政策法規
國(guó)衛規劃發〔2022〕29号
各省、自治區(qū)、直轄市及新(xīn)疆生産(chǎn)建設兵團衛生健康委、中(zhōng)醫(yī)藥局,國(guó)家衛生健康委機關各司局、委直屬和聯系單位、中(zhōng)國(guó)老齡協會,國(guó)家中(zhōng)醫(yī)藥局、國(guó)家疾控局機關各司局、各直屬單位:
為(wèi)指導醫(yī)療衛生機構加強網絡安(ān)全管理(lǐ),國(guó)家衛生健康委、國(guó)家中(zhōng)醫(yī)藥局、國(guó)家疾控局制定了《醫(yī)療衛生機構網絡安(ān)全管理(lǐ)辦(bàn)法》。現印發給你們,請認真貫徹執行。
國(guó)家衛生健康委 國(guó)家中(zhōng)醫(yī)藥局 國(guó)家疾控局
2022年8月8日
(信息公(gōng)開形式:主動公(gōng)開)
醫(yī)療衛生機構網絡安(ān)全管理(lǐ)辦(bàn)法
第一章 總則
第一條 為(wèi)加強醫(yī)療衛生機構網絡安(ān)全管理(lǐ),進一步促進“互聯網+醫(yī)療健康”發展,充分(fēn)發揮健康醫(yī)療大數據作(zuò)為(wèi)國(guó)家重要基礎性戰略資源的作(zuò)用(yòng),加強醫(yī)療衛生機構網絡安(ān)全管理(lǐ),防範網絡安(ān)全事件發生,根據《基本醫(yī)療衛生與健康促進法》《網絡安(ān)全法》《密碼法》《數據安(ān)全法》《個人信息保護法》《關鍵信息基礎設施安(ān)全保護條例》《網絡安(ān)全審查辦(bàn)法》以及網絡安(ān)全等級保護制度等有(yǒu)關法律法規标準,制定本辦(bàn)法。
第二條 堅持網絡安(ān)全為(wèi)人民(mín)、網絡安(ān)全靠人民(mín)、堅持網絡安(ān)全教育、技(jì )術、産(chǎn)業融合發展、堅持促進發展和依法管理(lǐ)相統一、堅持安(ān)全可(kě)控和開放創新(xīn)并重。
堅持分(fēn)等級保護、突出重點。重點保障關鍵信息基礎設施、網絡安(ān)全等級保護第三級(以下簡稱第三級)及以上網絡以及重要數據和個人信息安(ān)全。
堅持積極防禦、綜合防護。充分(fēn)利用(yòng)人工(gōng)智能(néng)、大數據分(fēn)析等技(jì )術,強化安(ān)全監測、态勢感知、通報預警和應急處置等重點工(gōng)作(zuò),落實網絡安(ān)全保護“實戰化、體(tǐ)系化、常态化”和“動态防禦、主動防禦、縱深防禦、精(jīng)準防護、整體(tǐ)防控、聯防聯控”的“三化六防”措施。
堅持“管業務(wù)就要管安(ān)全”“誰主管誰負責、誰運營誰負責、誰使用(yòng)誰負責”的原則,落實網絡安(ān)全責任制,明确各方責任。
第三條 本辦(bàn)法所稱的網絡是指由計算機或者其他(tā)信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理(lǐ)的系統。
本辦(bàn)法所稱的數據為(wèi)網絡數據,是指醫(yī)療衛生機構通過網絡收集、存儲、傳輸、處理(lǐ)和産(chǎn)生的各種電(diàn)子數據,包括但不限于各類臨床、科(kē)研、管理(lǐ)等業務(wù)數據、醫(yī)療設備産(chǎn)生的數據、個人信息以及數據衍生物(wù)。
本辦(bàn)法适用(yòng)于醫(yī)療衛生機構運營網絡的安(ān)全管理(lǐ)。未納入區(qū)域基層衛生信息系統的基層醫(yī)療衛生機構參照執行。
