第.一章總則

第.一條為加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)**管理，進(jìn)一步促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展，充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國(guó).家重要基礎(chǔ)性戰(zhàn)略資源的作用，加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)**管理，防范網(wǎng)絡(luò)**事件發(fā)生，根據(jù)《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《網(wǎng)絡(luò)**法》《密碼法》《數(shù)據(jù)**法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施**保護(hù)條例》《網(wǎng)絡(luò)**審查辦法》以及網(wǎng)絡(luò)**等級(jí)保護(hù)制度等有關(guān)法律法規(guī)標(biāo)準(zhǔn)，制定本辦法。

第二條堅(jiān)持網(wǎng)絡(luò)**為人民、網(wǎng)絡(luò)**靠人民、堅(jiān)持網(wǎng)絡(luò)**教育、技術(shù)、產(chǎn)業(yè)融合發(fā)展、堅(jiān)持促進(jìn)發(fā)展和依法管理相統(tǒng)一、堅(jiān)持**可控和開放創(chuàng)新并重。

堅(jiān)持分等級(jí)保護(hù)、突出重點(diǎn)。重點(diǎn)保障關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)**等級(jí)保護(hù)第三級(jí)（以下簡(jiǎn)稱第三級(jí)）及以上網(wǎng)絡(luò)以及重要數(shù)據(jù)和個(gè)人信息**。

堅(jiān)持積極防御、綜合防護(hù)。充分利用人工智能、大數(shù)據(jù)分析等技術(shù)，強(qiáng)化**監(jiān)測(cè)、態(tài)勢(shì)感知、通報(bào)預(yù)警和應(yīng)急處置等重點(diǎn)工作，落實(shí)網(wǎng)絡(luò)**保護(hù)“實(shí)戰(zhàn)化、體系化、常態(tài)化”和“動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、**防護(hù)、整體防控、聯(lián)防聯(lián)控”的“三化六防”措施。

堅(jiān)持“管業(yè)務(wù)就要管**”“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，落實(shí)網(wǎng)絡(luò)**責(zé)任制，明確各方責(zé)任。

第三條本辦法所稱的網(wǎng)絡(luò)是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。

本辦法所稱的數(shù)據(jù)為網(wǎng)絡(luò)數(shù)據(jù)，是指醫(yī)療衛(wèi)生機(jī)構(gòu)通過網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的**電子數(shù)據(jù)，包括但不限于各類臨床、科研、管理等業(yè)務(wù)數(shù)據(jù)、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)、個(gè)人信息以及數(shù)據(jù)衍生物。

本辦法適用于醫(yī)療衛(wèi)生機(jī)構(gòu)運(yùn)營(yíng)網(wǎng)絡(luò)的**管理。未納入?yún)^(qū)域基層衛(wèi)生信息系統(tǒng)的基層醫(yī)療衛(wèi)生機(jī)構(gòu)參照?qǐng)?zhí)行。

第四條國(guó).家衛(wèi)生健康委、國(guó).家中醫(yī)藥局、國(guó).家疾控局負(fù)責(zé)統(tǒng)籌規(guī)劃、指導(dǎo)、評(píng)估、監(jiān)督醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)**工作?？h級(jí)以上地方衛(wèi)生健康行政部門（含中醫(yī)藥和疾控部門，下同）負(fù)責(zé)本行政區(qū)域內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)**指導(dǎo)監(jiān)督工作。

醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)本單位網(wǎng)絡(luò)**管理負(fù)主體責(zé)任，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)與信息化建設(shè)參與單位及相關(guān)醫(yī)療設(shè)備生產(chǎn)經(jīng)營(yíng)企業(yè)書面約定各方的網(wǎng)絡(luò)**義務(wù)和違約責(zé)任。

第二章網(wǎng)絡(luò)**管理

第五條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)成立網(wǎng)絡(luò)**和信息化工作領(lǐng)導(dǎo)小組，由單位主要負(fù)責(zé)人任領(lǐng)導(dǎo)小組組長(zhǎng)，每年至少召開一次網(wǎng)絡(luò)**辦公會(huì)，部署**重點(diǎn)工作，落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施**保護(hù)條例》和網(wǎng)絡(luò)**等級(jí)保護(hù)制度要求。有二級(jí)及以上網(wǎng)絡(luò)的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)明確負(fù)責(zé)網(wǎng)絡(luò)**管理工作的職能部門，明確承擔(dān)**主管、**管理員等職責(zé)的崗位；建立網(wǎng)絡(luò)**管理制度體系，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，強(qiáng)化應(yīng)急處置，在此基礎(chǔ)上對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，防止網(wǎng)絡(luò)**事件發(fā)生。

