醫療衛生機構網絡安全管理辦法

2022年8月29日,國家衛生健康委、國家中醫藥局、國家疾控局發佈印發《醫療衛生機構網絡安全管理辦法》的通知。

各省、自治區、直轄市及新疆生產建設兵團衛生健康委、中醫藥局,國家衛生健康委機關各司局、委直屬和聯繫單位、中國老齡協會,國家中醫藥局、國家疾控局機關各司局、各直屬單位:

爲指導醫療衛生機構加強網絡安全管理,國家衛生健康委、國家中醫藥局、國家疾控局制定了《醫療衛生機構網絡安全管理辦法》。 現印發給你們,請認真貫徹執行。

國家衛生健康委 國家中醫藥局 國家疾控局

2022年8月8日

(信息公開形式: 主動公開)

醫療衛生機構網絡安全管理辦法

第一章 總則

第一條 爲加強醫療衛生機構網絡安全管理,進一步促進“互聯網+醫療健康”發展,充分發揮健康醫療大數據作爲國家重要基礎性戰略資源的作用,加強醫療衛生機構網絡安全管理,防範網絡安全事件發生,根據《基本醫療衛生與健康促進法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制度等有關法律法規標準,制定本辦法。

第二條  堅持網絡安全爲人民、網絡安全靠人民、堅持網絡安全教育、技術、產業融合發展、堅持促進發展和依法管理相統一、堅持安全可控和開放創新並重。

堅持分等級保護、突出重點。重點保障關鍵信息基礎設施、網絡安全等級保護第三級(以下簡稱第三級)及以上網絡以及重要數據和個人信息安全。

堅持積極防禦、綜合防護。充分利用人工智能、大數據分析等技術,強化安全監測、態勢感知、通報預警和應急處置等重點工作,落實網絡安全保護“實戰化、體系化、常態化”和“動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”的“三化六防”措施。

堅持“管業務就要管安全”“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,落實網絡安全責任制,明確各方責任。

第三條 本辦法所稱的網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

本辦法所稱的數據爲網絡數據,是指醫療衛生機構通過網絡收集、存儲、傳輸、處理和產生的各種電子數據,包括但不限於各類臨牀、科研、管理等業務數據、醫療設備產生的數據、個人信息以及數據衍生物。

本辦法適用於醫療衛生機構運營網絡的安全管理。未納入區域基層衛生信息系統的基層醫療衛生機構參照執行。

第四條 國家衛生健康委、國家中醫藥局、國家疾控局負責統籌規劃、指導、評估、監督醫療衛生機構網絡安全工作。縣級以上地方衛生健康行政部門(含中醫藥和疾控部門,下同)負責本行政區域內醫療衛生機構網絡安全指導監督工作。

醫療衛生機構對本單位網絡安全管理負主體責任,各醫療衛生機構應當與信息化建設參與單位及相關醫療設備生產經營企業書面約定各方的網絡安全義務和違約責任。

第二章 網絡安全管理

第五條 各醫療衛生機構應成立網絡安全和信息化工作領導小組,由單位主要負責人任領導小組組長,每年至少召開一次網絡安全辦公會,部署安全重點工作,落實《關鍵信息基礎設施安全保護條例》和網絡安全等級保護制度要求。有二級及以上網絡的醫療衛生機構應明確負責網絡安全管理工作的職能部門,明確承擔安全主管、安全管理員等職責的崗位;建立網絡安全管理制度體系,加強網絡安全防護,強化應急處置,在此基礎上對關鍵信息基礎設施實行重點保護,防止網絡安全事件發生。

第六條 各醫療衛生機構按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則,在網絡建設過程中明確本單位各網絡的主管部門、運營部門、信息化部門、使用部門等管理職責,對本單位運營範圍內的網絡進行等級保護定級、備案、測評、安全建設整改等工作。

(一)對新建網絡,應在規劃和申報階段確定網絡安全保護等級。各醫療衛生機構應全面梳理本單位各類網絡,特別是雲計算、物聯網、區塊鏈、5G、大數據等新技術應用的基本情況,並根據網絡的功能、服務範圍、服務對象和處理數據等情況,依據相關標準科學確定網絡的安全保護等級,並報上級主管部門審覈同意。

