各省、自治區(qū)、直轄市衛(wèi)生廳局，新疆生產(chǎn)建設兵團及計劃單列市衛(wèi)生局，部直屬各單位，部機關(guān)各司局：

　　為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作，按照公安部《關(guān)于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)要求，我部結(jié)合衛(wèi)生行業(yè)實際，研究制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》?，F(xiàn)印發(fā)給你們，請遵照執(zhí)行。

　　二〇一一年十一月二十九日

　　衛(wèi)生行業(yè)信息安全等級保護工作的指導意見

　　衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級保護工作，對于促進衛(wèi)生信息化健康發(fā)展，保障醫(yī)藥衛(wèi)生體制改革，維護公共利益、社會秩序和國家安全具有重要意義。為貫徹落實國家信息安全等級保護制度，規(guī)范和指導全國衛(wèi)生行業(yè)信息安全等級保護工作，制定本指導意見。

　　一、工作目標

　　依據(jù)國家信息安全等級保護制度，遵循相關(guān)標準規(guī)范，在衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設整改和等級測評等工作，明確信息安全保障重點，落實信息安全責任，建立信息安全等級保護工作長效機制，切實提高衛(wèi)生行業(yè)信息安全防護能力、隱患發(fā)現(xiàn)能力、應急處置能力，為衛(wèi)生信息化健康發(fā)展提供可靠保障，全面維護公共利益、社會秩序和國家安全。

　　二、 工作原則

　　(一)遵循標準，重點保護。遵循國家信息安全等級保護相關(guān)標準規(guī)范，結(jié)合衛(wèi)生行業(yè)信息系統(tǒng)特點，優(yōu)先保護重要衛(wèi)生信息系統(tǒng)，優(yōu)先滿足重點信息安全需求。

　　(二)行業(yè)指導，屬地管理。衛(wèi)生行業(yè)信息安全等級保護工作實行行業(yè)指導、屬地管理。地方各級衛(wèi)生行政部門要按照國家信息安全等級保護制度有關(guān)要求，做好本地區(qū)衛(wèi)生信息系統(tǒng)安全等級保護的指導和管理工作。衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責，誰運營、誰負責”的要求，落實信息安全責任。

　　(三)同步建設，動態(tài)完善。在信息系統(tǒng)規(guī)劃設計與建設過程中，同步開展信息安全等級保護工作。因信息和信息系統(tǒng)的業(yè)務類型、應用范圍等條件改變導致安全需求發(fā)生變化時，應當重新調(diào)整信息系統(tǒng)安全保護等級，及時完善安全保障措施。

　　三、工作機制

　　地方各級衛(wèi)生行政部門承擔本地衛(wèi)生信息安全責任，信息化工作領(lǐng)導小組統(tǒng)籌組織本地衛(wèi)生信息安全等級保護工作。衛(wèi)生部信息化工作領(lǐng)導小組負責對全國衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)、監(jiān)督指導，并組織開展部機關(guān)信息安全等級保護工作。省級、地市級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責對本地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的組織協(xié)調(diào)、監(jiān)督指導，并組織開展本單位信息安全等級保護工作。

　　衛(wèi)生部建立信息安全等級保護工作聯(lián)絡員機制，各省級衛(wèi)生行政部門應當設置信息安全等級保護工作聯(lián)絡員。聯(lián)絡員職責是落實國家信息安全等級保護工作的有關(guān)政策和技術(shù)標準，掌握本地區(qū)信息安全等級保護工作動態(tài)和總體情況，代表本地區(qū)與衛(wèi)生部及同級信息安全等級保護管理部門進行日常聯(lián)系和交流，協(xié)調(diào)落實本地區(qū)信息安全等級保護工作。

　　衛(wèi)生部和各省級衛(wèi)生行政部門應當分別建立信息安全技術(shù)專家委員會，參與信息系統(tǒng)定級指導、備案審查、方案論證、安全咨詢、安全檢查等技術(shù)工作。信息安全技術(shù)專家委員會應當包含衛(wèi)生行業(yè)、公安機關(guān)及信息安全技術(shù)等專家。

　　四、工作任務

　　(一)定級備案。

　　1.衛(wèi)生行業(yè)各單位應當對本單位建設與運營的衛(wèi)生信息系統(tǒng)進行自查，對未定級、定級不準的信息系統(tǒng),應當按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》開展定級工作。

　　國家信息安全等級保護制度將信息安全保護等級分為五級：第一級為自主保護級，第二級為指導保護級，第三級為監(jiān)督保護級，第四級為強制保護級，第五級為專控保護級。以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級：

　　(1)衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)、傳染性疾病報告系統(tǒng)、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng);

　　(2)國家、省、地市三級衛(wèi)生信息平臺，新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心;

　　(3)三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng);

　　(4)衛(wèi)生部網(wǎng)站系統(tǒng);