第六條各醫(yī)療衛(wèi)生機(jī)構(gòu)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則，在網(wǎng)絡(luò)建設(shè)過程中明確本單位各網(wǎng)絡(luò)的主管部門、運(yùn)營(yíng)部門、信息化部門、使用部門等管理職責(zé)，對(duì)本單位運(yùn)營(yíng)范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行等級(jí)保護(hù)定級(jí)、備案、測(cè)評(píng)、**建設(shè)整改等工作。

（一）對(duì)新建網(wǎng)絡(luò)，應(yīng)在規(guī)劃和申報(bào)階段確定網(wǎng)絡(luò)**保護(hù)等級(jí)。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)全面梳理本單位各類網(wǎng)絡(luò)，特別是云計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈、5G、大數(shù)據(jù)等新技術(shù)應(yīng)用的基本情況，并根據(jù)網(wǎng)絡(luò)的功能、服務(wù)范圍、服務(wù)對(duì)象和處理數(shù)據(jù)等情況，依據(jù)相關(guān)標(biāo)準(zhǔn)科學(xué)確定網(wǎng)絡(luò)的**保護(hù)等級(jí)，并報(bào)上級(jí)主管部門審核同意。

（二）新建網(wǎng)絡(luò)投入使用應(yīng)依法依規(guī)開展等級(jí)保護(hù)備案工作。第二級(jí)以上網(wǎng)絡(luò)應(yīng)在網(wǎng)絡(luò)**保護(hù)等級(jí)確定后10個(gè)工作日內(nèi)，由其運(yùn)營(yíng)者向公安機(jī)關(guān)備案，并將備案情況報(bào)上級(jí)衛(wèi)生健康行政部門，因網(wǎng)絡(luò)撤銷或變更**保護(hù)等級(jí)的，應(yīng)在10個(gè)工作日內(nèi)向原備案公安機(jī)關(guān)撤銷或變更，同步上報(bào)上級(jí)衛(wèi)生健康行政部門。

（三）全面梳理分析網(wǎng)絡(luò)**保護(hù)需求，按照“一個(gè)中心（**管理中心），三重防護(hù)（**通信網(wǎng)絡(luò)、**區(qū)域邊界、**計(jì)算環(huán)境）”的要求，制定符合網(wǎng)絡(luò)**保護(hù)等級(jí)要求的整體規(guī)劃和建設(shè)方案，加強(qiáng)信息系統(tǒng)自行開發(fā)或外包開發(fā)過程中的**管理，認(rèn)真開展網(wǎng)絡(luò)**建設(shè)，全面落實(shí)**保護(hù)措施。

（四）各醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)已定級(jí)備案網(wǎng)絡(luò)的**性進(jìn)行檢測(cè)評(píng)估，第三級(jí)或第四級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，每年至少一次開展網(wǎng)絡(luò)**等級(jí)測(cè)評(píng)。第二級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)定期開展網(wǎng)絡(luò)**等級(jí)測(cè)評(píng)，其中涉及10萬(wàn)人以上個(gè)人信息的網(wǎng)絡(luò)應(yīng)至少三年開展一次網(wǎng)絡(luò)**等級(jí)測(cè)評(píng)，其他的網(wǎng)絡(luò)至少五年開展一次網(wǎng)絡(luò)**等級(jí)測(cè)評(píng)。新建的網(wǎng)絡(luò)上線運(yùn)行前應(yīng)進(jìn)行**性測(cè)試。

（五）針對(duì)等級(jí)測(cè)評(píng)中發(fā)現(xiàn)的問題隱患，各醫(yī)療衛(wèi)生機(jī)構(gòu)要結(jié)合外在的威脅風(fēng)險(xiǎn)，按照法律法規(guī)、政策和標(biāo)準(zhǔn)要求，制定網(wǎng)絡(luò)**整改方案，有針對(duì)性地開展整改，及時(shí)消除風(fēng)險(xiǎn)隱患，補(bǔ)強(qiáng)管理和技術(shù)短板，提升安全防護(hù)能力。

