IT之家8 月 29 日消息,今日���,國(guó)家衛(wèi)生健康委����、國(guó)家中醫(yī)藥局����、國(guó)家疾控局印發(fā)《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(以下簡(jiǎn)稱(chēng)《辦法》)����。
《辦法》提出,對(duì)新建網(wǎng)絡(luò)����,應(yīng)在規(guī)劃和申報(bào)階段確定網(wǎng)絡(luò)安全保護(hù)等級(jí)。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)全面梳理本單位各類(lèi)網(wǎng)絡(luò)�����,特別是云計(jì)算�、物聯(lián)網(wǎng)�����、區(qū)塊鏈�����、5G����、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況����,并根據(jù)網(wǎng)絡(luò)的功能、服務(wù)范圍�����、服務(wù)對(duì)象和處理數(shù)據(jù)等情況���,依據(jù)相關(guān)標(biāo)準(zhǔn)科學(xué)確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)�����,并報(bào)上級(jí)主管部門(mén)審核同意����。
此外,各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集�����、存儲(chǔ)����、傳輸、處理����、使用、交換�����、銷(xiāo)毀全生命周期安全管理工作�����,數(shù)據(jù)全生命周期活動(dòng)應(yīng)在境內(nèi)開(kāi)展�,因業(yè)務(wù)確需向境外提供的�,應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估或?qū)徍?,針?duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)需提交國(guó)家安全審查�����,防止數(shù)據(jù)安全事件發(fā)生����。
IT之家了解到,醫(yī)療健康數(shù)據(jù)廣泛應(yīng)用在日常生活的多種場(chǎng)景中��。比如����,通過(guò)大數(shù)據(jù)高效分析用藥成分、劑量時(shí)間等情況����,尋找合理用藥的最佳組合;通過(guò)大量臨床數(shù)據(jù)進(jìn)行科學(xué)分析找到病因���,并進(jìn)行臨床病因分析和慢病監(jiān)測(cè)�����。
除此之外�,大數(shù)據(jù)還能通過(guò)對(duì)基因序列大量分析,快速篩查和預(yù)測(cè)疾病和潛在基因缺陷的基因組學(xué)分析�����;對(duì)患者進(jìn)行遠(yuǎn)程疾病數(shù)據(jù)采集后�,結(jié)合大量臨床病因數(shù)據(jù)分析,實(shí)現(xiàn)遠(yuǎn)程醫(yī)學(xué)診療�����;通過(guò)智能可穿戴設(shè)備收集數(shù)據(jù)�,實(shí)現(xiàn)人體生命體征檢測(cè),預(yù)警潛在健康風(fēng)險(xiǎn)����,進(jìn)行健康管理;應(yīng)用大數(shù)據(jù)等算法���,制定醫(yī)保支付標(biāo)準(zhǔn)�,并基于此進(jìn)行精準(zhǔn)的醫(yī)保決策分析等等�����。
2020 年 4 月�,世界衛(wèi)生組織發(fā)表聲明稱(chēng),疫情期間遭受網(wǎng)絡(luò)攻擊數(shù)量同比增長(zhǎng) 5 倍���。奇安信集團(tuán)發(fā)布網(wǎng)絡(luò)安全系列報(bào)告指出����,2020 年疫情暴發(fā)后�,醫(yī)療衛(wèi)生行業(yè)史上首次超過(guò)政府、金融�、國(guó)防、能源����、電信等領(lǐng)域,成為全球 APT(黑客以竊取核心資料為目的�,針對(duì)客戶(hù)所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為)活動(dòng)關(guān)注的首要目標(biāo)。全球 23.7% 的 APT 活動(dòng)事件與醫(yī)療衛(wèi)生行業(yè)相關(guān)����。中國(guó)首次超過(guò)美國(guó)、韓國(guó)�����、中東等國(guó)家和地區(qū),成為全球 APT 活動(dòng)的首要地區(qū)性目標(biāo)�����。
原文如下:
關(guān)于印發(fā)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法的通知
各省���、自治區(qū)�����、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)衛(wèi)生健康委���、中醫(yī)藥局,國(guó)家衛(wèi)生健康委機(jī)關(guān)各司局���、委直屬和聯(lián)系單位���、中國(guó)老齡協(xié)會(huì),國(guó)家中醫(yī)藥局�����、國(guó)家疾控局機(jī)關(guān)各司局�、各直屬單位:
為指導(dǎo)醫(yī)療衛(wèi)生機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全管理�����,國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局����、國(guó)家疾控局制定了《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》。現(xiàn)印發(fā)給你們�,請(qǐng)認(rèn)真貫徹執(zhí)行。
國(guó)家衛(wèi)生健康委?國(guó)家中醫(yī)藥局?國(guó)家疾控局
2022 年 8 月 8 日
(信息公開(kāi)形式:主動(dòng)公開(kāi))
醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法
第一章?總則
第一條?為加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理�����,進(jìn)一步促進(jìn)“互聯(lián)網(wǎng) + 醫(yī)療健康”發(fā)展���,充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國(guó)家重要基礎(chǔ)性戰(zhàn)略資源的作用���,加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理,防范網(wǎng)絡(luò)安全事件發(fā)生����,根據(jù)《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等有關(guān)法律法規(guī)標(biāo)準(zhǔn),制定本辦法�。
第二條?堅(jiān)持網(wǎng)絡(luò)安全為人民���、網(wǎng)絡(luò)安全靠人民、堅(jiān)持網(wǎng)絡(luò)安全教育�、技術(shù)、產(chǎn)業(yè)融合發(fā)展�����、堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一����、堅(jiān)持安全可控和開(kāi)放創(chuàng)新并重。
堅(jiān)持分等級(jí)保護(hù)�、突出重點(diǎn)。重點(diǎn)保障關(guān)鍵信息基礎(chǔ)設(shè)施����、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)(以下簡(jiǎn)稱(chēng)第三級(jí))及以上網(wǎng)絡(luò)以及重要數(shù)據(jù)和個(gè)人信息安全。
堅(jiān)持積極防御����、綜合防護(hù)。充分利用人工智能�����、大數(shù)據(jù)分析等技術(shù),強(qiáng)化安全監(jiān)測(cè)����、態(tài)勢(shì)感知��、通報(bào)預(yù)警和應(yīng)急處置等重點(diǎn)工作����,落實(shí)網(wǎng)絡(luò)安全保護(hù)“實(shí)戰(zhàn)化、體系化���、常態(tài)化”和“動(dòng)態(tài)防御�、主動(dòng)防御���、縱深防御����、精準(zhǔn)防護(hù)����、整體防控�����、聯(lián)防聯(lián)控”的“三化六防”措施。
堅(jiān)持“管業(yè)務(wù)就要管安全”“誰(shuí)主管誰(shuí)負(fù)責(zé)����、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則����,落實(shí)網(wǎng)絡(luò)安全責(zé)任制,明確各方責(zé)任����。
第三條?本辦法所稱(chēng)的網(wǎng)絡(luò)是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)����、傳輸、交換�、處理的系統(tǒng)。
本辦法所稱(chēng)的數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)����,是指醫(yī)療衛(wèi)生機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸���、處理和產(chǎn)生的各種電子數(shù)據(jù)���,包括但不限于各類(lèi)臨床、科研����、管理等業(yè)務(wù)數(shù)據(jù)、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)����、個(gè)人信息以及數(shù)據(jù)衍生物�。
本辦法適用于醫(yī)療衛(wèi)生機(jī)構(gòu)運(yùn)營(yíng)網(wǎng)絡(luò)的安全管理。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機(jī)構(gòu)參照?qǐng)?zhí)行��。
