8月29日�,國家衛(wèi)生健康委等三部門發(fā)布《關(guān)于印發(fā)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法的通知》��,從網(wǎng)絡(luò)安全管理�����、數(shù)據(jù)安全管理��、監(jiān)督管理、管理保障等方面指導(dǎo)各醫(yī)療機構(gòu)加強網(wǎng)絡(luò)安全管理工作���。辦法自印發(fā)之日起實施����。具體內(nèi)容如下:
關(guān)于印發(fā)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法的通知
國衛(wèi)規(guī)劃發(fā)〔2022〕29號
各省���、自治區(qū)���、直轄市及新疆生產(chǎn)建設(shè)兵團衛(wèi)生健康委、中醫(yī)藥局���,國家衛(wèi)生健康委機關(guān)各司局���、委直屬和聯(lián)系單位、中國老齡協(xié)會�,國家中醫(yī)藥局���、國家疾控局機關(guān)各司局���、各直屬單位:
為指導(dǎo)醫(yī)療衛(wèi)生機構(gòu)加強網(wǎng)絡(luò)安全管理���,國家衛(wèi)生健康委、國家中醫(yī)藥局����、國家疾控局制定了《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》。現(xiàn)印發(fā)給你們�,請認真貫徹執(zhí)行。
國家衛(wèi)生健康委 國家中醫(yī)藥局 國家疾控局
2022年8月8日
(信息公開形式:主動公開)
醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法
第一章 總則
第一條 為加強醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理��,進一步促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展���,充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎(chǔ)性戰(zhàn)略資源的作用�,加強醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理��,防范網(wǎng)絡(luò)安全事件發(fā)生����,根據(jù)《基本醫(yī)療衛(wèi)生與健康促進法》《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》以及網(wǎng)絡(luò)安全等級保護制度等有關(guān)法律法規(guī)標準,制定本辦法。
第二條 堅持網(wǎng)絡(luò)安全為人民、網(wǎng)絡(luò)安全靠人民���、堅持網(wǎng)絡(luò)安全教育����、技術(shù)�����、產(chǎn)業(yè)融合發(fā)展����、堅持促進發(fā)展和依法管理相統(tǒng)一����、堅持安全可控和開放創(chuàng)新并重。
堅持分等級保護����、突出重點。重點保障關(guān)鍵信息基礎(chǔ)設(shè)施���、網(wǎng)絡(luò)安全等級保護第三級(以下簡稱第三級)及以上網(wǎng)絡(luò)以及重要數(shù)據(jù)和個人信息安全���。
堅持積極防御、綜合防護�����。充分利用人工智能���、大數(shù)據(jù)分析等技術(shù)���,強化安全監(jiān)測、態(tài)勢感知���、通報預(yù)警和應(yīng)急處置等重點工作����,落實網(wǎng)絡(luò)安全保護“實戰(zhàn)化��、體系化�、常態(tài)化”和“動態(tài)防御、主動防御�、縱深防御、精準防護��、整體防控���、聯(lián)防聯(lián)控”的“三化六防”措施�。
堅持“管業(yè)務(wù)就要管安全”“誰主管誰負責���、誰運營誰負責���、誰使用誰負責”的原則�����,落實網(wǎng)絡(luò)安全責任制����,明確各方責任�。
第三條 本辦法所稱的網(wǎng)絡(luò)是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲�、傳輸、交換����、處理的系統(tǒng)。
本辦法所稱的數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)�,是指醫(yī)療衛(wèi)生機構(gòu)通過網(wǎng)絡(luò)收集、存儲����、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù),包括但不限于各類臨床���、科研、管理等業(yè)務(wù)數(shù)據(jù)����、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)、個人信息以及數(shù)據(jù)衍生物��。
