衛 生(shēng) 部 文(wén) 件(jiàn)

衛辦發〔2011〕85号

衛生(shēng)部關于印發《衛生(shēng)行(xíng)業(yè)

信息安全等級保護工(gōng)作(zuò) ✔的(de)指導意見(jiàn)》的(deΩ£≠↔)通(tōng)知(zhī)

各省、自(zì)治區(qū)、直轄市(shì)衛生(shēng)廳局，∞↔ 新疆生(shēng)産建設兵(bīng)團及計(jì)劃單列市(shì)衛生(shēng)局 ™‍∞，部直屬各單位，部機(jī)關各司局：

為(wèi)貫徹落實國(guó)家(jiā)信息安全★× 等級保護制(zhì)度，規範和(hé)指導全國(guó)衛生γ"• (shēng)行(xíng)業(yè)信息安全等級保護工(gōng)作(zuò)，按照(zhào)Ω↕σ¶公安部《關于開(kāi)展信息安全等級保護安全建設整改工(gōng)作(zuò≤±÷)的(de)指導意見(jiàn)》 （公信安〔2009〕1429号）要(yào)求，我部結合衛生(shēng)行(xíng)業(yè)β∏↕‍實際，研究制(zhì)定了(le)《衛生(shēng)行(xíng)業≥♦↓≥(yè)信息安全等級保護工(gōng)作(•§✘zuò)的(de)指導意見(jiàn)》。現(xiàn)印發給你(nǐ)們，請(₹₽∏qǐng)遵照(zhào)執行(xíng)。

聯系人(rén)：衛生(shēng)部統計(jì)信息中心  楊慧清、矯湧本

聯系電(diàn)話(huà)：010－68791029、68792497

傳真：010－68792836

二〇一(yī)一(yī)年(nián)十二月(yuè)二日(rì)

衛生(shēng)行(xíng)業(yè)信息安全等級保護

工(gōng)作(zuò)的(de)指導意見(jiàn)

衛生(shēng)信息安全工(gōng)作(zuò) "λ是(shì)我國(guó)衛生(shēng)事(shì)業(yè)發展的(de)×♠ 重要(yào)組成部分(fēn)。做(zuò)好δ≈$↑(hǎo)信息安全等級保護工(gōng)作(zuò)，對(duì)于促進衛生(shē¥•  ng)信息化(huà)健康發展，保障醫(yī)藥衛生(shēλ​>ng)體(tǐ)制(zhì)改革，維護公共利益、社會(huì) 秩序和(hé)國(guó)家(jiā)安全具有(yǒu)重要(yào✘σ)意義。為(wèi)貫徹落實國(guó)家(jiā)信息安全等級保護制(zhì)度♣≤α←，規範和(hé)指導全國(guó)衛生(shēng)行(xíng)業(yè)信息安全等級♦§π¶保護工(gōng)作(zuò)，制(zh​♥ì)定本指導意見(jiàn)。

一(yī)、工(gōng)作(zuò)目标

依據國(guó)家(jiā)信息安全等級₹§±♣保護制(zhì)度，遵循相(xiàng)關标準規範，在‍≤→≠衛生(shēng)行(xíng)業(yè)全面開(kāi)展信息安全等級保護定級備案、建設整改和€€>&(hé)等級測評等工(gōng)作(zuò)，明(míng)确信息安全☆§<↑保障重點，落實 信息安全責任，建立信息安全等級保護工(gōn ₹↓g)作(zuò)長(cháng)效機(jī)制(zhì)，切實提高(gāo)衛生(shēng)行(±'xíng)業(yè)信息安全防護能(néng)力、±∏$&隐患發現(xiàn)能(néng)力、應急處置能(né€$©≈ng)力，為(wèi)衛生(shēng)信息化(hφαuà)健康發展提供可(kě)靠保障， 全面維護公共利益、社會(huì)秩序和(hé)國(guβ≠✘ó)家(jiā)安全。

二、 工(gōng)作(zuò)原則

（一(yī)）遵循标準，重點保護。遵循國(guó)家(ji"₩→ā)信息安全等級保護相(xiàng)關标準規範，結合衛生(shēng)"✔∞行(xíng)業(yè)信息系統特點，優先保護重要(yào)×α≥∞衛生(shēng)信息系統，優先滿足重點β∞↕✘信息安全需求。