第四條 國(guó)家衛生健康委、國(guó)家中(zhōng)醫(yī)藥局、國(guó)家疾控局負責統籌規劃、指導、評估、監督醫(yī)療衛生機構網絡安(ān)全工(gōng)作(zuò)。縣級以上地方衛生健康行政部門(含中(zhōng)醫(yī)藥和疾控部門,下同)負責本行政區(qū)域内醫(yī)療衛生機構網絡安(ān)全指導監督工(gōng)作(zuò)。
醫(yī)療衛生機構對本單位網絡安(ān)全管理(lǐ)負主體(tǐ)責任,各醫(yī)療衛生機構應當與信息化建設參與單位及相關醫(yī)療設備生産(chǎn)經營企業書面約定各方的網絡安(ān)全義務(wù)和違約責任。
第二章 網絡安(ān)全管理(lǐ)
第五條 各醫(yī)療衛生機構應成立網絡安(ān)全和信息化工(gōng)作(zuò)領導小(xiǎo)組,由單位主要負責人任領導小(xiǎo)組組長(cháng),每年至少召開一次網絡安(ān)全辦(bàn)公(gōng)會,部署安(ān)全重點工(gōng)作(zuò),落實《關鍵信息基礎設施安(ān)全保護條例》和網絡安(ān)全等級保護制度要求。有(yǒu)二級及以上網絡的醫(yī)療衛生機構應明确負責網絡安(ān)全管理(lǐ)工(gōng)作(zuò)的職能(néng)部門,明确承擔安(ān)全主管、安(ān)全管理(lǐ)員等職責的崗位;建立網絡安(ān)全管理(lǐ)制度體(tǐ)系,加強網絡安(ān)全防護,強化應急處置,在此基礎上對關鍵信息基礎設施實行重點保護,防止網絡安(ān)全事件發生。
第六條 各醫(yī)療衛生機構按照“誰主管誰負責、誰運營誰負責、誰使用(yòng)誰負責”的原則,在網絡建設過程中(zhōng)明确本單位各網絡的主管部門、運營部門、信息化部門、使用(yòng)部門等管理(lǐ)職責,對本單位運營範圍内的網絡進行等級保護定級、備案、測評、安(ān)全建設整改等工(gōng)作(zuò)。
(一)對新(xīn)建網絡,應在規劃和申報階段确定網絡安(ān)全保護等級。各醫(yī)療衛生機構應全面梳理(lǐ)本單位各類網絡,特别是雲計算、物(wù)聯網、區(qū)塊鏈、5G、大數據等新(xīn)技(jì )術應用(yòng)的基本情況,并根據網絡的功能(néng)、服務(wù)範圍、服務(wù)對象和處理(lǐ)數據等情況,依據相關标準科(kē)學(xué)确定網絡的安(ān)全保護等級,并報上級主管部門審核同意。
(二)新(xīn)建網絡投入使用(yòng)應依法依規開展等級保護備案工(gōng)作(zuò)。第二級以上網絡應在網絡安(ān)全保護等級确定後10個工(gōng)作(zuò)日内,由其運營者向公(gōng)安(ān)機關備案,并将備案情況報上級衛生健康行政部門,因網絡撤銷或變更安(ān)全保護等級的,應在10個工(gōng)作(zuò)日内向原備案公(gōng)安(ān)機關撤銷或變更,同步上報上級衛生健康行政部門。
(三)全面梳理(lǐ)分(fēn)析網絡安(ān)全保護需求,按照“一個中(zhōng)心(安(ān)全管理(lǐ)中(zhōng)心),三重防護(安(ān)全通信網絡、安(ān)全區(qū)域邊界、安(ān)全計算環境)”的要求,制定符合網絡安(ān)全保護等級要求的整體(tǐ)規劃和建設方案,加強信息系統自行開發或外包開發過程中(zhōng)的安(ān)全管理(lǐ),認真開展網絡安(ān)全建設,全面落實安(ān)全保護措施。
