国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知医保发号各省自治区直辖市及新疆生产建设兵团医疗保障局局内各单位国家医疗保障局关于加强网络安全和数据保护工作的指导意见已经第次局长办公会审议通过现印发给你们请遵照执行附件国家医疗保障局关于加强网络安全和数据保护工作的指导意见国家医疗保障局年月日国家医疗保障局关于加强网络安全和数据保护工作的指导意见医疗保障信息化是医疗保障事业高质量发展的基础是医保治理体系和治理能力现代化的重要支撑为全面落实习近平总书记关于网络强国战略大数据战略数字经济的重要指示批示精神以及党中央关于网络安全工作的总体部署扎实推进医疗保障信息平台建设及运营维护防范化解医疗保障系统数据安全风险促进数据合理安全开发利用现就加强医疗保障网络安全和数据保护工作提出以下指导意见一总体要求一指导思想坚持以习近平新时代中国特色社会主义思想为指导全面贯彻党的十九大和十九届二中三中四中五中全会精神坚持总体国家安全观深入实施网络强国和大数据战略以医保系统网络安全为基础以智慧医保和安全医保建设为目标以医保信息安全技术为支撑以制度建设和人才队伍建设为保障筑牢安全防线促进数据安全应用更好助力医保治理体系和治理能力现代化推动医保事业高质量发展二基本原则坚持安全为本促进发展统筹网络安全保障和数据安全保护夯实医疗保障信息化发展的安全底线稳步推动医保大数据建设为智慧医保建设合法合规数据信息共享多层次医疗保障体系建设提供有力支撑坚持健全制度强化技术制定实施网络安全管理和数据安全保护的系列制度建立有效工作机制广泛运用先进的网络安全和数据安全保护技术建立健全数据安全治理体系提高数据安全保障能力坚持强化基础提升能力把网络基础设施建设放在重要位置加快提升医疗保障系统网络安全管理能力数据安全保护能力数据共享服务能力加强人才队伍建设筑牢安全发展基础坚持明晰责任闭环管理坚持谁主管谁负责谁使用谁负责原则落实网络安全责任制落实数据主管单位数据使用单位责任建立健全安全审查审批和权限管理机制实现数据全流程全生命周期管理三主要目标到年基本建成基础强技术优制度全责任明管理严的医疗保障网络安全和数据安全保护工作体制机制到十四五期末医疗保障系统网络安全和数据安全保护制度体系更加健全智慧医保和安全医保建设达到新水平网络安全水平显著提升主体责任明晰监督管理机制完善基础设施完备网络安全技术能力态势感知预警能力突发网络安全事件应急响应能力显著提升网络安全有效保障数据安全管理有效实施数据安全审批制度全面建立分级分类管理及重要数据保护目录全面落实数据实现全生命周期安全管理数据安全评估机制日益完善数据共享使用安全有序数据共享使用流程明晰机制健全医疗保障数字化智能化水平显著提升二加强网络安全管理一落实网络安全主体责任建立健全网络安全责任制各级医保部门是本级网络安全的责任主体各级医保部门主要负责人是第一责任人各级医保部门要组建网络安全和信息化领导小组落实网络安全主体责任明确信息技术保障和意识形态工作责任边界强化行政部门网络安全管理责任和担当健全考核机制严格责任追究确保网络安全责任全覆盖二完善网络安全监督管理机制各级医保部门要强化日常工作中网络安全红线意识和底线思维建立多环节多层次全方位的网络安全监督管理机制定期对信息系统运行的相关软硬件开展安全防护检查对涉及关键网络岗位和重要数据岗位的从业人员实施严格的背景审查全面梳理网络系统和关键设备的网络安全责任部门和责任人三加强关键信息基础设施安全保护全面推进网络安全等级保护工作根据行业规范合理定级备案在系统规划设计阶段同步确定安全保护等级按照国家和行业标准进行等级测评切实落实关键信息基础设施重点保护要求加强关键信息基础设施网络安全监测预警体系建设提升关键信息基础设施应急响应和恢复能力按照安全分区网络专用横向隔离纵向认证的原则进一步完善网络结构安全本体安全和基础设施安全逐步推广安全免疫加强内外网安全隔离严禁医保专网接入互联网四强化网络安全技术防护能力建立并完善入侵检测与防御防病毒防拒绝服务攻击防信息泄露异常流量监测网页防篡改域名安全漏洞扫描集中账号管理数据加密安全审计等网络安全防护技术手段积极研究利用云计算大数据等技术提高网络安全监测预警能力加强网站安全防护和日常办公维护终端的安全管理完善域名系统安全防护措施做好网络和业务系统上线前的风险评估五提高网络安全态势感知预警和协同能力加强网络安全和数据保护实战化体系化常态化和动态防御主动防御纵深防御精准防护整体防控联防联控的三化六防措施推