新闻动态
关于印发
医疗卫朝气构网络安全治理法子的通知
国卫规划发〔2022〕29号
各省、自治区、直辖市及新疆出产建设兵团卫生健全委、中医药局,国度卫生健全委机关各司局、委直属和联系单元、中国老龄协会,国度中医药局、国度疾控局机关各司局、各直属单元:
为领导医疗卫朝气构加强网络安全治理,国度卫生健全委
、国度中医药局、国度疾控局造订了《医疗卫朝气构网络安全治理法子》。现印发给你们,请当真贯彻执行。
国度卫生健全委?国度中医药局?国度疾控局
2022年8月8日

以下为《法子》全文:
医疗卫朝气构
网络安全治理法子
第一章?总则
第一条?为加强医疗卫朝气构网络安全治理,进一步推进“互联网+医疗健全”发展,充分阐扬健全医疗大数据作为国度沉要基础性战术资源的作用,加强医疗卫朝气构网络安全治理,防备网络安全事务产生,凭据《根基医疗卫生与健全推进法》《网络安全法》〖码法》《数据安全法》《幼我信息;しā贰豆丶畔⒒∩枋┌踩;ぬ趵贰锻绨踩蟛榉ㄗ印芬约巴绨踩燃侗;ぴ於鹊抛泄厮痉晒娉叨,造订本法子。
第二条?对峙网络安全为人民、网络安全靠人民、对峙网络安全教育、技术、产业融合发展、对峙推进发展和依法治理相统一、对峙安全可控和盛开创新并沉。
对峙分等级;ぁ⑼蛊鸪恋。沉点保峻峭害信息基础设施、网络安全等级;さ谌叮ㄒ韵录虺频谌叮┘耙陨贤缫约俺烈莺陀孜倚畔踩。
对峙积极防御、综合防护。充分利用人为智能、大数据分析等技术,强化安全监测、态势感知、传递预警和应急措置等沉点工作,落实网络安全;ぁ笆嫡交⑾低郴⒊L焙汀岸烙⒆远烙⒆萆罘烙⒕挤阑ぁ⒄宸揽亍⒘懒亍钡摹叭馈贝胧。
对峙“管业务就要管安全”“谁主管谁掌管、谁运营谁掌管、谁使用谁掌管”的准则,落实网络安全责任造,明确各方责任。
第三条?本法子所称的网络是指由推算机或者其他信息终端及有关设备组成的依照肯定的规定和法式对信息进行网络、存储、传输、互换、处置的系统。
本法子所称的数据为网络数据,是指医疗卫朝气构通过网络网络、存储、传输、处置和产生的各类电子数据,蕴含但不限于各类临床、科延注治理等业务数据、医疗设备产生的数据、幼我信息以及数据衍生物。
本法子合用于医疗卫朝气构运营网络的安全治理。未纳入区域基层卫生信息系统的基层医疗卫朝气构参照执行。
第四条?国度卫生健全委、国度中医药局、国度疾控局掌管两全规划、领导、评估、监督医疗卫朝气构网络安全工作。县级以上处所卫生健全行政部门(含中医药和疾控部门,下同)掌管本行政区域内医疗卫朝气构网络安全领导监监工作。
医疗卫朝气构对本单元网络安全治理负主体责任,各医疗卫朝气构该当与信息化建设参加单元及有关医疗设备出产经营企业书面约定各方的网络安全使命和违约责任。
第二章?网络安全治理
第五条?各医疗卫朝气构应成立网络安全和信息化工作辅导幼组,由单元重要掌管人任辅导幼组组长,每年至少召开一次网络安全办公会,部署安全沉点工作,落实《关键信息基础设施安全;ぬ趵泛屯绨踩燃侗;ぴ於纫。有二级及以上网络的医疗卫朝气构应明确掌管网络安全治理工作的职能部门,明确承担安全主管、安全治理员等职责的岗位;成立网络安全治理造度系统,加强网络安全防护,强化应急措置,在此基础上对关键信息基础设施尝试沉点;,预防网络安全事务产生。
第六条?各医疗卫朝气构依照“谁主管谁掌管、谁运营谁掌管、谁使用谁掌管”的准则,在网络建设过程中明确本单元各网络的主管部门、运营部门、信息化部门、使用部门等治理职责,对本单元运营领域内的网络进行等级;ざ丁⒌羌恰⒉馄馈踩ㄉ枵牡裙ぷ。