(四)各醫(yī)療衛生機構對已定級備案網絡的安(ān)全性進行檢測評估,第三級或第四級的網絡應委托等級保護測評機構,每年至少一次開展網絡安(ān)全等級測評。第二級的網絡應委托等級保護測評機構定期開展網絡安(ān)全等級測評,其中(zhōng)涉及10萬人以上個人信息的網絡應至少三年開展一次網絡安(ān)全等級測評,其他(tā)的網絡至少五年開展一次網絡安(ān)全等級測評。新(xīn)建的網絡上線(xiàn)運行前應進行安(ān)全性測試。
(五)針對等級測評中(zhōng)發現的問題隐患,各醫(yī)療衛生機構要結合外在的威脅風險,按照法律法規、政策和标準要求,制定網絡安(ān)全整改方案,有(yǒu)針對性地開展整改,及時消除風險隐患,補強管理(lǐ)和技(jì )術短闆,提升安(ān)全防護能(néng)力。
第七條 各醫(yī)療衛生機構應依托國(guó)家網絡安(ān)全信息通報機制,加強本單位網絡安(ān)全通報預警力量建設。鼓勵三級醫(yī)院探索态勢感知平台建設,及時收集、彙總、分(fēn)析各方網絡安(ān)全信息,加強威脅情報工(gōng)作(zuò),組織開展網絡安(ān)全威脅分(fēn)析和态勢研判,及時通報預警和處置,防止網絡被破壞、數據外洩等事件。
第八條 各醫(yī)療衛生機構應建立應急處置機制,通過建立完善應急預案、組織應急演練等方式,有(yǒu)效處理(lǐ)網絡中(zhōng)斷、網絡攻擊、數據洩露等安(ān)全事件,提高應對網絡安(ān)全事件能(néng)力。積極參加網絡安(ān)全攻防演練,提升保護和對抗能(néng)力。
第九條 各醫(yī)療衛生機構在網絡運營過程中(zhōng),應每年開展文(wén)檔核驗、漏洞掃描、滲透測試等多(duō)種形式的安(ān)全自查,及時發現可(kě)能(néng)存在的問題和隐患。針對安(ān)全自查、監測預警、安(ān)全通報等過程中(zhōng)發現的安(ān)全隐患應認真開展整改加固,防止網絡帶病運行,并按要求将安(ān)全自查整改情況報上級衛生健康行政部門。自查整改可(kě)與等級測評問題整改一并實施。
每年安(ān)全自查整改工(gōng)作(zuò)包括:
(一)依據上級主管監管機構要求,各醫(yī)療衛生機構完成信息資産(chǎn)梳理(lǐ),摸清本單位網絡定級、備案等情況,形成資産(chǎn)清單,組織安(ān)全自查。
(二)依據上級主管監管機構要求,各醫(yī)療衛生機構依據安(ān)全自查結果,對發現的問題和隐患進行整改,形成整改報告向有(yǒu)關主管監管機構報備。
第十條 關鍵信息基礎設施運營者應對安(ān)全管理(lǐ)機構負責人和關鍵崗位人員進行安(ān)全背景審查。各醫(yī)療衛生機構要加強網絡運營相關人員管理(lǐ),包括本單位内部人員及第三方人員,明确内部人員入職、培訓、考核、離崗全流程安(ān)全管理(lǐ),針對第三方應明确人員接觸網絡時的申請及批準流程,做好實名(míng)登記、人員背景審查、保密協議簽署等工(gōng)作(zuò),防止因人員資質(zhì)及違規操作(zuò)引發的安(ān)全風險。
第十一條 加強網絡運維管理(lǐ),制定運維操作(zuò)規範和工(gōng)作(zuò)流程。加強物(wù)理(lǐ)安(ān)全防護,完善機房、辦(bàn)公(gōng)環境及運維現場等安(ān)全控制措施,防止非授權訪問物(wù)理(lǐ)環境造成信息洩露。加強遠(yuǎn)程運維管理(lǐ),因業務(wù)确需通過互聯網遠(yuǎn)程運維的,應進行評估論證,并采取相應的安(ān)全管控措施,防止遠(yuǎn)程端口暴露引發安(ān)全事件。
