信息安全研究报告精编4篇
【导言】此例“信息安全研究报告精编4篇”的文档资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
信息安全研究报告1
《药品不良反应报告和监测管理办法》是指导我国药品不良反应监测工作的一部最重要的法规。2011年7月1日,该办法新的修订版正式实施,此次修订无论是在篇幅和内容上都做了重大调整,与原办法相比,新办法的相关规定更加完备和有可操作性,并引入了暂新的管理理念,将为药品不良反应监测工作的开展创造新的局面。
1 新版管理办法概述
1999年国家药品监督管理局和卫生部共同了《药品不良反应监测管理办法(试行)》,为不良反应监测工作的发展奠定了坚实的基础。2004年对该办法进行了第一次修订,以国家食品药品监督管理局第7号令,将法律层级由规范性文件提升为部门规章。2011年5月4日卫生部签发了再次修订的《药品不良反应报告和监测管理办法》(以下简称《管理办法》),并以卫生部第81号部令颁布,于2011年7月1日起正式实施。
新版《管理办法》共分8章67条,包括总则、职责、报告与处置、重点监测、评价与控制、信息管理、法律责任以及附则。与2004年版相比,除了在原有6章基础上进行了补充完善外,还新增了2个章节的内容,即药品重点监测和信息管理。主要修订内容包括:明确了省以下监管部门和监测机构的职责,进一步规范了药品本文由收集整理不良反应的报告和处置,强化了群体不良事件的调查、核实及处置要求,引入重点监测制度加强不良反应监测和研究,强化了药品生产企业在报告和监测工作中的作用等[1]。
《管理办法》的适用范围也较广,在中华人民共和国境内开展不良反应监测工作的相关部门和单位均适用此办法,包括药品监督管理部门、卫生行政机构、不良反应监测机构和报告单位(药品生产企业、药品经营企业、医疗机构)。从适用范围可以看出,药品不良反应监测不是哪个部门的孤立工作,其职责贯穿了政府管理部门、监测技术机构、药品生产、销售和使用的各相关单位。
2 《管理办法》重点内容解读
对《管理办法》的贯彻落实首先依赖于对该办法的理解和认识。笔者参与了该办法的制定和培训,希望通过以下重点内容的解读使广大读者对新法规有一个更加深入的了解。
2.1 职责
2008年国务院机构改革后,国家食品药品监督管理局改由卫生部管理,一些具体职能也将由卫生部和药品监督管理部门共同完成,如共同制定药品不良反应报告和监测的管理规定和政策,联合开展药品群体不良事件的调查和处理等。
此外,新办法还明确了市县级药品监管部门和不良反应监测机构的职能。近2年药品不良反应监测体系建设步入快车道,尤其是医改相关政策文件的,使我国不良反应监测机构迅速向基层延伸。截至2011年,全国333个地市均成立了专门的不良反应监测机构或指定了专人开展监测工作。体系的扩展迫切需要法规的支持,新版《管理办法》明确赋予了市县级监测机构报告的收集、审核、评价、上报以及严重不良反应和群体事件调查等职能,不但为基层开展工作奠定了法规基础,也为基层监测机构的进一步完善埋下伏笔。
2.2 药品不良反应报告与处置
《管理办法》的第2章进一步规范了药品不良反应的报告与处置,这也是修订篇幅最大的部分,由原来的10条增加至26条。新办法共明确了4类不良反应报告形式,即不良反应的个例报告、群体报告、境外报告和定期安全性更新报告。对各类型报告的报告范围、报告内容、报表格式、报告程序和时限等也都作了较为详细的规定。
2.1.1 个例报告 通常所说的药品不良反应报告是指药品不良反应/事件的个例报告,是由医疗机构、药品生产企业、药品经营企业等通过药品不良反应监测网络系统提交至监测机构的。与原法规相比,取消了“逐级报告制度”的说法,因为逐级报告在一定程度上会影响报告的时效性,不利于报告的及时评价与处置。根据新报告系统的设置,基层报告单位在线提交报告表后,将直接传送至国家药品不良反应监测中心的服务器上,各级监测机构在权限范围内均可查看、评价、分析报表,因此新报告系统实现的是“网络直报、分级管理”的模式。
2.1.2 群体报告 群体不良事件是指同一药品在使用过程中,在相对集中的时间、区域内,对一定数量人群的身体健康或者生命安全造成损害或者威胁,需要予以紧急处置的事件。本次修订将原法规中的“药品群体不良反应”统一更改为“药品群体不良事件”,明确了因药品质量、用药差错或不良反应等引起的群体不良事件均须报告,将不良反应扩大至药物警戒范畴。群体事件的报告要求快速,报告单位发现或获知群体事件后要“立即”报告,必要时“越级报告”;对事件的调查要求高效,因此直接由药品监督管理部门联合卫生行政部门牵头组织开展;同时体现了多方协作
的管理模式,即除管理部门外,不良反应监测机构、药品的生产、经营和使用单位均需要开展相应的调查或应对处置工作,以期在最短时间内查清事件原因、控制事态发展,最大限度保障患者健康权益和生命安全。
2.1.3 境外报告和定期安全性更新报告 境外报告和定期安全性更新报告均是针对药品生产企业的报告要求。为进一步提高企业的报告收集、评价和风险管理意识,将原先形式简单的“药品不良反应/事件定期汇总表”更改为国际标准的“定期安全性更新报告”,要求企业对收到的不良反应监测数据定期汇总分析,进行全面的药品安全性评估,并采取有效的风险管理措施。发挥了生产企业不同于医疗机构的监测职责,同时也体现了监测工作与国际接轨的新趋势。