第七條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)依托國(guó).家網(wǎng)絡(luò)**信息通報(bào)機(jī)制，加強(qiáng)本單位網(wǎng)絡(luò)**通報(bào)預(yù)警力量建設(shè)。鼓勵(lì)三級(jí)醫(yī)院探索態(tài)勢(shì)感知平臺(tái)建設(shè)，及時(shí)收集、匯總、分析各方網(wǎng)絡(luò)**信息，加強(qiáng)威脅情報(bào)工作，組織開展網(wǎng)絡(luò)**威脅分析和態(tài)勢(shì)研判，及時(shí)通報(bào)預(yù)警和處置，防止網(wǎng)絡(luò)被破壞、數(shù)據(jù)外泄等事件。

第八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)急處置機(jī)制，通過建立完善應(yīng)急預(yù)案、組織應(yīng)急演練等方式，有效處理網(wǎng)絡(luò)中斷、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等**事件，提高應(yīng)對(duì)網(wǎng)絡(luò)**事件能力。積極參加網(wǎng)絡(luò)**攻防演練，提升保護(hù)和對(duì)抗能力。

第九條各醫(yī)療衛(wèi)生機(jī)構(gòu)在網(wǎng)絡(luò)運(yùn)營(yíng)過程中，應(yīng)每年開展文檔核驗(yàn)、漏洞掃描、滲透測(cè)試等多種形式的**自查，及時(shí)發(fā)現(xiàn)可能存在的問題和隱患。針對(duì)**自查、監(jiān)測(cè)預(yù)警、**通報(bào)等過程中發(fā)現(xiàn)的**隱患應(yīng)認(rèn)真開展整改加固，防止網(wǎng)絡(luò)帶病運(yùn)行，并按要求將**自查整改情況報(bào)上級(jí)衛(wèi)生健康行政部門。自查整改可與等級(jí)測(cè)評(píng)問題整改一并實(shí)施。

每年**自查整改工作包括：

（一）依據(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求，各醫(yī)療衛(wèi)生機(jī)構(gòu)完成信息資產(chǎn)梳理，摸清本單位網(wǎng)絡(luò)定級(jí)、備案等情況，形成資產(chǎn)清單，組織**自查。

（二）依據(jù)上級(jí)主管監(jiān)管機(jī)構(gòu)要求，各醫(yī)療衛(wèi)生機(jī)構(gòu)依據(jù)**自查結(jié)果，對(duì)發(fā)現(xiàn)的問題和隱患進(jìn)行整改，形成整改報(bào)告向有關(guān)主管監(jiān)管機(jī)構(gòu)報(bào)備。

第十條關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)對(duì)**管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行**背景審查。各醫(yī)療衛(wèi)生機(jī)構(gòu)要加強(qiáng)網(wǎng)絡(luò)運(yùn)營(yíng)相關(guān)人員管理，包括本單位內(nèi)部人員及第三方人員，明確內(nèi)部人員入職、培訓(xùn)、考核、離崗全流程**管理，針對(duì)第三方應(yīng)明確人員接觸網(wǎng)絡(luò)時(shí)的申請(qǐng)及批準(zhǔn)流程，做好實(shí)名登記、人員背景審查、保密協(xié)議簽署等工作，防止因人員資質(zhì)及違規(guī)操作引發(fā)的**風(fēng)險(xiǎn)。

第十一條加強(qiáng)網(wǎng)絡(luò)運(yùn)維管理，制定運(yùn)維操作規(guī)范和工作流程。加強(qiáng)物理安全防護(hù)，完善機(jī)房、辦公環(huán)境及運(yùn)維現(xiàn)場(chǎng)等**控制措施，防止非授權(quán)訪問物理環(huán)境造成信息泄露。加強(qiáng)遠(yuǎn)程運(yùn)維管理，因業(yè)務(wù)確需通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的，應(yīng)進(jìn)行評(píng)估論證，并采取相應(yīng)的**管控措施，防止遠(yuǎn)程端口暴露引發(fā)**事件。

第十二條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)業(yè)務(wù)連續(xù)性管理并持續(xù)監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀態(tài)。對(duì)于第三級(jí)及以上的網(wǎng)絡(luò)應(yīng)加強(qiáng)保障關(guān)鍵鏈路、關(guān)鍵設(shè)備冗余備份，有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立應(yīng)用級(jí)容災(zāi)備份，防止關(guān)鍵業(yè)務(wù)中斷。

