醫療衛生(shēng)機構

網絡安全管理辦法

第一(yī)條 爲加強醫療衛生(shēng)機構網絡安全管理，進一(yī)步促進“互聯網+醫療健康”發展，充分(fēn)發揮健康醫療大(dà)數據作爲國家重要基礎性戰略資(zī)源的作用，加強醫療衛生(shēng)機構網絡安全管理，防範網絡安全事件發生(shēng)，根據《基本醫療衛生(shēng)與健康促進法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制度等有關法律法規标準，制定本辦法。

第二條 堅持網絡安全爲人民、網絡安全靠人民、堅持網絡安全教育、技術、産業融合發展、堅持促進發展和依法管理相統一(yī)、堅持安全可控和開(kāi)放(fàng)創新并重。

堅持分(fēn)等級保護、突出重點。重點保障關鍵信息基礎設施、網絡安全等級保護第三級（以下(xià)簡稱第三級）及以上網絡以及重要數據和個人信息安全。

堅持積極防禦、綜合防護。充分(fēn)利用人工(gōng)智能、大(dà)數據分(fēn)析等技術，強化安全監測、态勢感知(zhī)、通報預警和應急處置等重點工(gōng)作，落實網絡安全保護“實戰化、體(tǐ)系化、常态化”和“動态防禦、主動防禦、縱深防禦、精準防護、整體(tǐ)防控、聯防聯控”的“三化六防”措施。

堅持“管業務就要管安全”“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，落實網絡安全責任制，明确各方責任。

第三條 本辦法所稱的網絡是指由計算機或者其他信息終端及相關設備組成的按照一(yī)定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

本辦法所稱的數據爲網絡數據，是指醫療衛生(shēng)機構通過網絡收集、存儲、傳輸、處理和産生(shēng)的各種電子數據，包括但不限于各類臨床、科研、管理等業務數據、醫療設備産生(shēng)的數據、個人信息以及數據衍生(shēng)物(wù)。

本辦法适用于醫療衛生(shēng)機構運營網絡的安全管理。未納入區域基層衛生(shēng)信息系統的基層醫療衛生(shēng)機構參照執行。

第四條 國家衛生(shēng)健康委、國家中(zhōng)醫藥局、國家疾控局負責統籌規劃、指導、評估、監督醫療衛生(shēng)機構網絡安全工(gōng)作。縣級以上地方衛生(shēng)健康行政部門（含中(zhōng)醫藥和疾控部門，下(xià)同）負責本行政區域内醫療衛生(shēng)機構網絡安全指導監督工(gōng)作。

醫療衛生(shēng)機構對本單位網絡安全管理負主體(tǐ)責任，各醫療衛生(shēng)機構應當與信息化建設參與單位及相關醫療設備生(shēng)産經營企業書(shū)面約定各方的網絡安全義務和違約責任。

第五條 各醫療衛生(shēng)機構應成立網絡安全和信息化工(gōng)作領導小(xiǎo)組，由單位主要負責人任領導小(xiǎo)組組長，每年至少召開(kāi)一(yī)次網絡安全辦公會，部署安全重點工(gōng)作，落實《關鍵信息基礎設施安全保護條例》和網絡安全等級保護制度要求。有二級及以上網絡的醫療衛生(shēng)機構應明确負責網絡安全管理工(gōng)作的職能部門，明确承擔安全主管、安全管理員(yuán)等職責的崗位；建立網絡安全管理制度體(tǐ)系，加強網絡安全防護，強化應急處置，在此基礎上對關鍵信息基礎設施實行重點保護，防止網絡安全事件發生(shēng)。

第六條 各醫療衛生(shēng)機構按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，在網絡建設過程中(zhōng)明确本單位各網絡的主管部門、運營部門、信息化部門、使用部門等管理職責，對本單位運營範圍内的網絡進行等級保護定級、備案、測評、安全建設整改等工(gōng)作。

（一(yī)）對新建網絡，應在規劃和申報階段确定網絡安全保護等級。各醫療衛生(shēng)機構應全面梳理本單位各類網絡，特别是雲計算、物(wù)聯網、區塊鏈、5G、大(dà)數據等新技術應用的基本情況，并根據網絡的功能、服務範圍、服務對象和處理數據等情況，依據相關标準科學确定網絡的安全保護等級，并報上級主管部門審核同意。

（二）新建網絡投入使用應依法依規開(kāi)展等級保護備案工(gōng)作。第二級以上網絡應在網絡安全保護等級确定後10個工(gōng)作日内，由其運營者向公安機關備案，并将備案情況報上級衛生(shēng)健康行政部門，因網絡撤銷或變更安全保護等級的，應在10個工(gōng)作日内向原備案公安機關撤銷或變更，同步上報上級衛生(shēng)健康行政部門。

