| 各設區(qū)市衛(wèi)生局,楊凌示范區(qū)社會事業(yè)局�����,廳直屬��、部屬各醫(yī)療衛(wèi)生單位、廳機關各處室: 現(xiàn)將《陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案》印發(fā)給你們���,請遵照執(zhí)行����。 二〇一二年四月十六日 陜西省衛(wèi)生行業(yè)信息安全等級保護工作實施方案 信息安全等級保護是一項重要國家安全制度����,為了規(guī)范和指導衛(wèi)生行業(yè)信息安全等級保護工作,衛(wèi)生部印發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)〔2011〕85號)�����。按照公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)和衛(wèi)生部有關要求��,結合我省衛(wèi)生行業(yè)實際�����,特制定本實施方案��。 一��、 指導思想和基本原則 (一) 指導思想 以科學發(fā)展觀為指導�,認真貫徹落實國家和省有關信息安全等級保護規(guī)定和要求,維護和保障國家信息安全�����、人民群眾個人權益���,促進衛(wèi)生信息化健康發(fā)展���,保障醫(yī)藥衛(wèi)生體制改革,維護公共利益�����、社會秩序����。 (二)基本原則 1、遵循標準����,重點保護。遵循國家和省信息安全等級保護相關標準規(guī)范��,結合我省衛(wèi)生行業(yè)信息系統(tǒng)實際��,優(yōu)先保護重要的、涉及面廣���、遭受破壞對社會危害程度大的信息系統(tǒng)��,優(yōu)先滿足重點信息系統(tǒng)安全需求�。 2�、行業(yè)指導,屬地管理�����。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導��、屬地管理��。各市級衛(wèi)生行政部門要按照國家和省信息安全等級保護制度有關要求���,做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導��、管理和保護工作�。各單位要按照“誰主管��、誰負責,誰運營�、誰負責”的要求��,落實信息安全責任����。 3、同步建設��,動態(tài)完善���。在信息系統(tǒng)規(guī)劃設計與建設過程中���,同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型���、應用范圍等條件改變導致安全需求發(fā)生變化時����,應當重新調整信息系統(tǒng)安全保護等級���,及時完善安全保障措施�����。 二����、建設目標 依據(jù)國家、省信息安全等級保護制度��,遵循相關標準規(guī)范�����,在全省衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案�、建設整改和等級測評等工作,明確信息安全保障重點��,落實信息安全責任����,建立信息安全等級保護工作長效機制,切實提高衛(wèi)生行業(yè)信息安全防護能力�����、隱患發(fā)現(xiàn)能力�、應急處置能力,為衛(wèi)生信息化健康發(fā)展提供可靠保障,全面維護公共利益�、社會秩序和國家安全。 三��、主要任務 (一)定級備案 1����、衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查��,應當按照《信息安全技術信息系統(tǒng)安全等級保護定級指南》開展定級工作����。 國家信息安全等級保護制度將信息安全保護等級分為五級:第一級為自主保護級,第二級為指導保護級��,第三級為監(jiān)督保護級���,第四級為強制保護級����,第五級為�?乇Wo級。以下重要衛(wèi)生信息系統(tǒng)安全等級保護原則上不低于第三級: (1)全省衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)����、傳染性疾病報告系統(tǒng)���、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨市全省聯(lián)網(wǎng)運行的信息系統(tǒng)�; (2)省、市�����、縣三級區(qū)域衛(wèi)生信息平臺���、業(yè)務系統(tǒng)(新農(nóng)合�、衛(wèi)生監(jiān)督�����、婦幼保健等)及數(shù)據(jù)中心�; (3)二級及以上醫(yī)院的核心業(yè)務信息系統(tǒng)(電子病歷、財務)���; (4)其他經(jīng)過信息安全技術專家技術指導組評定為第三級以上(含第三級)的信息系統(tǒng)�����。 2��、擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng)�����,應當經(jīng)當?shù)匦畔踩夹g專家技術指導組論證�、評審。 3����、各單位在確定信息系統(tǒng)安全保護等級后��,對第二級以上(含第二級)信息系統(tǒng)��,應當報屬地公安機關網(wǎng)安部門及衛(wèi)生行政部門備案����?缡腥÷(lián)網(wǎng)運行并由省衛(wèi)生廳定級的信息系統(tǒng)����,由省衛(wèi)生廳報省公安廳備案;在各市�����、縣運行、應用的分支系統(tǒng)���,應當報屬地公安機關備案�。 (二) 建設與整改 1����、對確定安全保護等級第二級以上(含第二級)的衛(wèi)生信息系統(tǒng),應當按照國家���、省信息安全等級保護工作規(guī)范和《信息安全技術信息系統(tǒng)安全等級保護基本要求》等標準���,開展安全保護現(xiàn)狀分析,查找安全隱患及與信息安全等級保護標準之間的差距���,確定安全需求��。 2�、根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結果��,按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》�����、《信息安全技術信息系統(tǒng)等級保護安全設計技術要求》等國家標準,制訂信息系統(tǒng)安全等級保護建設整改方案���。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設整改方案應當經(jīng)信息安全技術專家技術指導組論證���。 3、各地各單位應當按照信息系統(tǒng)安全建設整改方案���,完善安全保護設施�����,建立安全管理制度,落實安全管理措施��,形成信息安全技術防護體系和信息安全管理體系���,有效保障衛(wèi)生信息系統(tǒng)安全�����。 (三)等級測評 1����、系統(tǒng)建設整改工作完成后,應當按照《信息安全等級保護管理辦法》要求��,從省信息安全等級保護測評機構推薦目錄中選擇等級測評機構����,對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。 2�、測評合格后,應當將測評報告報屬地公安機關及衛(wèi)生行政部門備案���。 3�、對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)每年應當進行等級測評�。對于重要部門的第二級信息系統(tǒng),可參照上述要求進行等級測評�。 (四)宣傳培訓 1、省衛(wèi)生廳將集中開展信息安全等級保護培訓��,各市����、縣衛(wèi)生行政部門信息化工作領導小組也要對本地區(qū)各級各類醫(yī)療衛(wèi)生機構開展等級保護政策和標準規(guī)范培訓,提高各單位信息安全管理人員的技術能力和管理水平���。 2����、各醫(yī)療衛(wèi)生單位要積極組織開展內部信息安全培訓,提升全員信息安全意識����,規(guī)范信息安全操作行為,提高信息安全保障能力����。 (五)監(jiān)督檢查 1、省衛(wèi)生廳信息化工作領導小組辦公室負責督導檢查各市和廳直屬��、部屬醫(yī)療衛(wèi)生機構信息安全等級保護工作落實情況���,并督促廳機關重要信息系統(tǒng)責任單位開展信息安全等級保護工作。 2�、市級衛(wèi)生行政部門信息化工作領導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況,并負責本單位開展信息安全等級保護工作����。 3、市級衛(wèi)生行政部門信息化工作領導小組應當于每年12月15日前�,向省衛(wèi)生廳信息化工作領導小組報送本地區(qū)信息系統(tǒng)定級備案��、建設整改���、等級測評和自查等工作開展情況。 四��、時間安排 (一)第一階段�����。2012年7月底以前��,按照《陜西省衛(wèi)生行業(yè)信息安全等級保護實施方案》����,建立省、市二級信息安全等級保護專家技術指導組���,確定信息安全等級保護工作聯(lián)絡員��,并完成技術培訓���。 (二)第二階段。2012年底前,完成三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)��,已建成運行跨市全省聯(lián)網(wǎng)運行的信息系統(tǒng)的定級����、保護和備案工作。 (三)第三階段�����。2013年12月30日前�,完成二級及區(qū)域衛(wèi)生信息平臺等及其它已建成運行的業(yè)務信息系統(tǒng)的定級、保護和備案�。 五、保障措施 (一)加強組織領導���。各級醫(yī)療衛(wèi)生機構要高度重視�,充分認識信息安全等級保護工作對保護居民健康信息安全�����、醫(yī)療衛(wèi)生機構正常運轉和社會穩(wěn)定的重要意義���。各單位主要領導要負總責,分管領導要具體抓,明確職責與任務�����,突出重點��,將信息安全等級保護工作列入重要議事日程和工作績效考核指標�,一級抓一級,層層抓落實���。 省衛(wèi)生廳成立陜西省衛(wèi)生行業(yè)信息安全等級保護專家技術指導組�����,為各地��、各醫(yī)療衛(wèi)生單位業(yè)務信息系統(tǒng)定級�、測評���、備案提供技術指導和業(yè)務培訓����。建立省�����、市二級信息安全等級保護工作聯(lián)絡員機制。聯(lián)絡員職責是落實國家����、省信息安全等級保護工作的有關政策和技術標準,掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況�,代表本地區(qū)與省衛(wèi)生廳及同級公安部門進行日常聯(lián)系和交流。 (二)保障經(jīng)費����,加強監(jiān)管。各級醫(yī)療衛(wèi)生機構要建立經(jīng)費投入機制���,將信息安全等級保護建設整改�、等級測評���、信息安全服務��、技術培訓等費用納入信息化建設預算����,并加強對資金使用的監(jiān)管��。 (三)加強溝通,密切合作�����。各級衛(wèi)生行政部門應當加強與當?shù)毓膊块T的溝通交流�,建立協(xié)作機制����,在信息安全等級保護工作中的定級備案、建設整改��、等級測評����、監(jiān)督檢查等環(huán)節(jié)密切合作,共同推進信息安全等級保護工作���。 | 
