國家醫療保障局關於印發加強網絡安全和數據保護工作指導意見的通知
國家醫療保障局關於印發加強網絡安全和數據保護工作指導意見的通知 國家醫療保障局 2021年4月6日 發布機關:國家醫療保障局 |
醫保局網站 |
國家醫療保障局關於印發加強網絡安全和數據保護工作指導意見的通知
醫保發〔2021〕23號各省、自治區、直轄市及新疆生產建設兵團醫療保障局、局內各單位:
《國家醫療保障局關於加強網絡安全和數據保護工作的指導意見》已經第44次局長辦公會審議通過,現印發給你們,請遵照執行。
附件:國家醫療保障局關於加強網絡安全和數據保護工作的指導意見
國家醫療保障局
2021年4月6日
醫療保障信息化是醫療保障事業高質量發展的基礎,是醫保治理體系和治理能力現代化的重要支撐。為全面落實習近平總書記關於網絡強國戰略、大數據戰略、數字經濟的重要指示批示精神,以及黨中央關於網絡安全工作的總體部署,紮實推進醫療保障信息平台建設及運營維護,防範化解醫療保障系統數據安全風險,促進數據合理安全開發利用,現就加強醫療保障網絡安全和數據保護工作,提出以下指導意見。
一、總體要求
(一)指導思想
堅持以習近平新時代中國特色社會主義思想為指導,全面貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神,堅持總體國家安全觀,深入實施網絡強國和大數據戰略,以醫保系統網絡安全為基礎,以智慧醫保和安全醫保建設為目標,以醫保信息安全技術為支撐,以制度建設和人才隊伍建設為保障,築牢安全防線,促進數據安全應用,更好助力醫保治理體系和治理能力現代化,推動醫保事業高質量發展。
(二)基本原則
堅持安全為本,促進發展。統籌網絡安全保障和數據安全保護,夯實醫療保障信息化發展的安全底線,穩步推動醫保大數據建設,為智慧醫保建設、合法合規數據信息共享、多層次醫療保障體系建設提供有力支撐。
堅持健全制度,強化技術。制定實施網絡安全管理和數據安全保護的系列制度,建立有效工作機制,廣泛運用先進的網絡安全和數據安全保護技術,建立健全數據安全治理體系,提高數據安全保障能力。
堅持強化基礎,提升能力。把網絡基礎設施建設放在重要位置,加快提升醫療保障系統網絡安全管理能力、數據安全保護能力、數據共享服務能力,加強人才隊伍建設,築牢安全發展基礎。
堅持明晰責任,閉環管理。堅持「誰主管、誰負責,誰使用、誰負責」原則,落實網絡安全責任制,落實數據主管單位、數據使用單位責任,建立健全安全審查審批和權限管理機制,實現數據全流程全生命周期管理。
(三)主要目標
到2022年,基本建成基礎強、技術優、制度全、責任明、管理嚴的醫療保障網絡安全和數據安全保護工作體制機制。到「十四五」期末,醫療保障系統網絡安全和數據安全保護制度體系更加健全,智慧醫保和安全醫保建設達到新水平。
——網絡安全水平顯著提升。主體責任明晰,監督管理機制完善,基礎設施完備,網絡安全技術能力、態勢感知、預警能力、突發網絡安全事件應急響應能力顯著提升,網絡安全有效保障。
——數據安全管理有效實施。數據安全審批制度全面建立,分級分類管理及重要數據保護目錄全面落實,數據實現全生命周期安全管理,數據安全評估機制日益完善。
——數據共享使用安全有序。數據共享使用流程明晰、機制健全,醫療保障數字化、智能化水平顯著提升。
二、加強網絡安全管理
(一)落實網絡安全主體責任
建立健全網絡安全責任制。各級醫保部門是本級網絡安全的責任主體,各級醫保部門主要負責人是第一責任人。各級醫保部門要組建網絡安全和信息化領導小組,落實網絡安全主體責任,明確信息技術保障和意識形態工作責任邊界,強化行政部門網絡安全管理責任和擔當,健全考核機制,嚴格責任追究,確保網絡安全責任全覆蓋。
