关于印发《册亨县卫生健康系统网络与信息 安全管理制度(试行)》的通知
第一章 总则
第一条 为进一步保障全县卫生健康行业网络与信息安全,建立健全卫生健康网络与信息安全体系,规范网络与信息安全工作基本要求,保障全县卫生健康行业网络与信息相关的人员、设备、网络、系统及数据等的安全、稳定,保护公众利益,维护国家安全、公共安全和社会秩序,特制定本制度。
第二条 本制度依据《中华人民共和国网络安全法》《计算机软件保护条例》《计算机信息网络国际联网安全保护管理办法》《中华人民共和国计算机信息系统安全保护条例》《计算机场地通用规范》《电子信息系统机房设计规范》《商用密码应用安全性评估管理办法(试行)》等相关法律法规制定。
第三条 本制度适用于册亨县卫生健康行业网络与信息安全管理。涉及国家秘密的,按照国家秘密有关法律法规执行。
第二章 责任机制
第四条 网络与信息安全责任按照“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则。各级各单位主要负责人是网络与信息安全的第一责任人,分管网络与信息安全的负责人是直接责任人;业务部门负责主管业务相关网络与信息系统的应用及网络与信息安全;具体用户负责其使用的网络与信息的安全。
第五条 第一责任人具体职责包括认真贯彻执行相关法律法规、中央有关决策、上级单位关于网络与信息安全有关的具体部署;定期召开网络与信息安全工作会议,研究解决网络与信息安全重要事项;强化网络与信息安全意识,督促所属部门和业务支撑单位落实网络与信息安全责任制等工作。
第六条 直接负责人具体职责包括组织制定贯彻落实相关法律法规、中央及上级单位有关网络与信息安全决策部署等的具体措施;组织实施网络与信息安全检查、巡查和考核,协调解决网络与信息安全工作中的重点难点问题等工作。
第七条 业务部门承担相关业务的网络与信息安全主体责任,应当按照有关法律法规等要求和相关安全标准,建立网络与信息安全管理责任和考核评价制度;开展安全风险评估,部署有效安全防护手段;制定应急预案,及时处置安全事件;组织安全教育、培训,保障网络与信息安全;对运营者或委托进行网络与信息安全的第三方运维单位进行监管,督促其按照网络与信息安全管理要求开展日常运维,积极组织或配合开展网络安全等级保护定级、测评等工作,保护网络与信息安全与业务连续性;做好网络安全事件应急报告、处置和整改工作等。
第八条 网络与信息的使用单位或个人,应依法使用,按要求操作,制定有效的安全管理措施,确保数据的保密性、完整性和可用性,切实保护重要数据和公民个人信息安全;对发布、转载和链接的数据与信息的准确性和合规性负责;避免使用不当造成数据损毁、丢失和泄露;设置合规口令、杜绝弱口令、严禁私自转借用户账号等。
第九条 县卫生健康局负指导监管责任,包括:建立和落实责任制;开展网络与信息安全监督检查;健全监测预警、信息共享和通报制度;组织领导本行政区域内卫生健康行业网络与信息安全保护和重大事件应急处置;基于云计算、大数据、物联网、移动互联网、人工智能等技术与卫生健康融合发展特性,创新安全管理机制和技术手段,推广应用安全可控的网络产品和服务。
第三章 人员管理
第十条 各单位应加强网络与信息安全人员(含正式在编人员、借调借用人员、临聘人员、第三方服务机构有关人员)管理工作,与相关人员签订网络与信息安全保密承诺书,与第三方服务机构签订网络与信息安全保密协议。
第十一条 关键信息基础设施的建设和管理单位要设置专门安全管理机构和安全管理负责人,并应对该负责人、关键岗位人员、业务部门重要数据和公民个人信息负责人、联系人和数据库维护单位有关人员(含企业在本单位、本部门长期驻场运维人员)应进行安全背景审查,定期组织网络安全教育、技术培训和技能考核。
第四章 资产设备
第十二条 应建立网络与信息化设备资产清单及台账,登记本单位本部门计算机、笔记本电脑、打印机、传真机、服务器、存储、网络、软件等设备的品牌、型号、序列号、采购时间、保修到期时间、规格配置情况、使用人(保管人)、维护单位、维护单位联系人等内容。
第十三条 按照单位有关资产管理规定,设备达到使用年限或出现问题不能修复的,使用单位或个人应及时进行维保或更换;设备资产进行调配、转移或清退的,应及时更新设备资产清单登记信息;应定期对设备资产进行保养和盘点,及时更新设备资产清单登记信息。
第十四条 常用办公网络与信息化设备运行与存放应注意防潮、防尘、防震、防雷,有条件的应配置不间断电源;数据中心机房应满足有关场地建设标准规范要求的数据中心机房等级与性能要求、机房位置选择及设备布置、环境条件、建筑与结构、空气调节、电气技术,电磁屏蔽、机房布线、机房监控与安全防范、给水排水、消防等技术要求。
第五章 网络安全
第十五条 日常办公区域网络应统一管理,划分专门安全域,缩减互联网入口及无线接入点;互联网访问应配置上网行为管理设备,严格访问过滤和应用控制,加强信息收发审计和用户行为分析;应对网络设备及线路的网络类型、IP地址或专线号等信息进行有明显标识;在不清楚网络架构和设备情况下,不得随意插换网络线路、不得直接关闭电源进行设备关机或重启。
