醫(yī)療保障信息化是醫(yī)療保障事業(yè)高質(zhì)量發(fā)展的基礎(chǔ)，是醫(yī)保治理體系和治理能力現(xiàn)代化的重要支撐,。為全面落實習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強國戰(zhàn)略,、大數(shù)據(jù)戰(zhàn)略、數(shù)字經(jīng)濟的重要指示批示精神,，以及黨中央關(guān)于網(wǎng)絡(luò)安全工作的總體部署，扎實推進(jìn)醫(yī)療保障信息平臺建設(shè)及運營維護(hù)，防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險,，促進(jìn)數(shù)據(jù)合理安全開發(fā)利用，現(xiàn)就加強醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作,，提出以下指導(dǎo)意見,。

　　一、總體要求

　?。?1 ） 指導(dǎo)思想

　　堅持以習(xí)近平新時代中國特色社會主義思想為指導(dǎo),，全面貫徹黨的十九大和十九屆二中、三中,、四中,、五中全會精神，堅持總體國家安全觀,，深入實施網(wǎng)絡(luò)強國和大數(shù)據(jù)戰(zhàn)略,，以醫(yī)保系統(tǒng)網(wǎng)絡(luò)安全為基礎(chǔ),，以智慧醫(yī)保和安全醫(yī)保建設(shè)為目標(biāo)，以醫(yī)保信息安全技術(shù)為支撐,，以制度建設(shè)和人才隊伍建設(shè)為保障,，筑牢安全防線，促進(jìn)數(shù)據(jù)安全應(yīng)用,，更好助力醫(yī)保治理體系和治理能力現(xiàn)代化,，推動醫(yī)保事業(yè)高質(zhì)量發(fā)展。

　?。?2 ） 基本原則

　　堅持安全為本,，促進(jìn)發(fā)展。統(tǒng)籌網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護(hù),，夯實醫(yī)療保障信息化發(fā)展的安全底線,，穩(wěn)步推動醫(yī)保大數(shù)據(jù)建設(shè)，為智慧醫(yī)保建設(shè),、合法合規(guī)數(shù)據(jù)信息共享,、多層次醫(yī)療保障體系建設(shè)提供有力支撐。

　　堅持健全制度,，強化技術(shù),。制定實施網(wǎng)絡(luò)安全管理和數(shù)據(jù)安全保護(hù)的系列制度，建立有效工作機制,，廣泛運用先進(jìn)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)技術(shù),，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力,。

　　堅持強化基礎(chǔ),，提升能力。把網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)放在重要位置,，加快提升醫(yī)療保障系統(tǒng)網(wǎng)絡(luò)安全管理能力,、數(shù)據(jù)安全保護(hù)能力、數(shù)據(jù)共享服務(wù)能力,，加強人才隊伍建設(shè),，筑牢安全發(fā)展基礎(chǔ)。

　　堅持明晰責(zé)任,，閉環(huán)管理,。堅持“誰主管、誰負(fù)責(zé),，誰使用,、誰負(fù)責(zé)”原則，落實網(wǎng)絡(luò)安全責(zé)任制,，落實數(shù)據(jù)主管單位,、數(shù)據(jù)使用單位責(zé)任,，建立健全安全審查審批和權(quán)限管理機制，實現(xiàn)數(shù)據(jù)全流程全生命周期管理,。

　?。?3 ） 主要目標(biāo)

　　到2022年，基本建成基礎(chǔ)強,、技術(shù)優(yōu),、制度全、責(zé)任明,、管理嚴(yán)的醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)工作體制機制,。到“十四五”期末，醫(yī)療保障系統(tǒng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)制度體系更加健全,，智慧醫(yī)保和安全醫(yī)保建設(shè)達(dá)到新水平,。

　　——網(wǎng)絡(luò)安全水平顯著提升。主體責(zé)任明晰,，監(jiān)督管理機制完善,，基礎(chǔ)設(shè)施完備，網(wǎng)絡(luò)安全技術(shù)能力,、態(tài)勢感知,、預(yù)警能力、突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力顯著提升,，網(wǎng)絡(luò)安全有效保障,。

　　——數(shù)據(jù)安全管理有效實施。數(shù)據(jù)安全審批制度全面建立,，分級分類管理及重要數(shù)據(jù)保護(hù)目錄全面落實，數(shù)據(jù)實現(xiàn)全生命周期安全管理,，數(shù)據(jù)安全評估機制日益完善,。

