一、ISO 27799:2016 5.1.1 标准原文
条款原文:组织应制定一套信息安全策略,经管理层批准、发布并传达给相关人员和外部方。在医疗健康环境中,该策略应进一步覆盖患者和护理对象信息、临床工作流、医疗设备、远程访问、健康信息交换、多专业协作以及相关法律、伦理和监管义务。
理解重点:5.1.1要求的不只是“有政策”,而是要有一套足以约束健康信息场景的正式策略体系。
二、条款解读说明
2.1 策略是所有健康信息安全控制的上位约束
在健康行业里,技术措施往往很多,但真正决定控制能否稳定执行的,仍然是策略层。因为医院、检验机构、影像中心、互联网医疗平台和区域卫生信息平台都同时面对多种目标:患者隐私保护、医疗服务连续性、临床效率、法定病历保存、公共卫生报告、科研和教学支持、医保监管以及第三方协作。如果没有正式策略对这些目标之间的优先级和边界作出说明,一线团队就只能临场判断,结果往往是部门逻辑强、组织逻辑弱。
5.1.1正是在这一层面发挥作用。它要求组织把健康信息安全的核心原则、适用范围、角色责任和行为边界正式写入策略文件,让临床、信息、医工、病案、科研和管理部门能够在同一套治理语言下工作。换句话说,本条真正要建立的是组织级共识,而不只是文件化文本。
2.2 医疗健康特定策略与一般企业策略的差异非常明显
| 策略维度 | 一般行业常见写法 | 医疗健康场景需要补充的内容 | 治理意义 |
|---|---|---|---|
| 保护对象 | 客户数据、业务数据、员工数据 | 患者信息、护理记录、检验影像、病历、医疗设备数据 | 决定策略边界是否完整 |
| 风险来源 | 越权访问、恶意代码、系统故障 | 共享终端、抢救例外访问、会诊外发、远程诊疗、设备接入 | 决定控制重点是否贴近临床 |
| 责任逻辑 | 以IT和业务责任为主 | 需要加入临床、病案、医工、科研和合规责任 | 决定谁有权决策与解释 |
| 外部约束 | 合同和常规监管 | 卫生主管部门、医保、伦理、病历管理和行业规范 | 决定策略是否能对接真实外部环境 |
2.3 5.1.1的重点是“策略范围完整”和“策略可执行”
实践中,组织最常见的偏差有两种。第一种是策略写得很大、很原则,看起来全面,实际无法指导任何具体场景。例如写“应保护患者隐私”,但没有说明移动终端、远程访问、共享工作站、病历打印和设备维修时如何处理。第二种是策略写得很碎,只覆盖某一个部门或某一类系统,导致患者信息在跨系统、跨岗位、跨机构流动时缺少共同边界。5.1.1要求的恰恰是兼顾完整性和可执行性:既覆盖健康信息处理全局,又能对高风险场景形成明确导向。
因此,成熟策略通常会采用“总策略 + 专题规则”的结构。总策略提供总体立场和共同边界,专题规则进一步展开如远程访问、介质处理、设备接入、日志审计、外部共享和科研使用等特定场景。这种结构更符合医疗健康机构的复杂性,也更利于后续审计和培训。
2.4 5.1.1条款实际上要求策略进入多角色治理
健康信息安全策略不应由信息部门单独起草后向全院发布。因为真正的高风险场景往往发生在临床和运营交汇处,而非纯技术层。一个优秀的5.1.1实施,通常意味着管理层批准、业务部门参与、临床代表发声、合规与法务参与界定边界、信息部门负责体系化整合。只有这样,策略才会既有治理权威,也有业务可用性。
2.5 策略还应明确“合法例外”与“临床必要”的边界
医疗健康行业并不是一个完全按常规流程运行的环境。抢救、突发公共卫生事件、跨学科会诊、转诊接续和院外救援,都可能出现对患者信息快速访问和共享的需求。若策略没有提前定义在什么情况下可以启动例外、由谁批准、如何留痕、何时补做复核,现场人员就会在“保护隐私”和“保障救治”之间自行判断,而这种临场判断最容易产生不一致和争议。
