政策法規

關于印發醫療衛生機構網絡安全管理辦法的通知

發布時間：2022-09-01 10:27 瀏覽次數：1463

國衛規(gui)劃發〔2022〕29號(hao)

各省(sheng)、自治區、直轄市及(ji)新疆生(sheng)(sheng)(sheng)產建設兵團衛生(sheng)(sheng)(sheng)健(jian)康(kang)委、中(zhong)醫藥局(ju)(ju)，國(guo)(guo)家衛生(sheng)(sheng)(sheng)健(jian)康(kang)委機關各司(si)局(ju)(ju)、委直屬和(he)聯系單(dan)位、中(zhong)國(guo)(guo)老齡協(xie)會，國(guo)(guo)家中(zhong)醫藥局(ju)(ju)、國(guo)(guo)家疾控(kong)局(ju)(ju)機關各司(si)局(ju)(ju)、各直屬單(dan)位：

為指導(dao)醫療衛生機(ji)構加強網(wang)絡安全(quan)管(guan)理(li)，國(guo)(guo)家(jia)衛生健(jian)康(kang)委、國(guo)(guo)家(jia)中(zhong)醫藥局、國(guo)(guo)家(jia)疾控局制定了《醫療衛生機(ji)構網(wang)絡安全(quan)管(guan)理(li)辦法》。現印發給你(ni)們，請認真貫徹執行(xing)。

國(guo)家衛生(sheng)健康委?國(guo)家中(zhong)醫藥局?國(guo)家疾控局

2022年8月(yue)8日

（信息公開形式：主(zhu)動公開）

醫療衛生機構(gou)網絡安全管理辦法

第(di)一章?總則

第一條?為加(jia)(jia)強醫(yi)(yi)療(liao)衛(wei)(wei)(wei)生機構網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)管理，進一步促(cu)(cu)進“互聯網(wang)(wang)(wang)+醫(yi)(yi)療(liao)健(jian)康”發(fa)展，充(chong)分發(fa)揮(hui)健(jian)康醫(yi)(yi)療(liao)大數(shu)(shu)據作為國(guo)家重要基(ji)礎性戰略資源的作用，加(jia)(jia)強醫(yi)(yi)療(liao)衛(wei)(wei)(wei)生機構網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)管理，防范網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)事件發(fa)生，根(gen)據《基(ji)本(ben)(ben)醫(yi)(yi)療(liao)衛(wei)(wei)(wei)生與(yu)健(jian)康促(cu)(cu)進法(fa)(fa)(fa)》《網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)法(fa)(fa)(fa)》《密碼法(fa)(fa)(fa)》《數(shu)(shu)據安(an)全(quan)(quan)法(fa)(fa)(fa)》《個(ge)人信息保(bao)護法(fa)(fa)(fa)》《關(guan)(guan)鍵信息基(ji)礎設施(shi)安(an)全(quan)(quan)保(bao)護條例》《網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)審查辦法(fa)(fa)(fa)》以及(ji)網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)(quan)等級保(bao)護制度(du)等有關(guan)(guan)法(fa)(fa)(fa)律法(fa)(fa)(fa)規(gui)標準，制定(ding)本(ben)(ben)辦法(fa)(fa)(fa)。

第二條?堅持(chi)網(wang)絡(luo)安(an)全為人(ren)民、網(wang)絡(luo)安(an)全靠人(ren)民、堅持(chi)網(wang)絡(luo)安(an)全教育、技術(shu)、產業融合發(fa)展、堅持(chi)促進發(fa)展和(he)依法管理相統一(yi)、堅持(chi)安(an)全可控和(he)開放創(chuang)新并(bing)重。

堅持分等(deng)級(ji)(ji)保(bao)護(hu)、突出重點(dian)。重點(dian)保(bao)障關鍵信息基(ji)礎設施、網絡(luo)安(an)全等(deng)級(ji)(ji)保(bao)護(hu)第三級(ji)(ji)（以下簡稱第三級(ji)(ji)）及以上網絡(luo)以及重要數(shu)據和個(ge)人信息安(an)全。

堅持積極(ji)防御、綜(zong)合防護(hu)(hu)。充分(fen)利(li)用人工智能、大數(shu)據分(fen)析等技(ji)術，強化安(an)全監測(ce)、態勢感知、通(tong)報預警和(he)應(ying)急(ji)處(chu)置等重點工作，落實(shi)網絡安(an)全保護(hu)(hu)“實(shi)戰化、體系(xi)化、常態化”和(he)“動態防御、主動防御、縱深防御、精準防護(hu)(hu)、整體防控、聯防聯控”的“三化六防”措施。

堅持(chi)“管業務就(jiu)要管安全(quan)”“誰(shui)(shui)主(zhu)管誰(shui)(shui)負(fu)責、誰(shui)(shui)運營誰(shui)(shui)負(fu)責、誰(shui)(shui)使用誰(shui)(shui)負(fu)責”的原則，落實網絡安全(quan)責任制，明確(que)各方責任。

第(di)三條?本辦法所稱(cheng)的網絡是指由計算(suan)機(ji)或者其他信息終端及相關設備組成的按照一定的規則和程序(xu)對(dui)信息進(jin)行收集(ji)、存儲、傳輸、交換、處理(li)的系(xi)統。

