銀政辦發(fā)〔2017〕72號(hào)《銀川市人民政府辦公廳關(guān)于印發(fā)〈銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理制度〉的通知》

銀川市人民政府辦公廳關(guān)于印發(fā)〈銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理制度〉的通知





銀政辦發(fā)〔2017〕72號(hào)

各縣（市）區(qū)人民政府，市政府各部門、各直屬機(jī)構(gòu)：

　　《銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理制度》已經(jīng)市政府研究同意，現(xiàn)印發(fā)給你們，請(qǐng)認(rèn)真貫徹執(zhí)行。

　　

　　

　　銀川市人民政府辦公廳

　　2017年4月21日

　　

　　銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理制度

　　

　　第一章總則

　　第一條為貫徹落實(shí)《銀川互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》（銀政發(fā)〔2016〕249號(hào)）和《銀川市互聯(lián)網(wǎng)醫(yī)院管理辦法實(shí)施細(xì)則（試行）》（銀辦發(fā)〔2017〕38號(hào)）要求，規(guī)范互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理，根據(jù)《保密法》、《國(guó)家網(wǎng)絡(luò)安全法》、《侵權(quán)責(zé)任法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等國(guó)家有關(guān)法律規(guī)定，結(jié)合我市實(shí)際情況，特制定本制度。

　　第二條本制度中的互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)是指在銀川市注冊(cè)的互聯(lián)網(wǎng)醫(yī)院在運(yùn)營(yíng)過程中產(chǎn)生的全部數(shù)據(jù)。

　　第三條在本市行政區(qū)域內(nèi)從事互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)的采集、存儲(chǔ)、處理、應(yīng)用、共享、開放及其相關(guān)管理服務(wù)活動(dòng)，適用本制度。

　　第四條信息系統(tǒng)是指互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)采集、存儲(chǔ)、處理、應(yīng)用、共享、開放及其相關(guān)管理服務(wù)活動(dòng)的信息系統(tǒng)。

　　

　　第二章組織機(jī)構(gòu)及職責(zé)

　　第五條成立銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理工作領(lǐng)導(dǎo)小組（以下簡(jiǎn)稱“工作領(lǐng)導(dǎo)小組”），統(tǒng)籌管理互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理工作。工作領(lǐng)導(dǎo)小組下設(shè)互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理辦公室（以下簡(jiǎn)稱“管理辦公室”），負(fù)責(zé)互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)的安全保密管理的日常運(yùn)作和聯(lián)絡(luò)，并對(duì)互聯(lián)網(wǎng)醫(yī)院及相關(guān)部門的數(shù)據(jù)保密和安全工作制定日常監(jiān)督和考核辦法。

　　第三章網(wǎng)絡(luò)管理

　　第六條信息系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界部署防火墻、審計(jì)系統(tǒng)、IPS/IDS等安全設(shè)備；對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行區(qū)域隔離、保護(hù)。重要的業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域部署單獨(dú)的防火墻進(jìn)行保護(hù)。

　　第七條內(nèi)外網(wǎng)絡(luò)之間要實(shí)行物理隔離。如需進(jìn)行數(shù)據(jù)交換和網(wǎng)絡(luò)鏈接時(shí)，必須采用符合國(guó)家保密部門要求的方式（如刻錄光盤）或設(shè)備（如保密部門認(rèn)可的安全移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)）。

　　第八條所有互聯(lián)網(wǎng)醫(yī)院的應(yīng)用系統(tǒng)必須使用網(wǎng)頁防篡改技術(shù)或?qū)Ｓ冒踩O(shè)備進(jìn)行保護(hù)，確保網(wǎng)站在受到破壞時(shí)能自動(dòng)恢復(fù)。

　　第九條所有互聯(lián)網(wǎng)醫(yī)院的應(yīng)用系統(tǒng)必須經(jīng)過有資質(zhì)的專業(yè)信息安全公司或第三方技術(shù)機(jī)構(gòu)的安全測(cè)評(píng)，對(duì)于集中處理互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)的信息系統(tǒng)應(yīng)參照秘密級(jí)信息系統(tǒng)的分級(jí)保護(hù)相關(guān)要求實(shí)施安全防護(hù)，確保網(wǎng)站的安全性。工作領(lǐng)導(dǎo)小組指定負(fù)責(zé)人或第三方專業(yè)機(jī)構(gòu)按國(guó)家相關(guān)要求定期開展信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估工作，定期組織專家評(píng)審，排除信息系統(tǒng)安全隱患。

　　第十條內(nèi)網(wǎng)應(yīng)配置獨(dú)立的交換機(jī)，內(nèi)網(wǎng)綜合布線須參照《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》中的相關(guān)要求。

