
各省、自治区、直辖市及新疆出产建设兵团医疗保险局、局内各单元:
《国度医疗保险局关于加强网络安全和数据;すぷ鞯牧斓级芬丫44次局长办公会审议通过,现印发给你们,请遵循执行。
附件:国度医疗保险局关于加强网络安全和数据;すぷ鞯牧斓级
国度医疗保险局
2021年4月6日
国度医疗保险局关于加强网络安全和数据;すぷ鞯牧斓级
医疗保险信息化是医疗保险事业高质量发展的基础,是医保治理系统和治理能力现代化的沉要支持。为全面落实习近平总书记关于网络强国战术、大数据战术、数字经济的沉要批示批示心灵,以及党中央关于网络安全工作的总体部署,扎实推动医疗保险信息平台建设及运营守护,防备化解医疗保险系统数据安全风险,推进数据合理安全开发利用,现就加强医疗保险网络安全和数据;すぷ,提出以下领导定见。
一、总体要求
(一)领导思想
对峙以习近平新时期中国特色社会主义思想为领导,全面贯彻党的十九大和十九届二钟注三钟注四钟注五中全会心灵,对峙总体国度安全观,深刻执行网络强国和大数据战术,以医保系统网络安全为基础,以智慧医保和安全医保建设为指标,以医保信息安全技术为支持,以造度建设和人才行列建设为保险,筑牢安全防线,推进数据安全利用,更好助力医保治理系统和治理能力现代化,推动医保事业高质量发展。
(二)根基准则
对峙安全为本,推进发展。两全网络安全保险和数据安全;,夯实医疗保险信息化发展的安全底线,稳步推动医保大数据建设,为智慧医保建设、合法合规数据信息共享、多档次医疗保险系统建设提供有力支持。
对峙健全造度,强化技术。造订执行网络安全治理和数据安全;さ南盗性於,成立有效工作机造,宽泛使用先进的网络安全和数据安全;ぜ际,成立健全数据安全治理系统,提高数据安全保险能力。
对峙强化基础,提升能力。把网络基础设施建设放在沉要地位,加快提升医疗保险系统网络安全治理能力、数据安全;つ芰Α⑹莨蚕矸务能力,加强人才行列建设,筑牢安全发展基础。
对峙了了责任,关环治理。对峙“谁主管、谁掌管,谁使用、谁掌管”准则,落实网络安全责任造,落实数据主管单元、数据使用单元责任,成立健全安全审查审批和权限治理机造,实现数据全流程全性命周期治理。
(三)重要指标
到2022年,根基建成基础强、技术优、造度全、责任明、治理严的医疗保险网络安全和数据安全;すぷ魈逶旎。到“十四五”期末,医疗保险系统网络安全和数据安全;ぴ於认低吃椒⒔∪,智慧医保和安全医保建设达到新水平。
——网络安全水平显著提升。主体责任了了,监督治理机造美满,基础设施完整,网络安全技术能力、态势感知、预警能力、突发网络安全事务应急响应能力显著提升,网络安全有效保险。
——数据安全治理有效执行。数据安全审批造度全面成立,分级分类治理及沉要数据;つ柯既媛涫,数据实现全性命周期安全治理,数据安全评估机造日益美满。
——数据共享使用安全有序。数据共享使用流程了了、机造健全,医疗保险数字化、智能化水平显著提升。
二、加强网络安全治理
(一)落实网络安全主体责任
成立健全网络安全责任造。各级医保部门是本级网络安全的责任主体,各级医保部门重要掌管人是第一责任人。各级医保部门要组建网络安全和信息化辅导幼组,落实网络安全主体责任,明确信息技术保险和意识状态工作责任天堑,强化行政部门网络安全治理责任和担任,健全查核机造,严格责任查究,确保网络安全责任全覆盖。
(二)美满网络安全监督治理机造
各级医保部门要强化日常工作中网络安全“红线”意识和底线思想,成立多环节、多档次、全方位的网络安全监督治理机造。定期对信息系统运行的有关软硬件发展安全防护查抄。对涉及关键网络岗位和沉要数据岗位的从业人员执行严格的布景审查。全面梳理网络、系统和关键设备的网络安全责任部门和责任人。
(三)加强关键信息基础设施安全;
全面推动网络安全等级;すぷ。凭据行业规范合理定级登记,在系统规划、设计阶段同步确定安全;さ燃,依照国度和行业尺度进行等级测评。切实落实关键信息基础设施沉点;ひ,加强关键信息基础设施网络安全监测预警系统建设,提升关键信息基础设施应急响应和复原能力。依照“安全分区、网络专用、横向隔离、纵向认证”的准则,进一步美满网络结构安全、本体安全和基础设施安全,逐步推广安全免疫。加强内表网安全隔离,严禁医保专网接入互联网。
(四)强化网络安全技术防护能力
成立并美满入侵检测与防御、防病毒、防回绝服务攻击、防信息泄露、异常流量监测、网页防篡改、域名安全、缝隙扫描、集中账号治理、数据加密、安全审计等网络安全防护技术伎俩;暄欣迷仆扑恪⒋笫莸燃际跆岣咄绨踩嗖庠ぞ芰。加强网站安全防护和日常办公、守护终端的安全治理。美满域名系统安全防护措施,做好网络和业务系统上线前的风险评估。
(五)提高网络安全态势感知、预警和协同能力
加强网络安全和数据;ぁ笆嫡交⑾低郴⒊L焙汀岸烙⒆远烙⒆萆罘烙⒕挤阑ぁ⒄宸揽亍⒘懒亍钡摹叭馈贝胧,推动全国医疗保险信息系统网络安全和数据;ぬ聘兄⒃ぞ芰ㄉ。加强网络安全和数据;ば畔⒌幕慵⒀信,成立健全网络安全和数据;ば畔⒐蚕砗痛莼,健全美满高低协同的传递预警机造。
