为指导医疗卫生机构加强网络安全管理,促进“互联网+医疗健康”发展,国家卫生健康委、国家中医药管理局和国家疾病预防控制局日前联合发布《医疗卫生机构网络安全管理办法》,办法中要求,各医疗卫生机构在新建医疗卫生机构运营网络时,应在规划和申报阶段确定网络安全保护等级,新建的网络上线运行前应进行安全性测试。
《医疗卫生机构网络安全管理办法》适用于医疗卫生机构运营网络的安全管理,对各医疗卫生机构的网络安全管理、数据安全管理、监督管理、管理保障等方面做出相关要求,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。
办法要求,各医疗卫生机构须按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。对新建的医疗卫生机构运营网络,各医疗卫生机构应在规划和申报阶段确定网络安全保护等级,全面梳理本单位各类网络,特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,依据相关标准科学确定网络的安全保护等级,并报上级主管部门审核同意。
新建网络投入使用应依法依规开展等级保护备案工作,第二级以上网络应在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门,因网络撤销或变更安全保护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生健康行政部门。
各医疗卫生机构也应对已定级备案网络的安全性进行检测评估,第三级或第四级的网络应委托等级保护测评机构,每年至少1次开展网络安全等级测评。第二级的网络应委托等级保护测评机构,定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络,应至少3年开展1次网络安全等级测评,其他的网络至少5年开展1次网络安全等级测评。新建的网络上线运行前应进行安全性测试。
医疗卫生机构还应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订1次,每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态;加强网络安全业务交流,严格执行网络安全继续教育制度,鼓励管理岗位和技术岗位持证上岗;保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入,新建信息化项目的网络安全预算不低于项目总预算的5%。
对于违反本办法规定,发生个人信息和数据泄露,或出现重大网络安全事件的医疗卫生机构,有关部门将按《网络安全法》《密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规予以处理。
