天津醫療行業網路安全中標

⑴ 醫療衛生機構網路安全管理辦法

《醫療衛生機構網路安全管理辦法》的政策解讀

隨著高質量發展縱深推進，全國衛生健康領域迎來重要機遇期，信息化發揮著關鍵的支撐作用，在此過程中產生的醫療健康數據不僅是重要的生產要素，更是國家基礎性戰略資源，因此網路安全的重要性日益凸顯。在此背景下，《醫療衛生機構網路安全管理辦法》（以下簡稱《辦法》）的發布，進一步規范了醫療衛生機構網路和數據安全管理、促進「互聯網+醫療健康」發展，加快推動衛生健康行業高質量發展進程。 《辦法》明確了各醫療衛生機構網路及數據安全管理基本原則、管理分工、執行標准、監督及處罰要求，體現了統籌安全與發展的總體平衡，與此前出台的一系列政策法規一脈相承，為醫療衛生機構指明了網路安全管理的總方向，主要體現在以下四個方面： 一、強調一個周期。《辦法》全文貫穿了全生命周期管理的主導思想。在網路安全方面，圍繞信息系統全生命周期，提出落實等級保護制度、監測預警、應急實戰、安全整改、人員管理、新技術應用、密碼安全、醫療設備、供應鏈管理等方面的要求；在數據安全方面，以保障數據的機密性、完整性、可用性為目標，要求採取數據加密、數據備份、數據脫敏等技術，加強數據收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。在實際運用中，應基於網路和數據的全生命周期視角，梳理安全策略架構,識別具體業務場景，有針對性的設計薯旁安全措施，實現安全防護。 二、突出兩個要點。《辦法》強調醫療衛生機構安全管理應圍繞頂層設計和制度保障兩個要點著力推進。頂層設計方面，在整體網路安全體系的基礎上，依據數據的特性建構網路和數據安全頂層設計，落實安全責任分工，明確數據管理部門、業務部門、信息化部門在網路和數據安全管理工作中的權責。制度保障方面，《辦法》明確醫療衛生機構應建立健全安全管理制度、操作規程及技術規范。在執行過程中，應密切結合自身業務模式的變更，及時修訂完善制度數哪橡要求，保持網路和數據安全制度的有效執行力及充分協同。 三、融合三位一體。《辦法》要求建立網路安全管理制度體系，加強網路安全防護，通過管理和技術手段保障數據安全和數據應用的有效平衡。在實際運用中，應將總體安全策略拆解到具體安全管理要求，並通過安全技術實現管理要求，最終融入對應到安全運營體系中，形成融合管理、技術、運營三位一體的立體化網路安全管理模式。 四、構建四個體系。《辦法》指出要建立防護、監測、處置、保障四個體系協同的綜合防控格局。在安全防護方面，要求建立「實戰化、體系化、常態化」的安全防護體系，形成「動態防禦、主動防禦、縱深防禦、精準防禦、整體防控、聯防聯控」的安全防護態勢；在安全監測層面，鼓勵三級醫院探索態勢感知平台建設，及時收集、匯總緩數、分析各方網路安全信息，並與國家及行業平台對接；在安全處置方面，要形成監督管理、安全檢查、應急預案、聯防聯控協同體系；在安全保障方面，通過統籌領導和規劃設計，在人才培養、安全培訓、經費支持等方面實現全方位保障。 總體而言，《辦法》堅持安全可控和開放創新並重的基本原則，其頒布為醫療衛生機構網路安全管理提供了工作指南，築牢了醫療衛生機構安全屏障，奠定了衛生健康行業網路安全發展基礎。

⑵ 醫療衛生機構網路安全管理辦法

醫療衛生機構網路安全管理辦法：為加強醫療衛生機構網路安全管理，進一步促進「互聯網+醫療健康」發展，充分發揮健康醫療大數據作為國家重要基礎性戰略資源的作用，加強醫療衛生機構網路安全管理，防範網路安全事件發生，根據《基本醫療衛生與健康促進法》《網路安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網路安全審查辦法》以及網路安全等級保護制度等有關法律法規標准，制定本辦法。
堅持網路安全為人民、網路安全靠人民、堅持網路安全教育、技術、產業融合發展、堅持促進發展和依法管理相統一、堅持安全可控和開放創新並重。
堅持分等級保護、突出重點。重點保障關鍵信息基礎設施、網路安全等級保護第三級(以下簡稱第三級)及以上網路以及重要數據和個人信息安全。
堅持積極防禦、綜合防護。充分利用人工智慧、大數據分析等技術，強化安全監測、態勢感知、通報預警和應急處置等重點工作，落實網路安全保護「實戰化、體系化、常態化」和「動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控」的「三化六防」措施。
堅持「管業務就要管安全」「誰主管誰負責、誰運營誰負責、誰使用誰負責」的原則，落實網路安全責任制，明確各方責任。
加強網路運維管理，制定運維操作規范和工作流程。加強物理安全防護，完善機房、辦公環境及運維現場等安全控制措施，防止非授權訪問物理環境造成信息泄露。加強遠程運維管理，因業務確需通過互聯網遠程運維的，應進行評估論證，並採取相應的安全管控措施，防止遠程埠暴露引發安全事件。
法律依據：
《醫療衛生機構網路安全管理辦法》
第六條 各醫療衛生機構按照「誰主管誰負責、誰運營誰負責、誰使用誰負責」的原則，在網路建設過程中明確本單位各網路的主管部門、運營部門、信息化部門、使用部門等管理職責，對本單位運營范圍內的網路進行等級保護定級、備案、測評、安全建設整改等工作。
(一)對新建網路，應在規劃和申報階段確定網路安全保護等級。各醫療衛生機構應全面梳理本單位各類網路，特別是雲計算、物聯網、區塊鏈、5G、大數據等新技術應用的基本情況，並根據網路的功能、服務范圍、服務對象和處理數據等情況，依據相關標准科學確定網路的安全保護等級，並報上級主管部門審核同意。
(二)新建網路投入使用應依法依規開展等級保護備案工作。第二級以上網路應在網路安全保護等級確定後10個工作日內，由其運營者向公安機關備案，並將備案情況報上級衛生健康行政部門，因網路撤銷或變更安全保護等級的，應在10個工作日內向原備案公安機關撤銷或變更，同步上報上級衛生健康行政部門。
(三)全面梳理分析網路安全保護需求，按照「一個中心(安全管理中心)，三重防護(安全通信網路、安全區域邊界、安全計算環境)」的要求，制定符合網路安全保護等級要求的整體規劃和建設方案，加強信息系統自行開發或外包開發過程中的安全管理，認真開展網路安全建設，全面落實安全保護措施。
(四)各醫療衛生機構對已定級備案網路的安全性進行檢測評估，第三級或第四級的網路應委託等級保護測評機構，每年至少一次開展網路安全等級測評。第二級的網路應委託等級保護測評機構定期開展網路安全等級測評，其中涉及10萬人以上個人信息的網路應至少三年開展一次網路安全等級測評，其他的網路至少五年開展一次網路安全等級測評。新建的網路上線運行前應進行安全性測試。
(五)針對等級測評中發現的問題隱患，各醫療衛生機構要結合外在的威脅風險，按照法律法規、政策和標准要求，制定網路安全整改方案，有針對性地開展整改，及時消除風險隱患，補強管理和技術短板，提升安全防護能力。