医保信息安全管理规定(3篇)

第1篇
第一章总则
第一条为加强医疗保障信息系统安全管理，保障医保信息安全，维护参保人合法
权益，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规，结合医疗保障工作实际，制定本规定。

第二条本规定适用于各级医疗保障行政部门、医疗保障经办机构、定点医疗机构、定点零售药店等相关单位及其工作人员。

第三条医疗保障信息安全管理应当遵循以下原则：
（一）依法管理：严格遵守国家有关法律法规，确保医保信息安全。

（二）安全优先：将医保信息安全放在首位，确保医保信息系统稳定、可靠、高效运行。

（三）责任明确：明确各级各单位及工作人员的医保信息安全责任。

（四）技术保障：运用先进技术手段，加强医保信息安全管理。

第二章组织与管理
第四条各级医疗保障行政部门应当加强对医保信息安全管理工作的组织领导，建
立健全医保信息安全管理体系。

第五条医疗保障经办机构应当设立医保信息安全管理部门，负责医保信息安全的
日常管理工作。

第六条定点医疗机构、定点零售药店等医保服务机构应当指定专人负责医保信息
安全管理，确保医保信息系统安全稳定运行。

第七条医疗保障信息系统安全管理应当包括以下内容：
（一）信息系统安全建设：建立健全信息系统安全管理制度，确保信息系统安全稳定运行。

（二）数据安全管理：对医保数据进行分类、分级管理，确保数据安全。

（三）网络安全管理：加强网络安全防护，防止网络攻击、病毒感染等安全事件发生。

（四）人员安全管理：加强工作人员的医保信息安全培训，提高工作人员的安全意识和技能。

第三章信息系统安全建设
第八条医疗保障信息系统应当采用符合国家相关标准的软硬件设备，确保系统安全可靠。

第九条医疗保障信息系统应当具备以下安全功能：
（一）身份认证：对用户进行身份认证，确保只有授权用户才能访问系统。

（二）访问控制：对用户权限进行严格控制，防止未经授权的访问。

（三）数据加密：对敏感数据进行加密存储和传输，防止数据泄露。

（四）审计日志：记录系统操作日志，便于追踪和审计。

第十条医疗保障信息系统应当定期进行安全评估，发现安全隐患及时整改。

第四章数据安全管理
第十一条医疗保障数据分为以下等级：
（一）一级数据：涉及国家秘密的数据。

（二）二级数据：涉及个人隐私的数据。

（三）三级数据：涉及医疗机构、定点零售药店等医保服务机构业务数据。

第十二条医疗保障数据管理应当遵循以下原则：
（一）最小化原则：只收集、存储、使用必要的数据。

（二）最小化原则：仅对授权用户开放数据。

（三）保密原则：对敏感数据进行加密存储和传输。

第十三条医疗保障数据应当定期进行备份，确保数据安全。

第五章网络安全管理
第十四条医疗保障信息系统应当采用防火墙、入侵检测、漏洞扫描等网络安全技术手段，防止网络攻击、病毒感染等安全事件发生。

第十五条医疗保障信息系统应当定期进行网络安全检查，发现安全隐患及时整改。

第十六条医疗保障信息系统应当采取以下网络安全措施：
（一）网络隔离：医保专用网络与互联网隔离，防止病毒传播。

（二）入侵检测：实时监控网络流量，及时发现异常行为。

（三）漏洞扫描：定期对系统进行漏洞扫描，及时修复漏洞。

第六章人员安全管理
第十七条医疗保障信息系统工作人员应当具备以下条件：
（一）遵守国家法律法规，具有良好的职业道德。

（二）熟悉医保信息系统操作，具备一定的网络安全知识。

（三）积极参加医保信息安全培训，提高安全意识和技能。

第十八条医疗保障信息系统工作人员应当遵守以下规定：
（一）不得泄露医保信息安全。

（二）不得利用职务之便非法获取、使用医保信息。

（三）不得擅自修改、删除医保信息系统数据。

第七章监督与检查
第十九条各级医疗保障行政部门应当加强对医保信息安全管理工作的监督检查，
确保本规定得到有效执行。

第二十条对违反本规定的单位和个人，依法予以处理。

第八章附则
第二十一条本规定自发布之日起施行。

第二十二条本规定由医疗保障行政部门负责解释。

（注：本规定为示例性文本，具体内容需根据实际情况进行调整。

）
第2篇
第一章总则
第一条为加强医保信息安全管理，确保医保信息系统的安全、可靠、高效运行，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规，结合医保信息系统实际情况，制定本规定。

