三部门加强医疗机构网络安全管理

三部门加强医疗机构网络安全管理

新建信息化项目的网络安全预算不得低于5%

（记者 郭蕾）近日，国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》。《办法》要求，各医疗卫生机构应依据相关标准确定网络安全保护等级，新建网络上线运行前应进行安全性测试，新建信息化项目的网络安全预算不低于项目总预算的5%。

《办法》明确，各医疗卫生机构应在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责，对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。

《办法》提出，各医疗卫生机构应在规划和申报阶段确定网络安全保护等级。全面梳理本单位各类网络应用的基本情况，依据相关标准科学确定网络的安全保护等级，并报上级主管部门审核同意。

《方法》要求，各医疗卫生机构应对已定级备案网络的安全性进行检测评估。第三级或第四级的网络应委托等级保护测评机构，每年至少开展一次网络安全等级测评；第二级的网络应委托等级保护测评机构定期开展网络安全等级测评。同时，各医疗卫生机构应加强本单位网络安全通报预警力量建设，建立应急处置机制，每年开展安全自查。

《办法》明确，各医疗卫生机构应履行数据安全保护义务，建立健全数据安全和个人信息保护制度。每年对数据资产进行全面梳理，依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。每年对本单位的数据进行数据安全风险评估，及时掌握数据安全状态。同时，加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作，数据全生命周期活动应在境内开展。

来源：健康报