（二）行(xíng)業(yè)指導，屬地(dì)管理(lǐ)∑γ↑β。衛生(shēng)行(xíng)業(yè)信息安全等級保α↑護工(gōng)作(zuò)實行(xíng)行(xíng)業(yè)指導、屬地(dì)管理(lǐ ≤α)。地(dì)方各級衛生(shēng)行(xíng)政部門(mén)要(yào)按照(×$≤zhào)國(guó)家(jiā)信息安全等級保護制(zhì)度有(↑∞★¶yǒu)關要(yào)求，做(zuò)好(hǎo)本地(dì)區(§•qū)衛生(shēng)信息系統安全等級保護的(de)™↕β指導和(hé)管理(lǐ)工(gōng)作★€‍​(zuò)。衛生(shēng)行(xíng)業(yèσγ)各單位要(yào)按照(zhào)“誰主管、誰負責，誰運營、誰負責”的(de)要(yào)求，®♠&落實信息安全責任。

（三）同步建設，動态完善。在信息系統規劃設計(jì)與建設過程中，同步開✔✘☆•(kāi)展信息安全等級保護工(gōng)作(zuò)。因信息和(hé)信息系統的(™ ♥de)業(yè)務類型、應用(yòng)範圍等條件(jiàn)改變導緻≠£≈安全需求發生(shēng)變化(huà)時(shí)，應當重新調整信息系統安全保護等級，♦↑®及時(shí)完善安全保障措施。

三、工(gōng)作(zuò)機(jī)制(zhì)→π

地(dì)方各級衛生(shēng)行(xíng)政部門(mén)承擔本地(dì)衛生(sπ♥♣ hēng)信息安全責任，信息化(huà)工(gō✘ ng)作(zuò)領導小(xiǎo)組統籌組織本地(dì)衛生(shēng)信息安全等級™←¶λ保護工(gōng)作(zuò)。衛生(shēng ↔)部信息化(huà)工(gōng)作(zuò)領導小(xiǎo)組↔Ω負責對(duì)全國(guó)衛生(shēng)行(xíng)業(yè) 信息安全等級保護工(gōng)作(zuò)的(de)組織協調、監督£™∞↑指導，并組織開(kāi)展部機(jī)關信息安全等級保護工(gōng)作(®£zuò)。省級、地(dì)市(shì)級衛生(shēng)行(xíng)政部門(mén)信¶​ε£息化(huà)工(gōng)作(zuò)領導小(xiǎo)組®↕♥負責對(duì)本地(dì)區(qū)衛生(shēng)行(xíng)÷€✘業(yè)信 息安全等級保護工(gōng)作(zuò)¥∑ ♠的(de)組織協調、監督指導，并組織開(kāi)展本單位​λ✘信息安全等級保護工(gōng)作(zuò)。

衛生(shēng)部建立信息安全等級保護工(gōng)作(zuò)聯絡員(y∞&uán)機(jī)制(zhì)，各省級衛生(shēn<♥g)行(xíng)政部門(mén)應當設置信息安全等級保護工(gōng)作(zuò)聯‌®↓絡員(yuán)。聯絡員(yuán)職責是(shì)落實國(guó)家(β★jiā)信息安全等級保護工(gōng)作(zuò)的(de)有(yǒu)π↔±∞關政 策和(hé)技(jì)術(shù)标準，掌握本地(dì)區(qū)信息安全等級保護工(↓π✘δgōng)作(zuò)動态和(hé)總體(tǐ)情況，代表本地(dì)÷‍≠區(qū)與衛生(shēng)部及同級信息安全等級保護管理(lǐ)≤•¶部門(mén)進行(xíng)日(rì)常聯系和(hé)₽∞↓ 交流，協調落實本地(dì)區(qū)信 息安全等級保護工(gōng)作(zuò)。

衛生(shēng)部和(hé)各省級衛生(shēng)行(xíng)政部門(mén←β✘)應當分(fēn)别建立信息安全技(jì)術 ↔ (shù)專家(jiā)委員(yuán)會(huì)，↓ ©參與信息系統定級指導、備案審查、方案論證γ↓₹"、安全咨詢、安全檢查等技(jì)術(shù)工(gōng)作(zuò)。信息安全技₩₹(jì)術(shù)專家(jiā)委員(yuán)會(huì)應當包含衛生(shēδ&&ng)行(xíng)業(yè)、公安機(jī)關及信息安全技(jì)術(shù)✘♦>等專家(jiā)。

四、工(gōng)作(zuò)任務

（一(yī)）定級備案。

1．衛生(shēng)行(xíng)業(yè)各單位應當對(duì)本單位建設→‌λ與運營的(de)衛生(shēng)信息系統進行(xδ≈íng)自(zì)查，對(duì)未定級、定₹∑☆∏級不(bù)準的(de)信息系統,應當按照(zhào)《信息安全技(jì>‍ )術(shù)信息系統安全等級保護定級指南(nán)》開(k∏✘āi)展定級工(gōng)作(zuò)。

