落实卫生健康行业网络信息与数据安全.doc

落实卫生健康行业网络信息与数据安全责任为深入贯彻落实XX局XX的通知(XX号)要求，进一步明确网络信息与数据安全责任，增强安全意识，防范网络信息与数据安全事件发生，推进全民健康信息化建设，现将有关事项通知如下。一、明确职责分工和主体责任根据有关法律法规和规章制度要求，按照谁主管谁负责、属地管理的原则，明确相关各方职责，分工合作，共同做好网络信息与数据安全工作具体职责如下：(一)XX网络安全和信息化领导小组(简称“领导小组”)领导局机关各股室，区属各医疗卫生单位的网络信息与数据安全工作。(二)XX网络安全和信息化领导小组办公室。是领导小组的日常办事机构，负责贯彻落实领导小组决议事项，制定实施全区卫生健康行业网络信息与数据安全发展规划，制定相关规章制度和标准规范;统筹推进全民健康网络等级保护制度、网络信息与数据安全体系建设要求，加固网络脆弱点，提高网络的可靠性、安全性，快速收集网络安全漏洞，及时处理网络安全风险，开展信息系统定级备案，定期开展等级测评和风险评估，选取符合资质要求的技术支撑机构、服务团队和健康医疗服务企业，保障日常业务安全稳定运行。3.履行业务和信息系统的安全保障义务，开展信息系统安全运维，监控关键节点网络设备的运行状态、告警状态，定期开展安全检查，对存在的漏洞、隐患等及时进行整改，杜绝网络信息与数据安全事件发生。4.建立本单位网络信息与数据安全应急体系，完善应急预案，组建应急队伍、开展应急演练。发生网络信息与数据安全事件时，依照预案进行事件处置并将相关情况报xx局。5.关键信息基础设施运营单位应当建立24小时值班制度，其他单位应当根据要求建立24小时值班制度。6.接受上级业务主管、网络安全监管部门的审查和监管，及时向xx局和相关监管部门报告网络信息与数据安全等情况。7.履行相关法律法规规定的其他责任，组织本单位工作人员开展网络信息与数据安全教育培训，落实上级相关管理部门的工作部署，保障必要经费投入。xx局下属各安全和信息化发展建设工作部署，检查各有关单位网络信息与数据安全工作落实情况，做好培训和宣传等工作。（三）xx局各股室。负责主管业务领域的信息系统安全管理，做好相关业务网络信息与数据安全事件的处置，推进相关保障体系建设，指导和监督业务支撑单位、相关信息系统建设与运维单位的安全建设和管理。(四)区属医疗卫生各单位。负责本业务领域和单位内部业务信息系统的安全管理，配合xx局相关科室做好业务信息系统网络安全工作。(五)各级各类医疗卫生机构。依照法律法规的规定和相关标准，履行网络信息与数据安全保护义务，采取管理和技术措施，对职责范围内的网络信息与数据安全承担主体责任。主要包括：1.明确本单位负责网络信息与数据安全工作的职能部门，建立本单位网络信息与数据安全管理制度和操作规程，明确业务信息系统、互联网服务、应用平台建设和运维管理等过程中网络信息与数据安全责任。开展“互联网+医疗服务”的医疗卫生机构，要更加重视并保障互联网医疗服务的网络信息与数据安全。2.按照网络安全法、关键信息基础设施、网络信息安全单位要在以上七个方面发挥带头作用，在网络信息与数据安全方面接受xx局的监管。(六)相关企业。按照法律法规要求，合法合规收集、使用和转移健康医疗数据，履行网络信息与数据安全保护义务，接受政府和社会的监督，承担社会责任。二、建立健全网络信息与数据安全工作领导责任制各级各类医疗卫生机构及相关单位主要负责人是本单位网络信息与数据安全第一责任人，分管网络安全的负责人是直接责任人。要建立“主要负责人负总责，分管负责人牵头抓”的领导责任制。(一)主要负责人是网络信息与数据安全的第一责任人。