各县（市、区）医疗保障局、局机关各处室、市医保中心： 

　　现将《丽水市医疗保障局网络与信息安全管理制度暂行办法》印发给你们，请遵照执行。 

　　                           丽水市医疗保障局       

　　                               2020年9月27日 

　　丽水市医疗保障局网络与信息安全管理制度  暂行办法 

　　第一章  总  则 

　　第一条 为贯彻落实国家、省医疗保障局有关网络与信息安全管理要求，为加强我市医疗保障系统网络与信息安全建设，确保网络安全运行，数据安全可靠，应用系统稳定可用，根据《中华人民共和国网络安全法》 、《浙江省医疗保障局网络与信息安全管理暂行办法》（浙医保发〔2020〕11号）等文件要求，结合我市实际情况，制定本办法。 

　　第二条 本办法对各部门网络与安全工作起指导、规范作用，适用于全局机关各处室、市医保中心，各县（市、去）医疗保障部门参照执行。 

　　第三条 丽水医疗保障局网络与信息安全工作的保护对象是指由计算机终端或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础通用信息设备、医保基础信息网络、云平台系统、大数据平台、医保业务应用系统等。 

　　第四条 本办法所指数据是指丽水市医疗保障局及各县 （市、区）局通过医疗保障业务系统收集、存储、传输、处理和产生的各种电子数据，主要包含定点医药机构、参保企业和参保人员医保信息数据，医保结算、业务经办类数据，网络、平台以及上层应用的运行与维护数据。 

　　第二章 基本原则 

　　第五条 网络与信息安全管理应遵循“积极利用、科学发展、依法管理、确保安全”的方针，严格按照以下原则管理，确保数据可管可控。 

　　    （一）在收集、使用定点医药机构、参保企业和参保人员数据时遵循“合法、 正当、必要”原则。数据应当被严格保密，不得泄露、篡改或者损毁，不得违规查询、出售或者非法向他人提供。 

　　    （二）网络与信息安全管理遵循“谁主管谁负责、谁使用谁负责” 原则，实行统一领导、分级管理，明确数据安全责任分工，层层落实数据安全责任。 

　　    （三）医保系统及相关平台建设遵循安全“三同步”原则，数据系统安全防护措施应做到同步规划、同步建设、同步运行。并在工程项 目交付、验收环节进行安全审批。 

　　    （四）数据交换、共享遵循“数据不出门、出门必授权”原则。未经授权，医保业务敏感数据不可离开局内网络与计算环境；因工作需要，需向外部门、外单位提供的，必须通过市局网络安全与信息化领导小组办公室组织的安全评估，并签订对外提供信息保密协议。 

　　第三章  网络与信息安全组织保障 

　　第六条 网络与信息安全工作由市局网络安全与信息化领导小组总体指导。各县（市、区）局参照本办法成立对应网络与信息安全管理机构负责属地医保系统数据安全工作。网络与信息安全相关部门包括统筹管理部门、归口管理部门、数据使用部门。 

　　第七条 市局网络安全与信息化领导小组办公室，作为统筹管理部门，具体职责包括: 

　　    （一）总体牵头全局网络与信息安全管理工作，贯彻落实国家和地方网络与信息安全相关法律法规及政策，配合省医疗保障部门和同级网信、公安等部门开展相关工作。做好我市医疗保障网络与信息安全工作的综合协调和指导监管。 

　　    （二）监督检查各部门网络安全和信息安全责任履行情况及数据安全规章制度的完善落实情况。 

　　    （三）负责组织研究网络数据安全防护技术手段的规划建设，指导归口管理部门开展网络数据资产的梳理及分类分级。 

　　    （四）统筹安排与市大数据发展管理局、市人力资源和社会保障局等相关部门的数据安全对接工作。 

　　第八条 市局信息部门作为市级医保系统网络和信息的归口管理部门，负责数据安全建设，并承接数据安全能力建设需求。主要职责包括： 

　　    （一）落实网络与信息安全的技术管理与维护保障工作，建立完善的安全相关制度，明确本部门数据安全管理人员的岗位职责。 

　　    （二）负责医保数据系统及相关业务的安全管理、防护手段落实，数据安全风险评估和整改，定期开展数据安全审计及合规性检查，做好数据全生命周期的安全管控。 

　　    （三）配合网络和信息安全统筹部门对相关数据安全工作进行监督、检查、考核以及评估。 

　　    （四）承接全局各项数据安全治理工作，指导、处置数据安全事件。系统建设遵循安全“三同步”原则，数据系统安全防护措施应做到同步规划、同步建设、同步运行。并在工程项目交付、验收环节进行安全审批。 