國(guó)家(jiā)信息安全等級保護制(zhì)度将信息☆ 安全保護等級分(fēn)為(wèi)五級：第一(yī)級為(wèi)自(zì)主保護級，第二級φ≠為(wèi)指導保護級，第三級為(wèi)監督保護級α"≤€，第四級為(wèi)強制(zhì)保護級，第五γ≠級為(wèi)專控保護級。以下(xià)重要(yào∞ ∑€)衛生(shēng)信息系統安全保護等級原則上(shàng)不(b≥&φù)低(dī)于第三級：

（1）衛生(shēng)統計(jì)網絡直報(b≠→★ào)系統、傳染性疾病報(bào)告系統、衛生(shēng)監督信息↕ 報(bào)告系統、突發公共衛生(shēng)事(shì)件(jiàn)應急指揮信息系統等跨省全國×‍↓α(guó)聯網運行(xíng)的(de)信息系統；

（2）國(guó)家(jiā)、省、地(dì)市(shì)三級衛生(shēng)信息平台¥α，新農(nóng)合、衛生(shēng)監督÷α​↓、婦幼保健等國(guó)家(jiā)級數(shù)據δ¥中心；

（3）三級甲等醫(yī)院的(de)核心業(yè)務信息系統；

（4）衛生(shēng)部網站(zhàn)系統；≠λ£

（5）其他(tā)經過信息安全技(jì)術(shù)專家(jiā)委員(yuán∞Ω)會(huì)評定為(wèi)第三級以上(shàng)（含第三級） ≈的(de)信息系統。

2.拟定為(wèi)第三級以上(shàng)（含第三級）的(deσ≤)衛生(shēng)信息系統，應當經信息安全技(jì)術(shù)專家(jiā)委員(y¶¶uán)會(huì)論證、評審。

3.衛生(shēng)行(xíng)業(yè)各單位在确定信息系統安全保護等級後，對(duì)÷♦第二級以上(shàng)（含第二級）信息系統，應β÷當報(bào)屬地(dì)公安機(jī)關及衛生(shēng)×♣£↔行(xíng)政部門(mén)備案。跨省≥®←全國(guó)聯網運行(xíng)并由衛生(shēng)部定級的(de)信 ←✘→息系統，由衛生(shēng)部報(bào)公安∏ ₽部備案；在各地(dì)運行(xíng)、應用(yòng)的(de)分(f¶×ēn)支系統，應當報(bào)屬地(dì)公安機(jī)關備案。

（二） 建設與整改。

1.對(duì)已确定安全保護等級的(de) ↔φ第二級以上(shàng)（含第二級）衛生(shēng)信息系統，應當按照(z♦Ωhào)國(guó)家(jiā)信息安全等級保♦"✔護工(gōng)作(zuò)規範和(hé)《信息安全技(jì<<'γ)術(shù)信息系統安全等級保護基本要(yào)求》等國(guó)家(jiā)标準"'，開(kāi)展安全保護現(xiàn)狀分(fēn)析，查找安全隐患∞λ∞及與國(guó)家(jiā)信息安全等級保護标準之間(jiān)的(de)差距，确定安全需求。€↓™$

2.根據信息系統安全保護現(xiàn)狀分(λ'$♠fēn)析結果，按照(zhào)《信息安全技(jì)術(shù)信息系統§¶安全等級保護基本要(yào)求》、《信息安全技(jì)術(shù)信息系統&₽等級保護安全設計(jì)技(jì)術(shù)要(yào)求》等國×®φ(guó)家(jiā)标 準，制(zhì)訂信息系統安全等級保護建∑≠→∑設整改方案。第三級以上(shàng)（含第三級）衛✘δ 生(shēng)信息系統安全建設整改方案應當經信息安全技(jì)術(shù)專家(jiā)™↔委員(yuán)會(huì)論證。

3.衛生(shēng)行(xíng)業(yè)各單位應δ∏₹當按照(zhào)信息系統安全建設整改方案，完善安全保護設施，建立安全管理(lǐ)制λ​σ(zhì)度，落實安全管理(lǐ)措施，形成信息安全技(jì)術(shù)防護體(tǐ€α )系和(hé)信息安全管理(lǐ)體(tǐ)系，有(yǒ§♥u)效保障衛生(shēng)信息系統安全。

（三）等級測評。

1.系統建設整改工(gōng)作(zuò)完成後，應當按照(zhào)《信息安全等級保護管‌↓理(lǐ)辦法》要(yào)求，從(cóng)全國(guó)信息安全等級保護測評機(jī)構 ÷ ¥推薦目錄中選擇等級測評機(jī)構，對(duì)第三級以上(shàng)（∑♣¶含第三級）衛生(shēng)信息系統進行(xíng)等級測評。

