性分析
本方案以卫生部相关法律法规为根据,从湛江农垦医院医疗信息系统安全应用需求为出发点,引入电子认证服务及相关的应用支撑来解决目前及未来发展所面临的问题,从而切实满足上述需求,引入电子认证服务的必要性说明如下:
1.1.电子认证服务是保障电子病历信息安全的基础
基于电子认证服务可有效解决电子病历系统的身份真实、数据完整、行为规范、责任明确、隐私保护等安全问题,主要方法是:
(1)基于电子认证服务建立强身份认证和权限管理机制:“用户名+口令”的身份认证方式已经被证明存在安全隐患,非法分子可利用一些简单的黑客工具就能够得到登录信息系统的用户名和口令,从而对信息系统进行破坏性攻击。为保证电子病历系统的安全,可向电子病历系统参与实体办法数字证书,实现强身份认证,并在此基础上建立基于实名的权限管理机制。
(2)基于电子认证服务的电子签名能提供可靠的数据完整性和不可否认性:基于电子认证服务可对电子病历进行电子签名,一方面能检测出电子病历与生成时是否一致来建立数据的完整性保护机制;另一方面在表明电子病历的生成者和修改者身份的同时还能表明文档是否修改,从而防止电子病历操作者否认;此外,还可通过对时间签名,形成时间戳来防止时间否认。为此,我们可以利用电子签名来满足电子病历的数据完整、责任明确的需求。
(3)基于电子认证服务提供的数字证书建立可靠的隐私保护机制:电子认证服务提供的数字证书是信息加密中密钥管理的基础,以数字证书为基础的数字信封技术能对电子病历中的隐私信息进行有效的存储和传输加密,从而保证隐私的有效保护。
综上所述,通过利用电子认证服务,可以建立有效的安全机制,保证非法用户进不来、非授权用户看不到、确认内容改不了、所作操作赖不掉。
1.2.电子认证服务是满足法律需求的基础服务
2005年4月1日,《中华人民共和国电子签名法》正式实施,其第七条明确规定“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用”。电子病历作为数据电文要作为有效法律证据存在,必须符合电子签名的相关要求。
在电子签名法中明确提出了数据电文符合法律法规规定的书面形式、原件形式和保存形式的要求以及可靠电子签名的要求,并在第十四条明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。因此,对于电子病历就是要做到:
(1)电子病历的格式应得到“固定”,即可以储存在计算机硬盘或其他设备中,而且可以随时调取,不发生信息失真;
(2)如根据储存需要,对电子病历进行压缩、转换、加密导致信息存在形式发生改变的,要能够还原,不影响其法律效力;
(3)电子病历的生成时间应和书写人的签名一起储存并保证真实可靠;
(4)医生的签名是“可靠的电子签名”,首先做到电子签名在发放时应是经过身份核实的;其二,电子签名只能被它的所有者使用。他人如果使用的,必须有电子签名所有者的明确授权才有效;其三,电子签名本身和它附着的数据电文应是有相应的技术保障其不能任意改动的。
以上各条的实现,核心是电子签名的可靠性。按照电子签名法规定,电子签名所依托的电子认证服务应当得到国家认可,如果一个电子签名是国家认可的电子认证服务机构(CA认证机构)所发放的数字签名证书,并且这个电子签名的操作是完全规范的话,那么这个电子签名就是我国法律所认可的电子签名,与签名盖章具有同等的法律效力。因此,合法电子认证服务是电子病历符合法律要求的基础。
1.3.选择合法的电子认证服务提供商
卫生部从2008年开始,启动了医疗卫生电子认证服务体系建设,形成了相应的管理办法和技术标准,因此在电子病历系统建设中选择和使用电子认证服务必须符合这些法规和标准的要求。在服务机构选择上,必须按照《卫生系统电子认证服务管理办法(试行)》(卫办发〔2009〕125号)文件的要求,选择已接入卫生部电子认证服务机构提供服务,在服务使用上,必须《卫生系统电子认证服务规范(试行)》、《卫生系统数字证书应用集成规范(试行)》、《卫生系统数字证书格式规范(试行)》、《卫生系统数字证书介质技术规范(试行)》和《卫生系统数字证书服务管理平台接入规范(试行)》。
标签:   医院信息化 医院信息化系统 医院HIS系统 医院电子认证 HIS系统 HIS