医疗网络安全关乎每一位患者的隐私,更是"互联网+医疗健康"有序发展的底线。今天,我们全面拆解《医疗卫生机构网络安全管理办法》,一文读懂医疗行业网络安全的核心要求、责任边界与实操要点,助力医疗机构合规运营、筑牢安全防线。
核心要点速览
👥 领导负责:主要领导任网络安全领导小组组长
📊 等级测评:三级医院每年至少开展1次等级测评
🔒 数据分类:建立数据分类分级标准,区分核心/重要/一般数据
💰 预算保障:新建信息化项目,安全预算不低于总预算的5%
📅 施行时间:2022年正式施行
《医疗卫生机构网络安全管理办法》由国家卫生健康委、国家中医药局、国家疾控局联合印发,核心目标是加强医疗卫生机构网络安全管理,推动"互联网+医疗健康"规范发展,充分发挥健康医疗大数据的国家基础性战略资源作用。
适用范围:覆盖各级各类医疗卫生机构,包括医院、基层医疗卫生机构、专业公共卫生机构,实现全行业覆盖、无死角监管。
各医疗卫生机构必须成立网络安全和信息化工作领导小组,由单位主要负责人担任组长,明确"一把手"负总责,层层压实安全责任。
每年至少召开1次网络安全办公会,部署年度安全重点工作;
严格落实网络安全等级保护和关键信息基础设施保护要求;
建立完善的网络安全管理制度体系,做到有章可循、有规可依。
拥有二级及以上网络的医疗卫生机构,需明确负责网络安全管理的职能部门,设立安全主管、安全管理员等岗位,明确岗位职责,确保各项安全工作落地。
网络等级 | 定级范围 | 备案要求 |
|---|---|---|
第四级 | 承载涉及国家秘密信息的系统 | 按保密规定执行 |
第三级 | 直接关系国民生命安全的系统 | 10个工作日内完成备案 |
第二级 | 承载重要业务信息的系统 | 10个工作日内完成备案 |
1️⃣ 确定定级对象 → 梳理网络资产,明确定级范围
2️⃣ 初步确定等级 → 依据相关标准,划定保护等级
3️⃣ 专家评审 → 组织专业专家,开展评审论证
4️⃣ 上级审核 → 上报上级主管部门,审核确认
5️⃣ 公安备案 → 向当地公安机关,完成备案手续
网络等级 | 测评频次 | 新建系统要求 |
|---|---|---|
第三级及以上 | 每年至少1次 | 上线前必须完成安全测试 |
第二级 | 至少每3年1次(涉及10万人+个人信息需每3年1次) | 上线前必须完成安全测试 |
数据类别 | 说明 | 示例 |
|---|---|---|
患者数据 | 与患者相关的各类信息 | 病历、处方、检查结果、就诊记录 |
运营数据 | 机构日常运营管理数据 | 财务数据、人事数据、运营报表 |
科研数据 | 医学研究和教学相关数据 | 临床试验数据、研究报告 |
管理数据 | 系统运行管理相关数据 | 系统日志、配置数据、运维记录 |
核心数据:严格保护,禁止共享开放,确保绝对安全;
重要数据:严格保护,限制共享范围,需经安全评估;
一般数据:依法合规共享使用,做好基础安全防护。
管理环节 | 核心安全要点 |
|---|---|
收集 | 合法授权、知情同意,杜绝违规收集 |
存储 | 加密存储、安全备份,防止数据丢失 |
使用 | 权限控制、操作审计,全程可追溯 |
加工 | 安全评估、脱敏处理,保护隐私信息 |
传输 | 加密传输、采用安全协议,防止中途泄露 |
共享 | 脱敏处理、签订协议,明确共享边界 |
销毁 | 彻底删除、留存记录,防止数据泄露 |
当前,大数据、人工智能、区块链等新技术在医疗领域广泛应用,《办法》明确要求:新技术上线前,必须评估安全风险并落实安全管控,实现应用与安全的平衡。
数据安全风险:防止数据泄露、滥用;
算法偏见风险:避免算法偏差影响医疗服务;
隐私保护风险:守护患者个人隐私;
系统安全风险:防范系统漏洞、网络攻击。
管理环节 | 核心安全要求 |
|---|---|
采购 | 落实招标采购安全管理,筛选安全合规设备 |
安装 | 进行安全配置加固,防范安装环节风险 |
运行 | 定期开展安全检查,及时发现安全隐患 |
维护 | 规范安全维护流程,避免维护不当引发风险 |
报废 | 做好设备数据安全销毁,防止数据泄露 |
1️⃣必须提供非人脸识别的替代身份识别方式,不得强制采集人脸数据;
2️⃣ 不得因用户不同意收集人脸数据,拒绝提供基本医疗服务;
3️⃣人脸数据仅用于身份识别,严禁用于其他用途;
4️⃣ 必须采取加密措施,存储和传输人脸数据;
5️⃣ 采用物理或逻辑隔离方式,分别存储人脸数据和身份信息。
各医疗卫生机构需建立完善的网络安全应急处置机制,明确应急预案,定期组织应急演练,确保能够有效处置网络中断、网络攻击、数据泄露等各类安全事件,最大限度降低损失。
报告情形 | 报告对象 | 报告时限 |
|---|---|---|
一般网络安全事件 | 上级卫生健康行政部门、公安机关 | 及时报告 |
数据泄露事件 | 受影响主体、相关监管部门 | 及时报告 |
重大安全事件 | 卫生健康行政部门、公安机关 | 立即报告 |
要求 | 具体说明 |
|---|---|
继续教育 | 严格执行网络安全继续教育制度,提升从业人员专业能力 |
持证上岗 | 鼓励网络安全管理岗位、技术岗位人员持证上岗 |
人才发现 | 通过学术交流、技能比武、竞赛等方式,发现优秀网络安全人才 |
人才库 | 建立网络安全人才库,为安全工作提供人才保障 |
新建信息化项目的网络安全预算,不得低于项目总预算的5%,确保安全投入足额到位,为网络安全工作提供坚实的资金支撑。
医疗卫生机构网络安全,直接关系到患者隐私保护、医疗服务稳定运行,更是医疗行业高质量发展的重要保障。《办法》为医疗卫生机构网络安全管理提供了系统性、可操作性的指导,明确了责任、规范了流程、划定了底线。
💡 网盾建议:各医疗卫生机构应将网络安全纳入整体发展规划,加大安全投入,建立专业的网络安全团队,完善安全管理制度,强化技术防护能力,确保患者数据安全、医疗系统稳定,推动"互联网+医疗健康"安全、有序、高质量发展。
— 医疗网络安全,守护每一份健康信任 —
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。