本(ben)辦法所(suo)稱的數據(ju)為網絡(luo)數據(ju)，是指醫療衛(wei)生(sheng)機(ji)構通(tong)過網絡(luo)收集、存儲、傳輸、處理(li)和(he)產生(sheng)的各種(zhong)電子數據(ju)，包(bao)括但(dan)不限于(yu)各類臨床(chuang)、科研(yan)、管理(li)等業(ye)務數據(ju)、醫療設備產生(sheng)的數據(ju)、個人信息以及數據(ju)衍生(sheng)物。

本辦法(fa)適用于醫療(liao)衛生機構運營網絡的安全管理(li)。未納(na)入區域基層(ceng)衛生信息系(xi)統(tong)的基層(ceng)醫療(liao)衛生機構參照執行。

第四條?國(guo)家(jia)(jia)衛(wei)生(sheng)健康委、國(guo)家(jia)(jia)中(zhong)(zhong)醫藥局、國(guo)家(jia)(jia)疾控局負(fu)責統籌規(gui)劃、指(zhi)導、評估(gu)、監督醫療衛(wei)生(sheng)機構網(wang)絡安(an)(an)全工(gong)作。縣級以上地(di)方(fang)衛(wei)生(sheng)健康行(xing)政部(bu)門（含中(zhong)(zhong)醫藥和疾控部(bu)門，下同）負(fu)責本行(xing)政區域內醫療衛(wei)生(sheng)機構網(wang)絡安(an)(an)全指(zhi)導監督工(gong)作。

醫療(liao)(liao)衛生(sheng)機(ji)(ji)構對本單位(wei)網絡(luo)安全(quan)管(guan)理負主(zhu)體責任，各(ge)醫療(liao)(liao)衛生(sheng)機(ji)(ji)構應當(dang)與(yu)(yu)信息化建設(she)參與(yu)(yu)單位(wei)及相關醫療(liao)(liao)設(she)備生(sheng)產經營企業書面約定各(ge)方(fang)的(de)網絡(luo)安全(quan)義務和違約責任。

第二(er)章?網絡安全管理

第(di)五條?各醫(yi)療衛生機構應(ying)成立(li)網絡(luo)安(an)(an)(an)全(quan)(quan)和(he)信(xin)息化(hua)工作領導(dao)小組(zu)，由單(dan)位主(zhu)要負責人任領導(dao)小組(zu)組(zu)長，每年(nian)至少召開一次網絡(luo)安(an)(an)(an)全(quan)(quan)辦公會，部(bu)(bu)署安(an)(an)(an)全(quan)(quan)重點工作，落實(shi)《關鍵信(xin)息基礎設(she)施安(an)(an)(an)全(quan)(quan)保(bao)護(hu)條例》和(he)網絡(luo)安(an)(an)(an)全(quan)(quan)等級保(bao)護(hu)制度(du)要求(qiu)。有二(er)級及以上網絡(luo)的(de)醫(yi)療衛生機構應(ying)明(ming)確負責網絡(luo)安(an)(an)(an)全(quan)(quan)管(guan)(guan)理工作的(de)職能部(bu)(bu)門(men)，明(ming)確承擔安(an)(an)(an)全(quan)(quan)主(zhu)管(guan)(guan)、安(an)(an)(an)全(quan)(quan)管(guan)(guan)理員等職責的(de)崗位；建立(li)網絡(luo)安(an)(an)(an)全(quan)(quan)管(guan)(guan)理制度(du)體(ti)系(xi)，加強網絡(luo)安(an)(an)(an)全(quan)(quan)防(fang)(fang)護(hu)，強化(hua)應(ying)急處置，在此基礎上對(dui)關鍵信(xin)息基礎設(she)施實(shi)行重點保(bao)護(hu)，防(fang)(fang)止網絡(luo)安(an)(an)(an)全(quan)(quan)事(shi)件(jian)發(fa)生。

第六條?各醫療衛生機構按(an)照“誰(shui)(shui)(shui)主管(guan)誰(shui)(shui)(shui)負責(ze)、誰(shui)(shui)(shui)運(yun)營誰(shui)(shui)(shui)負責(ze)、誰(shui)(shui)(shui)使用(yong)誰(shui)(shui)(shui)負責(ze)”的原則，在(zai)網絡(luo)建(jian)設(she)過程中明(ming)確本(ben)單位各網絡(luo)的主管(guan)部門(men)、運(yun)營部門(men)、信息(xi)化部門(men)、使用(yong)部門(men)等管(guan)理職責(ze)，對本(ben)單位運(yun)營范圍內的網絡(luo)進行等級保護定級、備案、測評、安(an)全建(jian)設(she)整改等工作。

（一）對新(xin)建網(wang)(wang)(wang)絡(luo)，應在(zai)規劃和申報(bao)階段確定(ding)網(wang)(wang)(wang)絡(luo)安全(quan)保護等級。各(ge)醫療衛(wei)生機構應全(quan)面梳理本單位各(ge)類(lei)網(wang)(wang)(wang)絡(luo)，特別是云計(ji)算、物聯網(wang)(wang)(wang)、區(qu)塊鏈、5G、大數據(ju)等新(xin)技(ji)術應用的(de)基本情(qing)況，并根據(ju)網(wang)(wang)(wang)絡(luo)的(de)功能(neng)、服(fu)務范(fan)圍、服(fu)務對象和處(chu)理數據(ju)等情(qing)況，依據(ju)相(xiang)關標準(zhun)科學確定(ding)網(wang)(wang)(wang)絡(luo)的(de)安全(quan)保護等級，并報(bao)上級主(zhu)管部門審(shen)核(he)同意。

