医疗卫生机构网络安全管理办法.docx
医疗卫生机构网络平安管理方法第一章总那么第一条为加强医疗卫生机构网络平安管理,进一步促 进“互联网+医疗健康”开展,充分发挥健康医疗大数据作为 国家重要基础性战略资源的作用,加强医疗卫生机构网络安 全管理,防范网络平安事件发生,根据基本医疗卫生与健 康促进法网络平安法密码法数据平安法个 人信息保护法关键信息基础设施平安保护条例网络 平安审查方法以及网络平安等级保护制度等有关法律法规 标准,制定本方法。第二条坚持网络平安为人民、网络平安靠人民、坚持网 络平安教育、技术、产业融合开展、坚持促进开展和依法管 理相统一、坚持平安可控和开放创新并重。坚持分等级保护、突出重点。重点保障关键信息基础设施、 网络平安等级保护第三级(以下简称第三级)及以上网络以 及重要数据和个人信息平安。坚持积极防御、综合防护。充分利用人工智能、大数据分 析等技术,强化平安监测、态势感知、通报预警和应急处置(三)各医疗卫生机构应按照有关法规标准,选择合适的 数据存储架构和介质在境内存储,并采取备份、加密等措施 加强数据的存储平安。涉及到云上存储数据时,应当评估可 能带来的平安风险。数据存储周期不应超出数据使用规那么确 定的保存期限。加强存储过程中访问控制平安、数据副本安 全、数据归档平安管控。(四)各医疗卫生机构应严格规定不同人员的权限,加强 数据使用过程中的申请及批准流程管理,确保数据在可控范 围内使用,加强日志留存及管理工作,杜绝篡改、删除日志 的现象发生,防止数据越权使用。各数据使用部门和数据使 用人须严格按照申请所述用途与范围使用数据,对数据的安 全负责。未经批准,任何部门和个人不得将未对外公开的信 息数据传递至部门外,不得以任何方式将其泄露。(五)各医疗卫生机构发布、共享数据时应当评估可能带 来的平安风险,并采取必要的平安防控措施;涉及数据上报 时,应由数据上报提出方负责解读上报要求,确定上报范围 和上报规那么,确保数据上报平安可控。(六)各医疗卫生机构开展人脸识别或人脸辨识时,应同 时提供非人脸识别的身份识别方式,不得因数据主体不同意 收集人脸识别数据而拒绝数据主体使用其基本业务功能,人 脸识别数据不得用于除身份识别之外的其他目的,包括但不 限于评估或预测数据主体工作表现、经济状况、健康状况、 偏好、兴趣等。各医疗卫生机构应采取平安措施存储和传输 人脸识别数据,包括但不限于加密存储和传输人脸识别数据, 采用物理或逻辑隔离方式分别存储人脸识别和个人身份信 息等。(七)数据销毁时应采用确保数据无法还原的销毁方式, 重点关注数据残留风险及数据备份风险。第四章监督管理第二十三条各医疗卫生机构应积极配合有关主管监管 机构监督管理,接受网络平安管理日常检查,做好网络平安 防护等工作。第二十四条各医疗卫生机构应及时整改有关主管监管 机构检查过程中发现的漏洞和隐患等问题,杜绝重大网络安 全事件发生。第二十五条 发生个人信息和数据泄露、毁损、丧失等安 全事件和网络系统遭攻击、入侵、控制等网络平安事件,或 者发现网络存在漏洞隐患、网络平安风险明显增大时,各医 疗卫生机构应当立即启动应急预案,采取必要的补救和处置 措施,及时以 、短信、邮件或信函等多种方式告知相关 主体,并按照要求向有关主管监管部门报告。第二十六条 各级卫生健康行政部门应建立网络平安事 件通报工作机制,及时通报网络平安事件。第二十七条 发生网络平安事件时,各医疗卫生机构应 及时向卫生健康行政部门、公安机关报告,做好现场保护、 留存相关记录,为公安机关等监管部门依法维护国家平安和 开展侦查调查等活动提供技术支持和协助。