　　第九条 局内各处室、市医保中心及县（市、区）医保局等市级医保系统数据的使用单位/部门，负责组织落实市局网络和信息安全管理要求，严格遵守法律法规及监管要求，严格规范医保业务数据的收集、存储、使用、传输和销毁等行为。主要职责包括： 

　　（一）加强网络与信息安全责任落实，明确本单位的网络与信息安全管理机构，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。 

　　（二）承担医保网络安全保护对象网络安全运行责任，负责运行阶段网络安全等级保护测评，建立完善运行安全的相关制度，网络安全威胁监测、预警和事件处置，同步贯彻落实网络安全政策、管理和技术要求，根据使用单位需求落实医保网络安全保护对象变更、暂停服务、废止。 

　　    （三）负责落实安全“三同步”要求。 

　　    （四）承担医保网络安全保护对象使用责任，负责提出医保网络安全保护对象的上线、变更、暂停服务、废止需求，应当遵守网络安全有关规定，确保医保网络安全保护对象在使用过程中的安全。 

　　    （五）按年进行工作汇报，及时提出需要管理统筹部门协调解决的重大问题。 

　　  第四章 网络安全管理 

　　第十条 涉及医保业务数据的网络、信息资源、业务平台等系统应根据数据安全的分类分级情况，对账号按最小权限原则进行分权分域分级配置，对账号进行实名制管理；对敏感信息进行加密、脱敏处理，对批量数据下载有审批和日志记录, 对敏感数据操作有日志留存；配置数据备份和恢复工具、漏洞 扫描、审计、IPS、WAF、防病毒等安全组件以及数据防泄漏技 术手段，防止数据泄露、滥用、丢失、被篡改、被破坏。 

　　第十一条 加强网络安全日常管理工作，监测机房、网络、主机、数据库、应用系统等运行状态，定期开展安全策略、账户管理、配置管理、日志管理等审计工作。 

　　第十二条 对各类终端接入业务专网实行安全准入管理。业务专网内计算机需安装互联网监控和安全接入软件，未经授权的计算机及附属设备不得接入业务专网。 

　　第十三条 严禁在接入业务专网的计算机上连接未经授权的各类WIFI、手机，以免造成内外网直通，留下安全隐患。移动设备接入本单位网络的，需经过注册、认证。 

　　第五章  用户安全管理 

　　第十四条 加强应用系统账号的日常动态管理，本单位工作人员录用、转岗、离岗或调离后，要及时调整相关应用系统的账号和操作权限。 

　　第十五条 工作人员要妥善保管各自应用系统的用户账号和密码，设置复杂密码，并定期进行更换。 

　　第十六条 工作人员原则上不得私自安装与工作无关的软件，如确需安装，须向本单位信息化管理部门申请备案。 

　　第十七条 工作人员要自觉接受身份认证和IP绑定技术对个人上网行为的安全监督检查，不得擅自更改业务专网计算机的系统设置。 

　　第十八条 加强单位工作人员的网络与信息安全教育培训。工作人员要自觉学习国家有关网络安全法律法规，严禁在业务专网或互联网上发布涉密信息，不得在业务专网计算机上存储、处理、传输涉密信息，严禁在业务专网计算机上使用存有涉密信息的优盘、移动硬盘、光盘等移动存储介质。 

　　第十九条 工作人员严禁利用业务专网计算机攻击破坏网络、数据库和应用系统，严禁非法获取各类数据，严禁浏览各类反动、淫秽等国家明文禁止的内容。 

　　第六章 数据安全管理 

　　第二十条  为强化数据安全管理，对医保数据实施分级管理。对采集和使用的数据进行分级标识，对不同级别的数据实施相应的安全管理策略和保护措施。 

　　根据数据的敏感程度以及泄露后对我局、医药机构、企业和公民个人造成的影响和危害程度，将医保业务数据分为三级：低敏感级、敏感级、高敏感级。 

　　（一）低敏感级。是指数据公开不会对医药机构、企业的 商业秘密和公民个人隐私、全局日常工作和政府利益造成损害。 是可以公开的数据。 

　　（二）敏感级。是指发生数据泄露、破坏、失效等情况后 会对医药机构、企业的商业秘密和公民个人隐私、我局日常工 作和政府利益造成一定损害的数据。在特定条件下可以向特定 人员开放。 

　　    （三）高敏感级。敏感程度较高，是指发生数据泄露、破坏、失效等情况后会对医药机构、企业的商业秘密和公民个人隐私、我局日常工作和政府利益造成严重损害的数据是我局要重点保护的数据，禁止对外输出。 