2.1.4 报告的处置 处置是指对报告的核实、评价和调查。为提高报告的真实、完整和准确性,加大不良反应信息的可利用率,对于不良反应监测资料,相关监测机构和药品生产企业都有责任进行核实、评价及调查。尤其是死亡病例和群体不良反应事件,要求药品生产企业和监测机构必须调查,并提交调查报告,为严重不良反应/事件的评价提供更加全面、准确的一手资料。同时明确了监管部门、监测机构和报告单位在调查工作中的责任和义务,细化了调查程序,使相关部门在调查工作中将有法可依,进一步提高工作效率。
2.2 药品重点监测
引入了药品重点监测的概念,是此次修订的一大亮点。《管理办法》第4章规定了药品生产企业应该对新药监测期内的药品和首次进口5年内的药品开展重点监测,省以上药品监督管理部门也可要求企业对其他药品开展重点监测。药品重点监测实际上是借用了国际上已有的主动监测的理念,通过有组织、有计划的监测活动,全面收集患者用药后的安全性信息,旨在进一步了药品不良反应的发生率、发生特征、严重程度等,为药品风险控制提供更加科学依据。开展药品重点监测,一方面可以督导企业积极参与到不良反应监测工作中,发挥企业的能动性,另一方面可以弥补上市前安全性研究的局限性和自发报告系统存在的先天性不足,提升我国药品不良反应监测的水平。有关药品重点监测的详细指南相关部门也正在制定中。
2.3 评价与控制
随着不良反应监测工作的深入开展,监测工作的重心已由报告的收集过渡到对报告资料的评价和风险控制中来。《管理办法》第5章对不良反应监测机构开展以品种为基础的评价工作进行了规定,要求国家和省级药品不良反应监测中心对收到的不良反应报告和监测资料进行综合分析、信号挖掘和评价,并提出风险管理建议,对监测机构一直以来所承担的核心技术工作给予了准确的诠释。
此外,还明确了省级以上药品监督管理部门可依法采取的药品风险控制措施。国家和省级药品监督管理部门依据监测技术机构的分析评价结果,在职责范围内对存在安全性问题的药品可采取责令修改说明书、暂停生产、销售和使用、责令召回药品、撤销药品批准证明文件等措施。报告单位也可依据相关规定在职责范围内采取救治患者、暂停药品生产、销售、使用等措施。
2.4 信息管理
随着报告数量的增长,报告单位对监测数据的反馈呼声日益加大,监测机构间如何共享信息也成为突出的问题,医患人员和公众对药品安全性信息的需求更是有增无减。全方位、多层次、多途径的信息、反馈和共享机制已是当前形式下及未来发展趋势中的必不可少的。
修订后的《管理办法》新增了有关信息、反馈、共享的条款,并单列成章。确定了各级监管部门、监测机构信息的权限和内容,增加了信息保密的相关规定,鼓励报告单位之间共享不良反应信息。虽然条款的规定还较为原则,但与原法规相比已有了很大进步,兼顾了当前信息工作的开展情况和未来工作的发展趋势,为今后有关部门出台相关规定奠定了基础,也必将对推动信息公开、增进信息交流、保障公众知情权起到积极的作用。
2.5 法律责任
《管理办法》第7章对报告单位、各级药品监督管理部门、卫生行政部门和药品不良反应监测机构违反本办法应承担的法律责任进行了规定。对于执法主体,药品生产、经营企业的处罚由所在地药品监督管理部门实施,医疗机构由所在地卫生行政部门实施,并向同级药品监督管理部门通报。对于违规情形,根据报告单位的职责不同,药品生产企业所列出的违规情形最多,药品经营企业和医疗机构所列违规情形内容基本相同。处罚措施主要包括警告、责令限期改正以及罚款等。此外,根据《中华人民共和国药品管理法》第93条,规定法定报告单位违反相关规定,给药品使用者造成损害时,要承担赔偿责任。此“相关规定”是指《民法通则》、《产品质量管理法》等法律法规中有关药品损害赔偿的规定。
3 新版《管理办法》对中药不良反应监测的指导意义
中药是我国民族医药学发展中的瑰宝,也正是因为中药的特殊性,其不良反应监测开展情况更能体现我国药品安全监管的水平。《管理办法》虽然对中药的监测没有提出特殊的要求,但是新法规的实施必将推动和促进中药不良反应监测工作的开展。
3.1 增强中药生产企业的不良反应报告和监测意识
我国中药制造业受医改政策等利好因素的影响,近几年呈现了良好的发展态势。尽管如此,国内中药生产企业无论在规模上、管理理念和水平上与跨国企业相
比都存在一些差距,药品风险管理意识也相对薄弱。新版《管理办法》加强了药品生产企业在不良反应监测中的作用,这无疑也为中药企业打了一剂强心针。首先在管理上,要求企业建立不良反应报告制度,并设立专职人员开展监测工作,对监测人员的素质也提出了要求;其次在技术上,要求企业不但要收集报告,还要开展对严重不良反应及群体不良事件的调查,定期汇总药品安全性数据,报送与国际接轨的定期安全性更新报告等。通过在法规中加强生产企业的责任,可以督导企业合理配置监测资源,提高报告意识,主动开展中药的不良反应监测工作。
3.2 加大中药新药的监测力度
由于中药现代化的推动,有报道显示,近年来我国中药新药的科技含量不断提高,有效成分、有效部位新药明显增加。然而站在药品安全性角度考虑,一二类新药未知的风险也是最高的,因此上市人群广泛使用下药品的安全性监测就显得十分重要。新版《管理办法》要求对新药监测期内的药品实施重点监测,通过重点监测可以进一步获取上市前安全性研究无法获取的资料,如针对老年人、儿童等特殊人群的安全性资料,又可以弥被上市后自发报告存在的低报、漏报、信息偏倚等的不足,加大对新上市药品的监测力度,确保患者的用药安全。
熟读唐诗三百首,不会做诗也会吟。山草香为大家整理的4篇信息安全研究报告到这里就结束了,希望可以帮助您更好的写作信息安全研究报告。
信息安全研究报告2
