您当前的位置:首页>>政务公开>>规划计划

关于进一步加强全民健康网络与信息安全工作的实施意见

文章来源:娄底市卫生和计划生育委员会 作者:规划信息科 发表日期:2019-02-19

 

 

 

全民健康网络与信息安全事关国家整体信息安全,也事关人民群众民生安全,全民健康网络与信息安全越来越重要。近年来,我市卫生计生信息化得到长足的发展,但全民健康网络与信息安全还存在着重视不够,与现实需求不相适应等突出问题。为深入贯彻国家和省、市网络与信息安全工作的安排部署,进一步建立健全我市卫生计生系统全民健康网络与信息安全体系,提高防护能力和水平,保障卫生计生事业健康有序发展,现就做好全民健康网络与信息安全工作提如下意见:

一、总体要求

(一)指导思想

以党的十九大精神和习近平同志关于网络安全的重要讲话精神为指导,坚持安全第一,预防为主,管理和技术并重,综合防范的总体方针,统筹谋划,突出重点,以信息安全等级保护和风险评估为抓手,以监督检查为手段,通过综合防治,全面提高全市卫生计生系统干部职工的网络与信息安全意识,建立与全民健康信息化发展相适应的、完备的网络与信息安全保障体系,为深化医改,建设健康娄底做好信息技术支撑。

(二)基本原则

属地管理、分级负责。落实属地建设和维护管理责任。县级卫生计生行政部门担负主管部门的责任,各级各类医疗卫生机构担负责任单位的职责,一级抓一级,层层抓落实。

统筹规划、同步建设。全民健康网络与信息安全工作要归口管理,统筹规划,做到全民健康网络安全与信息化工作同谋划、同部署、同推进、同实施。

政策合规、遵从标准。严格执行国家网络与信息安全法律法规、政策和标准规范,以及国家和省卫生计生委制订发布的各类卫生计生信息化管理制度。在管理、技术、人员岗位和操作实施等方面要符合要求。

管技并重、预防为主。既要加强全民健康网络与信息安全的技术防范,又要充分认清网络与信息安全的组织和管理的重要性,积极防范,做到安全技术和安全管理并重,安全预防与安全治理并重。

(三)总体目标

全面提高卫生计生行业网络与信息安全意识,提高各级卫生计生部门和医疗卫生单位整体安全防护水平,形成与全民健康信息化发展相适应的、完备的网络与信息安全保障制度体系,确保全市各类全民健康信息系统的安全、平稳运行,支撑卫生计生事业健康持续发展。

二、重点任务

(一)建立健全全民健康网络与信息安全组织领导体系。各地各单位要建立一把手负责的全民健康网络与信息化安全工作领导机构,主要负责同志是网络与信息安全的第一责任人。要根据本地实际设立或明确职能部门和专门管理人员,归口管理本单位全民健康网络与信息化安全工作。建立保障有力的技术支撑部门。建立健全内部管理协调机制,与各级政府网络与信息安全管理部门、公安部门建立跨部门协调和事件处理机制,充分发挥纵向衔接、横向协调的组织保障作用。

(二)进一步完善全民健康网络与信息安全管理制度。

各地各单位要结合实际建立健全本地、本单位全民健康网络与信息安全规划和保护策略,对已建立网络和信息安全的各项管理制度进行全面梳理和完善。一是严格落实网络与信息安全责任制。形成单位一把手负总责,主管领导负主责,一级抓一级,层层抓落实的信息安全责任追究制度。二是全面实施信息安全等级保护制度。按照国家《国家网络安全法》、《信息系统安全等级保护管理办法》、《国家卫生计生委关于进一步加强人口健康网络与信息安全工作的通知》(国卫办规划[2016]444号)和湖南省卫生计生委相关文件要求,主动开展定级备案、测评整改。三是建立安全风险评估制度。各单位在安装使用软硬件前,要对所使用产品进行安全风险评估,对可能出现的安全隐患进行认真分析,制定防范措施和应急处置预案。四是建立安全检查通报制度。市级每半年对所属单位进行一次网络与信息安全检查,县市区和医疗卫生机构要抓好网络与信息安全的经常性检查,每季度至少进行一次全面检查,特殊时期及时检查,堵塞安全漏洞,对检查中发现的问题要及时通报整改。五是实行全民健康网络与信息安全报告制度。各县市区、委直管各单位确定一名信息安全联络员,确保24小时信息联络畅通。凡有重要信息安全事故要及时上报上级主管部门。敏感时期(国家重要活动、重大会议等)要实行24小时值班,坚持每天零报告制度。六是信息系统报备制度。责任单位新建信息系统要及时向上级主管部门进行报备。安全等保三级以上(含三级)系统要报省卫生计生委信息统计中心备案;安全等保二级信息系统报市卫生计生委信息部门备案。

