醫(yī)療衛生(shēng)機構

網絡安全管理(lǐ)辦法

第一條 為(wèi)加強醫(yī)療衛生(shēng)機構網絡安全管理(lǐ)，進一步促進“互聯網+醫(yī)療健康”發展，充分發揮健康醫(yī)療大(dà)數(shù)據作(zuò)為(wèi)國家(jiā)重要基礎性戰略資源的作(zuò)用，加強醫(yī)療衛生(shēng)機構網絡安全管理(lǐ)，防範網絡安全事件發生(shēng)，根據《基本醫(yī)療衛生(shēng)與健康促進法》《網絡安全法》《密碼法》《數(shù)據安全法》《個(gè)人(rén)信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制(zhì)度等有(yǒu)關法律法規标準，制(zhì)定本辦法。

第二條 堅持網絡安全為(wèi)人(rén)民、網絡安全靠人(rén)民、堅持網絡安全教育、技(jì)術(shù)、産業融合發展、堅持促進發展和(hé)依法管理(lǐ)相統一、堅持安全可(kě)控和(hé)開(kāi)放創新并重。

堅持分等級保護、突出重點。重點保障關鍵信息基礎設施、網絡安全等級保護第三級（以下簡稱第三級）及以上(shàng)網絡以及重要數(shù)據和(hé)個(gè)人(rén)信息安全。

堅持積極防禦、綜合防護。充分利用人(rén)工智能、大(dà)數(shù)據分析等技(jì)術(shù)，強化安全監測、态勢感知、通(tōng)報預警和(hé)應急處置等重點工作(zuò)，落實網絡安全保護“實戰化、體(tǐ)系化、常态化”和(hé)“動态防禦、主動防禦、縱深防禦、精準防護、整體(tǐ)防控、聯防聯控”的“三化六防”措施。

堅持“管業務就要管安全”“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，落實網絡安全責任制(zhì)，明(míng)确各方責任。

第三條 本辦法所稱的網絡是指由計(jì)算(suàn)機或者其他信息終端及相關設備組成的按照一定的規則和(hé)程序對信息進行(xíng)收集、存儲、傳輸、交換、處理(lǐ)的系統。

本辦法所稱的數(shù)據為(wèi)網絡數(shù)據，是指醫(yī)療衛生(shēng)機構通(tōng)過網絡收集、存儲、傳輸、處理(lǐ)和(hé)産生(shēng)的各種電(diàn)子數(shù)據，包括但(dàn)不限于各類臨床、科研、管理(lǐ)等業務數(shù)據、醫(yī)療設備産生(shēng)的數(shù)據、個(gè)人(rén)信息以及數(shù)據衍生(shēng)物。

本辦法适用于醫(yī)療衛生(shēng)機構運營網絡的安全管理(lǐ)。未納入區(qū)域基層衛生(shēng)信息系統的基層醫(yī)療衛生(shēng)機構參照執行(xíng)。

第四條 國家(jiā)衛生(shēng)健康委、國家(jiā)中醫(yī)藥局、國家(jiā)疾控局負責統籌規劃、指導、評估、監督醫(yī)療衛生(shēng)機構網絡安全工作(zuò)。縣級以上(shàng)地方衛生(shēng)健康行(xíng)政部門(mén)（含中醫(yī)藥和(hé)疾控部門(mén)，下同）負責本行(xíng)政區(qū)域內(nèi)醫(yī)療衛生(shēng)機構網絡安全指導監督工作(zuò)。

醫(yī)療衛生(shēng)機構對本單位網絡安全管理(lǐ)負主體(tǐ)責任，各醫(yī)療衛生(shēng)機構應當與信息化建設參與單位及相關醫(yī)療設備生(shēng)産經營企業書(shū)面約定各方的網絡安全義務和(hé)違約責任。

