搜索
搜索
1
当前位置:
首页
/
/
《医疗卫生机构网络安全管理办法》

《医疗卫生机构网络安全管理办法》

  • 分类:医院资讯
  • 作者:
  • 来源:
  • 发布时间:2022-09-14 10:03
  • 访问量:

【概要描述】

《医疗卫生机构网络安全管理办法》

【概要描述】

  • 分类:医院资讯
  • 作者:
  • 来源:
  • 发布时间:2022-09-14 10:03
  • 访问量:
详情

为指导医疗卫生机构加强网络安全管理,国家卫生健康委、国家中医药管理局和国家疾病预防控制局三部门2022年8月29日联合发布《医疗卫生机构网络安全管理办法》(以下简称《办法》),办法自印发之日起实施。

《办法》的发布,旨在进一步规范和加强医疗卫生机构网络和数据安全管理,防范网络安全事件发生,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,加快推动卫生健康行业高质量发展进程。

 

办法共分六章34条,从网络安全管理、数据安全管理、监督管理、管理保障等方面指导各医疗机构加强网络安全管理工作。

 

《办法》要求医疗卫生机构明确负责网络安全管理工作的职能部门和岗位,建立网络安全管理制度体系。对新建网络,应在规划和申报阶段确定网络安全保护等级。全面梳理本单位各类网络,依据相关标准科学确定网络的安全保护等级,并报上级主管部门审核同意。明确了开展网络安全等级测评的工作要求。

 

《办法》要求,各医疗卫生机构按照 “管业务就要管安全”、“谁主管谁负责、谁运营谁负责、谁使用谁负责”两大核心原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。《办法》从顶层设计上明确了医疗行业网络安全相关权责范围,以杜绝推诿、甩锅等潜在行为发生的可能性,力求真正将网络安全职责落入实处。

 

《办法》提出,“各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长”,为网络安全工作的重要性定下了基调,自上而下的组织结构也让网络安全工作推进变的更加容易。

 

《办法》指出,各医疗卫生机构应加强本单位网络安全通报预警力量建设,建立应急处置机制,及时自查整改。各医疗卫生机构加强网络运维管理,制定运维操作规范和工作流程,加强业务连续性管理并持续监测网络运行状态,建立容灾备份。规范和加强医疗设备数据、个人信息保护和网络安全管理。

 

《办法》提出,各医疗卫生机构需“建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度”。这意味着在设备购买、使用和报废的全生命周期中,网络安全都是必须要考虑的指标,网络安全属性将会成为医疗卫生机构采购医疗设备的重要考虑因素之一。

 

《办法》要求,各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,防止数据安全事件发生。

 

《办法》鼓励有条件的医疗卫生机构将考核与绩效挂钩,并且新建信息化项目的网络安全预算不低于项目总预算的5%,同时建立专门的人才库储备后续力量。

 

《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向,主要体现在以下四个方面:

 

一、强调一个周期。《办法》全文贯穿了全生命周期管理的主导思想。在网络安全方面,围绕信息系统全生命周期,提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求;在数据安全方面,以保障数据的机密性、完整性、可用性为目标,要求采取数据加密、数据备份、数据脱敏等技术,加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。在实际运用中,应基于网络和数据的全生命周期视角,梳理安全策略架构,识别具体业务场景,有针对性的设计安全措施,实现安全防护。

 

二、突出两个要点。《办法》强调医疗卫生机构安全管理应围绕顶层设计和制度保障两个要点着力推进。顶层设计方面,在整体网络安全体系的基础上,依据数据的特性建构网络和数据安全顶层设计,落实安全责任分工,明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。制度保障方面,《办法》明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范。在执行过程中,应密切结合自身业务模式的变更,及时修订完善制度要求,保持网络和数据安全制度的有效执行力及充分协同。

 

三、融合三位一体。《办法》要求建立网络安全管理制度体系,加强网络安全防护,通过管理和技术手段保障数据安全和数据应用的有效平衡。在实际运用中,应将总体安全策略拆解到具体安全管理要求,并通过安全技术实现管理要求,最终融入对应到安全运营体系中,形成融合管理、技术、运营三位一体的立体化网络安全管理模式。

 

四、构建四个体系。《办法》指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。在安全防护方面,要求建立“实战化、体系化、常态化”的安全防护体系,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势;在安全监测层面,鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,并与国家及行业平台对接;在安全处置方面,要形成监督管理、安全检查、应急预案、联防联控协同体系;在安全保障方面,通过统筹领导和规划设计,在人才培养、安全培训、经费支持等方面实现全方位保障。

 

总体而言,《办法》坚持安全可控和开放创新并重的基本原则,其颁布为医疗卫生机构网络安全管理提供了工作指南,筑牢了医疗卫生机构安全屏障,奠定了卫生健康行业网络安全发展基础。

 

一图读懂:医疗卫生机构网络安全管理办法

 

来源:规划发展与信息化司、网络

上一页
1
2
...
115
医院

手机版

医院

官方公众号

联系方式

咨询电话:0539-8121800
新院地址:临沂市河东区智诚路与中昇大街交汇处
老院地址:山东省临沂市陵园东街6号

 页面版权©临沂市肿瘤医院       鲁ICP备12013753号     网站建设:中企动力  临沂