关于印发医疗卫生机构网络安全管理办法的通知 国卫规划发〔2022〕29号 各省、自治区、直辖市及新疆生产建设兵团卫生健康委、中医药局，国家卫生健 康委机关各司局、委直属和联系单位、中国老龄协会，国家中医药局、国家疾控 局机关各司局、各直属单位：为指导医疗卫生机构加强网络安全管理，国家卫生 健康委、国家中医药局、国家疾控局制定了《医疗卫生机构网络安全管理办法》。 现印发给你们，请认真贯彻执行。 国家卫生健康委 国家中医药局 国家疾控局 2022年8月8日 医疗卫生机构网络安全管理办法第一章 总则 第一条为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康” 发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，加强医疗 卫生机构网络安全管理，防范网络安全事件发生，根据《基本医疗卫生与健康促 进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等 有关法律法规标准，制定本办法。 第二条坚持网络安全为人民、网络安全靠人民、坚持网络安全教育、技术、产 业融合发展、坚持促进发展和依法管理相统一、坚持安全可控和开放创新并重。 坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第 三级（以下简称第三级）及以上网络以及重要数据和个人信息安全。坚持积极防 御、综合防护。充分利用人工智能、大数据分析等技术，强化安全监测、态势感 知、通报预警和应急处置等重点工作，落实网络安全保护“实战化、体系化、常 态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控” 的“三化六防”措施。坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负 责、谁使用谁负责”的原则，落实网络安全责任制，明确各方责任。 第三条本办法所称的网络是指由计算机或者其他信息终端及相关设备组成的按 照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。本办法 所称的数据为网络数据，是指医疗卫生机构通过网络收集、存储、传输、处理和 产生的各种电子数据，包括但不限于各类临床、科研、管理等业务数据、医疗设 备产生的数据、个人信息以及数据衍生物。本办法适用于医疗卫生机构运营网络 的安全管理。未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。 第四条国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评 估、监督医疗卫生机构网络安全工作。县级以上地方卫生健康行政部门（含中医 药和疾控部门，下同）负责本行政区域内医疗卫生机构网络安全指导监督工作。 医疗卫生机构对本单位网络安全管理负主体责任，各医疗卫生机构应当与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违 约责任。 第二章网络安全管理 第五条各医疗卫生机构应成立网络安全和信息化工作领导小组，由单位主要负 责人任领导小组组长，每年至少召开一次网络安全办公会，部署安全重点工作， 落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求。有二级 及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门，明确承担 安全主管、安全管理员等职责的岗位；建立网络安全管理制度体系，加强网络安 全防护，强化应急处置，在此基础上对关键信息基础设施实行重点保护，防止网 络安全事件发生。 第六条各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责” 的原则，在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部 门、使用部门等管理职责，对本单位运营范围内的网络进行等级保护定级、备案、 测评、安全建设整改等工作。（一）对新建网络，应在规划和申报阶段确定网络 安全保护等级。各医疗卫生机构应全面梳理本单位各类网络，特别是云计算、物 联网、区块链、5G、大数据等新技术应用的基本情况，并根据网络的功能、服 务范围、服务对象和处理数据等情况，依据相关标准科学确定网络的安全保护等 级，并报上级主管部门审核同意。（二）新建网络投入使用应依法依规开展等级 保护备案工作。第二级以上网络应在网络安全保护等级确定后10个工作日内， 由其运营者向公安机关备案，并将备案情况报上级卫生健康行政部门，因网络撤 销或变更安全保护等级的，应在10个工作日内向原备案公安机关撤销或变更， 同步上报上级卫生健康行政部门。（三）全面梳理分析网络安全保护需求，按照“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全 计算环境）”的要求，制定符合网络安全保护等级要求的整体规划和建设方案， 加强信息系统自行开发或外包开发过程中的安全管理，认真开展网络安全建设， 全面落实安全保护措施。