医疗卫生机构网络安全管理办法、网络安全审查办法、互联网信息服务算法推荐管理规定.docx

医疗卫生机构网络安全管理方法第一章总那么第一条为加强医疗卫生机构网络安全管理，进一步促进 “互联网+医疗健康”开展，充分发挥健康医疗大数据作为 国家重要基础性战略资源的作用，加强医疗卫生机构网络安 全管理，防范网络安全事件发生，根据基本医疗卫生与健 康促进法网络安全法密码法数据安全法个 人信息保护法关键信息基础设施安全保护条例网络 安全审查方法以及网络安全等级保护制度等有关法律法规 标准，制定本方法。第二条 坚持网络安全为人民、网络安全靠人民，坚持网 络安全教育、技术、产业融合开展，坚持促进开展和依法管 理相统一，坚持安全可控和开放创新并重。坚持分等级保护、突出重点。重点保障关键信息基础设施、 网络安全等级保护第三级（以下简称第三级）及以上网络以 及重要数据和个人信息安全。坚持积极防御、综合防护。充分利用人工智能、大数据分 析等技术，强化安全监测、态势感知、通报预警和应急处置 等重点工作，落实网络安全保护“实战化、体系化、常态化” 定的保存期限。加强存储过程中访问控制安全、数据副本安 全、数据归档安全管控。（四）各医疗卫生机构应严格规定不同人员的权限，加强 数据使用过程中的申请及批准流程管理，确保数据在可控范 围内使用，加强日志留存及管理工作，杜绝篡改、删除日志 的现象发生，防止数据越权使用。各数据使用部门和数据使 用人须严格按照申请所述用途与范围使用数据，对数据的安 全负责。未经批准，任何部门和个人不得将未对外公开的信 息数据传递至部门外，不得以任何方式将其泄露。（五）各医疗卫生机构发布、共享数据时应当评估可能带 来的安全风险，并采取必要的安全防控措施；涉及数据上报 时，应由数据上报提出方负责解读上报要求，确定上报范围 和上报规那么，确保数据上报安全可控。（六）各医疗卫生机构开展人脸识别或人脸辨识时，应同 时提供非人脸识别的身份识别方式，不得因数据主体不同意 收集人脸识别数据而拒绝数据主体使用其基本业务功能，人 脸识别数据不得用于除身份识别之外的其他目的，包括但不 限于评估或预测数据主体工作表现、经济状况、健康状况、 偏好、兴趣等。各医疗卫生机构应采取安全措施存储和传输 人脸识别数据，包括但不限于加密存储和传输人脸识别数据, 采用物理或逻辑隔离方式分别存储人脸识别和个人身份信 息等。（七）数据销毁时应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。第四章监督管理第二十三条 各医疗卫生机构应积极配合有关主管监管 机构监督管理，接受网络安全管理日常检查，做好网络安全 防护等工作。第二十四条各医疗卫生机构应及时整改有关主管监管 机构检查过程中发现的漏洞和隐患等问题，杜绝重大网络安 全事件发生。第二十五条 发生个人信息和数据泄露、毁损、丧失等安 全事件和网络系统遭攻击、入侵、控制等网络安全事件，或 者发现网络存在漏洞隐患、网络安全风险明显增大时，各医 疗卫生机构应当立即启动应急预案，采取必要的补救和处置 措施，及时以 、短信、邮件或信函等多种方式告知相关 主体，并按照要求向有关主管监管部门报告。第二十六条 各级卫生健康行政部门应建立网络安全事 件通报工作机制，及时通报网络安全事件。第二十七条发生网络安全事件时，各医疗卫生机构应及 时向卫生健康行政部门、公安机关报告，做好现场保护、留存相关记录，为公安机关等监管部门依法维护国家安全和开 展侦查调查等活动提供技术支持和协助。第五章管理保障第二十八条 各医疗卫生机构应高度重视网络安全管理 工作，将其列入重要议事日程，加强统筹领导和规划设计, 依法依规落实人员、经费投入、安全保护措施建设等重大问 题，保证信息系统建设时安全保护措施同步规划、同步建设 和同步使用。第二十九条各医疗卫生机构应加强网络安全业务交流, 严格执行网络安全继续教育制度，鼓励管理岗位和技术岗位 持证上岗。通过组织开展学术交流及比武竞赛的方式，发现 选拔网络安全人才，建立人才库，建立健全人才发现、培养、 选拔和使用机制，为做好网络安全工作提供人才保障。第三十条各医疗卫生机构应保障开展网络安全等级测 评、风险评估、攻防演练竞赛、安全建设整改、安全保护平 台建设、密码保障系统建设、运维、教育培训等经费投入。 新建信息化工程的网络安全预算不低于工程总预算的5%。第三十一条各医疗卫生机构应进一步完善网络安全考 核评价制度，明确考核指标，组织开展考核。鼓励有条件的 医疗卫生机构将考核与绩效挂钩。第六章附那么第三十二条违反本方法规定，发生个人信息和数据泄露, 或者出现重大网络安全事件的，按网络安全法密码法 基本医疗卫生与健康促进法数据安全法个人信息 保护法关键信息基础设施安全保护条例以及网络安全 等级保护制度等法律法规处理。