第五條 各醫(yī)療衛生(shēng)機構應成立網絡安全和(hé)信息化工作(zuò)領導小(xiǎo)組，由單位主要負責人(rén)任領導小(xiǎo)組組長，每年至少(shǎo)召開(kāi)一次網絡安全辦公會(huì)，部署安全重點工作(zuò)，落實《關鍵信息基礎設施安全保護條例》和(hé)網絡安全等級保護制(zhì)度要求。有(yǒu)二級及以上(shàng)網絡的醫(yī)療衛生(shēng)機構應明(míng)确負責網絡安全管理(lǐ)工作(zuò)的職能部門(mén)，明(míng)确承擔安全主管、安全管理(lǐ)員等職責的崗位；建立網絡安全管理(lǐ)制(zhì)度體(tǐ)系，加強網絡安全防護，強化應急處置，在此基礎上(shàng)對關鍵信息基礎設施實行(xíng)重點保護，防止網絡安全事件發生(shēng)。

第六條 各醫(yī)療衛生(shēng)機構按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，在網絡建設過程中明(míng)确本單位各網絡的主管部門(mén)、運營部門(mén)、信息化部門(mén)、使用部門(mén)等管理(lǐ)職責，對本單位運營範圍內(nèi)的網絡進行(xíng)等級保護定級、備案、測評、安全建設整改等工作(zuò)。

（一）對新建網絡，應在規劃和(hé)申報階段确定網絡安全保護等級。各醫(yī)療衛生(shēng)機構應全面梳理(lǐ)本單位各類網絡，特别是雲計(jì)算(suàn)、物聯網、區(qū)塊鏈、5G、大(dà)數(shù)據等新技(jì)術(shù)應用的基本情況，并根據網絡的功能、服務範圍、服務對象和(hé)處理(lǐ)數(shù)據等情況，依據相關标準科學确定網絡的安全保護等級，并報上(shàng)級主管部門(mén)審核同意。

（二）新建網絡投入使用應依法依規開(kāi)展等級保護備案工作(zuò)。第二級以上(shàng)網絡應在網絡安全保護等級确定後10個(gè)工作(zuò)日內(nèi)，由其運營者向公安機關備案，并将備案情況報上(shàng)級衛生(shēng)健康行(xíng)政部門(mén)，因網絡撤銷或變更安全保護等級的，應在10個(gè)工作(zuò)日內(nèi)向原備案公安機關撤銷或變更，同步上(shàng)報上(shàng)級衛生(shēng)健康行(xíng)政部門(mén)。

（三）全面梳理(lǐ)分析網絡安全保護需求，按照“一個(gè)中心（安全管理(lǐ)中心），三重防護（安全通(tōng)信網絡、安全區(qū)域邊界、安全計(jì)算(suàn)環境）”的要求，制(zhì)定符合網絡安全保護等級要求的整體(tǐ)規劃和(hé)建設方案，加強信息系統自行(xíng)開(kāi)發或外包開(kāi)發過程中的安全管理(lǐ)，認真開(kāi)展網絡安全建設，全面落實安全保護措施。

（四）各醫(yī)療衛生(shēng)機構對已定級備案網絡的安全性進行(xíng)檢測評估，第三級或第四級的網絡應委托等級保護測評機構，每年至少(shǎo)一次開(kāi)展網絡安全等級測評。第二級的網絡應委托等級保護測評機構定期開(kāi)展網絡安全等級測評，其中涉及10萬人(rén)以上(shàng)個(gè)人(rén)信息的網絡應至少(shǎo)三年開(kāi)展一次網絡安全等級測評，其他的網絡至少(shǎo)五年開(kāi)展一次網絡安全等級測評。新建的網絡上(shàng)線運行(xíng)前應進行(xíng)安全性測試。

（五）針對等級測評中發現的問題隐患，各醫(yī)療衛生(shēng)機構要結合外在的威脅風險，按照法律法規、政策和(hé)标準要求，制(zhì)定網絡安全整改方案，有(yǒu)針對性地開(kāi)展整改，及時(shí)消除風險隐患，補強管理(lǐ)和(hé)技(jì)術(shù)短(duǎn)闆，提升安全防護能力。

第七條 各醫(yī)療衛生(shēng)機構應依托國家(jiā)網絡安全信息通(tōng)報機制(zhì)，加強本單位網絡安全通(tōng)報預警力量建設。鼓勵三級醫(yī)院探索态勢感知平台建設，及時(shí)收集、彙總、分析各方網絡安全信息，加強威脅情報工作(zuò)，組織開(kāi)展網絡安全威脅分析和(hé)态勢研判，及時(shí)通(tōng)報預警和(hé)處置，防止網絡被破壞、數(shù)據外洩等事件。