(六)提升突发网络安全事务应急响应能力
严格落实突发网络安全事务汇报造度。造订和美满本单元网络安全应急预案。健全大规模回绝服务攻击、高级可持续性威胁攻击、大规模公民幼我信息泄露等突发网络安全事务的应急协同共同机造,加强应急预案演练,定期评估和订正应急预案,提高科学性、实用性、可操作性。成立沉大活动期间网络安全保险机造,强化对网络安全突发事务的统一指挥和协调,确保全国医疗保险信息系统的运行安全、数据安全和网络安全,最大水平地预防和削减网络安全事务造成的侵害。
三、加强数据安全;
(一)执行数据全性命周期安全治理
依法依规对数据的产生、传输、存储、使用、共享、销毁等尝试全性命周期安全治理,提高数据安全防护能力和幼我隐衷;ちΧ。强化幼我隐衷;,选取适当的安全节造措施,确保数据的产生、采集和汇集过程合规、安全。幼我信息的采集,对峙法定授权准则,法定授权表幼我信息采集事项须先获得天然人或者其监护人赞成。处置幼我信息该当遵循合法、正当、必要准则,不得过度使用。选取适当的系统架构、技术伎俩对数据传输和数据存储进行安全加固,确保数据安全和高效可用。成立数据断根和销毁机造,预防因存储介质上数据内容的恶意复原而导致的数据泄露风险。加强数据迁徙销毁流程安全治理,全力确保平台迁徙中的数据安全。
(二)执行分级分类治理
凭据本单元本系统数据安全;さ南质当匾,结合医疗保险数据特点,造订统一的分级分类治理造度,依照数据分级分类;こ叨取⒐娑,对数据划分安全等级,尝试分级分类治理。处所医保部门要落实分级分类规定尺度,参照《国度医疗保险局数据安全治理法子》造订本地的数据安全治理法子。
(三)加强沉要数据和敏感字段;
造订沉要数据;つ柯,对列入目录的数据进行沉点;,涉及国度奥秘、工作奥秘的数据应严格保密,不予共享及公开。成立敏感数据字段库,蕴含但不限于幼我隐衷数据、参保单元隐衷数据、和谈机构隐衷数据、药品诊疗目录项目隐衷数据等。
(四)强化数据安全审批治理
严格执行数据处置和使用审批流程,依照“知所必须,最幼授权”的准则划分数据接见权限,执行脱敏、日志纪录等节造措施,防备数据迷失、泄露、未授权接见等安全风险。
加强对数据共享(含互换、导出、盛开)环节的安全管控,预防不经审批、不受节造的数据共享行为。
(五)落实数据安全权限
明确各级权限,分离信息系统运维权限和经办业务角色,对分歧角色设置分歧权限。凭据经办业务人员职责分辨设置业务操作和数据查问领域。依照网络安全等级;2.0造度要求,结合现实设置安全保密治理员、安全审计员和系统治理员等岗位。加强信息系统运维人员和经办业务人员权限治理,落实岗位安全职责。
(六)推动数据安全共享和使用
在保险数据安全的前提下,稳妥推动数据资源开发利用,阐扬数据出产身分作用,保险数据依法依规有序共享。成立先试点、后推广机造,强化医疗保险大数据使用,更好地服务医保政策造订和医保精密化治理,推动多档次医疗保险系统建设。对于敏感数据必要落地到表部的业务场景,应做好脱敏处置,造订统一数据出口和统一销毁要求,成立严格的审批流程和数据交付流程。
(七)成立健全数据安全风险评估机造
定期评估安整系统软硬件运行情况、造度执行情况、数据复造情况、告警或故障设备的数据;で榭觥⑷ㄏ薜纳笈栈厍榭觥⒚苈肭慷取⒈戆务中的数据;ぶ卫砬榭觥⒀蟹⒉馐曰肪呈荼;で榭,对发现的问题及使佧改。
四、保险措施
(一)加强组织辅导
各级医保部门要充分意识加强网络安全和数据;すぷ鞯某烈,加强组织辅导,做好部门协调,层层落实责任,确保有关部署落到实处。要成立相应工作机造,夯实工作力量,科学合理造订工作推动功夫铺排,全面组织执行网络安全治理和数据;すぷ,切实提高医疗保险网络安全和数据;すぷ魉。
(二)加强人才行列建设
加大网络安全和数据;と瞬旁炀屯度,加强从业人员技术培训,形成造就、提拔、吸引和使用网络安全和数据;と瞬诺牧夹曰。成立各级医保部门网络和数据安全专家库。
(三)加强资金投入
各级医保部门应加强两全规划,做好网络安全和数据;は低扯ゲ闵杓,造订工作打算。依照总体进度铺排和工作指标,将网络安全和数据;そㄉ琛⒃诵惺鼗ぞ涯扇胄畔⒒ㄉ柘钅客度,加强资金保险和使用监管,确保网络安全和数据;すぷ鞯淖式鹜度。
(四)加强司法律规宣传
积极宣传网络安全司法律规,定期组织网络安全和数据;づ嘌祷セ,对产品和服务供给商加强网络安全和数据;そ逃,提升全员网络安全和数据;ひ馐,为网络安全和数据;ぶ卫碛煊帕挤瘴。
(五)加强督导查抄
要将网络安全与数据;すぷ魍贫榭瞿扇氡镜ピぷ鞑楹肆煊,成立督查情况传递造度,对工作不力的要实时督查整改,确保网络安全和数据;すぷ魑炔偈と。对工作中出现问题造成不良后果的单元及人员要传递品评,造成严沉后果的要依纪依法问责处置。