2.測評合格後，應當将測評報(bào)告報(bào)<σ♠ε屬地(dì)公安機(jī)關及衛生(shē→₩≥≠ng)行(xíng)政部門(mén)備案。

3.應當每年(nián)對(duì)第三級以上(shàng)（含≠ε"第三級）衛生(shēng)信息系統進行(xíng)等級測評。對(duì)于↑$÷重要(yào)部門(mén)的(de)第二級信息系統，可(kě)參照(zhào)上(sh≤α₩àng)述要(yào)求進行(xíng)等級測評。

（四）宣傳培訓。

1.各級衛生(shēng)行(xíng)政部門(mén)信息化(hu​↑♥à)工(gōng)作(zuò)領導小(xiǎ↕© o)組應當對(duì)本地(dì)區(qū)各級各類醫(yī)療衛生(sh<>ēng)機(jī)構開(kāi)展等級保護政策和(hé)标準規範培訓，提高(gāΩ$≥πo)各單位信息安全管理(lǐ)人(rén)員(yuá&×‍n)的(de)技(jì)術(shù)能(néng)力和(h→©>₹é)管理(lǐ)水(shuǐ)平。

2.衛生(shēng)行(xíng)業(yè)各≥‌單位應當開(kāi)展內(nèi)部信息安全培訓，提升全員(yuán)信息安全意識，規範信息安全操λ π作(zuò)行(xíng)為(wèi)，提高(gāo)信息安全保障能(néng)©≤•↓力。

（五）監督檢查。

1.衛生(shēng)部信息化(huà)工(gōng)作(£✘←>zuò)領導小(xiǎo)組負責督導檢查各地(dì)醫(yī)療衛生(shēng)機(jī&§÷₽)構信息安全等級保護工(gōng)作(zuò)落實情況，并督促部機(jī)關重要(yào)信息系¥δ統責任單位開(kāi)展信息安全等級保護工(≥∑gōng)作(zuò)。

2.省級衛生(shēng)行(xíng)政§÷部門(mén)信息化(huà)工(gōng)作(zuò)領導小(xiǎo)組₽€ ↑負責督導檢查本地(dì)區(qū)衛生(sh★↑≠ēng)行(xíng)業(yè)各單位信息安全等級保護工(gōng)作(zuò"δ)落實情況，并督促本單位開(kāi)展信息安全等級保護工(gōng)作(zuò)。€≠←∞

3.省級衛生(shēng)行(xíng)政部門(mén)信息化(huà)工(gōng)作(‌ ≈zuò)領導小(xiǎo)組應當于每年(nián)年(nián)底，向衛生(shēng& ♠¥)部信息化(huà)工(gōng)作(zuò)領導小♦γ(xiǎo)組報(bào)送本地(dì)區(qū)信息系統定級備案、建設整改、等級測評和(±≤↓★hé)自(zì)查等工(gōng)作(zuò)開(kāi)展情況。

五、 工(gōng)作(zuò)要(yào)求

（一(yī)）高(gāo)度重視(shì)，加強領導。衛 生(shēng)行(xíng)業(yè)各單位要(yào)高(gāo)度重視(shì₹→€)，充分(fēn)認識信息安全等級保護工(gōng)作(zuò)對(duì)保護居民ε✔₹σ(mín)健康信息安全、醫(yī)療衛生(shēng)機(jī)構正常運轉和♥§₽↔(hé)社會(huì)穩定的(de)重要(yào) ↑意義。各單位主要(yào)負責同志(zhì)要(yà÷  ¥o)負總 責，分(fēn)管負責同志(zhì)要(yào)具體>¶≤÷(tǐ)抓，明(míng)确職責與任務，突出重點，将信息安全等級保護工φ∏≠ (gōng)作(zuò)列入重要(yào)議(yì)事 ">(shì)日(rì)程和(hé)工(gōng)作(zuò)績效考¶‍核指标，一(yī)級抓一(yī)級，層層抓落實。

（二）保障經費(fèi)，加強監管。衛生(shēng)行(xí$∑ ng)業(yè)各單位要(yào)建立經費(fèi)投入機®‍×(jī)制(zhì)，将信息安全等級保護建設整改、等級測♦♦ε評、信息安全服務、技(jì)術(shù)培訓等費(fèi)用(yòng•☆ >)納入信息化(huà)建設預算(suàn)，并加強對(duì)資金(jīnα£&>)使用(yòng)的(de)監管。

（三）加強溝通(tōng)，密切合作(zuò)。各級衛生(shēng)行(xíng)政部♥"γ‍門(mén)應當加強與本地(dì)信息安全等級保護管理(lǐ)部♦♥∑&門(mén)的(de)溝通(tōng)交流，建立協作(zuò)機(jī)制•£≈✘(zhì)，在信息安全等級保護工(gōng)作(zuò)中的(de)定♠÷®≤級備案、建設整改、等級測評、監督檢查等環節密切合作(zuò)，共同推進信息♣δ‍安全等級保護工(gōng)作(zuò)。