第五章管理保障第二十八条 各医疗卫生机构应高度重视网络平安管理 工作,将其列入重要议事日程,加强统筹领导和规划设计, 依法依规落实人员、经费投入、平安保护措施建设等重大问 题,保证信息系统建设时平安保护措施同步规划、同步建设 和同步使用。第二十九条各医疗卫生机构应加强网络平安业务交流, 严格执行网络平安继续教育制度,鼓励管理岗位和技术岗位 持证上岗。通过组织开展学术交流及比武竞赛的方式,发现 选拔网络平安人才,建立人才库,建立健全人才发现、培养、 选拔和使用机制,为做好网络平安工作提供人才保障。第三十条各医疗卫生机构应保障开展网络平安等级测 评、风险评估、攻防演练竞赛、平安建设整改、平安保护平 台建设、密码保障系统建设、运维、教育培训等经费投入。 新建信息化工程的网络平安预算不低于工程总预算的5%o第三十一条各医疗卫生机构应进一步完善网络平安考 核评价制度,明确考核指标,组织开展考核。鼓励有条件的 医疗卫生机构将考核与绩效挂钩。第六章附那么第三十二条违反本方法规定,发生个人信息和数据泄 露,或者出现重大网络平安事件的,按网络平安法密 码法基本医疗卫生与健康促进法数据平安法个 人信息保护法关键信息基础设施平安保护条例以及网 络平安等级保护制度等法律法规处理。第三十三条 涉及国家秘密的网络,按照国家有关规定 执行。第三十四条 本方法自印发之日起实施。 等重点工作,落实网络平安保护“实战化、体系化、常态化” 和“动态防御、主动防御、纵深防御、精准防护、整体防控、 联防联控”的“三化六防”措施。坚持“管业务就要管平安”“谁主管谁负责、谁运营谁负 责、谁使用谁负责”的原那么,落实网络平安责任制,明确各 方责任。第三条 本方法所称的网络是指由计算机或者其他信息 终端及相关设备组成的按照一定的规那么和程序对信息进行 收集、存储、传输、交换、处理的系统。本方法所称的数据为网络数据,是指医疗卫生机构通过 网络收集、存储、传输、处理和产生的各种电子数据,包括 但不限于各类临床、科研、管理等业务数据、医疗设备产生 的数据、个人信息以及数据衍生物。本方法适用于医疗卫生机构运营网络的平安管理。未纳 入区域基层卫生信息系统的基层医疗卫生机构参照执行。第四条 国家卫生健康委、国家中医药局、国家疾控局负 责统筹规划、指导、评估、监督医疗卫生机构网络平安工作。 县级以上地方卫生健康行政部门(含中医药和疾控部门,下 同)负责本行政区域内医疗卫生机构网络平安指导监督工作。医疗卫生机构对本单位网络平安管理负主体责任,各医 疗卫生机构应当与信息化建设参与单位及相关医疗设备生 产经营企业书面约定各方的网络平安义务和违约责任。第二章网络平安管理第五条各医疗卫生机构应成立网络平安和信息化工作 领导小组,由单位主要负责人任领导小组组长,每年至少召 开一次网络平安办公会,部署平安重点工作,落实关键信 息基础设施平安保护条例和网络平安等级保护制度要求。 有二级及以上网络的医疗卫生机构应明确负责网络平安管 理工作的职能部门,明确承当平安主管、平安管理员等职责 的岗位;建立网络平安管理制度体系,加强网络平安防护, 强化应急处置,在此基础上对关键信息基础设施实行重点保 护,防止网络平安事件发生。第六条各医疗卫生机构按照“谁主管谁负责、谁运营谁 负责、谁使用谁负责”的原那么,在网络建设过程中明确本单 位各网络的主管部门、运营部门、信息化部门、使用部门等 管理职责,对本单位运营范围内的网络进行等级保护定级、 备案、测评、平安建设整改等工作。(一)对新建网络,应在规划和申报阶段确定网络平安保 护等级。