（二(er)）新建網(wang)(wang)絡投入(ru)使用(yong)應依法(fa)依規開(kai)展等級(ji)保(bao)(bao)護備案(an)工(gong)作(zuo)。第二(er)級(ji)以上(shang)網(wang)(wang)絡應在網(wang)(wang)絡安(an)(an)全(quan)保(bao)(bao)護等級(ji)確(que)定后(hou)10個工(gong)作(zuo)日內(nei)(nei)，由其運營者向(xiang)公(gong)安(an)(an)機關(guan)備案(an)，并將備案(an)情況報上(shang)級(ji)衛生健康行政部(bu)門，因網(wang)(wang)絡撤銷或變(bian)更安(an)(an)全(quan)保(bao)(bao)護等級(ji)的，應在10個工(gong)作(zuo)日內(nei)(nei)向(xiang)原(yuan)備案(an)公(gong)安(an)(an)機關(guan)撤銷或變(bian)更，同(tong)步上(shang)報上(shang)級(ji)衛生健康行政部(bu)門。

（三(san)）全(quan)(quan)面梳理(li)(li)分(fen)析(xi)網(wang)絡(luo)安(an)(an)(an)(an)(an)全(quan)(quan)保護需求(qiu)，按(an)照“一(yi)個中心（安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)(li)中心），三(san)重防護（安(an)(an)(an)(an)(an)全(quan)(quan)通信網(wang)絡(luo)、安(an)(an)(an)(an)(an)全(quan)(quan)區域邊(bian)界(jie)、安(an)(an)(an)(an)(an)全(quan)(quan)計算(suan)環境(jing)）”的要求(qiu)，制(zhi)定符合網(wang)絡(luo)安(an)(an)(an)(an)(an)全(quan)(quan)保護等級要求(qiu)的整(zheng)體規劃和建(jian)設(she)方(fang)案(an)，加強信息系統自行開(kai)(kai)(kai)發(fa)或外(wai)包開(kai)(kai)(kai)發(fa)過程(cheng)中的安(an)(an)(an)(an)(an)全(quan)(quan)管理(li)(li)，認(ren)真開(kai)(kai)(kai)展網(wang)絡(luo)安(an)(an)(an)(an)(an)全(quan)(quan)建(jian)設(she)，全(quan)(quan)面落實(shi)安(an)(an)(an)(an)(an)全(quan)(quan)保護措施。

（四）各醫療衛生機構對已定級(ji)(ji)(ji)備案網(wang)(wang)絡(luo)(luo)的安(an)全(quan)性(xing)進行(xing)檢(jian)測(ce)(ce)評估，第三(san)級(ji)(ji)(ji)或第四級(ji)(ji)(ji)的網(wang)(wang)絡(luo)(luo)應委托等(deng)級(ji)(ji)(ji)保(bao)護測(ce)(ce)評機構，每(mei)年(nian)至少(shao)(shao)一(yi)次開展網(wang)(wang)絡(luo)(luo)安(an)全(quan)等(deng)級(ji)(ji)(ji)測(ce)(ce)評。第二級(ji)(ji)(ji)的網(wang)(wang)絡(luo)(luo)應委托等(deng)級(ji)(ji)(ji)保(bao)護測(ce)(ce)評機構定期開展網(wang)(wang)絡(luo)(luo)安(an)全(quan)等(deng)級(ji)(ji)(ji)測(ce)(ce)評，其中涉及(ji)10萬人(ren)(ren)以上個人(ren)(ren)信息的網(wang)(wang)絡(luo)(luo)應至少(shao)(shao)三(san)年(nian)開展一(yi)次網(wang)(wang)絡(luo)(luo)安(an)全(quan)等(deng)級(ji)(ji)(ji)測(ce)(ce)評，其他的網(wang)(wang)絡(luo)(luo)至少(shao)(shao)五年(nian)開展一(yi)次網(wang)(wang)絡(luo)(luo)安(an)全(quan)等(deng)級(ji)(ji)(ji)測(ce)(ce)評。新建的網(wang)(wang)絡(luo)(luo)上線運行(xing)前應進行(xing)安(an)全(quan)性(xing)測(ce)(ce)試(shi)。

（五）針對(dui)等級測評(ping)中發現的問題隱(yin)患，各醫療(liao)衛生(sheng)機構要結合(he)外在的威脅風險，按照法律法規、政策(ce)和(he)標準要求，制(zhi)定(ding)網(wang)絡安全整(zheng)(zheng)改(gai)方(fang)案，有(you)針對(dui)性地開展整(zheng)(zheng)改(gai)，及時消除(chu)風險隱(yin)患，補強管理(li)和(he)技術短板，提升安全防護(hu)能力。

第七條(tiao)?各醫(yi)療衛生(sheng)機構(gou)應(ying)依(yi)托國家網(wang)絡(luo)安全信息(xi)通報(bao)機制，加強本單位網(wang)絡(luo)安全通報(bao)預警力(li)量建設(she)(she)。鼓勵(li)三級醫(yi)院探索態勢感知平臺建設(she)(she)，及時收集、匯總(zong)、分析各方網(wang)絡(luo)安全信息(xi)，加強威(wei)脅情(qing)報(bao)工作，組織開展(zhan)網(wang)絡(luo)安全威(wei)脅分析和(he)態勢研判，及時通報(bao)預警和(he)處置，防止網(wang)絡(luo)被(bei)破壞、數據外泄等事件。