第三十三条 涉及国家秘密的网络，按照国家有关规定执 行。第三十四条 本方法自印发之日起实施。网络安全审查方法第一条为了确保关键信息基础设施供应链安全，保障网络安全和 数据安全，维护国家安全，根据中华人民共和国国家安全法、中 华人民共和国网络安全法、中华人民共和国数据安全法、关 键信息基础设施安全保护条例，制定本方法。第二条 关键信息基础设施运营者采购网络产品和服务，网络平台 运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照 本方法进行网络安全审查。前款规定的关键信息基础设施运营者、网络平台运营者统称为当 事人。第三条网络安全审查坚持防范网络安全风险与促进先进技术应 用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监 管相结合、企业承诺与社会监督相结合，从产品和服务以及数据处理 活动安全性、可能带来的国家安全风险等方面进行审查。第四条在中央网络安全和信息化委员会领导下，国家互联网信息 办公室会同中华人民共和国国家开展和改革委员会、中华人民共和国 工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全 部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、 国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员 会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络 安全审查相关制度规范，组织网络安全审查。第五条 关键信息基础设施运营者采购网络产品和服务的，应当预 判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能 影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预 判指南。第六条对于申报网络安全审查的采购活动，关键信息基础设施运 营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全 审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、 非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技 术支持服务等。第七条 掌握超过100万用户个人信息的网络平台运营者赴国外 上市，必须向网络安全审查办公室申报网络安全审查。第八条当事人申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或者可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募 股（IP0）等上市申请文件；（四）网络安全审查工作需要的其他材料。第九条网络安全审查办公室应当自收到符合本方法第八条规定 的审查申报材料起10个工作日内，确定是否需要审查并书面通知当 事人。第十条网络安全审查重点评估相关对象或者情形的以下国家安 全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、 遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危 害；（三）产品和服务的安全性、开放性、透明性、来源的多样性， 供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的 风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情 况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;（六）上市存在关键信息基础设施、核心数据、重要数据或者大 量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息 安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安 全的因素。第十一条网络安全审查办公室认为需要开展网络安全审查的，应 当自向当事人发出书面通知之日起30个工作日内完成初步审查，包 括形成审查结论建议和将审查结论建议发送网络安全审查工作机制 成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。