第四條?國(guó)家衛(wèi)生健康委���、國(guó)家中醫(yī)藥局�、國(guó)家疾控局負(fù)責(zé)統(tǒng)籌規(guī)劃�、指導(dǎo)、評(píng)估���、監(jiān)督醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全工作��?�?h級(jí)以上地方衛(wèi)生健康行政部門(mén)(含中醫(yī)藥和疾控部門(mén)���,下同)負(fù)責(zé)本行政區(qū)域內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全指導(dǎo)監(jiān)督工作���。
醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)本單位網(wǎng)絡(luò)安全管理負(fù)主體責(zé)任,各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)與信息化建設(shè)參與單位及相關(guān)醫(yī)療設(shè)備生產(chǎn)經(jīng)營(yíng)企業(yè)書(shū)面約定各方的網(wǎng)絡(luò)安全義務(wù)和違約責(zé)任����。
第二章?網(wǎng)絡(luò)安全管理
第五條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組,由單位主要負(fù)責(zé)人任領(lǐng)導(dǎo)小組組長(zhǎng)���,每年至少召開(kāi)一次網(wǎng)絡(luò)安全辦公會(huì)���,部署安全重點(diǎn)工作,落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求����。有二級(jí)及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)明確負(fù)責(zé)網(wǎng)絡(luò)安全管理工作的職能部門(mén),明確承擔(dān)安全主管���、安全管理員等職責(zé)的崗位����;建立網(wǎng)絡(luò)安全管理制度體系�����,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)�����,強(qiáng)化應(yīng)急處置�,在此基礎(chǔ)上對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),防止網(wǎng)絡(luò)安全事件發(fā)生�����。
第六條?各醫(yī)療衛(wèi)生機(jī)構(gòu)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)����、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則,在網(wǎng)絡(luò)建設(shè)過(guò)程中明確本單位各網(wǎng)絡(luò)的主管部門(mén)���、運(yùn)營(yíng)部門(mén)����、信息化部門(mén)、使用部門(mén)等管理職責(zé)�����,對(duì)本單位運(yùn)營(yíng)范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行等級(jí)保護(hù)定級(jí)�����、備案����、測(cè)評(píng)�����、安全建設(shè)整改等工作�����。
(一)對(duì)新建網(wǎng)絡(luò)�,應(yīng)在規(guī)劃和申報(bào)階段確定網(wǎng)絡(luò)安全保護(hù)等級(jí)。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)全面梳理本單位各類(lèi)網(wǎng)絡(luò)�����,特別是云計(jì)算�����、物聯(lián)網(wǎng)�����、區(qū)塊鏈����、5G、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況�,并根據(jù)網(wǎng)絡(luò)的功能����、服務(wù)范圍�、服務(wù)對(duì)象和處理數(shù)據(jù)等情況,依據(jù)相關(guān)標(biāo)準(zhǔn)科學(xué)確定網(wǎng)絡(luò)的安全保護(hù)等級(jí)�,并報(bào)上級(jí)主管部門(mén)審核同意����。
(二)新建網(wǎng)絡(luò)投入使用應(yīng)依法依規(guī)開(kāi)展等級(jí)保護(hù)備案工作���。第二級(jí)以上網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)安全保護(hù)等級(jí)確定后 10 個(gè)工作日內(nèi)����,由其運(yùn)營(yíng)者向公安機(jī)關(guān)備案����,并將備案情況報(bào)上級(jí)衛(wèi)生健康行政部門(mén),因網(wǎng)絡(luò)撤銷(xiāo)或變更安全保護(hù)等級(jí)的�����,應(yīng)在 10 個(gè)工作日內(nèi)向原備案公安機(jī)關(guān)撤銷(xiāo)或變更����,同步上報(bào)上級(jí)衛(wèi)生健康行政部門(mén)���。
