落实卫生健康行业网络信息与数据安全责任通知

冀卫规划〔2019〕1号

各市（含定州、辛集市）卫生健康委（局）、中医药局，雄安新区管委会公共服务局，省直各卫生健康单位，委机关各处室，省计生协：

　　为贯彻落实国家卫生健康委办公厅、国家中医药管理局办公室《关于落实卫生健康行业网络信息与数据安全责任的通知》（国卫办规划发〔2019〕8号）要求，进一步增强安全意识，明确网络信息与数据安全责任，推进全民健康信息化建设，现将有关事项通知如下：

　　一、明确职责分工和主体责任

　　根据法律法规和规章制度要求，按照谁主管谁负责、属地管理的原则，明确相关各方职责，分工合作，共同做好网络信息与数据安全工作。具体职责如下：

　　省卫生健康委网络安全和信息化工作领导小组（以下简称领导小组）领导委机关各处室、省直各卫生健康单位、省中医药局和省计生协的网络信息与数据安全工作，指导市级卫生健康委行政部门（含雄安新区管委会公共服务局、定州、辛集，下同）履行属地管理责任。

　　省卫生健康委网络安全和信息化工作领导小组下设办公室，负责落实领导小组决策部署，对全省卫生健康行业网络信息与数据安全负有指导监管责任。配合实施国家卫生健康行业网络信息与数据安全发展战略，制定相关规章制度和标准规范；建立并落实行业监测预警、巡查抽查制度和网络安全事件处置机制；建立健全网络产品和服务审查、数据处境评估和人才培养机制，做好相关培训和宣传等工作。

　　省卫生健康委各处室、省中医药局负责主管业务领域的信息系统安全管理。做好相关业务网络信息与数据安全事件的处置，推进相关保障体系建设，指导和监督业务支撑单位、相关信息系统建设与运维单位的安全建设和管理。

　　省卫生计生委统计信息中心是领导小组办公室技术支持单位，配合做好具体工作。

　　省直各卫生健康单位负责本业务领域和单位内部业务信息系统的安全管理，支撑相关处室做好业务信息系统网络安全工作。

　　县级以上卫生健康行政部门对本行政区域内卫生健康行业的网络信息与数据安全负指导监管责任，会同相关部门依照有关法律法规等要求，建立和落实责任制，做好行政区域内卫生健康行业网络信息与数据安全承担主体责任。

　　各级各类医疗卫生机构依照法律法规的规定和相关标准，履行网络信息与数据安全保护义务，财务管理和技术措施，对职责范围内的网络信息与数据安全承担主体责任。主要包括：

　　（一）明确本单位负责网络信息与数据安全工作的职能部门，负责建立本单位的网络信息与数据安全管理制度和操作规程，明确业务信息系统、互联网服务、应用平台建设和运维管理等过程中的网络信息与数据安全责任。开展“互联网+”医疗服务的医疗卫生机构，应当保障互联网医疗服务的网络信息与数据安全。

　　（二）按照网络安全法、网络安全等级保护制度、省卫生健康委相关要求开展网络信息与数据安全体系建设，开展信息系统定级备案，定期开展等级测评和风险评估，选取符合资质要求的技术支撑机构、服务团队和健康医疗服务企业，保障日常业务安全稳定运行。

　　（三）履行业务和信息系统的安全保障义务，开展信息系统安全运维，定期开展安全检查，对存在的漏洞、隐患等及时进行整改，杜绝网络信息与数据安全事件发生。

　　（四）建立本单位网络信息与数据安全应急体系，制定应急预案、组建应急队伍、开展应急演练。发生网络信息与数据安全事件时，依照预案进行事件处置并将相关情况报送卫生健康行政部门，同时报送网络安全主管部门。

　　（五）关键信息基础设施运营单位应当建立24小时值班制度，其他单位应当根据要求建立24小时值班制度。

　　（六）接受上级业务主管、网络安全监管部门的网络信息与数据安全审查和监管，及时向卫生健康行政部门和相关监管部门报告网络信息与数据安全等情况。

　　（七）履行相关法律法规规定的其他责任，组织本单位工作人员开展网络信息与数据安全教育与培训，落实上级相关管理部门的工作部署，保障必要经费投入。

　　省直各医院在以上七个方面发挥带头作用，在网络信息与数据安全方面接受属地卫生健康行政部门的监管。

　　相关学会协会负责按照章程，加强行业自律，制定网络信息与数据安全行为规范，指导会员加强安全保护，提高安全保护水平，接受政府和社会监管，承担社会责任，促进行业健康发展。

