2012-北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知

京卫办字〔2012〕26 号北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知各区县卫生局，各三级医院，各直属单位：根据卫生部办公厅《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85 号）（以下简称《指导意见》）精神，为进一步加强我市医疗卫生行业信息系统信息安全等级保护工作，提高我市医疗卫生信息系统信息安全保护能力和水平，为党的“十八大”营造安全和谐的网络环境，现就我市医疗卫生信息系统信息安全等级保护工作通知如下： -1- 一、工作职责（一）北京市卫生局北京市卫生局负责督导北京地区医疗卫生机构信息安全等级保护工作的落实，具体工作职责与机制如下： 1．组织协调并监督指导北京地区医疗卫生行业信息安全等级保护工作。 2．负责市卫生局所属信息系统的等级保护工作，并组织开展本单位信息安全等级保护工作。 3．落实国家信息安全等级保护工作的有关政策和技术标准，掌握北京市医疗卫生行业信息安全等级保护工作动态和总体情况，代表北京市医疗卫生行业与卫生部及北京市信息安全等级保护工作相关管理部门进行日常联系和交流，协调落实本地区本行业信息安全等级保护工作。（二）北京市公共卫生信息中心 1．在市卫生局的统一领导和部署下，具体落实北京地区医疗卫生机构信息安全等级保护工作事项。 2．负责具体组织信息安全技术专家委员会会议，与专家日常沟通联络，组织专家进行技术评审。 3．负责与各区县卫生局、海淀区公共委、各三级医院及各直属单位的信息安全等级保护工作联络员进行沟通联络，并定期组织培训。 -2- （三）各区县卫生局、海淀区公共委 1．在北京市卫生局的统一部署下，开展本单位信息系统信息安全等级保护工作。 2．组织协调辖区内除三级医院以外的医疗卫生机构开展信息安全等级保护工作，并建立信息安全等级保护工作联络员机制，定期组织培训。 3．定期向北京市卫生局上报本单位及辖区内医疗卫生机构的等级保护工作进展情况。（四）各三级医院，各直属单位 1．负责开展本单位信息系统信息安全等级保护工作。 2．定期向上级卫生行政主管部门上报本单位等级保护工作开展情况。二、工作机制（一）北京市卫生局建立信息安全等级保护工作联络员机制，各区县卫生局、海淀区公共委、各三级医院及各直属单位应确定信息安全等级保护工作联络员，并与市卫生局的等级保护工作联络员进行日常联系和交流，并定期参加培训。（二）北京市卫生局成立信息安全技术专家委员会，对北京市医疗卫生信息系统定级、风险评估、整改建设、等级测评等环节进行技术指导。（三）各单位应建立由主管领导牵头负责的信息安全等级 -3- 保护工作组。（四）北京市卫生局监督检查三级医院和各直属单位的信息安全等级保护工作；各区县卫生局、海淀区公共委监督检查本辖区内其他医疗卫生机构的信息安全等级保护工作。三、工作内容（一）定级备案 1．各单位全面梳理本单位信息系统。 2．未定级的单位应根据《信息系统安全等级保护定级指南》（GB 22240-2008）、《指导意见》及《北京地区卫生行业信息安全等级保护工作实施细则》（见附件 1，以下简称《细则》）等文件要求，自主确定信息系统的安全保护等级。 3．已定级的信息系统出现下列情况之一时，须重新定级： (1)信息系统所承载的业务、服务范围、安全需求发生变化，需要重新定级的； (2)不符合《指导意见》、《细则》要求的； (3)经信息安全技术专家委员会审核，确认为定级不准确的。 4.拟定为三级以上（含三级）的信息系统，应经过信息安全技术专家委员会技术评审。 5.各单位在确定信息系统安全保护等级后，对定级为二级以上（含二级）的信息系统，应当报管辖范围内北京市公安机 -4- 关备案，各三级医院、各直属单位向管辖范围内北京市公安局备案，其他单位向所属区县公安局备案。 6.二级以上（含二级）信息系统定级备案材料报公安机关后，各单位应将备案结果上报上级卫生行政主管部门。（二）建设整改 1．对定为二级以上（含二级）的信息系统要对照《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）、《指导意见》、以及《细则》要求开展风险评估工作，进行差距分析及安全整改建设方案设计。 2．安全整改建设方案设计过程中，应根据自身信息安全需求，通过分级、分域保护的方法，在保障核心信息系统业务连续性、医疗病患信息的保密等方面进行重点防护，并对安全控制的相关性、紧迫性、可实施性、难易程度和预期效果等进行分析，对未来 3-5 年信息安全工作进行规划，构建等级化安全体系，实现按需防御的等级保护。 3．三级以上（含三级）信息系统的安全整改建设设计方案，应经过信息安全技术专家委员会论证、评审。 4．各单位应依据安全整改设计方案进行整改建设。（三）等级测评三级以上（含三级）信息系统完成整改建设后，各单位必须选择北京信息安全等级保护工作协调小组办公室推荐的测评机 -5- 构进行定期测评，并向公安机关及上级卫生行政主管部门提交测评报告。经等级测评未达到安全保护等级要求的信息系统，医疗卫生机构应对其进行安全整改。（四）宣传培训 1．