中商情報網訊：醫療保障信息化是醫療保障事業高質量發展的基礎，是醫保治理體系和治理能力現代化的重要支撐。為全面落實習近平總書記關于網絡強國戰略、大數據戰略、數字經濟的重要指示批示精神，以及黨中央關于網絡安全工作的總體部署，扎實推進醫療保障信息平臺建設及運營維護，防范化解醫療保障系統數據安全風險，促進數據合理安全開發利用，現就加強醫療保障網絡安全和數據保護工作，提出以下指導意見。

一、總體要求

（一）指導思想

堅持以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神，堅持總體國家安全觀，深入實施網絡強國和大數據戰略，以醫保系統網絡安全為基礎，以智慧醫保和安全醫保建設為目標，以醫保信息安全技術為支撐，以制度建設和人才隊伍建設為保障，筑牢安全防線，促進數據安全應用，更好助力醫保治理體系和治理能力現代化，推動醫保事業高質量發展。

（二）基本原則

堅持安全為本，促進發展。統籌網絡安全保障和數據安全保護，夯實醫療保障信息化發展的安全底線，穩步推動醫保大數據建設，為智慧醫保建設、合法合規數據信息共享、多層次醫療保障體系建設提供有力支撐。

堅持健全制度，強化技術。制定實施網絡安全管理和數據安全保護的系列制度，建立有效工作機制，廣泛運用先進的網絡安全和數據安全保護技術，建立健全數據安全治理體系，提高數據安全保障能力。

堅持強化基礎，提升能力。把網絡基礎設施建設放在重要位置，加快提升醫療保障系統網絡安全管理能力、數據安全保護能力、數據共享服務能力，加強人才隊伍建設，筑牢安全發展基礎。

堅持明晰責任，閉環管理。堅持“誰主管、誰負責，誰使用、誰負責”原則，落實網絡安全責任制，落實數據主管單位、數據使用單位責任，建立健全安全審查審批和權限管理機制，實現數據全流程全生命周期管理。

（三）主要目標

到2022年，基本建成基礎強、技術優、制度全、責任明、管理嚴的醫療保障網絡安全和數據安全保護工作體制機制。到“十四五”期末，醫療保障系統網絡安全和數據安全保護制度體系更加健全，智慧醫保和安全醫保建設達到新水平。

——網絡安全水平顯著提升。主體責任明晰，監督管理機制完善，基礎設施完備，網絡安全技術能力、態勢感知、預警能力、突發網絡安全事件應急響應能力顯著提升，網絡安全有效保障。

——數據安全管理有效實施。數據安全審批制度全面建立，分級分類管理及重要數據保護目錄全面落實，數據實現全生命周期安全管理，數據安全評估機制日益完善。

——數據共享使用安全有序。數據共享使用流程明晰、機制健全，醫療保障數字化、智能化水平顯著提升。

二、加強網絡安全管理

（一）落實網絡安全主體責任

建立健全網絡安全責任制。各級醫保部門是本級網絡安全的責任主體，各級醫保部門主要負責人是第一責任人。各級醫保部門要組建網絡安全和信息化領導小組，落實網絡安全主體責任，明確信息技術保障和意識形態工作責任邊界，強化行政部門網絡安全管理責任和擔當，健全考核機制，嚴格責任追究，確保網絡安全責任全覆蓋。

（二）完善網絡安全監督管理機制

各級醫保部門要強化日常工作中網絡安全“紅線”意識和底線思維，建立多環節、多層次、全方位的網絡安全監督管理機制。定期對信息系統運行的相關軟硬件開展安全防護檢查。對涉及關鍵網絡崗位和重要數據崗位的從業人員實施嚴格的背景審查。全面梳理網絡、系統和關鍵設備的網絡安全責任部門和責任人。

（三）加強關鍵信息基礎設施安全保護

全面推進網絡安全等級保護工作。根據行業規范合理定級備案，在系統規劃、設計階段同步確定安全保護等級，按照國家和行業標準進行等級測評。切實落實關鍵信息基礎設施重點保護要求，加強關鍵信息基礎設施網絡安全監測預警體系建設，提升關鍵信息基礎設施應急響應和恢復能力。按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則，進一步完善網絡結構安全、本體安全和基礎設施安全，逐步推廣安全免疫。加強內外網安全隔離，嚴禁醫保專網接入互聯網。

（四）強化網絡安全技術防護能力

建立并完善入侵檢測與防御、防病毒、防拒絕服務攻擊、防信息泄露、異常流量監測、網頁防篡改、域名安全、漏洞掃描、集中賬號管理、數據加密、安全審計等網絡安全防護技術手段。積極研究利用云計算、大數據等技術提高網絡安全監測預警能力。加強網站安全防護和日常辦公、維護終端的安全管理。完善域名系統安全防護措施，做好網絡和業務系統上線前的風險評估。

（五）提高網絡安全態勢感知、預警和協同能力

加強網絡安全和數據保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施，推進全國醫療保障信息系統網絡安全和數據保護態勢感知、預警能力建設。加強網絡安全和數據保護信息的匯集、研判，建立健全網絡安全和數據保護信息共享和通報機制，健全完善上下協同的通報預警機制。