　　——數(shù)據(jù)共享使用安全有序。數(shù)據(jù)共享使用流程明晰,、機制健全,，醫(yī)療保障數(shù)字化、智能化水平顯著提升,。

　　二,、加強網(wǎng)絡(luò)安全管理

　　（ 1 ） 落實網(wǎng)絡(luò)安全主體責(zé)任

　　建立健全網(wǎng)絡(luò)安全責(zé)任制,。各級醫(yī)保部門是本級網(wǎng)絡(luò)安全的責(zé)任主體,，各級醫(yī)保部門主要負(fù)責(zé)人是第一責(zé)任人。各級醫(yī)保部門要組建網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,，落實網(wǎng)絡(luò)安全主體責(zé)任,，明確信息技術(shù)保障和意識形態(tài)工作責(zé)任邊界,，強化行政部門網(wǎng)絡(luò)安全管理責(zé)任和擔(dān)當(dāng)，健全考核機制,，嚴(yán)格責(zé)任追究,，確保網(wǎng)絡(luò)安全責(zé)任全覆蓋。

　?。?2 ） 完善網(wǎng)絡(luò)安全監(jiān)督管理機制

　　各級醫(yī)保部門要強化日常工作中網(wǎng)絡(luò)安全“紅線”意識和底線思維,，建立多環(huán)節(jié)、多層次,、全方位的網(wǎng)絡(luò)安全監(jiān)督管理機制,。定期對信息系統(tǒng)運行的相關(guān)軟硬件開展安全防護(hù)檢查。對涉及關(guān)鍵網(wǎng)絡(luò)崗位和重要數(shù)據(jù)崗位的從業(yè)人員實施嚴(yán)格的背景審查,。全面梳理網(wǎng)絡(luò),、系統(tǒng)和關(guān)鍵設(shè)備的網(wǎng)絡(luò)安全責(zé)任部門和責(zé)任人。

　?。?3 ） 加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)

　　全面推進(jìn)網(wǎng)絡(luò)安全等級保護(hù)工作,。根據(jù)行業(yè)規(guī)范合理定級備案，在系統(tǒng)規(guī)劃,、設(shè)計階段同步確定安全保護(hù)等級,，按照國家和行業(yè)標(biāo)準(zhǔn)進(jìn)行等級測評。切實落實關(guān)鍵信息基礎(chǔ)設(shè)施重點保護(hù)要求,，加強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系建設(shè),，提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急響應(yīng)和恢復(fù)能力。按照“安全分區(qū),、網(wǎng)絡(luò)專用,、橫向隔離、縱向認(rèn)證”的原則,，進(jìn)一步完善網(wǎng)絡(luò)結(jié)構(gòu)安全,、本體安全和基礎(chǔ)設(shè)施安全，逐步推廣安全免疫,。加強內(nèi)外網(wǎng)安全隔離,，嚴(yán)禁醫(yī)保專網(wǎng)接入互聯(lián)網(wǎng)。

　?。?4 ） 強化網(wǎng)絡(luò)安全技術(shù)防護(hù)能力

　　建立并完善入侵檢測與防御,、防病毒、防拒絕服務(wù)攻擊,、防信息泄露,、異常流量監(jiān)測、網(wǎng)頁防篡改,、域名安全,、漏洞掃描,、集中賬號管理、數(shù)據(jù)加密,、安全審計等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段,。積極研究利用云計算、大數(shù)據(jù)等技術(shù)提高網(wǎng)絡(luò)安全監(jiān)測預(yù)警能力,。加強網(wǎng)站安全防護(hù)和日常辦公,、維護(hù)終端的安全管理。完善域名系統(tǒng)安全防護(hù)措施,，做好網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)上線前的風(fēng)險評估,。

　　（ 5 ） 提高網(wǎng)絡(luò)安全態(tài)勢感知,、預(yù)警和協(xié)同能力

　　加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)“實戰(zhàn)化,、體系化、常態(tài)化”和“動態(tài)防御,、主動防御,、縱深防御、精準(zhǔn)防護(hù),、整體防控,、聯(lián)防聯(lián)控”的“三化六防”措施，推進(jìn)全國醫(yī)療保障信息系統(tǒng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)態(tài)勢感知,、預(yù)警能力建設(shè),。加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)信息的匯集、研判,，建立健全網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)信息共享和通報機制,，健全完善上下協(xié)同的通報預(yù)警機制。