各医疗卫生机构应全面梳理本单位各类网络,特别 是云计算、物联网、区块链、5G、大数据等新技术应用的基 本情况,并根据网络的功能、服务范围、服务对象和处理数 据等情况,依据相关标准科学确定网络的平安保护等级,并 报上级主管部门审核同意。(二)新建网络投入使用应依法依规开展等级保护备案 工作。第二级以上网络应在网络平安保护等级确定后10个 工作日内,由其运营者向公安机关备案,并将备案情况报上 级卫生健康行政部门,因网络撤销或变更平安保护等级的, 应在10个工作日内向原备案公安机关撤销或变更,同步上 报上级卫生健康行政部门。(三)全面梳理分析网络平安保护需求,按照“一个中心 (平安管理中心),三重防护(平安通信网络、平安区域边 界、平安计算环境)”的要求,制定符合网络平安保护等级 要求的整体规划和建设方案,加强信息系统自行开发或外包 开发过程中的平安管理,认真开展网络平安建设,全面落实 平安保护措施。(四)各医疗卫生机构对已定级备案网络的平安性进行 检测评估,第三级或第四级的网络应委托等级保护测评机构, 每年至少一次开展网络平安等级测评。第二级的网络应委托 等级保护测评机构定期开展网络平安等级测评,其中涉及10 万人以上个人信息的网络应至少三年开展一次网络平安等 级测评,其他的网络至少五年开展一次网络平安等级测评。 新建的网络上线运行前应进行平安性测试。(五)针对等级测评中发现的问题隐患,各医疗卫生机构 要结合外在的威胁风险,按照法律法规、政策和标准要求, 制定网络平安整改方案,有针对性地开展整改,及时消除风 险隐患,补强管理和技术短板,提升平安防护能力。第七条各医疗卫生机构应依托国家网络平安信息通报 机制,加强本单位网络平安通报预警力量建设。鼓励三级医 院探索态势感知平台建设,及时收集、汇总、分析各方网络 平安信息,加强威胁情报工作,组织开展网络平安威胁分析 和态势研判,及时通报预警和处置,防止网络被破坏、数据 外泄等事件。第八条各医疗卫生机构应建立应急处置机制,通过建 立完善应急预案、组织应急演练等方式,有效处理网络中断、 网络攻击、数据泄露等平安事件,提高应对网络平安事件能 力。积极参加网络平安攻防演练,提升保护和对抗能力。第九条 各医疗卫生机构在网络运营过程中,应每年开 展文档核验、漏洞扫描、渗透测试等多种形式的平安自查, 及时发现可能存在的问题和隐患。针对平安自查、监测预警、 平安通报等过程中发现的平安隐患应认真开展整改加固,防 止网络带病运行,并按要求将平安自查整改情况报上级卫生 健康行政部门。自查整改可与等级测评问题整改一并实施。每年平安自查整改工作包括:(一)依据上级主管监管机构要求,各医疗卫生机构完成 信息资产梳理,摸清本单位网络定级、备案等情况,形成资 产清单,组织平安自查。(二)依据上级主管监管机构要求,各医疗卫生机构依据 平安自查结果,对发现的问题和隐患进行整改,形成整改报 告向有关主管监管机构报备。第十条关键信息基础设施运营者应对平安管理机构负 责人和关键岗位人员进行平安背景审查。各医疗卫生机构要 加强网络运营相关人员管理,包括本单位内部人员及第三方 人员,明确内部人员入职、培训、考核、离岗全流程平安管 理,针对第三方应明确人员接触网络时的申请及批准流程, 做好实名登记、人员背景审查、保密协议签署等工作,防止 因人员资质及违规操作引发的平安风险。第十一条 加强网络运维管理,制定运维操作规范和工 作流程。加强物理平安防护,完善机房、办公环境及运维现 场等平安控制措施,防止非授权访问物理环境造成信息泄露。 加强远程运维管理,因业务确需通过互联网远程运维的,应 进行评估论证,并采取相应的平安管控措施,防止远程端口第十二条各医疗卫生机构应加强业务连续性管理并持 续监测网络运行状态。