本辦法適用于醫(yī)療衛(wèi)生機構(gòu)運營網(wǎng)絡(luò)的安全管理��。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機構(gòu)參照執(zhí)行�。
第四條 國家衛(wèi)生健康委、國家中醫(yī)藥局�、國家疾控局負責統(tǒng)籌規(guī)劃、指導(dǎo)��、評估�、監(jiān)督醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全工作?����?h級以上地方衛(wèi)生健康行政部門(含中醫(yī)藥和疾控部門���,下同)負責本行政區(qū)域內(nèi)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全指導(dǎo)監(jiān)督工作�。
醫(yī)療衛(wèi)生機構(gòu)對本單位網(wǎng)絡(luò)安全管理負主體責任,各醫(yī)療衛(wèi)生機構(gòu)應(yīng)當與信息化建設(shè)參與單位及相關(guān)醫(yī)療設(shè)備生產(chǎn)經(jīng)營企業(yè)書面約定各方的網(wǎng)絡(luò)安全義務(wù)和違約責任����。
第二章 網(wǎng)絡(luò)安全管理
第五條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組,由單位主要負責人任領(lǐng)導(dǎo)小組組長����,每年至少召開一次網(wǎng)絡(luò)安全辦公會,部署安全重點工作�,落實《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》和網(wǎng)絡(luò)安全等級保護制度要求。有二級及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機構(gòu)應(yīng)明確負責網(wǎng)絡(luò)安全管理工作的職能部門����,明確承擔安全主管、安全管理員等職責的崗位�;建立網(wǎng)絡(luò)安全管理制度體系,加強網(wǎng)絡(luò)安全防護����,強化應(yīng)急處置,在此基礎(chǔ)上對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護��,防止網(wǎng)絡(luò)安全事件發(fā)生�。
第六條 各醫(yī)療衛(wèi)生機構(gòu)按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則�����,在網(wǎng)絡(luò)建設(shè)過程中明確本單位各網(wǎng)絡(luò)的主管部門��、運營部門�、信息化部門��、使用部門等管理職責���,對本單位運營范圍內(nèi)的網(wǎng)絡(luò)進行等級保護定級�、備案�、測評、安全建設(shè)整改等工作��。
(一)對新建網(wǎng)絡(luò)�,應(yīng)在規(guī)劃和申報階段確定網(wǎng)絡(luò)安全保護等級。各醫(yī)療衛(wèi)生機構(gòu)應(yīng)全面梳理本單位各類網(wǎng)絡(luò)��,特別是云計算����、物聯(lián)網(wǎng)、區(qū)塊鏈、5G�、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況,并根據(jù)網(wǎng)絡(luò)的功能����、服務(wù)范圍、服務(wù)對象和處理數(shù)據(jù)等情況��,依據(jù)相關(guān)標準科學(xué)確定網(wǎng)絡(luò)的安全保護等級���,并報上級主管部門審核同意�。
(二)新建網(wǎng)絡(luò)投入使用應(yīng)依法依規(guī)開展等級保護備案工作���。第二級以上網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)安全保護等級確定后10個工作日內(nèi)���,由其運營者向公安機關(guān)備案,并將備案情況報上級衛(wèi)生健康行政部門����,因網(wǎng)絡(luò)撤銷或變更安全保護等級的,應(yīng)在10個工作日內(nèi)向原備案公安機關(guān)撤銷或變更���,同步上報上級衛(wèi)生健康行政部門�。
(三)全面梳理分析網(wǎng)絡(luò)安全保護需求,按照“一個中心(安全管理中心)����,三重防護(安全通信網(wǎng)絡(luò)、安全區(qū)域邊界����、安全計算環(huán)境)”的要求,制定符合網(wǎng)絡(luò)安全保護等級要求的整體規(guī)劃和建設(shè)方案�����,加強信息系統(tǒng)自行開發(fā)或外包開發(fā)過程中的安全管理���,認真開展網(wǎng)絡(luò)安全建設(shè),全面落實安全保護措施��。
