涼山人才網(wǎng):有關(guān)印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的公告:衛(wèi)辦發(fā)〔2011〕85號各省�����、自治區(qū)�����、直轄市衛(wèi)生廳局����,新疆生產(chǎn)建設(shè)兵團及計劃單列市衛(wèi)生局�,部直屬各單位,部機關(guān)各司局: 為貫徹落實國家信息安全等級保護制度���,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作��,按照公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》(公信安〔2009〕1429號)要求,我部結(jié)合衛(wèi)生行業(yè)實際�����,研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》��,F(xiàn)印發(fā)給你們���,請遵衛(wèi)辦發(fā)〔2011〕85號
各省��、自治區(qū)����、直轄市衛(wèi)生廳局����,新疆生產(chǎn)建設(shè)兵團及計劃單列市衛(wèi)生局���,部直屬各單位����,部機關(guān)各司局:
為貫徹落實國家信息安全等級保護制度�����,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作,按照公安部《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導意見》(公信安〔2009〕1429號)要求��,我部結(jié)合衛(wèi)生行業(yè)實際,研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》���,F(xiàn)印發(fā)給你們�����,請遵照執(zhí)行。
二〇一一年十一月二十九日
衛(wèi)生行業(yè)信息安全等級保護工作的指導意見
衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作�,對于促進衛(wèi)生信息化健康發(fā)展�,保障醫(yī)藥衛(wèi)生體制改革��,維護公共利益���、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度��,規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作���,制定本指導意見。
一��、工作目標
依據(jù)國家信息安全等級保護制度���,遵循相關(guān)標準規(guī)范���,在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案����、建設(shè)整改和等級測評等工作,明確信息安全保障重點��,落實信息安全責任,建立信息安全等級保護工作長效機制��,切實提高衛(wèi)生行業(yè)信息安全防護能力�����、隱患發(fā)現(xiàn)能力����、應(yīng)急處置能力����,為衛(wèi)生信息化健康發(fā)展提供可靠保障�����,全面維護公共利益����、社會秩序和國家安全����。
二�、工作原則
(一)遵循標準���,重點保護�。遵循國家信息安全等級保護相關(guān)標準規(guī)范����,結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點��,優(yōu)先保護重要衛(wèi)生信息系統(tǒng),優(yōu)先滿足重點信息安全需求�。
(二)行業(yè)指導,屬地管理�����。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導����、屬地管理�����。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關(guān)要求�,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作�����。衛(wèi)生行業(yè)各單位要按照“誰主管�、誰負責����,誰運營�、誰負責”的要求�����,落實信息安全責任。
(三)同步建設(shè)��,動態(tài)完善���。在信息系統(tǒng)規(guī)劃設(shè)計與建設(shè)過程中,同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型����、應(yīng)用范圍等條件改變導致安全需求發(fā)生變化時��,應(yīng)當重新調(diào)整信息系統(tǒng)安全保護等級��,及時完善安全保障措施。
三���、工作機制
地方各級衛(wèi)生行政部門承擔本地衛(wèi)生信息安全責任,信息化工作領(lǐng)導小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作。衛(wèi)生部信息化工作領(lǐng)導小組負責對全國衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)�、監(jiān)督指導���,并組織開展部機關(guān)信息安全等級保護工作。省級、地市級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責對本地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)�����、監(jiān)督指導,并組織開展本單位信息安全等級保護工作��。
衛(wèi)生部建立信息安全等級保護工作聯(lián)絡(luò)員機制��,各省級衛(wèi)生行政部門應(yīng)當設(shè)置信息安全等級保護工作聯(lián)絡(luò)員�����。聯(lián)絡(luò)員職責是落實國家信息安全等級保護工作的有關(guān)政策和技術(shù)標準�,掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況���,代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門進行日常聯(lián)系和交流,協(xié)調(diào)落實本地區(qū)信息安全等級保護工作���。
衛(wèi)生部和各省級衛(wèi)生行政部門應(yīng)當分別建立信息安全技術(shù)專家委員會���,參與信息系統(tǒng)定級指導、備案審查��、方案論證�����、安全咨詢、安全檢查等技術(shù)工作�����。信息安全技術(shù)專家委員會應(yīng)當包含衛(wèi)生行業(yè)��、公安機關(guān)及信息安全技術(shù)等專家����。
四����、工作任務(wù)
(一)定級備案���。