第(di)八條?各醫療衛(wei)生機(ji)構應(ying)(ying)建立應(ying)(ying)急處置(zhi)機(ji)制，通過(guo)建立完善應(ying)(ying)急預案、組(zu)織(zhi)應(ying)(ying)急演練等方(fang)式，有效處理網(wang)絡中(zhong)斷、網(wang)絡攻擊、數據泄露(lu)等安(an)全事件，提高(gao)應(ying)(ying)對網(wang)絡安(an)全事件能(neng)力。積極參加網(wang)絡安(an)全攻防演練，提升(sheng)保護(hu)和(he)對抗能(neng)力。

第九條?各(ge)醫療衛生(sheng)(sheng)機構在網絡(luo)運營過程(cheng)中(zhong)，應每年開展文(wen)檔核驗、漏洞(dong)掃描、滲透測(ce)試(shi)等(deng)多種(zhong)形式的(de)安(an)(an)全(quan)(quan)自(zi)查(cha)，及時發現可(ke)能存在的(de)問題(ti)(ti)和(he)隱(yin)患。針對安(an)(an)全(quan)(quan)自(zi)查(cha)、監測(ce)預警、安(an)(an)全(quan)(quan)通報等(deng)過程(cheng)中(zhong)發現的(de)安(an)(an)全(quan)(quan)隱(yin)患應認真(zhen)開展整(zheng)改(gai)加固，防止網絡(luo)帶病運行，并(bing)按要(yao)求將(jiang)安(an)(an)全(quan)(quan)自(zi)查(cha)整(zheng)改(gai)情況報上(shang)級(ji)衛生(sheng)(sheng)健康行政部門(men)。自(zi)查(cha)整(zheng)改(gai)可(ke)與等(deng)級(ji)測(ce)評(ping)問題(ti)(ti)整(zheng)改(gai)一(yi)并(bing)實施。

每年安(an)全自查(cha)整改工作包括(kuo)：

（一(yi)）依據上級(ji)主管監管機構要求，各(ge)醫療衛生機構完成信(xin)息資產梳理(li)，摸清本單(dan)(dan)位網絡定級(ji)、備(bei)案等情(qing)況(kuang)，形成資產清單(dan)(dan)，組織安全自查。

（二）依據(ju)上級主(zhu)管(guan)(guan)監管(guan)(guan)機構(gou)要求(qiu)，各醫療衛生機構(gou)依據(ju)安(an)全自查結果，對發現的問題和隱患進行整改，形(xing)成整改報告(gao)向有關主(zhu)管(guan)(guan)監管(guan)(guan)機構(gou)報備。

第十條?關(guan)鍵信息基(ji)礎(chu)設施運(yun)營(ying)(ying)者(zhe)應對(dui)安(an)(an)(an)全管(guan)理(li)機構(gou)負責人(ren)和關(guan)鍵崗(gang)位(wei)人(ren)員進行安(an)(an)(an)全背景(jing)審(shen)查。各醫療(liao)衛生機構(gou)要加強網(wang)絡運(yun)營(ying)(ying)相關(guan)人(ren)員管(guan)理(li)，包(bao)括(kuo)本單位(wei)內部(bu)人(ren)員及第三方人(ren)員，明確(que)內部(bu)人(ren)員入(ru)職(zhi)、培訓、考核、離崗(gang)全流程(cheng)安(an)(an)(an)全管(guan)理(li)，針對(dui)第三方應明確(que)人(ren)員接觸網(wang)絡時的申請及批準(zhun)流程(cheng)，做好實名登記、人(ren)員背景(jing)審(shen)查、保密協(xie)議(yi)簽署(shu)等(deng)工作，防止因(yin)人(ren)員資質及違規(gui)操作引發的安(an)(an)(an)全風險(xian)。

第十(shi)一條?加(jia)強網(wang)絡運維(wei)管(guan)理(li)，制定運維(wei)操作(zuo)規范(fan)和工作(zuo)流(liu)程。加(jia)強物理(li)安(an)(an)(an)全防(fang)護，完善機房、辦公環境及運維(wei)現(xian)場(chang)等安(an)(an)(an)全控制措施(shi)，防(fang)止非授權訪問(wen)物理(li)環境造成(cheng)信息泄露。加(jia)強遠(yuan)(yuan)程運維(wei)管(guan)理(li)，因(yin)業務確需通過(guo)互聯網(wang)遠(yuan)(yuan)程運維(wei)的，應(ying)進行評(ping)估論證，并采(cai)取相應(ying)的安(an)(an)(an)全管(guan)控措施(shi)，防(fang)止遠(yuan)(yuan)程端口暴(bao)露引發安(an)(an)(an)全事(shi)件。

第十二條?各醫(yi)療(liao)(liao)衛(wei)生(sheng)機構應(ying)(ying)(ying)加(jia)強業務連續(xu)性(xing)管理并持續(xu)監測網(wang)絡運行狀態。對于第三(san)級(ji)及以上的網(wang)絡應(ying)(ying)(ying)加(jia)強保障(zhang)關鍵鏈路、關鍵設備冗余備份，有條件(jian)的醫(yi)療(liao)(liao)衛(wei)生(sheng)機構應(ying)(ying)(ying)建立應(ying)(ying)(ying)用級(ji)容災(zai)備份，防止關鍵業務中(zhong)斷。