(二)新建網絡投入使用應依法依規開展等級保護備案工作。第二級以上網絡應在網絡安全保護等級確定後10個工作日內,由其運營者向公安機關備案,並將備案情況報上級衛生健康行政部門,因網絡撤銷或變更安全保護等級的,應在10個工作日內向原備案公安機關撤銷或變更,同步上報上級衛生健康行政部門。

(三)全面梳理分析網絡安全保護需求,按照“一箇中心(安全管理中心),三重防護(安全通信網絡、安全區域邊界、安全計算環境)”的要求,制定符合網絡安全保護等級要求的整體規劃和建設方案,加強信息系統自行開發或外包開發過程中的安全管理,認真開展網絡安全建設,全面落實安全保護措施。

(四)各醫療衛生機構對已定級備案網絡的安全性進行檢測評估,第三級或第四級的網絡應委託等級保護測評機構,每年至少一次開展網絡安全等級測評。第二級的網絡應委託等級保護測評機構定期開展網絡安全等級測評,其中涉及10萬人以上個人信息的網絡應至少三年開展一次網絡安全等級測評,其他的網絡至少五年開展一次網絡安全等級測評。新建的網絡上線運行前應進行安全性測試。

(五)針對等級測評中發現的問題隱患,各醫療衛生機構要結合外在的威脅風險,按照法律法規、政策和標準要求,制定網絡安全整改方案,有針對性地開展整改,及時消除風險隱患,補強管理和技術短板,提升安全防護能力。

第七條 各醫療衛生機構應依託國家網絡安全信息通報機制,加強本單位網絡安全通報預警力量建設。鼓勵三級醫院探索態勢感知平臺建設,及時收集、彙總、分析各方網絡安全信息,加強威脅情報工作,組織開展網絡安全威脅分析和態勢研判,及時通報預警和處置,防止網絡被破壞、數據外泄等事件。

第八條 各醫療衛生機構應建立應急處置機制,通過建立完善應急預案、組織應急演練等方式,有效處理網絡中斷、網絡攻擊、數據泄露等安全事件,提高應對網絡安全事件能力。積極參加網絡安全攻防演練,提升保護和對抗能力。

第九條 各醫療衛生機構在網絡運營過程中,應每年開展文檔覈驗、漏洞掃描、滲透測試等多種形式的安全自查,及時發現可能存在的問題和隱患。針對安全自查、監測預警、安全通報等過程中發現的安全隱患應認真開展整改加固,防止網絡帶病運行,並按要求將安全自查整改情況報上級衛生健康行政部門。自查整改可與等級測評問題整改一併實施。

每年安全自查整改工作包括:

(一)依據上級主管監管機構要求,各醫療衛生機構完成信息資產梳理,摸清本單位網絡定級、備案等情況,形成資產清單,組織安全自查。

(二)依據上級主管監管機構要求,各醫療衛生機構依據安全自查結果,對發現的問題和隱患進行整改,形成整改報告向有關主管監管機構報備。

第十條 關鍵信息基礎設施運營者應對安全管理機構負責人和關鍵崗位人員進行安全背景審查。各醫療衛生機構要加強網絡運營相關人員管理,包括本單位內部人員及第三方人員,明確內部人員入職、培訓、考覈、離崗全流程安全管理,針對第三方應明確人員接觸網絡時的申請及批准流程,做好實名登記、人員背景審查、保密協議簽署等工作,防止因人員資質及違規操作引發的安全風險。

第十一條 加強網絡運維管理,制定運維操作規範和工作流程。加強物理安全防護,完善機房、辦公環境及運維現場等安全控制措施,防止非授權訪問物理環境造成信息泄露。加強遠程運維管理,因業務確需通過互聯網遠程運維的,應進行評估論證,並採取相應的安全管控措施,防止遠程端口暴露引發安全事件。

第十二條 各醫療衛生機構應加強業務連續性管理並持續監測網絡運行狀態。對於第三級及以上的網絡應加強保障關鍵鏈路、關鍵設備冗餘備份,有條件的醫療衛生機構應建立應用級容災備份,防止關鍵業務中斷。