第十二条网络安全审查工作机制成员单位和相关部门应当自收 到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的，网络安 全审查办公室以书面形式将审查结论通知当事人；意见不一致的，按 照特别审查程序处理，并通知当事人。第十三条按照特别审查程序处理的，网络安全审查办公室应当听 取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议， 并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中 央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。第十四条 特别审查程序一般应当在90个工作日内完成，情况复 杂的可以延长。第十五条网络安全审查办公室要求提供补充材料的，当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十六条网络安全审查工作机制成员单位认为影响或者可能影 响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办 公室按程序报中央网络安全和信息化委员会批准后，依照本方法的规 定进行审查。为了防范风险，当事人应当在审查期间按照网络安全审查要求采 取预防和消减风险的措施。第十七条参与网络安全审查的相关机构和人员应当严格保护知 识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品 和服务提供者提交的未公开材料，以及其他未公开信息承当保密义务; 未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。第十八条当事人或者网络产品和服务提供者认为审查人员有失 客观公正，或者未能对审查工作中知悉的信息承当保密义务的，可以 向网络安全审查办公室或者有关部门举报。第十九条当事人应当催促产品和服务提供者履行网络安全审查 中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。第二十条 当事人违反本方法规定的，依照中华人民共和国网络 安全法、中华人民共和国数据安全法的规定处理。第二十一条本方法所称网络产品和服务主要指核心网络设备、重 要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库 和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础 设施安全、网络安全和数据安全有重要影响的网络产品和服务。第二十二条 涉及国家秘密信息的，依照国家有关保密规定执行。国家对数据安全审查、外商投资安全审查另有规定的，应当同时 符合其规定。第二十三条 本方法自2022年2月15日起施行。2020年4月13 日公布的网络安全审查方法（国家互联网信息办公室、国家开展 和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商 务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、 国家保密局、国家密码管理局令第6号）同时废止。和“动态防御、主动防御、纵深防御、精准防护、整体防控、 联防联控”的“三化六防”措施。坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负 责、谁使用谁负责”的原那么，落实网络安全责任制，明确各 方责任。第三条 本方法所称的网络是指由计算机或者其他信息 终端及相关设备组成的按照一定的规那么和程序对信息进行 收集、存储、传输、交换、处理的系统。本方法所称的数据为网络数据，是指医疗卫生机构通过网 络收集、存储、传输、处理和产生的各种电子数据，包括但 不限于各类临床、科研、管理等业务数据、医疗设备产生的 数据、个人信息以及数据衍生物。本方法适用于医疗卫生机构运营网络的安全管理。未纳入 区域基层卫生信息系统的基层医疗卫生机构参照执行。第四条 国家卫生健康委、国家中医药局、国家疾控局负 责统筹规划、指导、评估、监督医疗卫生机构网络安全工作。 县级以上地方卫生健康行政部门（含中医药和疾控部门，下 同）负责本行政区域内医疗卫生机构网络安全指导监督工作。