（六）提升突發網絡安全事件應急響應能力

嚴格落實突發網絡安全事件報告制度。制定和完善本單位網絡安全應急預案。健全大規模拒絕服務攻擊、高級可持續性威脅攻擊、大規模公民個人信息泄露等突發網絡安全事件的應急協同配合機制，加強應急預案演練，定期評估和修訂應急預案，提高科學性、實用性、可操作性。建立重大活動期間網絡安全保障機制，強化對網絡安全突發事件的統一指揮和協調，確保全國醫療保障信息系統的運行安全、數據安全和網絡安全，最大程度地預防和減少網絡安全事件造成的損害。

三、加強數據安全保護

（一）實施數據全生命周期安全管理

依法依規對數據的產生、傳輸、存儲、使用、共享、銷毀等實行全生命周期安全管理，提高數據安全防護能力和個人隱私保護力度。強化個人隱私保護，采用適當的安全控制措施，確保數據的產生、采集和匯集過程合規、安全。個人信息的采集，堅持法定授權原則，法定授權外個人信息采集事項須先獲得自然人或者其監護人同意。處理個人信息應當遵循合法、正當、必要原則，不得過度使用。采用適當的系統架構、技術手段對數據傳輸和數據存儲進行安全加固，確保數據安全和高效可用。建立數據清除和銷毀機制，防止因存儲介質上數據內容的惡意恢復而導致的數據泄露風險。加強數據遷移銷毀流程安全管理，全力確保平臺遷移中的數據安全。

（二）實施分級分類管理

根據本單位本系統數據安全保護的實際需要，結合醫療保障數據特點，制定統一的分級分類管理制度，按照數據分級分類保護標準、規則，對數據劃分安全等級，實行分級分類管理。地方醫保部門要落實分級分類規則標準，參照《國家醫療保障局數據安全管理辦法》制定本地的數據安全管理辦法。

（三）加強重要數據和敏感字段保護

制定重要數據保護目錄，對列入目錄的數據進行重點保護，涉及國家秘密、工作秘密的數據應嚴格保密，不予共享及公開。建立敏感數據字段庫，包含但不限于個人隱私數據、參保單位隱私數據、協議機構隱私數據、藥品診療目錄項目隱私數據等。

（四）強化數據安全審批管理

嚴格執行數據處理和使用審批流程，按照“知所必須，最小授權”的原則劃分數據訪問權限，實施脫敏、日志記錄等控制措施，防范數據丟失、泄露、未授權訪問等安全風險。

加強對數據共享環節的安全管控，防止不經審批、不受控制的數據共享行為。

（五）落實數據安全權限

明確各級權限，分離信息系統運維權限和經辦業務角色，對不同角色設置不同權限。根據經辦業務人員職責區分設置業務操作和數據查詢范圍。按照網絡安全等級保護2.0制度要求，結合實際設置安全保密管理員、安全審計員和系統管理員等崗位。加強信息系統運維人員和經辦業務人員權限管理，落實崗位安全職責。

（六）推動數據安全共享和使用

在保障數據安全的前提下，穩妥推動數據資源開發利用，發揮數據生產要素作用，保障數據依法依規有序共享。建立先試點、后推廣機制，強化醫療保障大數據運用，更好地服務醫保政策制定和醫保精細化管理，推動多層次醫療保障體系建設。對于敏感數據需要落地到外部的業務場景，應做好脫敏處理，制定統一數據出口和統一銷毀要求，建立嚴格的審批流程和數據交付流程。

（七）建立健全數據安全風險評估機制

定期評估安全系統軟硬件運行狀況、制度執行情況、數據復制情況、告警或故障設備的數據保護狀況、權限的審批收回情況、密碼強度、外包服務中的數據保護管理情況、研發測試環境數據保護情況，對發現的問題及時整改。

四、保障措施

（一）加強組織領導

各級醫保部門要充分認識加強網絡安全和數據保護工作的重要性，加強組織領導，做好部門協調，層層落實責任，確保相關部署落到實處。要建立相應工作機制，夯實工作力量，科學合理制定工作推進時間安排，周密組織實施網絡安全管理和數據保護工作，切實提高醫療保障網絡安全和數據保護工作水平。

（二）加強人才隊伍建設

加大網絡安全和數據保護人才培養投入，加強從業人員技能培訓，形成培養、選拔、吸引和使用網絡安全和數據保護人才的良性機制。建立各級醫保部門網絡和數據安全專家庫。

（三）加強資金投入

各級醫保部門應加強統籌規劃，做好網絡安全和數據保護體系頂層設計，制定工作計劃。按照總體進度安排和工作目標，將網絡安全和數據保護建設、運行維護經費納入信息化建設項目投入，加強資金保障和使用監管，確保網絡安全和數據保護工作的資金投入。

（四）加強法律法規宣傳

積極宣傳網絡安全法律法規，定期組織網絡安全和數據保護培訓交流，對產品和服務供應商加強網絡安全和數據保護教育，提升全員網絡安全和數據保護意識，為網絡安全和數據保護治理營造良好氛圍。

（五）加強督導檢查

要將網絡安全與數據保護工作推進情況納入本單位工作考核范疇，建立督查情況通報制度，對工作不力的要及時督查整改，確保網絡安全和數據保護工作萬無一失。對工作中出現問題造成不良后果的單位及人員要通報批評，造成嚴重后果的要依紀依法問責處理。