衛生部關於印發
《衛生行業信息安全等級保護工作的指導意見》的通知
衛辦發〔2011〕85號
各省、自治區、直轄市衛生廳局,新疆生産建設兵團及計劃單列市衛生局,部直屬各單位,部機關各司局:
為貫徹落實國家信息安全等級保護制度,規範和指導全國衛生行業信息安全等級保護工作,按照公安部《關於開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)要求,我部結合衛生行業實際,研究制定了《衛生行業信息安全等級保護工作的指導意見》。現印發給你們,請遵照執行。 衛生行業信息安全等級保護工作的指導意見
衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對於促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度,規範和指導全國衛生行業信息安全等級保護工作,制定本指導意見。
一、工作目標
依據國家信息安全等級保護制度,遵循相關標準規範,在衛生行業全面開展信息安全等級保護定級備案、建設整改和等級測評等工作,明確信息安全保障重點,落實信息安全責任,建立信息安全等級保護工作長效機制,切實提高衛生行業信息安全防護能力、隱患發現能力、應急處置能力,為衛生信息化健康發展提供可靠保障,全面維護公共利益、社會秩序和國家安全。
二、 工作原則
(一)遵循標準,重點保護。遵循國家信息安全等級保護相關標準規範,結合衛生行業信息系統特點,優先保護重要衛生信息系統,優先滿足重點信息安全需求。
(二)行業指導,屬地管理。衛生行業信息安全等級保護工作實行行業指導、屬地管理。地方各級衛生行政部門要按照國家信息安全等級保護制度有關要求,做好本地區衛生信息系統安全等級保護的指導和管理工作。衛生行業各單位要按照“誰主管、誰負責,誰運營、誰負責”的要求,落實信息安全責任。
(三)同步建設,動態完善。在信息系統規劃設計與建設過程中,同步開展信息安全等級保護工作。因信息和信息系統的業務類型、應用範圍等條件改變導致安全需求發生變化時,應當重新調整信息系統安全保護等級,及時完善安全保障措施。
三、工作機制
地方各級衛生行政部門承擔本地衛生信息安全責任,信息化工作領導小組統籌組織本地衛生信息安全等級保護工作。衛生部信息化工作領導小組負責對全國衛生行業信息安全等級保護工作的組織協調、監督指導,並組織開展部機關信息安全等級保護工作。省級、地市級衛生行政部門信息化工作領導小組負責對本地區衛生行業信息安全等級保護工作的組織協調、監督指導,並組織開展本單位信息安全等級保護工作。
衛生部建立信息安全等級保護工作聯絡員機制,各省級衛生行政部門應當設置信息安全等級保護工作聯絡員。聯絡員職責是落實國家信息安全等級保護工作的有關政策和技術標準,掌握本地區信息安全等級保護工作動態和總體情況,代表本地區與衛生部及同級信息安全等級保護管理部門進行日常聯絡和交流,協調落實本地區信息安全等級保護工作。
衛生部和各省級衛生行政部門應當分別建立信息安全技術專家委員會,參與信息系統定級指導、備案審查、方案論證、安全諮詢、安全檢查等技術工作。信息安全技術專家委員會應當包含衛生行業、公安機關及信息安全技術等專家。
四、工作任務
(一)定級備案。
1.衛生行業各單位應當對本單位建設與運營的衛生信息系統進行自查,對未定級、定級不準的信息系統,應當按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作。
國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級。以下重要衛生信息系統安全保護等級原則上不低於第三級:
(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;
(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;
(3)三級甲等醫院的核心業務信息系統;
(4)衛生部網站系統;
(5)其他經過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統。
2.擬定為第三級以上(含第三級)的衛生信息系統,應當經信息安全技術專家委員會論證、評審。
3.衛生行業各單位在確定信息系統安全保護等級後,對第二級以上(含第二級)信息系統,應當報屬地公安機關及衛生行政部門備案。跨省全國聯網運行並由衛生部定級的信息系統,由衛生部報公安部備案;在各地運行、應用的分支系統,應當報屬地公安機關備案。
(二) 建設與整改。
1.對已確定安全保護等級的第二級以上(含第二級)衛生信息系統,應當按照國家信息安全等級保護工作規範和《信息安全技術信息系統安全等級保護基本要求》等國家標準,開展安全保護現狀分析,查找安全隱患及與國家信息安全等級保護標準之間的差距,確定安全需求。
2.根據信息系統安全保護現狀分析結果,按照《信息安全技術信息系統安全等級保護基本要求》、《信息安全技術信息系統等級保護安全設計技術要求》等國家標準,制訂信息系統安全等級保護建設整改方案。第三級以上(含第三級)衛生信息系統安全建設整改方案應當經信息安全技術專家委員會論證。
3.衛生行業各單位應當按照信息系統安全建設整改方案,完善安全保護設施,建立安全管理制度,落實安全管理措施,形成信息安全技術防護體系和信息安全管理體系,有效保障衛生信息系統安全。
(三)等級測評。
1.系統建設整改工作完成後,應當按照《信息安全等級保護管理辦法》要求,從全國信息安全等級保護測評機構推薦目錄中選擇等級測評機構,對第三級以上(含第三級)衛生信息系統進行等級測評。
2.測評合格後,應當將測評報告報屬地公安機關及衛生行政部門備案。
3.應當每年對第三級以上(含第三級)衛生信息系統進行等級測評。對於重要部門的第二級信息系統,可參照上述要求進行等級測評。
(四)宣傳培訓。
1.各級衛生行政部門信息化工作領導小組應當對本地區各級各類醫療衛生機構開展等級保護政策和標準規範培訓,提高各單位信息安全管理人員的技術能力和管理水平。
2.衛生行業各單位應當開展內部信息安全培訓,提升全員信息安全意識,規範信息安全操作行為,提高信息安全保障能力。
(五)監督檢查。
1.衛生部信息化工作領導小組負責督導檢查各地醫療衛生機構信息安全等級保護工作落實情況,並督促部機關重要信息系統責任單位開展信息安全等級保護工作。
2.省級衛生行政部門信息化工作領導小組負責督導檢查本地區衛生行業各單位信息安全等級保護工作落實情況,並督促本單位開展信息安全等級保護工作。
3.省級衛生行政部門信息化工作領導小組應當於每年年底,向衛生部信息化工作領導小組報送本地區信息系統定級備案、建設整改、等級測評和自查等工作開展情況。
五、 工作要求
(一)高度重視,加強領導。衛生行業各單位要高度重視,充分認識信息安全等級保護工作對保護居民健康信息安全、醫療衛生機構正常運轉和社會穩定的重要意義。各單位主要負責同志要負總責,分管負責同志要具體抓,明確職責與任務,突出重點,將信息安全等級保護工作列入重要議事日程和工作績效考核指標,一級抓一級,層層抓落實。
(二)保障經費,加強監管。衛生行業各單位要建立經費投入機制,將信息安全等級保護建設整改、等級測評、信息安全服務、技術培訓等費用納入信息化建設預算,並加強對資金使用的監管。
(三)加強溝通,密切合作。各級衛生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流,建立協作機制,在信息安全等級保護工作中的定級備案、建設整改、等級測評、監督檢查等環節密切合作,共同推進信息安全等級保護工作。