國(guó)家醫(yī)療保障局關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見(jiàn)的通知
醫(yī)保發(fā)〔2021〕23號(hào)
各省、自治區(qū)、直轄市及新疆生產(chǎn)建設(shè)兵團(tuán)醫(yī)療保障局、局內(nèi)各單位:
《國(guó)家醫(yī)療保障局關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的指導(dǎo)意見(jiàn)》已經(jīng)第44次局長(zhǎng)辦公會(huì)審議通過(guò),現(xiàn)印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
附件:國(guó)家醫(yī)療保障局關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的指導(dǎo)意見(jiàn)
國(guó)家醫(yī)療保障局
2021年4月6日
國(guó)家醫(yī)療保障局關(guān)于加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的指導(dǎo)意見(jiàn)
醫(yī)療保障信息化是醫(yī)療保障事業(yè)高質(zhì)量發(fā)展的基礎(chǔ),是醫(yī)保治理體系和治理能力現(xiàn)代化的重要支撐。為全面落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、大數(shù)據(jù)戰(zhàn)略、數(shù)字經(jīng)濟(jì)的重要指示批示精神,以及黨中央關(guān)于網(wǎng)絡(luò)安全工作的總體部署,扎實(shí)推進(jìn)醫(yī)療保障信息平臺(tái)建設(shè)及運(yùn)營(yíng)維護(hù),防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn),促進(jìn)數(shù)據(jù)合理安全開(kāi)發(fā)利用,現(xiàn)就加強(qiáng)醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作,提出以下指導(dǎo)意見(jiàn)。
一、總體要求
(一)指導(dǎo)思想
堅(jiān)持以習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想為指導(dǎo),全面貫徹黨的十九大和十九屆二中、三中、四中、五中全會(huì)精神,堅(jiān)持總體國(guó)家安全觀,深入實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)和大數(shù)據(jù)戰(zhàn)略,以醫(yī)保系統(tǒng)網(wǎng)絡(luò)安全為基礎(chǔ),以智慧醫(yī)保和安全醫(yī)保建設(shè)為目標(biāo),以醫(yī)保信息安全技術(shù)為支撐,以制度建設(shè)和人才隊(duì)伍建設(shè)為保障,筑牢安全防線,促進(jìn)數(shù)據(jù)安全應(yīng)用,更好助力醫(yī)保治理體系和治理能力現(xiàn)代化,推動(dòng)醫(yī)保事業(yè)高質(zhì)量發(fā)展。
(二)基本原則
堅(jiān)持安全為本,促進(jìn)發(fā)展。統(tǒng)籌網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護(hù),夯實(shí)醫(yī)療保障信息化發(fā)展的安全底線,穩(wěn)步推動(dòng)醫(yī)保大數(shù)據(jù)建設(shè),為智慧醫(yī)保建設(shè)、合法合規(guī)數(shù)據(jù)信息共享、多層次醫(yī)療保障體系建設(shè)提供有力支撐。
堅(jiān)持健全制度,強(qiáng)化技術(shù)。制定實(shí)施網(wǎng)絡(luò)安全管理和數(shù)據(jù)安全保護(hù)的系列制度,建立有效工作機(jī)制,廣泛運(yùn)用先進(jìn)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)技術(shù),建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力。
堅(jiān)持強(qiáng)化基礎(chǔ),提升能力。把網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)放在重要位置,加快提升醫(yī)療保障系統(tǒng)網(wǎng)絡(luò)安全管理能力、數(shù)據(jù)安全保護(hù)能力、數(shù)據(jù)共享服務(wù)能力,加強(qiáng)人才隊(duì)伍建設(shè),筑牢安全發(fā)展基礎(chǔ)。
堅(jiān)持明晰責(zé)任,閉環(huán)管理。堅(jiān)持“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)使用、誰(shuí)負(fù)責(zé)”原則,落實(shí)網(wǎng)絡(luò)安全責(zé)任制,落實(shí)數(shù)據(jù)主管單位、數(shù)據(jù)使用單位責(zé)任,建立健全安全審查審批和權(quán)限管理機(jī)制,實(shí)現(xiàn)數(shù)據(jù)全流程全生命周期管理。
(三)主要目標(biāo)
到2022年,基本建成基礎(chǔ)強(qiáng)、技術(shù)優(yōu)、制度全、責(zé)任明、管理嚴(yán)的醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)工作體制機(jī)制。到“十四五”期末,醫(yī)療保障系統(tǒng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)制度體系更加健全,智慧醫(yī)保和安全醫(yī)保建設(shè)達(dá)到新水平。
