國衛(wèi)規(guī)劃發(fā)〔2022〕29號
各省��、自治區(qū)���、直轄市及新疆生產(chǎn)建設兵團衛(wèi)生健康委���、中醫(yī)藥局,國家衛(wèi)生健康委機關各司局�����、委直屬和聯(lián)系單位�����、中國老齡協(xié)會�����,國家中醫(yī)藥局���、國家疾控局機關各司局�、各直屬單位:
為指導醫(yī)療衛(wèi)生機構加強網(wǎng)絡安全管理�����,國家衛(wèi)生健康委��、國家中醫(yī)藥局��、國家疾控局制定了《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》?,F(xiàn)印發(fā)給你們,請認真貫徹執(zhí)行��。
國家衛(wèi)生健康委?國家中醫(yī)藥局?國家疾控局
2022年8月8日
(信息公開形式:主動公開)
相關鏈接:《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》的政策解讀
醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法
第一章?總則
第一條?為加強醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理�����,進一步促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展���,充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎性戰(zhàn)略資源的作用�����,加強醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理��,防范網(wǎng)絡安全事件發(fā)生����,根據(jù)《基本醫(yī)療衛(wèi)生與健康促進法》《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》以及網(wǎng)絡安全等級保護制度等有關法律法規(guī)標準�����,制定本辦法����。
第二條?堅持網(wǎng)絡安全為人民�、網(wǎng)絡安全靠人民�����,堅持網(wǎng)絡安全教育�、技術、產(chǎn)業(yè)融合發(fā)展��,堅持促進發(fā)展和依法管理相統(tǒng)一�����,堅持安全可控和開放創(chuàng)新并重����。
堅持分等級保護、突出重點�����。重點保障關鍵信息基礎設施��、網(wǎng)絡安全等級保護第三級(以下簡稱第三級)及以上網(wǎng)絡以及重要數(shù)據(jù)和個人信息安全�����。
堅持積極防御�、綜合防護。充分利用人工智能�、大數(shù)據(jù)分析等技術,強化安全監(jiān)測�����、態(tài)勢感知���、通報預警和應急處置等重點工作��,落實網(wǎng)絡安全保護“實戰(zhàn)化���、體系化、常態(tài)化”和“動態(tài)防御�����、主動防御��、縱深防御、精準防護�����、整體防控��、聯(lián)防聯(lián)控”的“三化六防”措施����。
堅持“管業(yè)務就要管安全”“誰主管誰負責、誰運營誰負責�����、誰使用誰負責”的原則���,落實網(wǎng)絡安全責任制�,明確各方責任���。
第三條?本辦法所稱的網(wǎng)絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集�、存儲�、傳輸、交換�、處理的系統(tǒng)。
本辦法所稱的數(shù)據(jù)為網(wǎng)絡數(shù)據(jù),是指醫(yī)療衛(wèi)生機構通過網(wǎng)絡收集��、存儲�、傳輸���、處理和產(chǎn)生的各種電子數(shù)據(jù)��,包括但不限于各類臨床���、科研、管理等業(yè)務數(shù)據(jù)�、醫(yī)療設備產(chǎn)生的數(shù)據(jù)、個人信息以及數(shù)據(jù)衍生物����。
本辦法適用于醫(yī)療衛(wèi)生機構運營網(wǎng)絡的安全管理。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機構參照執(zhí)行��。
第四條?國家衛(wèi)生健康委�、國家中醫(yī)藥局、國家疾控局負責統(tǒng)籌規(guī)劃�����、指導、評估�����、監(jiān)督醫(yī)療衛(wèi)生機構網(wǎng)絡安全工作�。縣級以上地方衛(wèi)生健康行政部門(含中醫(yī)藥和疾控部門��,下同)負責本行政區(qū)域內醫(yī)療衛(wèi)生機構網(wǎng)絡安全指導監(jiān)督工作��。
醫(yī)療衛(wèi)生機構對本單位網(wǎng)絡安全管理負主體責任�,各醫(yī)療衛(wèi)生機構應當與信息化建設參與單位及相關醫(yī)療設備生產(chǎn)經(jīng)營企業(yè)書面約定各方的網(wǎng)絡安全義務和違約責任。
第二章?網(wǎng)絡安全管理
第五條?各醫(yī)療衛(wèi)生機構應成立網(wǎng)絡安全和信息化工作領導小組互聯(lián)網(wǎng)+醫(yī)療管理辦法����,由單位主要負責人任領導小組組長,每年至少召開一次網(wǎng)絡安全辦公會�,部署安全重點工作,落實《關鍵信息基礎設施安全保護條例》和網(wǎng)絡安全等級保護制度要求��。有二級及以上網(wǎng)絡的醫(yī)療衛(wèi)生機構應明確負責網(wǎng)絡安全管理工作的職能部門�,明確承擔安全主管、安全管理員等職責的崗位����;建立網(wǎng)絡安全管理制度體系�����,加強網(wǎng)絡安全防護�����,強化應急處置,在此基礎上對關鍵信息基礎設施實行重點保護����,防止網(wǎng)絡安全事件發(fā)生。
第六條?各醫(yī)療衛(wèi)生機構按照“誰主管誰負責�����、誰運營誰負責��、誰使用誰負責”的原則��,在網(wǎng)絡建設過程中明確本單位各網(wǎng)絡的主管部門����、運營部門、信息化部門���、使用部門等管理職責�����,對本單位運營范圍內的網(wǎng)絡進行等級保護定級��、備案�、測評、安全建設整改等工作�����。
(一)對新建網(wǎng)絡����,應在規(guī)劃和申報階段確定網(wǎng)絡安全保護等級。各醫(yī)療衛(wèi)生機構應全面梳理本單位各類網(wǎng)絡�����,特別是云計算��、物聯(lián)網(wǎng)�、區(qū)塊鏈、5G��、大數(shù)據(jù)等新技術應用的基本情況,并根據(jù)網(wǎng)絡的功能��、服務范圍��、服務對象和處理數(shù)據(jù)等情況�,依據(jù)相關標準科學確定網(wǎng)絡的安全保護等級,并報上級主管部門審核同意�。
(二)新建網(wǎng)絡投入使用應依法依規(guī)開展等級保護備案工作。第二級以上網(wǎng)絡應在網(wǎng)絡安全保護等級確定后10個工作日內�����,由其運營者向公安機關備案�����,并將備案情況報上級衛(wèi)生健康行政部門�����,因網(wǎng)絡撤銷或變更安全保護等級的���,應在10個工作日內向原備案公安機關撤銷或變更,同步上報上級衛(wèi)生健康行政部門�。
