《征求意见稿》共分为前言、范围、规范性引用文件、术语和定义、总则、安全管理总体框架、相关方职责、过程管理、数据管理、技术管理和组织管理。
来源:国家卫生健康委统计信息中心,2021年6月3日
互联网医疗健康信息安全管理规范
(征求意见稿)
本文件规定了互联网医疗健康信息安全管理总体框架、信息安全相关方管理、信息安全过程管理、信息安全数据管理、信息安全技术管理和信息安全组织管理的规范和安全要求。
本文件适用于组织、个人在中华人民共和国境内开展互联网医疗健康活动所遵循信息安全管理。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求GB/T 28448 信息安全技术 网络安全等级保护测评要求GB/T 35273 信息安全技术 个人信息安全规范GB/T 370448 信息安全技术 物联网安全参考模型及通用要求
GB/T 37973 信息安全技术 大数据安全管理指南
GB/T 25069界定的以及下列术语和定义适用于本文件。互联网医疗健康服务 internet medical and health services应用互联网及相关信息技术提供的互联网医疗服务、互联网公共卫生服务、互联网家庭医生签约服务、互联网药品供应保障服务、互联网医疗保障结算服务、互联网医学教育和科普服务、互联网人工智能应用服务等。互联网医疗健康信息系统internet medical and health information system应用信息化技术,支撑互联网医疗健康服务、运营与监管业务开展,产生互联网医疗健康信息,为互联网医疗健康服务过程以及管理和决策提供支持的信息系统。为服务过程、完成后实际交付使用的、对外提供互联网医疗健康服务的整套系统,包括计算机硬件、软件、网络等总称。互联网医疗健康信息安全管理 internet medical and health information security management国家和地方网信部门、卫生健康主管部门、医疗卫生机构及其他相关企业和机构,在互联网医疗健康服务开展过程,在应用建设、运营管理和信息管理等阶段,应用合理的技术与管理手段,保障信息安全的管理过程。建设方 construction organization 建设方是指互联网医疗健康信息系统的建设责任主体。建设方可自行负责或委托第三方开展互联网医疗健康信息系统的建设、互联网医疗健康服务运营。服务方是指互联网医疗健康服务的提供主体和责任承担主体。服务方负责保障互联网医疗健康信息安全。运营方 operation organization运营方是指互联网医疗健康服务的运营责任承担主体。运营方负责互联网医疗健康信息系统维护和互联网医疗健康服务运营等,维护系统稳定运行,保障服务稳定开展、推动服务合法合规有序发展的工作内容。监管方是指县级以上卫生健康行政部门。监管方负责对本行政区域内互联网医疗健康信息安全管理监管。个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。
互联网医疗健康的信息安全管理是互联网医疗健康信息系统建设、服务、运营与监管活动过程中的信息安全管理。互联网医疗健康信息安全管理应确保互联网医疗健康信息系统的合规性、可用性和安全性;确保互联网医疗健康信息采集、存储、传输、应用、销毁等全生命周期的信息处理合法、正当、必要的原则,不得过度处理,保障信息完整、保密,保护个人信息安全、公众利益和国家安全。
互联网医疗健康信息安全管理应坚持与现有法律法规与政策标准一致性。对于民法典、网络安全法、网络安全等级保护条例,及其他信息安全相关法律法规与政策标准要求已覆盖内容,本文件不再作规定。
—— 互联网医疗健康信息安全相关方管理:互联网医疗健康信息安全管理明确建设方、服务方、运营方和监管方主体责任;—— 互联网医疗健康信息安全过程管理:互联网医疗健康信息安全管理保障建设、服务、运营和监管全过程的信息安全;—— 互联网医疗健康信息安全数据管理:互联网医疗健康信息安全管理明确数据在采集、存储、传输、应用和销毁等过程的信息安全要求;—— 互联网医疗健康信息安全技术管理:互联网医疗健康信息安全管理明确互联网医疗健康信息系统在应用安全、第三方接入安全和个人信息安全等方面需要遵从的安全规范;
—— 互联网医疗健康信息安全组织管理:遵照国家相关安全标准规范体系要求,明确组织要求安全事件管理要求。
