關于印發(fā)醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法的通知

各省、自治區(qū)、直轄市及新疆生產(chǎn)建設兵團衛(wèi)生健康委、中醫(yī)藥局，國家衛(wèi)生健康委機關各司局、委直屬和聯(lián)系單位、中國老齡協(xié)會，國家中醫(yī)藥局、國家疾控局機關各司局、各直屬單位：

為指導醫(yī)療衛(wèi)生機構加強網(wǎng)絡安全管理，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局制定了《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》?，F(xiàn)印發(fā)給你們，請認真貫徹執(zhí)行。

國家衛(wèi)生健康委 國家中醫(yī)藥局 國家疾控局

2022年8月8日

（信息公開形式：主動公開）

《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》

第一章 總則

第一條 為加強醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理，進一步促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國家重要基礎性戰(zhàn)略資源的作用，加強醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理，防范網(wǎng)絡安全事件發(fā)生，根據(jù)《基本醫(yī)療衛(wèi)生與健康促進法》《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》以及網(wǎng)絡安全等級保護制度等有關法律法規(guī)標準，制定本辦法。

第二條 堅持網(wǎng)絡安全為人民、網(wǎng)絡安全靠人民、堅持網(wǎng)絡安全教育、技術、產(chǎn)業(yè)融合發(fā)展、堅持促進發(fā)展和依法管理相統(tǒng)一、堅持安全可控和開放創(chuàng)新并重。

堅持分等級保護、突出重點。重點保障關鍵信息基礎設施、網(wǎng)絡安全等級保護第三級（以下簡稱第三級）及以上網(wǎng)絡以及重要數(shù)據(jù)和個人信息安全。

堅持積極防御、綜合防護。充分利用人工智能、大數(shù)據(jù)分析等技術，強化安全監(jiān)測、態(tài)勢感知、通報預警和應急處置等重點工作，落實網(wǎng)絡安全保護“實戰(zhàn)化、體系化、常態(tài)化”和“動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

堅持“管業(yè)務就要管安全”“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，落實網(wǎng)絡安全責任制，明確各方責任。

第三條 本辦法所稱的網(wǎng)絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。

本辦法所稱的數(shù)據(jù)為網(wǎng)絡數(shù)據(jù)，是指醫(yī)療衛(wèi)生機構通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)，包括但不限于各類臨床、科研、管理等業(yè)務數(shù)據(jù)、醫(yī)療設備產(chǎn)生的數(shù)據(jù)、個人信息以及數(shù)據(jù)衍生物。

本辦法適用于醫(yī)療衛(wèi)生機構運營網(wǎng)絡的安全管理。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機構參照執(zhí)行。

第四條 國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局負責統(tǒng)籌規(guī)劃、指導、評估、監(jiān)督醫(yī)療衛(wèi)生機構網(wǎng)絡安全工作?？h級以上地方衛(wèi)生健康行政部門（含中醫(yī)藥和疾控部門，下同）負責本行政區(qū)域內醫(yī)療衛(wèi)生機構網(wǎng)絡安全指導監(jiān)督工作。

醫(yī)療衛(wèi)生機構對本單位網(wǎng)絡安全管理負主體責任，各醫(yī)療衛(wèi)生機構應當與信息化建設參與單位及相關醫(yī)療設備生產(chǎn)經(jīng)營企業(yè)書面約定各方的網(wǎng)絡安全義務和違約責任。

第二章 網(wǎng)絡安全管理 

第五條 各醫(yī)療衛(wèi)生機構應成立網(wǎng)絡安全和信息化工作領導小組，由單位主要負責人任領導小組組長，每年至少召開一次網(wǎng)絡安全辦公會，部署安全重點工作，落實《關鍵信息基礎設施安全保護條例》和網(wǎng)絡安全等級保護制度要求。有二級及以上網(wǎng)絡的醫(yī)療衛(wèi)生機構應明確負責網(wǎng)絡安全管理工作的職能部門，明確承擔安全主管、安全管理員等職責的崗位；建立網(wǎng)絡安全管理制度體系，加強網(wǎng)絡安全防護，強化應急處置，在此基礎上對關鍵信息基礎設施實行重點保護，防止網(wǎng)絡安全事件發(fā)生。