(三)全面梳理分析網(wǎng)絡(luò)安全保護(hù)需求����,按照“一個(gè)中心(安全管理中心),三重防護(hù)(安全通信網(wǎng)絡(luò)����、安全區(qū)域邊界、安全計(jì)算環(huán)境)”的要求����,制定符合網(wǎng)絡(luò)安全保護(hù)等級(jí)要求的整體規(guī)劃和建設(shè)方案,加強(qiáng)信息系統(tǒng)自行開(kāi)發(fā)或外包開(kāi)發(fā)過(guò)程中的安全管理����,認(rèn)真開(kāi)展網(wǎng)絡(luò)安全建設(shè),全面落實(shí)安全保護(hù)措施����。
(四)各醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)已定級(jí)備案網(wǎng)絡(luò)的安全性進(jìn)行檢測(cè)評(píng)估,第三級(jí)或第四級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)����,每年至少一次開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)����。第二級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)定期開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)�,其中涉及 10 萬(wàn)人以上個(gè)人信息的網(wǎng)絡(luò)應(yīng)至少三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)����,其他的網(wǎng)絡(luò)至少五年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)�。新建的網(wǎng)絡(luò)上線運(yùn)行前應(yīng)進(jìn)行安全性測(cè)試。
(五)針對(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的問(wèn)題隱患�����,各醫(yī)療衛(wèi)生機(jī)構(gòu)要結(jié)合外在的威脅風(fēng)險(xiǎn)���,按照法律法規(guī)��、政策和標(biāo)準(zhǔn)要求����,制定網(wǎng)絡(luò)安全整改方案�����,有針對(duì)性地開(kāi)展整改����,及時(shí)消除風(fēng)險(xiǎn)隱患,補(bǔ)強(qiáng)管理和技術(shù)短板���,提升安全防護(hù)能力����。
第七條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)依托國(guó)家網(wǎng)絡(luò)安全信息通報(bào)機(jī)制,加強(qiáng)本單位網(wǎng)絡(luò)安全通報(bào)預(yù)警力量建設(shè)���。鼓勵(lì)三級(jí)醫(yī)院探索態(tài)勢(shì)感知平臺(tái)建設(shè)����,及時(shí)收集���、匯總����、分析各方網(wǎng)絡(luò)安全信息����,加強(qiáng)威脅情報(bào)工作,組織開(kāi)展網(wǎng)絡(luò)安全威脅分析和態(tài)勢(shì)研判����,及時(shí)通報(bào)預(yù)警和處置,防止網(wǎng)絡(luò)被破壞、數(shù)據(jù)外泄等事件��。
第八條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)急處置機(jī)制,通過(guò)建立完善應(yīng)急預(yù)案����、組織應(yīng)急演練等方式,有效處理網(wǎng)絡(luò)中斷��、網(wǎng)絡(luò)攻擊����、數(shù)據(jù)泄露等安全事件,提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件能力�����。積極參加網(wǎng)絡(luò)安全攻防演練���,提升保護(hù)和對(duì)抗能力����。
第九條?各醫(yī)療衛(wèi)生機(jī)構(gòu)在網(wǎng)絡(luò)運(yùn)營(yíng)過(guò)程中����,應(yīng)每年開(kāi)展文檔核驗(yàn)����、漏洞掃描���、滲透測(cè)試等多種形式的安全自查����,及時(shí)發(fā)現(xiàn)可能存在的問(wèn)題和隱患����。針對(duì)安全自查、監(jiān)測(cè)預(yù)警�、安全通報(bào)等過(guò)程中發(fā)現(xiàn)的安全隱患應(yīng)認(rèn)真開(kāi)展整改加固,防止網(wǎng)絡(luò)帶病運(yùn)行�,并按要求將安全自查整改情況報(bào)上級(jí)衛(wèi)生健康行政部門(mén)。自查整改可與等級(jí)測(cè)評(píng)問(wèn)題整改一并實(shí)施�����。
每年安全自查整改工作包括:
(一)依據(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求����,各醫(yī)療衛(wèi)生機(jī)構(gòu)完成信息資產(chǎn)梳理����,摸清本單位網(wǎng)絡(luò)定級(jí)�����、備案等情況���,形成資產(chǎn)清單,組織安全自查�����。
