關(guān)于印發(fā)醫療衛生機構網(wǎng)絡(luò )安全管理辦法的通知

（國衛規劃發(fā)〔2022〕29號）

各省、自治區、直轄市及新疆生產(chǎn)建設兵團衛生健康委、中醫藥局，國家衛生健康委機關(guān)各司局、委直屬和聯(lián)系單位、中國老齡協(xié)會(huì )，國家中醫藥局、國家疾控局機關(guān)各司局、各直屬單位：

為指導醫療衛生機構加強網(wǎng)絡(luò )安全管理，國家衛生健康委、國家中醫藥局、國家疾控局制定了《醫療衛生機構網(wǎng)絡(luò )安全管理辦法》?，F印發(fā)給你們，請認真貫徹執行。

國家衛生健康委 國家中醫藥局 國家疾控局

2022年8月8日

醫療衛生機構網(wǎng)絡(luò )安全管理辦法

第一章 總則

第一條 為加強醫療衛生機構網(wǎng)絡(luò )安全管理，進(jìn)一步促進(jìn)“互聯(lián)網(wǎng)+醫療健康”發(fā)展，充分發(fā)揮健康醫療大數據作為國家重要基礎性戰略資源的作用，加強醫療衛生機構網(wǎng)絡(luò )安全管理，防范網(wǎng)絡(luò )安全事件發(fā)生，根據《基本醫療衛生與健康促進(jìn)法》《網(wǎng)絡(luò )安全法》《密碼法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》《網(wǎng)絡(luò )安全審查辦法》以及網(wǎng)絡(luò )安全等級保護制度等有關(guān)法律法規標準，制定本辦法。

第二條 堅持網(wǎng)絡(luò )安全為人民、網(wǎng)絡(luò )安全靠人民、堅持網(wǎng)絡(luò )安全教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展、堅持促進(jìn)發(fā)展和依法管理相統一、堅持安全可控和開(kāi)放創(chuàng )新并重。

堅持分等級保護、突出重點(diǎn)。重點(diǎn)保障關(guān)鍵信息基礎設施、網(wǎng)絡(luò )安全等級保護第三級（以下簡(jiǎn)稱(chēng)第三級）及以上網(wǎng)絡(luò )以及重要數據和個(gè)人信息安全。

堅持積極防御、綜合防護。充分利用人工智能、大數據分析等技術(shù)，強化安全監測、態(tài)勢感知、通報預警和應急處置等重點(diǎn)工作，落實(shí)網(wǎng)絡(luò )安全保護“實(shí)戰化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

堅持“管業(yè)務(wù)就要管安全”“誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責”的原則，落實(shí)網(wǎng)絡(luò )安全責任制，明確各方責任。

第三條 本辦法所稱(chēng)的網(wǎng)絡(luò )是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。

本辦法所稱(chēng)的數據為網(wǎng)絡(luò )數據，是指醫療衛生機構通過(guò)網(wǎng)絡(luò )收集、存儲、傳輸、處理和產(chǎn)生的各種電子數據，包括但不限于各類(lèi)臨床、科研、管理等業(yè)務(wù)數據、醫療設備產(chǎn)生的數據、個(gè)人信息以及數據衍生物。

本辦法適用于醫療衛生機構運營(yíng)網(wǎng)絡(luò )的安全管理。未納入區域基層衛生信息系統的基層醫療衛生機構參照執行。

第四條 國家衛生健康委、國家中醫藥局、國家疾控局負責統籌規劃、指導、評估、監督醫療衛生機構網(wǎng)絡(luò )安全工作?？h級以上地方衛生健康行政部門(mén)（含中醫藥和疾控部門(mén)，下同）負責本行政區域內醫療衛生機構網(wǎng)絡(luò )安全指導監督工作。