北京市公共卫生信息中心联合有关部门对各单位定期开展等级保护相关培训，建立安全管理人员的考核指标及岗位准入机制。 2．各单位应自行开展等级保护相关培训，提高本单位人员的安全意识，加强人员管理。（五）监督检查 1．北京卫生局联合北京公安局成立信息安全检查工作组，每年定期对各单位进行等级保护工作监督检查。 2．各区县卫生局、海淀区公共委应联合区县公安分局成立信息安全检查工作组，每年定期对辖区内医疗卫生机构进行等级保护工作监督检查。 3．各单位对本单位信息系统安全状况、安全制度及措施情况定期开展自查工作，将自查工作列入本单位重要日程和工作绩效考核指标，明确职责、任务。 4．对未按照要求完成信息安全等级保护工作的单位，由公安机关按照《信息安全等级保护管理办法》（公通字〔2007〕43 号）等有关规定进行处罚。 -6- 四、工作安排 1.2012 年 4 月 30 日前，各区县卫生局、海淀区公共委、各三级医院、各直属单位完成信息安全等级保护工作联络员上报工作。 2.2012 年 5 月 20 日前，各区县卫生局、海淀区公共委、各三级医院、各直属单位完成定级备案工作，并将定级备案情况上报至北京市公共卫生信息中心。 3.2012 年 7 月 30 日前，市卫生局在本市选择三家单位作为信息安全等级保护工作试点，指导完成信息安全等级保护定级、风险评估、整改建设、等级测评全过程，为北京市医疗卫生行业全面开展等级保护工作积累经验。 4.2012 年党的“十八”大召开之前，各相关单位按照等级保护系统建设的相关标准进行一次自查，采取及时有效的安全加固措施，并留存自查报告备查。同时，各相关单位要在“十八大”召开之前建立专门的应急预案和专业的应急队伍，确保信息系统稳定运行。 5.2012 年 12 月 30 日前，市卫生局组织对试点单位进行认真分析和总结，梳理成功经验和遇到的问题，对下一步开展信息安全等级保护工作提出具体意见和建议。 6.2013 年 6 月前，各区县卫生局、海淀区公共委、各三级医院及各直属单位完成风险评估工作，根据评估结果及试点工 -7- 作经验，完成差距分析及安全整改建设方案的设计工作。 7.2014 年 12 月 30 日前，各区县卫生局、海淀区公共委、各三级医院及各直属单位完成安全整改建设工作。 8.2015 年 10 月 30 日前，各区县卫生局、海淀区公共委、各三级医院及各直属单位三级以上（含三级）的信息系统完成等级测评工作。五、工作要求（一）高度重视，加强领导。各单位要高度重视，充分认识信息安全等级保护工作对保护居民个人隐私安全、医疗卫生机构正常运转和社会稳定的重要意义。明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事日程和工作绩效考核指标，一级抓一级，层层抓落实。（二）保障经费，加强监管。各单位要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，且原则上不低于单位信息化建设总投入的 10%，并加强对资金使用的监管。六、其他事项（一）各单位信息安全等级保护工作联络员发生变化时，应当及时向北京市公共卫生信息中心报告。 -8- （二）各单位应及时向市卫生局报告工作进展情况，并于每年十一月前报送本地区本单位信息安全等级保护工作总结。（三）各单位应根据本通知要求，在北京市卫生局的指导下，自主开展信息安全等级保护工作。北京市卫生局不再统一组织全市范围内的信息安全等级保护落实工作，将定期监督检查。联系人：北京市公共卫生信息中心联系方式：电话：63030862 邮郑攀传真：63020043 件：zhengpan@bjhb.gov.cn 附件：1.《北京地区卫生行业信息安全等级保护实施细则（试行）》 2.等级保护工作联络员名单 3.定级备案变更说明二〇一二年四月十三日主题词：卫生信息通知抄送：市医管局、市中医局。北京市卫生局办公室２０１２年４月１３日印发共印 150 份 -9- 附件 1：北京地区卫生行业信息安全等级保护工作实施细则（试行）为深入贯彻落实国家信息安全等级保护制度，规范和指导北京地区医疗卫生机构信息安全等级保护工作，按照 2011 年卫生部《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85 号）（以下简称《指导意见》）和北京市卫生局关于贯彻落实卫生部办公厅《卫生行业信息安全等级保护工作的指导意见》的通知（以下简称“通知”），切实提高我市医疗卫生机构信息安全保障能力，北京市卫生局结合北京地区医疗卫生机构自身实际，研究制定了《北京地区卫生行业信息安全等级保护实施细则（试行）》（以下简称《细则》）。第一章定级与备案第一条各医疗卫生机构应对本单位信息系统安全等级保护定级情况开展摸底、自查工作，依据自主定级、自主保护原则，按照指导意见和通知要求，落实定级、备案工作。第二条各医疗卫生机构信息系统安全需求发生变化需重新定级的，应按照指导意见和通知要求完成定级、备案工作。 - 10 - 第三条各医疗卫生机构对本单位定级不准确的信息系统，应按照指导意见和通知要求完成等级变更及备案工作。第四条承载本市市级公共卫生机构重要业务的信息系统，如120急救指挥调度、卫生监督、计划免疫、社区卫生、血液信息系统、新型农村合作医疗、药品集中招标采购等业务系统，信息