1.衛(wèi)生行業(yè)各單位應(yīng)當對本單位建設(shè)與運營的衛(wèi)生信息系統(tǒng)進行自查��,對未定級���、定級不準的信息系統(tǒng),應(yīng)當按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》開展定級工作��。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級�����,第三級為監(jiān)督保護級�����,第四級為強制保護級����,第五級為專控保護級��。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級:
(1)衛(wèi)生統(tǒng)計網(wǎng)絡(luò)直報系統(tǒng)、傳染性疾病報告系統(tǒng)����、衛(wèi)生監(jiān)督信息報告系統(tǒng)�、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)��;
(2)國家、省���、地市三級衛(wèi)生信息平臺��,新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心�;
(3)三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)��;
(4)衛(wèi)生部網(wǎng)站系統(tǒng)�����;
(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)���。
2.擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng)�,應(yīng)當經(jīng)信息安全技術(shù)專家委員會論證���、評審�。
3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后��,對第二級以上(含第二級)信息系統(tǒng)���,應(yīng)當報屬地公安機關(guān)及衛(wèi)生行政部門備案����?缡∪珖(lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng)���,由衛(wèi)生部報公安部備案��;在各地運行、應(yīng)用的分支系統(tǒng),應(yīng)當報屬地公安機關(guān)備案��。
(二) 建設(shè)與整改����。
1.對已確定安全保護等級的第二級以上(含第二級)衛(wèi)生信息系統(tǒng)���,應(yīng)當按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標準,開展安全保護現(xiàn)狀分析��,查找安全隱患及與國家信息安全等級保護標準之間的差距�,確定安全需求。
2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結(jié)果�����,按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》����、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》等國家標準���,制訂信息系統(tǒng)安全等級保護建設(shè)整改方案�����。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當經(jīng)信息安全技術(shù)專家委員會論證�。
3.衛(wèi)生行業(yè)各單位應(yīng)當按照信息系統(tǒng)安全建設(shè)整改方案�����,完善安全保護設(shè)施��,建立安全管理制度�����,落實安全管理措施���,形成信息安全技術(shù)防護體系和信息安全管理體系,有效保障衛(wèi)生信息系統(tǒng)安全�。
(三)等級測評����。
1.系統(tǒng)建設(shè)整改工作完成后,應(yīng)當按照《信息安全等級保護管理辦法》要求��,從全國信息安全等級保護測評機構(gòu)推薦目錄中選擇等級測評機構(gòu),對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評��。
2.測評合格后,應(yīng)當將測評報告報屬地公安機關(guān)及衛(wèi)生行政部門備案����。
3.應(yīng)當每年對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評�����。對于重要部門的第二級信息系統(tǒng),可參照上述要求進行等級測評���。
(四)宣傳培訓。
1.各級衛(wèi)生行政部門信息化工作領(lǐng)導小組應(yīng)當對本地區(qū)各級各類醫(yī)療衛(wèi)生機構(gòu)開展等級保護政策和標準規(guī)范培訓,提高各單位信息安全管理人員的技術(shù)能力和管理水平��。
2.衛(wèi)生行業(yè)各單位應(yīng)當開展內(nèi)部信息安全培訓�,提升全員信息安全意識��,規(guī)范信息安全操作行為���,提高信息安全保障能力�。
(五)監(jiān)督檢查。
1.衛(wèi)生部信息化工作領(lǐng)導小組負責督導檢查各地醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護工作落實情況�,并督促部機關(guān)重要信息系統(tǒng)責任單位開展信息安全等級保護工作。
2.省級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況�����,并督促本單位開展信息安全等級保護工作�����。
3.省級衛(wèi)生行政部門信息化工作領(lǐng)導小組應(yīng)當于每年年底�����,向衛(wèi)生部信息化工作領(lǐng)導小組報送本地區(qū)信息系統(tǒng)定級備案���、建設(shè)整改�、等級測評和自查等工作開展情況�����。
五���、 工作要求
(一)高度重視�����,加強領(lǐng)導�����。衛(wèi)生行業(yè)各單位要高度重視��,充分認識信息安全等級保護工作對保護居民健康信息安全����、醫(yī)療衛(wèi)生機構(gòu)正常運轉(zhuǎn)和社會穩(wěn)定的重要意義。各單位主要負責同志要負總責���,分管負責同志要具體抓����,明確職責與任務(wù)���,突出重點�����,將信息安全等級保護工作列入重要議事日程和工作績效考核指標�����,一級抓一級�����,層層抓落實���。
(二)保障經(jīng)費���,加強監(jiān)管。衛(wèi)生行業(yè)各單位要建立經(jīng)費投入機制����,將信息安全等級保護建設(shè)整改���、等級測評��、信息安全服務(wù)����、技術(shù)培訓等費用納入信息化建設(shè)預算�����,并加強對資金使用的監(jiān)管���。
(三)加強溝通�����,密切合作����。各級衛(wèi)生行政部門應(yīng)當加強與本地信息安全等級保護管理部門的溝通交流,建立協(xié)作機制�����,在信息安全等級保護工作中的定級備案�、建設(shè)整改、等級測評�、監(jiān)督檢查等環(huán)節(jié)密切合作,共同推進信息安全等級保護工作��。
