《医疗卫生机构网络安全管理办法解读及全文讲解课件2022年版PPT》由会员分享,可在线阅读,更多相关《医疗卫生机构网络安全管理办法解读及全文讲解课件2022年版PPT(51页珍藏版)》请在金锄头文库上搜索。
1、医疗卫生机构网络安全管理办法政策解读及全文学习主讲人:*日期:*关于印发医疗卫生机构网络安全管理办法的通知 国卫规划发国卫规划发202220222929号号各省、自治区、直辖市及新疆生产建设兵团卫生健康委、中医药局,国家卫各省、自治区、直辖市及新疆生产建设兵团卫生健康委、中医药局,国家卫生健康委机关各司局、委直属和联系单位、中国老龄协会,国家中医药局、生健康委机关各司局、委直属和联系单位、中国老龄协会,国家中医药局、国家疾控局机关各司局、各直属单位:国家疾控局机关各司局、各直属单位:为指导医疗卫生机构加强网络安全管理,国家卫生健康委、国家中医药为指导医疗卫生机构加强网络安全管理,国家卫生健康委
2、、国家中医药局、国家疾控局制定了医疗卫生机构网络安全管理办法。现印发给你们,局、国家疾控局制定了医疗卫生机构网络安全管理办法。现印发给你们,请认真贯彻执行。请认真贯彻执行。国家卫生健康委国家卫生健康委国家中医药局国家中医药局国家疾控局国家疾控局 20222022年年8 8月月8 8日日政策解读 随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,因此网络安全的仅是重要的生产要素
3、,更是国家基础性战略资源,因此网络安全的重要性日益凸显。在此背景下,医疗卫生机构网络安全管理办法重要性日益凸显。在此背景下,医疗卫生机构网络安全管理办法(以下简称办法)的发布,进一步规范了医疗卫生机构网络(以下简称办法)的发布,进一步规范了医疗卫生机构网络和数据安全管理、促进和数据安全管理、促进“互联网互联网+医疗健康医疗健康”发展,加快推动卫生健发展,加快推动卫生健康行业高质量发展进程。康行业高质量发展进程。政策解读政策解读 办法明确了各医疗卫生机构网络及数据安全管理基本原则、办法明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总管理
4、分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向,明了网络安全管理的总方向,主要体现在以下四个方面:主要体现在以下四个方面:政策解读政策解读 一、强调一个周期。办法全文贯穿了全生命周期管理的主导思想。在网络安全方面,围绕信息系统全生命周期,提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求;在数据安全方面,以保障数据的机密性、完整性、可用性为目标,要求采取数据加密、数据备份、数据
5、脱敏等技术,加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。在实际运用中,应基于网络和数据的全生命周期视角,梳理安全策略架构,识别具体业务场景,有针对性的设计安全措施,实现安全防护。解读 一 二、突出两个要点。办法强调医疗卫生机构安全管理应围绕顶层设计和制度保障两个要点着力推进。顶层设计方面,在整体网络安全体系的基础上,依据数据的特性建构网络和数据安全顶层设计,落实安全责任分工,明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。制度保障方面,办法明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范。在执行过程中,应密切结合自身业务模式的变更,及时修
6、订完善制度要求,保持网络和数据安全制度的有效执行力及充分协同。解读 二 三、融合三位一体。办法要求建立网络安全管理制度体系,加强网络安全防护,通过管理和技术手段保障数据安全和数据应用的有效平衡。在实际运用中,应将总体安全策略拆解到具体安全管理要求,并通过安全技术实现管理要求,最终融入对应到安全运营体系中,形成融合管理、技术、运营三位一体的立体化网络安全管理模式。解读 三 四、构建四个体系。办法指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。在安全防护方面,要求建立“实战化、体系化、常态化”的安全防护体系,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态
7、势;在安全监测层面,鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,并与国家及行业平台对接;在安全处置方面,要形成监督管理、安全检查、应急预案、联防联控协同体系;在安全保障方面,通过统筹领导和规划设计,在人才培养、安全培训、经费支持等方面实现全方位保障。解读 四 总体而言,办法坚持安全可控和开放创新并重的基本原则,其颁布为医疗卫生机构网络安全管理提供了工作指南,筑牢了医疗卫生机构安全屏障,奠定了卫生健康行业网络安全发展基础。医疗卫生机构网络安全管理办法全文讲解第一章总则CONTENTS第二章网络安全管理第三章数据安全管理第四章监督管理第五章管理保障第六章附则第一章总则第
8、一章总则 第一条 为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,加强医疗卫生机构网络安全管理,防范网络安全事件发生,根据基本医疗卫生与健康促进法网络安全法密码法数据安全法个人信息保护法关键信息基础设施安全保护条例网络安全审查办法以及网络安全等级保护制度等有关法律法规标准,制定本办法。第一章总则 第二条 坚持网络安全为人民、网络安全靠人民、坚持网络安全教育、技术、产业融合发展、坚持促进发展和依法管理相统一、坚持安全可控和开放创新并重。坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级(以下简称第