第六條 各醫(yī)療衛(wèi)生機構按照“誰主管誰負責、誰運營誰負責、誰使用誰負責”的原則，在網(wǎng)絡建設過程中明確本單位各網(wǎng)絡的主管部門、運營部門、信息化部門、使用部門等管理職責，對本單位運營范圍內的網(wǎng)絡進行等級保護定級、備案、測評、安全建設整改等工作。

（一）對新建網(wǎng)絡，應在規(guī)劃和申報階段確定網(wǎng)絡安全保護等級。各醫(yī)療衛(wèi)生機構應全面梳理本單位各類網(wǎng)絡，特別是云計算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G、大數(shù)據(jù)等新技術應用的基本情況，并根據(jù)網(wǎng)絡的功能、服務范圍、服務對象和處理數(shù)據(jù)等情況，依據(jù)相關標準科學確定網(wǎng)絡的安全保護等級，并報上級主管部門審核同意。

（二）新建網(wǎng)絡投入使用應依法依規(guī)開展等級保護備案工作。第二級以上網(wǎng)絡應在網(wǎng)絡安全保護等級確定后10個工作日內，由其運營者向公安機關備案，并將備案情況報上級衛(wèi)生健康行政部門，因網(wǎng)絡撤銷或變更安全保護等級的，應在10個工作日內向原備案公安機關撤銷或變更，同步上報上級衛(wèi)生健康行政部門。

（三）全面梳理分析網(wǎng)絡安全保護需求，按照“一個中心（安全管理中心），三重防護（安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境）”的要求，制定符合網(wǎng)絡安全保護等級要求的整體規(guī)劃和建設方案，加強信息系統(tǒng)自行開發(fā)或外包開發(fā)過程中的安全管理，認真開展網(wǎng)絡安全建設，全面落實安全保護措施。

（四）各醫(yī)療衛(wèi)生機構對已定級備案網(wǎng)絡的安全性進行檢測評估，第三級或第四級的網(wǎng)絡應委托等級保護測評機構，每年至少一次開展網(wǎng)絡安全等級測評。第二級的網(wǎng)絡應委托等級保護測評機構定期開展網(wǎng)絡安全等級測評，其中涉及10萬人以上個人信息的網(wǎng)絡應至少三年開展一次網(wǎng)絡安全等級測評，其他的網(wǎng)絡至少五年開展一次網(wǎng)絡安全等級測評。新建的網(wǎng)絡上線運行前應進行安全性測試。

（五）針對等級測評中發(fā)現(xiàn)的問題隱患，各醫(yī)療衛(wèi)生機構要結合外在的威脅風險，按照法律法規(guī)、政策和標準要求，制定網(wǎng)絡安全整改方案，有針對性地開展整改，及時消除風險隱患，補強管理和技術短板，提升安全防護能力。

第七條 各醫(yī)療衛(wèi)生機構應依托國家網(wǎng)絡安全信息通報機制，加強本單位網(wǎng)絡安全通報預警力量建設。鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設，及時收集、匯總、分析各方網(wǎng)絡安全信息，加強威脅情報工作，組織開展網(wǎng)絡安全威脅分析和態(tài)勢研判，及時通報預警和處置，防止網(wǎng)絡被破壞、數(shù)據(jù)外泄等事件。

第八條 各醫(yī)療衛(wèi)生機構應建立應急處置機制，通過建立完善應急預案、組織應急演練等方式，有效處理網(wǎng)絡中斷、網(wǎng)絡攻擊、數(shù)據(jù)泄露等安全事件，提高應對網(wǎng)絡安全事件能力。積極參加網(wǎng)絡安全攻防演練，提升保護和對抗能力。

