学习2022年新制订的《医疗卫生机构网络安全管理办法》（讲义）.docx

医疗卫生机构网络平安管理方法学习2022年新制订的医疗卫生机构网络平安管理方法（讲义）为加强医疗卫生机构网络平安管理，进一步促进“互联网+医疗健康” 开展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用， 加强医疗卫生机构网络平安管理，防范网络平安事件发生，国家卫生健 康委、国家中医药局、国家疾控局制定了医疗卫生机构网络平安管理 方法（以下简称方法）。方法指出，对新建网络，应在规划 和申报阶段确定网络平安保护等级。各医疗卫生机构应全面梳理本单位 各类网络，特别是云计算、物联网、区块链、5G、大数据等新技术应用 的基本情况，并根据网络的功能、服务范围、服务对象和处理数据等情 况，依据相关标准科学确定网络的平安保护等级，并报上级主管部门审 核同意。第一局部：方法的出台背景十三届全国人大常委会第三十二次会议于2021年12月24日表决通过 了反有组织犯罪法，自2022年5月1日起施行。反有组织犯罪法 把中央关于开展扫黑除恶专项斗争的决策部署和专项斗争成功经验上升第十四条各医疗卫生机构应规范和加强医疗设备数据、个人信息保 护和网络平安管理，建立健全医疗设备招标采购、安装调试、运行使用、 维护维修、报废处置等相关网络平安管理制度，定期检查或评估医疗设 备网络平安，并采取相应的平安管控措施，确保医疗设备网络平安。第十五条 各医疗卫生机构应按照密码法等有关法律法规和密码 应用相关标准规范，在网络建设过程中同步规划、同步建设、同步运行 密码保护措施，使用符合相关要求的密码产品和服务。第十六条各医疗卫生机构应关注整个网络全链条参与者的平安管理, 涉及非本单位的第三方时，应对设计、建设、运行、维护等服务实施安 全管理，采购平安的网络产品和服务，防止发生第三方平安事件。第十七条 各医疗卫生机构应加强废止网络的平安管理，对废止网络 的相关设备进行风险评估，及时对其采取封存或销毁措施，确保废止网 络中的数据处置平安，防止网络数据泄露。第三章数据平安管理第十八条各医疗卫生机构应按照有关法律法规的规定，参照国家网 络平安标准，履行数据平安保护义务，坚持保障数据平安与开展并重， 通过管理和技术手段保障数据平安和数据应用的有效平衡。关键信息基 础设施运营者应拟定关键信息基础设施平安保护计划，建立健全数据安 全和个人信息保护制度。第十九条 应建立数据平安管理组织架构，明确业务部门与管理部门 在数据平安活动中的主体责任，通过平安责任书等方式，规范本单位数 据管理部门、业务部门、信息化部门在数据平安管理全生命周期当中的 权责，建立数据平安工作责任制，落实追责追究制度。第二十条各医疗卫生机构应每年对数据资产进行全面梳理，在落实 网络平安等级保护制度的基础上，依据数据的重要程度以及遭到破坏后 的危害程度建立本单位数据分类分级标准。数据分类分级应遵循合法合 规原那么、可执行原那么、时效性原那么、自主性原那么、差异性原那么及客观性 原那么。第二十一条各医疗卫生机构应建立健全数据平安管理制度、操作规 程及技术规范，涉及的管理制度每年至少修订一次，建议相关人员每年 度签署保密协议。每年对本单位的数据进行数据平安风险评估，及时掌 握数据平安状态。加强数据平安教育培训，组织平安意识教育和数据安 全管理制度宣传培训。结合本单位实际，建立完善数据使用申请及批准 流程，遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事 后审核原那么，严格执行业务管理部门同意、医疗卫生机构领导核准的工 作程序，指导数据活动流程合规。第二十二条 各医疗卫生机构应加强数据收集、存储、传输、处理、 使用、交换、销毁全生命周期平安管理工作，数据全生命周期活动应在 境内开展，因业务确需向境外提供的，应当按照相关法律法规及有关要 求进行平安评估或审核，针对影响或者可能影响国家平安的数据处理活 动需提交国家平安审查，防止数据平安事件发生。