关键词 内部控制 信息披露 自我评价 审核报告
一、制度背景和研究动机
上海证券交易所和深圳证券交易所在总结我国上市公司信息披露有益做法和借鉴国际经验与教训的基础上分别于2006年6月5日和2006年9月28日出台了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,并分别自2006年7月1日和2007年7月1日起实施。指引的颁布旨在于通过提高内部控制构建与运行的透明度以及内部控制信息披露的可靠性来提高内部控制的运行效果。2008年财政部、证监会、审计署、银监会、保监会共同《企业内部控制基本规范》,要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。
本文以2008年在深市公开发行A股的739家上市公司年报中的内部控制披露信息作为样本进行描述性统计与分析,以预测内部控制信息披露健全的公司更倾向于提供事务所的内部控制审核报告,并在此基础上提出相应的政策建议。
二、文献回顾
蔡吉甫以2003年股上市公司为样本,对我国上市公司内部控制信息披露的影响因素进行了实证研究。研究发现经营业绩越好、财务报告质量越高的上市公司越倾向于披露内部控制信息,而财务状况异常即股票交易被特别处理的上市公司披露内部控制信息的动力明显不足。上市公司内部控制信息披露存在自愿披露积极性不高、披露流于形式和隐瞒不利消息的问题,并就如何改进我国上市公司内部控制信息披露问题提出了建议。
李明辉、何海、马夕奎、唐予华在对美国内部控制信息披露及实务进行介绍的基础上,对我国上市公司年年报以及配股说明书中内部控制信息披露状况进行了统计分析,并提出了完善我国上市公司内部控制信息披露的改进措施。
三、研究设计与描述统计
本文选取在深圳证券交易所上市交易的非金融业A股公司2008年度报告作为研究样本,所用的年度报告和数据来自巨潮资讯网。
由于金融类上市公司对内部控制信息的披露是强制的,故本研究剔除所有深圳证券交易所行业分类为金融业的上市公司年报,样本总数为734个。
《指引》要求在年报全文的“重要事项”部分披露公司内部控制建立健全的情况并对其内容做了原则性规定,为了分析强制性规定的执行效果,我们按上市公司披露的详细程度分为“详细说明”、“一般陈述”、“简单披露”三个层次: “详细说明”指能够严格遵守《通知》的要求,在“重要事项”说明了公司内部控制建立健全的情况,包括内部控制建立健全的工作计划、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排等;“简单披露”指公司只用一句话概括说明内部控制情况,即只有“本公司建立了完善的内部控制制度”或类似语句;“一般陈述”介于二者之间。由于《通知》鼓励上市公司披露注册会计师对内部控制评估报告的核实评价意见,因此,我们对鼓励性披露设定为“内部控制鉴证报告或内部控制审核报告”。
从表1来看,深圳市场739家上市公司中,所有的公司都按《指引》强制性披露规定的要求在“公司结构”部分披露了公司内部控制建立健全情况的信息。其中能够严格按照《指引》要求在“重要事项”部分详细说明上述内部控制情况的只有411家(占%);有85家(占% )公司都只是简单披露。披露内部控制鉴证或审核报告的公司很少,两者之和不到15%。由此可见,强制性披露要求并未被所有的上市公司遵守,上市公司自愿披露的动机很弱。
从上表不难看出,区分被出具何种类型的审计意见,对鼓励性披露的内控审核报告的公司进行分析后发现:自愿披露自我评估审核报告的公司,只有一家是带强调事项段无保留意见,其余都是被出具了标准无保留意见; 被出具保留意见和无法表示意见的公司中,没有一家公司自愿披露自我评估报告的核实评价意见。由于内部控制审核报告是鼓励披露而非强制披露,那么单独披露内控报告的公司一定程度上表明了管理当局对财务报告质量的信心;另一方面,内部控制自我评估报告是管理当局对企业内部控制制度的设计和执行是否有效做出评估,并表明其对财务报告和资产的安全完整无重大不利影响,这实际上表明了管理当局的一种合理保证,同时也有利于管理当局对内部控制存在的缺陷加以改进,提高企业财务报告的可靠性,因此,可以在一定程度上减少舞弊的可能性。财务报告质量有问题的公司,由于没有一个健全有效的内部控制对财会人员、管理当局形成强有力的约束,从而可能导致他们不遵守相关的财务法规,甚至粉饰财务报表,而一个内部控制并不健全的公司自愿披露内部控制信息可能会得到更加强烈的负面市场反映。这说明我国上市公司内部控制信息披露与财务报告质量有一定关系,财务报告质量较高的公司更愿意披露内部控制信息;财务报告质量较低的公司披露内部控制信息的动机不足。
四、结论
深市739家上市公司中只有411公司很好的按《指引》的强制性披露的要求在“公司结构”部分披露了公司内部控制建立健全情况的信息。强制性披露规定遵循情况不理想的原因在于监管力度不到位。加强监管力度应从引导和处罚两个角度下功夫。证监会应在《公开发行证券公司信息披露内容和格式》等文件中对内部控制信息披露的内容和格式进行具有可操作性的规范,以降低上市公司的编报成本,交易所在证监会统一规定的基础上制定编报细则。在此基础上,健全处罚机制,对违反强制性信息披露规定的企业,通过加大行政处罚和经济处罚的力度来提高违约成本。
基金项目:本文为南京财经大学硕士研究生校级科研课题《内部控制信息披露质量研究》的阶段性成果。
参考文献:
[1]蔡吉甫。我国上市公司内部控制信息披露的实证研究。审计与经济研究。2005 (5).