——網(wǎng)絡(luò)安全水平顯著提升。主體責(zé)任明晰,監(jiān)督管理機(jī)制完善,基礎(chǔ)設(shè)施完備,網(wǎng)絡(luò)安全技術(shù)能力、態(tài)勢(shì)感知、預(yù)警能力、突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力顯著提升,網(wǎng)絡(luò)安全有效保障。
——數(shù)據(jù)安全管理有效實(shí)施。數(shù)據(jù)安全審批制度全面建立,分級(jí)分類管理及重要數(shù)據(jù)保護(hù)目錄全面落實(shí),數(shù)據(jù)實(shí)現(xiàn)全生命周期安全管理,數(shù)據(jù)安全評(píng)估機(jī)制日益完善。
——數(shù)據(jù)共享使用安全有序。數(shù)據(jù)共享使用流程明晰、機(jī)制健全,醫(yī)療保障數(shù)字化、智能化水平顯著提升。
二.加強(qiáng)網(wǎng)絡(luò)安全管理
(一)落實(shí)網(wǎng)絡(luò)安全主體責(zé)任
建立健全網(wǎng)絡(luò)安全責(zé)任制。各級(jí)醫(yī)保部門是本級(jí)網(wǎng)絡(luò)安全的責(zé)任主體,各級(jí)醫(yī)保部門主要負(fù)責(zé)人是第一責(zé)任人。各級(jí)醫(yī)保部門要組建網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,落實(shí)網(wǎng)絡(luò)安全主體責(zé)任,明確信息技術(shù)保障和意識(shí)形態(tài)工作責(zé)任邊界,強(qiáng)化行政部門網(wǎng)絡(luò)安全管理責(zé)任和擔(dān)當(dāng),健全考核機(jī)制,嚴(yán)格責(zé)任追究,確保網(wǎng)絡(luò)安全責(zé)任全覆蓋。
(二)完善網(wǎng)絡(luò)安全監(jiān)督管理機(jī)制
各級(jí)醫(yī)保部門要強(qiáng)化日常工作中網(wǎng)絡(luò)安全“紅線”意識(shí)和底線思維,建立多環(huán)節(jié)、多層次、全方位的網(wǎng)絡(luò)安全監(jiān)督管理機(jī)制。定期對(duì)信息系統(tǒng)運(yùn)行的相關(guān)軟硬件開(kāi)展安全防護(hù)檢查。對(duì)涉及關(guān)鍵網(wǎng)絡(luò)崗位和重要數(shù)據(jù)崗位的從業(yè)人員實(shí)施嚴(yán)格的背景審查。全面梳理網(wǎng)絡(luò)、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責(zé)任部門和責(zé)任人。
(三)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)
全面推進(jìn)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。根據(jù)行業(yè)規(guī)范合理定級(jí)備案,在系統(tǒng)規(guī)劃、設(shè)計(jì)階段同步確定安全保護(hù)等級(jí),按照國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行等級(jí)測(cè)評(píng)。切實(shí)落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施重點(diǎn)保護(hù)要求,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系建設(shè),提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急響應(yīng)和恢復(fù)能力。按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則,進(jìn)一步完善網(wǎng)絡(luò)結(jié)構(gòu)安全、本體安全和基礎(chǔ)設(shè)施安全,逐步推廣安全免疫。加強(qiáng)內(nèi)外網(wǎng)安全隔離,嚴(yán)禁醫(yī)保專網(wǎng)接入互聯(lián)網(wǎng)。
(四)強(qiáng)化網(wǎng)絡(luò)安全技術(shù)防護(hù)能力
建立并完善入侵檢測(cè)與防御、防病毒、防拒絕服務(wù)攻擊、防信息泄露、異常流量監(jiān)測(cè)、網(wǎng)頁(yè)防篡改、域名安全、漏洞掃描、集中賬號(hào)管理、數(shù)據(jù)加密、安全審計(jì)等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段。積極研究利用云計(jì)算、大數(shù)據(jù)等技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力。加強(qiáng)網(wǎng)站安全防護(hù)和日常辦公、維護(hù)終端的安全管理。完善域名系統(tǒng)安全防護(hù)措施,做好網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)上線前的風(fēng)險(xiǎn)評(píng)估。
(五)提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知、預(yù)警和協(xié)同能力
