宁国市医疗保障局

关于印发我市医保信息系统及网络安全管理

相关规定的通知

宁医保〔2021〕60号

各科室、医保中心、定点医药机构：

《宁国市医保信息系统及网络安全管理的相关规定（试行）》已研究通过，现印发给你们，请结合实际，认真贯彻执行。

宁国市医疗保障局  

2021年4月23日  

（此件公开发布）

宁国市医保信息系统及网络安全管理的

相关规定（试行）

为进一步规范管理我市医保信息系统账户权限分配及使用，加强信息安全防护，降低数据风险，同时提高我市医保信息系统内人员信息的准确性，现根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容，结合我局实际，制定本规定。

一、人员及账号管理

第一条网络及系统安全负责人

医保业务系统、两定机构HIS系统及网络安全防护、网站、微信公众号、网站、APP等确定专人管理，负责人发生变更时，及时上报至上级管理机构。

第二条账号及权限申请

按照实名注册、权限清晰、满足需求的最小授权等原则，由使用人提出书面申请，详细列出所需权限，并经其部门负责人审批，如有必要，由业务负责人对其申请的合理性进行审批，由相应负责人员进行开户。

第三条账号的取消及更新

如因用户离职或岗位调整，需由原部门负责人申请账号销户或更新账户权限；该用户原部门负责人未通知系统管理员的，因该用户造成的损失由该用户的原部门负责人负责。

第四条账户的使用

VPN虚拟专网及医保业务系统账号应由使用人妥善保管及日常登录，申请账号过程中声明的使用人使用，禁止串换使用，账号使用人有保密账号的义务。因使用不当造成账号禁用或封锁，由使用人自行负责。

账号使用人在使用过程中，不得使用账号访问与自己无关的资源。

第五条口令管理

账号口令必须是具有足够长度和复杂度，不得低于8位，必须包含字母和数字以及特殊字符，不应当取有意义的词语或其他符号，如使用者姓名、生日或其他易于猜测的信息，并应定期修改账号口令。

第六条账号恢复

已被停用或禁用的账号，如确系业务需要申请恢复时，按账号申请程序进行申请审批后恢复。

二、数据管理

第七条保密协议

医保信息系统账号使用人在申请分配账号时，需同时签订保密承诺书，在账号使用的生命周期内负有该账号数据保密义务。

两定机构需做好业务系统使用及维护人员的网络安全培训、保密要求告知、保密协议签订等工作，确保人员及业务信息安全。

第八条操作管理

医保系统业务数据不得随意修改或删除，如确需修改，应严格按照单位有关规定进行申请，履行审批手续。

第九条传输管理

医保系统内数据具有高度保密性，使用人须做好防泄漏工作，所有数据不得以明码形式存储和传输。非业务必要不得从系统内导出数据，禁止通过微信、QQ、钉钉、邮箱等外网方式进行传递。数据传输须使用FTP、内网平台或专用的物理移动存储设备，使用移动设备进行拷贝时需进行病毒扫描后操作。

第十条应急处理

两定机构需指定网络安全事件应急预案，做好预警防护、风险评估和容灾备份。重视数据的保密措施，出现病毒攻击、数据泄漏、遗失等网络安全事件，应及时向网信、公安以及上级主管部门报告。

三、网络管理

第十一条专网专用

医保经办人员及两定机构进行医保信息系统操作时，必须确保专网专用，内网必须与互联网实行严格的物理隔离，内网中的计算机严禁接入外网,严禁机算机双网卡运行，一机两网的现象。其中有条件的两定机构，还需做好网络安全硬件设备及软件防护措施。

第十二条定期自查

医保经办人员及两定机构需定期自查，对经办业务电脑进行系统升级、修补漏洞、病毒查杀、口令修改等以及做好业务数据备份工作。严控“远程管理”操作，关闭不必要的端口和链接，从源头上消除安全隐患。

四、信息管理

第十三条信息维护

医保经办人员须做好医保系统内参保人员信息日常维护工作，人员信息发生变更的需提供必要的对应辅助材料，并做好信息变更登记。

五、其他

第十四条 本规定中未说明的其他相关安全事项，遵守《宣城市医疗保障局信息系统安全管理规定》执行。

附录一：医保业务系统账户申请表

附录二：VPN、IP地址、端口开放申请表

附录三：保密承诺书

  附录一：

宁国市医疗保障业务系统账户申请表

申请人员：			联系电话：
身份证号码：			申请日期：
申请原因及权限功能：
部门负责人意见：		年月日
分管领导意见：		年月日

附录二：

宣城市VPN、IP地址、端口开放申请表

注：1.定点医疗机构代码为国家医保局平台审核通过并赋码后的代码，无代码审核不通过；

2.申请的账号注意保密，强密码约束，VPN网络专网专用，不许操作其它业务。

附录三：保密承诺书

保密承诺书

根据《中华人民共和国计算机信息系统安全保护条例》等相关法律法规规定及《宁国市医保信息系统及网络安全管理的相关规定》，本人郑重承诺：

一、不制作、复制、发布、转摘、传播含有下列内容的信息：

1. 反对宪法基本原则的;
  2. 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的;
  3. 损害国家荣誉和利益的;
  4. 煽动民族仇恨、民族歧视，破坏民族团结的;
  5. 破坏国家宗教政策，宣扬邪教和封建迷信活动的;
  6. 散布谣言，扰乱社会秩序，破坏社会稳定的;
  7. 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
  8. 侮辱或者诽谤他人，侵害他人权益的;
  9. 含有法律法规禁止的其他内容的;
二、不使用非涉密计算机处理和存储涉密信息。
三、不利用办公计算机制作、复制、查阅、传播和存储国家法律法规和有关规定所禁止的信息内容，以及从事与日常办公和业务工作无关的事项。
四、不将涉密计算机联入非涉密网络。
五、不在涉密计算机上联接和使用非涉密移动存储设备;不在非涉密计算机上联接和使用涉密移动存储设备。
六、不将涉密计算机和涉密移动存储设备带到与工作无关的场所。确需携带外出的，须经本单位主管领导批准。
七、不外传医保业务相关的各项数据。
  因违反上述网络信息安全承诺，给单位造成信息安全事件的，本人承担一切法律责任。

  承诺人：
  身份证号码：
  日期：