[2]李明辉,何海,马夕奎。我国上市公司内部控制信息披露状况的分析。审计研究。2003(1).
信息安全研究报告3
一、主要内容
2003年2月14日,美国公布了《确保网络空间安全的国家战略》报告(以下简称报告)。该报告共76页,是布什政府对《美国国土安全的国家战略》(2002年7月份公布)的补充,并由《保护至关重要的基础设施和关键资产的国家战略》(2003年2月14日公布)作为其补充部分。该报告确定了在网络安全方面的三项总体战略目标和五项具体的优先目标。其中的三项总体战略目标是:阻止针对美国至关重要的基础设施的网络攻击;减少美国对网络攻击的脆弱性;在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。五项优先目标是:(1)建立国家网络安全反应系统;(2)建立一项减少网络安全威胁和脆弱性的国家项目;(3)建立一项网络安全预警和培训的国家项目;(4)确保政府各部门的网络安全;(5)国家安全与国际网络安全合作。
该报告明确规定,国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。国土安全部将制定一项确保美国关键资源和至关重要的基础设施安全的全面的国家计划,以便向私营部门和其他政府机构提供危机管理、预警信息和建议、技术援助、资金支持等5项责任。该报告把关键基础设施定义为"那些维持经济和政府最低限度的运作所需要的物理和网络系统,包括信息和通信系统、能源部门、银行与金融、交通运输、水利系统、应急服务部门、公共安全以及保证联邦、州和地方政府连续运作的领导机构"。该报告强调,确保美国网络安全的关键在于美国公共与私营部门的共同参与,以便有效地完成网络预警、培训、技术改进、脆弱性补救等工作。
二、出台背景
美国自20世纪40年明第一台计算机以来,相继建立了信息高速公路(NII)和全球信息基础设施(GII),并涌现出英特尔芯片公司、微软公司、IBM公司等一大批全球信息产业的领头羊。因此,美国的信息技术及其应用水平遥遥领先,成为信息第一大国。信息技术及其产业不仅成为美国经济发展的支柱和动力,而且也成为美国交通、能源、金融、通讯乃至国防、情报等赖以存在和发展的基础。美国拥有世界上最为强大的军事和经济力量。这两种力量相互强化,相互依赖,同时也日益依赖于关键基础设施和网络信息系统。这种依赖关系成为了脆弱性的根源。因此,在美国政府看来,计算机网络的脆弱性已经给美国国家安全提出了一个紧迫的问题,关键基础设施和信息系统的安全成为美面临的首要威胁之一,"电子珍珠港"事件随时可能爆发,美国必须采取措施保障关键基础设施和信息系统的安全,避免"信息灾难"。
由大量信息系统组成的国家信息基础结构,已成为美国经济的命脉和国家的生命线,也成为容易受到攻击的高价值的战略目标。1988年,美国康奈尔大学计算机系研究生罗伯特o莫里斯制造出震惊世界的"莫里斯蠕虫病毒"事件,造成全球6000多所大学和军事机构的计算机受到感染而瘫痪,而美国遭受的损失最为惨重。美国政府2001年公布的评估报告显示,在2000年,黑客至少获得了美国的155个政府和18家民间机构计算机系统的完全控制权;美国商务部对下属部门的计算机系统进行全面监测后,发现存在5000多个安全漏洞,在被监测的1200多台工作站和主机中,有30%被划归"极度危险"类。针对网络安全方面的这些严重事故或隐患,美国前总统克林顿忧心忡忡地指出,"这个充满希望的时代也充斥着危险。所有受计算机驱动的系统都容易遭到入侵和破坏。重要经济部门或者政府机构的计算机一旦受到合力攻击,就会产生灾难性的后果"。
从20世纪80年代开始,美国政府以政府通告、总统行政命令等形式,不断推出有关信息安全的政策方针和各类规章制度,而且每隔数年就重新进行审定,以适应科技的发展趋势。与此同时,通过设立层层主管机构,逐步形成一整套信息安全防范体系。这一防范体系从关键基础设施和信息系统的脆弱性分析入手,要求各级政府和私营企业建立"预警一检测一反应一恢复"体系并制定出完善的补救计划,同时强调推广安全意识的教育,加强保护基础设施的研发工作,并力图在收集和分析有关国家威胁美基础设施的情报及开展国际合作方面有所建树。
1984年以来美国政府共了近10个涉及关键基础设施和信息安全的国家政策、通告、总统行政命令和国家计划,对如何维护关键基础设施和信息系统的安全提出了具体的要求。例如,克林顿总统于1998年5月签署的第63号总统令 (PDD-63)规定,拥有最关键系统的政府部门被指定为第一批实施信息安全保护计划的要害部门,其中包括中央情报局、商务部、国防部、能源部、司法部、联邦调查局、交通部、财政部、联邦紧急事务处理局、国家安全局等,它们已经在1998年11月完成了其保护其关键信息系统的计划。2000年1月,根据PDD-63的要求,美国政府制定了《信息系统保护国家计划》,将信息安全保护分为十项内容,涉及到脆弱性评估、信息共享、事件响应、人才培养以及隐私保护、法律改革等。该计划要求在2000年12月建立一个具备初步运作能力的关键信息系统防备体系,到2003年5月实现全部运转。该计划力图实现三个主要目标,即准备和预防、侦查和反应及建立牢固的基础设施。
