国家再发重磅文件，所有医疗机构都要执行

为指导医疗卫生机构加强网络安全管理，促进“互联网+医疗健康”发展，国家卫生健康委、国家中医药管理局和国家疾病预防控制局近日联合发布《医疗卫生机构网络安全管理办法》（以下简称《办法》）。

《办法》要求，各医疗卫生机构在新建医疗卫生机构运营网络时，应在规划和申报阶段确定网络安全保护等级，新建的网络上线运行前应进行安全性测试。

《办法》鼓励有条件的医疗卫生机构将考核与绩效挂钩，并且新建信息化项目的网络安全预算不低于项目总预算的5%，同时建立专门的人才库储备后续力量。

文件共五章三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节。在适用范围上，涵盖医疗卫生机构运营网络的安全管理，未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。

在监管方面下放权限，由县级以上地方卫生健康行政部门（含中医药和疾控部门，下同）负责本行政区域内医疗卫生机构网络安全指导监督工作。同时，要求各司其职，责任到人。《办法》要求，各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。

网络安全刻不容缓。在疫情期间，医疗机构个人和患者信息泄露事件时有发生。

此外，远程网络诊疗方式在疫情后被人们普遍接受，全国不少医院都在申请互联网医院、智慧医院。业内人士指出，由于使用网络传递诊断数据、照片等信息，医疗健康数据的不安全风险可能会进一步加剧。

《办法》明确，按照“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全计算环境）”，制定符合网络安全保护等级要求的整体规划和建设方案，加强信息系统自行开发或外包开发过程中的安全管理，认真开展网络安全建设，全面落实安全保护措施。

各医疗卫生机构对已定级备案网络的安全性进行检测评估：

1.三、四级网络，每年至少一次

第三级或第四级的网络应委托等级保护测评机构，每年至少一次开展网络安全等级测评。

2.二级网络，涉及10万人以上至少三年一次

第二级的网络应委托等级保护测评机构定期开展网络安全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评。

3.其他机构至少五年一次

其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。

针对等级测评中发现的问题隐患，各医疗卫生机构需结合外在的威胁风险，按照法律法规、政策和标准要求，制定网络安全整改方案，有针对性地开展整改，及时消除风险隐患，补强管理和技术短板，提升安全防护能力。

针对网络安全审查方面，《办法》指出，各医疗卫生机构在网络运营过程中，应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查，及时发现可能存在的问题和隐患。

针对安全自查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查整改情况报上级卫生健康行政部门。

自查整改可与等级测评问题整改一并实施，每年安全自查整改工作包括：

1.依据上级主管监管机构要求，各医疗卫生机构完成信息资产梳理，摸清本单位网络定级、备案等情况，形成资产清单，组织安全自查。

2.依据上级主管监管机构要求，各医疗卫生机构依据安全自查结果，对发现的问题和隐患进行整改，形成整改报告向有关主管监管机构报备。

对于违反本办法规定方面的处罚措施，《办法》指出，发生个人信息和数据泄露，或者出现重大网络安全事件的，按《网络安全法》《国密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。