第十三條應(yīng)用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術(shù)開展服務(wù)時(shí)，上線前應(yīng)評(píng)估新技術(shù)的**風(fēng)險(xiǎn)并進(jìn)行**管控，達(dá)到應(yīng)用與**的平衡。

第十四條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)規(guī)范和加強(qiáng)醫(yī)療設(shè)備數(shù)據(jù)、個(gè)人信息保護(hù)和網(wǎng)絡(luò)**管理，建立健全醫(yī)療設(shè)備招標(biāo)采購(gòu)、安裝調(diào)試、運(yùn)行使用、維護(hù)維修、報(bào)廢處置等相關(guān)網(wǎng)絡(luò)**管理制度，定期檢查或評(píng)估醫(yī)療設(shè)備網(wǎng)絡(luò)**，并采取相應(yīng)的**管控措施，確保醫(yī)療設(shè)備網(wǎng)絡(luò)**。

第十五條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照《密碼法》等有關(guān)法律法規(guī)和密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)規(guī)范，在網(wǎng)絡(luò)建設(shè)過程中同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保護(hù)措施，使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

第十六條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)關(guān)注整個(gè)網(wǎng)絡(luò)全鏈條參與者的**管理，涉及非本單位的第三方時(shí)，應(yīng)對(duì)設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施**管理，采購(gòu)**的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，防止發(fā)生第三方**事件。

第十七條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)廢止網(wǎng)絡(luò)的**管理，對(duì)廢止網(wǎng)絡(luò)的相關(guān)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)對(duì)其采取封存或銷毀措施，確保廢止網(wǎng)絡(luò)中的數(shù)據(jù)處置**，防止網(wǎng)絡(luò)數(shù)據(jù)泄露。

第三章數(shù)據(jù)**管理

第十八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法律法規(guī)的規(guī)定，參照國(guó).家網(wǎng)絡(luò)**標(biāo)準(zhǔn)，履行數(shù)據(jù)**保護(hù)義務(wù)，堅(jiān)持保障數(shù)據(jù)**與發(fā)展并重，通過管理和技術(shù)手段保障數(shù)據(jù)**和數(shù)據(jù)應(yīng)用的有效平衡。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)擬定關(guān)鍵信息基礎(chǔ)設(shè)施**保護(hù)計(jì)劃，建立健全數(shù)據(jù)**和個(gè)人信息保護(hù)制度。

第十九條應(yīng)建立數(shù)據(jù)**管理組織架構(gòu)，明確業(yè)務(wù)部門與管理部門在數(shù)據(jù)**活動(dòng)中的主體責(zé)任，通過**責(zé)任書等方式，規(guī)范本單位數(shù)據(jù)管理部門、業(yè)務(wù)部門、信息化部門在數(shù)據(jù)**管理全生命周期當(dāng)中的權(quán)責(zé)，建立數(shù)據(jù)**工作責(zé)任制，落實(shí)追責(zé)追究制度。

第二十條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)每年對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，在落實(shí)網(wǎng)絡(luò)**等級(jí)保護(hù)制度的基礎(chǔ)上，依據(jù)數(shù)據(jù)的重要程度以及遭到破壞后的危害程度建立本單位數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。數(shù)據(jù)分類分級(jí)應(yīng)遵循合法合規(guī)原則、可執(zhí)行原則、時(shí)效性原則、自主性原則、差異性原則及客觀性原則。

第二十一條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立健全數(shù)據(jù)**管理制度、操作規(guī)程及技術(shù)規(guī)范，涉及的管理制度每年至少修訂一次，建議相關(guān)人員每年度簽署保密協(xié)議。每年對(duì)本單位的數(shù)據(jù)進(jìn)行數(shù)據(jù)**風(fēng)險(xiǎn)評(píng)估，及時(shí)掌握數(shù)據(jù)**狀態(tài)。加強(qiáng)數(shù)據(jù)**教育培訓(xùn)，組織**意識(shí)教育和數(shù)據(jù)**管理制度宣傳培訓(xùn)。結(jié)合本單位實(shí)際，建立完善數(shù)據(jù)使用申請(qǐng)及批準(zhǔn)流程，遵循“誰(shuí)主管、誰(shuí)審查”、遵循事前申請(qǐng)及批準(zhǔn)、事中監(jiān)管、事后審核原則，嚴(yán)格執(zhí)行業(yè)務(wù)管理部門同意、醫(yī)療衛(wèi)生機(jī)構(gòu)領(lǐng)導(dǎo)核準(zhǔn)的工作程序，指導(dǎo)數(shù)據(jù)活動(dòng)流程合規(guī)。