2001年10月,布什政府了《信息时代保护关键基础设施》的行政命令,组建了总统关键基础设施委员会,其成员包括国务卿、国防部长、司法部长、商务部长、行政管理与预算局局长、科学与技术政策办公室主任、国家经济委员会主席、总统国家安全事务助理、总统国土安全助理等官员。根据该命令,委员会主席将成为总统网络安全事务的特别顾问。他有权了解各部/局内属于其管辖范围的所有情况,并召集和主持委员会的各种会议、制定委员会的议事日程,向相关官员提供保护关键基础设施的政策和方案,并向总统国家安全事务助理和国土安全助理汇报。
今年2月14日,布什政府又公布了《确保网络空间安全的国家战略》,明确规定国土安全部将成为联邦政府确保网络安全的核心部门,并且在确保网络安全方面充当联邦政府与各州、地方政府和非政府组织,即公共部门、私营部门和研究机构之间的指挥中枢。
三、作用与影响
该报告是美国在网络安全方面专门出台的第一份国家战略,既凸现了布什政府对美国网络安全的担心与重视,也显示出其在新世纪确保美国信息霸权和安全的长远战略目标,必将对美国未来的国家安全战略指导思想、网络安全管理机制产生深远的影响。
第一,该报告显示,确保网络安全已经被提升为美国国家安全战略的一个重要组成部分。布什政府认为,信息技术的迅猛发展与计算机网络在美国的普及,已经使美国的国家安全问题不再局限于军事安全、经济安全和政治安全。网络的便捷使美国社会越来越依赖于信息技术,信息技术的发展已使之成为21世纪美国发展的支柱,而网络成为美国发展的神经中枢。以信息化方式运作的金融、商贸、交通、通信、军事等系统,成为美国国家经济与社会的基础。防止敌对组织或个人对美国的信息系统和全国性网络的破坏,已不再只是一个技术层面的概念,而成为与社会、政治、经济、文化等各个方面密切相关的问题,即这些领域的安全直接关系到美国国家安全的重要因素,信息安全已成为美国国家安全的一个重要组成部分,直接影响到美国的国家运转、经济发展和社会稳定。因此,布什政府出台这份《确保网络空间安全的国家战略》报告,显示出其对网络安全的高度重视。
第二,该报告是美国在"9·11"事件之后,为确保网络安全而采取的一系列举措中的一个核心步骤。其实,"9·11"事件发生后,布什政府一直担心恐怖分子会对美国发动网络恐怖袭击,因此,它采取一系列预防和打击网络恐怖活动的措施。布什政府经国会批准将反恐开支增加到600亿美元,为2000年反恐经费的5倍。其中用于打击网络恐怖活动的开支也增加了两倍多;迅速成立了"国土安全办公室"(即目前已经成立的国土安全部的前身),将打击网络恐怖作为其主要职责之一;任命网络反恐怖专家理查德o克拉克为总统网络安全顾问,并出任在"国土安全办公室"统辖下新设立的"电脑信息网络安全委员会"主席,负责制定、协调全美政府机构网络反恐计划和行动;着手建立一个政府网络(GovNet),使它与现行互联网分离,以保障政府通讯信息网络的安全性和保护美国国家信息基础设施;召集有副总统理查德·切尼、司法部长约翰·阿什克罗夫特和美国10大网络供应商高官参加的"网络恐怖袭击对策"会议;在美联邦调查局内新设反网络犯罪局,专门负责打击网络犯罪;指令美军加强网络战准备,防范网络恐怖袭击以及打击网络恐怖活动和支持网络恐怖的国家。美国总统布什还对美国指认的所谓纵容网络恐怖主义的国家发出警告称,"如果任何国家为网络恐怖主义者提供安全的避风港,国际社会将切断它与国际互联网的联系,把它排斥在互联网之外。"《确保网络空间安全的国家战略》报告明确提出,美国在网络安全方面的管理机构将会进一步加以整合,最终使国土安全部成为联邦政府确保网络安全的核心部门。
第三,该报告尤其强调发动社会力量对网络安全进行全民防御。虽然美国历届政府在维护信息系统安全方面采取了众多的措施,但它也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。因此,美国政府十分重视与私营企业之间建立合作关系,重视发挥学术研究机构的优势,同时也重视培养美国公民的信息安全意识。首先,美国历届政府把建立政府和私营企业间的合作关系作为一个主要内容。政府强调保护美国的关键基础设施仅仅依靠联邦政府是不行的,必须与企业界、各州及地方政府进行积极有效的合作。例如,1998年11月,能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100余家电力、天然气和石油企业和政府代表参加;1999年10月1日,由政府和私营企业联合发起建立了金融服务信息共享及分析中心。2001年1月,包括IBM在内的500多家公司加入了FBI成立的一个被称作"InfraGard"的组织,共同打击日趋嚣张的网络犯罪活动。《确保网络空间安全的国家战略》报告也多次指出,"确保美国网络安全的关键在于美国公共与私营部门的共同参与"。