(一)对新建网络,应在规划和申报阶段确定网络安全;さ燃。各医疗卫朝气构应全面梳理本单元各类网络,出格是云推算、物联网、区块链、5G、大数据等新技术利用的根基情况,并凭据网络的职能、服务领域、服务对象和处置数据等情况,凭据有关尺度科学确定网络的安全;さ燃,并报上级主管部门审核赞成。
(二)新建网络投入使用应依法依规发展等级;さ羌枪ぷ。第二级以上网络应在网络安全;さ燃度范ê10个工作日内,由其运营者向公安机关登记,并将登记情况报上级卫生健全行政部门,因网络撤销或调换安全;さ燃兜,应在10个工作日内向原登记公安机关撤销或调换,同步上报上级卫生健全行政部门。
(三)全面梳理分析网络安全;ば枰,依照“一个中心(安全治理中心),三沉防护(安全通讯网络、安全区域天堑、安全推算环境)”的要求,造订切合网络安全;さ燃兑蟮恼骞婊徒ㄉ韫婊,加强信息系统自行开发或表包开发过程中的安全治理,当真发展网络安全建设,全面落实安全;ご胧。
(四)各医疗卫朝气构对已定级登记网络的安全性进行检测评估,第三级或第四级的网络应委托等级;げ馄阑,每年至少一次发展网络安全等级测评。第二级的网络应委托等级;げ馄阑苟ㄆ诜⒄雇绨踩燃恫馄,其中涉及10万人以上幼我信息的网络应至少三年发展一次网络安全等级测评,其他的网络至少五年发展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。
(五)针对等级测评中发现的问题隐患,各医疗卫朝气构要结合表在的威胁风险,依照司法律规、政策和尺度要求,造订网络安全整改规划,有针对性地发展整改,实时解除风险隐患,补强治理和技术短板,提升安全防护能力。
第七条?各医疗卫朝气构应依附国度网络安全信息传递机造,加强本单元网络安全传递预警力量建设。激励三级医院索求态势感知平台建设,实时网络、汇总、分析各方网络安全信息,加强威胁谍报工作,组织发展网络安全威胁分析和态势研判,实时传递预警和措置,预防网络被粉碎、数据表泄等事务。
第八条?各医疗卫朝气构应成立应急措置机造,通过成立美满应急预案、组织应急演练等方式,有效处置网络中断、网络攻击、数据泄露等安全事务,提高应对网络安全事务能力;斡胪绨踩シ姥萘,提升;ず推サ心芰。
第九条?各医疗卫朝气构在网络运营过程中,应每年发展文档核验、缝隙扫描、渗入测试等多种大局的安全自查,实时发现可能存在的问题和隐患。针对安全自查、监测预警、安全传递等过程中发现的安全隐患该当真发展整改加固,预防网络带病运行,并按要求将安全自查整改情况报上级卫生健全行政部门。自查整改可与等级测评问题整改一并执行。
每年安全自查整改工作蕴含:
(一)凭据上级主管监管机构要求,各医疗卫朝气构实现信息资产梳理,摸清本单元网络定级、登记等情况,形成资产清单,组织安全自查。
(二)凭据上级主管监管机构要求,各医疗卫朝气构凭据安全自查了局,对发现的问题和隐患进行整改,形成整改汇报向有关主管监管机构报备。
第十条?关键信息基础设施运营者应对安全治理机构掌管人和关键岗位人员进行安全布景审查。各医疗卫朝气构要加强网络运营有关人员治理,蕴含本单元内部人员及第三方人员,明确内部人员入职、培训、查核、离岗全流程安全治理,针对第三方应明确人员接触网络时的申请及核准流程,做好实名登记、人员布景审查、保密和谈签署等工作,预防因人员资质及违规操作引发的安全风险。?????