第九條 各醫(yī)療衛(wèi)生機構在網(wǎng)絡運營過程中，應每年開展文檔核驗、漏洞掃描、滲透測試等多種形式的安全自查，及時發(fā)現(xiàn)可能存在的問題和隱患。針對安全自查、監(jiān)測預警、安全通報等過程中發(fā)現(xiàn)的安全隱患應認真開展整改加固，防止網(wǎng)絡帶病運行，并按要求將安全自查整改情況報上級衛(wèi)生健康行政部門。自查整改可與等級測評問題整改一并實施。

每年安全自查整改工作包括：

（一）依據(jù)上級主管監(jiān)管機構要求，各醫(yī)療衛(wèi)生機構完成信息資產(chǎn)梳理，摸清本單位網(wǎng)絡定級、備案等情況，形成資產(chǎn)清單，組織安全自查。

（二）依據(jù)上級主管監(jiān)管機構要求，各醫(yī)療衛(wèi)生機構依據(jù)安全自查結果，對發(fā)現(xiàn)的問題和隱患進行整改，形成整改報告向有關主管監(jiān)管機構報備。

第十條 關鍵信息基礎設施運營者應對安全管理機構負責人和關鍵崗位人員進行安全背景審查。各醫(yī)療衛(wèi)生機構要加強網(wǎng)絡運營相關人員管理，包括本單位內部人員及第三方人員，明確內部人員入職、培訓、考核、離崗全流程安全管理，針對第三方應明確人員接觸網(wǎng)絡時的申請及批準流程，做好實名登記、人員背景審查、保密協(xié)議簽署等工作，防止因人員資質及違規(guī)操作引發(fā)的安全風險。     

第十一條 加強網(wǎng)絡運維管理，制定運維操作規(guī)范和工作流程。加強物理安全防護，完善機房、辦公環(huán)境及運維現(xiàn)場等安全控制措施，防止非授權訪問物理環(huán)境造成信息泄露。加強遠程運維管理，因業(yè)務確需通過互聯(lián)網(wǎng)遠程運維的，應進行評估論證，并采取相應的安全管控措施，防止遠程端口暴露引發(fā)安全事件。

第十二條 各醫(yī)療衛(wèi)生機構應加強業(yè)務連續(xù)性管理并持續(xù)監(jiān)測網(wǎng)絡運行狀態(tài)。對于第三級及以上的網(wǎng)絡應加強保障關鍵鏈路、關鍵設備冗余備份，有條件的醫(yī)療衛(wèi)生機構應建立應用級容災備份，防止關鍵業(yè)務中斷。

第十三條 應用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術開展服務時，上線前應評估新技術的安全風險并進行安全管控，達到應用與安全的平衡。

第十四條 各醫(yī)療衛(wèi)生機構應規(guī)范和加強醫(yī)療設備數(shù)據(jù)、個人信息保護和網(wǎng)絡安全管理，建立健全醫(yī)療設備招標采購、安裝調試、運行使用、維護維修、報廢處置等相關網(wǎng)絡安全管理制度，定期檢查或評估醫(yī)療設備網(wǎng)絡安全，并采取相應的安全管控措施，確保醫(yī)療設備網(wǎng)絡安全。

第十五條 各醫(yī)療衛(wèi)生機構應按照《密碼法》等有關法律法規(guī)和密碼應用相關標準規(guī)范，在網(wǎng)絡建設過程中同步規(guī)劃、同步建設、同步運行密碼保護措施，使用符合相關要求的密碼產(chǎn)品和服務。

第十六條 各醫(yī)療衛(wèi)生機構應關注整個網(wǎng)絡全鏈條參與者的安全管理，涉及非本單位的第三方時，應對設計、建設、運行、維護等服務實施安全管理，采購安全的網(wǎng)絡產(chǎn)品和服務，防止發(fā)生第三方安全事件。