医疗卫生机构对本单位网络安全管理负主体责任，各医疗 卫生机构应当与信息化建设参与单位及相关医疗设备生产 经营企业书面约定各方的网络安全义务和违约责任。公共互联网网络安全威胁监测与处置方法第一条为加强和规范公共互联网网络安全威胁监测与处置工作, 消除安全隐患，制止攻击行为，防止危害发生，降低安全风险，维护 网络秩序和公共利益，保护公民、法人和其他组织的合法权益，根据 中华人民共和国网络安全法、全国人民代表大会常务委员会关 于加强网络信息保护的决定、中华人民共和国电信条例等有关 法律法规和工业和信息化部职责，制定本方法。第二条本方法所称公共互联网网络安全威胁是指公共互联网上 存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、 安全隐患或安全事件，包括：（一）被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、 恶意电子信息，包括木马和僵尸网络控制端，钓鱼网站，钓鱼电子邮 件、短信/彩信、即时通信等；（二）被用于实施网络攻击的恶意程序，包括木马、病毒、僵尸 程序、移动恶意程序等；（三）网络服务和产品中存在的安全隐患，包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;（四）网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等；（五）其他威胁网络安全或存在安全隐患的情形。第三条工业和信息化部负责组织开展全国公共互联网网络安全 威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开 展本行政区域内公共互联网网络安全威胁监测与处置工作。工业和信 息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、 有效处置的原那么。第五条 相关专业机构、基础电信企业、网络安全企业、互联网 企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置 工作，明确责任部门、责任人和联系人，加强相关技术手段建设，不 断提高网络安全威胁监测与处置的及时性、准确性和有效性。第六条 相关专业机构、基础电信企业、网络安全企业、互联网 企业、域名注册管理和服务机构等监测发现网络安全威胁后，属于本 单位自身问题的，应当立即进行处置，涉及其他主体的，应当及时将 有关信息按照规定的内容要素和格式提交至工业和信息化部和相关 省、自治区、直辖市通信管理局。工业和信息化部建立网络安全威胁信息共享平台，统一汇集、存 储、分析、通报、发布网络安全威胁信息；制定相关接口规范，与相 关单位网络安全监测平台实现对接。国家计算机网络应急技术处理协 调中心负责平台建设和运行维护工作。第七条电信主管部门委托国家计算机网络应急技术处理协调中 心、中国信息通信研究院等专业机构对相关单位提交的网络安全威胁 信息进行认定，并提出处置建议。认定工作应当坚持科学严谨、公平 公正、及时高效的原那么。电信主管部门对参与认定工作的专业机构和 人员加强管理与培训。第八条电信主管部门对专业机构的认定和处置意见进行审查后, 可以对网络安全威胁采取以下一项或多项处置措施：（一）通知基础电信企业、互联网企业、域名注册管理和服务机 构等，由其对恶意IP地址（或宽带接入账号）、恶意域名、恶意URL、 恶意电子邮件账号或恶意手机号码等，采取停止服务或屏蔽等措施。（二）通知网络服务提供者，由其清除本单位网络、系统或网站 中存在的可能传播扩散的恶意程序。（三）通知存在漏洞、后门或已经被非法入侵、控制、篡改的网络服务和产品的提供者，由其采取整改措施，消除安全隐患；对涉及 党政机关和关键信息基础设施的，同时通报其上级主管单位和网信部 门。（四）其他可以消除、制止或控制网络安全威胁的技术措施。电信主管部门的处置通知应当通过书面或可验证来源的电子方式 等形式送达相关单位，紧急情况下，可先 通知，后补书面通知。第九条 基础电信企业、互联网企业、域名注册管理和服务机构 等应当为电信主管部门依法查询IP地址归属、域名注册等信息提供 技术支持和协助，并按照电信主管部门的通知和时限要求采取相应处 置措施，反应处置结果。负责网络安全威胁认定的专业机构应当对相 关处置情况进行验证。第十条 相关组织或个人对按照本方法第八条第（一）款采取的 处置措施不服的，有权在10个工作日内向做出处置决定的电信主管 部门进行申诉。相关电信主管部门接到申诉后应当及时组织核查，并 在30个工作日内予以答复。第十一条鼓励相关单位以行业自律或技术合作、技术服务等形 式开展网络安全威胁监测与处置工作，并对处置行为负责，监测与处 置结果应当及时报送电信主管部门。