(二)完善網絡安全監督管理機制
各級醫保部門要強化日常工作中網絡安全「紅線」意識和底線思維,建立多環節、多層次、全方位的網絡安全監督管理機制。定期對信息系統運行的相關軟硬件開展安全防護檢查。對涉及關鍵網絡崗位和重要數據崗位的從業人員實施嚴格的背景審查。全面梳理網絡、系統和關鍵設備的網絡安全責任部門和責任人。
(三)加強關鍵信息基礎設施安全保護
全面推進網絡安全等級保護工作。根據行業規範合理定級備案,在系統規劃、設計階段同步確定安全保護等級,按照國家和行業標準進行等級測評。切實落實關鍵信息基礎設施重點保護要求,加強關鍵信息基礎設施網絡安全監測預警體系建設,提升關鍵信息基礎設施應急響應和恢復能力。按照「安全分區、網絡專用、橫向隔離、縱向認證」的原則,進一步完善網絡結構安全、本體安全和基礎設施安全,逐步推廣安全免疫。加強內外網安全隔離,嚴禁醫保專網接入互聯網。
(四)強化網絡安全技術防護能力
建立並完善入侵檢測與防禦、防病毒、防拒絕服務攻擊、防信息泄露、異常流量監測、網頁防篡改、域名安全、漏洞掃描、集中賬號管理、數據加密、安全審計等網絡安全防護技術手段。積極研究利用雲計算、大數據等技術提高網絡安全監測預警能力。加強網站安全防護和日常辦公、維護終端的安全管理。完善域名系統安全防護措施,做好網絡和業務系統上線前的風險評估。
(五)提高網絡安全態勢感知、預警和協同能力
加強網絡安全和數據保護「實戰化、體系化、常態化」和「動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控」的「三化六防」措施,推進全國醫療保障信息系統網絡安全和數據保護態勢感知、預警能力建設。加強網絡安全和數據保護信息的匯集、研判,建立健全網絡安全和數據保護信息共享和通報機制,健全完善上下協同的通報預警機制。
(六)提升突發網絡安全事件應急響應能力
嚴格落實突發網絡安全事件報告制度。制定和完善本單位網絡安全應急預案。健全大規模拒絕服務攻擊、高級可持續性威脅攻擊、大規模公民個人信息泄露等突發網絡安全事件的應急協同配合機制,加強應急預案演練,定期評估和修訂應急預案,提高科學性、實用性、可操作性。建立重大活動期間網絡安全保障機制,強化對網絡安全突發事件的統一指揮和協調,確保全國醫療保障信息系統的運行安全、數據安全和網絡安全,最大程度地預防和減少網絡安全事件造成的損害。
三、加強數據安全保護
(一)實施數據全生命周期安全管理
依法依規對數據的產生、傳輸、存儲、使用、共享、銷毀等實行全生命周期安全管理,提高數據安全防護能力和個人隱私保護力度。強化個人隱私保護,採用適當的安全控制措施,確保數據的產生、採集和匯集過程合規、安全。個人信息的採集,堅持法定授權原則,法定授權外個人信息採集事項須先獲得自然人或者其監護人同意。處理個人信息應當遵循合法、正當、必要原則,不得過度使用。採用適當的系統架構、技術手段對數據傳輸和數據存儲進行安全加固,確保數據安全和高效可用。建立數據清除和銷毀機制,防止因存儲介質上數據內容的惡意恢復而導致的數據泄露風險。加強數據遷移銷毀流程安全管理,全力確保平台遷移中的數據安全。
(二)實施分級分類管理
根據本單位本系統數據安全保護的實際需要,結合醫療保障數據特點,制定統一的分級分類管理制度,按照數據分級分類保護標準、規則,對數據劃分安全等級,實行分級分類管理。地方醫保部門要落實分級分類規則標準,參照《國家醫療保障局數據安全管理辦法》制定本地的數據安全管理辦法。