(二)依據(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求��,各醫(yī)療衛(wèi)生機(jī)構(gòu)依據(jù)安全自查結(jié)果�����,對(duì)發(fā)現(xiàn)的問(wèn)題和隱患進(jìn)行整改���,形成整改報(bào)告向有關(guān)主管監(jiān)管機(jī)構(gòu)報(bào)備����。
第十條?關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)對(duì)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。各醫(yī)療衛(wèi)生機(jī)構(gòu)要加強(qiáng)網(wǎng)絡(luò)運(yùn)營(yíng)相關(guān)人員管理�����,包括本單位內(nèi)部人員及第三方人員����,明確內(nèi)部人員入職、培訓(xùn)�、考核、離崗全流程安全管理����,針對(duì)第三方應(yīng)明確人員接觸網(wǎng)絡(luò)時(shí)的申請(qǐng)及批準(zhǔn)流程,做好實(shí)名登記���、人員背景審查����、保密協(xié)議簽署等工作��,防止因人員資質(zhì)及違規(guī)操作引發(fā)的安全風(fēng)險(xiǎn)�����。
第十一條?加強(qiáng)網(wǎng)絡(luò)運(yùn)維管理,制定運(yùn)維操作規(guī)范和工作流程����。加強(qiáng)物理安全防護(hù),完善機(jī)房�����、辦公環(huán)境及運(yùn)維現(xiàn)場(chǎng)等安全控制措施�����,防止非授權(quán)訪問(wèn)物理環(huán)境造成信息泄露�����。加強(qiáng)遠(yuǎn)程運(yùn)維管理�,因業(yè)務(wù)確需通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的����,應(yīng)進(jìn)行評(píng)估論證,并采取相應(yīng)的安全管控措施���,防止遠(yuǎn)程端口暴露引發(fā)安全事件�����。
第十二條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)�����。對(duì)于第三級(jí)及以上的網(wǎng)絡(luò)應(yīng)加強(qiáng)保障關(guān)鍵鏈路����、關(guān)鍵設(shè)備冗余備份,有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)用級(jí)容災(zāi)備份�����,防止關(guān)鍵業(yè)務(wù)中斷���。
第十三條?應(yīng)用大數(shù)據(jù)����、人工智能�����、區(qū)塊鏈等新技術(shù)開(kāi)展服務(wù)時(shí)����,上線前應(yīng)評(píng)估新技術(shù)的安全風(fēng)險(xiǎn)并進(jìn)行安全管控����,達(dá)到應(yīng)用與安全的平衡����。
第十四條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)規(guī)范和加強(qiáng)醫(yī)療設(shè)備數(shù)據(jù)、個(gè)人信息保護(hù)和網(wǎng)絡(luò)安全管理�,建立健全醫(yī)療設(shè)備招標(biāo)采購(gòu)、安裝調(diào)試����、運(yùn)行使用、維護(hù)維修�����、報(bào)廢處置等相關(guān)網(wǎng)絡(luò)安全管理制度���,定期檢查或評(píng)估醫(yī)療設(shè)備網(wǎng)絡(luò)安全,并采取相應(yīng)的安全管控措施����,確保醫(yī)療設(shè)備網(wǎng)絡(luò)安全�。
第十五條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照《密碼法》等有關(guān)法律法規(guī)和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范�,在網(wǎng)絡(luò)建設(shè)過(guò)程中同步規(guī)劃、同步建設(shè)�����、同步運(yùn)行密碼保護(hù)措施����,使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。
第十六條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)關(guān)注整個(gè)網(wǎng)絡(luò)全鏈條參與者的安全管理����,涉及非本單位的第三方時(shí),應(yīng)對(duì)設(shè)計(jì)����、建設(shè)、運(yùn)行���、維護(hù)等服務(wù)實(shí)施安全管理����,采購(gòu)安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)����,防止發(fā)生第三方安全事件���。