加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)“實(shí)戰(zhàn)化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施,推進(jìn)全國(guó)醫(yī)療保障信息系統(tǒng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)態(tài)勢(shì)感知、預(yù)警能力建設(shè)。加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)信息的匯集、研判,建立健全網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)信息共享和通報(bào)機(jī)制,健全完善上下協(xié)同的通報(bào)預(yù)警機(jī)制。
(六)提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力
嚴(yán)格落實(shí)突發(fā)網(wǎng)絡(luò)安全事件報(bào)告制度。制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊、高級(jí)可持續(xù)性威脅攻擊、大規(guī)模公民個(gè)人信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機(jī)制,加強(qiáng)應(yīng)急預(yù)案演練,定期評(píng)估和修訂應(yīng)急預(yù)案,提高科學(xué)性、實(shí)用性、可操作性。建立重大活動(dòng)期間網(wǎng)絡(luò)安全保障機(jī)制,強(qiáng)化對(duì)網(wǎng)絡(luò)安全突發(fā)事件的統(tǒng)一指揮和協(xié)調(diào),確保全國(guó)醫(yī)療保障信息系統(tǒng)的運(yùn)行安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全,最大程度地預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損害。
三.加強(qiáng)數(shù)據(jù)安全保護(hù)
(一)實(shí)施數(shù)據(jù)全生命周期安全管理
依法依規(guī)對(duì)數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、使用、共享、銷毀等實(shí)行全生命周期安全管理,提高數(shù)據(jù)安全防護(hù)能力和個(gè)人隱私保護(hù)力度。強(qiáng)化個(gè)人隱私保護(hù),采用適當(dāng)?shù)陌踩刂拼胧_保數(shù)據(jù)的產(chǎn)生、采集和匯集過(guò)程合規(guī)、安全。個(gè)人信息的采集,堅(jiān)持法定授權(quán)原則,法定授權(quán)外個(gè)人信息采集事項(xiàng)須先獲得自然人或者其監(jiān)護(hù)人同意。處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過(guò)度使用。采用適當(dāng)?shù)南到y(tǒng)架構(gòu)、技術(shù)手段對(duì)數(shù)據(jù)傳輸和數(shù)據(jù)存儲(chǔ)進(jìn)行安全加固,確保數(shù)據(jù)安全和高效可用。建立數(shù)據(jù)清除和銷毀機(jī)制,防止因存儲(chǔ)介質(zhì)上數(shù)據(jù)內(nèi)容的惡意恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。加強(qiáng)數(shù)據(jù)遷移銷毀流程安全管理,全力確保平臺(tái)遷移中的數(shù)據(jù)安全。
(二)實(shí)施分級(jí)分類管理
根據(jù)本單位本系統(tǒng)數(shù)據(jù)安全保護(hù)的實(shí)際需要,結(jié)合醫(yī)療保障數(shù)據(jù)特點(diǎn),制定統(tǒng)一的分級(jí)分類管理制度,按照數(shù)據(jù)分級(jí)分類保護(hù)標(biāo)準(zhǔn)、規(guī)則,對(duì)數(shù)據(jù)劃分安全等級(jí),實(shí)行分級(jí)分類管理。地方醫(yī)保部門要落實(shí)分級(jí)分類規(guī)則標(biāo)準(zhǔn),參照《國(guó)家醫(yī)療保障局?jǐn)?shù)據(jù)安全管理辦法》制定本地的數(shù)據(jù)安全管理辦法。
(三)加強(qiáng)重要數(shù)據(jù)和敏感字段保護(hù)
制定重要數(shù)據(jù)保護(hù)目錄,對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),涉及國(guó)家秘密、工作秘密的數(shù)據(jù)應(yīng)嚴(yán)格保密,不予共享及公開(kāi)。建立敏感數(shù)據(jù)字段庫(kù),包含但不限于個(gè)人隱私數(shù)據(jù)、參保單位隱私數(shù)據(jù)、協(xié)議機(jī)構(gòu)隱私數(shù)據(jù)、藥品診療目錄項(xiàng)目隱私數(shù)據(jù)等。
(四)強(qiáng)化數(shù)據(jù)安全審批管理
嚴(yán)格執(zhí)行數(shù)據(jù)處理和使用審批流程,按照“知所必須,最小授權(quán)”的原則劃分?jǐn)?shù)據(jù)訪問(wèn)權(quán)限,實(shí)施脫敏、日志記錄等控制措施,防范數(shù)據(jù)丟失、泄露、未授權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)。
加強(qiáng)對(duì)數(shù)據(jù)共享(含交換、導(dǎo)出、開(kāi)放)環(huán)節(jié)的安全管控,防止不經(jīng)審批、不受控制的數(shù)據(jù)共享行為。
(五)落實(shí)數(shù)據(jù)安全權(quán)限