醫療衛生機構對本單位網(wǎng)絡(luò )安全管理負主體責任，各醫療衛生機構應當與信息化建設參與單位及相關(guān)醫療設備生產(chǎn)經(jīng)營(yíng)企業(yè)書(shū)面約定各方的網(wǎng)絡(luò )安全義務(wù)和違約責任。

第二章 網(wǎng)絡(luò )安全管理

第五條 各醫療衛生機構應成立網(wǎng)絡(luò )安全和信息化工作領(lǐng)導小組，由單位主要負責人任領(lǐng)導小組組長(cháng)，每年至少召開(kāi)一次網(wǎng)絡(luò )安全辦公會(huì )，部署安全重點(diǎn)工作，落實(shí)《關(guān)鍵信息基礎設施安全保護條例》和網(wǎng)絡(luò )安全等級保護制度要求。有二級及以上網(wǎng)絡(luò )的醫療衛生機構應明確負責網(wǎng)絡(luò )安全管理工作的職能部門(mén)，明確承擔安全主管、安全管理員等職責的崗位；建立網(wǎng)絡(luò )安全管理制度體系，加強網(wǎng)絡(luò )安全防護，強化應急處置，在此基礎上對關(guān)鍵信息基礎設施實(shí)行重點(diǎn)保護，防止網(wǎng)絡(luò )安全事件發(fā)生。

第六條 各醫療衛生機構按照“誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責”的原則，在網(wǎng)絡(luò )建設過(guò)程中明確本單位各網(wǎng)絡(luò )的主管部門(mén)、運營(yíng)部門(mén)、信息化部門(mén)、使用部門(mén)等管理職責，對本單位運營(yíng)范圍內的網(wǎng)絡(luò )進(jìn)行等級保護定級、備案、測評、安全建設整改等工作。

（一）對新建網(wǎng)絡(luò )，應在規劃和申報階段確定網(wǎng)絡(luò )安全保護等級。各醫療衛生機構應全面梳理本單位各類(lèi)網(wǎng)絡(luò )，特別是云計算、物聯(lián)網(wǎng)、區塊鏈、5G、大數據等新技術(shù)應用的基本情況，并根據網(wǎng)絡(luò )的功能、服務(wù)范圍、服務(wù)對象和處理數據等情況，依據相關(guān)標準科學(xué)確定網(wǎng)絡(luò )的安全保護等級，并報上級主管部門(mén)審核同意。

（二）新建網(wǎng)絡(luò )投入使用應依法依規開(kāi)展等級保護備案工作。第二級以上網(wǎng)絡(luò )應在網(wǎng)絡(luò )安全保護等級確定后10個(gè)工作日內，由其運營(yíng)者向公安機關(guān)備案，并將備案情況報上級衛生健康行政部門(mén)，因網(wǎng)絡(luò )撤銷(xiāo)或變更安全保護等級的，應在10個(gè)工作日內向原備案公安機關(guān)撤銷(xiāo)或變更，同步上報上級衛生健康行政部門(mén)。

（三）全面梳理分析網(wǎng)絡(luò )安全保護需求，按照“一個(gè)中心（安全管理中心），三重防護（安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境）”的要求，制定符合網(wǎng)絡(luò )安全保護等級要求的整體規劃和建設方案，加強信息系統自行開(kāi)發(fā)或外包開(kāi)發(fā)過(guò)程中的安全管理，認真開(kāi)展網(wǎng)絡(luò )安全建設，全面落實(shí)安全保護措施。

（四）各醫療衛生機構對已定級備案網(wǎng)絡(luò )的安全性進(jìn)行檢測評估，第三級或第四級的網(wǎng)絡(luò )應委托等級保護測評機構，每年至少一次開(kāi)展網(wǎng)絡(luò )安全等級測評。第二級的網(wǎng)絡(luò )應委托等級保護測評機構定期開(kāi)展網(wǎng)絡(luò )安全等級測評，其中涉及10萬(wàn)人以上個(gè)人信息的網(wǎng)絡(luò )應至少三年開(kāi)展一次網(wǎng)絡(luò )安全等級測評，其他的網(wǎng)絡(luò )至少五年開(kāi)展一次網(wǎng)絡(luò )安全等級測評。新建的網(wǎng)絡(luò )上線(xiàn)運行前應進(jìn)行安全性測試。