第二十二條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集、存儲(chǔ)、傳輸、處理、使用、交換、銷毀全生命周期**管理工作，數(shù)據(jù)全生命周期活動(dòng)應(yīng)在境內(nèi)開展，因業(yè)務(wù)確需向境外提供的，應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行**評(píng)估或?qū)徍?，針?duì)影響或者可能影響國(guó).家**的數(shù)據(jù)處理活動(dòng)需提交國(guó).家**審查，防止數(shù)據(jù)**事件發(fā)生。

（一）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)數(shù)據(jù)收集合法性管理，明確業(yè)務(wù)部門和管理部門在數(shù)據(jù)收集合法性中的主體責(zé)任。采取數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等防控措施，防止數(shù)據(jù)收集過程中數(shù)據(jù)被泄露。

（二）在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上，進(jìn)一步明確不同**級(jí)別數(shù)據(jù)的加密傳輸要求。加強(qiáng)傳輸過程中的接口**控制，確保在通過接口傳輸時(shí)的**性，防止數(shù)據(jù)被竊取。

（三）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)按照有關(guān)法規(guī)標(biāo)準(zhǔn)，選擇合適的數(shù)據(jù)存儲(chǔ)架構(gòu)和介質(zhì)在境內(nèi)存儲(chǔ)，并采取備份、加密等措施加強(qiáng)數(shù)據(jù)的存儲(chǔ)**。涉及到云上存儲(chǔ)數(shù)據(jù)時(shí)，應(yīng)當(dāng)評(píng)估可能帶來的**風(fēng)險(xiǎn)。數(shù)據(jù)存儲(chǔ)周期不應(yīng)超出數(shù)據(jù)使用規(guī)則確定的保存期限。加強(qiáng)存儲(chǔ)過程中訪問控制**、數(shù)據(jù)副本**、數(shù)據(jù)歸檔**管控。

（四）各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)嚴(yán)格規(guī)定不同人員的權(quán)限，加強(qiáng)數(shù)據(jù)使用過程中的申請(qǐng)及批準(zhǔn)流程管理，確保數(shù)據(jù)在可控范圍內(nèi)使用，加強(qiáng)日志留存及管理工作，杜絕篡改、刪除日志的現(xiàn)象發(fā)生，防止數(shù)據(jù)越權(quán)使用。各數(shù)據(jù)使用部門和數(shù)據(jù)使用人須嚴(yán)格按照申請(qǐng)所述用途與范圍使用數(shù)據(jù)，對(duì)數(shù)據(jù)的**負(fù)責(zé)。未經(jīng)批準(zhǔn)，任何部門和個(gè)人不得將未對(duì)外公開的信息數(shù)據(jù)傳遞至部門外，不得以任何方式將其泄露。

（五）各醫(yī)療衛(wèi)生機(jī)構(gòu)發(fā)布、共享數(shù)據(jù)時(shí)應(yīng)當(dāng)評(píng)估可能帶來的**風(fēng)險(xiǎn)，并采取必要的**防控措施；涉及數(shù)據(jù)上報(bào)時(shí)，應(yīng)由數(shù)據(jù)上報(bào)提出方負(fù)責(zé)解讀上報(bào)要求，確定上報(bào)范圍和上報(bào)規(guī)則,確保數(shù)據(jù)上報(bào)**可控。

（六）各醫(yī)療衛(wèi)生機(jī)構(gòu)開展人臉識(shí)別或人臉辨識(shí)時(shí)，應(yīng)同時(shí)提供非人臉識(shí)別的身份識(shí)別方式，不得因數(shù)據(jù)主體不同意收集人臉識(shí)別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用其基本業(yè)務(wù)功能，人臉識(shí)別數(shù)據(jù)不得用于除身份識(shí)別之外的其他目的，包括但不限于評(píng)估或預(yù)測(cè)數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、偏好、興趣等。各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)采取**措施存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)，包括但不限于加密存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)，采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別和個(gè)人身份信息等。

（七）數(shù)據(jù)銷毀時(shí)應(yīng)采用確保數(shù)據(jù)無(wú)法還原的銷毀方式，重點(diǎn)關(guān)注數(shù)據(jù)殘留風(fēng)險(xiǎn)及數(shù)據(jù)備份風(fēng)險(xiǎn)。

