辽宁省卫生健康委办公室关于建立全省卫生健康行业网络信息与数据安全责任制的通知

辽宁省卫生健康委办公室关于建立全省卫生健康行业网络信息与数据安全责任制的通知
文章属性
•【制定机关】辽宁省卫生健康委员会
•【公布日期】2019.04.08
•【字号】
•【施行日期】2019.04.08
•【效力等级】地方规范性文件
•【时效性】现行有效
•【主题分类】医疗管理
正文
辽宁省卫生健康委办公室
关于建立全省卫生健康行业网络信息与数据安全责任制的通
知
各市卫生健康委，省属高等医学院校各附属医院、委直属各单位、相关企业，委机关各处室：
为进一步明确全省卫生健康行业网络信息与数据安全责任,防范卫生健康网络信息与数据安全事件发生,规范和促进全省健康医疗大数据、“互联网+医疗健康”和人工智能等新技术应用发展,依据《中华人民共和国网络安全法》等法律法规和国务院办公厅《关于规范和促进健康医疗大数据应用发展的指导意见》、《关于促进“互联网十医疗健康”发展的意见》等文件精神,按照国家卫生健康委办公厅、国家中医药管理局办公室《关于落实卫生健康行业网络信息与数据安全责任的通知》（国卫办规划发[2019]8号，以下简称《通知》）的要求，结合我省医疗健康信息化发展实际，现就建立全省卫生健康行业网络信息与数据安全责任制有关工作要求通知如下：
一、逐级明确职责分工
（一）卫生健康行政部门的职责
县级以上卫生健康行政部门负指导监管责任,包括:建立和落实责任制;开展网络信息与数据安全监督检查;健全监测预警、信息共享和通报制度;组织领导本行政区域内卫生健康行业网络信息与数据安全保护和重大事件应急处置;基于云计算、大数据、物联网、移动互联网、人工智能等新技术与卫生健康融合发展特性,创新安全管理机制和技术手段,推广应用安全可控的网络产品和服务。

按照谁主管谁负责、属地管理的原则,明确省、市、县三级卫生健康行政部门的职责如下：
1.省卫生健康委的职责
省卫生健康委网络安全和信息化工作领导小组领导委机关各处室、委直属单位、省属医科大学附属医院网络信息与数据安全工作，指导市级卫生健康行政部门履行属地管理责任。

领导小组办公室设在省卫生健康委规划发展与信息化处，负责落实领导小组决策部署，对全省卫生健康网络信息与数据安全负有指导监管责任。

组织行业落实网络信息与数据安全相关规章制度和标准规范，开展行业监测预警、巡查抽查和网络安全事件处置，做好人才培养培训和宣传等工作。

省卫生健康委机关各处室负责主管业务领域的信息系统安全管理。

做好相关业务网络信息与数据安全事件的处置，推进相关保障体系建设，指导和监督业务支撑单位、相关信息系统建设与运维单位的安全建设和管理。

2.市、县两级卫生行政部门的职责
市、县两级卫生健康行政部门落实本行政区域内卫生健康行业的网络信息与数据安全指导监管责任,会同相关部门依照有关法律法规等要求,建立和落实责任制,做好本行政区域内卫生健康行业网络信息与数据安全保护和监督管理工作。

（二）各级各类医疗卫生机构的职责
各级各类医疗卫生机构依照法律法规的规定和相关标准,履行网络信息与数据安全保护义务,采取管理和技术措施,对职责范围内的网络信息与数据安全承担主体责任。

主要包括：
1.明确本单位负责网络信息与数据安全工作的职能部门,负责建立本单位的网络信息与数据安全管理制度和操作规程,明确业务信息系统、互联网服务、应用平台建设和运维管理等过程中的网络信息与数据安全责任。

开展“互联网+”医疗服务的医疗卫生机构,应当保障互联网医疗服务的网络信息与数据安全。

2.按照网络安全法、网络安全等级保护、国家卫生健康委相关要求开展网络信息与数据安全体系建设,开展信息系统定级备案,定期开展等级测评和风险评估,选取符合资质要求的技术支撑机构、服务团队和健康医疗服务企业,保障日常业务安全稳定运行。

3.履行业务和信息系统的安全保障义务,开展信息系统安全运维,定期开展安全检查,对存在的漏洞、隐患等及时进行整改,杜绝网络信息与数据安全事件的发生。

4.建立本单位网络信息与数据安全应急体系,制定应急预案、组建应急队伍、开展应急演练。

发生网络信息与数据安全事件时,依照预案进行事件处置并将相关情况报送卫生健康行政部门,同时报送网络安全主管部门。

5.关键信息基础设施运营单位应当建立24小时值班制度，其他单位应当根据要求建立24小时值班制度。

6.接受上级业务主管、网络安全监管部门的网络信息与数据安全审查和监管,及时向卫生健康行政部门和相关监管部门报告网络信息与数据安全等情况。

7.履行相关法律法规规定的其他责任,组织本单位工作人员开展网络信息与数据安全教育与培训,落实上级相关管理部门的工作部署,保障必要的经费投入。

省卫生健康委相关直属单位和省属高等医学院校相关附属医院对职责范围内的
网络信息与数据安全承担主体责任，支撑、配合省卫生健康委相关处室做好业务信息系统网络安全工作。

省卫生健康委直属医疗机构和省属高等医学院校附属医院在网络信息与数据安全方面接受属地卫生健康行政部门的监管。

二、建立健全网络信息与数据安全工作领导责任制
各级卫生健康行政部门党委(党组)主要负责人是本行政区域内卫生健康行业网络信息与数据安全第一责任人,分管网络安全的负责人是直接责任人。

