《醫療衛生機構網絡安全管理辦法》的政策解讀

著高質量發展縱深推進，全國衛生健康領域迎來重要機遇期，信息化發揮著關鍵的支撐作用，在此過程中產生的醫療健康數據不僅是重要的生產要素，更是國家基礎性戰略資源，因此網絡安全的重要性日益凸顯。在此背景下，《醫療衛生機構網絡安全管理辦法》（以下簡稱《辦法》）的發布，進一步規范了醫療衛生機構網絡和數據安全管理、促進“互聯網+醫療健康”發展，加快推動衛生健康行業高質量發展進程。

《辦法》明確了各醫療衛生機構網絡及數據安全管理基本原則、管理分工、執行標準、監督及處罰要求，體現了統籌安全與發展的總體平衡，與此前出臺的一系列政策法規一脈相承，為醫療衛生機構指明了網絡安全管理的總方向，主要體現在以下四個方面：

一、強調一個周期。《辦法》全文貫穿了全生命周期管理的主導思想。在網絡安全方面，圍繞信息系統全生命周期，提出落實等級保護制度、監測預警、應急實戰、安全整改、人員管理、新技術應用、密碼安全、醫療設備、供應鏈管理等方面的要求；在數據安全方面，以保障數據的機密性、完整性、可用性為目標，要求采取數據加密、數據備份、數據脫敏等技術，加強數據收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。在實際運用中，應基于網絡和數據的全生命周期視角，梳理安全策略架構,識別具體業務場景，有針對性的設計安全措施，實現安全防護。

二、突出兩個要點。《辦法》強調醫療衛生機構安全管理應圍繞頂層設計和制度保障兩個要點著力推進。頂層設計方面，在整體網絡安全體系的基礎上，依據數據的特性建構網絡和數據安全頂層設計，落實安全責任分工，明確數據管理部門、業務部門、信息化部門在網絡和數據安全管理工作中的權責。制度保障方面，《辦法》明確醫療衛生機構應建立健全安全管理制度、操作規程及技術規范。在執行過程中，應密切結合自身業務模式的變更，及時修訂完善制度要求，保持網絡和數據安全制度的有效執行力及充分協同。

三、融合三位一體?！掇k法》要求建立網絡安全管理制度體系，加強網絡安全防護，通過管理和技術手段保障數據安全和數據應用的有效平衡。在實際運用中，應將總體安全策略拆解到具體安全管理要求，并通過安全技術實現管理要求，最終融入對應到安全運營體系中，形成融合管理、技術、運營三位一體的立體化網絡安全管理模式。

四、構建四個體系?！掇k法》指出要建立防護、監測、處置、保障四個體系協同的綜合防控格局。在安全防護方面，要求建立“實戰化、體系化、常態化”的安全防護體系，形成“動態防御、主動防御、縱深防御、精準防御、整體防控、聯防聯控”的安全防護態勢；在安全監測層面，鼓勵三級醫院探索態勢感知平臺建設，及時收集、匯總、分析各方網絡安全信息，并與國家及行業平臺對接；在安全處置方面，要形成監督管理、安全檢查、應急預案、聯防聯控協同體系；在安全保障方面，通過統籌領導和規劃設計，在人才培養、安全培訓、經費支持等方面實現全方位保障。

總體而言，《辦法》堅持安全可控和開放創新并重的基本原則，其頒布為醫療衛生機構網絡安全管理提供了工作指南，筑牢了醫療衛生機構安全屏障，奠定了衛生健康行業網絡安全發展基礎。

來源: 規劃發展與信息化司