首頁資訊關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知

關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知

來源：泰然健康網(wǎng) 時間：2024年11月23日 03:49

各設區(qū)市、楊凌示范區(qū)衛(wèi)生健康委 (局 )、中醫(yī)藥管理局,西咸新區(qū)教育衛(wèi)體局,韓城市、神木市、府谷縣衛(wèi)生健康局,委直委管各單位，委機關各處室（局），各相關學會協(xié)會、相關企業(yè)：

為深入貫徹落實國家衛(wèi)生健康委辦公廳、國家中醫(yī)藥管理局辦公室《關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知》（國衛(wèi)辦規(guī)劃發(fā)〔2019〕8號）要求，進一步明確網(wǎng)絡信息與數(shù)據(jù)安全責任，增強安全意識，推進全民健康信息化建設，防范網(wǎng)絡信息與數(shù)據(jù)安全事件發(fā)生，現(xiàn)將有關事項通知如下。

一、明確職責分工和主體責任

根據(jù)有關法律法規(guī)和規(guī)章制度要求，按照誰主管誰負責、屬地管理的原則，明確相關各方職責，分工合作，共同做好網(wǎng)絡信息與數(shù)據(jù)安全工作。具體職責如下：

省衛(wèi)生健康委網(wǎng)絡安全和信息化領導小組（以下簡稱領導小組）領導委機關各處室、委直委管各單位的網(wǎng)絡信息與數(shù)據(jù)安全工作，指導市級衛(wèi)生健康行政部門（含西咸新區(qū),韓城市、神木市、府谷縣，下同）履行屬地管理責任。

省衛(wèi)生健康委網(wǎng)絡安全和信息化領導小組下設辦公室，負責貫徹落實領導小組決議事項，配合實施國家衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全發(fā)展戰(zhàn)略，制定相關規(guī)章制度和標準規(guī)范；統(tǒng)籌推進全民健康網(wǎng)絡安全和信息化發(fā)展建設工作部署，檢查各地和有關單位安全工作落實完成情況，做好培訓和宣傳等工作。

省衛(wèi)生健康委各處室、省中醫(yī)藥管理局負責主管業(yè)務領域的信息系統(tǒng)安全管理。做好相關業(yè)務網(wǎng)絡信息與數(shù)據(jù)安全事件的處置，推進相關保障體系建設，指導和監(jiān)督業(yè)務支撐單位、相關信息系統(tǒng)建設與運維單位的安全建設和管理。

委政策評估與信息中心是領導小組辦公室技術支撐單位，配合做好具體工作。

委直委管各單位負責本業(yè)務領域和單位內部業(yè)務信息系統(tǒng)的安全管理，支撐委相關處室（省中醫(yī)藥管理局）做好業(yè)務信息系統(tǒng)網(wǎng)絡安全工作。

縣級以上衛(wèi)生健康行政部門對本行政區(qū)域內衛(wèi)生健康行業(yè)的網(wǎng)絡信息與數(shù)據(jù)安全負指導監(jiān)管責任，會同相關部門依照有關法律法規(guī)等要求，建立和落實責任制，負責行政區(qū)域內衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全，承擔領導責任。

各級各類醫(yī)療衛(wèi)生機構依照法律法規(guī)的規(guī)定和相關標準，履行網(wǎng)絡信息與數(shù)據(jù)安全保護義務，采取管理和技術措施，對職責范圍內的網(wǎng)絡信息與數(shù)據(jù)安全承擔主體責任。主要包括：

（一）明確本單位負責網(wǎng)絡信息與數(shù)據(jù)安全工作的職能部門，負責建立本單位的網(wǎng)絡信息與數(shù)據(jù)安全管理制度和操作規(guī)程，明確業(yè)務信息系統(tǒng)、互聯(lián)網(wǎng)服務、應用平臺建設和運維管理等過程中的網(wǎng)絡信息與數(shù)據(jù)安全責任。開展“互聯(lián)網(wǎng)+”醫(yī)療服務的醫(yī)療衛(wèi)生機構，應當保障互聯(lián)網(wǎng)醫(yī)療服務的網(wǎng)絡信息與數(shù)據(jù)安全。

（二）按照網(wǎng)絡安全法、關鍵信息基礎設施、網(wǎng)絡信息安全等級保護制度、省衛(wèi)生健康委開展網(wǎng)絡信息與數(shù)據(jù)安全體系建設要求，開展信息系統(tǒng)定級備案，定期開展等級測評和風險評估，選取符合資質要求的技術支撐機構、服務團隊和健康醫(yī)療服務企業(yè)，保障日常業(yè)務安全穩(wěn)定運行。