第十三條?應(ying)用(yong)大數據(ju)、人工智(zhi)能(neng)、區塊(kuai)鏈等新技術(shu)開展服務時，上線(xian)前(qian)應(ying)評估(gu)新技術(shu)的安(an)全(quan)風險并(bing)進行安(an)全(quan)管(guan)控，達到應(ying)用(yong)與安(an)全(quan)的平衡。

第(di)十(shi)四(si)條?各醫(yi)(yi)療衛生機(ji)構應(ying)規范和(he)加(jia)強醫(yi)(yi)療設備(bei)數(shu)據、個人信息保護和(he)網(wang)(wang)絡(luo)(luo)安(an)全管理，建立(li)健全醫(yi)(yi)療設備(bei)招(zhao)標采購、安(an)裝調(diao)試、運行使用、維護維修、報廢(fei)處置(zhi)等相關網(wang)(wang)絡(luo)(luo)安(an)全管理制度(du)，定期檢查或(huo)評估醫(yi)(yi)療設備(bei)網(wang)(wang)絡(luo)(luo)安(an)全，并采取相應(ying)的安(an)全管控措施，確(que)保醫(yi)(yi)療設備(bei)網(wang)(wang)絡(luo)(luo)安(an)全。

第十五條(tiao)?各醫療衛(wei)生機構應按(an)照《密(mi)碼(ma)法(fa)》等(deng)有(you)關(guan)法(fa)律法(fa)規和密(mi)碼(ma)應用相(xiang)關(guan)標準(zhun)規范(fan)，在(zai)網(wang)絡建(jian)設過(guo)程(cheng)中同步(bu)規劃、同步(bu)建(jian)設、同步(bu)運行密(mi)碼(ma)保護措施(shi)，使(shi)用符合相(xiang)關(guan)要求的密(mi)碼(ma)產品和服務。

第(di)十六條?各醫療衛生機(ji)構應關注整(zheng)個網(wang)絡全鏈條參與(yu)者(zhe)的(de)安(an)(an)全管理(li)，涉及非(fei)本單(dan)位的(de)第(di)三方時，應對(dui)設(she)計、建(jian)設(she)、運行(xing)、維(wei)護等服務(wu)實施安(an)(an)全管理(li)，采購(gou)安(an)(an)全的(de)網(wang)絡產品和服務(wu)，防(fang)止發生第(di)三方安(an)(an)全事件。

第十七條?各醫(yi)療衛生機(ji)構應加強廢止網絡的(de)安全(quan)(quan)管理，對廢止網絡的(de)相關設(she)備(bei)進行風險評估，及時對其采取封存或銷毀措施，確保廢止網絡中(zhong)的(de)數(shu)據處置(zhi)安全(quan)(quan)，防止網絡數(shu)據泄露。

第(di)三章?數據安全管理

第十(shi)八條?各醫療衛生機構應按照(zhao)有關(guan)法律法規的規定，參照(zhao)國(guo)家網絡(luo)安(an)(an)全(quan)(quan)(quan)標準，履行數據(ju)(ju)(ju)安(an)(an)全(quan)(quan)(quan)保護義務，堅持(chi)保障(zhang)數據(ju)(ju)(ju)安(an)(an)全(quan)(quan)(quan)與發展并(bing)重，通過(guo)管理(li)和(he)技術手段保障(zhang)數據(ju)(ju)(ju)安(an)(an)全(quan)(quan)(quan)和(he)數據(ju)(ju)(ju)應用的有效平衡。關(guan)鍵信息(xi)基礎(chu)設施(shi)運營者應擬定關(guan)鍵信息(xi)基礎(chu)設施(shi)安(an)(an)全(quan)(quan)(quan)保護計劃(hua)，建立健全(quan)(quan)(quan)數據(ju)(ju)(ju)安(an)(an)全(quan)(quan)(quan)和(he)個人信息(xi)保護制度。

第十(shi)九(jiu)條(tiao)?應建(jian)立數(shu)據(ju)安(an)全(quan)(quan)(quan)管(guan)理(li)組(zu)織架構(gou)，明確業務部門與管(guan)理(li)部門在(zai)數(shu)據(ju)安(an)全(quan)(quan)(quan)活動中的(de)主體責(ze)(ze)任，通(tong)過安(an)全(quan)(quan)(quan)責(ze)(ze)任書(shu)等方式(shi)，規范本單位(wei)數(shu)據(ju)管(guan)理(li)部門、業務部門、信息化部門在(zai)數(shu)據(ju)安(an)全(quan)(quan)(quan)管(guan)理(li)全(quan)(quan)(quan)生命周(zhou)期(qi)當(dang)中的(de)權責(ze)(ze)，建(jian)立數(shu)據(ju)安(an)全(quan)(quan)(quan)工作責(ze)(ze)任制(zhi)，落實追責(ze)(ze)追究制(zhi)度。