因此,发布级的信息安全策略一般不会回避例外问题,而是会明确写出例外的适用条件、审批责任、最小披露原则和事后审查要求。这样既能保障临床连续性,也能避免“临床需要”被泛化成任意调阅患者信息的口头理由。
三、实施要点
- 建立健康信息安全总策略,明确适用对象、保护范围、管理原则和角色职责。
- 围绕高风险健康场景补充专题策略,如移动终端、远程访问、病历打印、外部共享、科研数据使用和医疗设备接入。
- 将管理层批准、跨部门会签、发布和定期宣贯纳入正式文件控制流程。
- 确保策略与法律法规、病历管理要求、伦理要求和机构实际流程保持一致。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 策略结构图 | 制度设计 | 区分总策略与专题规则 | 策略架构图 |
| 高风险场景映射表 | 策略补充 | 识别患者信息高风险使用场景 | 场景清单 |
| 多角色会签机制 | 策略审批 | 纳入临床、病案、信息、合规意见 | 会签记录 |
| 策略培训计划 | 宣贯落地 | 针对不同岗位设计差异化培训 | 培训记录 |
五、典型案例
案例一:总策略存在,但患者信息边界没有进入文件
某医院拥有一套完善的信息安全管理制度,但其中很少提到患者信息、临床工作站、会诊外发和病区终端使用。结果一线对患者信息边界理解不一致。医院后续依据5.1.1增加健康信息安全总策略和专题规则,才把策略层真正延伸到临床现场。
案例二:互联网医疗平台策略只覆盖隐私文案,不覆盖内部运行
某平台外部隐私政策相对完整,但内部策略未明确客服调阅范围、审核日志、远程诊疗终端要求和供应商访问边界。依照5.1.1补建策略体系后,平台才把外部承诺与内部控制统一起来。
六、成文信息管理要求
- 健康信息安全总策略和相关专题策略文件。
- 策略审批、会签、发布、培训和签收记录。
- 高风险场景与策略条款映射材料。
- 策略适用性说明、例外审批和补救记录。
- 与监管、伦理和内部治理要求一致性说明。
对于重症监护、远程影像、院外移动诊疗和跨机构会诊等高敏感场景,建议额外保留场景化策略说明,证明组织不是只写原则,而是已经把策略边界翻译成可执行要求。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 通用信息安全策略即可覆盖医院场景 | 临床和患者信息高风险场景无具体导向 | 增设健康信息特定策略 |
| 策略写得很原则就够了 | 一线人员仍凭经验处理患者信息 | 让策略能指导实际场景和后续规则 |
| 策略由信息部门单独决定 | 临床和业务无法有效认同和执行 | 建立跨部门制定和会签机制 |
| 外部隐私政策代替内部策略 | 对外承诺与内部操作脱节 | 外部政策与内部策略双层管理 |
八、审核关注点与成熟度判断
审核5.1.1时,通常会关注三点:是否存在正式批准的信息安全策略,策略是否真正覆盖患者信息和临床高风险场景,策略是否被多角色理解和使用。如果组织只拿出一份通用方针而无法说明其对临床、病案、设备和远程场景的具体指导意义,说明成熟度不足。成熟机构则会通过策略结构、场景映射和培训记录证明策略已经进入治理日常。
更高成熟度还体现为策略能够指导例外判断和资源投入,而不仅是文件合规。这说明策略已从文本层进入治理层。
九、发布级补强建议
作为细条款文章,5.1.1最值得写透的是“策略为何必须健康特定化”。只要文章能清楚说明患者信息、临床工作流和医疗设备场景为何不能仅靠通用安全策略覆盖,并把策略结构、角色参与和场景化落地写清楚,就能够达到发布级质量。