其次,重视发挥大专院校和社会科研机构的力量。目前许多大学都设有与信息技术和信息安全相关的学院、研究中心和专业,例如,卡内基-梅隆大学的软件工程研究所,乔治敦大学的计算机信息安全研究所、美国全国计算机安全协会、国际战略研究中心(CSIS)的技术委员会,卡内基国际和平研究所的信息革命与国际关系研究项目等等。目前,美国还开始利用高等院校的科研实力为其服务,2002年2月,美众院通过《网络安全研究与发展法案》,同意在5年内为大学和研究机构提供亿美元的资助,用来研究保护美国计算机网络不受恐怖主义分子和黑客袭击的技术。政府与这些机构展开合作的最好事例就是,由国防部高级研究计划局出资,在卡内基-梅隆大学软件工程研究所内设立了计算机应急处理小组协调中心(CERT)。该中心提供24小时紧急情况联络点,通过与世界范围内IT界和专家之间的交流,提高人们对计算机安全的认识。
最后,重视人才的培养和公民的安全意识教育。该报告认为,到目前为止,还没有"电子珍珠港"事件能够唤醒公众采取行动保护美国网络的意识。许多美国人没有认识到美经济和国家安全对计算机和信息系统依赖到何种程度。而保卫美国的网络空间则需要所有美国人的行动,包括最普通的大众。《确保网络空间安全的国家战略》提出的具体措施包括:完善"网络公民计划",对美国儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;借助"关键基础设施安全伙伴"建立美国企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通公众。
参考书目:
1.国务院发展研究中心国际技术经济研究所编:《信息战与信息安全战略》,金城出版社,1995年。
信息安全研究报告4
一些研究结果表明,绩效数据的报告会刺激医院内的质量改进活动[19]。另外,侵权法和医事法学界普遍主张:通过立法对被视为诉讼证据使用的医生的信息披露和道歉进行保护;制定病人安全立法,为报告给指定的病人安全机构的信息的提供法律保护[20]。澳大利亚病人安全立法见于南澳大利亚保健法(HealthCareAct2008(SA))第7-8部分,2008年卫生保健条例(HealthCareRegulations2008(SA))第2部分[21]。根据这些法例,澳洲病人安全基金会(AustralianPatientSafetyFoundation,APSF),建立了西澳洲临故报告和管理系统(ClinicalIncidentReportingandMan-agementSystem),设置了覆盖全州的“哨兵事件”(SentinelEvent)报告程序,对(病人安全事件)公开披露(OpenDisclosure)程序进行试点并扩展到全洲[22]。以上4国病人安全立法的经验说明,好的病人安全立法,应建立一套鼓励为病人和医疗服务提供者的权利提供公正待遇的法律制度和实施机制;应建立独立的(第三方)协调或实施病人安全风险信息采集、分析、评估和监测的机构,如病人安全组织;应有一套关于病人安全事件的报告程序和奖励(包括对主动报告者免责)或问责制度;应建立一个鼓励从显性和隐性病人安全事件或医疗差错中学习的风险(因素)交流制度;应建设一个能迅速通报所有利益相关者的反馈和风险处理情况的跟踪机制。
我国病人安全立法的基本目的是为培育病人安全文化提供一种法律环境。病人安全文化强调病人安全和/或医疗差错信息的采集、公开、透明度、交流和利用。为此,必须公正对待“犯错”的医务人员,对主动报告病人安全事件的医务人员进行保护,鼓励匿名报告,实行报告者隐私保护,禁止攻击性地利用报告的信息,对非故意和非严重医疗损害的报告者免除行政处罚、行政处分和纪律惩戒之责[6]。简言之,培育病人安全文化需要摒弃侵权责任法強调行为人个人责任的传统思维,厘清我国病人安全立法与《侵权责任法》、《安全生产法》及其实施的关系,以及我国病人安全法立法与其他法律、法规,如《保险法》、《执业医师法》、《医疗事故处理条例》的关系,并在立法上有所突破。此外,域外经验说明,病人安全目标的实现离不开政府的全面支持。这一点立法上也应当有所体现。因此,我国病人安全法的目的、适用范围和内容,如规范病人安全事件、病人安全活动、患者安全评估系统等相关术语;病人安全事件自愿报告;自愿报告者的权利和保密保护;病人安全(网络)数据库建立的法律支撑;病人安全组织的认证和活动;政府支持等,是立法应考虑的主要方面。
