【文字解读】《医疗卫生机构网络安全管理办法》的政策解读

《医疗卫生机构网络安全管理办法》共五章三十四条，分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节，适用于医疗卫生机构运营网络的安全管理，未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。我委现将《医疗卫生机构网络安全管理办法》解读如下：

一、主要内容

《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求，体现了统筹安全与发展的总体平衡，与此前出台的一系列政策法规一脉相承，为医疗卫生机构指明了网络安全管理的总方向，主要体现在以下四个方面：

一、强调一个周期。《办法》全文贯穿了全生命周期管理的主导思想。在网络安全方面，围绕信息系统全生命周期，提出落实等级保护制度、监测预警、应急实战、安全整改、人员管理、新技术应用、密码安全、医疗设备、供应链管理等方面的要求；在数据安全方面，以保障数据的机密性、完整性、可用性为目标，要求采取数据加密、数据备份、数据脱敏等技术，加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全防护。在实际运用中，应基于网络和数据的全生命周期视角，梳理安全策略架构，识别具体业务场景，有针对性地设计安全措施，实现安全防护。

二、突出两个要点。《办法》强调医疗卫生机构安全管理应围绕顶层设计和制度保障两个要点着力推进。顶层设计方面，在整体网络安全体系的基础上，依据数据的特性建构网络和数据安全顶层设计，落实安全责任分工，明确数据管理部门、业务部门、信息化部门在网络和数据安全管理工作中的权责。制度保障方面，《办法》明确医疗卫生机构应建立健全安全管理制度、操作规程及技术规范。在执行过程中，应密切结合自身业务模式的变更，及时修订完善制度要求，保持网络和数据安全制度的有效执行力及充分协同。

三、融合三位一体。《办法》要求建立网络安全管理制度体系，加强网络安全防护，通过管理和技术手段保障数据安全和数据应用的有效平衡。在实际运用中，应将总体安全策略拆解到具体安全管理要求，并通过安全技术实现管理要求，最终融入对应到安全运营体系中，形成融合管理、技术、运营三位一体的立体化网络安全管理模式。

四、构建四个体系。《办法》指出要建立防护、监测、处置、保障四个体系协同的综合防控格局。在安全防护方面，要求建立“实战化、体系化、常态化”的安全防护体系，形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势；在安全监测层面，鼓励三级医院探索态势感知平台建设，及时收集、汇总、分析各方网络安全信息，并与国家及行业平台对接；在安全处置方面，要形成监督管理、安全检查、应急预案、联防联控协同体系；在安全保障方面，通过统筹领导和规划设计，在人才培养、安全培训、经费支持等方面实现全方位保障。

二、适用范围

根据《中华人民共和国基本医疗卫生与健康促进法》，医疗卫生机构是指基层医疗卫生机构、医院和专业公共卫生机构等。其中，基层医疗卫生机构是指乡镇卫生院、社区卫生服务中心（站）、村卫生室、医务室、门诊部和诊所等；专业公共卫生机构是指疾病预防控制中心、专科疾病防治机构、健康教育机构、急救中心（站）和血站等

《办法》所称的“数据”涵盖了医疗卫生机构收集、存储、传输、处理和产生的各种电子数据，包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

三、主要亮点

《办法》的大部分内容是建立在现行网络安全和数据安全相关法规、政策和国家标准的基础上，结合医疗健康领域的特征和管理需求，对医疗卫生机构开展网络安全管理工作提出得更加具体的合规要求。例如，在网络安全管理方面，《办法》进一步细化了《中华人民共和国网络安全法》第二十一条中网络运营者的一般性网络安全保护义务，以及第三十四条中关键信息基础设施运营者应当履行的特殊安全保护义务；在数据安全管理方面，进一步细化了《中华人民共和国数据安全法》第二十七条中数据处理者的一般性数据安全保护义务。