（五）針對等級測評中發(fā)現的問(wèn)題隱患，各醫療衛生機構要結合外在的威脅風(fēng)險，按照法律法規、政策和標準要求，制定網(wǎng)絡(luò )安全整改方案，有針對性地開(kāi)展整改，及時(shí)消除風(fēng)險隱患，補強管理和技術(shù)短板，提升安全防護能力。

第七條 各醫療衛生機構應依托國家網(wǎng)絡(luò )安全信息通報機制，加強本單位網(wǎng)絡(luò )安全通報預警力量建設。鼓勵三級醫院探索態(tài)勢感知平臺建設，及時(shí)收集、匯總、分析各方網(wǎng)絡(luò )安全信息，加強威脅情報工作，組織開(kāi)展網(wǎng)絡(luò )安全威脅分析和態(tài)勢研判，及時(shí)通報預警和處置，防止網(wǎng)絡(luò )被破壞、數據外泄等事件。

第八條 各醫療衛生機構應建立應急處置機制，通過(guò)建立完善應急預案、組織應急演練等方式，有效處理網(wǎng)絡(luò )中斷、網(wǎng)絡(luò )攻擊、數據泄露等安全事件，提高應對網(wǎng)絡(luò )安全事件能力。積極參加網(wǎng)絡(luò )安全攻防演練，提升保護和對抗能力。

第九條 各醫療衛生機構在網(wǎng)絡(luò )運營(yíng)過(guò)程中，應每年開(kāi)展文檔核驗、漏洞掃描、滲透測試等多種形式的安全自查，及時(shí)發(fā)現可能存在的問(wèn)題和隱患。針對安全自查、監測預警、安全通報等過(guò)程中發(fā)現的安全隱患應認真開(kāi)展整改加固，防止網(wǎng)絡(luò )帶病運行，并按要求將安全自查整改情況報上級衛生健康行政部門(mén)。自查整改可與等級測評問(wèn)題整改一并實(shí)施。

每年安全自查整改工作包括：

（一）依據上級主管監管機構要求，各醫療衛生機構完成信息資產(chǎn)梳理，摸清本單位網(wǎng)絡(luò )定級、備案等情況，形成資產(chǎn)清單，組織安全自查。

（二）依據上級主管監管機構要求，各醫療衛生機構依據安全自查結果，對發(fā)現的問(wèn)題和隱患進(jìn)行整改，形成整改報告向有關(guān)主管監管機構報備。

第十條 關(guān)鍵信息基礎設施運營(yíng)者應對安全管理機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查。各醫療衛生機構要加強網(wǎng)絡(luò )運營(yíng)相關(guān)人員管理，包括本單位內部人員及第三方人員，明確內部人員入職、培訓、考核、離崗全流程安全管理，針對第三方應明確人員接觸網(wǎng)絡(luò )時(shí)的申請及批準流程，做好實(shí)名登記、人員背景審查、保密協(xié)議簽署等工作，防止因人員資質(zhì)及違規操作引發(fā)的安全風(fēng)險。     

第十一條 加強網(wǎng)絡(luò )運維管理，制定運維操作規范和工作流程。加強物理安全防護，完善機房、辦公環(huán)境及運維現場(chǎng)等安全控制措施，防止非授權訪(fǎng)問(wèn)物理環(huán)境造成信息泄露。加強遠程運維管理，因業(yè)務(wù)確需通過(guò)互聯(lián)網(wǎng)遠程運維的，應進(jìn)行評估論證，并采取相應的安全管控措施，防止遠程端口暴露引發(fā)安全事件。