（一）各医疗卫生机构应加强数据收集合法性管理，明确业务部门和 管理部门在数据收集合法性中的主体责任。采取数据脱敏、数据加密、 链路加密等防控措施，防止数据收集过程中数据被泄露。（二）在数据分类分级的基础上，进一步明确不同平安级别数据的加 密传输要求。加强传输过程中的接口平安控制，确保在通过接口传输时 的平安性，防止数据被窃取。（三）各医疗卫生机构应按照有关法规标准，选择合适的数据存储架 构和介质在境内存储，并采取备份、加密等措施加强数据的存储平安。 涉及到云上存储数据时，应当评估可能带来的平安风险。数据存储周期 不应超出数据使用规那么确定的保存期限。加强存储过程中访问控制平安、 数据副本平安、数据归档平安管控。（四）各医疗卫生机构应严格规定不同人员的权限，加强数据使用过 程中的申请及批准流程管理，确保数据在可控范围内使用，加强日志留 存及管理工作，杜绝篡改、删除日志的现象发生，防止数据越权使用。 各数据使用部门和数据使用人须严格按照申请所述用途与范围使用数据, 对数据的平安负责。未经批准，任何部门和个人不得将未对外公开的信 息数据传递至部门外，不得以任何方式将其泄露。（五）各医疗卫生机构发布、共享数据时应当评估可能带来的平安风 险，并采取必要的平安防控措施；涉及数据上报时，应由数据上报提出 方负责解读上报要求，确定上报范围和上报规那么,确保数据上报平安可控。（六）各医疗卫生机构开展人脸识别或人脸辨识时，应同时提供非人 脸识别的身份识别方式，不得因数据主体不同意收集人脸识别数据而拒 绝数据主体使用其基本业务功能，人脸识别数据不得用于除身份识别之 外的其他目的，包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。各医疗卫生机构应采取平安措施存储和传输 人脸识别数据，包括但不限于加密存储和传输人脸识别数据，采用物理 或逻辑隔离方式分别存储人脸识别和个人身份信息等。（七）数据销毁时应采用确保数据无法还原的销毁方式，重点关注数 据残留风险及数据备份风险。第四章监督管理第二十三条各医疗卫生机构应积极配合有关主管监管机构监督管理, 接受网络平安管理日常检查，做好网络平安防护等工作。第二十四条各医疗卫生机构应及时整改有关主管监管机构检查过程 中发现的漏洞和隐患等问题，杜绝重大网络平安事件发生。第二十五条 发生个人信息和数据泄露、毁损、丧失等平安事件和网 络系统遭攻击、入侵、控制等网络平安事件，或者发现网络存在漏洞隐 患、网络平安风险明显增大时，各医疗卫生机构应当立即启动应急预案, 采取必要的补救和处置措施，及时以 、短信、邮件或信函等多种方 式告知相关主体，并按照要求向有关主管监管部门报告。第二十六条各级卫生健康行政部门应建立网络平安事件通报工作机 制，及时通报网络平安事件。第二十七条发生网络平安事件时，各医疗卫生机构应及时向卫生健 康行政部门、公安机关报告，做好现场保护、留存相关记录，为公安机 关等监管部门依法维护国家平安和开展侦查调查等活动提供技术支持和 协助。第五章管理保障第二十八条各医疗卫生机构应高度重视网络平安管理工作，将其列 入重要议事日程，加强统筹领导和规划设计，依法依规落实人员、经费 投入、平安保护措施建设等重大问题，保证信息系统建设时平安保护措 施同步规划、同步建设和同步使用。第二十九条各医疗卫生机构应加强网络平安业务交流，严格执行网 络平安继续教育制度，鼓励管理岗位和技术岗位持证上岗。通过组织开 展学术交流及比武竞赛的方式，发现选拔网络平安人才，建立人才库， 建立健全人才发现、培养、选拔和使用机制，为做好网络平安工作提供 人才保障。第三十条各医疗卫生机构应保障开展网络平安等级测评、风险评估、 攻防演练竞赛、平安建设整改、平安保护平台建设、密码保障系统建设、 运维、教育培训等经费投入。