　　相关企业按照法律法规要求，合法合规收集、使用和转移健康医疗数据，履行网络信息与数据安全保护义务，接受政府和社会的监督，承担社会责任。

　　二、建立健全网络信息与数据安全工作领导责任制

　　各级卫生健康行政部门党委（党组）主要负责人是本行政区域内卫生健康行业网络信息与数据安全第一责任人，分管网络安全的负责人是直接责任人。各级各类医疗卫生机构及相关单位主要负责人是本单位网络信息与数据安全第一责任人，分管网络安全的负责人是直接责任人。要建立“主要负责人负总责，分管负责人牵头抓”的领导责任制。

　　（一）主要负责人是网络信息与数据安全的第一责任人。具体职责包括：认真贯彻执行相关法律法规、中央和省委、省政府有关决策和领导小组关于网络信息与数据安全的具体部署；定期召开网络信息与数据安全工作会议，研究解决网络信息与数据安全重要事项；强化网络与数据安全意识，督促所属部门和业务支撑单位落实网络信息与数据安全责任制。

　　（二）分管网络安全的责任人是网络信息与数据安全的直接责任人。具体职责包括：组织制定贯彻落实相关法律法规、中央和省委、省政府关于网络信息与数据安全决策部署等的具体措施；组织实施网络安全检查、巡查、考核等工作，协调解决工作中的重点难点问题。

　　三、落实网络信息与数据安全相关方责任

　　各级卫生健康行政部门和各级各类医疗卫生机构要按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，落实网络信息与数据安全责任制，明确各方责任。

　　（一）落实网络信息与数据运营单位的主体责任。网络信息与数据安全运营单位应按照有关法律法规等要求和相关安全标准，建立网络信息与数据安全管理责任和考核评价制度，开展安全风险评估，部署有效安全防护手段，制定应急预案，及时处置安全事件，组织安全教育、培训，保障网络信息与数据安全。

　　（二）落实网络信息与数据运维单位的责任。网络信息与数据运维单位指负责单位信息系统日常运行维护、技术维护和安全技术保障的单位，负有以下责任：按照网络信息与数据安全管理要求开展日常运维；配合开展网络安全等级保护定级、测评等工作，保护网络信息与数据系统安全与业务连续性；配合做好网络安全事件的应急报告、处置和整改工作；承担法律法规要求的其他相关责任。

　　（三）落实网络信息与数据使用方的责任。网络信息与数据的所有使用单位或个人为使用方，负有以下责任：依法用网，按要求操作和使用；制定有效的安全管理措施，确保数据可管、可控、可追溯，确保数据的保密性、完整性和可用性，切实保护个人数据隐私；对发布、转载和链接的数据与信息的准确性程序；防止因操作引起的破坏、盗用信息资源和危害网络安全的活动，避免使用不当造成数据损毁、丢失和泄露；设置合规口令，杜绝弱口令，严禁私自转借用户账号；承担法律法规要求的其他相关责任。

　　（四）落实网络信息与数据安全监管方的责任。县级以上卫生健康行政部门负指导监督责任，包括：建立和落实责任制；开展网络信息与数据安全监督检查；健全监测预警、信息共享和通报制度；组织领导本行政区域内卫生健康行业网络信息与数据安全保护和重大事件应急处置；基于云计算、大数据、物联网、移动互联网、人工智能等新技术与卫生融合发展特性，创新安全管理机制和技术手段，推广应用安全可控的网络产品和服务。

　　四、严格执行网络与信息安全责任追究制

　　各级卫生健康行政部门和各级各类医疗卫生机构有关人员违反或未能正确履行网络信息与数据安全职责，按照有关规定追究其相关责任。

　　（一）严肃问责。对出现的网络安全问题要落实追责问责。存在下列情形之一的，各主体责任单位应当逐级倒查，追究当事人、网络信息与数据安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

　　1.重要的网站和信息系统被攻击篡改，没有及时报告和组织处置的；

　　2.发生重要敏感数据泄露的；

　　3.关键信息基础设施安全保护不到位的；

　　4.瞒报网络安全事件，对发现的问题和风险隐患不及时整改的；

　　5.发生其他严重危害网络安全行为的。

　　（二）责任区分。实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，领导班子主要负责人和分管网络安全的领导班子成员承担主要领导责任，领导班子其他成员承担其分管业务领域重要领导责任。其他部门工作人员应当根据工作职责承担相应的责任。

　　各地、各单位要按照本通知要求，迅速落实网络安全与数据安全责任制，逐级明确职责，做到分工明确、责任到人。不得通过委托工作等方式转移、转嫁主体责任。市级卫生健康行政部门要加强督导指导，强化本行政区域内卫生健康行业网络信息与数据安全检查，检查情况报领导小组，并进行通报。

河北省卫生健康委　河北省中医药管理局

2019年4月2日