第二十條?各(ge)醫(yi)療(liao)衛生機構應每(mei)年對數(shu)據(ju)(ju)資產進行(xing)(xing)全面梳(shu)理，在(zai)落實(shi)網絡安全等級保護制度(du)的基礎上，依(yi)據(ju)(ju)數(shu)據(ju)(ju)的重要程度(du)以及遭到破壞(huai)后的危(wei)害程度(du)建(jian)立本單位數(shu)據(ju)(ju)分類(lei)分級標準。數(shu)據(ju)(ju)分類(lei)分級應遵循合法合規原(yuan)(yuan)則(ze)、可執行(xing)(xing)原(yuan)(yuan)則(ze)、時效性(xing)(xing)原(yuan)(yuan)則(ze)、自(zi)主性(xing)(xing)原(yuan)(yuan)則(ze)、差異性(xing)(xing)原(yuan)(yuan)則(ze)及客觀(guan)性(xing)(xing)原(yuan)(yuan)則(ze)。

第二(er)十一條?各醫(yi)(yi)療衛(wei)生機(ji)構應建(jian)立健(jian)全(quan)(quan)數(shu)據(ju)安(an)全(quan)(quan)管(guan)理制(zhi)度(du)、操作(zuo)(zuo)規(gui)程及(ji)技(ji)術規(gui)范(fan)，涉及(ji)的(de)管(guan)理制(zhi)度(du)每(mei)(mei)年(nian)(nian)至少修訂(ding)一次，建(jian)議相(xiang)關人員每(mei)(mei)年(nian)(nian)度(du)簽署(shu)保密協議。每(mei)(mei)年(nian)(nian)對本單位的(de)數(shu)據(ju)進行數(shu)據(ju)安(an)全(quan)(quan)風險(xian)評估，及(ji)時掌握數(shu)據(ju)安(an)全(quan)(quan)狀態。加強(qiang)數(shu)據(ju)安(an)全(quan)(quan)教育培(pei)訓，組(zu)織安(an)全(quan)(quan)意(yi)識教育和數(shu)據(ju)安(an)全(quan)(quan)管(guan)理制(zhi)度(du)宣傳培(pei)訓。結(jie)合本單位實際，建(jian)立完(wan)善數(shu)據(ju)使用(yong)申(shen)請及(ji)批準(zhun)流(liu)程，遵循“誰(shui)主(zhu)管(guan)、誰(shui)審查”、遵循事(shi)前申(shen)請及(ji)批準(zhun)、事(shi)中監管(guan)、事(shi)后審核原則，嚴格執行業(ye)務(wu)管(guan)理部門同意(yi)、醫(yi)(yi)療衛(wei)生機(ji)構領導(dao)核準(zhun)的(de)工(gong)作(zuo)(zuo)程序(xu)，指(zhi)導(dao)數(shu)據(ju)活動(dong)流(liu)程合規(gui)。

第二十二條?各(ge)醫療衛生(sheng)機構應(ying)加強(qiang)數據(ju)收集、存(cun)儲、傳(chuan)輸(shu)、處(chu)(chu)理(li)、使用、交(jiao)換(huan)、銷毀全(quan)生(sheng)命周期安全(quan)管理(li)工作(zuo)，數據(ju)全(quan)生(sheng)命周期活動應(ying)在境(jing)內開(kai)展，因業務確(que)需(xu)向境(jing)外提供的(de)，應(ying)當按照相關法律法規及有關要求進行安全(quan)評估(gu)或(huo)審核，針對影(ying)響(xiang)或(huo)者可(ke)能影(ying)響(xiang)國(guo)家安全(quan)的(de)數據(ju)處(chu)(chu)理(li)活動需(xu)提交(jiao)國(guo)家安全(quan)審查，防止數據(ju)安全(quan)事件發生(sheng)。

（一）各醫療衛(wei)生機(ji)構應加(jia)強數(shu)據(ju)收集合法(fa)(fa)性管(guan)理(li)，明確業(ye)務部門(men)和管(guan)理(li)部門(men)在(zai)數(shu)據(ju)收集合法(fa)(fa)性中(zhong)的主體責任。采取數(shu)據(ju)脫敏、數(shu)據(ju)加(jia)密(mi)、鏈路加(jia)密(mi)等防控措施，防止數(shu)據(ju)收集過程中(zhong)數(shu)據(ju)被泄露。

（二）在數(shu)(shu)據分類分級的基礎(chu)上(shang)，進一步明確(que)不同安(an)全級別數(shu)(shu)據的加密傳輸要(yao)求(qiu)。加強(qiang)傳輸過(guo)程中的接(jie)口安(an)全控制，確(que)保在通過(guo)接(jie)口傳輸時的安(an)全性，防止數(shu)(shu)據被竊(qie)取。

（三）各醫療衛生機構(gou)應(ying)(ying)按(an)照(zhao)有關法規標準，選擇(ze)合適的數(shu)(shu)據(ju)存(cun)(cun)儲(chu)架構(gou)和介質(zhi)在境內存(cun)(cun)儲(chu)，并采取備份(fen)、加(jia)密等措(cuo)施加(jia)強(qiang)數(shu)(shu)據(ju)的存(cun)(cun)儲(chu)安全。涉及(ji)到云上存(cun)(cun)儲(chu)數(shu)(shu)據(ju)時，應(ying)(ying)當評(ping)估可能帶(dai)來(lai)的安全風險。數(shu)(shu)據(ju)存(cun)(cun)儲(chu)周期不應(ying)(ying)超出(chu)數(shu)(shu)據(ju)使用(yong)規則確定的保存(cun)(cun)期限。加(jia)強(qiang)存(cun)(cun)儲(chu)過程中訪問控制(zhi)安全、數(shu)(shu)據(ju)副本安全、數(shu)(shu)據(ju)歸檔安全管(guan)控。