　　第二十一条  数据安全的日常监测巡查。数据操作日志记录，对涉及敏感数据的系统进行全面的日志记录，包括账号与授权管理、系统访问、业务操作、参保人信息操作等行为，并确保日志信息的完整、准确。所有日志留存至少6个月，批量操作日志至少留存1年。 

　　第二十二条 数据安全日常监测巡查。市局信息部门定期开展日常数据安全审计。审计内容包含账号权限审计、异常操作审计等，及时发现并处理非授权访问、批量复制或转移数据等违规行为，并形成数据安全审计报告。 

　　第二十三条 数据安全监督检查。市局网络安全与信息化领导小组办公室组织对全局各单位数据安全管理和落实情况的监督检查、通报，落实不到位的纳入绩效考核。对造成重大安全事故的，按照丽水市医疗保障局相关制度进行追责。 

　　第二十四条 加强数据从采集到传输、储存、处理、使用、共享、销毁等全生命周期的合规性和安全性管理，确保数据的可用性、完整性和保密性，确保数据免遭未授权或越权访问、修改、泄露或丢失等风险。 

　　一、数据的传输。利用加密、签名、鉴别和认证机 制对数据传输进行安全管理，防止数据丢失、泄露、篡改。 

　　二、数据的存储。通过基于数据量增长、数据存储安全需求和合规性要求制定适当的存储架构，以实现对存储数据的有效保护。 

　　三、数据的处理和使用。通过建立数据处理和使用安全保护机制，防止处理和使用过程中数据丢失、泄露、未授 权访问等安全风险。 

　　四、数据的共享。加强对数据共享（含交换、导出、开放）环节的安全管控，防止不经审批、不受控制的数据共享行为导致泄露个人信息、重要数据等敏感信息。 

　　五、数据的销毁。建立数据清除安全销毁机制，加强数据迁移销毁流程安全管理，防止因存储介质上的数据内容 的恶意恢复而导致的数据泄露风险。 

　　第二十五条 数据安全风险评估。数据安全风险评估是对数据资产面临的威胁、存在的脆弱性，以及威胁利用脆弱性导致数据安全事件的可能性、造成的影响进行评估。评估工具包括漏洞扫描、IPS、渗透测试、安全管理评价等。数据安全风险评估原则上每年至少开展一次。 

　　第七章 网络与信息安全应急响应及投诉处理 

　　第二十六条 市局信息部门建立数据泄露等突发事件的应急响应机制，制定应急预案，定期组织演练，做好紧急情况下重要数据的保护。 

　　第二十七条 对于已发生的网络和信息安全事件，应第一时间封堵漏洞，防止数据扩散。并按照流程及时上报，涉嫌犯罪行为的，要向当地公安机关报告，事后做好分析、 整改、相关环节的完善。 

　　第二十八条 市局办公室负责网络和信息安全类相关投诉管理， 完善用户投诉举报处理机制，公布咨询与投诉渠道，受理相关投诉。 

　　第二十九条 市医保中心具体负责对接各医药机构、企业和参保人员个人数据安全投诉受理工作。 

　　第八章 合作方管理 

　　第三十条 合作方包含医保业务合作、系统开发集成、系统维护、技术支撑、外包服务等合作形式。各单位应加强对合作方监督管理，定期开展合作方数据安全保护能力评估。 

　　第三十一条 各单位应通过采取合同约束、信用管理等手段, 督促合作方履行数据安全保护责任。做好合作方医保业务保密协议、网络信息安全承诺书的签订，明确双方数据安全等责任。明确合作方数据使用权限、期限、保护 责任、必要的安全措施及违约责任和处罚条款。 

　　第三十二条 驻场服务合作方要制定现场数据操作安全管理制度，明确项目建设、维护过程中数据使用的操作方式、采集范围和使用目的，项目经理负责建立分级授权管理制度，并指派专人进行监督。 

　　第九章 网络和信息安全教育培训 

　　第三十三条 各地医保部门、市医保中心根据实际情况每年至少开展 1次网络和信息安全保护专题培训，培训内容应包括但不限于数据安全管理相关法律法规、标准制度、安全责任以及安全评估、技术防护、应急演练等内容。 

　　第三十四条 各单位应强化网络和信息安全风险防控意识，积极推动对单位内人员和第三方的数据安全风险意识教育、培训，与接触医保系统和数据的人员签订网络信息安全承诺书。 

　　第十章  附  则 

　　第三十五条 涉及国家秘密的医保网络安全保护对象的运行与管理，除应当遵守本办法，还应当遵守国家保密有关规定。 

　　第三十六条 本通知所涉及的保密协议、承诺书等另行发文规定。 

　　第三十七条 本办法自发布之日起生效执行。

相关附件下载:丽医保发〔2020〕86号.cebx