第六条 各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责,对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。
(一)对新建网络,应在规划和申报阶段确定网络安全保护等级。各医疗卫生机构应全面梳理本单位各类网络,特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,依据相关标准科学确定网络的安全保护等级,并报上级主管部门审核同意。
(二)新建网络投入使用应依法依规开展等级保护备案工作。第二级以上网络应在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门,因网络撤销或变更安全保护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生健康行政部门。
(三)全面梳理分析网络安全保护需求,按照“一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全保护等级要求的整体规划和建设方案,加强信息系统自行开发或外包开发过程中的安全管理,认真开展网络安全建设,全面落实安全保护措施。
(四)各医疗卫生机构对已定级备案网络的安全性进行检测评估,第三级或第四级的网络应委托等级保护测评机构,每年至少一次开展网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。
(五)针对等级测评中发现的问题隐患,各医疗卫生机构要结合外在的威胁风险,按照法律法规、政策和标准要求,制定网络安全整改方案,有针对性地开展整改,及时消除风险隐患,补强管理和技术短板,提升安全防护能力。
第七条 各医疗卫生机构应依托国家网络安全信息通报机制,加强本单位网络安全通报预警力量建设。鼓励三级医院探索态势感知平台建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置,防止网络被破坏、数据外泄等事件。
第八条 各医疗卫生机构应建立应急处置机制,通过建立完善应急预案、组织应急演练等方式,有效处理网络中断、网络攻击、数据泄露等安全事件,提高应对网络安全事件能力。积极参加网络安全攻防演练,提升保护和对抗能力。
第九条 各医疗卫生机构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患。针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固,防止网络带病运行,并按要求将安全自查整改情况报上级卫生健康行政部门。自查整改可与等级测评问题整改一并实施。
每年安全自查整改工作包括:
(一)依据上级主管监管机构要求,各医疗卫生机构完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查。
(二)依据上级主管监管机构要求,各医疗卫生机构依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。
第十条 关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背景审查。各医疗卫生机构要加强网络运营相关人员管理,包括本单位内部人员及第三方人员,明确内部人员入职、培训、考核、离岗全流程安全管理,针对第三方应明确人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作,防止因人员资质及违规操作引发的安全风险。