第四章監(jiān)督管理

第二十三條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)積極配合有關(guān)主管監(jiān)管機(jī)構(gòu)監(jiān)督管理，接受網(wǎng)絡(luò)**管理日常檢查，做好網(wǎng)絡(luò)安全防護(hù)等工作。

第二十四條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)整改有關(guān)主管監(jiān)管機(jī)構(gòu)檢查過程中發(fā)現(xiàn)的漏洞和隱患等問題，杜絕重大網(wǎng)絡(luò)**事件發(fā)生。

第二十五條發(fā)生個(gè)人信息和數(shù)據(jù)泄露、毀損、丟失等**事件和網(wǎng)絡(luò)系統(tǒng)遭攻擊、入侵、控制等網(wǎng)絡(luò)**事件，或者發(fā)現(xiàn)網(wǎng)絡(luò)存在漏洞隱患、網(wǎng)絡(luò)**風(fēng)險(xiǎn)明顯增大時(shí)，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取必要的補(bǔ)救和處置措施，及時(shí)以電話、短信、郵件或信函等多種方式告知相關(guān)主體，并按照要求向有關(guān)主管監(jiān)管部門報(bào)告。

第二十六條各級(jí)衛(wèi)生健康行政部門應(yīng)建立網(wǎng)絡(luò)**事件通報(bào)工作機(jī)制，及時(shí)通報(bào)網(wǎng)絡(luò)**事件。

第二十七條發(fā)生網(wǎng)絡(luò)**事件時(shí)，各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)及時(shí)向衛(wèi)生健康行政部門、公安機(jī)關(guān)報(bào)告，做好現(xiàn)場(chǎng)保護(hù)、留存相關(guān)記錄，為公安機(jī)關(guān)等監(jiān)管部門依法維護(hù)國(guó).家**和開展偵查調(diào)查等活動(dòng)提供技術(shù)支持和協(xié)助。

第五章管理保障

第二十八條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)高度重視網(wǎng)絡(luò)**管理工作，將其列入重要議事日程，加強(qiáng)統(tǒng)籌領(lǐng)導(dǎo)和規(guī)劃設(shè)計(jì)，依法依規(guī)落實(shí)人員、經(jīng)費(fèi)投入、**保護(hù)措施建設(shè)等重大問題，保證信息系統(tǒng)建設(shè)時(shí)**保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用。

第二十九條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)**業(yè)務(wù)交流，嚴(yán)格執(zhí)行網(wǎng)絡(luò)**繼續(xù)教育制度，鼓勵(lì)管理崗位和技術(shù)崗位持證上崗。通過組織開展學(xué)術(shù)交流及比武競(jìng)賽的方式，發(fā)現(xiàn)選拔網(wǎng)絡(luò)**人才，建立人才庫(kù)，建立健全人才發(fā)現(xiàn)、培養(yǎng)、選拔和使用機(jī)制，為做好網(wǎng)絡(luò)**工作提供人才保障。

第三十條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)保障開展網(wǎng)絡(luò)**等級(jí)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、攻防演練競(jìng)賽、**建設(shè)整改、**保護(hù)平臺(tái)建設(shè)、密碼保障系統(tǒng)建設(shè)、運(yùn)維、教育培訓(xùn)等經(jīng)費(fèi)投入。新建信息化項(xiàng)目的網(wǎng)絡(luò)**預(yù)算不低于項(xiàng)目總預(yù)算的5%。

第三十一條各醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)進(jìn)一步完善網(wǎng)絡(luò)**考核評(píng)價(jià)制度，明確考核指標(biāo)，組織開展考核。鼓勵(lì)有條件的醫(yī)療衛(wèi)生機(jī)構(gòu)將考核與績(jī)效掛鉤。

第六章附則

第三十二條違反本辦法規(guī)定，發(fā)生個(gè)人信息和數(shù)據(jù)泄露，或者出現(xiàn)重大網(wǎng)絡(luò)**事件的，按《網(wǎng)絡(luò)**法》《密碼法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《數(shù)據(jù)**法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施**保護(hù)條例》以及網(wǎng)絡(luò)**等級(jí)保護(hù)制度等法律法規(guī)處理。

第三十三條涉及國(guó).家秘密的網(wǎng)絡(luò)，按照國(guó).家有關(guān)規(guī)定執(zhí)行。

第三十四條本辦法自印發(fā)之日起實(shí)施。