　　(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)。

　　2.擬定為第三級以上(含第三級)的衛(wèi)生信息系統(tǒng)，應當經(jīng)信息安全技術(shù)專家委員會論證、評審。

　　3.衛(wèi)生行業(yè)各單位在確定信息系統(tǒng)安全保護等級后，對第二級以上(含第二級)信息系統(tǒng)，應當報屬地公安機關(guān)及衛(wèi)生行政部門備案。跨省全國聯(lián)網(wǎng)運行并由衛(wèi)生部定級的信息系統(tǒng)，由衛(wèi)生部報公安部備案;在各地運行、應用的分支系統(tǒng)，應當報屬地公安機關(guān)備案。

　　(二) 建設與整改。

　　1.對已確定安全保護等級的第二級以上(含第二級)衛(wèi)生信息系統(tǒng)，應當按照國家信息安全等級保護工作規(guī)范和《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》等國家標準，開展安全保護現(xiàn)狀分析，查找安全隱患及與國家信息安全等級保護標準之間的差距，確定安全需求。

　　2.根據(jù)信息系統(tǒng)安全保護現(xiàn)狀分析結(jié)果，按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《信息安全技術(shù)信息系統(tǒng)等級保護安全設計技術(shù)要求》等國家標準，制訂信息系統(tǒng)安全等級保護建設整改方案。第三級以上(含第三級)衛(wèi)生信息系統(tǒng)安全建設整改方案應當經(jīng)信息安全技術(shù)專家委員會論證。

　　3.衛(wèi)生行業(yè)各單位應當按照信息系統(tǒng)安全建設整改方案，完善安全保護設施，建立安全管理制度，落實安全管理措施，形成信息安全技術(shù)防護體系和信息安全管理體系，有效保障衛(wèi)生信息系統(tǒng)安全。

　　(三)等級測評。

　　1.系統(tǒng)建設整改工作完成后，應當按照《信息安全等級保護管理辦法》要求，從全國信息安全等級保護測評機構(gòu)推薦目錄中選擇等級測評機構(gòu)，對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。

　　2.測評合格后，應當將測評報告報屬地公安機關(guān)及衛(wèi)生行政部門備案。

　　3.應當每年對第三級以上(含第三級)衛(wèi)生信息系統(tǒng)進行等級測評。對于重要部門的第二級信息系統(tǒng)，可參照上述要求進行等級測評。

　　(四)宣傳培訓。

　　1.各級衛(wèi)生行政部門信息化工作領(lǐng)導小組應當對本地區(qū)各級各類醫(yī)療衛(wèi)生機構(gòu)開展等級保護政策和標準規(guī)范培訓，提高各單位信息安全管理人員的技術(shù)能力和管理水平。

　　2.衛(wèi)生行業(yè)各單位應當開展內(nèi)部信息安全培訓，提升全員信息安全意識，規(guī)范信息安全操作行為，提高信息安全保障能力。

　　(五)監(jiān)督檢查。

　　1.衛(wèi)生部信息化工作領(lǐng)導小組負責督導檢查各地醫(yī)療衛(wèi)生機構(gòu)信息安全等級保護工作落實情況，并督促部機關(guān)重要信息系統(tǒng)責任單位開展信息安全等級保護工作。

　　2.省級衛(wèi)生行政部門信息化工作領(lǐng)導小組負責督導檢查本地區(qū)衛(wèi)生行業(yè)各單位信息安全等級保護工作落實情況，并督促本單位開展信息安全等級保護工作。

　　3.省級衛(wèi)生行政部門信息化工作領(lǐng)導小組應當于每年年底，向衛(wèi)生部信息化工作領(lǐng)導小組報送本地區(qū)信息系統(tǒng)定級備案、建設整改、等級測評和自查等工作開展情況。

　　五、 工作要求

　　(一)高度重視，加強領(lǐng)導。衛(wèi)生行業(yè)各單位要高度重視，充分認識信息安全等級保護工作對保護居民健康信息安全、醫(yī)療衛(wèi)生機構(gòu)正常運轉(zhuǎn)和社會穩(wěn)定的重要意義。各單位主要負責同志要負總責，分管負責同志要具體抓，明確職責與任務，突出重點，將信息安全等級保護工作列入重要議事日程和工作績效考核指標，一級抓一級，層層抓落實。

　　(二)保障經(jīng)費，加強監(jiān)管。衛(wèi)生行業(yè)各單位要建立經(jīng)費投入機制，將信息安全等級保護建設整改、等級測評、信息安全服務、技術(shù)培訓等費用納入信息化建設預算，并加強對資金使用的監(jiān)管。

　　(三)加強溝通，密切合作。各級衛(wèi)生行政部門應當加強與本地信息安全等級保護管理部門的溝通交流，建立協(xié)作機制，在信息安全等級保護工作中的定級備案、建設整改、等級測評、監(jiān)督檢查等環(huán)節(jié)密切合作，共同推進信息安全等級保護工作。