病人安全事件的定义病人安全立法的目的是为在全国(或规定)范围内报告、收集、分析和反馈病人安全事件,防范病人安全事件提供必要的法律框架和制度安排。因此,准确定义病人安全事件等概念,对于病人安全立法十分重要。病人安全事件,根据南澳洲医院“事故管理系统”的定义,可分为17大类百余种[22]。①药物或静脉注射液差错,如处方、管理、配药、标签、输送问题,错误的给药路径、用药剂量不足等。②医疗器械、设备或用品差错,设计不当、不安全、不正确、很难使用等。③褥疮。④攻击行为,口头或身体攻击、威胁、咒骂、暴力等。⑤个人行为,自我伤害、潜逃、自杀等。⑥建筑物和附属设备、装置及周围区域,如功能不足、不安全的地板、淋浴水压力/温度过高等。⑦营养问题,如饮食没有要求、食物准备或交付等差错。⑧(医疗)文档,太潦草、条文含糊不清等。⑨临床管理问题,如诊疗程序中的意外受伤、不足移交、延迟诊断等。⑩医院获得性感染,如葡萄球菌、肠球菌、寄生虫等。輥輯訛跌倒。輰訛輥氧气/气体/蒸气输送差错,如不正确的速度、频率、路线、浓度等。輥輱訛污染危害,如生物、化学、辐射污染等。輥輲訛组织管理/服务,如床的分配、人员配备不足、监管不足等。輥輳訛安全,如违反保密、盗窃、没有足够的保安人员、没有ID徽章等。輴訛輥事故,病人泄漏热饮等。輵訛輥哨兵事件(又称“警戒事件”,概念上类似于我国的医疗事故),包括:诊疗对象或身体部位错;自杀;手术器物遗留体内,需要进一步手术;血管内气体栓塞、严重的神经损伤造成的损害或死亡;溶血性输血反应;用药错误导致死亡;产妇死亡或严重并发症;婴儿遭绑架或被移交给错误的家庭,等等[22]。我国病人安全立法,客观上需要统一当前混乱不堪的术语、分类、标准和分析指标等。例如,传统上我国涉及病人安全事件的术语有:医疗事故、医疗纠纷、医疗过失、医疗过误、医疗差错、医疗错误、医疗不良事件,等等,给病人安全事件的统一报告和分析造成了混乱。此外,病人安全活动、患者安全评估系统等术语也应规范、统一。
建立病人安全事件网络报告制度病人安全事件网络报告制度的核心是建设一个规范的报告网络,使医务人员、病人和利益相关人知道报什么和如何报。标准化的报告信息也为网络报告分析系统所必须。建立这样一种报告制度,使病人安全风险(因素)信息的釆集、分析、评估和反馈能用于防范病人安全事件,客观上需要全面地总结当前国内各种病人安全事件报告制度存在的问题,统一术语、分类、标准和分析指标,从临床风险(因素)监测和预警、建设一个更安全的医疗系统的高度,解决报什么和如何报的规范性问题。为此,建议厘清当前国内医药不良事件报告制度和相关法律、法规及执行情况现状,包括现行5种强制报告制度:①医疗事故和重大医疗过失报告制度;②医院感染事件报告制度;③药物不良事件报告制度;④医疗器械临床应用不良事件报告制度;⑤血液制品和疫苗不良事件报告制度等。还应进行效果和原因分析,如人员、报告内容、报告方法和信息反馈情况,以及对于促进病人安全的实效。重点弄清现行各种报告系统与病人安全立法中的病人安全事件报告—分析—反馈系统的相互关系,包括如何实现各系统间的对接、资源互补与共享等。在此基础上,建设我国规范的病人安全事件报告制度:什么情况下应强制报告,哪些情况可自愿报告,如何鼓励自愿报告,报告表应如何设计,如何实现报告和分析指标的标准化,等等。总之,要解决谁该报、向谁报、报什么,如何报才能实现病人安全目标这一实际问题。解决这一问题,可借鉴:①美国志愿和机密性的病人安全事件报告(VoluntaryandConfidentialRe-porting)制度;②英国病人安全“事件报告和学习系统”(NationalIncidentReportingandLearningSystem)和按临床科室分类统一报告和分析指标的做法[23];③澳大利亚“不良事件报告制度”等。例如,前述南澳洲医院“事故管理系统”设计的病人安全事件报告范围涉及17大类百余种报告事项,对于设计出我国医疗安全事件报告制度、报告模型和分析模型,极具借鉴价值。建立病人安全事件自愿报告制度病人安全事件自愿报告制度之所以必要,是因为“一般来说,强制性报告系统是在鼓励那些玩数字游戏的个人和机构。如果此类报告工作变成与惩罚性措施或不当的公开透露联系在一起,那么就存在驱使报告工作成为‘地下活动’以及强化缄默与责备氛围的高度危险,而许多人都认为此类氛围正是医疗差错问题的核心所在。”[24]这就是为什么美国麻醉病人安全基金会(AnesthesiaPatientSafetyFounda-tion)之类的专业组织,对国立医学研究院(IOM)1999年关于建立“一个全国范围的强制报告系统(Manda-toryReportingSystem),规定由州政府负责采集那些造成死亡或严重伤害的不良事件的标准化信息”的报告,作出的是负面反应[25]。