医院电子病历系统分类分级授权与权限管理制度（附流程图、表单）

电子病历系统

分类分级授权与权限管理制度

打开网易新闻 查看精彩图片

导语：根据国家卫生健康委等三部门联合制定的《医疗机构患者医疗信息规范管理专项整治行动方案》（2025年6月23日）要求，医疗机构要严格实施电子病历系统分级分类访问控制与权限管理，规范各类人员使用权限、时限和行为。为此，杏林职苑特编制医院《电子病历系统分类分级授权与权限管理制度》，包括总则、管理职责、管理原则、用户管理、角色与权限管理、用户授权管理、用户操作行为管控、违规处理与追责机制、附则等内容，并附流程图、表单，可供二级以上医疗机构参加考。

目录

一、总则

二、管理职责

三、管理原则

四、用户管理

（一）用户分类

（二）用户基本信息

五、角色与权限管理

（一）角色分类

（二）权限管理

（三）角色权限配置

六、用户授权管理

（一）授权规则

（二）授权分类

（三）常规授权流程

（四）临时/应急授权

七、用户操作行为管控

（一）技术层面

（二）制度层面

八、违规处理与追责机制

（一）违规行为分级

（二）处罚措施

九、附则

附件1：临床医生四级访问权限体系

附件2：EMR系统权限申请表

附件3：EMR系统权限变更申请表

附件4：EMR系统权限申请流程图

打开网易新闻 查看精彩图片

一、总则

1.目的

为规范医院电子病历系统分级授权与权限管理，严格实施分级分类访问控制，规范各类人员使用权限、时限和行为，防范医疗信息泄露、毁损和丢失风险，保障患者隐私、医疗信息和医疗质量安全，根据《基本医疗卫生与健康促进法》《医师法》《医疗机构管理条例》《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）《电子病历应用管理规范（试行）》（国卫办医发〔2017〕8号）等法律法规和政策要求，结合医院实际，制定本制度。

2.定义

电子病历系统：是指医疗机构内部支持电子病历（EMR）信息的采集、存储、访问和在线帮助，并围绕提高医疗质量、保障医疗安全、提高医疗效率而提供信息处理和智能化服务功能的计算机信息系统，既包括应用于门（急）诊、病房的临床信息系统，也包括检验、病理、影像、心电、超声等医技科室的信息系统。

访问：在EMR系统中，是指用户通过身份认证后，登录电子病历系统，基于本人所拥有的权限操作其中数据的行为，如新增（创建）、编辑、删除、查看、审核、打印、导出等操作。

用户：被授权使用或负责维护EMR系统的人员，也即EMR系统访问人员。包括使用EMR系统的医务人员（含进修、规培、实习人员等），维护、管理EMR系统的技术人员（含厂商/第三方运维人员等）、实施EMR质量监管的行政管理人员（简称“管理人员”）和访问本人EMR信息的患者或其代理人。

用户账号：在EMR系统中设置与保存、用于授予用户合法登录和使用EMR系统等权限的用户信息，包括用户名、密码以及用户真实姓名、科室、联系方式等基本信息内容。

权限：允许用户操作EMR系统中某功能点或功能点集合的权力范围。

角色：EMR系统中用于描述用户权限特征的权限类别名称。

3.适用范围

本制度适用于全院所有使用、维护、管理EMR系统及关联信息系统的医院内部人员及有关外部人员（如进修、规培、实习人员，厂商/第三方运维人员，患者或其代理人等）。

打开网易新闻 查看精彩图片

二、管理职责

医务部/护理部/科教科：负责临床岗位（含实习、规培、进修）用户权限审批。

人力资源部：负责用户身份及岗位合法性核验。

法务部：负责IT用户（管理员）背景调查、第三方运维机构及其运维人员合规审查、保密协议合法性审核等相关法务工作。

信息科：负责用户账号创建、授权配置，系统运维及审计日志管理。

网络安全和信息化工作领导小组（以下简称“领导小组”）：负责EMR系统分级授权与权限管理制度及相关规定的审定；负责职能部门管理人员及高权限用户（如系统管理员、第三方运维人员）的权限最终审批；研究解决用户授权管理相关重大问题。

三、管理原则

1.最小够用、按需授权、时效控制、全程留痕、责任到人；

2.分级分类、角色驱动、动态调整、异常预警、可追溯；

3.谁主管谁负责、谁授权谁负责、谁使用谁负责；

4.授权与审批分离、操作与审计分离、技术与业务分离（三权分立）。

四、用户管理

（一）用户分类

1.内部用户

（1）医务人员：医师、护士、药师、医技人员。

（2）管理人员：医务管理、护理管理、质控管理、感控管理、病案管理、公共卫生管理等方面管理人员。

（3）IT人员：包括系统管理员、安全管理员和审计管理员等。

2.外部用户

（1）外部医务人员：实习、规培、进修人员，外聘专家，对口支援专家，院外受邀会诊（包括远程会诊）专家等。

（2）外部研究人员。

（3）外部IT人员：厂商/第三方运维人员（统称“第三方运维人员”）。

（4）患者及其代理人。

（5）外部单位：卫生健康行政部门、医保经办机构、保险机构、司法机关、其他医疗机构等。

（6）法律法规规定的其他用户。

（二）用户基本信息

1.内部用户

应录入EMR系统的内部用户基本信息主要包括：姓名、工号、性别、出生日期、职称、职务、所在科室、所在病区（如有）、所在工作组/项目组（如有）、执业证书编号（如有）、身份证号、电子邮箱、手机号。

2.外部用户

患者用户基本信息直接引用EMR系统原有信息。

患者代理人基本信息包括：姓名、性别、出生日期、身份证号、手机号、与患者的关系、患者授权委托书（监护人不用提供）。

其他外部用户按照有关协议约定提供相关信息。

五、角色与权限管理

（一）角色分类

1.基础角色

（1）定义：也称为“静态角色”或“岗位角色”，是基于用户的工作岗位、职责和所属科室长期赋予的权限集合。这些角色相对稳定，与用户的日常工作和组织架构直接挂钩。

本专《医疗机构患者医疗信息规范管理指引》包括“患者医疗信息规范管理专项整治行动实施细则，患者医疗信息管理制度，电子病历系统分级授权与权限管理规定，患者医疗信息收集、存储、使用、传输、处理与发布规范”等内容。欢迎将本专栏加入收藏。

打开网易新闻 查看精彩图片