对于第三级及以上的网络应加强保障 关键链路、关键设备冗余备份,有条件的医疗卫生机构应建 立应用级容灾备份,防止关键业务中断。第十三条 应用大数据、人工智能、区块链等新技术开展 服务时,上线前应评估新技术的平安风险并进行平安管控, 到达应用与平安的平衡。第十四条各医疗卫生机构应规范和加强医疗设备数据、 个人信息保护和网络平安管理,建立健全医疗设备招标采购、 安装调试、运行使用、维护维修、报废处置等相关网络平安 管理制度,定期检查或评估医疗设备网络平安,并采取相应 的平安管控措施,确保医疗设备网络平安。第十五条 各医疗卫生机构应按照密码法等有关法律 法规和密码应用相关标准规范,在网络建设过程中同步规划、 同步建设、同步运行密码保护措施,使用符合相关要求的密 码产品和服务。第十六条 各医疗卫生机构应关注整个网络全链条参与 者的平安管理,涉及非本单位的第三方时,应对设计、建设、 运行、维护等服务实施平安管理,采购平安的网络产品和服 务,防止发生第三方平安事件。第十七条各医疗卫生机构应加强废止网络的平安管理, 对废止网络的相关设备进行风险评估,及时对其采取封存或 销毁措施,确保废止网络中的数据处置平安,防止网络数据 泄露。第三章数据平安管理第十八条各医疗卫生机构应按照有关法律法规的规定, 参照国家网络平安标准,履行数据平安保护义务,坚持保障 数据平安与开展并重,通过管理和技术手段保障数据平安和 数据应用的有效平衡。关键信息基础设施运营者应拟定关键 信息基础设施平安保护计划,建立健全数据平安和个人信息 保护制度。第十九条应建立数据平安管理组织架构,明确业务部 门与管理部门在数据平安活动中的主体责任,通过平安责任 书等方式,规范本单位数据管理部门、业务部门、信息化部 门在数据平安管理全生命周期当中的权责,建立数据平安工 作责任制,落实追责追究制度。第二十条各医疗卫生机构应每年对数据资产进行全面 梳理,在落实网络平安等级保护制度的基础上,依据数据的 重要程度以及遭到破坏后的危害程度建立本单位数据分类 分级标准。数据分类分级应遵循合法合规原那么、可执行原那么、 时效性原那么、自主性原那么、差异性原那么及客观性原那么。第二十一条各医疗卫生机构应建立健全数据平安管理 制度、操作规程及技术规范,涉及的管理制度每年至少修订 一次,建议相关人员每年度签署保密协议。每年对本单位的 数据进行数据平安风险评估,及时掌握数据平安状态。加强 数据平安教育培训,组织平安意识教育和数据平安管理制度 宣传培训。结合本单位实际,建立完善数据使用申请及批准 流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事 中监管、事后审核原那么,严格执行业务管理部门同意、医疗 卫生机构领导核准的工作程序,指导数据活动流程合规。第二十二条 各医疗卫生机构应加强数据收集、存储、传 输、处理、使用、交换、销毁全生命周期平安管理工作,数 据全生命周期活动应在境内开展,因业务确需向境外提供的, 应当按照相关法律法规及有关要求进行平安评估或审核,针 对影响或者可能影响国家平安的数据处理活动需提交国家 平安审查,防止数据平安事件发生。(一)各医疗卫生机构应加强数据收集合法性管理,明确 业务部门和管理部门在数据收集合法性中的主体责任。采取 数据脱敏、数据加密、链路加密等防控措施,防止数据收集 过程中数据被泄露。(二)在数据分类分级的基础上,进一步明确不同平安级别数据的加密传输要求。加强传输过程中的接口平安控制, 确保在通过接口传输时的平安性,防止数据被窃取。