有鉴于此,到2005年,美国尽管已有23个州建立了对于严重病人损伤的强制报告系统,同年国会通过的病人安全与质量改进法案,仍然规定了建立一个以自愿报告为基础的联邦病人安全数据库(PatientSafetyDatabase)[26]。根据这一规定,医院对于严重病人伤害事件的报告属于自愿性,并在遵循有关分析差错和建议改进措施的合约的情况下,由病人安全组织负责收集此类报告。我国现行法律、法规规定了对医疗事故和重大医疗过失、医疗缺陷产品等医疗侵权事件,分别实行5种强制报告制度,鼓励的同样是“那些玩数字游戏”的人,强化的同样是“缄默与责备氛围”。而且,这5种强制报告制度覆盖的范围零散,远不及病人安全事件报告制度那样周详。因此,除现行5种强制报告制度以外,有必要建立我国统一的病人安全事件自愿报告制度。
建立报告者匿名报告与隐私保护制度美国病人安全立法确立了“志愿和机密性的病人安全事件报告(VoluntaryandConfidentialReporting)制度”,旨在借助于自愿性的保密报告来监控病人安全。为此,该法规定这些病人安全事件报告将维持保密状态,且不能用于责任案件,从而免除了医务人员对于不断增长的医疗侵权责任案件的担心和恐惧[27]。报告者匿名报告与隐私保护制度的核心,在于必须公正对待“犯错”的医务人员,对主动报告病人安全事件的医务人员进行保护,鼓励匿名报告,实行报告者隐私保护;禁止医疗机构与病人(家属)之间的“机密和解”(ConfidentialSettlements),禁止签订所谓的“保密条款”(GagClauses)。研究证明“机密和解”和“保密条款”妨碍从导致诉讼的不良事件中学习,不利于重新设计卫生服务系统的各种要素[28]。因此,解决我国医疗侵权争议案中“机密和解”和“保密条款”等“捂盖子”做法带来的问题,也是我国病人安全立法中的待决事项。
建立病人安全数据库法律制度支持病人安全(网络)数据库的建设,是病人安全立法的核心任务。该数据库的建设应力求凸现其科技与人文的双重特征。在医学科技方面,一个有关病人安全事件和/或医疗差错分类报告与评估的病人安全数据库,针对报告进行科学分析的病人安全风险专家团队,安全事件和/或医疗差错信息统一的采集、分析和评估方法,以及快速的反馈和预警技术是必须的。在医学人文方面,应着力通过侵权法改革和法律制度创新,着力培育病人安全文化,包括病人安全技术文化。国际经验显示,一个理想的病人安全数据库应满足10个条件(即构成要件),除上文述及的以外,还包括:①应有政府、行业协会、医疗机构、医务人员、社区和患者等共同参与的法律机制;②应有一套统一的关于医疗安全风险的术语、分类、标准和评价指标,并且,这些标准和评价指标的选萃,充分考虑了临床各领域的特征[23,29];③国家、地方或医疗机构应有一个涵盖所有信息来源(含匿名报告)的关于病人安全风险(因素)的数据库,其中,国家数据库应涵盖医疗保健的所有领域;④应有一个在医疗机构、地方、国家和国际四个层面设置的关于病人安全风险控制优先事项(即因地制宜决定风险控制轻重缓急)的机制;⑤应有一个快速、准确的病人安全风险分析、评估机制,每一个医务人员应掌握各自专业领域内常用的病人安全风险分析、评估和处理的方法与工具。因此,我国建立病人安全数据库法律制度,还应主要围绕这5个方面作出立法安排。与此同时,要有计划地发展我国病人安全科技,特别是发展卫生信息技术和医药风险评估技术促进病人安全,为病人安全法的运作提供科技支持。需要说明的是,这些构成要件的提出,综合参考了已有的研究成果。除以上各种国际文献外,还包括中国医院协会、中国医师协会同类研究的初步成果。
建立病人安全组织法律制度发达国家病人安全政策、法律的一个共同特点,就是(立法)支持建立病人安全组织,将其作为医患关系之外的独立第三方从事病人安全活动。例如,澳大利亚病人安全基金会(AustralianPatientSafetyFoundation,APSF)的病人安全组织,英国建立国家病人安全机构(NationalPatientSafetyAgency),美国建立病人安全中心(CenterforPatientSafety),扩大对于不良事件的报告、分析与处理。从事病人安全活动,是病人安全组织的核心使命。病人安全活动,除了报告、收集、分析和反馈病人安全事件这一基本任务外,还包括培育、传播病人安全文化,制定、推广病人安全最佳的做法,推动病人安全科技创新,就病人安全相关政策、法律、文化、科技和财稅等问题提供意见和建议,等等。因此,相关立法围绕病人安全组织开展的病人安全活动提供支持与规范,也是病人安全立法的重要制度安排。我国病人安全组织尚未建立,病人安全活动尚处于起步阶段。通过立法,组建病人安全组织,规范病人安全组织的建立、认证和活动。为此,应开展有关我国病人安全组织、病人安全顾问设立、资质要求、注册管理和运作模式的前瞻性研究,开展病人安全风险法律、保险和技术等综合性解决方案与绩效评估的研究。