第二条本规定适用于各级医疗保障部门、医保信息系统运营单位、医保定点医药机构以及其他涉及医保信息系统的单位和个人。

第三条医保信息安全管理应遵循以下原则：
（一）安全第一，预防为主；
（二）统一领导，分级负责；
（三）依法管理，保障权益；
（四）技术保障，科学防范。

第二章组织机构与职责
第四条各级医疗保障部门应设立医保信息安全管理部门，负责医保信息系统的安全管理工作。

第五条医保信息安全管理部门的主要职责：
（一）组织制定医保信息系统安全管理制度；
（二）指导、监督医保信息系统运营单位、医保定点医药机构以及其他涉及医保信息系统的单位和个人落实安全管理制度；
（三）组织开展医保信息系统安全检查、评估和整改；
（四）负责医保信息系统安全事件的应急处置；
（五）组织开展医保信息系统安全培训、宣传教育等工作。

第六条医保信息系统运营单位应设立信息安全管理部门，负责医保信息系统安全运行的管理工作。

第七条医保信息系统运营单位的主要职责：
（一）落实医保信息安全管理制度；
（二）保障医保信息系统安全稳定运行；
（三）定期开展安全检查、评估和整改；
（四）负责医保信息系统安全事件的应急处置；
（五）组织开展信息安全培训、宣传教育等工作。

第八条医保定点医药机构以及其他涉及医保信息系统的单位和个人应按照医保信
息安全管理制度的要求，落实信息安全责任。

第三章信息安全管理制度
第九条医保信息系统应采用安全可靠的技术手段，确保信息系统的安全稳定运行。

第十条医保信息系统应建立安全保密制度，对涉及医保信息系统的硬件、软件、
数据等进行分类分级管理。

第十一条医保信息系统应建立用户管理制度，对用户身份进行实名认证，确保用
户身份真实、可靠。

第十二条医保信息系统应建立访问控制制度，对用户访问权限进行严格控制，防
止未授权访问。

第十三条医保信息系统应建立数据安全管理制度，对数据进行加密存储、传输和
备份，确保数据安全可靠。

第十四条医保信息系统应建立网络安全管理制度，对网络设备、网络连接、网络
流量等进行监控，防止网络攻击、病毒入侵等安全风险。

第十五条医保信息系统应建立安全审计制度，对用户操作、系统运行情况进行记录、分析，确保安全事件可追溯。

第十六条医保信息系统应建立安全事件应急预案，对安全事件进行应急处置，降
低安全事件对医保信息系统的影响。

第四章信息安全检查与评估
第十七条医保信息安全管理部门应定期组织开展医保信息系统安全检查，对信息
系统安全状况进行全面评估。

第十八条医保信息系统运营单位应定期开展安全自查，对信息系统安全状况进行
自我评估。

第十九条医保信息系统安全检查与评估应包括以下内容：
（一）安全管理制度落实情况；
（二）安全技术措施实施情况；
（三）安全事件应急处置情况；
（四）安全培训、宣传教育情况。

第五章信息安全事件应急处置
第二十条医保信息系统运营单位应建立信息安全事件应急预案，明确事件分类、应急处置流程、责任分工等。

第二十一条发生信息安全事件时，医保信息系统运营单位应立即启动应急预案，采取相应措施进行应急处置。

第二十二条医保信息安全管理部门应指导、监督医保信息系统运营单位开展信息安全事件应急处置工作。

第二十三条医保信息系统运营单位应定期对信息安全事件进行总结、分析，完善应急预案，提高应急处置能力。

第六章信息安全培训与宣传教育
第二十四条医保信息安全管理部门应组织开展信息安全培训，提高医保信息系统运营单位、医保定点医药机构以及其他涉及医保信息系统的单位和个人信息安全意识。

第二十五条医保信息系统运营单位应定期开展信息安全宣传教育活动，提高员工信息安全意识。

第七章法律责任
第二十六条违反本规定的，由医疗保障部门依法予以处理；构成犯罪的，依法追究刑事责任。

第二十七条医保信息系统运营单位未落实信息安全管理制度，导致医保信息系统安全事件发生的，依法承担相应责任。

第八章附则
第二十八条本规定由医疗保障部门负责解释。

第二十九条本规定自发布之日起施行。

第3篇
第一章总则
第一条为加强医保信息安全管理工作，保障医保信息系统的正常运行，维护参保人员的合法权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，结合医保信息系统实际，制定本规定。