第十七條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)廢止網(wǎng)絡(luò)的安全管理,對(duì)廢止網(wǎng)絡(luò)的相關(guān)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估�,及時(shí)對(duì)其采取封存或銷(xiāo)毀措施,確保廢止網(wǎng)絡(luò)中的數(shù)據(jù)處置安全����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露。
第三章?數(shù)據(jù)安全管理
第十八條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法律法規(guī)的規(guī)定��,參照國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)����,履行數(shù)據(jù)安全保護(hù)義務(wù),堅(jiān)持保障數(shù)據(jù)安全與發(fā)展并重�,通過(guò)管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃����,建立健全數(shù)據(jù)安全和個(gè)人信息保護(hù)制度����。
第十九條?應(yīng)建立數(shù)據(jù)安全管理組織架構(gòu)��,明確業(yè)務(wù)部門(mén)與管理部門(mén)在數(shù)據(jù)安全活動(dòng)中的主體責(zé)任���,通過(guò)安全責(zé)任書(shū)等方式,規(guī)范本單位數(shù)據(jù)管理部門(mén)���、業(yè)務(wù)部門(mén)����、信息化部門(mén)在數(shù)據(jù)安全管理全生命周期當(dāng)中的權(quán)責(zé)����,建立數(shù)據(jù)安全工作責(zé)任制,落實(shí)追責(zé)追究制度�。
第二十條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)每年對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理,在落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上�����,依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度建立本單位數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)�����。數(shù)據(jù)分類(lèi)分級(jí)應(yīng)遵循合法合規(guī)原則、可執(zhí)行原則�����、時(shí)效性原則����、自主性原則、差異性原則及客觀性原則����。
第二十一條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度、操作規(guī)程及技術(shù)規(guī)范�����,涉及的管理制度每年至少修訂一次���,建議相關(guān)人員每年度簽署保密協(xié)議����。每年對(duì)本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估���,及時(shí)掌握數(shù)據(jù)安全狀態(tài)����。加強(qiáng)數(shù)據(jù)安全教育培訓(xùn)�����,組織安全意識(shí)教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)����。結(jié)合本單位實(shí)際,建立完善數(shù)據(jù)使用申請(qǐng)及批準(zhǔn)流程�,遵循“誰(shuí)主管、誰(shuí)審查”����、遵循事前申請(qǐng)及批準(zhǔn)、事中監(jiān)管���、事后審核原則����,嚴(yán)格執(zhí)行業(yè)務(wù)管理部門(mén)同意����、醫(yī)療衛(wèi)生機(jī)構(gòu)領(lǐng)導(dǎo)核準(zhǔn)的工作程序���,指導(dǎo)數(shù)據(jù)活動(dòng)流程合規(guī)。
第二十二條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集�、存儲(chǔ)、傳輸����、處理、使用�����、交換���、銷(xiāo)毀全生命周期安全管理工作���,數(shù)據(jù)全生命周期活動(dòng)應(yīng)在境內(nèi)開(kāi)展,因業(yè)務(wù)確需向境外提供的����,應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估或?qū)徍耍槍?duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)需提交國(guó)家安全審查�����,防止數(shù)據(jù)安全事件發(fā)生。
(一)各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集合法性管理����,明確業(yè)務(wù)部門(mén)和管理部門(mén)在數(shù)據(jù)收集合法性中的主體責(zé)任�����。采取數(shù)據(jù)脫敏����、數(shù)據(jù)加密、鏈路加密等防控措施����,防止數(shù)據(jù)收集過(guò)程中數(shù)據(jù)被泄露。