新建信息化工程的网络平安预算不低于项 目总预算的5%。第三十一条各医疗卫生机构应进一步完善网络平安考核评价制度， 明确考核指标，组织开展考核。鼓励有条件的医疗卫生机构将考核与绩 效挂钩。第六章附那么第三十二条 违反本方法规定，发生个人信息和数据泄露，或者出现 重大网络平安事件的，按网络平安法密码法基本医疗卫生与 健康促进法数据平安法个人信息保护法关键信息基础设施 平安保护条例以及网络平安等级保护制度等法律法规处理。第三十三条 涉及国家秘密的网络，按照国家有关规定执行。第三十四条 本方法自印发之日起实施。为国家法律，建立了一整套包括打击与预防、实体与程序、权力与责任 的制度机制。公安机关在反有组织犯罪工作中承当着重要职责任务，但 公安机关反有组织犯罪相关规定仍比拟分散，未作系统化总结规范，对反有组织犯罪法首次规定的黑社会性质组织的组织者、领导者个人 财产及日常活动报告制度等，亟需以规章形式制定“国家有关规定”作 为执法依据。为贯彻落实好反有组织犯罪法，逐步构建公安机关反 有组织犯罪法律制度体系，衔接细化反有组织犯罪法有关制度机制, 公安部在充分调研论证基础上起草了公安机关反有组织犯罪工作规定（征求意见稿）。反有组织犯罪法是我国第一部专门、系统、完备规范反有组织犯罪 工作的法律，是党中央开展扫黑除恶专项斗争的标志性成果和常态化扫 黑除恶的法治保障。公安部制定发布公安机关反有组织犯罪工作规 定，对法律的规定要求进行有效衔接，为公安机关充分发挥扫黑除恶 主力军作用，在反有组织犯罪工作中依法行政、依法办案提供了重要依 据，对于不断推进公安机关反有组织犯罪工作专业化、规范化、法治化 具有重要意义。第二局部：方法的主要内容公安机关反有组织犯罪工作规定共10章76条，在反有组织犯罪 法搭建的法律框架基础上，作了承接细化和充实巩固，系统归纳了公安 机关反有组织犯罪工作职责和基本原那么；对公安机关预防和治理职责及 相关程序作了细化；明确了公安机关核查有组织犯罪线索的法律地位和 具体程序；明确了公安机关办理有组织犯罪案件的一般规定和特殊要求; 强化了公安机关反有组织犯罪“打财断血” “打伞破网”工作机制；明 确了反有组织犯罪法新设定行政处分的实施方法，并对国际合作、专业 队伍建设、物质保障、证人保护等有关内容作了细化规定。方法主要包括以下六个方面的内容：（一）系统归纳公安机关反有组织犯罪工作职责和基本原那么。办 法第二条至第六条对公安机关在反有组织犯罪工作中职责任务及工作 原那么作了明确，有利于统一各级公安机关的认识，全面充分履行反有组 织犯罪工作职责。（二）衔接落地公安机关预防和治理有组织犯罪工作机制。方法 第二章对公安机关预防和治理有组织犯罪工作职责和程序作了细化，衔 接反有组织犯罪法新设立的黑社会性质组织的组织者、领导者报告 个人财产及日常活动制度，以及公安提示函、“三个重点”等9项扫黑除 恶斗争经验上升为法律的工作机制。（三）明确了公安机关核查有组织犯罪线索的法律地位和具体程序。 根据反有组织犯罪法“按照国家有关规定”的委任性规定，方法 第三章对有组织犯罪线索分级分类、核查启动、调查措施、调查结论及 线索核查与受立案的关系等作了规定，明确了有组织犯罪线索核查的程 序意义。（四）明确了公安机关办理有组织犯罪案件的一般规定和特殊要求。 在重申公安机关办理有组织犯罪案件“以事实为根据，以法律为准绳” 等一般规定的同时，方法对严格掌握有组织犯罪的组织者、领导者 和骨干成员取保候审、认罪认罚从宽制度的运用等10项特殊要求作了细 化。（五）强化公安机关反有组织犯罪“打财断血” “打伞破网”工作 机制。方法细化了公安机关全面调查有组织犯罪涉案财产的要求， 增加了涉案财产托管、代管机制，明确了公安机关在“打伞破网”工作 中全面深挖国家工作人员涉有组织犯罪的职责要求，固化了线索移送、 案件会商通报等工作机制。（六）明确反有组织犯罪法新设定行政处分的实施以及其他有 关内容。