第十二条基础电信企业、互联网企业、域名注册管理和服务机 构等未按照电信主管部门通知要求采取网络安全威胁处置措施的，由 电信主管部门依据中华人民共和国网络安全法第五十六条、第五 十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等 行政处分。第十三条 造成或可能造成严重社会危害或影响的公共互联网网 络安全突发事件的监测与处置工作，按照国家和电信主管部门有关应 急预案执行。第十四条各省、自治区、直辖市通信管理局可参照本方法制定 本行政区域网络安全威胁监测与处置方法实施细那么。第十五条 本方法自2018年1月1日起实施。2009年4月13日 印发的木马和僵尸网络监测与处置机制和2011年12月9日印发 的移动互联网恶意程序监测与处置机制同时废止。第二章网络安全管理第五条各医疗卫生机构应成立网络安全和信息化工作 领导小组，由单位主要负责人任领导小组组长，每年至少召 开一次网络安全办公会，部署安全重点工作，落实关键信 息基础设施安全保护条例和网络安全等级保护制度要求。 有二级及以上网络的医疗卫生机构应明确负责网络安全管 理工作的职能部门，明确承当安全主管、安全管理员等职责 的岗位；建立网络安全管理制度体系，加强网络安全防护, 强化应急处置，在此基础上对关键信息基础设施实行重点保 护，防止网络安全事件发生。第六条各医疗卫生机构按照“谁主管谁负责、谁运营谁 负责、谁使用谁负责”的原那么，在网络建设过程中明确本单 位各网络的主管部门、运营部门、信息化部门、使用部门等 管理职责，对本单位运营范围内的网络进行等级保护定级、 备案、测评、安全建设整改等工作。（一）对新建网络，应在规划和申报阶段确定网络安全保 护等级。各医疗卫生机构应全面梳理本单位各类网络，特别 是云计算、物联网、区块链、5G、大数据等新技术应用的基 本情况，并根据网络的功能、服务范围、服务对象和处理数 据等情况，依据相关标准科学确定网络的安全保护等级，并 报上级主管部门审核同意。（二）新建网络投入使用应依法依规开展等级保护备案工 作。第二级以上网络应在网络安全保护等级确定后10个工 作日内，由其运营者向公安机关备案，并将备案情况报上级 卫生健康行政部门，因网络撤销或变更安全保护等级的，应 在10个工作日内向原备案公安机关撤销或变更，同步上报 上级卫生健康行政部门。（三）全面梳理分析网络安全保护需求，按照“一个中心 （安全管理中心），三重防护（安全通信网络、安全区域边 界、安全计算环境）”的要求，制定符合网络安全保护等级 要求的整体规划和建设方案，加强信息系统自行开发或外包 开发过程中的安全管理，认真开展网络安全建设，全面落实 安全保护措施。（四）各医疗卫生机构对已定级备案网络的安全性进行检 测评估，第三级或第四级的网络应委托等级保护测评机构, 每年至少一次开展网络安全等级测评。第二级的网络应委托 等级保护测评机构定期开展网络安全等级测评，其中涉及10 万人以上个人信息的网络应至少三年开展一次网络安全等 级测评，其他的网络至少五年开展一次网络安全等级测评。 新建的网络上线运行前应进行安全性测试。（五）针对等级测评中发现的问题隐患，各医疗卫生机构 要结合外在的威胁风险，按照法律法规、政策和标准要求, 制定网络安全整改方案，有针对性地开展整改，及时消除风 险隐患，补强管理和技术短板，提升安全防护能力。第七条 各医疗卫生机构应依托国家网络安全信息通报 机制，加强本单位网络安全通报预警力量建设。鼓励三级医 院探索态势感知平台建设，及时收集、汇总、分析各方网络 安全信息，加强威胁情报工作，组织开展网络安全威胁分析 和态势研判，及时通报预警和处置，防止网络被破坏、数据 外泄等事件。第八条各医疗卫生机构应建立应急处置机制，通过建立 完善应急预案、组织应急演练等方式，有效处理网络中断、 网络攻击、数据泄露等安全事件，提高应对网络安全事件能 力。积极参加网络安全攻防演练，提升保护和对抗能力。第九条 各医疗卫生机构在网络运营过程中，应每年开展 文档核验、漏洞扫描、渗透测试等多种形式的安全自查，及 时发现可能存在的问题和隐患。针对安全自查、监测预警、 安全通报等过程中发现的安全隐患应认真开展整改加固，防 止网络带病运行，并按要求将安全自查整改情况报上级卫生 健康行政部门。自查整改可与等级测评问题整改一并实施。每年安全自查整改工作包括：（一）依据上级主管监管机构要求，各医疗卫生机构完成 信息资产梳理，摸清本单位网络定级、备案等情况，形成资 产清单，组织安全自查。