第十三條 應用大數據、人工智能、區塊鏈等新技術開展服務時,上線前應評估新技術的安全風險並進行安全管控,達到應用與安全的平衡。

第十四條 各醫療衛生機構應規範和加強醫療設備數據、個人信息保護和網絡安全管理,建立健全醫療設備招標採購、安裝調試、運行使用、維護維修、報廢處置等相關網絡安全管理制度,定期檢查或評估醫療設備網絡安全,並採取相應的安全管控措施,確保醫療設備網絡安全。

第十五條 各醫療衛生機構應按照《密碼法》等有關法律法規和密碼應用相關標準規範,在網絡建設過程中同步規劃、同步建設、同步運行密碼保護措施,使用符合相關要求的密碼產品和服務。

第十六條 各醫療衛生機構應關注整個網絡全鏈條參與者的安全管理,涉及非本單位的第三方時,應對設計、建設、運行、維護等服務實施安全管理,採購安全的網絡產品和服務,防止發生第三方安全事件。

第十七條 各醫療衛生機構應加強廢止網絡的安全管理,對廢止網絡的相關設備進行風險評估,及時對其採取封存或銷燬措施,確保廢止網絡中的數據處置安全,防止網絡數據泄露。

第三章 數據安全管理

第十八條 各醫療衛生機構應按照有關法律法規的規定,參照國家網絡安全標準,履行數據安全保護義務,堅持保障數據安全與發展並重,通過管理和技術手段保障數據安全和數據應用的有效平衡。關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃,建立健全數據安全和個人信息保護制度。

第十九條 應建立數據安全管理組織架構,明確業務部門與管理部門在數據安全活動中的主體責任,通過安全責任書等方式,規範本單位數據管理部門、業務部門、信息化部門在數據安全管理全生命週期當中的權責,建立數據安全工作責任制,落實追責追究制度。

第二十條 各醫療衛生機構應每年對數據資產進行全面梳理,在落實網絡安全等級保護制度的基礎上,依據數據的重要程度以及遭到破壞後的危害程度建立本單位數據分類分級標準。數據分類分級應遵循合法合規原則、可執行原則、時效性原則、自主性原則、差異性原則及客觀性原則。

第二十一條 各醫療衛生機構應建立健全數據安全管理制度、操作規程及技術規範,涉及的管理制度每年至少修訂一次,建議相關人員每年度簽署保密協議。每年對本單位的數據進行數據安全風險評估,及時掌握數據安全狀態。加強數據安全教育培訓,組織安全意識教育和數據安全管理制度宣傳培訓。結合本單位實際,建立完善數據使用申請及批准流程,遵循“誰主管、誰審查”、遵循事前申請及批准、事中監管、事後審覈原則,嚴格執行業務管理部門同意、醫療衛生機構領導覈准的工作程序,指導數據活動流程合規。

第二十二條 各醫療衛生機構應加強數據收集、存儲、傳輸、處理、使用、交換、銷燬全生命週期安全管理工作,數據全生命週期活動應在境內開展,因業務確需向境外提供的,應當按照相關法律法規及有關要求進行安全評估或審覈,針對影響或者可能影響國家安全的數據處理活動需提交國家安全審查,防止數據安全事件發生。

(一)各醫療衛生機構應加強數據收集合法性管理,明確業務部門和管理部門在數據收集合法性中的主體責任。採取數據脫敏、數據加密、鏈路加密等防控措施,防止數據收集過程中數據被泄露。

(二)在數據分類分級的基礎上,進一步明確不同安全級別數據的加密傳輸要求。加強傳輸過程中的接口安全控制,確保在通過接口傳輸時的安全性,防止數據被竊取。

(三)各醫療衛生機構應按照有關法規標準,選擇合適的數據存儲架構和介質在境內存儲,並採取備份、加密等措施加強數據的存儲安全。涉及到雲上存儲數據時,應當評估可能帶來的安全風險。數據存儲週期不應超出數據使用規則確定的保存期限。加強存儲過程中訪問控制安全、數據副本安全、數據歸檔安全管控。