具体职责包括：认真贯彻相关法律法规、中、省、市有关决策，执行领导小组关于网络信息与数据安全的具体部署;定期召开网络信息与数据安全工作会议，研究解决网络信息与数据安全重要事项;强化网络信息与数据安全意识，督促所属单位、部门和业务支撑单位落实网络信息与数据安全责任制。(二)分管网络安全的责任人是网络信息与数据安全的直接责任人。具体职责包括：组织制定贯彻落实相关法律法规、中、省、市、区有关决策、领导小组关于网络信息与数据安全决策部署的具体措施;组织实施网络安全检查、巡查、考核等工作，协调解决工作中的重点难点问题。三、落实网络信息与数据安全相关方责任各级卫生健康行政部门和各级各类医疗卫生机构要按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，落实网络信息与数据安全责任制，明确各方责任。(一)落实网络信息与数据运营单位的主体责任。网络信息与数据安全运营单位应按照有关法律法规等要求和相关安全标准，建立网络信息与数据安全管理责任和考核评价制度;在网络边界部署安全防护设备，具备访问控制、入侵防御、病毒防御、应用识别、上网行为管理、负载均衡等功能，保证从本单位出去的数据安全可控，不横向纵向传播病毒;开展安全风险评估;监控本单位网络边界出口安全设备的运行状态、网络攻击、人员业务访问情况;出现重大安全事件时能够有效隔离报警区域;制定应急预案，及时处置安全事件，组织安全教育、培训，保障网络信息与数据安全。(二)落实网络信息与数据运维单位的责任。网络信息与数据运维单位指负责单位信息系统日常运行维护、技术维护和安全技术保障的单位，负有以下责任：按照网络信息与数据安全管理要求开展日常运维;配合开展网络安全等级保护定级、测评等工作，保护网络信息与数据系统安全与业务连续性;配合做好网络安全事件的应急报告，处置和整改工作;监控网络边界设备的运行状态、告警信息，及时将告警信息反馈上级部门;对安全设备配置、版本升级导致设备故2.发生重要敏感数据泄露的;3.关键信息基础设施安全保护不到位的;4.瞒报网络安全事件，对发现的问题和风险隐患不及时整改的;5.没有按要求部署网络边界安全设备，导致受到病毒攻击，在整网中横向纵向传播;6.发生其他严重危害网络安全行为的。(二)责任区分。实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，领导班子主要负责人和分管网络安全的领导班子成员承担主要领导责任，领导班子其他成员承担其分管业务领域重要领导责任。其他部门工作人员应当根据工作职责承担相应的责任。各县xx局、各单位要按照本通知要求，落实网络信息与数据安全责任制，逐级明确职责，做到分工明确、责任到人。不得通过委托工作等方式转移、转嫁主体责任。各单位强化行政区域内卫生健康行业网络信息与数据安全责任制落实。(三)落实网络信息与数据使用方的责任。网络信息与数据的所有使用单位或个人为使用方，负有以下责任：依法用网，按要求操作和使用;制定有效的安全管理措施，确保数据可管、可控、可追溯，确保数据的保密性、完整性和可用性，切实保护个人数据隐私;对发布、转载和链接的数据与信息的准确性和合规性负责，禁止故意制作、传播计算机病毒等破坏性程序;防止因操作引起的破坏、盗用信息资源和危害网络安全的活动，避免使用不当造成数据损毁、丢失和泄露;设置合规口令，杜绝弱口令，严禁私自转借用户账号;承担法律法规要求的其他相关责任。四、严格执行网络与信息安全责任追究制。xx局和各级各类医疗卫生机构有关人员违反或未能正确履行网络信息与数据安全职责，按照有关规定：(一)严肃问责。对出现的网络安全问题要落实追责问责。存在下列情形之一的，各主体责任单位应当逐级倒查，追究当事人，网络信息与数据安全负责人直至主要负责人责任协调监管不力的，还应当追究综合协调或监管部门负责人责任。