根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我市实际,草拟了《宁国市医保信息系统及网络安全管理的 相关规定(试行)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见: 1.电子邮件:请将意见发送至ningguoshiybj@126.com,并请在邮件主题注明“关于对宁国市医保信息系统及网络安全管理的相关规定(试行)反馈意见”字样。 2.信函方式:请将意见寄至宁国市医疗保障局,地址:宁国市人民路就业和社会保障服务中心。信封上请注明“关于对宁国市医保信息系统及网络安全管理的相关规定(试行)反馈意见”字样,单位提出的请加盖单位公章。
反馈意见截止日期为2021年4月1日。
宁国市医保局
2021年3月1日
《宁国市医保信息系统及网络安全管理的相关规定(试行)》起草说明
一、起草背景 医疗保障信息化是医疗保障事业高质量发展的基础,是医保治理体系和治理能力现代化的重要支撑。为全面落实习近平总书记关于网络强国战略、大数据战略、数字经济的重要指示批示精神,以及党中央关于网络安全工作的总体部署,扎实推进医疗保障信息平台建设及运营维护,防范化解医疗保障系统数据安全风险,促进数据合理安全开发利用,制定本规定。 二、主要依据 根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我局实际,制定本规定。 三、起草过程 由市医保局起草,经局党组会议审议通过。 四、主要内容 《规定》共分为五部分,包括人员及账号管理、数据管理、网络管理、信息管理、其他,第一部分人员及账号管理主要包括网络及系统安全负责人、账号及权限申请、账号的取消及更新、账户的使用、口令管理、账号恢复,第二部分数据管理主要包括保密协议、操作管理、传输管理、应急处理,第三部分网络管理主要包括专网专用、定期自查,第四部分信息管理主要包括信息维护,第五部分其他。 五、制定意义 进入数据时代,机构数据保护工作面对的环境更加复杂,医卫机构需要在本地及云端等不同场景下,解决自身关切的业务连续性、数据可恢复性、法规遵从性等问题。作为监管部门,医保局在充分调研、前期部分医疗机构等建设经验等基础之上,系统性提出了数据保护工作的指导意见,可谓是高瞻远瞩,意义非凡。
宁国市医保信息系统及网络安全管理的相关规定(试行)
为进一步规范管理我市医保信息系统账户权限分配及使用,加强信息安全防护,降低数据风险,同时提高我市医保信息系统内人员信息的准确性,现根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我局实际,制定本规定。一、人员及账号管理 第一条 网络及系统安全负责人 医保业务系统、两定机构HIS系统及网络安全防护、网站、微信公众号、网站、APP等确定专人管理,负责人发生变更时,及时上报至上级管理机构。 第二条 账号及权限申请 按照实名注册、权限清晰、满足需求的最小授权等原则,由使用人提出书面申请,详细列出所需权限,并经其部门负责人审批,如有必要,由业务负责人对其申请的合理性进行审批,由相应负责人员进行开户。 第三条 账号的取消及更新 如因用户离职或岗位调整,需由原部门负责人申请账号销户或更新账户权限;该用户原部门负责人未通知系统管理员的,因该用户造成的损失由该用户的原部门负责人负责。 第四条 账户的使用 VPN虚拟专网及医保业务系统账号应由使用人妥善保管及日常登录,申请账号过程中声明的使用人使用,禁止串换使用,账号使用人有保密账号的义务。因使用不当造成账号禁用或封锁,由使用人自行负责。 账号使用人在使用过程中,不得使用账号访问与自己无关的资源。 第五条 口令管理 账号口令必须是具有足够长度和复杂度,不得低于8位,必须包含字母和数字以及特殊字符,不应当取有意义的词语或其他符号,如使用者姓名、生日或其他易于猜测的信息,并应定期修改账号口令。 第六条 账号恢复 已被停用或禁用的账号,如确系业务需要申请恢复时,按账号申请程序进行申请审批后恢复。二、数据管理 第七条 保密协议 医保信息系统账号使用人在申请分配账号时,需同时签订保密承诺书,在账号使用的生命周期内负有该账号数据保密义务。 两定机构需做好业务系统使用及维护人员的网络安全培训、保密要求告知、保密协议签订等工作,确保人员及业务信息安全。 第八条 操作管理 医保系统业务数据不得随意修改或删除,如确需修改,应严格按照单位有关规定进行申请,履行审批手续。 第九条传输管理 医保系统内数据具有高度保密性,使用人须做好防泄漏工作,所有数据不得以明码形式存储和传输。非业务必要不得从系统内导出数据,禁止通过微信、QQ、钉钉、邮箱等外网方式进行传递。数据传输须使用FTP、内网平台或专用的物理移动存储设备,使用移动设备进行拷贝时需进行病毒扫描后操作。 第十条 应急处理 两定机构需指定网络安全事件应急预案,做好预警防护、风险评估和容灾备份。重视数据的保密措施,出现病毒攻击、数据泄漏、遗失等网络安全事件,应及时向网信、公安以及上级主管部门报告。
三、网络管理 第十一条专网专用 医保经办人员及两定机构进行医保信息系统操作时,必须确保专网专用,内网必须与互联网实行严格的物理隔离,内网中的计算机严禁接入外网, 严禁机算机双网卡运行,一机两网的现象。其中有条件的两定机构,还需做好网络安全硬件设备及软件防护措施。 第十二条 定期自查 医保经办人员及两定机构需定期自查,对经办业务电脑进行系统升级、修补漏洞、病毒查杀、口令修改等以及做好业务数据备份工作。严控“远程管理”操作,关闭不必要的端口和链接,从源头上消除安全隐患。
四、信息管理 第十三条 信息维护 医保经办人员须做好医保系统内参保人员信息日常维护工作,人员信息发生变更的需提供必要的对应辅助材料,并做好信息变更登记。
五、其他 第十四条 本规定中未说明的其他相关安全事项,遵守《宣城市医疗保障局信息系统安全管理规定》执行。
用微信扫描二维码分享至好友和朋友圈