(四)各醫療衛生機構應嚴格規定不同人員的權限,加強數據使用過程中的申請及批准流程管理,確保數據在可控範圍內使用,加強日誌留存及管理工作,杜絕篡改、刪除日誌的現象發生,防止數據越權使用。各數據使用部門和數據使用人須嚴格按照申請所述用途與範圍使用數據,對數據的安全負責。未經批准,任何部門和個人不得將未對外公開的信息數據傳遞至部門外,不得以任何方式將其泄露。

(五)各醫療衛生機構發佈、共享數據時應當評估可能帶來的安全風險,並採取必要的安全防控措施;涉及數據上報時,應由數據上報提出方負責解讀上報要求,確定上報範圍和上報規則,確保數據上報安全可控。

(六)各醫療衛生機構開展人臉識別或人臉辨識時,應同時提供非人臉識別的身份識別方式,不得因數據主體不同意收集人臉識別數據而拒絕數據主體使用其基本業務功能,人臉識別數據不得用於除身份識別之外的其他目的,包括但不限於評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等。各醫療衛生機構應採取安全措施存儲和傳輸人臉識別數據,包括但不限於加密存儲和傳輸人臉識別數據,採用物理或邏輯隔離方式分別存儲人臉識別和個人身份信息等。

(七)數據銷燬時應採用確保數據無法還原的銷燬方式,重點關注數據殘留風險及數據備份風險。

第四章 監督管理

第二十三條 各醫療衛生機構應積極配合有關主管監管機構監督管理,接受網絡安全管理日常檢查,做好網絡安全防護等工作。

第二十四條 各醫療衛生機構應及時整改有關主管監管機構檢查過程中發現的漏洞和隱患等問題,杜絕重大網絡安全事件發生。

第二十五條 發生個人信息和數據泄露、毀損、丟失等安全事件和網絡系統遭攻擊、入侵、控制等網絡安全事件,或者發現網絡存在漏洞隱患、網絡安全風險明顯增大時,各醫療衛生機構應當立即啓動應急預案,採取必要的補救和處置措施,及時以電話、短信、郵件或信函等多種方式告知相關主體,並按照要求向有關主管監管部門報告。

第二十六條 各級衛生健康行政部門應建立網絡安全事件通報工作機制,及時通報網絡安全事件。

第二十七條 發生網絡安全事件時,各醫療衛生機構應及時向衛生健康行政部門、公安機關報告,做好現場保護、留存相關記錄,爲公安機關等監管部門依法維護國家安全和開展偵查調查等活動提供技術支持和協助。

第五章 管理保障

第二十八條 各醫療衛生機構應高度重視網絡安全管理工作,將其列入重要議事日程,加強統籌領導和規劃設計,依法依規落實人員、經費投入、安全保護措施建設等重大問題,保證信息系統建設時安全保護措施同步規劃、同步建設和同步使用。

第二十九條 各醫療衛生機構應加強網絡安全業務交流,嚴格執行網絡安全繼續教育制度,鼓勵管理崗位和技術崗位持證上崗。通過組織開展學術交流及比武競賽的方式,發現選拔網絡安全人才,建立人才庫,建立健全人才發現、培養、選拔和使用機制,爲做好網絡安全工作提供人才保障。

第三十條 各醫療衛生機構應保障開展網絡安全等級測評、風險評估、攻防演練競賽、安全建設整改、安全保護平臺建設、密碼保障系統建設、運維、教育培訓等經費投入。新建信息化項目的網絡安全預算不低於項目總預算的5%。

第三十一條 各醫療衛生機構應進一步完善網絡安全考覈評價制度,明確考覈指標,組織開展考覈。鼓勵有條件的醫療衛生機構將考覈與績效掛鉤。

第六章附則

第三十二條  違反本辦法規定,發生個人信息和數據泄露,或者出現重大網絡安全事件的,按《網絡安全法》《密碼法》《基本醫療衛生與健康促進法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》以及網絡安全等級保護制度等法律法規處理。

第三十三條  涉及國家秘密的網絡,按照國家有關規定執行。

第三十四條  本辦法自印發之日起實施。