(四)各醫(yī)療衛(wèi)生機構(gòu)對已定級備案網(wǎng)絡(luò)的安全性進行檢測評估�����,第三級或第四級的網(wǎng)絡(luò)應(yīng)委托等級保護測評機構(gòu)�����,每年至少一次開展網(wǎng)絡(luò)安全等級測評。第二級的網(wǎng)絡(luò)應(yīng)委托等級保護測評機構(gòu)定期開展網(wǎng)絡(luò)安全等級測評���,其中涉及10萬人以上個人信息的網(wǎng)絡(luò)應(yīng)至少三年開展一次網(wǎng)絡(luò)安全等級測評���,其他的網(wǎng)絡(luò)至少五年開展一次網(wǎng)絡(luò)安全等級測評。新建的網(wǎng)絡(luò)上線運行前應(yīng)進行安全性測試�。
(五)針對等級測評中發(fā)現(xiàn)的問題隱患,各醫(yī)療衛(wèi)生機構(gòu)要結(jié)合外在的威脅風(fēng)險�,按照法律法規(guī)、政策和標準要求�,制定網(wǎng)絡(luò)安全整改方案,有針對性地開展整改�,及時消除風(fēng)險隱患,補強管理和技術(shù)短板���,提升安全防護能力��。
第七條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)依托國家網(wǎng)絡(luò)安全信息通報機制�����,加強本單位網(wǎng)絡(luò)安全通報預(yù)警力量建設(shè)�。鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設(shè)�����,及時收集、匯總��、分析各方網(wǎng)絡(luò)安全信息���,加強威脅情報工作���,組織開展網(wǎng)絡(luò)安全威脅分析和態(tài)勢研判,及時通報預(yù)警和處置����,防止網(wǎng)絡(luò)被破壞、數(shù)據(jù)外泄等事件���。
第八條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立應(yīng)急處置機制,通過建立完善應(yīng)急預(yù)案���、組織應(yīng)急演練等方式��,有效處理網(wǎng)絡(luò)中斷��、網(wǎng)絡(luò)攻擊��、數(shù)據(jù)泄露等安全事件����,提高應(yīng)對網(wǎng)絡(luò)安全事件能力。積極參加網(wǎng)絡(luò)安全攻防演練���,提升保護和對抗能力�����。
第九條 各醫(yī)療衛(wèi)生機構(gòu)在網(wǎng)絡(luò)運營過程中����,應(yīng)每年開展文檔核驗���、漏洞掃描���、滲透測試等多種形式的安全自查,及時發(fā)現(xiàn)可能存在的問題和隱患�。針對安全自查、監(jiān)測預(yù)警�、安全通報等過程中發(fā)現(xiàn)的安全隱患應(yīng)認真開展整改加固,防止網(wǎng)絡(luò)帶病運行���,并按要求將安全自查整改情況報上級衛(wèi)生健康行政部門����。自查整改可與等級測評問題整改一并實施。
每年安全自查整改工作包括:
(一)依據(jù)上級主管監(jiān)管機構(gòu)要求����,各醫(yī)療衛(wèi)生機構(gòu)完成信息資產(chǎn)梳理,摸清本單位網(wǎng)絡(luò)定級�、備案等情況,形成資產(chǎn)清單�,組織安全自查。
(二)依據(jù)上級主管監(jiān)管機構(gòu)要求�,各醫(yī)療衛(wèi)生機構(gòu)依據(jù)安全自查結(jié)果,對發(fā)現(xiàn)的問題和隱患進行整改�����,形成整改報告向有關(guān)主管監(jiān)管機構(gòu)報備�。
第十條 關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)對安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查����。各醫(yī)療衛(wèi)生機構(gòu)要加強網(wǎng)絡(luò)運營相關(guān)人員管理,包括本單位內(nèi)部人員及第三方人員���,明確內(nèi)部人員入職�����、培訓(xùn)����、考核、離崗全流程安全管理�����,針對第三方應(yīng)明確人員接觸網(wǎng)絡(luò)時的申請及批準流程����,做好實名登記、人員背景審查���、保密協(xié)議簽署等工作��,防止因人員資質(zhì)及違規(guī)操作引發(fā)的安全風(fēng)險���。
第十一條 加強網(wǎng)絡(luò)運維管理,制定運維操作規(guī)范和工作流程。加強物理安全防護���,完善機房�����、辦公環(huán)境及運維現(xiàn)場等安全控制措施�,防止非授權(quán)訪問物理環(huán)境造成信息泄露�����。加強遠程運維管理����,因業(yè)務(wù)確需通過互聯(lián)網(wǎng)遠程運維的,應(yīng)進行評估論證����,并采取相應(yīng)的安全管控措施,防止遠程端口暴露引發(fā)安全事件���。
第十二條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測網(wǎng)絡(luò)運行狀態(tài)��。對于第三級及以上的網(wǎng)絡(luò)應(yīng)加強保障關(guān)鍵鏈路、關(guān)鍵設(shè)備冗余備份,有條件的醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立應(yīng)用級容災(zāi)備份�����,防止關(guān)鍵業(yè)務(wù)中斷�����。