　?。?6 ） 提升突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力

　　嚴(yán)格落實突發(fā)網(wǎng)絡(luò)安全事件報告制度,。制定和完善本單位網(wǎng)絡(luò)安全應(yīng)急預(yù)案。健全大規(guī)模拒絕服務(wù)攻擊,、高級可持續(xù)性威脅攻擊、大規(guī)模公民個人信息泄露等突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急協(xié)同配合機制,，加強應(yīng)急預(yù)案演練,，定期評估和修訂應(yīng)急預(yù)案，提高科學(xué)性,、實用性,、可操作性。建立重大活動期間網(wǎng)絡(luò)安全保障機制,，強化對網(wǎng)絡(luò)安全突發(fā)事件的統(tǒng)一指揮和協(xié)調(diào),，確保全國醫(yī)療保障信息系統(tǒng)的運行安全,、數(shù)據(jù)安全和網(wǎng)絡(luò)安全，最大程度地預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損害,。

　　三,、加強數(shù)據(jù)安全保護(hù)

　　（ 1 ） 實施數(shù)據(jù)全生命周期安全管理

　　依法依規(guī)對數(shù)據(jù)的產(chǎn)生,、傳輸,、存儲、使用,、共享,、銷毀等實行全生命周期安全管理，提高數(shù)據(jù)安全防護(hù)能力和個人隱私保護(hù)力度,。強化個人隱私保護(hù),，采用適當(dāng)?shù)陌踩刂拼胧_保數(shù)據(jù)的產(chǎn)生,、采集和匯集過程合規(guī),、安全。個人信息的采集,，堅持法定授權(quán)原則,，法定授權(quán)外個人信息采集事項須先獲得自然人或者其監(jiān)護(hù)人同意。處理個人信息應(yīng)當(dāng)遵循合法,、正當(dāng),、必要原則，不得過度使用,。采用適當(dāng)?shù)南到y(tǒng)架構(gòu),、技術(shù)手段對數(shù)據(jù)傳輸和數(shù)據(jù)存儲進(jìn)行安全加固，確保數(shù)據(jù)安全和高效可用,。建立數(shù)據(jù)清除和銷毀機制,，防止因存儲介質(zhì)上數(shù)據(jù)內(nèi)容的惡意恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。加強數(shù)據(jù)遷移銷毀流程安全管理,，全力確保平臺遷移中的數(shù)據(jù)安全,。

　　（ 2 ） 實施分級分類管理

　　根據(jù)本單位本系統(tǒng)數(shù)據(jù)安全保護(hù)的實際需要,，結(jié)合醫(yī)療保障數(shù)據(jù)特點,，制定統(tǒng)一的分級分類管理制度，按照數(shù)據(jù)分級分類保護(hù)標(biāo)準(zhǔn),、規(guī)則,，對數(shù)據(jù)劃分安全等級，實行分級分類管理。地方醫(yī)保部門要落實分級分類規(guī)則標(biāo)準(zhǔn),，參照《國家醫(yī)療保障局數(shù)據(jù)安全管理辦法》制定本地的數(shù)據(jù)安全管理辦法,。

　　（ 3 ） 加強重要數(shù)據(jù)和敏感字段保護(hù)

　　制定重要數(shù)據(jù)保護(hù)目錄,，對列入目錄的數(shù)據(jù)進(jìn)行重點保護(hù),，涉及國家秘密、工作秘密的數(shù)據(jù)應(yīng)嚴(yán)格保密,，不予共享及公開,。建立敏感數(shù)據(jù)字段庫，包含但不限于個人隱私數(shù)據(jù),、參保單位隱私數(shù)據(jù),、協(xié)議機構(gòu)隱私數(shù)據(jù)、藥品診療目錄項目隱私數(shù)據(jù)等,。

　?。?4 ） 強化數(shù)據(jù)安全審批管理

　　嚴(yán)格執(zhí)行數(shù)據(jù)處理和使用審批流程，按照“知所必須,，最小授權(quán)”的原則劃分?jǐn)?shù)據(jù)訪問權(quán)限,，實施脫敏、日志記錄等控制措施,，防范數(shù)據(jù)丟失,、泄露、未授權(quán)訪問等安全風(fēng)險,。

　　加強對數(shù)據(jù)共享（含交換,、導(dǎo)出、開放）環(huán)節(jié)的安全管控,，防止不經(jīng)審批,、不受控制的數(shù)據(jù)共享行為。

