內(nèi)蒙古人民衛(wèi)生網(wǎng):內(nèi)蒙古自治區(qū)公安廳有關(guān)開展全區(qū)衛(wèi)生行業(yè)信息安全等級保護(hù)工作的公告:各盟市衛(wèi)生局�、公安局,自治區(qū)各醫(yī)療衛(wèi)生單位:為貫徹落實國家信息安全等級保護(hù)制度要求,加強我區(qū)衛(wèi)生行業(yè)的信息網(wǎng)絡(luò)安全保護(hù)工作�����,全面提升衛(wèi)生行業(yè)信息安全保障能力和水平����,保障和促進(jìn)衛(wèi)生信息化健康發(fā)展�����,按照《衛(wèi)生部關(guān)于印發(fā)〈衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見〉的通知》(衛(wèi)辦發(fā)〔2011〕85號)����、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》(衛(wèi)辦綜函〔2011〕1126號)、公安部《各盟市衛(wèi)生局�����、公安局��,自治區(qū)各醫(yī)療衛(wèi)生單位:
為貫徹落實國家信息安全等級保護(hù)制度要求,加強我區(qū)衛(wèi)生行業(yè)的信息網(wǎng)絡(luò)安全保護(hù)工作��,全面提升衛(wèi)生行業(yè)信息安全保障能力和水平����,保障和促進(jìn)衛(wèi)生信息化健康發(fā)展,按照《衛(wèi)生部關(guān)于印發(fā)〈衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見〉的通知》(衛(wèi)辦發(fā)〔2011〕85號)���、《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》(衛(wèi)辦綜函〔2011〕1126號)��、公安部《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》(公信安〔2009〕1429號)的精神和《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》(自治區(qū)人民政府第183號令)的規(guī)定����,自治區(qū)衛(wèi)生廳��、公安廳決定在全區(qū)衛(wèi)生行業(yè)開展信息安全等級保護(hù)工作�����,現(xiàn)就有關(guān)要求通知如下:
一����、高度重視�,全面推進(jìn)醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護(hù)工作
近年來,我區(qū)衛(wèi)生行業(yè)全面推進(jìn)信息化建設(shè)、衛(wèi)生行業(yè)信息網(wǎng)絡(luò)安全工作已成為我區(qū)衛(wèi)生事業(yè)發(fā)展的重要組成部分�����,各醫(yī)療衛(wèi)生機構(gòu)信息系統(tǒng)在數(shù)量和系統(tǒng)復(fù)雜程度上均有大幅度提升����。特別是各單位的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐我區(qū)衛(wèi)生行業(yè)業(yè)務(wù)發(fā)展的重要載體和主要手段。對此���,全區(qū)各級公安機關(guān)�、衛(wèi)生行政部門要高度重視衛(wèi)生行業(yè)信息安全等級保護(hù)工作���,組織和指導(dǎo)所在地醫(yī)療衛(wèi)生機構(gòu)認(rèn)真貫徹落實國家信息安全等級保護(hù)制度��,切實把信息安全等級保護(hù)工作納入各地區(qū)��、各單位信息化工作的整體布局中���,將信息安全等級保護(hù)工作納入醫(yī)療衛(wèi)生機構(gòu)信息化工作中,做到信息安全等級保護(hù)工作與信息化建設(shè)工作同步規(guī)劃�����、同步實施、同步考核�����。衛(wèi)生行業(yè)各單位要加大信息安全建設(shè)投入�����,保障信息安全等級測評和安全建設(shè)整改相關(guān)經(jīng)費�����,并納入年度經(jīng)費預(yù)算�����。
二���、明確職責(zé)����,建立分工負(fù)責(zé)���、協(xié)作配合的工作機制