第十三條 應(yīng)用大數(shù)據(jù)��、人工智能����、區(qū)塊鏈等新技術(shù)開展服務(wù)時,上線前應(yīng)評估新技術(shù)的安全風(fēng)險并進行安全管控��,達到應(yīng)用與安全的平衡����。
第十四條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)規(guī)范和加強醫(yī)療設(shè)備數(shù)據(jù)、個人信息保護和網(wǎng)絡(luò)安全管理���,建立健全醫(yī)療設(shè)備招標采購��、安裝調(diào)試����、運行使用、維護維修�、報廢處置等相關(guān)網(wǎng)絡(luò)安全管理制度,定期檢查或評估醫(yī)療設(shè)備網(wǎng)絡(luò)安全���,并采取相應(yīng)的安全管控措施��,確保醫(yī)療設(shè)備網(wǎng)絡(luò)安全���。
第十五條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)按照《密碼法》等有關(guān)法律法規(guī)和密碼應(yīng)用相關(guān)標準規(guī)范,在網(wǎng)絡(luò)建設(shè)過程中同步規(guī)劃�、同步建設(shè)、同步運行密碼保護措施�,使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。
第十六條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)關(guān)注整個網(wǎng)絡(luò)全鏈條參與者的安全管理�,涉及非本單位的第三方時,應(yīng)對設(shè)計��、建設(shè)�、運行、維護等服務(wù)實施安全管理���,采購安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,防止發(fā)生第三方安全事件����。
第十七條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強廢止網(wǎng)絡(luò)的安全管理���,對廢止網(wǎng)絡(luò)的相關(guān)設(shè)備進行風(fēng)險評估,及時對其采取封存或銷毀措施��,確保廢止網(wǎng)絡(luò)中的數(shù)據(jù)處置安全�����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露��。
第三章 數(shù)據(jù)安全管理
第十八條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)按照有關(guān)法律法規(guī)的規(guī)定�����,參照國家網(wǎng)絡(luò)安全標準��,履行數(shù)據(jù)安全保護義務(wù)��,堅持保障數(shù)據(jù)安全與發(fā)展并重�����,通過管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡。關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃�,建立健全數(shù)據(jù)安全和個人信息保護制度。
第十九條 應(yīng)建立數(shù)據(jù)安全管理組織架構(gòu)�,明確業(yè)務(wù)部門與管理部門在數(shù)據(jù)安全活動中的主體責任,通過安全責任書等方式���,規(guī)范本單位數(shù)據(jù)管理部門��、業(yè)務(wù)部門��、信息化部門在數(shù)據(jù)安全管理全生命周期當中的權(quán)責�����,建立數(shù)據(jù)安全工作責任制�,落實追責追究制度�。
第二十條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)每年對數(shù)據(jù)資產(chǎn)進行全面梳理,在落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上�����,依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度建立本單位數(shù)據(jù)分類分級標準���。數(shù)據(jù)分類分級應(yīng)遵循合法合規(guī)原則�����、可執(zhí)行原則�、時效性原則、自主性原則�����、差異性原則及客觀性原則����。
