内卫规信字〔2019〕369号

各盟市卫生健康委，委直属各单位，委机关各处室局：

按照国家卫生健康委和国家中医药管理局关于落实卫生健康行业网络信息与数据安全责任的相关要求，为落实好我区卫生健康行业网络信息与数据安全责任，现就有关事宜通知如下。

一、明确职责分工

自治区卫生健康委信息化工作领导小组（以下简称领导小组）统一领导，安排部署卫生健康领域网络与信息安全工作。委机关各处室局、委直属各单位及内蒙古医科大学各附属医院落实好所辖业务领域和本单位网络与信息安全工作。

自治区卫生健康委各处室局负责主管业务领域的网络与信息安全管理。做好相关业务网络与信息安全事件的处置，推进相关保障体系建设，指导和监督业务支撑单位、相关信息系统建设和运维单位的安全建设和管理。卫生信息中心负责技术支撑和配合做好具体工作。

各盟市卫生健康委履行属地管理责任，接受上级业务主管、网络安全监管部门的网络与信息安全工作的监管，对本行政区域内卫生健康行业的网络与信息安全负有指导监管责任，会同相关部门依照有关法律法规等要求，建立和落实责任制，做好本行政区域内卫生健康行业网络与信息安全的监督管理工作。

各级卫生健康行政部门和各类医疗卫生机构依照法律法规和相关标准，履行网络与信息安全义务，采取管理和技术措施，对职责范围内的网络与信息安全承担主体责任。主要包括：

（一）认真贯彻落实党中央、国务院和自治区党委、政府关于网络安全工作的重要决策部署，把网络与信息安全工作纳入本单位重要议事日程，坚持信息化工作与网络安全工作同步规划、同步建设、同步使用。

（二）按照网络安全法、网络安全等级保护、上级部门相关要求开展信息安全体系建设，开展信息系统定级备案，定期开展等级测评和风险评估。

（三）明确本单位负责网络与信息安全工作的职能部门，负责建立本单位网络与信息安全相关的管理制度和操作规程，明确各业务信息系统、互联网服务、应用平台建设和运维管理等各参与方的信息安全责任。开展“互联网+”医疗服务的医疗卫生机构，应当保障互联网医疗服务的网络与信息安全。

（四）强化网络安全风险隐患的整改工作。履行业务信息系统的安全保障义务，定期开展信息系统安全检查和隐患排查，加大对本单位网络与信息系统的安全检测预警工作力度，对存在的漏洞和隐患等及时进行整改。按照规定定期保存相关日志信息。

（五）加强网络与信息安全事件的应急处置。建立本单位网络与信息安全应急体系，制定应急预案、组建或引入应急技术保障队伍、开展应急演练，每年至少组织一次应急演练。发生网络与信息安全事件，要及时按照应急预案进行事件处置，并将相关情况报至卫生健康行政部门，同时报送同级网络安全主管部门。

（六）关键信息基础设施运营单位应开展应急值守工作。在重大节日期间，应当建立24小时值班制度和每日零报告制度。

（七）提高服务器、操作系统和数据等软硬件的国产化水平，推进国产密码应用。采取数据分类、重要数据备份和加密等措施，属于关键信息基础设施的重要系统和数据库进行容灾备份。

（八）接受上级业务主管部门、网络安全监管部门的网络与信息安全检查和监管，及时向卫生健康行政部门和相关监管部门报送网络与信息安全相关工作情况。

（九）履行相关法律法规规定的其他责任，落实上级相关管理部门的工作部署，开展网络与信息安全教育与培训，研究制定网络安全人才的培养、引进、选拔，保障必要的经费投入。

二、建立健全领导负责制

要建立“主要负责人负总责，分管负责人牵头抓”的领导责任制。各级卫生健康行政部门主要负责人是本行政区域内卫生健康行业网络与信息安全的第一责任人，分管网络与信息安全的负责人是直接责任人。各级各类医疗卫生机构及相关单位主要负责人是本单位网络与信息安全的第一责任人，分管网络与信息安全的负责人是直接责任人。