(三)加強重要數據和敏感字段保護
制定重要數據保護目錄,對列入目錄的數據進行重點保護,涉及國家秘密、工作秘密的數據應嚴格保密,不予共享及公開。建立敏感數據字段庫,包含但不限於個人隱私數據、參保單位隱私數據、協議機構隱私數據、藥品診療目錄項目隱私數據等。
(四)強化數據安全審批管理
嚴格執行數據處理和使用審批流程,按照「知所必須,最小授權」的原則劃分數據訪問權限,實施脫敏、日誌記錄等控制措施,防範數據丟失、泄露、未授權訪問等安全風險。
加強對數據共享(含交換、導出、開放)環節的安全管控,防止不經審批、不受控制的數據共享行為。
(五)落實數據安全權限
明確各級權限,分離信息系統運維權限和經辦業務角色,對不同角色設置不同權限。根據經辦業務人員職責區分設置業務操作和數據查詢範圍。按照網絡安全等級保護2.0制度要求,結合實際設置安全保密管理員、安全審計員和系統管理員等崗位。加強信息系統運維人員和經辦業務人員權限管理,落實崗位安全職責。
(六)推動數據安全共享和使用
在保障數據安全的前提下,穩妥推動數據資源開發利用,發揮數據生產要素作用,保障數據依法依規有序共享。建立先試點、後推廣機制,強化醫療保障大數據運用,更好地服務醫保政策制定和醫保精細化管理,推動多層次醫療保障體系建設。對於敏感數據需要落地到外部的業務場景,應做好脫敏處理,制定統一數據出口和統一銷毀要求,建立嚴格的審批流程和數據交付流程。
(七)建立健全數據安全風險評估機制
定期評估安全系統軟硬件運行狀況、制度執行情況、數據複製情況、告警或故障設備的數據保護狀況、權限的審批收回情況、密碼強度、外包服務中的數據保護管理情況、研發測試環境數據保護情況,對發現的問題及時整改。
四、保障措施
(一)加強組織領導
各級醫保部門要充分認識加強網絡安全和數據保護工作的重要性,加強組織領導,做好部門協調,層層落實責任,確保相關部署落到實處。要建立相應工作機制,夯實工作力量,科學合理制定工作推進時間安排,周密組織實施網絡安全管理和數據保護工作,切實提高醫療保障網絡安全和數據保護工作水平。
(二)加強人才隊伍建設
加大網絡安全和數據保護人才培養投入,加強從業人員技能培訓,形成培養、選拔、吸引和使用網絡安全和數據保護人才的良性機制。建立各級醫保部門網絡和數據安全專家庫。
(三)加強資金投入
各級醫保部門應加強統籌規劃,做好網絡安全和數據保護體系頂層設計,制定工作計劃。按照總體進度安排和工作目標,將網絡安全和數據保護建設、運行維護經費納入信息化建設項目投入,加強資金保障和使用監管,確保網絡安全和數據保護工作的資金投入。
(四)加強法律法規宣傳
積極宣傳網絡安全法律法規,定期組織網絡安全和數據保護培訓交流,對產品和服務供應商加強網絡安全和數據保護教育,提升全員網絡安全和數據保護意識,為網絡安全和數據保護治理營造良好氛圍。
(五)加強督導檢查
要將網絡安全與數據保護工作推進情況納入本單位工作考核範疇,建立督查情況通報制度,對工作不力的要及時督查整改,確保網絡安全和數據保護工作萬無一失。對工作中出現問題造成不良後果的單位及人員要通報批評,造成嚴重後果的要依紀依法問責處理。
本作品是中華人民共和國的法律、法規,國家機關的決議、決定、命令和其他具有立法、行政、司法性質的文件,及其官方正式譯文。根據《中華人民共和國著作權法》第五條,本作品不適用於該法,在中國大陸和其他地區屬於公有領域。
註:中文維基文庫社群認為,中華人民共和國公務演講,不總是具有立法、行政、司法性質的文件。
Public domainPublic domainfalsefalse