第十二條 各醫療衛生機構應加強業(yè)務(wù)連續性管理并持續監測網(wǎng)絡(luò )運行狀態(tài)。對于第三級及以上的網(wǎng)絡(luò )應加強保障關(guān)鍵鏈路、關(guān)鍵設備冗余備份，有條件的醫療衛生機構應建立應用級容災備份，防止關(guān)鍵業(yè)務(wù)中斷。

第十三條 應用大數據、人工智能、區塊鏈等新技術(shù)開(kāi)展服務(wù)時(shí)，上線(xiàn)前應評估新技術(shù)的安全風(fēng)險并進(jìn)行安全管控，達到應用與安全的平衡。

第十四條 各醫療衛生機構應規范和加強醫療設備數據、個(gè)人信息保護和網(wǎng)絡(luò )安全管理，建立健全醫療設備招標采購、安裝調試、運行使用、維護維修、報廢處置等相關(guān)網(wǎng)絡(luò )安全管理制度，定期檢查或評估醫療設備網(wǎng)絡(luò )安全，并采取相應的安全管控措施，確保醫療設備網(wǎng)絡(luò )安全。

第十五條 各醫療衛生機構應按照《密碼法》等有關(guān)法律法規和密碼應用相關(guān)標準規范，在網(wǎng)絡(luò )建設過(guò)程中同步規劃、同步建設、同步運行密碼保護措施，使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

第十六條 各醫療衛生機構應關(guān)注整個(gè)網(wǎng)絡(luò )全鏈條參與者的安全管理，涉及非本單位的第三方時(shí)，應對設計、建設、運行、維護等服務(wù)實(shí)施安全管理，采購安全的網(wǎng)絡(luò )產(chǎn)品和服務(wù)，防止發(fā)生第三方安全事件。

第十七條 各醫療衛生機構應加強廢止網(wǎng)絡(luò )的安全管理，對廢止網(wǎng)絡(luò )的相關(guān)設備進(jìn)行風(fēng)險評估，及時(shí)對其采取封存或銷(xiāo)毀措施，確保廢止網(wǎng)絡(luò )中的數據處置安全，防止網(wǎng)絡(luò )數據泄露。

第三章 數據安全管理

第十八條 各醫療衛生機構應按照有關(guān)法律法規的規定，參照國家網(wǎng)絡(luò )安全標準，履行數據安全保護義務(wù)，堅持保障數據安全與發(fā)展并重，通過(guò)管理和技術(shù)手段保障數據安全和數據應用的有效平衡。關(guān)鍵信息基礎設施運營(yíng)者應擬定關(guān)鍵信息基礎設施安全保護計劃，建立健全數據安全和個(gè)人信息保護制度。

第十九條 應建立數據安全管理組織架構，明確業(yè)務(wù)部門(mén)與管理部門(mén)在數據安全活動(dòng)中的主體責任，通過(guò)安全責任書(shū)等方式，規范本單位數據管理部門(mén)、業(yè)務(wù)部門(mén)、信息化部門(mén)在數據安全管理全生命周期當中的權責，建立數據安全工作責任制，落實(shí)追責追究制度。

第二十條 各醫療衛生機構應每年對數據資產(chǎn)進(jìn)行全面梳理，在落實(shí)網(wǎng)絡(luò )安全等級保護制度的基礎上，依據數據的重要程度以及遭到破壞后的危害程度建立本單位數據分類(lèi)分級標準。數據分類(lèi)分級應遵循合法合規原則、可執行原則、時(shí)效性原則、自主性原則、差異性原則及客觀(guān)性原則。