第二十一條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)建立健全數(shù)據(jù)安全管理制度�����、操作規(guī)程及技術(shù)規(guī)范�����,涉及的管理制度每年至少修訂一次�,建議相關(guān)人員每年度簽署保密協(xié)議。每年對本單位的數(shù)據(jù)進行數(shù)據(jù)安全風(fēng)險評估�,及時掌握數(shù)據(jù)安全狀態(tài)�����。加強數(shù)據(jù)安全教育培訓(xùn)�,組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓(xùn)���。結(jié)合本單位實際��,建立完善數(shù)據(jù)使用申請及批準流程�,遵循“誰主管��、誰審查”����、遵循事前申請及批準、事中監(jiān)管����、事后審核原則,嚴格執(zhí)行業(yè)務(wù)管理部門同意�、醫(yī)療衛(wèi)生機構(gòu)領(lǐng)導(dǎo)核準的工作程序,指導(dǎo)數(shù)據(jù)活動流程合規(guī)����。
第二十二條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強數(shù)據(jù)收集��、存儲��、傳輸���、處理、使用�、交換、銷毀全生命周期安全管理工作�����,數(shù)據(jù)全生命周期活動應(yīng)在境內(nèi)開展����,因業(yè)務(wù)確需向境外提供的��,應(yīng)當按照相關(guān)法律法規(guī)及有關(guān)要求進行安全評估或?qū)徍?����,針對影響或者可能影響國家安全的?shù)據(jù)處理活動需提交國家安全審查��,防止數(shù)據(jù)安全事件發(fā)生��。
(一)各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強數(shù)據(jù)收集合法性管理,明確業(yè)務(wù)部門和管理部門在數(shù)據(jù)收集合法性中的主體責任�����。采取數(shù)據(jù)脫敏����、數(shù)據(jù)加密、鏈路加密等防控措施�,防止數(shù)據(jù)收集過程中數(shù)據(jù)被泄露。
(二)在數(shù)據(jù)分類分級的基礎(chǔ)上��,進一步明確不同安全級別數(shù)據(jù)的加密傳輸要求�����。加強傳輸過程中的接口安全控制���,確保在通過接口傳輸時的安全性��,防止數(shù)據(jù)被竊取�����。
(三)各醫(yī)療衛(wèi)生機構(gòu)應(yīng)按照有關(guān)法規(guī)標準���,選擇合適的數(shù)據(jù)存儲架構(gòu)和介質(zhì)在境內(nèi)存儲�,并采取備份����、加密等措施加強數(shù)據(jù)的存儲安全。涉及到云上存儲數(shù)據(jù)時�,應(yīng)當評估可能帶來的安全風(fēng)險。數(shù)據(jù)存儲周期不應(yīng)超出數(shù)據(jù)使用規(guī)則確定的保存期限�����。加強存儲過程中訪問控制安全�����、數(shù)據(jù)副本安全���、數(shù)據(jù)歸檔安全管控。
(四)各醫(yī)療衛(wèi)生機構(gòu)應(yīng)嚴格規(guī)定不同人員的權(quán)限����,加強數(shù)據(jù)使用過程中的申請及批準流程管理,確保數(shù)據(jù)在可控范圍內(nèi)使用,加強日志留存及管理工作��,杜絕篡改�����、刪除日志的現(xiàn)象發(fā)生���,防止數(shù)據(jù)越權(quán)使用�。各數(shù)據(jù)使用部門和數(shù)據(jù)使用人須嚴格按照申請所述用途與范圍使用數(shù)據(jù)�,對數(shù)據(jù)的安全負責。未經(jīng)批準����,任何部門和個人不得將未對外公開的信息數(shù)據(jù)傳遞至部門外,不得以任何方式將其泄露���。
(五)各醫(yī)療衛(wèi)生機構(gòu)發(fā)布�、共享數(shù)據(jù)時應(yīng)當評估可能帶來的安全風(fēng)險�����,并采取必要的安全防控措施�;涉及數(shù)據(jù)上報時�����,應(yīng)由數(shù)據(jù)上報提出方負責解讀上報要求�,確定上報范圍和上報規(guī)則,確保數(shù)據(jù)上報安全可控�����。
(六)各醫(yī)療衛(wèi)生機構(gòu)開展人臉識別或人臉辨識時����,應(yīng)同時提供非人臉識別的身份識別方式,不得因數(shù)據(jù)主體不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用其基本業(yè)務(wù)功能���,人臉識別數(shù)據(jù)不得用于除身份識別之外的其他目的���,包括但不限于評估或預(yù)測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況�����、健康狀況����、偏好、興趣等���。各醫(yī)療衛(wèi)生機構(gòu)應(yīng)采取安全措施存儲和傳輸人臉識別數(shù)據(jù)����,包括但不限于加密存儲和傳輸人臉識別數(shù)據(jù)�����,采用物理或邏輯隔離方式分別存儲人臉識別和個人身份信息等�����。
(七)數(shù)據(jù)銷毀時應(yīng)采用確保數(shù)據(jù)無法還原的銷毀方式�,重點關(guān)注數(shù)據(jù)殘留風(fēng)險及數(shù)據(jù)備份風(fēng)險。