建设方是互联网医疗健康信息系统建设和管理的责任主体,是信息安全管理的第一责任方。建设方应当履行下列互联网医疗健康信息安全保护义务:—— 制定互联网医疗健康信息安全工作的总体方针和安全策略,阐明安全工作的总体目标、范围、原则和安全框架等,确定互联网医疗健康信息安全责任人,落实互联网医疗健康信息安全保护责任;—— 在自行承担或引入第三方机构开展建设、服务与运营时,负责指导与管理服务方与运营方遵照安全管理要求开展相关工作;—— 建立互联网医疗健康信息安全应急体系,制定应急预案,组建应急队伍、开展应急演练;—— 接受上级业务主管、信息安全监管部门的安全审查和监管。服务方是互联网医疗健康服务提供的责任主体,是互联网医疗健康信息的主要产生方,是服务过程相关信息安全责任方。服务方应当履行下列互联网医疗健康信息安全保护义务:—— 按照相关规范要求开展互联网医疗健康信息服务,包括服务机构与服务人员的执业资质规范、服务过程安全规范、服务结果可追溯;—— 服务人员开展互联网医疗健康服务过程中,应遵循信息安全管理要求,有义务保障服务对象个人隐私;—— 配合建设方,完成网络安全事件、突发信息安全事件的管理与处置;—— 接受上级业务主管、信息安全监管部门的安全审查和监管。运营方是互联网医疗健康服务运营和信息系统维护责任主体,是运营过程相关信息安全责任方。运营方应当履行下列互联网医疗健康信息安全保护义务:—— 应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障互联网医疗健康信息系统及网络安全、稳定运行;—— 有效应对信息安全事件,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,防范信息安全违法犯罪活动,维护互联网医疗健康信息数据的完整性、保密性和可用性;—— 接受上级业务主管、信息安全监管部门的安全审查和监管。监管方是对本行政区域内互联网医疗健康服务开展的监管主体,是监管过程相关信息安全责任方。监管方应当履行下列互联网医疗健康信息安全保护义务:—— 对互联网医疗健康服务准入信息安全监管,包括机构执业资格、服务人员执业资格、互联网医疗健康服务范围的执业资格等信息的真实性、完整性;—— 对互联网医疗健康服务过程信息进行监管,包括服务过程中形成的文字、视频、音频等内容信息的真实性、完整性、不可否认性;—— 对个人信息保护进行监管,包括信息采集知情告知与授权许可,信息传输与存储加密,以及信息脱敏使用、信息授权公开等;
—— 对互联网医疗健康服务质量进行监管,包括投诉、举报的公正性、及时性,以及处理结果告知投诉、举报人等。
建设方开展互联网医疗健康信息系统建设和管理活动时,应满足以下要求:—— 建立健全互联网医疗健康信息安全管理体系和相关管理制度。明确互联网医疗健康信息安全管理相关岗位设置、工作要求与责任义务。包括但不限于安全管理制度、安全审核检查制度、安全岗位、人员管理制度,组织相关方完成突发事件的应急预案制定并落实应急演练。—— 互联网医疗健康信息系统应通过网络安全等级保护三级测评和定期复评。互联网医疗健康信息系统集成第三方服务应用时,第三方服务也需要达到相关安全防护水平。—— 互联网医疗健康服务过程与运营过程中收集和产生的个人信息和重要数据应当在境内存储。—— 因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估,法律、行政法规另有规定的,依照相关规定管理。—— 建设方有义务配合公安机关、网安部门和相关机构提供技术支持和协助,并按照规定向有关主管部门报告。—— 对各项操作行为进行审计,审计范围应覆盖到每个用户,并对业务审批人员、监管人员等重要用户行为和重要安全事件进行审计,并对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。服务方开展互联网医疗健康服务活动时,应满足以下要求:—— 对服务对象与服务人员的个人隐私信息进行保护;—— 建立信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关信息安全的投诉和举报;—— 医务人员开展互联网医疗健康服务过程中,应根据相关管理要求使用数字证书和电子签名技术。运营方开展互联网医疗健康运营活动时,应满足以下要求:—— 运营方及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。第三方运营方应签署信息隐私保密协议。—— 第三方机构依托实体医疗机构开展互联网医疗健康业务的,必须通过协议、合同等方式明确各方在医疗服务、信息安全、隐私保护等方面的职责权利。监管方开展互联网医疗健康服务监管活动时,应至少包含以下工作内容:—— 互联网医疗健康信息系统是否开展网络安全等级保护三级测评工作;—— 监管方及其工作人员,必须对在履行职责中知悉的互联网医疗健康信息严格保密,不得泄露、出售或者非法向他人提供;—— 应对互联网医疗健康服务相关建设方、服务方与运营方的互联网医疗健康信息安全执行效果开展监督管理。监督方式可包括信息及网络安全审计、互联网医疗健康信息系统安全漏洞扫描、系统与网络安全测试和信息安全事件处理监督等。监督工作可根据实际条件建立巡查抽查机制和行业监测预警机制;
<
扫码微信咨询