8月29日�����,國家衛(wèi)生健康委等三部門發(fā)布《關(guān)于印發(fā)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法的通知》��,從網(wǎng)絡(luò)安全管理�����、數(shù)據(jù)安全管理����、監(jiān)督管理�����、管理保障等方面指導(dǎo)各醫(yī)療機構(gòu)加強網(wǎng)絡(luò)安全管理工作。辦法自印發(fā)之日起實施���。具體內(nèi)容如下:
醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法
第一章總則
第一條 為加強醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理�,進一步促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展�,充分 發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎(chǔ)性戰(zhàn)略資源的作用 ,加強醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理���,防范網(wǎng)絡(luò)安全事件發(fā)生�����,根據(jù)《基本醫(yī)療衛(wèi)生與健康促進法》《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》以及網(wǎng)絡(luò)安全等級保護制度等有關(guān)法律法規(guī)標準,制定本辦法��。
第二條 堅持網(wǎng)絡(luò)安全為人民�、網(wǎng)絡(luò)安全靠人民、堅持網(wǎng)絡(luò)安全教育��、技術(shù)�、產(chǎn)業(yè)融合發(fā)展、堅持促進發(fā)展和依法管理相統(tǒng)一��、堅持安全可控和開放創(chuàng)新并重。
堅持分等級保護����、突出重點。重點保障關(guān)鍵信息基礎(chǔ)設(shè)施��、網(wǎng)絡(luò)安全等級保護第三級(以下簡稱第三級)及以上網(wǎng)絡(luò)以及重要數(shù)據(jù)和個人信息安全�����。
堅持積極防御�����、綜合防護�����。充分利用人工智能��、大數(shù)據(jù)分析等技術(shù)互聯(lián)網(wǎng)醫(yī)院項目數(shù)據(jù)安全怎么做�����,強化安全監(jiān)測���、態(tài)勢感知�、通報預(yù)警和應(yīng)急處置等重點工作,落實網(wǎng)絡(luò)安全保護“實戰(zhàn)化�、體系化、常態(tài)化”和“動態(tài)防御����、主動防御、縱深防御����、精準防護、整體防控���、聯(lián)防聯(lián)控” 的“三化六防”措施 �。
堅持“管業(yè)務(wù)就要管安全” “誰主管誰負責(zé)����、誰運營誰負責(zé)�����、誰使用誰負責(zé)”的原則 ���,落實網(wǎng)絡(luò)安全責(zé)任制�����,明確各方責(zé)任����。
第三條 本辦法所稱的網(wǎng)絡(luò)是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲�、傳輸、交換�、處理的系統(tǒng)。
本辦法所稱的數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)�����,是指 醫(yī)療衛(wèi)生機構(gòu)通過網(wǎng)絡(luò)收集����、存儲、傳輸���、處理和產(chǎn)生的各種電子數(shù)據(jù) �����,包括但不限于各類臨床��、科研��、管理等業(yè)務(wù)數(shù)據(jù)�����、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)�����、個人信息以及數(shù)據(jù)衍生物�。
本辦法適用于醫(yī)療衛(wèi)生機構(gòu)運營網(wǎng)絡(luò)的安全管理。 未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機構(gòu)參照執(zhí)行�。
第四條 國家衛(wèi)生健康委、國家中醫(yī)藥局�、國家疾控局負責(zé)統(tǒng)籌規(guī)劃、指導(dǎo)����、評估、監(jiān)督醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全工作����。縣級以上地方衛(wèi)生健康行政部門(含中醫(yī)藥和疾控部門���,下同)負責(zé)本行政區(qū)域內(nèi)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全指導(dǎo)監(jiān)督工作��。
醫(yī)療衛(wèi)生機構(gòu)對本單位網(wǎng)絡(luò)安全管理負主體責(zé)任��,各醫(yī)療衛(wèi)生機構(gòu)應(yīng)當(dāng)與信息化建設(shè)參與單位及相關(guān)醫(yī)療設(shè)備生產(chǎn)經(jīng)營企業(yè)書面約定各方的網(wǎng)絡(luò)安全義務(wù)和違約責(zé)任�����。
第二章網(wǎng)絡(luò)安全管理
第五條 各醫(yī)療衛(wèi)生機構(gòu)應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組�����,由單位主要負責(zé)人任領(lǐng)導(dǎo)小組組長�,每年至少召開一次網(wǎng)絡(luò)安全辦公會�,部署安全重點工作,落實《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》和網(wǎng)絡(luò)安全等級保護制度要求�����。有二級及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機構(gòu)應(yīng)明確負責(zé)網(wǎng)絡(luò)安全管理工作的職能部門�����,明確承擔(dān)安全主管、安全管理員等職責(zé)的崗位��;建立網(wǎng)絡(luò)安全管理制度體系�����,加強網(wǎng)絡(luò)安全防護����,強化應(yīng)急處置,在此基礎(chǔ)上對關(guān)鍵信息基礎(chǔ)設(shè)施實行重點保護����,防止網(wǎng)絡(luò)安全事件發(fā)生。
第六條 各醫(yī)療衛(wèi)生機構(gòu)按照“誰主管誰負責(zé)�����、誰運營誰負責(zé)����、誰使用誰負責(zé)”的原則,在網(wǎng)絡(luò)建設(shè)過程中明確本單位各網(wǎng)絡(luò)的主管部門��、運營部門、信息化部門�����、使用部門等管理職責(zé)���,對本單位運營范圍內(nèi)的網(wǎng)絡(luò)進行等級保護定級、備案��、測評��、安全建設(shè)整改等工作���。
(一)對新建網(wǎng)絡(luò)��,應(yīng)在規(guī)劃和申報階段 確定網(wǎng)絡(luò)安全保護等級 �����。各醫(yī)療衛(wèi)生機構(gòu)應(yīng)全面梳理本單位各類網(wǎng)絡(luò)��,特別是云計算�、物聯(lián)網(wǎng)��、區(qū)塊鏈、5G��、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況�����,并根據(jù)網(wǎng)絡(luò)的功能����、服務(wù)范圍、服務(wù)對象和處理數(shù)據(jù)等情況����,依據(jù)相關(guān)標準科學(xué)確定網(wǎng)絡(luò)的安全保護等級,并報上級主管部門審核同意�。
(二)新建網(wǎng)絡(luò)投入使用應(yīng)依法依規(guī) 開展等級保護備案工作 。第二級以上網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)安全保護等級確定后10個工作日內(nèi)��,由其運營者向公安機關(guān)備案�,并將備案情況報上級衛(wèi)生健康行政部門,因網(wǎng)絡(luò)撤銷或變更安全保護等級的�,應(yīng)在10個工作日內(nèi)向原備案公安機關(guān)撤銷或變更,同步上報上級衛(wèi)生健康行政部門�。