第十七條 各醫(yī)療衛(wèi)生機構應加強廢止網(wǎng)絡的安全管理，對廢止網(wǎng)絡的相關設備進行風險評估，及時對其采取封存或銷毀措施，確保廢止網(wǎng)絡中的數(shù)據(jù)處置安全，防止網(wǎng)絡數(shù)據(jù)泄露。

第三章 數(shù)據(jù)安全管理

第十八條 各醫(yī)療衛(wèi)生機構應按照有關法律法規(guī)的規(guī)定，參照國家網(wǎng)絡安全標準，履行數(shù)據(jù)安全保護義務，堅持保障數(shù)據(jù)安全與發(fā)展并重，通過管理和技術手段保障數(shù)據(jù)安全和數(shù)據(jù)應用的有效平衡。關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃，建立健全數(shù)據(jù)安全和個人信息保護制度。

第十九條 應建立數(shù)據(jù)安全管理組織架構，明確業(yè)務部門與管理部門在數(shù)據(jù)安全活動中的主體責任，通過安全責任書等方式，規(guī)范本單位數(shù)據(jù)管理部門、業(yè)務部門、信息化部門在數(shù)據(jù)安全管理全生命周期當中的權責，建立數(shù)據(jù)安全工作責任制，落實追責追究制度。

第二十條 各醫(yī)療衛(wèi)生機構應每年對數(shù)據(jù)資產(chǎn)進行全面梳理，在落實網(wǎng)絡安全等級保護制度的基礎上，依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度建立本單位數(shù)據(jù)分類分級標準。數(shù)據(jù)分類分級應遵循合法合規(guī)原則、可執(zhí)行原則、時效性原則、自主性原則、差異性原則及客觀性原則。

第二十一條 各醫(yī)療衛(wèi)生機構應建立健全數(shù)據(jù)安全管理制度、操作規(guī)程及技術規(guī)范，涉及的管理制度每年至少修訂一次，建議相關人員每年度簽署保密協(xié)議。每年對本單位的數(shù)據(jù)進行數(shù)據(jù)安全風險評估，及時掌握數(shù)據(jù)安全狀態(tài)。加強數(shù)據(jù)安全教育培訓，組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓。結合本單位實際，建立完善數(shù)據(jù)使用申請及批準流程，遵循“誰主管、誰審查”、遵循事前申請及批準、事中監(jiān)管、事后審核原則，嚴格執(zhí)行業(yè)務管理部門同意、醫(yī)療衛(wèi)生機構領導核準的工作程序，指導數(shù)據(jù)活動流程合規(guī)。

第二十二條 各醫(yī)療衛(wèi)生機構應加強數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作，數(shù)據(jù)全生命周期活動應在境內開展，因業(yè)務確需向境外提供的，應當按照相關法律法規(guī)及有關要求進行安全評估或審核，針對影響或者可能影響國家安全的數(shù)據(jù)處理活動需提交國家安全審查，防止數(shù)據(jù)安全事件發(fā)生。

（一）各醫(yī)療衛(wèi)生機構應加強數(shù)據(jù)收集合法性管理，明確業(yè)務部門和管理部門在數(shù)據(jù)收集合法性中的主體責任。采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等防控措施，防止數(shù)據(jù)收集過程中數(shù)據(jù)被泄露。

（二）在數(shù)據(jù)分類分級的基礎上，進一步明確不同安全級別數(shù)據(jù)的加密傳輸要求。加強傳輸過程中的接口安全控制，確保在通過接口傳輸時的安全性，防止數(shù)據(jù)被竊取。

（三）各醫(yī)療衛(wèi)生機構應按照有關法規(guī)標準，選擇合適的數(shù)據(jù)存儲架構和介質在境內存儲，并采取備份、加密等措施加強數(shù)據(jù)的存儲安全。涉及到云上存儲數(shù)據(jù)時，應當評估可能帶來的安全風險。數(shù)據(jù)存儲周期不應超出數(shù)據(jù)使用規(guī)則確定的保存期限。加強存儲過程中訪問控制安全、數(shù)據(jù)副本安全、數(shù)據(jù)歸檔安全管控。

