新法速递 | 《医疗卫生机构网络安全管理办法》
导读
2022年8月29日,国家卫生健康委、国家中医药局、国家疾控局印发了《医疗卫生机构网络安全管理办法》(以下简称《办法》),以指导医疗卫生机构加强网络安全管理,促进“互联网+医疗健康”发展。《办法》共三十四条,包含总则、网络安全管理、数据安全管理、监督管理、管理保障以及附则六部分。
主要内容
从《办法》整体上看,明确了有关关键概念,主要从医疗卫生机构的网络安全管理和数据安全管理两个维度提出了较为具体的合规要求,我们特提炼出有关合规注意要点如下:
适用范围
《办法》适用于医疗卫生机构运营网络的安全管理,对于未纳入区域基层卫生信息系统的基层医疗卫生机构,则可参照执行《办法》的相关规定。
《办法》中的重要概念
1) 网络:指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
2) 数据:即网络数据,是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。
网络安全管理
1
组织架构和职能
《办法》明确各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长,并需要每年至少召开一次网络安全办公会,部署安全重点工作,落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求。
对于二级及以上网络的医疗卫生机构,还应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位;建立网络安全管理制度体系,加强网络安全防护,强化应急处置,在此基础上对关键信息基础设施实行重点保护,防止网络安全事件发生。
2
等保工作
各医疗卫生机构应当明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。
1) 等级保护定级:各医疗卫生机构应全面梳理本单位各类网络,特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,依据相关标准科学确定网络的安全保护等级,并报上级主管部门审核同意。
2) 等级保护备案:第二级以上网络应在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门。
3) 安全建设:各医疗卫生机构应当全面梳理分析网络安全保护需求,制定符合网络安全保护等级要求的整体规划和建设方案,加强信息系统自行开发或外包开发过程中的安全管理,认真开展网络安全建设,全面落实安全保护措施。
4) 各医疗卫生机构应对已定级备案网络的安全性进行检测评估:
第三级或第四级的网络应委托等级保护测评机构,每年至少一次开展网络安全等级测评。
第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。
新建的网络上线运行前应进行安全性测试。
5) 安全整改:针对等级测评中发现的问题隐患,各医疗卫生机构要结合外在的威胁风险,按照法律法规、政策和标准要求,制定网络安全整改方案,有针对性地开展整改,及时消除风险隐患,补强管理和技术短板,提升安全防护能力。
3
安全自查工作
各医疗卫生机构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患,并按要求将安全自查整改情况报上级卫生健康行政部门。
每年安全自查整改工作包括:
完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查。
依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。
自查整改可与等级测评问题整改一并实施。
4
网络运营人员管理
1) 内部人员管理:各医疗卫生机构应当明确本单位内部人员入职、培训、考核、离岗全流程安全管理。
2) 外部第三方人员管理:各医疗卫生机构应明确第三方人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作,防止因人员资质及违规操作引发的安全风险。
3) 关键信息基础设施运营者(CIIO)应对安全管理机构负责人和关键岗位人员进行安全背景审查。
5
运维管理
1) 各医疗卫生机构应制定运维操作规范和工作流程。
2) 加强物理安全防护:各医疗卫生机构应完善机房、办公环境及运维现场等安全控制措施,防止非授权访问物理环境造成信息泄露。
3) 加强远程运维管理:各医疗卫生机构因业务确需通过互联网远程运维的,应进行评估论证,并采取相应的安全管控措施,防止远程端口暴露引发安全事件。
6
设备管理
1) 医疗设备网络安全管理:各医疗卫生机构应建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度,定期检查或评估医疗设备网络安全,并采取相应的安全管控措施,确保医疗设备网络安全。
2) 废止网络的设备的安全管理:各医疗卫生机构应对废止网络的相关设备进行风险评估,及时对其采取封存或销毁措施,确保废止网络中的数据处置安全,防止网络数据泄露。
数据安全管理
1
组织架构
1) 各医疗卫生机构应建立数据安全管理组织架构,明确业务部门与管理部门在数据安全活动中的主体责任。
2) 各医疗卫生机构应通过安全责任书等方式,规范本单位数据管理部门、业务部门、信息化部门在数据安全管理全生命周期当中的权责。
3) 各医疗卫生机构应建立数据安全工作责任制,落实追责追究制度。
2
数据分类分级
各医疗卫生机构应每年对数据资产进行全面梳理,在落实网络安全等级保护制度的基础上,依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。
3
制度、操作规程及技术规范
1) 各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订一次,建议相关人员每年度签署保密协议。
2) 各医疗卫生机构应每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态。
3) 各医疗卫生机构应加强数据安全教育培训,组织安全意识教育和数据安全管理制度宣传培训。
4) 各医疗卫生机构应结合本单位实际,建立完善数据使用申请及批准流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务管理部门同意、医疗卫生机构领导核准的工作程序。
4
全生命周期安全管理
1) 数据收集:各医疗卫生机构应加强数据收集合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任,并采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露。
2) 数据传输:各医疗卫生机构应在数据分类分级的基础上,进一步明确不同安全级别数据的加密传输要求。加强传输过程中的接口安全控制,确保在通过接口传输时的安全性,防止数据被窃取。
3) 数据存储:各医疗卫生机构应选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。加强存储过程中访问控制安全、数据副本安全、数据归档安全管控。
4) 数据使用:各医疗卫生机构应严格规定不同人员的权限,加强数据使用过程中的申请及批准流程管理,确保数据在可控范围内使用,加强日志留存及管理工作,杜绝篡改、删除日志的现象发生,防止数据越权使用。未经批准,任何部门和个人不得将未对外公开的信息数据传递至部门外,不得以任何方式将其泄露。
5) 数据发布、共享:各医疗卫生机构发布、共享数据时应当评估可能带来的安全风险,并采取必要的安全防控措施。
6) 数据上报:涉及数据上报时,应由数据上报提出方负责解读上报要求,确定上报范围和上报规则,确保数据上报安全可控。
7) 数据销毁:各医疗卫生机构应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。
5
人脸识别信息的特殊要求
各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能,人脸识别数据不得用于除身份识别之外的其他目的。
各医疗卫生机构应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。
6
CIIO的特殊义务
CIIO应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。
点击下方“阅读原文”,可获取《办法》全文。
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注