第十一条?加强网络运维治理,造订运维操作规范和工作流程。加强物理安全防护,美满机房、办公环境及运维现场等安全节造措施,预防非授权接见物理环境造成信息泄露。加强远程运维治理,因业务确需通过互联网远程运维的,应进行评估论证,并采取相应的安全管控措施,预防远程端口露出引发安全事务。
第十二条?各医疗卫朝气构应加强业务陆续性治理并持续监测网络运行状态。对于第三级及以上的网络应加强保峻峭害链路、关键设备冗余备份,有前提的医疗卫朝气构应成立利用级容灾备份,预防关键业务中断。
第十三条?利用大数据、人为智能、区块链等新技术发展服务时,上线前应评估新技术的安全风险并进行安全管控,达到利用与安全的平衡。
第十四条?各医疗卫朝气构应规范和加强医疗设备数据、幼我信息;ず屯绨踩卫,成立健全医疗设备招标采购、装置调试、运行使用、守护维建、报废措置等有关网络安全治理造度,定期查抄或评估医疗设备网络安全,并采取相应的安全管控措施,确保医疗设备网络安全。
第十五条?各医疗卫朝气构应依照〖码法》蹬仔关司法律规和密码利用有关尺度规范,在网络建设过程中同步规划、同步建设、同步运行密码;ご胧,使用切合有关要求的密码产品和服务。
第十六条?各医疗卫朝气构应关注整个网络全链条参加者的安全治理,涉及非本单元的第三方时,应对设计、建设、运杏注守护等服务执行安全治理,采购安全的网络产品和服务,预防产生第三方安全事务。
第十七条?各医疗卫朝气构应加强废止网络的安全治理,对废止网络的有关设备进行风险评估,实时对其采取封存或销毁措施,确保废止网络中的数据措置安全,预防网络数据泄露。
第三章?数据安全治理
第十八条?各医疗卫朝气构应依照有关司法律规的划定,参照国度网络安全尺度,推广数据安全;な姑,对峙保险数据安全与发展并沉,通过治理和技术伎俩保险数据安全和数据利用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全;ご蛩,成立健全数据安全和幼我信息;ぴ於。
第十九条?应成立数据安全治理组织架构,明确业务部门与治理部门在数据安全活动中的主体责任,通过安全责任书等方式,规范本单元数据治理部门、业务部门、信息化部门在数据安全治理全性命周期傍边的权责,成立数据安全工作责任造,落实追责查究造度。
第二十条?各医疗卫朝气构应每年对数据资产进行全面梳理,在落实网络安全等级;ぴ於鹊幕∩,凭据数据的沉要水平以及遭到粉碎后的风险水平成立本单元数据分类分级尺度。数据分类分级应遵循合法合规准则、可执行准则、时效性准则、自主性准则、差距性准则及客观性准则。
第二十一条?各医疗卫朝气构应成立健全数据安全治理造度、操作规程及技术规范,涉及的治理造度每年至少订正一次,建议有关人员每年度签署保密和谈。每年对本单元的数据进行数据安全风险评估,及使仄握数据安全状态。加强数据安全教育培训,组织安全意识教育和数据安全治理造度宣传培训。结合本单元现实,成立美满数据使用申请及核准流程,遵循“谁主管、谁审查”、遵循事前申请及核准、事中监管、过后审核准则,严格执行业务治理部门赞成、医疗卫朝气构辅导核准的工作法式,领导数据活动流程合规。
第二十二条?各医疗卫朝气构应加强数据网络、存储、传输、处置、使用、互换、销毁全性命周期安全治理工作,数据全性命周期活动应在境内发展,因业务确需向境表提供的,该当依照有关司法律规及有关要求进行安全评估或审核,针对影响或者可能影响国度安全的数据处置活动需提交国度安全审查,预防数据安全事务产生。
(一)各医疗卫朝气构应加强数据网络中法性治理,明确业务部门和治理部门在数据网络中法性中的主体责任。采取数据脱敏、数据加密、链路加密等防控措施,预防数据网络过程中数据被泄露。
(二)在数据分类分级的基础上,进一步明确分歧安全级别数据的加密传输要求。加强传输过程中的接口安全节造,确保在通过接口传输时的安全性,预防数据被窃取。