明確各級(jí)權(quán)限,分離信息系統(tǒng)運(yùn)維權(quán)限和經(jīng)辦業(yè)務(wù)角色,對(duì)不同角色設(shè)置不同權(quán)限。根據(jù)經(jīng)辦業(yè)務(wù)人員職責(zé)區(qū)分設(shè)置業(yè)務(wù)操作和數(shù)據(jù)查詢范圍。按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度要求,結(jié)合實(shí)際設(shè)置安全保密管理員、安全審計(jì)員和系統(tǒng)管理員等崗位。加強(qiáng)信息系統(tǒng)運(yùn)維人員和經(jīng)辦業(yè)務(wù)人員權(quán)限管理,落實(shí)崗位安全職責(zé)。
(六)推動(dòng)數(shù)據(jù)安全共享和使用
在保障數(shù)據(jù)安全的前提下,穩(wěn)妥推動(dòng)數(shù)據(jù)資源開(kāi)發(fā)利用,發(fā)揮數(shù)據(jù)生產(chǎn)要素作用,保障數(shù)據(jù)依法依規(guī)有序共享。建立先試點(diǎn)、后推廣機(jī)制,強(qiáng)化醫(yī)療保障大數(shù)據(jù)運(yùn)用,更好地服務(wù)醫(yī)保政策制定和醫(yī)保精細(xì)化管理,推動(dòng)多層次醫(yī)療保障體系建設(shè)。對(duì)于敏感數(shù)據(jù)需要落地到外部的業(yè)務(wù)場(chǎng)景,應(yīng)做好脫敏處理,制定統(tǒng)一數(shù)據(jù)出口和統(tǒng)一銷毀要求,建立嚴(yán)格的審批流程和數(shù)據(jù)交付流程。
(七)建立健全數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制
定期評(píng)估安全系統(tǒng)軟硬件運(yùn)行狀況、制度執(zhí)行情況、數(shù)據(jù)復(fù)制情況、告警或故障設(shè)備的數(shù)據(jù)保護(hù)狀況、權(quán)限的審批收回情況、密碼強(qiáng)度、外包服務(wù)中的數(shù)據(jù)保護(hù)管理情況、研發(fā)測(cè)試環(huán)境數(shù)據(jù)保護(hù)情況,對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)整改。
四.保障措施
(一)加強(qiáng)組織領(lǐng)導(dǎo)
各級(jí)醫(yī)保部門要充分認(rèn)識(shí)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的重要性,加強(qiáng)組織領(lǐng)導(dǎo),做好部門協(xié)調(diào),層層落實(shí)責(zé)任,確保相關(guān)部署落到實(shí)處。要建立相應(yīng)工作機(jī)制,夯實(shí)工作力量,科學(xué)合理制定工作推進(jìn)時(shí)間安排,周密組織實(shí)施網(wǎng)絡(luò)安全管理和數(shù)據(jù)保護(hù)工作,切實(shí)提高醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作水平。
(二)加強(qiáng)人才隊(duì)伍建設(shè)
加大網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)人才培養(yǎng)投入,加強(qiáng)從業(yè)人員技能培訓(xùn),形成培養(yǎng)、選拔、吸引和使用網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)人才的良性機(jī)制。建立各級(jí)醫(yī)保部門網(wǎng)絡(luò)和數(shù)據(jù)安全專家?guī)臁?/p>
(三)加強(qiáng)資金投入
各級(jí)醫(yī)保部門應(yīng)加強(qiáng)統(tǒng)籌規(guī)劃,做好網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)體系頂層設(shè)計(jì),制定工作計(jì)劃。按照總體進(jìn)度安排和工作目標(biāo),將網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)建設(shè)、運(yùn)行維護(hù)經(jīng)費(fèi)納入信息化建設(shè)項(xiàng)目投入,加強(qiáng)資金保障和使用監(jiān)管,確保網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的資金投入。
(四)加強(qiáng)法律法規(guī)宣傳
積極宣傳網(wǎng)絡(luò)安全法律法規(guī),定期組織網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)培訓(xùn)交流,對(duì)產(chǎn)品和服務(wù)供應(yīng)商加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)教育,提升全員網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)意識(shí),為網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)治理營(yíng)造良好氛圍。
(五)加強(qiáng)督導(dǎo)檢查
要將網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)工作推進(jìn)情況納入本單位工作考核范疇,建立督查情況通報(bào)制度,對(duì)工作不力的要及時(shí)督查整改,確保網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作萬(wàn)無(wú)一失。對(duì)工作中出現(xiàn)問(wèn)題造成不良后果的單位及人員要通報(bào)批評(píng),造成嚴(yán)重后果的要依紀(jì)依法問(wèn)責(zé)處理。
來(lái)源:國(guó)家醫(yī)保局網(wǎng)站