（四）各醫療衛生(sheng)機構應(ying)嚴格規定不同人(ren)員的(de)權限(xian)，加(jia)強數(shu)據(ju)(ju)(ju)使(shi)用過程(cheng)中的(de)申請及(ji)批準(zhun)流程(cheng)管理，確保(bao)數(shu)據(ju)(ju)(ju)在可控范圍內使(shi)用，加(jia)強日志留存(cun)及(ji)管理工作(zuo)，杜絕(jue)篡改、刪除日志的(de)現象發生(sheng)，防止數(shu)據(ju)(ju)(ju)越權使(shi)用。各數(shu)據(ju)(ju)(ju)使(shi)用部門(men)和數(shu)據(ju)(ju)(ju)使(shi)用人(ren)須嚴格按照申請所述用途與范圍使(shi)用數(shu)據(ju)(ju)(ju)，對數(shu)據(ju)(ju)(ju)的(de)安全負責。未(wei)經批準(zhun)，任(ren)何部門(men)和個人(ren)不得將未(wei)對外公開的(de)信息數(shu)據(ju)(ju)(ju)傳遞至部門(men)外，不得以(yi)任(ren)何方式將其泄露。

（五(wu)）各(ge)醫(yi)療(liao)衛生機構發布、共享數(shu)據時(shi)應當(dang)評(ping)估可能帶來的安(an)全風險，并采取(qu)必要的安(an)全防控措施；涉及數(shu)據上(shang)(shang)報(bao)(bao)時(shi)，應由數(shu)據上(shang)(shang)報(bao)(bao)提出方負(fu)責解讀上(shang)(shang)報(bao)(bao)要求，確(que)定上(shang)(shang)報(bao)(bao)范圍和(he)上(shang)(shang)報(bao)(bao)規則,確(que)保數(shu)據上(shang)(shang)報(bao)(bao)安(an)全可控。

（六）各(ge)醫療衛(wei)生機構(gou)開展(zhan)人臉(lian)識(shi)別(bie)(bie)或人臉(lian)辨(bian)識(shi)時，應同時提供非人臉(lian)識(shi)別(bie)(bie)的(de)身(shen)份(fen)(fen)識(shi)別(bie)(bie)方(fang)式(shi)，不(bu)得(de)因數(shu)(shu)據(ju)(ju)(ju)主體(ti)不(bu)同意收(shou)集人臉(lian)識(shi)別(bie)(bie)數(shu)(shu)據(ju)(ju)(ju)而(er)拒絕數(shu)(shu)據(ju)(ju)(ju)主體(ti)使用(yong)(yong)其基本業(ye)務功能，人臉(lian)識(shi)別(bie)(bie)數(shu)(shu)據(ju)(ju)(ju)不(bu)得(de)用(yong)(yong)于(yu)除身(shen)份(fen)(fen)識(shi)別(bie)(bie)之外的(de)其他目的(de)，包(bao)括但(dan)不(bu)限(xian)于(yu)評估(gu)或預(yu)測數(shu)(shu)據(ju)(ju)(ju)主體(ti)工作表現(xian)、經濟狀(zhuang)(zhuang)況、健康狀(zhuang)(zhuang)況、偏好、興趣等。各(ge)醫療衛(wei)生機構(gou)應采(cai)(cai)取(qu)安全措施存(cun)儲和傳輸人臉(lian)識(shi)別(bie)(bie)數(shu)(shu)據(ju)(ju)(ju)，包(bao)括但(dan)不(bu)限(xian)于(yu)加(jia)密(mi)存(cun)儲和傳輸人臉(lian)識(shi)別(bie)(bie)數(shu)(shu)據(ju)(ju)(ju)，采(cai)(cai)用(yong)(yong)物理或邏輯(ji)隔離方(fang)式(shi)分別(bie)(bie)存(cun)儲人臉(lian)識(shi)別(bie)(bie)和個(ge)人身(shen)份(fen)(fen)信(xin)息等。

（七）數據銷(xiao)毀(hui)(hui)時應采用確(que)保(bao)數據無法還原的(de)銷(xiao)毀(hui)(hui)方式，重點關注數據殘留風(feng)險及數據備份風(feng)險。

第(di)四章?監督(du)管(guan)理

第二十三條?各醫療衛生機構應積極配合有(you)關主管(guan)監(jian)管(guan)機構監(jian)督管(guan)理，接受網(wang)絡安全(quan)(quan)管(guan)理日常檢查，做(zuo)好網(wang)絡安全(quan)(quan)防護等工作(zuo)。

第二十(shi)四(si)條?各醫療(liao)衛生機構應及時整改(gai)有關主管監(jian)管機構檢(jian)查過(guo)程中(zhong)發(fa)現的漏洞(dong)和隱患(huan)等問題，杜(du)絕(jue)重大網絡(luo)安全事件發(fa)生。

