关于印发医疗卫生机构网络安全管理办法的通知 发布时间： 2022-08-29 来源: 规划发展与信息化司 国卫规划发〔2022〕29 号 各省、自治区、直辖市及新疆生产建设兵团卫生健康委、中医药局，国家卫生健康委机关各 司局、委直属和联系单位、中国老龄协会，国家中医药局、国家疾控局机关各司局、各直属 单位： 为指导医疗卫生机构加强网络安全管理，国家卫生健康委、国家中医药局、国家疾控局 制定了《医疗卫生机构网络安全管理办法》。现印发给你们，请认真贯彻执行。 国家卫生健康委 国家中医药局 国家疾控局 2022 年 8 月 8 日 （信息公开形式：主动公开） 医疗卫生机构网络安全管理办法 第一章 总则 第一条 为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康”发展，充 分发挥健康医疗大数据作为国家重要基础性战略资源的作用，加强医疗卫生机构网络安全管 理，防范网络安全事件发生，根据《基本医疗卫生与健康促进法》《网络安全法》《密码法》 《数据安全法》 《个人信息保护法》 《关键信息基础设施安全保护条例》 《网络安全审查办法》 以及网络安全等级保护制度等有关法律法规标准，制定本办法。 第二条 坚持网络安全为人民、网络安全靠人民、坚持网络安全教育、技术、产业融合 发展、坚持促进发展和依法管理相统一、坚持安全可控和开放创新并重。 坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级（以 下简称第三级）及以上网络以及重要数据和个人信息安全。 坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术，强化安全监测、态 势感知、通报预警和应急处置等重点工作，落实网络安全保护“实战化、体系化、常态化” 和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措 施。 坚持“管业务就要管安全” “谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则， 落实网络安全责任制，明确各方责任。 第三条 本办法所称的网络是指由计算机或者其他信息终端及相关设备组成的按照一定 的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 本办法所称的数据为网络数据，是指医疗卫生机构通过网络收集、存储、传输、处理和 产生的各种电子数据，包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数 据、个人信息以及数据衍生物。 本办法适用于医疗卫生机构运营网络的安全管理。未纳入区域基层卫生信息系统的基层 医疗卫生机构参照执行。 第四条 国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评估、监 督医疗卫生机构网络安全工作。县级以上地方卫生健康行政部门（含中医药和疾控部门，下 同）负责本行政区域内医疗卫生机构网络安全指导监督工作。 医疗卫生机构对本单位网络安全管理负主体责任，各医疗卫生机构应当与信息化建设参 与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违约责任。 第二章 网络安全管理 第五条 各医疗卫生机构应成立网络安全和信息化工作领导小组，由单位主要负责人任 领导小组组长，每年至少召开一次网络安全办公会，部署安全重点工作，落实《关键信息基 础设施安全保护条例》和网络安全等级保护制度要求。有二级及以上网络的医疗卫生机构应 明确负责网络安全管理工作的职能部门，明确承担安全主管、安全管理员等职责的岗位；建 立网络安全管理制度体系，加强网络安全防护，强化应急处置，在此基础上对关键信息基础 设施实行重点保护，防止网络安全事件发生。 第六条 各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则， 在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理 职责，对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。 （一）对新建网络，应在规划和申报阶段确定网络安全保护等级。各医疗卫生机构应全 第 1 页 共 4 页 面梳理本单位各类网络，特别是云计算、物联网、区块链、5G、大数据等新技术应用的基 本情况，并根据网络的功能、服务范围、服务对象和处理数据等情况，依据相关标准科学确 定网络的安全保护等级，并报上级主管部门审核同意。 （二）新建网络投入使用应依法依规开展等级保护备案工作。第二级以上网络应在网络 安全保护等级确定后 10 个工作日内，由其运营者向公安机关备案，并将备案情况报上级卫 生健康行政部门，因网络撤销或变更安全保护等级的，应在 10 个工作日内向原备案公安机 关撤销或变更，同步上报上级卫生健康行政部门。 （三）全面梳理分析网络安全保护需求，按照“一个中心（安全管理中心） ，三重防护 （安全通信网络、安全区域边界、安全计算环境）”的要求，制定符合网络安全保护等级要 求的整体规划和建设方案，加强信息系统自行开发或外包开发过程中的安全管理，认真开展 网络安全建设，全面落实安全保护措施。 （四）各医疗卫生机构对已定级备案网络的安全性进行检测评估，第三级或第四级的网 络应委托等级保护测评机构，每年至少一次开展网络安全等级测评。第二级的网络应委托等 级保护测评机构定期开展网络安全等级测评，其中涉及 10 万人以上个人信息的网络应至少 三年开展一次网络安全等级测评，其他的网络至少五年开展一次网络安全等级测评。新建的 网络上线运行前应进行安全性测试。 （五）针对等级测评中发现的问题隐患，各医疗卫生机构要结合外在的威胁风险，按照 法律法规、政策和标准要求，制定网络安全整改方案，有针对性地开展整改，及时消除风险 隐患，补强管理和技术短板，提升安全防护能力。 第七条 各医疗卫生机构应依托国家网络安全信息通报机制，加强本单位网络安全通报 预警力量建设。鼓励三级医院探索态势感知平台建设，及时收集、汇总、分析各方网络安全 信息，加强威胁情报工作，组织开展网络安全威胁分析和态势研判，及时通报预警和处置， 防止网络被破坏、数据外泄等事件。 第八条 各医疗卫生机构应建立应急处置机制，通过建立完善应急预案、组织应急演练 等方式，有效处理网络中断、网络攻击、数据泄露等安全事件，提高应对网络安全事件能力。 积极参加网络安全攻防演练，提升保护和对抗能力。 第九条 各医疗卫生机构在网络运营过程中，应每年开展文档核验、漏洞扫描、渗透测 试等多种形式的安全自查，及时发现可能存在的问题和隐患。针对安全自查、监测预警、安 全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全 自查整改情况报上级卫生健康行政部门。自查整改可与等级测评问题整改一并实施。 每年安全自查整改工作包括： （一）依据上级主管监管机构要求，各医疗卫生机构完成信息资产梳理，摸清本单位网 络定级、备案等情况，形成资产清单，组织安全自查。 （二）依据上级主管监管机构要求，各医疗卫生机构依据安全自查结果，对发现的问题 和隐患进行整改，形成整改报告向有关主管监管机构报备。 第十条 关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背 景审查。各医疗卫生机构要加强网络运营相关人员管理，包括本单位内部人员及第三方人员， 明确内部人员入职、培训、考核、离岗全流程安全管理，针对第三方应明确人员接触网络时 的申请及批准流程，做好实名登记、人员背景审查、保密协议签署等工作，防止因人员资质 及违规操作引发的安全风险。 第十一条 加强网络运维管理，制定运维操作规范和工作流程。加强物理安全防护，完 善机房、办公环境及运维现场等安全控制措施，防止非授权访问物理环境造成信息泄露。加 强远程运维管理，因业务确需通过互联网远程运维的，应进行评估论证，并采取相应的安全 管控措施，防止远程端口暴露引发安全事件。 第十二条 各医疗卫生机构应加强业务连续性管理并持续监测网络运行状态。对于第三 级及以上的网络应加强保障关键链路、关键设备冗余备份，有条件的医疗卫生机构应建立应 用级容灾备份，防止关键业务中断。 第十三条 应用大数据、人工智能、区块链等新技术开展服务时，上线前应评估新技术 的安全风险并进行安全管控，达到应用与安全的平衡。 第十四条 各医疗卫生机构应规范和加强医疗设备数据、个人信息保护和网络安全管理， 建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管 第 2 页 共 4 页 理制度，定期检查或评估医疗设备网络安全，并采取相应的安全管控措施，确保医疗设备网 络安全。 第十五条 各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标准规范， 在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码 产品和服务。 第十六条 各医疗卫生机构应关注整个网络全链条参与者的安全管理，涉及非本单位的 第三方时，应对设计、建设、运行、维护等服务实施安全管理，采购安全的网络产品和服务， 防止发生第三方安全事件。 第十七条 各医疗卫生机构应加强废止网络的安全管理，对废止网络的相关设备进行风 险评估，及时对其采取封存或销毁措施，确保废止网络中的数据处置安全，防止网络数据泄 露。 第三章 数据安全管理 第十八条 各医疗卫生机构应按照有关法律法规的规定，参照国家网络安全标准，履行 数据安全保护义务，坚持保障数据安全与发展并重，通过管理和技术手段保障数据安全和数 据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全保护计划，建立 健全数据安全和个人信息保护制度。 第十九条 应建立数据安全管理组织架构，明确业务部门与管理部门在数据安全活动中 的主体责任，通过安全责任书等方式，规范本单位数据管理部门、业务部门、信息化部门在 数据安全管理全生命周期当中的权责，建立数据安全工作责任制，落实追责追究制度。 第二十条 各医疗卫生机构应每年对数据资产进行全面梳理，在落实网络安全等级保护 制度的基础上，依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标 准。数据分类分级应遵循合法合规原则、可执行原则、时效性原则、自主性原则、差异性原 则及客观性原则。 第二十一条 各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范，涉 及的管理制度每年至少修订一次，建议相关人员每年度签署保密协议。每年对本单位的数据 进行数据安全风险评估，及时掌握数据安全状态。加强数据安全教育培训，组织安全意识教 育和数据安全管理制度宣传培训。结合本单位实际，建立完善数据使用申请及批准流程，遵 循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则，严格执行业务管 理部门同意、医疗卫生机构领导核准的工作程序，指导数据活动流程合规。 第二十二条 各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁 全生命周期安全管理工作，数据全生命周期活动应在境内开展，因业务确需向境外提供的， 应当按照相关法律法规及有关要求进行安全评估或审核，针对影响或者可能影响国家安全的 数据处