　?。?5 ） 落實數(shù)據(jù)安全權(quán)限

　　明確各級權(quán)限,，分離信息系統(tǒng)運維權(quán)限和經(jīng)辦業(yè)務(wù)角色，對不同角色設(shè)置不同權(quán)限,。根據(jù)經(jīng)辦業(yè)務(wù)人員職責(zé)區(qū)分設(shè)置業(yè)務(wù)操作和數(shù)據(jù)查詢范圍,。按照網(wǎng)絡(luò)安全等級保護(hù)2.0制度要求，結(jié)合實際設(shè)置安全保密管理員,、安全審計員和系統(tǒng)管理員等崗位,。加強信息系統(tǒng)運維人員和經(jīng)辦業(yè)務(wù)人員權(quán)限管理，落實崗位安全職責(zé),。

　　（ 6 ） 推動數(shù)據(jù)安全共享和使用

　　在保障數(shù)據(jù)安全的前提下,，穩(wěn)妥推動數(shù)據(jù)資源開發(fā)利用,，發(fā)揮數(shù)據(jù)生產(chǎn)要素作用,，保障數(shù)據(jù)依法依規(guī)有序共享。建立先試點,、后推廣機制,，強化醫(yī)療保障大數(shù)據(jù)運用，更好地服務(wù)醫(yī)保政策制定和醫(yī)保精細(xì)化管理,，推動多層次醫(yī)療保障體系建設(shè),。對于敏感數(shù)據(jù)需要落地到外部的業(yè)務(wù)場景，應(yīng)做好脫敏處理,，制定統(tǒng)一數(shù)據(jù)出口和統(tǒng)一銷毀要求,，建立嚴(yán)格的審批流程和數(shù)據(jù)交付流程。

　?。?7 ） 建立健全數(shù)據(jù)安全風(fēng)險評估機制

　　定期評估安全系統(tǒng)軟硬件運行狀況,、制度執(zhí)行情況、數(shù)據(jù)復(fù)制情況,、告警或故障設(shè)備的數(shù)據(jù)保護(hù)狀況,、權(quán)限的審批收回情況、密碼強度,、外包服務(wù)中的數(shù)據(jù)保護(hù)管理情況,、研發(fā)測試環(huán)境數(shù)據(jù)保護(hù)情況，對發(fā)現(xiàn)的問題及時整改,。

　　四,、保障措施

　　（ 1 ） 加強組織領(lǐng)導(dǎo)

　　各級醫(yī)保部門要充分認(rèn)識加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的重要性,，加強組織領(lǐng)導(dǎo),，做好部門協(xié)調(diào)，層層落實責(zé)任,，確保相關(guān)部署落到實處,。要建立相應(yīng)工作機制，夯實工作力量,，科學(xué)合理制定工作推進(jìn)時間安排,，周密組織實施網(wǎng)絡(luò)安全管理和數(shù)據(jù)保護(hù)工作，切實提高醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作水平,。

　?。?2 ） 加強人才隊伍建設(shè)

　　加大網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)人才培養(yǎng)投入，加強從業(yè)人員技能培訓(xùn),，形成培養(yǎng),、選拔、吸引和使用網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)人才的良性機制。建立各級醫(yī)保部門網(wǎng)絡(luò)和數(shù)據(jù)安全專家?guī)臁?/p>

　?。?3 ） 加強資金投入

　　各級醫(yī)保部門應(yīng)加強統(tǒng)籌規(guī)劃,，做好網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)體系頂層設(shè)計，制定工作計劃,。按照總體進(jìn)度安排和工作目標(biāo),，將網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)建設(shè)、運行維護(hù)經(jīng)費納入信息化建設(shè)項目投入,，加強資金保障和使用監(jiān)管,，確保網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作的資金投入。

　?。?4 ） 加強法律法規(guī)宣傳

　　積極宣傳網(wǎng)絡(luò)安全法律法規(guī),，定期組織網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)培訓(xùn)交流，對產(chǎn)品和服務(wù)供應(yīng)商加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)教育,，提升全員網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)意識,，為網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)治理營造良好氛圍。

　?。?5 ） 加強督導(dǎo)檢查

　　要將網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)工作推進(jìn)情況納入本單位工作考核范疇,，建立督查情況通報制度，對工作不力的要及時督查整改,，確保網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作萬無一失,。對工作中出現(xiàn)問題造成不良后果的單位及人員要通報批評，造成嚴(yán)重后果的要依紀(jì)依法問責(zé)處理,。