第十六条 数据中心机房的基本网络安全包括应划分安全域,部署防火墙、入侵检测、入侵防御等,设置安全策略、主动防护、监测、记录网络运行状态;关键信息基础设施或重要信息系统留存相关的网络日志不少于六个月,并在数据业务平台侧部署防火墙进行防护;设置互联网区和专网区,两区域通过网闸、防火墙等隔离,重要业务平台与互联网进行互联时,需在互联网接口区与互联网之间、以及核心生产区与互联网接口区之间均要部署防火墙,实现双重异构安全防护。
第六章 业务系统
第十七条 业务部门应建立业务系统建设清单及台账,登记记录业务系统名称、建设时间、系统上线时间、维护期限、业务部门负责人、联系人、软件开发厂商及联系人、维护单位及维护联系人等信息内容。
第十八条 业务系统应按照网络安全等级保护要求,全面落实网络安全等级保护制度及等级保护制度“三同步”(同步规划、同步建设和同步使用)要求,积极开展系统定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等强制性、规定性工作。
第十九条 重要领域网络和信息系统(基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统),应在系统规划、建设和运行阶段,组织开展并通过商用密码应用安全性评估工作。
第二十条 业务系统有关的软件开发环境、数据库授权、操作系统等开发、运行环境应符合国家版权有关规定。
第七章 数据安全
第二十一条 对健康医疗数据进行目录梳理,采取数据分类、重要数据备份、加密等措施;建立可靠的数据容灾备份工作机制,定期进行备份和恢复检测,确保数据能够及时、完整、准确恢复,并进行数据的长期保存和历史数据的归档管理;应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,健康医疗数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核;委托有关机构存储、运营健康医疗数据,委托单位与受托单位共同承担数据的管理和安全责任,受托单位应当严格按照相关法律法规和委托协议做好健康医疗数据的存储、管理与运维工作。
第二十二条 应当按照《中华人民共和国网络安全法》要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用;任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗数据,不得使用非法手段获取数据;应当建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。
第八章 病毒防护
第二十三条 日常办公用计算机、业务系统运行环境等应部署防病毒软件和安全防护软件,设置防护策略、及时进行软件升级,并定期更新病毒库;要定期进行防病毒、防木马查杀,对发现的问题及时跟踪处置;及时发现和封堵存在安全隐患的端口,及时发现安全漏洞和安装漏洞补丁程序。
第二十四条 网络和信息化设备应定期更新安全固件、及时封堵安全漏洞;网络安全设备应定期更新病毒、木马防护特征库,设置安全策略,定期开展漏洞扫描,及时发现和解决存在的风险或问题。
第二十五条 不下载来路不明的软件及程序,不打开来历不明的电子邮件及附件;时刻警惕“网络钓鱼”,对网上银行、网上证券网站及其他电子商务网站等要进行甄别判断,防止假冒网站或含有欺诈信息的电子邮件;不要随意浏览黑客网站及相关类型网站;定期备份重要数据。
第二十六条 严禁制作、传播计算机病毒等破坏性程序;严禁对网站、网络或业务系统等进行恶意攻击。
第九章 信息通报
第二十七条 县卫生健康局建立和完善信息通报机制,通过电子政务网、微信群、电话、传真或机要通道等方式,及时发布和报送网络与信息安全有关工作部署、预警资讯、交流解答和网络与信息安全事件上报等信息内容。
第二十八条 县卫生健康局建立由局下属各单位、卫生院(卫生服务中心)、局机关内设机构网络安全联系人组成的“册亨县卫生健康信息化群”QQ群,非涉密非敏感有关网络安全监测预警信息、安全资讯通过该QQ群进行快速传发;涉及敏感信息的,应通过电话、传真或机要通道进行信息互通;涉及国家秘密的,通过机要通道或专人报送进行信息互通。
第二十九条 各单位可建立信息通报联系通讯群,及时传发和分享网络与信息安全有关预警信息和安全咨询等;网络与信息安全责任人和联系人有变动的,及时报送网络安全保障责任和联系人更新信息。
第十章 责任追究
第三十条 县卫生健康局和各级各类医疗卫生机构有关人员违反或未能正确履行网络与信息安全职责的,按照有关规定追究其相关责任。
第三十一条 对出现的网络与信息安全问题要落实追责问责。安全问题导致重要的网站或信息系统被攻击篡改,没有及时报告和组织处置的;发生重要敏感数据泄露的;关键信息基础设施安全保护不到位的;瞒报网络安全事件,对发现的问题和风险隐患不及时整改的;发生其他严重危害网络安全行为的,各主体责任单位应当逐级倒查,追究当事人、网络与信息安全负责人或主要负责人责任。协调监督不力的,还应当追究综合协调或监管部门负责人责任。
第三十二条 实施责任追究应该实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和分管网络安全的领导班子成员承担主要领导责任,领导班子其他成员承担其分管业务领域重要领导责任。其他部门工作人员应当根据工作职责承担相应的责任。
第十一章 附则
第三十三条 本制度由县卫生健康局负责解释。
第三十四条 本制度自发布之日起施行。