（三）履行業(yè)務和信息系統(tǒng)的安全保障義務，開展信息系統(tǒng)安全運維，定期開展安全檢查，對存在的漏洞、隱患等及時進行整改，杜絕網(wǎng)絡信息與數(shù)據(jù)安全事件發(fā)生。

（四）建立本單位網(wǎng)絡信息與數(shù)據(jù)安全應急體系，修定完善應急預案、組建應急隊伍、開展應急演練。發(fā)生網(wǎng)絡信息與數(shù)據(jù)安全事件時，依照預案進行事件處置并將相關情況報送衛(wèi)生健康行政部門，同時報送網(wǎng)絡安全主管部門。

（五）關鍵信息基礎設施運營單位應當建立24小時值班制度，其他單位應當根據(jù)要求建立24小時值班制度。

（六）接受上級業(yè)務主管、網(wǎng)絡安全監(jiān)管部門的網(wǎng)絡信息與數(shù)據(jù)安全審查和監(jiān)管，及時向衛(wèi)生健康行政部門和相關監(jiān)管部門報告網(wǎng)絡信息與數(shù)據(jù)安全等情況。

（七）履行相關法律法規(guī)規(guī)定的其他責任，組織本單位工作人員開展網(wǎng)絡信息與數(shù)據(jù)安全教育與培訓，落實上級相關管理部門的工作部署，保障必要經費投入。

委直屬各醫(yī)院在以上七個方面發(fā)揮帶頭作用，在網(wǎng)絡信息與數(shù)據(jù)安全方面接受屬地衛(wèi)生健康行政部門的監(jiān)管。

相關學會協(xié)會負責按照章程，加強行業(yè)自律，制定網(wǎng)絡信息與數(shù)據(jù)安全行為規(guī)范，指導會員加強安全保護，提高安全保護水平，接受政府和社會監(jiān)管，承擔社會責任，促進行業(yè)健康發(fā)展。

相關企業(yè)按照法律法規(guī)要求，合法合規(guī)收集、使用和轉移健康醫(yī)療數(shù)據(jù)，履行網(wǎng)絡信息與數(shù)據(jù)安全保護義務，接受政府和社會的監(jiān)督，承擔社會責任。

二、建立健全網(wǎng)絡信息與數(shù)據(jù)安全工作領導責任制

各級衛(wèi)生健康行政部門黨委（黨組）主要負責人是本行政區(qū)域內衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全第一責任人，分管網(wǎng)絡安全的負責人是直接責任人。各級各類醫(yī)療衛(wèi)生機構及相關單位主要負責人是本單位網(wǎng)絡信息與數(shù)據(jù)安全第一責任人，分管網(wǎng)絡安全的負責人是直接責任人。要建立“主要負責人負總責，分管負責人牽頭抓”的領導責任制。

（一）主要負責人是網(wǎng)絡信息與數(shù)據(jù)安全的第一責任人。具體職責包括：認真貫徹執(zhí)行相關法律法規(guī)、中央和省委、省政府有關決策和領導小組關于網(wǎng)絡信息與數(shù)據(jù)安全的具體部署；定期召開網(wǎng)絡信息與數(shù)據(jù)安全工作會議，研究解決網(wǎng)絡信息與數(shù)據(jù)安全重要事項；強化網(wǎng)絡信息與數(shù)據(jù)安全意識，督促所屬部門和業(yè)務支撐單位落實網(wǎng)絡信息與數(shù)據(jù)安全責任制。

（二）分管網(wǎng)絡安全的責任人是網(wǎng)絡信息與數(shù)據(jù)安全的直接責任人。具體職責包括：組織制定貫徹落實相關法律法規(guī)、中央和省委、省政府關于網(wǎng)絡信息與數(shù)據(jù)安全決策部署等的具體措施；組織實施網(wǎng)絡安全檢查、巡查、考核等工作，協(xié)調解決工作中的重點難點問題。

三、落實網(wǎng)絡信息與數(shù)據(jù)安全相關方責任

各級衛(wèi)生健康行政部門和各級各類醫(yī)療衛(wèi)生機構要按照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，落實網(wǎng)絡信息與數(shù)據(jù)安全責任制，明確各方責任。

（一）落實網(wǎng)絡信息與數(shù)據(jù)運營單位的主體責任。網(wǎng)絡信息與數(shù)據(jù)安全運營單位應按照有關法律法規(guī)等要求和相關安全標準，建立網(wǎng)絡信息與數(shù)據(jù)安全管理責任和考核評價制度，開展安全風險評估，部署有效安全防護手段，制定應急預案，及時處置安全事件，組織安全教育、培訓，保障網(wǎng)絡信息與數(shù)據(jù)安全。