(二)在數(shù)據(jù)分類(lèi)分級(jí)的基礎(chǔ)上����,進(jìn)一步明確不同安全級(jí)別數(shù)據(jù)的加密傳輸要求。加強(qiáng)傳輸過(guò)程中的接口安全控制���,確保在通過(guò)接口傳輸時(shí)的安全性����,防止數(shù)據(jù)被竊取。
(三)各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法規(guī)標(biāo)準(zhǔn)�����,選擇合適的數(shù)據(jù)存儲(chǔ)架構(gòu)和介質(zhì)在境內(nèi)存儲(chǔ)�,并采取備份、加密等措施加強(qiáng)數(shù)據(jù)的存儲(chǔ)安全���。涉及到云上存儲(chǔ)數(shù)據(jù)時(shí)�,應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)���。數(shù)據(jù)存儲(chǔ)周期不應(yīng)超出數(shù)據(jù)使用規(guī)則確定的保存期限��。加強(qiáng)存儲(chǔ)過(guò)程中訪問(wèn)控制安全�����、數(shù)據(jù)副本安全���、數(shù)據(jù)歸檔安全管控。
(四)各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)嚴(yán)格規(guī)定不同人員的權(quán)限�����,加強(qiáng)數(shù)據(jù)使用過(guò)程中的申請(qǐng)及批準(zhǔn)流程管理,確保數(shù)據(jù)在可控范圍內(nèi)使用���,加強(qiáng)日志留存及管理工作�����,杜絕篡改、刪除日志的現(xiàn)象發(fā)生�����,防止數(shù)據(jù)越權(quán)使用�����。各數(shù)據(jù)使用部門(mén)和數(shù)據(jù)使用人須嚴(yán)格按照申請(qǐng)所述用途與范圍使用數(shù)據(jù)����,對(duì)數(shù)據(jù)的安全負(fù)責(zé)。未經(jīng)批準(zhǔn)����,任何部門(mén)和個(gè)人不得將未對(duì)外公開(kāi)的信息數(shù)據(jù)傳遞至部門(mén)外,不得以任何方式將其泄露��。
(五)各醫(yī)療衛(wèi)生機(jī)構(gòu)發(fā)布、共享數(shù)據(jù)時(shí)應(yīng)當(dāng)評(píng)估可能帶來(lái)的安全風(fēng)險(xiǎn)��,并采取必要的安全防控措施�����;涉及數(shù)據(jù)上報(bào)時(shí)�����,應(yīng)由數(shù)據(jù)上報(bào)提出方負(fù)責(zé)解讀上報(bào)要求�,確定上報(bào)范圍和上報(bào)規(guī)則, 確保數(shù)據(jù)上報(bào)安全可控。
(六)各醫(yī)療衛(wèi)生機(jī)構(gòu)開(kāi)展人臉識(shí)別或人臉辨識(shí)時(shí)�����,應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式�����,不得因數(shù)據(jù)主體不同意收集人臉識(shí)別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用其基本業(yè)務(wù)功能�,人臉識(shí)別數(shù)據(jù)不得用于除身份識(shí)別之外的其他目的,包括但不限于評(píng)估或預(yù)測(cè)數(shù)據(jù)主體工作表現(xiàn)�、經(jīng)濟(jì)狀況、健康狀況、偏好���、興趣等����。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)采取安全措施存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)�,包括但不限于加密存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù),采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別和個(gè)人身份信息等����。
(七)數(shù)據(jù)銷(xiāo)毀時(shí)應(yīng)采用確保數(shù)據(jù)無(wú)法還原的銷(xiāo)毀方式,重點(diǎn)關(guān)注數(shù)據(jù)殘留風(fēng)險(xiǎn)及數(shù)據(jù)備份風(fēng)險(xiǎn)�。
第四章?監(jiān)督管理
第二十三條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)積極配合有關(guān)主管監(jiān)管機(jī)構(gòu)監(jiān)督管理�����,接受網(wǎng)絡(luò)安全管理日常檢查���,做好網(wǎng)絡(luò)安全防護(hù)等工作����。