进全国医疗保障信息系统网络安全和数据保护态势感知预警能力建设加强网络安全和数据保护信息的汇集研判建立健全网络安全和数据保护信息共享和通报机制健全完善上下协同的通报预警机制六提升突发网络安全事件应急响应能力严格落实突发网络安全事件报告制度制定和完善本单位网络安全应急预案健全大规模拒绝服务攻击高级可持续性威胁攻击大规模公民个人信息泄露等突发网络安全事件的应急协同配合机制加强应急预案演练定期评估和修订应急预案提高科学性实用性可操作性建立重大活动期间网络安全保障机制强化对网络安全突发事件的统一指挥和协调确保全国医疗保障信息系统的运行安全数据安全和网络安全最大程度地预防和减少网络安全事件造成的损害三加强数据安全保护一实施数据全生命周期安全管理依法依规对数据的产生传输存储使用共享销毁等实行全生命周期安全管理提高数据安全防护能力和个人隐私保护力度强化个人隐私保护采用适当的安全控制措施确保数据的产生采集和汇集过程合规安全个人信息的采集坚持法定授权原则法定授权外个人信息采集事项须先获得自然人或者其监护人同意处理个人信息应当遵循合法正当必要原则不得过度使用采用适当的系统架构技术手段对数据传输和数据存储进行安全加固确保数据安全和高效可用建立数据清除和销毁机制防止因存储介质上数据内容的恶意恢复而导致的数据泄露风险加强数据迁移销毁流程安全管理全力确保平台迁移中的数据安全二实施分级分类管理根据本单位本系统数据安全保护的实际需要结合医疗保障数据特点制定统一的分级分类管理制度按照数据分级分类保护标准规则对数据划分安全等级实行分级分类管理地方医保部门要落实分级分类规则标准参照国家医疗保障局数据安全管理办法制定本地的数据安全管理办法三加强重要数据和敏感字段保护制定重要数据保护目录对列入目录的数据进行重点保护涉及国家秘密工作秘密的数据应严格保密不予共享及公开建立敏感数据字段库包含但不限于个人隐私数据参保单位隐私数据协议机构隐私数据药品诊疗目录项目隐私数据等四强化数据安全审批管理严格执行数据处理和使用审批流程按照知所必须最小授权的原则划分数据访问权限实施脱敏日志记录等控制措施防范数据丢失泄露未授权访问等安全风险加强对数据共享含交换导出开放环节的安全管控防止不经审批不受控制的数据共享行为五落实数据安全权限明确各级权限分离信息系统运维权限和经办业务角色对不同角色设置不同权限根据经办业务人员职责区分设置业务操作和数据查询范围按照网络安全等级保护制度要求结合实际设置安全保密管理员安全审计员和系统管理员等岗位加强信息系统运维人员和经办业务人员权限管理落实岗位安全职责六推动数据安全共享和使用在保障数据安全的前提下稳妥推动数据资源开发利用发挥数据生产要素作用保障数据依法依规有序共享建立先试点后推广机制强化医疗保障大数据运用更好地服务医保政策制定和医保精细化管理推动多层次医疗保障体系建设对于敏感数据需要落地到外部的业务场景应做好脱敏处理制定统一数据出口和统一销毁要求建立严格的审批流程和数据交付流程七建立健全数据安全风险评估机制定期评估安全系统软硬件运行状况制度执行情况数据复制情况告警或故障设备的数据保护状况权限的审批收回情况密码强度外包服务中的数据保护管理情况研发测试环境数据保护情况对发现的问题及时整改四保障措施一加强组织领导各级医保部门要充分认识加强网络安全和数据保护工作的重要性加强组织领导做好部门协调层层落实责任确保相关部署落到实处要建立相应工作机制夯实工作力量科学合理制定工作推进时间安排周密组织实施网络安全管理和数据保护工作切实提高医疗保障网络安全和数据保护工作水平二加强人才队伍建设加大网络安全和数据保护人才培养投入加强从业人员技能培训形成培养选拔吸引和使用网络安全和数据保护人才的良性机制建立各级医保部门网络和数据安全专家库三加强资金投入各级医保部门应加强统筹规划做好网络安全和数据保护体系顶层设计制定工作计划按照总体进度安排和工作目标将网络安全和数据保护建设运行维护经费纳入信息化建设项目投入加强资金保障和使用监管确保网络安全和数据保护工作的资金投入四加强法律法规宣传积极宣传网络安全法律法规定期组织网络安全和数据保护培训交流对产品和服务供应商加强网络安全和数据保护教育提升全员网络安全和数据保护意识为网络安全和数据保护治理营造良好氛围五加强督导检查要将网络安全与数据保护工作推进情况纳入本单位工作考核范畴建立督查情况通报制度对工作不力的要及时督查整改确保网络安全和数据保护工作万无一失对工作中出现问题造成不良后果的单位及人员要通报批评造成严重后果的要依纪依法问责处理