（二）落實網(wǎng)絡信息與數(shù)據(jù)運維單位的責任。網(wǎng)絡信息與數(shù)據(jù)運維單位指負責單位信息系統(tǒng)日常運行維護、技術維護和安全技術保障的單位，負有以下責任：按照網(wǎng)絡信息與數(shù)據(jù)安全管理要求開展日常運維；配合開展網(wǎng)絡安全等級保護定級、測評等工作，保護網(wǎng)絡信息與數(shù)據(jù)系統(tǒng)安全與業(yè)務連續(xù)性；配合做好網(wǎng)絡安全事件的應急報告、處置和整改工作；承擔法律法規(guī)要求的其他相關責任。

（三）落實網(wǎng)絡信息與數(shù)據(jù)使用方的責任。網(wǎng)絡信息與數(shù)據(jù)的所有使用單位或個人為使用方，負有以下責任：依法用網(wǎng)，按要求操作和使用；制定有效的安全管理措施，確保數(shù)據(jù)可管、可控、可追溯，確保數(shù)據(jù)的保密性、完整性和可用性，切實保護個人數(shù)據(jù)隱私；對發(fā)布、轉載和鏈接的數(shù)據(jù)與信息的準確性和合規(guī)性負責，禁止故意制作、傳播計算機病毒等破壞性程序；防止因操作引起的破壞、盜用信息資源和危害網(wǎng)絡安全的活動，避免使用不當造成數(shù)據(jù)損毀、丟失和泄露；設置合規(guī)口令，杜絕弱口令，嚴禁私自轉借用戶賬號；承擔法律法規(guī)要求的其他相關責任。

（四）落實網(wǎng)絡信息與數(shù)據(jù)安全監(jiān)管方的責任?？h級以上衛(wèi)生健康行政部門負指導監(jiān)督責任，包括：建立和落實責任制；開展網(wǎng)絡信息與數(shù)據(jù)安全監(jiān)督檢查；健全監(jiān)測預警、信息共享和通報制度；組織領導本行政區(qū)域內衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全保護和重大事件應急處置；基于云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等新技術與衛(wèi)生健康融合發(fā)展特性，創(chuàng)新安全管理機制和技術手段，推廣應用安全可控的網(wǎng)絡產品和服務。

四、嚴格執(zhí)行網(wǎng)絡與信息安全責任追究制

各級衛(wèi)生健康行政部門和各級各類醫(yī)療衛(wèi)生機構有關人員違反或未能正確履行網(wǎng)絡信息與數(shù)據(jù)安全職責，按照有關規(guī)定追究其相關責任。

（一）嚴肅問責。對出現(xiàn)的網(wǎng)絡安全問題要落實追責問責。存在下列情形之一的，各主體責任單位應當逐級倒查，追究當事人、網(wǎng)絡信息與數(shù)據(jù)安全負責人直至主要負責人責任。協(xié)調監(jiān)管不力的，還應當追究綜合協(xié)調或監(jiān)管部門負責人責任。

1.重要的網(wǎng)站和信息系統(tǒng)被攻擊篡改，沒有及時報告和組織處置的；2.發(fā)生重要敏感數(shù)據(jù)泄露的；3.關鍵信息基礎設施安全保護不到位的；4.瞞報網(wǎng)絡安全事件，對發(fā)現(xiàn)的問題和風險隱患不及時整改的；5.發(fā)生其他嚴重危害網(wǎng)絡安全行為的。

（二）責任區(qū)分。實施責任追究應當實事求是，分清集體責任和個人責任。追究集體責任時，領導班子主要負責人和分管網(wǎng)絡安全的領導班子成員承擔主要領導責任，領導班子其他成員承擔其分管業(yè)務領域重要領導責任。其他部門工作人員應當根據(jù)工作職責承擔相應的責任。

各地、各單位要按照本通知要求，迅速落實網(wǎng)絡信息與數(shù)據(jù)安全責任制，逐級明確職責，做到分工明確、責任到人。不得通過委托工作等方式轉移、轉嫁主體責任。市級衛(wèi)生健康行政部門要加強督導指導，強化本行政區(qū)域內衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任制的落實。領導小組辦公室將適時組織網(wǎng)絡信息與數(shù)據(jù)安全檢查，檢查情況報領導小組，并進行通報。

陜西省衛(wèi)生健康委　陜西省中醫(yī)藥管理局

2019年4月25日

網(wǎng)址: 關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知 http://m.u1s5d6.cn/newsview31454.html