(三)各医疗卫朝气构应依照有关律例尺度,选择相宜的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,该当评估可能带来的安全风险。数据存储周期不应超出数据使用规定确定的保留期限。加强存储过程中接见节造安全、数据副本安全、数据归档安全管控。
(四)各医疗卫朝气构应严格划定分歧人员的权限,加强数据使用过程中的申请及核准流程治理,确保数据在可控领域内使用,加强日志留存及治理工作,杜绝篡改、删除日志的景象产生,预防数据越权使用。各数据使用部门和数据使用人须严格依照申请所述用处与领域使用数据,对数据的安全掌管。未经核准,任何部门和幼我不得将未对表公开的信息数据传递至部门表,不得以任何方式将其泄露。
(五)各医疗卫朝气构颁布、共享数据时该当评估可能带来的安全风险,并采取必要的安全防控措施;涉及数据上报时,应由数据上报提出方掌管解读上报要求,确定上报领域和上报规定,确保数据上报安全可控。
(六)各医疗卫朝气构发展人脸鉴别某人脸辨识时,应同时提供非人脸识此外身份鉴别方式,不得因数据主体不赞成网络人脸鉴别数据而回绝数据主体使用其根基业务职能,人脸鉴别数据不得用于除身份鉴别之表的其他主张,蕴含但不限于评估或预测数据主体工作阐发、经济情况、健全情况、偏好、兴致等。各医疗卫朝气构应采取安全措施存储和传输人脸鉴别数据,蕴含但不限于加密存储和传输人脸鉴别数据,选取物理或逻辑隔离方式别离存储人脸鉴别和幼我身份信息等。
(七)数据销毁时应选取确保数据无法还原的销毁方式,沉点关注数据残留风险及数据备份风险。
第四章?监督治理
第二十三条?各医疗卫朝气构应积极共同有关主管监管机构监督治理,接受网络安全治理日常查抄,做好网络安全防护等工作。
第二十四条?各医疗卫朝气构应及使佧改有关主管监管机构查抄过程中发现的缝隙和隐患等问题,杜绝沉大网络安全事务产生。
第二十五条?产生幼我信息和数据泄露、毁损、迷失等安全事务和网络系统遭攻击、入侵、节造等网络安全事务,或者发现网络存在缝隙隐患、网络安全风险显著增大时,各医疗卫朝气构该当当即启动应急预案,采取必要的补救和措置措施,实时以电话、短信、邮件或信函等多种方式奉告有关主体,并依照要求向有关主管监管部门汇报。
第二十六条?各级卫生健全行政部门应成立网络安全事务传递工作机造,实时传递网络安全事务。
第二十七条?产生网络安全事务时,各医疗卫朝气构应实时向卫生健全行政部门、公安机关汇报,做好现场;ぁ⒘舸嬗泄丶吐,为公安机关等监管部门依法守护国度安全和发展窥伺调查等活动提供技术支持和协助。
第五章?治理保险
第二十八条?各医疗卫朝气构应高度器沉网络安全治理工作,将其列入沉要议事日程,加强两全辅导和规划设计,依法依规落实人员、经费投入、安全;ご胧┙ㄉ璧瘸链笪侍,保障信息系统建设时安全;ご胧┩焦婊⑼浇ㄉ韬屯绞褂。
第二十九条?各医疗卫朝气构应加强网络安全业务互换,严格执行网络安全持续教育造度,激励治理岗位和技术岗位持证上岗。通过组织发展学术互换及交锋较量的方式,发现提拔网络安全人才,成立人才库,成立健全人才发现、造就、提拔和使用机造,为做好网络安全工作提供人才保险。
第三十条?各医疗卫朝气构应保险发展网络安全等级测评、风险评估、攻防演练较量、安全建设整改、安全;て教ńㄉ琛⒚苈氡O障低辰ㄉ琛⒃宋⒔逃嘌档染淹度。新建信息化项主张网络安全预算不低于项目总预算的5%。
第三十一条?各医疗卫朝气构应进一步美满网络安全查核评价造度,明确查核指标,组织发展查核。激励有前提的医疗卫朝气构将查核与绩效挂钩。
第六章 附则
第三十二条?违反本法子划定,产生幼我信息和数据泄露,或者出现沉大网络安全事务的,按《网络安全法》〖码法》《根基医疗卫生与健全推进法》《数据安全法》《幼我信息;しā贰豆丶畔⒒∩枋┌踩;ぬ趵芬约巴绨踩燃侗;ぴ於鹊人痉晒娲χ。
第三十三条?涉及国度奥秘的网络,依照国度有关划定执行。
第三十四条?本法子自印发之日起执行。
起源 | 中华人民共和国国度卫生健全委员会