9、三级)及以上网络以及重要数据和个人信息安全。坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作,落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。第一章总则 第三条 本办法所称的网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。本办法所称的数据为网络数据,是指医疗卫生机构通过网络收集、存
10、储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。本办法适用于医疗卫生机构运营网络的安全管理。未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。第一章总则 第四条 国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评估、监督医疗卫生机构网络安全工作。县级以上地方卫生健康行政部门(含中医药和疾控部门,下同)负责本行政区域内医疗卫生机构网络安全指导监督工作。医疗卫生机构对本单位网络安全管理负主体责任,各医疗卫生机构应当与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违约责任。第二章网络
11、安全管理第二章网络安全管理 第五条 各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,每年至少召开一次网络安全办公会,部署安全重点工作,落实关键信息基础设施安全保护条例和网络安全等级保护制度要求。有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位;建立网络安全管理制度体系,加强网络安全防护,强化应急处置,在此基础上对关键信息基础设施实行重点保护,防止网络安全事件发生。第二章网络安全管理 第六条 各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门
12、、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。第二章网络安全管理 第六条 (一)对新建网络,应在规划和申报阶段确定网络安全保护等级。各医疗卫生机构应全面梳理本单位各类网络,特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,依据相关标准科学确定网络的安全保护等级,并报上级主管部门审核同意。(二)新建网络投入使用应依法依规开展等级保护备案工作。第二级以上网络应在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门
13、,因网络撤销或变更安全保护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生健康行政部门。第二章网络安全管理 第六条 (三)全面梳理分析网络安全保护需求,按照“一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全保护等级要求的整体规划和建设方案,加强信息系统自行开发或外包开发过程中的安全管理,认真开展网络安全建设,全面落实安全保护措施。(四)各医疗卫生机构对已定级备案网络的安全性进行检测评估,第三级或第四级的网络应委托等级保护测评机构,每年至少一次开展网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级
14、测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。第二章网络安全管理 第六条 (五)针对等级测评中发现的问题隐患,各医疗卫生机构要结合外在的威胁风险,按照法律法规、政策和标准要求,制定网络安全整改方案,有针对性地开展整改,及时消除风险隐患,补强管理和技术短板,提升安全防护能力。第二章网络安全管理 第七条 各医疗卫生机构应依托国家网络安全信息通报机制,加强本单位网络安全通报预警力量建设。鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安
15、全威胁分析和态势研判,及时通报预警和处置,防止网络被破坏、数据外泄等事件。第二章网络安全管理 第八条 各医疗卫生机构应建立应急处置机制,通过建立完善应急预案、组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全事件,提高应对网络安全事件能力。积极参加网络安全攻防演练,提升保护和对抗能力。第二章网络安全管理 第九条 各医疗卫生机构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固,防止网络带病运行,并按要求将安全自查整改情况报上级卫生健康行政部门。自查整改可
16、与等级测评问题整改一并实施。第二章网络安全管理 第九条 每年安全自查整改工作包括:(一)依据上级主管监管机构要求,各医疗卫生机构完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查。(二)依据上级主管监管机构要求,各医疗卫生机构依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。第二章网络安全管理 第十条 关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背景审查。各医疗卫生机构要加强网络运营相关人员管理,包括本单位内部人员及第三方人员,明确内部人员入职、培训、考核、离岗全流程安全管理,针对第三方应明确人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作,防止因人员资质及违规操作引发的安全风险。第二章网络安全管理 第十一条 加强网络运维管理,制定运维操作规范和工作流程。加强物理安全防护,完善机房、办公环境及运维现场等安全控制措施,防止非授权访问物理环境造成信息泄露。加强远程运维管理,因业务确需通过互联网远程运维的,应进行评估论证,并采取相应的安全管控措施,防止远程端口暴露引发安全事件。第二章