方法明确了公安机关实施反有组织犯罪法新设定行政 处分的管辖，此外还对涉不实举报的公安民警的保护、国际合作、队伍 建设、物质保障、证人保护等其他有关内容作了细化规定。第三局部：方法的全文学习医疗卫生机构网络平安管理方法第一章总那么第一条为加强医疗卫生机构网络平安管理，进一步促进“互联网+ 医疗健康”开展，充分发挥健康医疗大数据作为国家重要基础性战略资 源的作用，加强医疗卫生机构网络平安管理，防范网络平安事件发生， 根据基本医疗卫生与健康促进法网络平安法密码法数据 平安法个人信息保护法关键信息基础设施平安保护条例网 络平安审查方法以及网络平安等级保护制度等有关法律法规标准，制 定本方法。第二条 坚持网络平安为人民、网络平安靠人民、坚持网络平安教育、 技术、产业融合开展、坚持促进开展和依法管理相统一、坚持平安可控 和开放创新并重。坚持分等级保护、突出重点。重点保障关键信息基础设施、网络平安 等级保护第三级（以下简称第三级）及以上网络以及重要数据和个人信 息平安。坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术， 强化平安监测、态势感知、通报预警和应急处置等重点工作，落实网络 平安保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深 防御、精准防护、整体防控、联防联控”的“三化六防”措施。坚持“管业务就要管平安”“谁主管谁负责、谁运营谁负责、谁使用 谁负责”的原那么，落实网络平安责任制，明确各方责任。第三条本方法所称的网络是指由计算机或者其他信息终端及相关设 备组成的按照一定的规那么和程序对信息进行收集、存储、传输、交换、 处理的系统。本方法所称的数据为网络数据，是指医疗卫生机构通过网络收集、存 储、传输、处理和产生的各种电子数据，包括但不限于各类临床、科研、 管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。本方法适用于医疗卫生机构运营网络的平安管理。未纳入区域基层卫 生信息系统的基层医疗卫生机构参照执行。第四条 国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、 指导、评估、监督医疗卫生机构网络平安工作。县级以上地方卫生健康 行政部门（含中医药和疾控部门，下同）负责本行政区域内医疗卫生机 构网络平安指导监督工作。医疗卫生机构对本单位网络平安管理负主体责任，各医疗卫生机构应 当与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的 网络平安义务和违约责任。第二章网络平安管理第五条各医疗卫生机构应成立网络平安和信息化工作领导小组，由 单位主要负责人任领导小组组长，每年至少召开一次网络平安办公会， 部署平安重点工作，落实关键信息基础设施平安保护条例和网络安 全等级保护制度要求。有二级及以上网络的医疗卫生机构应明确负责网 络平安管理工作的职能部门，明确承当平安主管、平安管理员等职责的 岗位；建立网络平安管理制度体系，加强网络平安防护，强化应急处置, 在此基础上对关键信息基础设施实行重点保护，防止网络平安事件发生。第六条 各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使 用谁负责”的原那么，在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责，对本单位运营范围内的 网络进行等级保护定级、备案、测评、平安建设整改等工作。（一）对新建网络，应在规划和申报阶段确定网络平安保护等级。各 医疗卫生机构应全面梳理本单位各类网络，特别是云计算、物联网、区 块链、5G、大数据等新技术应用的基本情况，并根据网络的功能、服务 范围、服务对象和处理数据等情况，依据相关标准科学确定网络的平安 保护等级，并报上级主管部门审核同意。