第十二條 各醫(yī)療衛生機構應加強業務(wù)連續性管理(lǐ)并持續監測網絡運行狀态。對于第三級及以上的網絡應加強保障關鍵鏈路、關鍵設備冗餘備份,有(yǒu)條件的醫(yī)療衛生機構應建立應用(yòng)級容災備份,防止關鍵業務(wù)中(zhōng)斷。
第十三條 應用(yòng)大數據、人工(gōng)智能(néng)、區(qū)塊鏈等新(xīn)技(jì )術開展服務(wù)時,上線(xiàn)前應評估新(xīn)技(jì )術的安(ān)全風險并進行安(ān)全管控,達到應用(yòng)與安(ān)全的平衡。
第十四條 各醫(yī)療衛生機構應規範和加強醫(yī)療設備數據、個人信息保護和網絡安(ān)全管理(lǐ),建立健全醫(yī)療設備招标采購(gòu)、安(ān)裝(zhuāng)調試、運行使用(yòng)、維護維修、報廢處置等相關網絡安(ān)全管理(lǐ)制度,定期檢查或評估醫(yī)療設備網絡安(ān)全,并采取相應的安(ān)全管控措施,确保醫(yī)療設備網絡安(ān)全。
第十五條 各醫(yī)療衛生機構應按照《密碼法》等有(yǒu)關法律法規和密碼應用(yòng)相關标準規範,在網絡建設過程中(zhōng)同步規劃、同步建設、同步運行密碼保護措施,使用(yòng)符合相關要求的密碼産(chǎn)品和服務(wù)。
第十六條 各醫(yī)療衛生機構應關注整個網絡全鏈條參與者的安(ān)全管理(lǐ),涉及非本單位的第三方時,應對設計、建設、運行、維護等服務(wù)實施安(ān)全管理(lǐ),采購(gòu)安(ān)全的網絡産(chǎn)品和服務(wù),防止發生第三方安(ān)全事件。
第十七條 各醫(yī)療衛生機構應加強廢止網絡的安(ān)全管理(lǐ),對廢止網絡的相關設備進行風險評估,及時對其采取封存或銷毀措施,确保廢止網絡中(zhōng)的數據處置安(ān)全,防止網絡數據洩露。
第三章 數據安(ān)全管理(lǐ)
第十八條 各醫(yī)療衛生機構應按照有(yǒu)關法律法規的規定,參照國(guó)家網絡安(ān)全标準,履行數據安(ān)全保護義務(wù),堅持保障數據安(ān)全與發展并重,通過管理(lǐ)和技(jì )術手段保障數據安(ān)全和數據應用(yòng)的有(yǒu)效平衡。關鍵信息基礎設施運營者應拟定關鍵信息基礎設施安(ān)全保護計劃,建立健全數據安(ān)全和個人信息保護制度。
第十九條 應建立數據安(ān)全管理(lǐ)組織架構,明确業務(wù)部門與管理(lǐ)部門在數據安(ān)全活動中(zhōng)的主體(tǐ)責任,通過安(ān)全責任書等方式,規範本單位數據管理(lǐ)部門、業務(wù)部門、信息化部門在數據安(ān)全管理(lǐ)全生命周期當中(zhōng)的權責,建立數據安(ān)全工(gōng)作(zuò)責任制,落實追責追究制度。
第二十條 各醫(yī)療衛生機構應每年對數據資産(chǎn)進行全面梳理(lǐ),在落實網絡安(ān)全等級保護制度的基礎上,依據數據的重要程度以及遭到破壞後的危害程度建立本單位數據分(fēn)類分(fēn)級标準。數據分(fēn)類分(fēn)級應遵循合法合規原則、可(kě)執行原則、時效性原則、自主性原則、差異性原則及客觀性原則。