第八條 各醫(yī)療衛生(shēng)機構應建立應急處置機制(zhì)，通(tōng)過建立完善應急預案、組織應急演練等方式，有(yǒu)效處理(lǐ)網絡中斷、網絡攻擊、數(shù)據洩露等安全事件，提高(gāo)應對網絡安全事件能力。積極參加網絡安全攻防演練，提升保護和(hé)對抗能力。

第九條 各醫(yī)療衛生(shēng)機構在網絡運營過程中，應每年開(kāi)展文檔核驗、漏洞掃描、滲透測試等多(duō)種形式的安全自查，及時(shí)發現可(kě)能存在的問題和(hé)隐患。針對安全自查、監測預警、安全通(tōng)報等過程中發現的安全隐患應認真開(kāi)展整改加固，防止網絡帶病運行(xíng)，并按要求将安全自查整改情況報上(shàng)級衛生(shēng)健康行(xíng)政部門(mén)。自查整改可(kě)與等級測評問題整改一并實施。

每年安全自查整改工作(zuò)包括：

（一）依據上(shàng)級主管監管機構要求，各醫(yī)療衛生(shēng)機構完成信息資産梳理(lǐ)，摸清本單位網絡定級、備案等情況，形成資産清單，組織安全自查。

（二）依據上(shàng)級主管監管機構要求，各醫(yī)療衛生(shēng)機構依據安全自查結果，對發現的問題和(hé)隐患進行(xíng)整改，形成整改報告向有(yǒu)關主管監管機構報備。

第十條 關鍵信息基礎設施運營者應對安全管理(lǐ)機構負責人(rén)和(hé)關鍵崗位人(rén)員進行(xíng)安全背景審查。各醫(yī)療衛生(shēng)機構要加強網絡運營相關人(rén)員管理(lǐ)，包括本單位內(nèi)部人(rén)員及第三方人(rén)員，明(míng)确內(nèi)部人(rén)員入職、培訓、考核、離崗全流程安全管理(lǐ)，針對第三方應明(míng)确人(rén)員接觸網絡時(shí)的申請(qǐng)及批準流程，做(zuò)好實名登記、人(rén)員背景審查、保密協議簽署等工作(zuò)，防止因人(rén)員資質及違規操作(zuò)引發的安全風險。     

第十一條 加強網絡運維管理(lǐ)，制(zhì)定運維操作(zuò)規範和(hé)工作(zuò)流程。加強物理(lǐ)安全防護，完善機房(fáng)、辦公環境及運維現場(chǎng)等安全控制(zhì)措施，防止非授權訪問物理(lǐ)環境造成信息洩露。加強遠程運維管理(lǐ)，因業務确需通(tōng)過互聯網遠程運維的，應進行(xíng)評估論證，并采取相應的安全管控措施，防止遠程端口暴露引發安全事件。

第十二條 各醫(yī)療衛生(shēng)機構應加強業務連續性管理(lǐ)并持續監測網絡運行(xíng)狀态。對于第三級及以上(shàng)的網絡應加強保障關鍵鏈路、關鍵設備冗餘備份，有(yǒu)條件的醫(yī)療衛生(shēng)機構應建立應用級容災備份，防止關鍵業務中斷。

第十三條 應用大(dà)數(shù)據、人(rén)工智能、區(qū)塊鏈等新技(jì)術(shù)開(kāi)展服務時(shí)，上(shàng)線前應評估新技(jì)術(shù)的安全風險并進行(xíng)安全管控，達到應用與安全的平衡。

第十四條 各醫(yī)療衛生(shēng)機構應規範和(hé)加強醫(yī)療設備數(shù)據、個(gè)人(rén)信息保護和(hé)網絡安全管理(lǐ)，建立健全醫(yī)療設備招标采購、安裝調試、運行(xíng)使用、維護維修、報廢處置等相關網絡安全管理(lǐ)制(zhì)度，定期檢查或評估醫(yī)療設備網絡安全，并采取相應的安全管控措施，确保醫(yī)療設備網絡安全。