（四）各醫(yī)療衛(wèi)生機構應嚴格規(guī)定不同人員的權限，加強數(shù)據(jù)使用過程中的申請及批準流程管理，確保數(shù)據(jù)在可控范圍內使用，加強日志留存及管理工作，杜絕篡改、刪除日志的現(xiàn)象發(fā)生，防止數(shù)據(jù)越權使用。各數(shù)據(jù)使用部門和數(shù)據(jù)使用人須嚴格按照申請所述用途與范圍使用數(shù)據(jù)，對數(shù)據(jù)的安全負責。未經(jīng)批準，任何部門和個人不得將未對外公開的信息數(shù)據(jù)傳遞至部門外，不得以任何方式將其泄露。

（五）各醫(yī)療衛(wèi)生機構發(fā)布、共享數(shù)據(jù)時應當評估可能帶來的安全風險，并采取必要的安全防控措施；涉及數(shù)據(jù)上報時，應由數(shù)據(jù)上報提出方負責解讀上報要求，確定上報范圍和上報規(guī)則,確保數(shù)據(jù)上報安全可控。

（六）各醫(yī)療衛(wèi)生機構開展人臉識別或人臉辨識時，應同時提供非人臉識別的身份識別方式，不得因數(shù)據(jù)主體不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用其基本業(yè)務功能，人臉識別數(shù)據(jù)不得用于除身份識別之外的其他目的，包括但不限于評估或預測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況、健康狀況、偏好、興趣等。各醫(yī)療衛(wèi)生機構應采取安全措施存儲和傳輸人臉識別數(shù)據(jù)，包括但不限于加密存儲和傳輸人臉識別數(shù)據(jù)，采用物理或邏輯隔離方式分別存儲人臉識別和個人身份信息等。

（七）數(shù)據(jù)銷毀時應采用確保數(shù)據(jù)無法還原的銷毀方式，重點關注數(shù)據(jù)殘留風險及數(shù)據(jù)備份風險。

第四章 監(jiān)督管理 

第二十三條 各醫(yī)療衛(wèi)生機構應積極配合有關主管監(jiān)管機構監(jiān)督管理，接受網(wǎng)絡安全管理日常檢查，做好網(wǎng)絡安全防護等工作。

第五章 管理保障

第二十八條 各醫(yī)療衛(wèi)生機構應高度重視網(wǎng)絡安全管理工作，將其列入重要議事日程，加強統(tǒng)籌領導和規(guī)劃設計，依法依規(guī)落實人員、經(jīng)費投入、安全保護措施建設等重大問題，保證信息系統(tǒng)建設時安全保護措施同步規(guī)劃、同步建設和同步使用。

第二十九條 各醫(yī)療衛(wèi)生機構應加強網(wǎng)絡安全業(yè)務交流，嚴格執(zhí)行網(wǎng)絡安全繼續(xù)教育制度，鼓勵管理崗位和技術崗位持證上崗。通過組織開展學術交流及比武競賽的方式，發(fā)現(xiàn)選拔網(wǎng)絡安全人才，建立人才庫，建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機制，為做好網(wǎng)絡安全工作提供人才保障。

第三十條 各醫(yī)療衛(wèi)生機構應保障開展網(wǎng)絡安全等級測評、風險評估、攻防演練競賽、安全建設整改、安全保護平臺建設、密碼保障系統(tǒng)建設、運維、教育培訓等經(jīng)費投入。新建信息化項目的網(wǎng)絡安全預算不低于項目總預算的5%。

第三十一條 各醫(yī)療衛(wèi)生機構應進一步完善網(wǎng)絡安全考核評價制度，明確考核指標，組織開展考核。鼓勵有條件的醫(yī)療衛(wèi)生機構將考核與績效掛鉤。

第六章 附則