（四）各医疗卫生机构对已定级备案网络的安全性进行 检测评估，第三级或第四级的网络应委托等级保护测评机构，每年至少一次开展 网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等 级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等 级测评，其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行 前应进行安全性测试。（五）针对等级测评中发现的问题隐患，各医疗卫生机构 要结合外在的威胁风险，按照法律法规、政策和标准要求，制定网络安全整改方 案，有针对性地开展整改，及时消除风险隐患，补强管理和技术短板，提升安全 防护能力。 第七条各医疗卫生机构应依托国家网络安全信息通报机制，加强本单位网络安 全通报预警力量建设。鼓励三级医院探索态势感知平台建设，及时收集、汇总、 分析各方网络安全信息，加强威胁情报工作，组织开展网络安全威胁分析和态势 研判，及时通报预警和处置，防止网络被破坏、数据外泄等事件。 第八条各医疗卫生机构应建立应急处置机制，通过建立完善应急预案、组织应 急演练等方式，有效处理网络中断、网络攻击、数据泄露等安全事件，提高应对 网络安全事件能力。积极参加网络安全攻防演练，提升保护和对抗能力。 第九条各医疗卫生机构在网络运营过程中，应每年开展文档核验、漏洞扫描、 渗透测试等多种形式的安全自查，及时发现可能存在的问题和隐患。针对安全自 查、监测预警、安全通报等过程中发现的安全隐患应认真开展整改加固，防止网络带病运行，并按要求将安全自查整改情况报上级卫生健康行政部门。自查整改 可与等级测评问题整改一并实施。每年安全自查整改工作包括：（一）依据上级 主管监管机构要求，各医疗卫生机构完成信息资产梳理，摸清本单位网络定级、 备案等情况，形成资产清单，组织安全自查。（二）依据上级主管监管机构要求， 各医疗卫生机构依据安全自查结果，对发现的问题和隐患进行整改，形成整改报 告向有关主管监管机构报备。 第十条关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行 安全背景审查。各医疗卫生机构要加强网络运营相关人员管理，包括本单位内部 人员及第三方人员，明确内部人员入职、培训、考核、离岗全流程安全管理，针 对第三方应明确人员接触网络时的申请及批准流程，做好实名登记、人员背景审 查、保密协议签署等工作，防止因人员资质及违规操作引发的安全风险。 第十一条加强网络运维管理，制定运维操作规范和工作流程。加强物理安全防 护，完善机房、办公环境及运维现场等安全控制措施，防止非授权访问物理环境 造成信息泄露。加强远程运维管理，因业务确需通过互联网远程运维的，应进行 评估论证，并采取相应的安全管控措施，防止远程端口暴露引发安全事件。 第十二条各医疗卫生机构应加强业务连续性管理并持续监测网络运行状态。对 于第三级及以上的网络应加强保障关键链路、关键设备冗余备份，有条件的医疗 卫生机构应建立应用级容灾备份，防止关键业务中断。 第十三条应用大数据、人工智能、区块链等新技术开展服务时，上线前应评估 新技术的安全风险并进行安全管控，达到应用与安全的平衡。 第十四条各医疗卫生机构应规范和加强医疗设备数据、个人信息保护和网络安 全管理，建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度，定期检查或评估医疗设备网络安全，并采取相应的 安全管控措施，确保医疗设备网络安全。 第十五条各医疗卫生机构应按照《密码法》等有关法律法规和密码应用相关标 准规范，在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用 符合相关要求的密码产品和服务。 第十六条各医疗卫生机构应关注整个网络全链条参与者的安全管理，涉及非本 单位的第三方时，应对设计、建设、运行、维护等服务实施安全管理，采购安全 的网络产品和服务，防止发生第三方安全事件。 第十七条各医疗卫生机构应加强废止网络的安全管理，对废止网络的相关设备 进行风险评估，及时对其采取封存或销毁措施，确保废止网络中的数据处置安全， 防止网络数据泄露。 第三章数据安全管理 第十八条各医疗卫生机构应按照有关法律法规的规定，参照国家网络安全标准， 履行数据安全保护义务，坚持保障数据安全与发展并重，通过管理和技术手段保 障数据安全和数据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基 础设施安全保护计划，建立健全数据安全和个人信息保护制度。 第十九条应建立数据安全管理组织架构，明确业务部门与管理部门在数据安全 活动中的主体责任，通过安全责任书等方式，规范本单位数据管理部门、业务部 门、信息化部门在数据安全管理全生命周期当中的权责，建立数据安全工作责任 制，落实追责追究制度。 第二十条各医疗卫生机构应每年对数据资产进行全面梳理，在落实网络安全等 级保护制度的基础上，依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。数据分类分级应遵循合法合规原则、可执行原则、时效性