第十五條 各醫(yī)療衛生(shēng)機構應按照《密碼法》等有(yǒu)關法律法規和(hé)密碼應用相關标準規範，在網絡建設過程中同步規劃、同步建設、同步運行(xíng)密碼保護措施，使用符合相關要求的密碼産品和(hé)服務。

第十六條 各醫(yī)療衛生(shēng)機構應關注整個(gè)網絡全鏈條參與者的安全管理(lǐ)，涉及非本單位的第三方時(shí)，應對設計(jì)、建設、運行(xíng)、維護等服務實施安全管理(lǐ)，采購安全的網絡産品和(hé)服務，防止發生(shēng)第三方安全事件。

第十七條 各醫(yī)療衛生(shēng)機構應加強廢止網絡的安全管理(lǐ)，對廢止網絡的相關設備進行(xíng)風險評估，及時(shí)對其采取封存或銷毀措施，确保廢止網絡中的數(shù)據處置安全，防止網絡數(shù)據洩露。

第十八條 各醫(yī)療衛生(shēng)機構應按照有(yǒu)關法律法規的規定，參照國家(jiā)網絡安全标準，履行(xíng)數(shù)據安全保護義務，堅持保障數(shù)據安全與發展并重，通(tōng)過管理(lǐ)和(hé)技(jì)術(shù)手段保障數(shù)據安全和(hé)數(shù)據應用的有(yǒu)效平衡。關鍵信息基礎設施運營者應拟定關鍵信息基礎設施安全保護計(jì)劃，建立健全數(shù)據安全和(hé)個(gè)人(rén)信息保護制(zhì)度。

第十九條 應建立數(shù)據安全管理(lǐ)組織架構，明(míng)确業務部門(mén)與管理(lǐ)部門(mén)在數(shù)據安全活動中的主體(tǐ)責任，通(tōng)過安全責任書(shū)等方式，規範本單位數(shù)據管理(lǐ)部門(mén)、業務部門(mén)、信息化部門(mén)在數(shù)據安全管理(lǐ)全生(shēng)命周期當中的權責，建立數(shù)據安全工作(zuò)責任制(zhì)，落實追責追究制(zhì)度。

第二十條 各醫(yī)療衛生(shēng)機構應每年對數(shù)據資産進行(xíng)全面梳理(lǐ)，在落實網絡安全等級保護制(zhì)度的基礎上(shàng)，依據數(shù)據的重要程度以及遭到破壞後的危害程度建立本單位數(shù)據分類分級标準。數(shù)據分類分級應遵循合法合規原則、可(kě)執行(xíng)原則、時(shí)效性原則、自主性原則、差異性原則及客觀性原則。

第二十一條 各醫(yī)療衛生(shēng)機構應建立健全數(shù)據安全管理(lǐ)制(zhì)度、操作(zuò)規程及技(jì)術(shù)規範，涉及的管理(lǐ)制(zhì)度每年至少(shǎo)修訂一次，建議相關人(rén)員每年度簽署保密協議。每年對本單位的數(shù)據進行(xíng)數(shù)據安全風險評估，及時(shí)掌握數(shù)據安全狀态。加強數(shù)據安全教育培訓，組織安全意識教育和(hé)數(shù)據安全管理(lǐ)制(zhì)度宣傳培訓。結合本單位實際，建立完善數(shù)據使用申請(qǐng)及批準流程，遵循“誰主管、誰審查”、遵循事前申請(qǐng)及批準、事中監管、事後審核原則，嚴格執行(xíng)業務管理(lǐ)部門(mén)同意、醫(yī)療衛生(shēng)機構領導核準的工作(zuò)程序，指導數(shù)據活動流程合規。