各級衛(wèi)生行政部門負(fù)責(zé)部署所在地衛(wèi)生行業(yè)信息安全等級保護(hù)工作�,按照國家和自治區(qū)信息安全等級保護(hù)制度的總體要求和相關(guān)規(guī)定,組織衛(wèi)生行業(yè)開展信息安全等級保護(hù)各項工作���,制定具體實施方案或細(xì)則,優(yōu)先保護(hù)涉及范圍廣�����、社會影響大的重要醫(yī)療衛(wèi)生信息系統(tǒng)��,開展宣傳�����、學(xué)習(xí)培訓(xùn)和先進(jìn)經(jīng)驗推廣工作�����。各醫(yī)療衛(wèi)生機構(gòu)要按照國家和自治區(qū)信息安全等級保護(hù)制度要求和主管部門的工作部署��,切實加強對信息安全等級保護(hù)工作的組織領(lǐng)導(dǎo)�,建立健全主管部門和工作機制,及時開展信息系統(tǒng)定級備案�、安全建設(shè)整改、等級測評和自查等各項工作��,并利用等級保護(hù)綜合管理系統(tǒng)使信息安全等級保護(hù)工作常態(tài)化。公安機關(guān)要按照《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》��,加強對醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護(hù)工作的指導(dǎo)�����、監(jiān)督和檢查�,開展政策法規(guī)宣傳和相關(guān)業(yè)務(wù)培訓(xùn),與衛(wèi)生行政部門密切配合���,建立健全工作機制���,為衛(wèi)生行業(yè)開展信息安全等級保護(hù)工作提供服務(wù)和支持。同時依法查處違反《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》規(guī)定的違法單位和人員��。
三�����、全面梳理信息網(wǎng)絡(luò)和系統(tǒng)��,認(rèn)真做好信息系統(tǒng)安全等級保護(hù)定級��、備案工作
衛(wèi)生行業(yè)各單位要按照“誰主管����、誰負(fù)責(zé)�;誰使用��、誰負(fù)責(zé)”的原則����,全面梳理本單位信息系統(tǒng)和信息網(wǎng)絡(luò)����,摸清底數(shù),根據(jù)《信息安全等級保護(hù)管理辦法》����、《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》和《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》等有關(guān)規(guī)定和標(biāo)準(zhǔn),按照“行業(yè)自主定級�、聘請專家評審、主管部門審核��、公安機關(guān)監(jiān)督”的要求�����,準(zhǔn)確確定信息系統(tǒng)安全保護(hù)等級����,并于2012年6月30日前到所屬盟市公安機關(guān)辦理備案手續(xù)��。其中�,自治區(qū)級衛(wèi)生部門��、跨盟市或者全區(qū)統(tǒng)一聯(lián)網(wǎng)運行的第二級(含)以上信息系統(tǒng)���,應(yīng)到自治區(qū)公安廳備案����。對于已定級的信息系統(tǒng)由于定級不準(zhǔn)����、信息系統(tǒng)的結(jié)構(gòu)、處理流程���、服務(wù)內(nèi)容等發(fā)生重大變化或者公安機關(guān)要求重新確定等級的�����,應(yīng)重新開展定級備案工作��。新建信息系統(tǒng)要在規(guī)劃設(shè)計階段確定系統(tǒng)安全保護(hù)等級����,并在等級確定后30日內(nèi)到公安機關(guān)備案。公安機關(guān)要及時受理備案����,在收到備案材料之日起10個工作日內(nèi)對報送備案的材料進(jìn)行審查,對符合要求的出具備案證明�。對定級不準(zhǔn)確或者保護(hù)措施不符合技術(shù)規(guī)范的,要書面通知報送單位予以糾正�����。
四�����、開展信息安全等級保護(hù)安全建設(shè)整改和等級測評工作����,完善重要信息系統(tǒng)安全防護(hù)體系
衛(wèi)生行業(yè)各單位要在信息系統(tǒng)定級備案工作基礎(chǔ)上����,按照開展信息安全等級保護(hù)安全建設(shè)整改工作的有關(guān)要求,組織開展等級保護(hù)安全建設(shè)整改工作。按照《信息系統(tǒng)安全等級保護(hù)基本要求》等有關(guān)標(biāo)準(zhǔn)����,通過開展等級測評等方式,確定信息系統(tǒng)安全建設(shè)整改需求����,對信息系統(tǒng)進(jìn)行加固改造和完善,落實安全保護(hù)技術(shù)措施和安全管理制度���,建立信息系統(tǒng)綜合防護(hù)體系���,提高網(wǎng)絡(luò)和信息系統(tǒng)的整體保護(hù)能力。