各级各类医疗卫生机构及相关单位主要负责人是本单位网络信息与数据安全第一责任人,分管网络安全的负责人是直接责任人。

要建立“主要负责人负总责,分管负责人牵头抓”的领导责任制。

(一)主要负责人是网络信息与数据安全的第一责任人。

具体职责包括:认真贯彻执行相关法律法规、中央有关决策和领导小组关于网络信息与数据安全的具体部署;定期召开网络信息与数据安全工作会议,研究解决网络信息与数据安全重要事项;强化网络信息与数据安全意识,督促所属部门和业务支撑单位落实网络信息与数据安全责任制。

(二)分管网络安全的负责人是网络信息与数据安全的直接责任人。

具体职责包括:组织制定贯彻落实相关法律法规、中央关于网络信息与数据安全决策部署等的具体措施;组织实施网络安全检查、巡查、考核等工作,协调解决工作中的重点难点问题。

三、建立网络信息与数据安全相关单位和人员责任制
按照谁主管谁负责、谁运维谁负责、谁使用谁负责的原则,落实网络信息与数据安全责任制,明确各方责任。

（一）落实网络信息与数据运营单位的主体责任：按照有关法律法规等要求和相关安全标准,建立网络信息与数据安全管理责任和考核评价制度,开展安全风险评
估,部署有效安全防护手段,制定应急预案,及时处置安全事件,组织安全教育、培训,保障网络信息与数据安全。

（二）落实网络信息与数据运维单位的责任：负责信息系统日常运行维护、技术维护和安全技术保障的单位要按照网络信息与数据安全管理要求开展日常运维;配合开展网络安全等级保护定级、测评等工作,保护网络信息与数据系统安全与业务连续性;配合做好网络安全事件的应急报告、处置和整改工作;承担法律法规要求的其他相关责任。

网络信息与数据运维工作人员（含网络信息与数据运维单位派驻人员）：要严格执行网络信息与数据运维单位的各项规章制度，接受网络信息系统所有权单位的监督，因违反操作规程或不履行工作职责造成网络安全问题的，按有关规定追究责任。

（三）落实网络信息与数据使用方的责任：网络信息与数据的所有使用单位或个人要按照法律法规要求,依法用网,按要求操作和使用；合法合规收集、使用和转移健康医疗数据,履行网络信息与数据安全保护义务,要制定有效的安全管理措施,确保数据可管、可控、可追溯,确保数据的保密性、完整性和可用性,切实保护个人数据隐私;对发布、转载和链接的数据与信息的准确性和合规性负责,禁止故意制作、传播计算机病毒等破坏性程序;防止因操作引起的破坏、盗用信息资源和危害网络安全的活动,避免使用不当造成数据损毁、丢失和泄露;设置合规口令,杜绝弱口令,严禁私自转借用户账号;接受政府和社会的监督,承担法律法规要求的其他相关责任。

省卫生健康委机关各业务处室属网络信息与数据使用方，处室负责人为第一责任人，负责日常登陆、管理、统计等人员为具体责任人。

各处室应严格落实网络信息与数据使用方责任，并进一步夯实到具体责任人，按要求建立日常监管制度和责任倒查机制。

对因不履行网络信息与数据使用方责任造成网络安全问题的，按有关
规定追究责任。

四、严格执行网络与信息安全责任追究制
各级卫生健康行政部门和各级各类医疗卫生机构有关人员违反或未能正确履行网络信息与数据安全职责,按照有关规定追究其相关责任。

(一)严肃问责。

对出现的网络安全问题要落实追责问责。

存在下列情形之一的,各主体责任单位应当逐级倒查,追究当事人网络信息与数据安全负责人直至主要负责人责任。

协调监管不力的,还应当追究综合协调或监管部门负责人责任。

1.重要的网站和信息系统被攻击篡改,没有及时报告和组织处置的；
2.发生重要敏感数据泄露的;
3.关键信息基础设施安全保护不到位的;
4.瞒报网络安全事件,对发现的问题和风险隐患不及时整改的;
5.发生其他严重危害网络安全行为的。

(二)责任区分。

实施责任追究应当实事求是,分清集体责任和个人责任。

追究集体责任时,领导班子主要负责人和分管网络安全的领导班子成员承担主要领导责任,领导班子其他成员承担其分管业务领域重要领导责任。

其他部门工作人员应当根据工作职责承担相应的责任。

五、有关要求
1.各地、各单位要牢固树立安全意识，严守网络信息与数据安全底线，要积极落实本通知要求，逐级明确职责，加快建立和完善本行政区域卫生健康网络信息与数据安全责任制，并严格落实。

2.据公安部门通报，近期网络信息与数据安全事件频发，安全形势不容乐观。

各市卫生健康行政部门要在四月底前对本行政区域内卫生健康行业的网络信息与数据安全管理工作进行一次全面督导检查，并督促辖区内各单位落实网络信息与数据安全责任制，必要时可请公安部门参与配合。

督导检查情况请于4月30日前报省
卫生健康委网络安全和信息化工作领导小组办公室。

3.省卫生健康委网络安全和信息化工作领导小组办公室将于近期与省公安厅联合组织一次全省卫生健康系统网络信息与数据安全“攻防实战”演练，对演练中问题严重的单位将依据本通知的规定严肃问责。

辽宁省卫生健康委办公室
2019年4月8日。