（一）主要负责人是网络与信息安全的第一责任人。具体职责包括认真贯彻执行相关法律法规和党中央、国务院及自治区党委政府关于网络与信息安全工作的具体部署；定期召开网络与信息安全工作会议，研究解决网络与信息安全工作的重大事项；督促所属部门和业务支撑单位落实网络与信息安全责任制。

（二）分管网络安全的负责人是网络与信息安全的直接责任人。具体职责包括组织制定贯彻落实相关法律法规和党中央、国务院及自治区党委政府决策部署等的具体措施；组织开展网络与信息安全自查、考核等工作，协调解决工作中的重点难点问题。

三、落实相关方责任

各级卫生健康行政部门和各级各类医疗卫生机构要按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，落实网络与信息安全责任制，明确各方责任。

（一）网络与信息系统运营使用单位的主体责任。网络与系统运营使用单位应当按照有关法律法规等要求和相关安全标准，建立网络与信息安全管理责任和考核评价制度，部署开展安全风险评估和隐患排查，提高网络安全防护能力，制定应急预案，及时处置安全事件，组织安全教育和培训，选取符合资质要求的技术支撑机构、服务团队和健康医疗服务企业，保障日常运维安全稳定运行。

（二）网络与信息系统运维单位的责任。网络与信息系统运维单位指负责信息系统日常运行维护、技术维护和安全技术保障的单位，负有以下责任：按照网络与信息安全的管理要求开展日常运维；配合开展等级保护定级、测评等工作，保障数据安全与业务连续性；配合做好网络安全事件的应急报告、处置和整改工作；摸清网络安全设施底数，掌握网络资产设备、服务器、网络设备、主机及IP地址基本情况，及时更新并合理配置相关安全策略；承担法律法规要求的其他相关责任。

（三）网络与信息系统使用方的责任。网络与信息系统的所有使用单位或个人为使用方，负有以下责任：依法用网，按要求操作和使用；制定有效的安全管理措施，确保数据可管、可控、可追溯，确保数据的保密性、完整性和可用性，切实保护个人数据隐私；对发布、转载和链接的数据与信息的准确性和合规性负责，禁止故意制作、传播计算机病毒等破坏性程序；放置因操作引起的破坏、盗用信息资源和危害网络安全的活动，避免使用不当造成数据损毁、丢失和泄露；设置合规口令，杜绝弱口令，严禁私自转借用户账号；承担法律法规要求的其他相关责任。

（四）网络与信息系统监管方的责任。县级以上卫生健康行政部门负有指导监管责任，包括建立和落实责任制；开展例行网络与信息安全自查；健全检测预警、信息共享和通报制度；组织领导本行政区域内卫生健康行业网络与信息安全重大事件应急处置；基于云计算、大数据、物联网、移动互联网、人工智能等新技术与卫生健康融合发展特性，创新安全管理机制和技术手段，推广应用安全可控的网络产品和服务。

四、严格执行责任追究制

各级卫生健康行政部门和各级各类医疗卫生机构有关人员违反或未能正确履行网络与信息安全职责，按照有关规定追究其相关责任。

（一）严肃问责。对出现的网络安全难问题要落实追责问责。存在下列情形之一的，各主体责任单位应当逐级倒查，追究当事人、网络与信息安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

1.重要的网站和信息系统被攻击篡改，没有及时报告和组织处置的；

2.发生重要敏感数据泄露的；

3.关键信息基础设施安全保护不到位的；

4.瞒报网络安全事件，对发现的问题和风险隐患不及时整改的；

5.发生其他严重危害网络安全行为的。

（二）责任区分。实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，领导班子主要负责人和分管负责人承担主要领导责任，领导班子其他成员承担其分管业务领域的领导责任。其他部门工作人员应当根据工作职责承担相应的责任。

各盟市卫生健康委、委直属各单位要加快落实网络与信息安全责任落实，逐级明确职责，做到分工明确、责任到人。不得通过委托工作等方式转移、转嫁主体责任。自治区卫生健康委每年将开展网络与信息安全自查工作，检查情况在全区进行通报。

联 系 人：侯 富

联系电话：0471—6945719

2019年8月22日