第二十二條 各醫(yī)療衛生(shēng)機構應加強數(shù)據收集、存儲、傳輸、處理(lǐ)、使用、交換、銷毀全生(shēng)命周期安全管理(lǐ)工作(zuò)，數(shù)據全生(shēng)命周期活動應在境內(nèi)開(kāi)展，因業務确需向境外提供的，應當按照相關法律法規及有(yǒu)關要求進行(xíng)安全評估或審核，針對影(yǐng)響或者可(kě)能影(yǐng)響國家(jiā)安全的數(shù)據處理(lǐ)活動需提交國家(jiā)安全審查，防止數(shù)據安全事件發生(shēng)。

（一）各醫(yī)療衛生(shēng)機構應加強數(shù)據收集合法性管理(lǐ)，明(míng)确業務部門(mén)和(hé)管理(lǐ)部門(mén)在數(shù)據收集合法性中的主體(tǐ)責任。采取數(shù)據脫敏、數(shù)據加密、鏈路加密等防控措施，防止數(shù)據收集過程中數(shù)據被洩露。

（二）在數(shù)據分類分級的基礎上(shàng)，進一步明(míng)确不同安全級别數(shù)據的加密傳輸要求。加強傳輸過程中的接口安全控制(zhì)，确保在通(tōng)過接口傳輸時(shí)的安全性，防止數(shù)據被竊取。

（三）各醫(yī)療衛生(shēng)機構應按照有(yǒu)關法規标準，選擇合适的數(shù)據存儲架構和(hé)介質在境內(nèi)存儲，并采取備份、加密等措施加強數(shù)據的存儲安全。涉及到雲上(shàng)存儲數(shù)據時(shí)，應當評估可(kě)能帶來(lái)的安全風險。數(shù)據存儲周期不應超出數(shù)據使用規則确定的保存期限。加強存儲過程中訪問控制(zhì)安全、數(shù)據副本安全、數(shù)據歸檔安全管控。

（四）各醫(yī)療衛生(shēng)機構應嚴格規定不同人(rén)員的權限，加強數(shù)據使用過程中的申請(qǐng)及批準流程管理(lǐ)，确保數(shù)據在可(kě)控範圍內(nèi)使用，加強日志(zhì)留存及管理(lǐ)工作(zuò)，杜絕篡改、删除日志(zhì)的現象發生(shēng)，防止數(shù)據越權使用。各數(shù)據使用部門(mén)和(hé)數(shù)據使用人(rén)須嚴格按照申請(qǐng)所述用途與範圍使用數(shù)據，對數(shù)據的安全負責。未經批準，任何部門(mén)和(hé)個(gè)人(rén)不得(de)将未對外公開(kāi)的信息數(shù)據傳遞至部門(mén)外，不得(de)以任何方式将其洩露。

（五）各醫(yī)療衛生(shēng)機構發布、共享數(shù)據時(shí)應當評估可(kě)能帶來(lái)的安全風險，并采取必要的安全防控措施；涉及數(shù)據上(shàng)報時(shí)，應由數(shù)據上(shàng)報提出方負責解讀上(shàng)報要求，确定上(shàng)報範圍和(hé)上(shàng)報規則,确保數(shù)據上(shàng)報安全可(kě)控。

（六）各醫(yī)療衛生(shēng)機構開(kāi)展人(rén)臉識别或人(rén)臉辨識時(shí)，應同時(shí)提供非人(rén)臉識别的身份識别方式，不得(de)因數(shù)據主體(tǐ)不同意收集人(rén)臉識别數(shù)據而拒絕數(shù)據主體(tǐ)使用其基本業務功能，人(rén)臉識别數(shù)據不得(de)用于除身份識别之外的其他目的，包括但(dàn)不限于評估或預測數(shù)據主體(tǐ)工作(zuò)表現、經濟狀況、健康狀況、偏好、興趣等。各醫(yī)療衛生(shēng)機構應采取安全措施存儲和(hé)傳輸人(rén)臉識别數(shù)據，包括但(dàn)不限于加密存儲和(hé)傳輸人(rén)臉識别數(shù)據，采用物理(lǐ)或邏輯隔離方式分别存儲人(rén)臉識别和(hé)個(gè)人(rén)身份信息等。

（七）數(shù)據銷毀時(shí)應采用确保數(shù)據無法還(hái)原的銷毀方式，重點關注數(shù)據殘留風險及數(shù)據備份風險。

第二十三條 各醫(yī)療衛生(shēng)機構應積極配合有(yǒu)關主管監管機構監督管理(lǐ)，接受網絡安全管理(lǐ)日常檢查，做(zuò)好網絡安全防護等工作(zuò)。