第二条本规定适用于各级医疗保障行政部门、医保经办机构、定点医疗机构、定点零售药店等医保信息系统使用单位。

第三条医保信息安全管理工作遵循以下原则：
（一）依法依规：严格遵守国家有关法律法规，确保医保信息系统安全稳定运行。

（二）安全可控：采取有效措施，确保医保信息系统安全可控，防止数据泄露、篡改、破坏等安全事件发生。

（三）分级分类：根据信息系统的重要性、敏感程度和业务需求，实施分级分类管理。

（四）责任到人：明确各级单位、部门和个人在医保信息安全管理工作中的责任，落实责任制。

第二章组织管理
第四条各级医疗保障行政部门应当加强对医保信息安全工作的领导，建立健全医保信息安全管理体系，明确职责分工，落实工作责任。

第五条医保经办机构应当设立专门的信息安全管理部门，负责医保信息系统的安全管理工作。

第六条定点医疗机构、定点零售药店等医保信息系统使用单位应当明确信息安全管理责任人，负责本单位医保信息系统的安全管理工作。

第三章安全管理制度
第七条医保信息系统安全管理制度包括：
（一）信息系统安全等级保护制度；
（二）信息系统安全风险评估制度；
（三）信息系统安全事件应急预案；
（四）信息系统安全培训制度；
（五）信息系统安全审计制度；
（六）信息系统安全保密制度；
（七）信息系统安全检查制度。

第八条信息系统安全等级保护制度：
（一）根据信息系统的重要性、敏感程度和业务需求，实施不同等级的安全保护措施；
（二）建立健全信息安全等级保护制度，明确各级保护措施和责任人；
（三）定期对信息系统进行安全等级保护测评，确保信息系统安全稳定运行。

第九条信息系统安全风险评估制度：
（一）定期对医保信息系统进行安全风险评估，识别潜在的安全风险；
（二）针对评估出的安全风险，制定相应的安全防护措施；
（三）对已采取的安全防护措施进行跟踪验证，确保安全风险得到有效控制。

第十条信息系统安全事件应急预案：
（一）建立健全信息系统安全事件应急预案，明确事件分类、处置流程和责任人；
（二）定期开展信息系统安全应急演练，提高应急处置能力；
（三）对发生的安全事件进行及时处置，确保信息系统安全稳定运行。

第十一条信息系统安全培训制度：
（一）对医保信息系统使用人员进行安全培训，提高安全意识；
（二）定期开展信息系统安全知识竞赛、培训等活动，提高安全技能。

第十二条信息系统安全审计制度：
（一）定期对医保信息系统进行安全审计，发现安全漏洞和隐患；
（二）对审计中发现的问题，及时整改，确保信息系统安全稳定运行。

第十三条信息系统安全保密制度：
（一）建立健全信息系统安全保密制度，明确保密范围、保密措施和责任人；（二）对敏感信息进行加密存储、传输和处理，防止信息泄露。

第十四条信息系统安全检查制度：
（一）定期开展信息系统安全检查，发现安全漏洞和隐患；
（二）对检查中发现的问题，及时整改，确保信息系统安全稳定运行。

第四章安全技术措施
第十五条医保信息系统安全技术措施包括：
（一）物理安全措施：确保信息系统硬件设备安全，防止设备被盗、损坏等；
（二）网络安全措施：采用防火墙、入侵检测系统、漏洞扫描等技术，防止网络攻击、恶意代码等；
（三）主机安全措施：对操作系统、数据库、应用程序等进行安全加固，防止系统漏洞、恶意代码等；
（四）数据安全措施：对医保数据进行加密存储、传输和处理，防止数据泄露、篡改、破坏等；
（五）应用安全措施：对医保业务应用进行安全加固，防止恶意攻击、非法访问等。

第五章安全责任
第十六条各级单位、部门和个人在医保信息安全管理工作中的责任如下：
（一）各级医疗保障行政部门：负责医保信息安全的总体规划和组织协调，指导、督促各级单位、部门和个人落实信息安全责任；
（二）医保经办机构：负责医保信息系统的安全管理，落实信息安全责任制，确保信息系统安全稳定运行；
（三）定点医疗机构、定点零售药店等医保信息系统使用单位：负责本单位医保信息系统的安全管理，落实信息安全责任制，确保信息系统安全稳定运行；
（四）信息系统使用人员：遵守信息安全管理制度，加强安全意识，提高安全技能，确保信息系统安全稳定运行。

第六章法律责任
第十七条违反本规定的，依法承担相应的法律责任。

第七章附则
第十八条本规定由各级医疗保障行政部门负责解释。

第十九条本规定自发布之日起施行。