　　第十一條內(nèi)網(wǎng)信息系統(tǒng)利用公網(wǎng)（PSTN、ISDN、ADSL、DDN、X.25、幀中繼、ATM、SDH等）進(jìn)行遠(yuǎn)程傳輸時(shí)，必須使用VPN技術(shù)實(shí)行加密處理。

　　第十二條通過部署統(tǒng)一的補(bǔ)丁升級(jí)系統(tǒng)、防病毒系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、存儲(chǔ)備份系統(tǒng)、容災(zāi)系統(tǒng)，建立與應(yīng)用相適應(yīng)的安全策略，全面加強(qiáng)主機(jī)和應(yīng)用系統(tǒng)安全。

　　第十三條建立監(jiān)控、備份恢復(fù)、應(yīng)急處理、安全審計(jì)、安全事件報(bào)告等工作制度。技術(shù)部門通過監(jiān)控機(jī)房、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等運(yùn)行狀態(tài)，主動(dòng)發(fā)現(xiàn)安全隱患，及時(shí)采取相應(yīng)措施，按照相關(guān)業(yè)務(wù)和應(yīng)用系統(tǒng)設(shè)計(jì)要求在規(guī)定時(shí)間內(nèi)恢復(fù)受影響或被中斷的應(yīng)用服務(wù)。

　　

　　第四章終端管理

　　第十四條內(nèi)網(wǎng)計(jì)算機(jī)必須安裝保密部門認(rèn)可的違規(guī)上網(wǎng)監(jiān)控軟件。

　　第十五條內(nèi)網(wǎng)計(jì)算機(jī)應(yīng)采用“雙布線雙用戶終端”或“雙布線雙硬盤單用戶終端”的隔離卡物理隔離解決方案。

　　第十六條嚴(yán)禁在內(nèi)網(wǎng)計(jì)算機(jī)上使用無線網(wǎng)卡、鍵盤、鼠標(biāo)、藍(lán)牙等一切無線設(shè)備。

　　第十七條嚴(yán)禁在內(nèi)網(wǎng)非涉密系統(tǒng)中發(fā)布涉密信息，內(nèi)網(wǎng)計(jì)算機(jī)不得存儲(chǔ)、處理、傳輸國(guó)家秘密信息，非涉密移動(dòng)存儲(chǔ)介質(zhì)不得存儲(chǔ)國(guó)家秘密信息。

　　第十八條嚴(yán)禁在內(nèi)網(wǎng)計(jì)算機(jī)上連接手機(jī)、相機(jī)、USB存儲(chǔ)介質(zhì)、錄音筆等一切非授權(quán)的可存儲(chǔ)或連接其他網(wǎng)絡(luò)的外置設(shè)備。

　　第十九條及時(shí)對(duì)內(nèi)網(wǎng)計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁和防病毒軟件病毒庫(kù)進(jìn)行更新，定期對(duì)計(jì)算機(jī)進(jìn)行全盤掃描、殺毒。

　　

　　第五章用戶管理

　　第二十條所有用戶（包括互聯(lián)網(wǎng)醫(yī)院、監(jiān)管部門、IDC服務(wù)提供方及數(shù)據(jù)操作的相關(guān)人員）必須遵守《保密法》、《國(guó)家網(wǎng)絡(luò)安全法》、《侵權(quán)責(zé)任法》、《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等國(guó)家有關(guān)法律、法規(guī)，嚴(yán)格執(zhí)行本條例。

　　第二十一條所有用戶需嚴(yán)格執(zhí)行信息安全和互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)保密制度，不得泄露、買賣醫(yī)學(xué)、個(gè)人隱私等相關(guān)信息。各有關(guān)部門、互聯(lián)網(wǎng)醫(yī)院不經(jīng)患者本人同意不得將診療數(shù)據(jù)商用，若有違反上述規(guī)定的單位或個(gè)人，依法追究其法律責(zé)任。

　　第二十二條各部門（包括但不限于互聯(lián)網(wǎng)醫(yī)院、監(jiān)管部門、IDC服務(wù)提供方）需建立互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全管理實(shí)施工作責(zé)任制和責(zé)任追究制，應(yīng)按照分工負(fù)責(zé)、相互制約的原則制定各類系統(tǒng)操作人員的數(shù)據(jù)讀寫權(quán)限，讀寫權(quán)限不允許交叉覆蓋。確定數(shù)據(jù)使用人員的存取權(quán)限、存取方式和審批手續(xù)，防止各類敏感數(shù)據(jù)有意或無意泄露與獲取。