第二十一條 各醫療衛生機構應建立健全數據安全管理制度、操作規程及技術(shù)規范，涉及的管理制度每年至少修訂一次，建議相關(guān)人員每年度簽署保密協(xié)議。每年對本單位的數據進(jìn)行數據安全風(fēng)險評估，及時(shí)掌握數據安全狀態(tài)。加強數據安全教育培訓，組織安全意識教育和數據安全管理制度宣傳培訓。結合本單位實(shí)際，建立完善數據使用申請及批準流程，遵循“誰(shuí)主管、誰(shuí)審查”、遵循事前申請及批準、事中監管、事后審核原則，嚴格執行業(yè)務(wù)管理部門(mén)同意、醫療衛生機構領(lǐng)導核準的工作程序，指導數據活動(dòng)流程合規。

第二十二條 各醫療衛生機構應加強數據收集、存儲、傳輸、處理、使用、交換、銷(xiāo)毀全生命周期安全管理工作，數據全生命周期活動(dòng)應在境內開(kāi)展，因業(yè)務(wù)確需向境外提供的，應當按照相關(guān)法律法規及有關(guān)要求進(jìn)行安全評估或審核，針對影響或者可能影響國家安全的數據處理活動(dòng)需提交國家安全審查，防止數據安全事件發(fā)生。

（一）各醫療衛生機構應加強數據收集合法性管理，明確業(yè)務(wù)部門(mén)和管理部門(mén)在數據收集合法性中的主體責任。采取數據脫敏、數據加密、鏈路加密等防控措施，防止數據收集過(guò)程中數據被泄露。

（二）在數據分類(lèi)分級的基礎上，進(jìn)一步明確不同安全級別數據的加密傳輸要求。加強傳輸過(guò)程中的接口安全控制，確保在通過(guò)接口傳輸時(shí)的安全性，防止數據被竊取。

（三）各醫療衛生機構應按照有關(guān)法規標準，選擇合適的數據存儲架構和介質(zhì)在境內存儲，并采取備份、加密等措施加強數據的存儲安全。涉及到云上存儲數據時(shí)，應當評估可能帶來(lái)的安全風(fēng)險。數據存儲周期不應超出數據使用規則確定的保存期限。加強存儲過(guò)程中訪(fǎng)問(wèn)控制安全、數據副本安全、數據歸檔安全管控。

（四）各醫療衛生機構應嚴格規定不同人員的權限，加強數據使用過(guò)程中的申請及批準流程管理，確保數據在可控范圍內使用，加強日志留存及管理工作，杜絕篡改、刪除日志的現象發(fā)生，防止數據越權使用。各數據使用部門(mén)和數據使用人須嚴格按照申請所述用途與范圍使用數據，對數據的安全負責。未經(jīng)批準，任何部門(mén)和個(gè)人不得將未對外公開(kāi)的信息數據傳遞至部門(mén)外，不得以任何方式將其泄露。

（五）各醫療衛生機構發(fā)布、共享數據時(shí)應當評估可能帶來(lái)的安全風(fēng)險，并采取必要的安全防控措施；涉及數據上報時(shí)，應由數據上報提出方負責解讀上報要求，確定上報范圍和上報規則,確保數據上報安全可控。

（六）各醫療衛生機構開(kāi)展人臉識別或人臉辨識時(shí)，應同時(shí)提供非人臉識別的身份識別方式，不得因數據主體不同意收集人臉識別數據而拒絕數據主體使用其基本業(yè)務(wù)功能，人臉識別數據不得用于除身份識別之外的其他目的，包括但不限于評估或預測數據主體工作表現、經(jīng)濟狀況、健康狀況、偏好、興趣等。各醫療衛生機構應采取安全措施存儲和傳輸人臉識別數據，包括但不限于加密存儲和傳輸人臉識別數據，采用物理或邏輯隔離方式分別存儲人臉識別和個(gè)人身份信息等。

（七）數據銷(xiāo)毀時(shí)應采用確保數據無(wú)法還原的銷(xiāo)毀方式，重點(diǎn)關(guān)注數據殘留風(fēng)險及數據備份風(fēng)險。