（二）依据上级主管监管机构要求，各医疗卫生机构依据 安全自查结果，对发现的问题和隐患进行整改，形成整改报 告向有关主管监管机构报备。第十条关键信息基础设施运营者应对安全管理机构负 责人和关键岗位人员进行安全背景审查。各医疗卫生机构要 加强网络运营相关人员管理，包括本单位内部人员及第三方 人员，明确内部人员入职、培训I、考核、离岗全流程安全管 理，针对第三方应明确人员接触网络时的申请及批准流程, 做好实名登记、人员背景审查、保密协议签署等工作，防止 因人员资质及违规操作引发的安全风险。第十一条加强网络运维管理，制定运维操作规范和工作 流程。加强物理安全防护，完善机房、办公环境及运维现场 等安全控制措施，防止非授权访问物理环境造成信息泄露。 加强远程运维管理，因业务确需通过互联网远程运维的，应 进行评估论证，并采取相应的安全管控措施，防止远程端口 暴露引发安全事件。第十二条各医疗卫生机构应加强业务连续性管理并持 续监测网络运行状态。对于第三级及以上的网络应加强保障 关键链路、关键设备冗余备份，有条件的医疗卫生机构应建 立应用级容灾备份，防止关键业务中断。第十三条 应用大数据、人工智能、区块链等新技术开展 服务时，上线前应评估新技术的安全风险并进行安全管控， 到达应用与安全的平衡。第十四条各医疗卫生机构应规范和加强医疗设备数据、 个人信息保护和网络安全管理，建立健全医疗设备招标采购、 安装调试、运行使用、维护维修、报废处置等相关网络安全 管理制度，定期检查或评估医疗设备网络安全，并采取相应 的安全管控措施，确保医疗设备网络安全。第十五条 各医疗卫生机构应按照密码法等有关法律 法规和密码应用相关标准规范，在网络建设过程中同步规划、 同步建设、同步运行密码保护措施，使用符合相关要求的密 码产品和服务。第十六条 各医疗卫生机构应关注整个网络全链条参与 者的安全管理，涉及非本单位的第三方时，应对设计、建设、 运行、维护等服务实施安全管理，采购安全的网络产品和服 务，防止发生第三方安全事件。第十七条各医疗卫生机构应加强废止网络的安全管理， 对废止网络的相关设备进行风险评估，及时对其采取封存或 销毁措施，确保废止网络中的数据处置安全，防止网络数据 泄露。第三章数据安全管理第十八条各医疗卫生机构应按照有关法律法规的规定, 参照国家网络安全标准，履行数据安全保护义务，坚持保障 数据安全与开展并重，通过管理和技术手段保障数据安全和 数据应用的有效平衡。关键信息基础设施运营者应拟定关键 信息基础设施安全保护计划，建立健全数据安全和个人信息 保护制度。第十九条应建立数据安全管理组织架构，明确业务部门 与管理部门在数据安全活动中的主体责任，通过安全责任书 等方式，规范本单位数据管理部门、业务部门、信息化部门 在数据安全管理全生命周期当中的权责，建立数据安全工作 责任制，落实追责追究制度。第二十条各医疗卫生机构应每年对数据资产进行全面 梳理，在落实网络安全等级保护制度的基础上，依据数据的 重要程度以及遭到破坏后的危害程度建立本单位数据分类 分级标准。数据分类分级应遵循合法合规原那么、可执行原那么、 时效性原那么、自主性原那么、差异性原那么及客观性原那么。第二十一条各医疗卫生机构应建立健全数据安全管理 制度、操作规程及技术规范，涉及的管理制度每年至少修订 一次，建议相关人员每年度签署保密协议。每年对本单位的 数据进行数据安全风险评估，及时掌握数据安全状态。加强 数据安全教育培训，组织安全意识教育和数据安全管理制度 宣传培训。结合本单位实际，建立完善数据使用申请及批准 流程，遵循“谁主管、谁审查”、遵循事前申请及批准、事 中监管、事后审核原那么，严格执行业务管理部门同意、医疗 卫生机构领导核准的工作程序，指导数据活动流程合规。第二十二条 各医疗卫生机构应加强数据收集、存储、传 输、处理、使用、交换、销毁全生命周期安全管理工作，数 据全生命周期活动应在境内开展，因业务确需向境外提供的, 应当按照相关法律法规及有关要求进行安全评估或审核，针 对影响或者可能影响国家安全的数据处理活动需提交国家 安全审查，防止数据安全事件发生。（一）各医疗卫生机构应加强数据收集合法性管理，明确 业务部门和管理部门在数据收集合法性中的主体责任。采取 数据脱敏、数据加密、链路加密等防控措施，防止数据收集 过程中数据被泄露。（二）在数据分类分级的基础上，进一步明确不同安全级 别数据的加密传输要求。加强传输过程中的接口安全控制， 确保在通过接口传输时的安全性，防止数据被窃取。（三）各医疗卫生机构应按照有关法规标准，选择合适的 数据存储架构和介质在境内存储，并采取备份、加密等措施 加强数据的存储安全。涉及到云上存储数据时，应当评估可 能带来的安全风险。数据存储周期不应超出数据使用规那么确