（三）全面梳理分(fēn)析網絡安全保護需求，按照“一(yī)個中(zhōng)心（安全管理中(zhōng)心），三重防護（安全通信網絡、安全區域邊界、安全計算環境）”的要求，制定符合網絡安全保護等級要求的整體(tǐ)規劃和建設方案，加強信息系統自行開(kāi)發或外(wài)包開(kāi)發過程中(zhōng)的安全管理，認真開(kāi)展網絡安全建設，全面落實安全保護措施。

（四）各醫療衛生(shēng)機構對已定級備案網絡的安全性進行檢測評估，第三級或第四級的網絡應委托等級保護測評機構，每年至少一(yī)次開(kāi)展網絡安全等級測評。第二級的網絡應委托等級保護測評機構定期開(kāi)展網絡安全等級測評，其中(zhōng)涉及10萬人以上個人信息的網絡應至少三年開(kāi)展一(yī)次網絡安全等級測評，其他的網絡至少五年開(kāi)展一(yī)次網絡安全等級測評。新建的網絡上線運行前應進行安全性測試。

（五）針對等級測評中(zhōng)發現的問題隐患，各醫療衛生(shēng)機構要結合外(wài)在的威脅風險，按照法律法規、政策和标準要求，制定網絡安全整改方案，有針對性地開(kāi)展整改，及時消除風險隐患，補強管理和技術短闆，提升安全防護能力。

第七條 各醫療衛生(shēng)機構應依托國家網絡安全信息通報機制，加強本單位網絡安全通報預警力量建設。鼓勵三級醫院探索态勢感知(zhī)平台建設，及時收集、彙總、分(fēn)析各方網絡安全信息，加強威脅情報工(gōng)作，組織開(kāi)展網絡安全威脅分(fēn)析和态勢研判，及時通報預警和處置，防止網絡被破壞、數據外(wài)洩等事件。

第八條 各醫療衛生(shēng)機構應建立應急處置機制，通過建立完善應急預案、組織應急演練等方式，有效處理網絡中(zhōng)斷、網絡攻擊、數據洩露等安全事件，提高應對網絡安全事件能力。積極參加網絡安全攻防演練，提升保護和對抗能力。

第九條 各醫療衛生(shēng)機構在網絡運營過程中(zhōng)，應每年開(kāi)展文檔核驗、漏洞掃描、滲透測試等多種形式的安全自查，及時發現可能存在的問題和隐患。針對安全自查、監測預警、安全通報等過程中(zhōng)發現的安全隐患應認真開(kāi)展整改加固，防止網絡帶病運行，并按要求将安全自查整改情況報上級衛生(shēng)健康行政部門。自查整改可與等級測評問題整改一(yī)并實施。

每年安全自查整改工(gōng)作包括：

（一(yī)）依據上級主管監管機構要求，各醫療衛生(shēng)機構完成信息資(zī)産梳理，摸清本單位網絡定級、備案等情況，形成資(zī)産清單，組織安全自查。

（二）依據上級主管監管機構要求，各醫療衛生(shēng)機構依據安全自查結果，對發現的問題和隐患進行整改，形成整改報告向有關主管監管機構報備。

第十條 關鍵信息基礎設施運營者應對安全管理機構負責人和關鍵崗位人員(yuán)進行安全背景審查。各醫療衛生(shēng)機構要加強網絡運營相關人員(yuán)管理，包括本單位内部人員(yuán)及第三方人員(yuán)，明确内部人員(yuán)入職、培訓、考核、離(lí)崗全流程安全管理，針對第三方應明确人員(yuán)接觸網絡時的申請及批準流程，做好實名登記、人員(yuán)背景審查、保密協議簽署等工(gōng)作，防止因人員(yuán)資(zī)質及違規操作引發的安全風險。     

第十一(yī)條 加強網絡運維管理，制定運維操作規範和工(gōng)作流程。加強物(wù)理安全防護，完善機房、辦公環境及運維現場等安全控制措施，防止非授權訪問物(wù)理環境造成信息洩露。加強遠程運維管理，因業務确需通過互聯網遠程運維的，應進行評估論證，并采取相應的安全管控措施，防止遠程端口暴露引發安全事件。

第十二條 各醫療衛生(shēng)機構應加強業務連續性管理并持續監測網絡運行狀态。對于第三級及以上的網絡應加強保障關鍵鏈路、關鍵設備冗餘備份，有條件的醫療衛生(shēng)機構應建立應用級容災備份，防止關鍵業務中(zhōng)斷。