第二十五條?發生(sheng)個人信(xin)息和數據泄露、毀損、丟失等安全(quan)事(shi)件(jian)(jian)和網絡(luo)系統遭攻擊、入侵(qin)、控(kong)制等網絡(luo)安全(quan)事(shi)件(jian)(jian)，或者發現網絡(luo)存在漏洞隱患、網絡(luo)安全(quan)風險明顯(xian)增(zeng)大時，各醫療衛(wei)生(sheng)機構應(ying)當立即啟動(dong)應(ying)急預案，采取必要(yao)的補救和處置措施，及時以電話、短(duan)信(xin)、郵件(jian)(jian)或信(xin)函等多(duo)種方式告(gao)知相關主體，并按照要(yao)求向有關主管監管部門報告(gao)。

第二十六條?各級衛生健康行政部門(men)應(ying)建立網(wang)絡安全事(shi)件通報工(gong)作機制，及時通報網(wang)絡安全事(shi)件。

第二十七條?發(fa)生網(wang)絡(luo)安全事件時(shi)(shi)，各(ge)醫療衛生機(ji)構(gou)應及時(shi)(shi)向衛生健康行政部(bu)門、公(gong)安機(ji)關報告，做好現場保護、留存相關記錄(lu)，為公(gong)安機(ji)關等(deng)監(jian)管(guan)部(bu)門依法維護國(guo)家安全和開(kai)展偵(zhen)查(cha)調查(cha)等(deng)活動提供技術支持(chi)和協(xie)助(zhu)。

第五(wu)章?管(guan)理保障

第二十八條?各醫(yi)療衛(wei)生機(ji)構(gou)應高度重(zhong)視網(wang)絡安(an)全管理工作，將其列(lie)入重(zhong)要議事日程，加強統(tong)籌領(ling)導和(he)(he)規(gui)劃設計，依法依規(gui)落實人員(yuan)、經(jing)費投入、安(an)全保(bao)(bao)護措施建設等重(zhong)大問題，保(bao)(bao)證信息系統(tong)建設時安(an)全保(bao)(bao)護措施同步(bu)規(gui)劃、同步(bu)建設和(he)(he)同步(bu)使(shi)用。

第二十九條(tiao)?各(ge)醫療(liao)衛(wei)生機構應(ying)加強網(wang)絡(luo)(luo)安(an)全(quan)(quan)(quan)業(ye)務交(jiao)流，嚴格執行網(wang)絡(luo)(luo)安(an)全(quan)(quan)(quan)繼續教育制(zhi)度，鼓勵管理崗位(wei)和(he)技術崗位(wei)持(chi)證上崗。通(tong)過組(zu)織開(kai)展學術交(jiao)流及比武競賽的方式，發現(xian)選拔網(wang)絡(luo)(luo)安(an)全(quan)(quan)(quan)人(ren)(ren)才，建立(li)人(ren)(ren)才庫，建立(li)健全(quan)(quan)(quan)人(ren)(ren)才發現(xian)、培(pei)養、選拔和(he)使用機制(zhi)，為做好(hao)網(wang)絡(luo)(luo)安(an)全(quan)(quan)(quan)工作(zuo)提供(gong)人(ren)(ren)才保障。

第(di)三十條各醫療(liao)衛生機構應保(bao)障開(kai)展網絡安全(quan)等級測評、風險評估(gu)、攻防(fang)演練競賽、安全(quan)建(jian)(jian)設整改(gai)、安全(quan)保(bao)護平臺建(jian)(jian)設、密碼保(bao)障系(xi)統建(jian)(jian)設、運(yun)維、教育培訓(xun)等經費(fei)投(tou)入。新建(jian)(jian)信息化(hua)項目的(de)網絡安全(quan)預算(suan)不(bu)低于項目總預算(suan)的(de)5%。

第三十一條?各醫療(liao)衛生(sheng)機構應進一步完(wan)善網絡(luo)安全(quan)考(kao)核評(ping)價制度，明確考(kao)核指標，組織(zhi)開展考(kao)核。鼓勵(li)有條(tiao)件的醫療(liao)衛生(sheng)機構將考(kao)核與績(ji)效掛鉤。

第(di)六章附則

第三十(shi)二(er)條(tiao)?違反本辦(ban)法(fa)規(gui)定，發生(sheng)個人(ren)信(xin)息和(he)數(shu)據泄(xie)露，或(huo)者(zhe)出現重大網絡安(an)全事(shi)件的(de)，按《網絡安(an)全法(fa)》《密(mi)碼法(fa)》《基(ji)本醫療衛(wei)生(sheng)與健康促(cu)進(jin)法(fa)》《數(shu)據安(an)全法(fa)》《個人(ren)信(xin)息保(bao)護(hu)法(fa)》《關鍵(jian)信(xin)息基(ji)礎設施(shi)安(an)全保(bao)護(hu)條例》以及網絡安(an)全等級保(bao)護(hu)制度(du)等法(fa)律法(fa)規(gui)處理。

第三(san)(san)十三(san)(san)條涉(she)及國家秘密(mi)的(de)網(wang)絡，按(an)照國家有關規定執行(xing)。

第(di)三十四條?本辦法自印發之日起實施。

上一篇：市場監管總局國家密碼管理局關于發布《商用密碼產品認證目錄（第二批）》的公告

下一篇：中華人民共和國反電信網絡詐騙法

刚到房间门口就热吻扔衣服,臭氧老化试验箱,做爰视频,性色av网站,床震吃胸膜奶免费视频

關于印發醫療衛生機構網絡安全管理辦法的通知