第二十四條 各醫(yī)療衛生(shēng)機構應及時(shí)整改有(yǒu)關主管監管機構檢查過程中發現的漏洞和(hé)隐患等問題，杜絕重大(dà)網絡安全事件發生(shēng)。

第二十五條 發生(shēng)個(gè)人(rén)信息和(hé)數(shù)據洩露、毀損、丢失等安全事件和(hé)網絡系統遭攻擊、入侵、控制(zhì)等網絡安全事件，或者發現網絡存在漏洞隐患、網絡安全風險明(míng)顯增大(dà)時(shí)，各醫(yī)療衛生(shēng)機構應當立即啓動應急預案，采取必要的補救和(hé)處置措施，及時(shí)以電(diàn)話(huà)、短(duǎn)信、郵件或信函等多(duō)種方式告知相關主體(tǐ)，并按照要求向有(yǒu)關主管監管部門(mén)報告。

第二十六條 各級衛生(shēng)健康行(xíng)政部門(mén)應建立網絡安全事件通(tōng)報工作(zuò)機制(zhì)，及時(shí)通(tōng)報網絡安全事件。

第二十七條 發生(shēng)網絡安全事件時(shí)，各醫(yī)療衛生(shēng)機構應及時(shí)向衛生(shēng)健康行(xíng)政部門(mén)、公安機關報告，做(zuò)好現場(chǎng)保護、留存相關記錄，為(wèi)公安機關等監管部門(mén)依法維護國家(jiā)安全和(hé)開(kāi)展偵查調查等活動提供技(jì)術(shù)支持和(hé)協助。

第二十八條 各醫(yī)療衛生(shēng)機構應高(gāo)度重視(shì)網絡安全管理(lǐ)工作(zuò)，将其列入重要議事日程，加強統籌領導和(hé)規劃設計(jì)，依法依規落實人(rén)員、經費投入、安全保護措施建設等重大(dà)問題，保證信息系統建設時(shí)安全保護措施同步規劃、同步建設和(hé)同步使用。

第二十九條 各醫(yī)療衛生(shēng)機構應加強網絡安全業務交流，嚴格執行(xíng)網絡安全繼續教育制(zhì)度，鼓勵管理(lǐ)崗位和(hé)技(jì)術(shù)崗位持證上(shàng)崗。通(tōng)過組織開(kāi)展學術(shù)交流及比武競賽的方式，發現選拔網絡安全人(rén)才，建立人(rén)才庫，建立健全人(rén)才發現、培養、選拔和(hé)使用機制(zhì)，為(wèi)做(zuò)好網絡安全工作(zuò)提供人(rén)才保障。

第三十條 各醫(yī)療衛生(shēng)機構應保障開(kāi)展網絡安全等級測評、風險評估、攻防演練競賽、安全建設整改、安全保護平台建設、密碼保障系統建設、運維、教育培訓等經費投入。新建信息化項目的網絡安全預算(suàn)不低(dī)于項目總預算(suàn)的5%。

第三十一條 各醫(yī)療衛生(shēng)機構應進一步完善網絡安全考核評價制(zhì)度，明(míng)确考核指标，組織開(kāi)展考核。鼓勵有(yǒu)條件的醫(yī)療衛生(shēng)機構将考核與績效挂鈎。

第三十二條 違反本辦法規定，發生(shēng)個(gè)人(rén)信息和(hé)數(shù)據洩露，或者出現重大(dà)網絡安全事件的，按《網絡安全法》《密碼法》《基本醫(yī)療衛生(shēng)與健康促進法》《數(shù)據安全法》《個(gè)人(rén)信息保護法》《關鍵信息基礎設施安全保護條例》以及網絡安全等級保護制(zhì)度等法律法規處理(lǐ)。

第三十三條 涉及國家(jiā)秘密的網絡，按照國家(jiā)有(yǒu)關規定執行(xíng)。

第三十四條 本辦法自印發之日起實施。