陜西省衛(wèi)生廳關(guān)于印發(fā)陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案的通知 陜衛(wèi)辦發(fā)〔2012〕132號(hào) | |
發(fā)布時(shí)間:2012-06-11 信息來(lái)源: 電子數(shù)據(jù)中心 | |
各設(shè)區(qū)市衛(wèi)生局,楊凌示范區(qū)社會(huì)事業(yè)局,廳直屬、部屬各醫(yī)療衛(wèi)生單位、廳機(jī)關(guān)各處室: 現(xiàn)將《陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案》印發(fā)給你們,請(qǐng)遵照?qǐng)?zhí)行。
二〇一二年四月十六日
陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施方案
信息安全等級(jí)保護(hù)是一項(xiàng)重要國(guó)家安全制度,為了規(guī)范和指導(dǎo)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作,衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》(衛(wèi)辦發(fā)〔2011〕85號(hào))。按照公安部《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》(公信安〔2009〕1429號(hào))和衛(wèi)生部有關(guān)要求,結(jié)合我省衛(wèi)生行業(yè)實(shí)際,特制定本實(shí)施方案。 一、 指導(dǎo)思想和基本原則 (一) 指導(dǎo)思想 以科學(xué)發(fā)展觀為指導(dǎo),認(rèn)真貫徹落實(shí)國(guó)家和省有關(guān)信息安全等級(jí)保護(hù)規(guī)定和要求,維護(hù)和保障國(guó)家信息安全、人民群眾個(gè)人權(quán)益,促進(jìn)衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護(hù)公共利益、社會(huì)秩序。 (二)基本原則 1、遵循標(biāo)準(zhǔn),重點(diǎn)保護(hù)。遵循國(guó)家和省信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范,結(jié)合我省衛(wèi)生行業(yè)信息系統(tǒng)實(shí)際,優(yōu)先保護(hù)重要的、涉及面廣、遭受破壞對(duì)社會(huì)危害程度大的信息系統(tǒng),優(yōu)先滿足重點(diǎn)信息系統(tǒng)安全需求。 2、行業(yè)指導(dǎo),屬地管理。衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)行行業(yè)指導(dǎo)、屬地管理。各市級(jí)衛(wèi)生行政部門要按照國(guó)家和省信息安全等級(jí)保護(hù)制度有關(guān)要求,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)的指導(dǎo)、管理和保護(hù)工作。各單位要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的要求,落實(shí)信息安全責(zé)任。 3、同步建設(shè),動(dòng)態(tài)完善。在信息系統(tǒng)規(guī)劃設(shè)計(jì)與建設(shè)過(guò)程中,同步開(kāi)展信息安全等級(jí)保護(hù)工作。因信息和信息系統(tǒng)的業(yè)務(wù)類型、應(yīng)用范圍等條件改變導(dǎo)致安全需求發(fā)生變化時(shí),應(yīng)當(dāng)重新調(diào)整信息系統(tǒng)安全保護(hù)等級(jí),及時(shí)完善安全保障措施。 二、建設(shè)目標(biāo) 依據(jù)國(guó)家、省信息安全等級(jí)保護(hù)制度,遵循相關(guān)標(biāo)準(zhǔn)規(guī)范,在全省衛(wèi)生行業(yè)全面開(kāi)展信息安全等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測(cè)評(píng)等工作,明確信息安全保障重點(diǎn),落實(shí)信息安全責(zé)任,建立信息安全等級(jí)保護(hù)工作長(zhǎng)效機(jī)制,切實(shí)提高衛(wèi)生行業(yè)信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急處置能力,為衛(wèi)生信息化健康發(fā)展提供可靠保障,全面維護(hù)公共利益、社會(huì)秩序和國(guó)家安全。 三、主要任務(wù) (一)定級(jí)備案 1、衛(wèi)生行業(yè)各單位應(yīng)當(dāng)對(duì)本單位建設(shè)與運(yùn)營(yíng)的衛(wèi)生信息系統(tǒng)進(jìn)行自查,應(yīng)當(dāng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開(kāi)展定級(jí)工作。 