第二十一條 各醫(yī)療衛生機構應建立健全數據安(ān)全管理(lǐ)制度、操作(zuò)規程及技(jì )術規範,涉及的管理(lǐ)制度每年至少修訂一次,建議相關人員每年度簽署保密協議。每年對本單位的數據進行數據安(ān)全風險評估,及時掌握數據安(ān)全狀态。加強數據安(ān)全教育培訓,組織安(ān)全意識教育和數據安(ān)全管理(lǐ)制度宣傳培訓。結合本單位實際,建立完善數據使用(yòng)申請及批準流程,遵循“誰主管、誰審查”、遵循事前申請及批準、事中(zhōng)監管、事後審核原則,嚴格執行業務(wù)管理(lǐ)部門同意、醫(yī)療衛生機構領導核準的工(gōng)作(zuò)程序,指導數據活動流程合規。
第二十二條 各醫(yī)療衛生機構應加強數據收集、存儲、傳輸、處理(lǐ)、使用(yòng)、交換、銷毀全生命周期安(ān)全管理(lǐ)工(gōng)作(zuò),數據全生命周期活動應在境内開展,因業務(wù)确需向境外提供的,應當按照相關法律法規及有(yǒu)關要求進行安(ān)全評估或審核,針對影響或者可(kě)能(néng)影響國(guó)家安(ān)全的數據處理(lǐ)活動需提交國(guó)家安(ān)全審查,防止數據安(ān)全事件發生。
(一)各醫(yī)療衛生機構應加強數據收集合法性管理(lǐ),明确業務(wù)部門和管理(lǐ)部門在數據收集合法性中(zhōng)的主體(tǐ)責任。采取數據脫敏、數據加密、鏈路加密等防控措施,防止數據收集過程中(zhōng)數據被洩露。
(二)在數據分(fēn)類分(fēn)級的基礎上,進一步明确不同安(ān)全級别數據的加密傳輸要求。加強傳輸過程中(zhōng)的接口安(ān)全控制,确保在通過接口傳輸時的安(ān)全性,防止數據被竊取。
(三)各醫(yī)療衛生機構應按照有(yǒu)關法規标準,選擇合适的數據存儲架構和介質(zhì)在境内存儲,并采取備份、加密等措施加強數據的存儲安(ān)全。涉及到雲上存儲數據時,應當評估可(kě)能(néng)帶來的安(ān)全風險。數據存儲周期不應超出數據使用(yòng)規則确定的保存期限。加強存儲過程中(zhōng)訪問控制安(ān)全、數據副本安(ān)全、數據歸檔安(ān)全管控。
(四)各醫(yī)療衛生機構應嚴格規定不同人員的權限,加強數據使用(yòng)過程中(zhōng)的申請及批準流程管理(lǐ),确保數據在可(kě)控範圍内使用(yòng),加強日志(zhì)留存及管理(lǐ)工(gōng)作(zuò),杜絕篡改、删除日志(zhì)的現象發生,防止數據越權使用(yòng)。各數據使用(yòng)部門和數據使用(yòng)人須嚴格按照申請所述用(yòng)途與範圍使用(yòng)數據,對數據的安(ān)全負責。未經批準,任何部門和個人不得将未對外公(gōng)開的信息數據傳遞至部門外,不得以任何方式将其洩露。
(五)各醫(yī)療衛生機構發布、共享數據時應當評估可(kě)能(néng)帶來的安(ān)全風險,并采取必要的安(ān)全防控措施;涉及數據上報時,應由數據上報提出方負責解讀上報要求,确定上報範圍和上報規則,确保數據上報安(ān)全可(kě)控。
(六)各醫(yī)療衛生機構開展人臉識别或人臉辨識時,應同時提供非人臉識别的身份識别方式,不得因數據主體(tǐ)不同意收集人臉識别數據而拒絕數據主體(tǐ)使用(yòng)其基本業務(wù)功能(néng),人臉識别數據不得用(yòng)于除身份識别之外的其他(tā)目的,包括但不限于評估或預測數據主體(tǐ)工(gōng)作(zuò)表現、經濟狀況、健康狀況、偏好、興趣等。各醫(yī)療衛生機構應采取安(ān)全措施存儲和傳輸人臉識别數據,包括但不限于加密存儲和傳輸人臉識别數據,采用(yòng)物(wù)理(lǐ)或邏輯隔離方式分(fēn)别存儲人臉識别和個人身份信息等。
