医疗行业电子认证

背景

近年来,在卫生部相关政策指导下,医院以电子病历为核心的信息化建设发展迅速,电子病历已经成为医院日常医疗服务的核心,而医院随着信息化建设的逐步推进,医院的无纸化建设也越来越受到重视。随着医疗行业信息化的快速发展,医院推行无纸化办公建设具有特殊的意义,取消纸质病历以后,能够大大减少进行手写签名的工作量,降低医护人员工作负担,同时又能够大量节省纸张耗材成本,效果将非常显著。

本方案即是根据《卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知》和《电子病历基本规范(试行)》要求,基于第三方电子认证服务,构建医院电子病历无纸化的CA认证方案,有效解决电子病历的真实性、完整性和合法性问题,为无纸化建设提供安全保障。

应用安全需求分析

● 用户身份真实性需求

医疗行业的信息系统建设具有部署集中、管理分散的特点,各应用系统基本都同时覆盖各功能科室,直接面向所有的工作人员,不同人员身份具有不同的权限,只有保证人员身份的真实可信,才能确保对用户进行有效的访问控制,医疗行业的信息系统急需建立一套面向所有人员的数字证书发放管理体系,以数字证书作为用户的有效身份凭证,实现基于数字证书的高安全性、高可靠性的登录认证,保证用户身份真实可信。

● 电子病历的完整性需求

电子病历数据是医疗行业在开展业务过程中实时记录从各种临床信息系统采集来的诊疗信息和医护人员记录的主客观信息、是科研的重要依据,数据是否真实、完整有效直接影响到健康服务、疾病救治能够有效的开展、甚至影响到人的生命。因此,应采用完备的技术和管理手段确保医院信息系统的数据存储安全,利用可靠的电子签名技术保证数据在产生、传输、存储、再利用的整个生命周期过程真实、完整、准确,保证“数出有源”。

● 医患双方行为的可追溯和抗抵赖需求

随着医疗信息系统的各项功能逐步取代医院传统看病诊疗方式的同时,医患双方从对一张纸质诊断书的认可转向对一段数据电文描述内容的认可,数据电文的责任归属是否明确直接关系到信息化流程能否完全取代传统的纸质流程。因此,在医患双方身份真实可信的前提下,需要结合可靠的数字签名,建立医院信息系统中的责任认定机制,保障医疗数据明确的责任归属,实现真正意义的无纸化诊疗过程,使信息化的高效率优势充分发挥。

● 电子病历的合法性需求

随着医疗信息化建设,电子病历等应用系统也逐渐普及,成为居民健康档案的重要构成部分。这些数据不仅仅是病程记录,也是重要的、具有法律效力的文件,在解决医患纠纷中有着不可替代的作用。解决好电子病历等医疗数据的合法性问题,将会直接影响到医院信息化的顺利推进。因此,应在医院系统建设过程中,要按照国家《电子签名法》的有关规定和要求,应用CA认证实现可靠的电子签名,保证电子病历等医疗数据的合法有效性。

方案总体框架

通过引入身份认证、数字签名、时间戳等安全技术,保障电子病历的合法、安全、有效。方案总体框架如下:

电子病历无纸化涉及两个重要环节:

  • 医护人员对电子病历进行电子签名:需根据病历书写规范,确定签名的文档范围,签名的有效时间范围,引入基于数字证书的身份认证、数字签名、时间戳等技术,保证在电子病历数据产生、交换过程中的安全可信。
  • 患者对知情文书进行电子签名:考虑到患者需对特定的医疗文书进行签名确认,在医疗文书全面电子化后,为使患者直观的认知电子签名的安全可靠,引入手写签名技术,保证患者电子签名的合法性和便捷性。

系统主要组成

  • 数字签名验证服务器

    数字签名验证服务器是面向应用系统所面临的认证、签名和加密需求,为医疗业务系统提供数字签名及验证、数据加解密等功能服务。

  • 电子签章系统

    电子签章类似于手写签名或印章,以电子形式存在,依附在电子文件(Word, Excel, html)上并与其关联,可用以辨识电子文件签署者身份,保证文件的完整性,并表示签署者同意电子文件所陈述事实的内容,从而不仅使文件作者简单、轻松地完成对电子文件的签章操作,而且确保被签章文件的真实性和完整性,以及签章者身份的真实性和不可抵赖性。

  • 时间戳服务系统

    时间戳服务器(简称TSS)为应用系统提供精准、安全、可信时间认证服务的一款高稳定性、高性能,并且具备跨平台、易扩展和快速部署能力的软硬件集成化安全设备。时间戳服务系统基于CA系统颁发的专有时间戳数字证书进行时间戳签发,保证时间戳认证的法律效力。