國(guó)家信息安全等級(jí)保護(hù)制度將信息安全保護(hù)等級(jí)分為五級(jí):第一級(jí)為自主保護(hù)級(jí),第二級(jí)為指導(dǎo)保護(hù)級(jí),第三級(jí)為監(jiān)督保護(hù)級(jí),第四級(jí)為強(qiáng)制保護(hù)級(jí),第五級(jí)為?乇Wo(hù)級(jí)。以下重要衛(wèi)生信息系統(tǒng)安全等級(jí)保護(hù)原則上不低于第三級(jí): (1)全省衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨市全省聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng); (2)省、市、縣三級(jí)區(qū)域衛(wèi)生信息平臺(tái)、業(yè)務(wù)系統(tǒng)(新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等)及數(shù)據(jù)中心; (3)二級(jí)及以上醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)(電子病歷、財(cái)務(wù)); (4)其他經(jīng)過(guò)信息安全技術(shù)專家技術(shù)指導(dǎo)組評(píng)定為第三級(jí)以上(含第三級(jí))的信息系統(tǒng)。 2、擬定為第三級(jí)以上(含第三級(jí))的衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)經(jīng)當(dāng)?shù)匦畔踩夹g(shù)專家技術(shù)指導(dǎo)組論證、評(píng)審。 3、各單位在確定信息系統(tǒng)安全保護(hù)等級(jí)后,對(duì)第二級(jí)以上(含第二級(jí))信息系統(tǒng),應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)網(wǎng)安部門及衛(wèi)生行政部門備案?缡腥÷(lián)網(wǎng)運(yùn)行并由省衛(wèi)生廳定級(jí)的信息系統(tǒng),由省衛(wèi)生廳報(bào)省公安廳備案;在各市、縣運(yùn)行、應(yīng)用的分支系統(tǒng),應(yīng)當(dāng)報(bào)屬地公安機(jī)關(guān)備案。 (二) 建設(shè)與整改 1、對(duì)確定安全保護(hù)等級(jí)第二級(jí)以上(含第二級(jí))的衛(wèi)生信息系統(tǒng),應(yīng)當(dāng)按照國(guó)家、省信息安全等級(jí)保護(hù)工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn),開(kāi)展安全保護(hù)現(xiàn)狀分析,查找安全隱患及與信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)之間的差距,確定安全需求。 2、根據(jù)信息系統(tǒng)安全保護(hù)現(xiàn)狀分析結(jié)果,按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn),制訂信息系統(tǒng)安全等級(jí)保護(hù)建設(shè)整改方案。第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)安全建設(shè)整改方案應(yīng)當(dāng)經(jīng)信息安全技術(shù)專家技術(shù)指導(dǎo)組論證。 3、各地各單位應(yīng)當(dāng)按照信息系統(tǒng)安全建設(shè)整改方案,完善安全保護(hù)設(shè)施,建立安全管理制度,落實(shí)安全管理措施,形成信息安全技術(shù)防護(hù)體系和信息安全管理體系,有效保障衛(wèi)生信息系統(tǒng)安全。 (三)等級(jí)測(cè)評(píng) 1、系統(tǒng)建設(shè)整改工作完成后,應(yīng)當(dāng)按照《信息安全等級(jí)保護(hù)管理辦法》要求,從省信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄中選擇等級(jí)測(cè)評(píng)機(jī)構(gòu),對(duì)第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)。 2、測(cè)評(píng)合格后,應(yīng)當(dāng)將測(cè)評(píng)報(bào)告報(bào)屬地公安機(jī)關(guān)及衛(wèi)生行政部門備案。 3、對(duì)第三級(jí)以上(含第三級(jí))衛(wèi)生信息系統(tǒng)每年應(yīng)當(dāng)進(jìn)行等級(jí)測(cè)評(píng)。對(duì)于重要部門的第二級(jí)信息系統(tǒng),可參照上述要求進(jìn)行等級(jí)測(cè)評(píng)。 (四)宣傳培訓(xùn) 1、省衛(wèi)生廳將集中開(kāi)展信息安全等級(jí)保護(hù)培訓(xùn),各市、縣衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組也要對(duì)本地區(qū)各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)政策和標(biāo)準(zhǔn)規(guī)范培訓(xùn),提高各單位信息安全管理人員的技術(shù)能力和管理水平。 