(七)數據銷毀時應采用(yòng)确保數據無法還原的銷毀方式,重點關注數據殘留風險及數據備份風險。
第四章 監督管理(lǐ)
第二十三條 各醫(yī)療衛生機構應積極配合有(yǒu)關主管監管機構監督管理(lǐ),接受網絡安(ān)全管理(lǐ)日常檢查,做好網絡安(ān)全防護等工(gōng)作(zuò)。
第二十四條 各醫(yī)療衛生機構應及時整改有(yǒu)關主管監管機構檢查過程中(zhōng)發現的漏洞和隐患等問題,杜絕重大網絡安(ān)全事件發生。
第二十五條 發生個人信息和數據洩露、毀損、丢失等安(ān)全事件和網絡系統遭攻擊、入侵、控制等網絡安(ān)全事件,或者發現網絡存在漏洞隐患、網絡安(ān)全風險明顯增大時,各醫(yī)療衛生機構應當立即啓動應急預案,采取必要的補救和處置措施,及時以電(diàn)話、短信、郵件或信函等多(duō)種方式告知相關主體(tǐ),并按照要求向有(yǒu)關主管監管部門報告。
第二十六條 各級衛生健康行政部門應建立網絡安(ān)全事件通報工(gōng)作(zuò)機制,及時通報網絡安(ān)全事件。
第二十七條 發生網絡安(ān)全事件時,各醫(yī)療衛生機構應及時向衛生健康行政部門、公(gōng)安(ān)機關報告,做好現場保護、留存相關記錄,為(wèi)公(gōng)安(ān)機關等監管部門依法維護國(guó)家安(ān)全和開展偵查調查等活動提供技(jì )術支持和協助。
第五章 管理(lǐ)保障
第二十八條 各醫(yī)療衛生機構應高度重視網絡安(ān)全管理(lǐ)工(gōng)作(zuò),将其列入重要議事日程,加強統籌領導和規劃設計,依法依規落實人員、經費投入、安(ān)全保護措施建設等重大問題,保證信息系統建設時安(ān)全保護措施同步規劃、同步建設和同步使用(yòng)。
第二十九條 各醫(yī)療衛生機構應加強網絡安(ān)全業務(wù)交流,嚴格執行網絡安(ān)全繼續教育制度,鼓勵管理(lǐ)崗位和技(jì )術崗位持證上崗。通過組織開展學(xué)術交流及比武競賽的方式,發現選拔網絡安(ān)全人才,建立人才庫,建立健全人才發現、培養、選拔和使用(yòng)機制,為(wèi)做好網絡安(ān)全工(gōng)作(zuò)提供人才保障。
第三十條 各醫(yī)療衛生機構應保障開展網絡安(ān)全等級測評、風險評估、攻防演練競賽、安(ān)全建設整改、安(ān)全保護平台建設、密碼保障系統建設、運維、教育培訓等經費投入。新(xīn)建信息化項目的網絡安(ān)全預算不低于項目總預算的5%。
第三十一條 各醫(yī)療衛生機構應進一步完善網絡安(ān)全考核評價制度,明确考核指标,組織開展考核。鼓勵有(yǒu)條件的醫(yī)療衛生機構将考核與績效挂鈎。
第六章附則
第三十二條 違反本辦(bàn)法規定,發生個人信息和數據洩露,或者出現重大網絡安(ān)全事件的,按《網絡安(ān)全法》《密碼法》《基本醫(yī)療衛生與健康促進法》《數據安(ān)全法》《個人信息保護法》《關鍵信息基礎設施安(ān)全保護條例》以及網絡安(ān)全等級保護制度等法律法規處理(lǐ)。
第三十三條 涉及國(guó)家秘密的網絡,按照國(guó)家有(yǒu)關規定執行。
第三十四條 本辦(bàn)法自印發之日起實施。