第二十四條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)整改有關(guān)主管監(jiān)管機(jī)構(gòu)檢查過(guò)程中發(fā)現(xiàn)的漏洞和隱患等問(wèn)題����,杜絕重大網(wǎng)絡(luò)安全事件發(fā)生����。
第二十五條?發(fā)生個(gè)人信息和數(shù)據(jù)泄露�����、毀損����、丟失等安全事件和網(wǎng)絡(luò)系統(tǒng)遭攻擊、入侵����、控制等網(wǎng)絡(luò)安全事件,或者發(fā)現(xiàn)網(wǎng)絡(luò)存在漏洞隱患����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)明顯增大時(shí),各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案�,采取必要的補(bǔ)救和處置措施,及時(shí)以電話�、短信、郵件或信函等多種方式告知相關(guān)主體�����,并按照要求向有關(guān)主管監(jiān)管部門(mén)報(bào)告。
第二十六條?各級(jí)衛(wèi)生健康行政部門(mén)應(yīng)建立網(wǎng)絡(luò)安全事件通報(bào)工作機(jī)制����,及時(shí)通報(bào)網(wǎng)絡(luò)安全事件。
第二十七條?發(fā)生網(wǎng)絡(luò)安全事件時(shí)���,各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)向衛(wèi)生健康行政部門(mén)����、公安機(jī)關(guān)報(bào)告�����,做好現(xiàn)場(chǎng)保護(hù)�、留存相關(guān)記錄���,為公安機(jī)關(guān)等監(jiān)管部門(mén)依法維護(hù)國(guó)家安全和開(kāi)展偵查調(diào)查等活動(dòng)提供技術(shù)支持和協(xié)助�����。
第五章?管理保障
第二十八條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)高度重視網(wǎng)絡(luò)安全管理工作����,將其列入重要議事日程,加強(qiáng)統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計(jì)���,依法依規(guī)落實(shí)人員�����、經(jīng)費(fèi)投入����、安全保護(hù)措施建設(shè)等重大問(wèn)題����,保證信息系統(tǒng)建設(shè)時(shí)安全保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用����。
第二十九條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全業(yè)務(wù)交流,嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全繼續(xù)教育制度���,鼓勵(lì)管理崗位和技術(shù)崗位持證上崗����。通過(guò)組織開(kāi)展學(xué)術(shù)交流及比武競(jìng)賽的方式,發(fā)現(xiàn)選拔網(wǎng)絡(luò)安全人才�����,建立人才庫(kù)����,建立健全人才發(fā)現(xiàn)、培養(yǎng)���、選拔和使用機(jī)制����,為做好網(wǎng)絡(luò)安全工作提供人才保障����。
第三十條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)保障開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估��、攻防演練競(jìng)賽����、安全建設(shè)整改����、安全保護(hù)平臺(tái)建設(shè)���、密碼保障系統(tǒng)建設(shè)、運(yùn)維���、教育培訓(xùn)等經(jīng)費(fèi)投入�����。新建信息化項(xiàng)目的網(wǎng)絡(luò)安全預(yù)算不低于項(xiàng)目總預(yù)算的 5%����。
第三十一條?各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)進(jìn)一步完善網(wǎng)絡(luò)安全考核評(píng)價(jià)制度�,明確考核指標(biāo),組織開(kāi)展考核�。鼓勵(lì)有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)將考核與績(jī)效掛鉤。
第六章 附則
第三十二條?違反本辦法規(guī)定�,發(fā)生個(gè)人信息和數(shù)據(jù)泄露,或者出現(xiàn)重大網(wǎng)絡(luò)安全事件的����,按《網(wǎng)絡(luò)安全法》《國(guó)密碼法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及網(wǎng)絡(luò)安全等級(jí)保護(hù)制度等法律法規(guī)處理。
第三十三條?涉及國(guó)家秘密的網(wǎng)絡(luò)��,按照國(guó)家有關(guān)規(guī)定執(zhí)行。
第三十四條?本辦法自印發(fā)之日起實(shí)施�。