（二）新建网络投入使用应依法依规开展等级保护备案工作。第二级 以上网络应在网络平安保护等级确定后10个工作日内，由其运营者向公 安机关备案，并将备案情况报上级卫生健康行政部门，因网络撤销或变 更平安保护等级的，应在10个工作日内向原备案公安机关撤销或变更， 同步上报上级卫生健康行政部门。（三）全面梳理分析网络平安保护需求，按照“一个中心（平安管理 中心），三重防护（平安通信网络、平安区域边界、平安计算环境）” 的要求，制定符合网络平安保护等级要求的整体规划和建设方案，加强 信息系统自行开发或外包开发过程中的平安管理，认真开展网络平安建 设，全面落实平安保护措施。（四）各医疗卫生机构对已定级备案网络的平安性进行检测评估，第 三级或第四级的网络应委托等级保护测评机构，每年至少一次开展网络 平安等级测评。第二级的网络应委托等级保护测评机构定期开展网络安 全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络平安等级测评，其他的网络至少五年开展一次网络平安等级测评。 新建的网络上线运行前应进行平安性测试。（五）针对等级测评中发现的问题隐患，各医疗卫生机构要结合外在 的威胁风险，按照法律法规、政策和标准要求，制定网络平安整改方案, 有针对性地开展整改，及时消除风险隐患，补强管理和技术短板，提升 平安防护能力。第七条各医疗卫生机构应依托国家网络平安信息通报机制，加强本 单位网络平安通报预警力量建设。鼓励三级医院探索态势感知平台建设, 及时收集、汇总、分析各方网络平安信息，加强威胁情报工作，组织开 展网络平安威胁分析和态势研判，及时通报预警和处置，防止网络被破 坏、数据外泄等事件。第八条各医疗卫生机构应建立应急处置机制，通过建立完善应急预 案、组织应急演练等方式，有效处理网络中断、网络攻击、数据泄露等 平安事件，提高应对网络平安事件能力。积极参加网络平安攻防演练， 提升保护和对抗能力。第九条各医疗卫生机构在网络运营过程中，应每年开展文档核验、 漏洞扫描、渗透测试等多种形式的平安自查，及时发现可能存在的问题 和隐患。针对平安自查、监测预警、平安通报等过程中发现的平安隐患 应认真开展整改加固，防止网络带病运行，并按要求将平安自查整改情 况报上级卫生健康行政部门。自查整改可与等级测评问题整改一并实施。每年平安自查整改工作包括:（一）依据上级主管监管机构要求，各医疗卫生机构完成信息资产梳理，摸清本单位网络定级、备案等情况，形成资产清单，组织平安自查。（二）依据上级主管监管机构要求，各医疗卫生机构依据平安自查结 果，对发现的问题和隐患进行整改，形成整改报告向有关主管监管机构 报备。第十条关键信息基础设施运营者应对平安管理机构负责人和关键岗 位人员进行平安背景审查。各医疗卫生机构要加强网络运营相关人员管 理，包括本单位内部人员及第三方人员，明确内部人员入职、培训、考 核、离岗全流程平安管理，针对第三方应明确人员接触网络时的申请及 批准流程，做好实名登记、人员背景审查、保密协议签署等工作，防止 因人员资质及违规操作引发的平安风险。第十一条加强网络运维管理，制定运维操作规范和工作流程。加强 物理平安防护，完善机房、办公环境及运维现场等平安控制措施，防止 非授权访问物理环境造成信息泄露。加强远程运维管理，因业务确需通 过互联网远程运维的，应进行评估论证，并采取相应的平安管控措施， 防止远程端口暴露引发平安事件。第十二条各医疗卫生机构应加强业务连续性管理并持续监测网络运 行状态。对于第三级及以上的网络应加强保障关键链路、关键设备冗余 备份，有条件的医疗卫生机构应建立应用级容灾备份，防止关键业务中 断。第十三条 应用大数据、人工智能、区块链等新技术开展服务时，上 线前应评估新技术的平安风险并进行平安管控，到达应用与平安的平衡。