(三)提升全民健康网络与信息安全技术防护能力。

各地各单位应研究制定网络与信息安全技术防护方案,建立多层次网络与信息安全技术防护体系,按需配置网络与信息安全防护设备和软件,加快健康医疗大数据安全体系建设,制定标识赋码、科学分类、风险分级、安全审查规则,落实《卫生计生行业国产密码应用规划》,推进国产密码在安全体系中的应用,实现安全防护、监测预警、灾难恢复、安全认证等安全保障与网络信任功能,构建可信、可控、可查的网络与信息安全技术防护环境。

(四)提高全民健康网络与信息安全事件发现处置整改能力。各地各单位应制定并完善信息系统和信息安全事件应急预案,加强安全态势感知监测与预警,将安全监测、通报预警、电子认证、安全审查、应急演练、安全检查等落到实处。要加强安全隐患排查,一旦发现隐患或事件,要及时防范、果断处置,避免产生严重后果。凡有重要信息安全事故要及时上报上级主管部门。

(五)抓好全民健康网络与信息安全人才队伍建设。各地各单位要重视人才队伍建设,选拔具有网络和信息系统管理经验和专业技能的人员从事网络与信息安全管理工作,有条件的单位应建立网络与信息安全管理专职队伍和技术支撑专业队伍,落实岗位责任和考核机制。要结合工作实际积极开展面向全员的普及性网络与信息安全培训;加强管理和技术人员的专业培训,管理和技术人员培训每年不少于1次,逐步探索实行管理和技术人员持证上岗的机制。

三、工作要求

(一)加强组织领导。各地各单位要充分认识全民健康网络与信息安全工作的重要性和紧迫性,将此项工作列入本单位重要议事日程,与信息化工作统一谋划、统一部署、统一推进、统一实施,主要负责同志要亲自抓,明确主管负责人,落实责任部门,确保全民健康网络与信息安全工作取得实效。

各地、各单位要积极协调网信、公安等部门,把卫生计生核心数据、重要信息系统、重大信息化基础设施等纳入本地网络与信息安全的保障范围。

(二)理顺投入机制。各地各单位应建立稳定的网络与信息安全经费投入机制,要将信息安全等级保护建设整改、等级测试、信息安全服务、技术培训等费用纳入信息化预算。要进一步加大与发展改革、财政等部门的沟通力度,多方筹措资金,建立健全统计传输、计算、存储等全流程信息安全防护体系,完善数据使用全流程规范化管理,保证全民健康网络与信息安全建设的可持续发展。

(三)严抓监管考核。定期开展网络安全风险评估和隐患排查,通过自查、重点抽查、远程安全检测、现场检查等形式,分析行业主要风险和威胁,评估威胁应对能力,查找网络安全短板,掌握本地、本单位重要信息系统安全主体责任的落实情况。建立考核与奖惩机制,各主管部门和责任单位要承担全民健康网络与信息安全的监管责任,对责任分工不明,超授权范围信息利用、不执行安全存储规定、未遵守安全审查制度和应急处置不及时等行为,市卫生计生委依据规定及时通报问责;对发生重大信息泄露事件或极端事件,情节严重、违反法律法规,除承担法律后果外,将依法依规严肃追责问责。对全民健康网络与信息安全工作成果突出的单位和个人也要适时总结,通报表扬。