第十三條 應用大(dà)數據、人工(gōng)智能、區塊鏈等新技術開(kāi)展服務時，上線前應評估新技術的安全風險并進行安全管控，達到應用與安全的平衡。

第十四條 各醫療衛生(shēng)機構應規範和加強醫療設備數據、個人信息保護和網絡安全管理，建立健全醫療設備招标采購、安裝調試、運行使用、維護維修、報廢處置等相關網絡安全管理制度，定期檢查或評估醫療設備網絡安全，并采取相應的安全管控措施，确保醫療設備網絡安全。

第十五條 各醫療衛生(shēng)機構應按照《密碼法》等有關法律法規和密碼應用相關标準規範，在網絡建設過程中(zhōng)同步規劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼産品和服務。

第十六條 各醫療衛生(shēng)機構應關注整個網絡全鏈條參與者的安全管理，涉及非本單位的第三方時，應對設計、建設、運行、維護等服務實施安全管理，采購安全的網絡産品和服務，防止發生(shēng)第三方安全事件。

第十七條 各醫療衛生(shēng)機構應加強廢止網絡的安全管理，對廢止網絡的相關設備進行風險評估，及時對其采取封存或銷毀措施，确保廢止網絡中(zhōng)的數據處置安全，防止網絡數據洩露。

第十八條 各醫療衛生(shēng)機構應按照有關法律法規的規定，參照國家網絡安全标準，履行數據安全保護義務，堅持保障數據安全與發展并重，通過管理和技術手段保障數據安全和數據應用的有效平衡。關鍵信息基礎設施運營者應拟定關鍵信息基礎設施安全保護計劃，建立健全數據安全和個人信息保護制度。

第十九條 應建立數據安全管理組織架構，明确業務部門與管理部門在數據安全活動中(zhōng)的主體(tǐ)責任，通過安全責任書(shū)等方式，規範本單位數據管理部門、業務部門、信息化部門在數據安全管理全生(shēng)命周期當中(zhōng)的權責，建立數據安全工(gōng)作責任制，落實追責追究制度。

第二十條 各醫療衛生(shēng)機構應每年對數據資(zī)産進行全面梳理，在落實網絡安全等級保護制度的基礎上，依據數據的重要程度以及遭到破壞後的危害程度建立本單位數據分(fēn)類分(fēn)級标準。數據分(fēn)類分(fēn)級應遵循合法合規原則、可執行原則、時效性原則、自主性原則、差異性原則及客觀性原則。

第二十一(yī)條 各醫療衛生(shēng)機構應建立健全數據安全管理制度、操作規程及技術規範，涉及的管理制度每年至少修訂一(yī)次，建議相關人員(yuán)每年度簽署保密協議。每年對本單位的數據進行數據安全風險評估，及時掌握數據安全狀态。加強數據安全教育培訓，組織安全意識教育和數據安全管理制度宣傳培訓。結合本單位實際，建立完善數據使用申請及批準流程，遵循“誰主管、誰審查”、遵循事前申請及批準、事中(zhōng)監管、事後審核原則，嚴格執行業務管理部門同意、醫療衛生(shēng)機構領導核準的工(gōng)作程序，指導數據活動流程合規。

第二十二條 各醫療衛生(shēng)機構應加強數據收集、存儲、傳輸、處理、使用、交換、銷毀全生(shēng)命周期安全管理工(gōng)作，數據全生(shēng)命周期活動應在境内開(kāi)展，因業務确需向境外(wài)提供的，應當按照相關法律法規及有關要求進行安全評估或審核，針對影響或者可能影響國家安全的數據處理活動需提交國家安全審查，防止數據安全事件發生(shēng)。

（一(yī)）各醫療衛生(shēng)機構應加強數據收集合法性管理，明确業務部門和管理部門在數據收集合法性中(zhōng)的主體(tǐ)責任。采取數據脫敏、數據加密、鏈路加密等防控措施，防止數據收集過程中(zhōng)數據被洩露。

（二）在數據分(fēn)類分(fēn)級的基礎上，進一(yī)步明确不同安全級别數據的加密傳輸要求。加強傳輸過程中(zhōng)的接口安全控制，确保在通過接口傳輸時的安全性，防止數據被竊取。

（三）各醫療衛生(shēng)機構應按照有關法規标準，選擇合适的數據存儲架構和介質在境内存儲，并采取備份、加密等措施加強數據的存儲安全。涉及到雲上存儲數據時，應當評估可能帶來的安全風險。數據存儲周期不應超出數據使用規則确定的保存期限。加強存儲過程中(zhōng)訪問控制安全、數據副本安全、數據歸檔安全管控。