衛(wèi)生行業(yè)各單位要對本單位第二級(含)以上信息系統(tǒng)開展等級測評���,查找發(fā)現(xiàn)信息系統(tǒng)的安全問題�����、漏洞和安全隱患并及時整改�,年內(nèi)完成對本單位第二級(含)以上信息系統(tǒng)的等級測評���。并于2012年12月31日前將等級測評報告向公安機關(guān)及衛(wèi)生行政部門備案�����。
按照《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》規(guī)定��,各地各單位選擇的信息安全等級測評機構(gòu)必須經(jīng)過公安部信息安全等級保護(hù)評估中心的測評能力評估���、向全國推薦并持有內(nèi)蒙古自治區(qū)信息安全等級保護(hù)協(xié)調(diào)小組辦公室(自治區(qū)公安廳)出具的備案證明��。測評人員必須獲得公安部信息安全等級保護(hù)評估中心辦法的資質(zhì)證書�����。目前我區(qū)符合條件的等級測評機構(gòu)有內(nèi)蒙古信元信息安全評測有限責(zé)任公司�。對于我區(qū)新通過評估��、備案的其他符合條件的信息安全等級測評機構(gòu)��,自治區(qū)信息安全等級保護(hù)協(xié)調(diào)小組辦公室將及時進(jìn)行公告���。
五、加強檢查和考核�,建立長效工作機制,確保衛(wèi)生行業(yè)信息系統(tǒng)安全保護(hù)能力達(dá)到等級保護(hù)要求
衛(wèi)生行業(yè)各單位應(yīng)當(dāng)按照《內(nèi)蒙古自治區(qū)計算機信息系統(tǒng)安全保護(hù)辦法》規(guī)定����,定期對信息系統(tǒng)安全保護(hù)狀況��、安全保護(hù)制度及技術(shù)措施的落實情況進(jìn)行自查��,按照規(guī)定定期開展等級測評����,及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題并整改;衛(wèi)生行政部門要監(jiān)督���、檢查行業(yè)信息安全等級保護(hù)制度落實情況�,加強與公安機關(guān)溝通協(xié)作��,認(rèn)真落實本地衛(wèi)生信息安全管理責(zé)任���,督導(dǎo)本行業(yè)特別是重要醫(yī)療衛(wèi)生信息系統(tǒng)運營單位開展信息安全等級保護(hù)各項工作����。對不遵守規(guī)定��、未履行職責(zé)導(dǎo)致發(fā)生重大信息網(wǎng)絡(luò)安全案件�����、事件的衛(wèi)生醫(yī)療機構(gòu)直接責(zé)任人和主要領(lǐng)導(dǎo)給予處分。自治區(qū)衛(wèi)生廳將把各地��、區(qū)直各單位開展衛(wèi)生信息安全等級保護(hù)工作情況納入信息化水平評價考核體系��,制定等級保護(hù)工作具體評價指標(biāo)并進(jìn)行量化考核;公安機關(guān)要積極主動開展工作��,會同衛(wèi)生行政部門定期對各醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護(hù)工作情況進(jìn)行監(jiān)督檢查���,推動各衛(wèi)生行業(yè)重要信息系統(tǒng)安全保護(hù)能力逐步達(dá)到信息安全等級保護(hù)要求���,并指導(dǎo)相關(guān)非經(jīng)營性上網(wǎng)服務(wù)場所落實互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施。對第三級計算機信息系統(tǒng)每年至少檢查一次��,對第四級計算機信息系統(tǒng)每半年至少檢查一次��。對于檢查中發(fā)現(xiàn)的違法違規(guī)行為�����,要責(zé)令限期改正�����,給予警告�����。對在規(guī)定的限期內(nèi)未改正的����,依法進(jìn)行處罰。
各地各單位要不斷總結(jié)開展信息安全等級保護(hù)工作的經(jīng)驗���,進(jìn)一步加強和改進(jìn)等級保護(hù)工作���,要每年對等級保護(hù)工作情況進(jìn)行總結(jié),于每年11月30日前報上級衛(wèi)生行政部門和公安機關(guān)�����。工作中如有何問題�,請及時與自治區(qū)衛(wèi)生廳和公安廳聯(lián)系。
自治區(qū)衛(wèi)生廳
聯(lián) 系 人:侯 富
聯(lián)系電話:0471—6945095
自治區(qū)公安廳
聯(lián) 系 人:賈海云��、田雨霖
聯(lián)系電話: 0471—6513143
內(nèi)蒙古自治區(qū)衛(wèi)生廳
內(nèi)蒙古自治區(qū)公安廳
二○一二年六月二十日