第四章 監(jiān)督管理
第二十三條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)積極配合有關(guān)主管監(jiān)管機構(gòu)監(jiān)督管理���,接受網(wǎng)絡(luò)安全管理日常檢查����,做好網(wǎng)絡(luò)安全防護等工作��。
第二十四條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)及時整改有關(guān)主管監(jiān)管機構(gòu)檢查過程中發(fā)現(xiàn)的漏洞和隱患等問題��,杜絕重大網(wǎng)絡(luò)安全事件發(fā)生。
第二十五條 發(fā)生個人信息和數(shù)據(jù)泄露��、毀損����、丟失等安全事件和網(wǎng)絡(luò)系統(tǒng)遭攻擊、入侵����、控制等網(wǎng)絡(luò)安全事件,或者發(fā)現(xiàn)網(wǎng)絡(luò)存在漏洞隱患����、網(wǎng)絡(luò)安全風(fēng)險明顯增大時,各醫(yī)療衛(wèi)生機構(gòu)應(yīng)當立即啟動應(yīng)急預(yù)案����,采取必要的補救和處置措施,及時以電話�����、短信�、郵件或信函等多種方式告知相關(guān)主體,并按照要求向有關(guān)主管監(jiān)管部門報告��。
第二十六條 各級衛(wèi)生健康行政部門應(yīng)建立網(wǎng)絡(luò)安全事件通報工作機制���,及時通報網(wǎng)絡(luò)安全事件���。
第二十七條 發(fā)生網(wǎng)絡(luò)安全事件時,各醫(yī)療衛(wèi)生機構(gòu)應(yīng)及時向衛(wèi)生健康行政部門����、公安機關(guān)報告,做好現(xiàn)場保護��、留存相關(guān)記錄�����,為公安機關(guān)等監(jiān)管部門依法維護國家安全和開展偵查調(diào)查等活動提供技術(shù)支持和協(xié)助�。
第五章 管理保障
第二十八條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)高度重視網(wǎng)絡(luò)安全管理工作,將其列入重要議事日程�����,加強統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計���,依法依規(guī)落實人員�、經(jīng)費投入、安全保護措施建設(shè)等重大問題�����,保證信息系統(tǒng)建設(shè)時安全保護措施同步規(guī)劃�����、同步建設(shè)和同步使用����。
第二十九條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)加強網(wǎng)絡(luò)安全業(yè)務(wù)交流,嚴格執(zhí)行網(wǎng)絡(luò)安全繼續(xù)教育制度���,鼓勵管理崗位和技術(shù)崗位持證上崗��。通過組織開展學(xué)術(shù)交流及比武競賽的方式�,發(fā)現(xiàn)選拔網(wǎng)絡(luò)安全人才�,建立人才庫,建立健全人才發(fā)現(xiàn)�、培養(yǎng)、選拔和使用機制���,為做好網(wǎng)絡(luò)安全工作提供人才保障�。
第三十條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)保障開展網(wǎng)絡(luò)安全等級測評、風(fēng)險評估��、攻防演練競賽�、安全建設(shè)整改��、安全保護平臺建設(shè)�����、密碼保障系統(tǒng)建設(shè)��、運維����、教育培訓(xùn)等經(jīng)費投入。新建信息化項目的網(wǎng)絡(luò)安全預(yù)算不低于項目總預(yù)算的5%���。
第三十一條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)進一步完善網(wǎng)絡(luò)安全考核評價制度�����,明確考核指標����,組織開展考核。鼓勵有條件的醫(yī)療衛(wèi)生機構(gòu)將考核與績效掛鉤����。
第六章 附則
第三十二條 違反本辦法規(guī)定,發(fā)生個人信息和數(shù)據(jù)泄露���,或者出現(xiàn)重大網(wǎng)絡(luò)安全事件的��,按《網(wǎng)絡(luò)安全法》《密碼法》《基本醫(yī)療衛(wèi)生與健康促進法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》以及網(wǎng)絡(luò)安全等級保護制度等法律法規(guī)處理��。
第三十三條 涉及國家秘密的網(wǎng)絡(luò)���,按照國家有關(guān)規(guī)定執(zhí)行。
第三十四條 本辦法自印發(fā)之日起實施�����。
首頁 
關(guān)于醫(yī)博會
展會概況
展商中心
觀眾中心
媒體中心
網(wǎng)上展廳
商旅服務(wù)
同期活動
聯(lián)系我們
丞華展覽