第四章 監督管理

第二十三條 各醫療衛生機構應積極配合有關(guān)主管監管機構監督管理，接受網(wǎng)絡(luò )安全管理日常檢查，做好網(wǎng)絡(luò )安全防護等工作。

第二十四條 各醫療衛生機構應及時(shí)整改有關(guān)主管監管機構檢查過(guò)程中發(fā)現的漏洞和隱患等問(wèn)題，杜絕重大網(wǎng)絡(luò )安全事件發(fā)生。

第二十五條 發(fā)生個(gè)人信息和數據泄露、毀損、丟失等安全事件和網(wǎng)絡(luò )系統遭攻擊、入侵、控制等網(wǎng)絡(luò )安全事件，或者發(fā)現網(wǎng)絡(luò )存在漏洞隱患、網(wǎng)絡(luò )安全風(fēng)險明顯增大時(shí)，各醫療衛生機構應當立即啟動(dòng)應急預案，采取必要的補救和處置措施，及時(shí)以電話(huà)、短信、郵件或信函等多種方式告知相關(guān)主體，并按照要求向有關(guān)主管監管部門(mén)報告。

第二十六條 各級衛生健康行政部門(mén)應建立網(wǎng)絡(luò )安全事件通報工作機制，及時(shí)通報網(wǎng)絡(luò )安全事件。

第二十七條 發(fā)生網(wǎng)絡(luò )安全事件時(shí)，各醫療衛生機構應及時(shí)向衛生健康行政部門(mén)、公安機關(guān)報告，做好現場(chǎng)保護、留存相關(guān)記錄，為公安機關(guān)等監管部門(mén)依法維護國家安全和開(kāi)展偵查調查等活動(dòng)提供技術(shù)支持和協(xié)助。

第五章 管理保障

第二十八條 各醫療衛生機構應高度重視網(wǎng)絡(luò )安全管理工作，將其列入重要議事日程，加強統籌領(lǐng)導和規劃設計，依法依規落實(shí)人員、經(jīng)費投入、安全保護措施建設等重大問(wèn)題，保證信息系統建設時(shí)安全保護措施同步規劃、同步建設和同步使用。

第二十九條 各醫療衛生機構應加強網(wǎng)絡(luò )安全業(yè)務(wù)交流，嚴格執行網(wǎng)絡(luò )安全繼續教育制度，鼓勵管理崗位和技術(shù)崗位持證上崗。通過(guò)組織開(kāi)展學(xué)術(shù)交流及比武競賽的方式，發(fā)現選拔網(wǎng)絡(luò )安全人才，建立人才庫，建立健全人才發(fā)現、培養、選拔和使用機制，為做好網(wǎng)絡(luò )安全工作提供人才保障。

第三十條 各醫療衛生機構應保障開(kāi)展網(wǎng)絡(luò )安全等級測評、風(fēng)險評估、攻防演練競賽、安全建設整改、安全保護平臺建設、密碼保障系統建設、運維、教育培訓等經(jīng)費投入。新建信息化項目的網(wǎng)絡(luò )安全預算不低于項目總預算的5%。

第三十一條 各醫療衛生機構應進(jìn)一步完善網(wǎng)絡(luò )安全考核評價(jià)制度，明確考核指標，組織開(kāi)展考核。鼓勵有條件的醫療衛生機構將考核與績(jì)效掛鉤。

第六章  附  則

第三十二條 違反本辦法規定，發(fā)生個(gè)人信息和數據泄露，或者出現重大網(wǎng)絡(luò )安全事件的，按《網(wǎng)絡(luò )安全法》《密碼法》《基本醫療衛生與健康促進(jìn)法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》以及網(wǎng)絡(luò )安全等級保護制度等法律法規處理。

第三十三條 涉及國家秘密的網(wǎng)絡(luò )，按照國家有關(guān)規定執行。

第三十四條 本辦法自印發(fā)之日起實(shí)施。