2、各醫(yī)療衛(wèi)生單位要積極組織開(kāi)展內(nèi)部信息安全培訓(xùn),提升全員信息安全意識(shí),規(guī)范信息安全操作行為,提高信息安全保障能力。 (五)監(jiān)督檢查 1、省衛(wèi)生廳信息化工作領(lǐng)導(dǎo)小組辦公室負(fù)責(zé)督導(dǎo)檢查各市和廳直屬、部屬醫(yī)療衛(wèi)生機(jī)構(gòu)信息安全等級(jí)保護(hù)工作落實(shí)情況,并督促?gòu)d機(jī)關(guān)重要信息系統(tǒng)責(zé)任單位開(kāi)展信息安全等級(jí)保護(hù)工作。 2、市級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組負(fù)責(zé)督導(dǎo)檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級(jí)保護(hù)工作落實(shí)情況,并負(fù)責(zé)本單位開(kāi)展信息安全等級(jí)保護(hù)工作。 3、市級(jí)衛(wèi)生行政部門信息化工作領(lǐng)導(dǎo)小組應(yīng)當(dāng)于每年12月15日前,向省衛(wèi)生廳信息化工作領(lǐng)導(dǎo)小組報(bào)送本地區(qū)信息系統(tǒng)定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和自查等工作開(kāi)展情況。 四、時(shí)間安排 (一)第一階段。2012年7月底以前,按照《陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)實(shí)施方案》,建立省、市二級(jí)信息安全等級(jí)保護(hù)專家技術(shù)指導(dǎo)組,確定信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員,并完成技術(shù)培訓(xùn)。 (二)第二階段。2012年底前,完成三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng),已建成運(yùn)行跨市全省聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的定級(jí)、保護(hù)和備案工作。 (三)第三階段。2013年12月30日前,完成二級(jí)及區(qū)域衛(wèi)生信息平臺(tái)等及其它已建成運(yùn)行的業(yè)務(wù)信息系統(tǒng)的定級(jí)、保護(hù)和備案。 五、保障措施 (一)加強(qiáng)組織領(lǐng)導(dǎo)。各級(jí)醫(yī)療衛(wèi)生機(jī)構(gòu)要高度重視,充分認(rèn)識(shí)信息安全等級(jí)保護(hù)工作對(duì)保護(hù)居民健康信息安全、醫(yī)療衛(wèi)生機(jī)構(gòu)正常運(yùn)轉(zhuǎn)和社會(huì)穩(wěn)定的重要意義。各單位主要領(lǐng)導(dǎo)要負(fù)總責(zé),分管領(lǐng)導(dǎo)要具體抓,明確職責(zé)與任務(wù),突出重點(diǎn),將信息安全等級(jí)保護(hù)工作列入重要議事日程和工作績(jī)效考核指標(biāo),一級(jí)抓一級(jí),層層抓落實(shí)。 省衛(wèi)生廳成立陜西省衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)專家技術(shù)指導(dǎo)組,為各地、各醫(yī)療衛(wèi)生單位業(yè)務(wù)信息系統(tǒng)定級(jí)、測(cè)評(píng)、備案提供技術(shù)指導(dǎo)和業(yè)務(wù)培訓(xùn)。建立省、市二級(jí)信息安全等級(jí)保護(hù)工作聯(lián)絡(luò)員機(jī)制。聯(lián)絡(luò)員職責(zé)是落實(shí)國(guó)家、省信息安全等級(jí)保護(hù)工作的有關(guān)政策和技術(shù)標(biāo)準(zhǔn),掌握本地區(qū)信息安全等級(jí)保護(hù)工作動(dòng)態(tài)和總體情況,代表本地區(qū)與省衛(wèi)生廳及同級(jí)公安部門進(jìn)行日常聯(lián)系和交流。 (二)保障經(jīng)費(fèi),加強(qiáng)監(jiān)管。各級(jí)醫(yī)療衛(wèi)生機(jī)構(gòu)要建立經(jīng)費(fèi)投入機(jī)制,將信息安全等級(jí)保護(hù)建設(shè)整改、等級(jí)測(cè)評(píng)、信息安全服務(wù)、技術(shù)培訓(xùn)等費(fèi)用納入信息化建設(shè)預(yù)算,并加強(qiáng)對(duì)資金使用的監(jiān)管。 (三)加強(qiáng)溝通,密切合作。各級(jí)衛(wèi)生行政部門應(yīng)當(dāng)加強(qiáng)與當(dāng)?shù)毓膊块T的溝通交流,建立協(xié)作機(jī)制,在信息安全等級(jí)保護(hù)工作中的定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等環(huán)節(jié)密切合作,共同推進(jìn)信息安全等級(jí)保護(hù)工作。 |