關于印發(fā)醫(yī)療衛(wèi)生機構網絡安全管理辦法的通知
國衛(wèi)規(guī)劃發(fā)〔2022〕29號
各省���、自治區(qū)��、直轄市及新疆生產建設兵團衛(wèi)生健康委�、中醫(yī)藥局��,國家衛(wèi)生健康委機關各司局���、委直屬和聯系單位���、中國老齡協會����,國家中醫(yī)藥局�����、國家疾控局機關各司局�、各直屬單位:
為指導醫(yī)療衛(wèi)生機構加強網絡安全管理,國家衛(wèi)生健康委�、國家中醫(yī)藥局、國家疾控局制定了《醫(yī)療衛(wèi)生機構網絡安全管理辦法》?,F印發(fā)給你們,請認真貫徹執(zhí)行�����。
國家衛(wèi)生健康委
國家中醫(yī)藥局
國家疾控局
2022年8月8日
(信息公開形式:主動公開)
醫(yī)療衛(wèi)生機構網絡安全管理辦法
第一章?總則
第一條?為加強醫(yī)療衛(wèi)生機構網絡安全管理����,進一步促進“互聯網+醫(yī)療健康”發(fā)展,充分發(fā)揮健康醫(yī)療大數據作為國家重要基礎性戰(zhàn)略資源的作用���,加強醫(yī)療衛(wèi)生機構網絡安全管理�,防范網絡安全事件發(fā)生,根據《基本醫(yī)療衛(wèi)生與健康促進法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制度等有關法律法規(guī)標準�,制定本辦法���。
第二條?堅持網絡安全為人民�、網絡安全靠人民����、堅持網絡安全教育、技術����、產業(yè)融合發(fā)展、堅持促進發(fā)展和依法管理相統一��、堅持安全可控和開放創(chuàng)新并重����。
堅持分等級保護、突出重點��。重點保障關鍵信息基礎設施�����、網絡安全等級保護第三級(以下簡稱第三級)及以上網絡以及重要數據和個人信息安全。
堅持積極防御�����、綜合防護��。充分利用人工智能����、大數據分析等技術,強化安全監(jiān)測����、態(tài)勢感知、通報預警和應急處置等重點工作�����,落實網絡安全保護“實戰(zhàn)化���、體系化��、常態(tài)化”和“動態(tài)防御����、主動防御、縱深防御�����、精準防護�����、整體防控�����、聯防聯控”的“三化六防”措施�。
堅持“管業(yè)務就要管安全”“誰主管誰負責����、誰運營誰負責、誰使用誰負責”的原則���,落實網絡安全責任制�,明確各方責任�����。
第三條?本辦法所稱的網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲����、傳輸、交換�、處理的系統。
本辦法所稱的數據為網絡數據���,是指醫(yī)療衛(wèi)生機構通過網絡收集����、存儲�、傳輸、處理和產生的各種電子數據����,包括但不限于各類臨床、科研��、管理等業(yè)務數據��、醫(yī)療設備產生的數據�����、個人信息以及數據衍生物。
本辦法適用于醫(yī)療衛(wèi)生機構運營網絡的安全管理���。未納入區(qū)域基層衛(wèi)生信息系統的基層醫(yī)療衛(wèi)生機構參照執(zhí)行���。
第四條?國家衛(wèi)生健康委、國家中醫(yī)藥局�����、國家疾控局負責統籌規(guī)劃��、指導����、評估�、監(jiān)督醫(yī)療衛(wèi)生機構網絡安全工作??h級以上地方衛(wèi)生健康行政部門(含中醫(yī)藥和疾控部門,下同)負責本行政區(qū)域內醫(yī)療衛(wèi)生機構網絡安全指導監(jiān)督工作��。
醫(yī)療衛(wèi)生機構對本單位網絡安全管理負主體責任���,各醫(yī)療衛(wèi)生機構應當與信息化建設參與單位及相關醫(yī)療設備生產經營企業(yè)書面約定各方的網絡安全義務和違約責任�。
第二章?網絡安全管理
第五條?各醫(yī)療衛(wèi)生機構應成立網絡安全和信息化工作領導小組,由單位主要負責人任領導小組組長�����,每年至少召開一次網絡安全辦公會����,部署安全重點工作,落實《關鍵信息基礎設施安全保護條例》和網絡安全等級保護制度要求��。有二級及以上網絡的醫(yī)療衛(wèi)生機構應明確負責網絡安全管理工作的職能部門����,明確承擔安全主管、安全管理員等職責的崗位����;建立網絡安全管理制度體系,加強網絡安全防護���,強化應急處置����,在此基礎上對關鍵信息基礎設施實行重點保護,防止網絡安全事件發(fā)生���。
第六條?各醫(yī)療衛(wèi)生機構按照“誰主管誰負責��、誰運營誰負責�����、誰使用誰負責”的原則����,在網絡建設過程中明確本單位各網絡的主管部門��、運營部門�、信息化部門��、使用部門等管理職責�,對本單位運營范圍內的網絡進行等級保護定級、備案�����、測評�、安全建設整改等工作。
(一)對新建網絡,應在規(guī)劃和申報階段確定網絡安全保護等級�����。各醫(yī)療衛(wèi)生機構應全面梳理本單位各類網絡��,特別是云計算�����、物聯網�、區(qū)塊鏈、5G��、大數據等新技術應用的基本情況��,并根據網絡的功能���、服務范圍��、服務對象和處理數據等情況����,依據相關標準科學確定網絡的安全保護等級�����,并報上級主管部門審核同意。