（四）各醫療衛生(shēng)機構應嚴格規定不同人員(yuán)的權限，加強數據使用過程中(zhōng)的申請及批準流程管理，确保數據在可控範圍内使用，加強日志(zhì)留存及管理工(gōng)作，杜絕篡改、删除日志(zhì)的現象發生(shēng)，防止數據越權使用。各數據使用部門和數據使用人須嚴格按照申請所述用途與範圍使用數據，對數據的安全負責。未經批準，任何部門和個人不得将未對外(wài)公開(kāi)的信息數據傳遞至部門外(wài)，不得以任何方式将其洩露。

（五）各醫療衛生(shēng)機構發布、共享數據時應當評估可能帶來的安全風險，并采取必要的安全防控措施；涉及數據上報時，應由數據上報提出方負責解讀上報要求，确定上報範圍和上報規則,确保數據上報安全可控。

（六）各醫療衛生(shēng)機構開(kāi)展人臉識别或人臉辨識時，應同時提供非人臉識别的身份識别方式，不得因數據主體(tǐ)不同意收集人臉識别數據而拒絕數據主體(tǐ)使用其基本業務功能，人臉識别數據不得用于除身份識别之外(wài)的其他目的，包括但不限于評估或預測數據主體(tǐ)工(gōng)作表現、經濟狀況、健康狀況、偏好、興趣等。各醫療衛生(shēng)機構應采取安全措施存儲和傳輸人臉識别數據，包括但不限于加密存儲和傳輸人臉識别數據，采用物(wù)理或邏輯隔離(lí)方式分(fēn)别存儲人臉識别和個人身份信息等。

（七）數據銷毀時應采用确保數據無法還原的銷毀方式，重點關注數據殘留風險及數據備份風險。

第二十三條 各醫療衛生(shēng)機構應積極配合有關主管監管機構監督管理，接受網絡安全管理日常檢查，做好網絡安全防護等工(gōng)作。

第二十四條 各醫療衛生(shēng)機構應及時整改有關主管監管機構檢查過程中(zhōng)發現的漏洞和隐患等問題，杜絕重大(dà)網絡安全事件發生(shēng)。

第二十五條 發生(shēng)個人信息和數據洩露、毀損、丢失等安全事件和網絡系統遭攻擊、入侵、控制等網絡安全事件，或者發現網絡存在漏洞隐患、網絡安全風險明顯增大(dà)時，各醫療衛生(shēng)機構應當立即啓動應急預案，采取必要的補救和處置措施，及時以電話(huà)、短信、郵件或信函等多種方式告知(zhī)相關主體(tǐ)，并按照要求向有關主管監管部門報告。

第二十六條 各級衛生(shēng)健康行政部門應建立網絡安全事件通報工(gōng)作機制，及時通報網絡安全事件。

第二十七條 發生(shēng)網絡安全事件時，各醫療衛生(shēng)機構應及時向衛生(shēng)健康行政部門、公安機關報告，做好現場保護、留存相關記錄，爲公安機關等監管部門依法維護國家安全和開(kāi)展偵查調查等活動提供技術支持和協助。

第二十八條 各醫療衛生(shēng)機構應高度重視網絡安全管理工(gōng)作，将其列入重要議事日程，加強統籌領導和規劃設計，依法依規落實人員(yuán)、經費(fèi)投入、安全保護措施建設等重大(dà)問題，保證信息系統建設時安全保護措施同步規劃、同步建設和同步使用。

第二十九條 各醫療衛生(shēng)機構應加強網絡安全業務交流，嚴格執行網絡安全繼續教育制度，鼓勵管理崗位和技術崗位持證上崗。通過組織開(kāi)展學術交流及比武競賽的方式，發現選拔網絡安全人才，建立人才庫，建立健全人才發現、培養、選拔和使用機制，爲做好網絡安全工(gōng)作提供人才保障。

第三十條 各醫療衛生(shēng)機構應保障開(kāi)展網絡安全等級測評、風險評估、攻防演練競賽、安全建設整改、安全保護平台建設、密碼保障系統建設、運維、教育培訓等經費(fèi)投入。新建信息化項目的網絡安全預算不低于項目總預算的5%。

第三十一(yī)條 各醫療衛生(shēng)機構應進一(yī)步完善網絡安全考核評價制度，明确考核指标，組織開(kāi)展考核。鼓勵有條件的醫療衛生(shēng)機構将考核與績效挂鈎。

第三十二條 違反本辦法規定，發生(shēng)個人信息和數據洩露，或者出現重大(dà)網絡安全事件的，按《網絡安全法》《密碼法》《基本醫療衛生(shēng)與健康促進法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》以及網絡安全等級保護制度等法律法規處理。

第三十三條 涉及國家秘密的網絡，按照國家有關規定執行。

第三十四條 本辦法自印發之日起實施。