　　第二十三條管理辦公室定期組織對(duì)內(nèi)網(wǎng)用戶和數(shù)據(jù)操作相關(guān)人員的保密教育和檢查，加強(qiáng)對(duì)內(nèi)網(wǎng)安全、保密技術(shù)知識(shí)的教育和培訓(xùn)，對(duì)涉密數(shù)據(jù)操作人員要嚴(yán)格要求，強(qiáng)化保密意識(shí)，提高對(duì)互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密工作的自覺性。

　　第六章介質(zhì)管理

　　第二十四條對(duì)存放有重要數(shù)據(jù)的介質(zhì)，應(yīng)采用磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等信息存儲(chǔ)手段進(jìn)行主動(dòng)防護(hù)，防止信息系統(tǒng)數(shù)據(jù)的丟失、破壞和失密。

　　第二十五條做好大數(shù)據(jù)中心重要數(shù)據(jù)（介質(zhì)）的安全保密工作。保留在機(jī)房?jī)?nèi)的重要數(shù)據(jù)（介質(zhì)），應(yīng)為系統(tǒng)有效運(yùn)行所必需的最少數(shù)量數(shù)據(jù)，除此之外不應(yīng)保留。重要數(shù)據(jù)（介質(zhì)）庫(kù)，應(yīng)設(shè)專人負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得隨意挪用重要數(shù)據(jù)（介質(zhì)）。在使用重要數(shù)據(jù)（介質(zhì)）期間，應(yīng)嚴(yán)格按國(guó)家保密規(guī)定控制轉(zhuǎn)借或復(fù)制，需要使用或復(fù)制的須經(jīng)批準(zhǔn)。

　　

　　第七章數(shù)據(jù)管理

　　第二十六條互聯(lián)網(wǎng)醫(yī)院應(yīng)嚴(yán)格執(zhí)行《銀川互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》第二十四條和第二十五條，并對(duì)診療過程中產(chǎn)生的數(shù)據(jù)按其密級(jí)進(jìn)行分級(jí)分類管理，對(duì)數(shù)據(jù)進(jìn)行訪問控制，脫敏控制，定期稽核，監(jiān)控?cái)?shù)據(jù)使用的合規(guī)性和安全狀況，實(shí)現(xiàn)精細(xì)化數(shù)據(jù)安全管控。

　　針對(duì)高安全級(jí)別診療數(shù)據(jù)，應(yīng)采用并部署審計(jì)系統(tǒng)對(duì)信息和日志進(jìn)行安全審計(jì)、審計(jì)追蹤，并采用數(shù)字指紋、追蹤碼技術(shù)進(jìn)行數(shù)字取證。

　　第二十七條凡在銀川市進(jìn)行注冊(cè)的互聯(lián)網(wǎng)醫(yī)院，必須將其系統(tǒng)運(yùn)營(yíng)數(shù)據(jù)存放至智慧銀川大數(shù)據(jù)中心，診療全過程必須在網(wǎng)上全程留痕，同時(shí)向監(jiān)管部門開放端口接受監(jiān)管，互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)至少留存30年以上。

　　

　　第八章安全事件報(bào)告

　　第二十八條所有用戶（包括互聯(lián)網(wǎng)醫(yī)院、監(jiān)管部門、IDC服務(wù)提供方及數(shù)據(jù)操作的相關(guān)人員）發(fā)現(xiàn)信息安全事件已經(jīng)發(fā)生或可能發(fā)生時(shí)，應(yīng)立即采取補(bǔ)救措施并及時(shí)報(bào)告管理辦公室。管理辦公室接到報(bào)告后，應(yīng)及時(shí)進(jìn)行處理，并及時(shí)向工作領(lǐng)導(dǎo)小組報(bào)告。

　　第二十九條違反本制度規(guī)定的，由管理部門或管理人員及時(shí)報(bào)告工作領(lǐng)導(dǎo)小組，工作領(lǐng)導(dǎo)小組根據(jù)違規(guī)情況按有關(guān)法規(guī)追究責(zé)任。

　　第三十條應(yīng)制定應(yīng)對(duì)各種突發(fā)事件所采取的應(yīng)急響應(yīng)機(jī)制和策略，具體應(yīng)符合GB/T24363-2009《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范的規(guī)定》。

　　第三十一條發(fā)生信息安全事件時(shí)，互聯(lián)網(wǎng)醫(yī)院需無條件配合工作領(lǐng)導(dǎo)小組的相關(guān)工作。

　　

　　第九章附則

　　第三十二條工作領(lǐng)導(dǎo)小組負(fù)責(zé)銀川市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)安全保密管理制度的修訂，確保市互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)的保密和安全。

　　第三十三條本制度自發(fā)布之日起生效執(zhí)行。

本文鏈接：http://www.per-better.com/rule/57516.html

本文關(guān)鍵詞： 銀川市, 銀政辦發(fā)