彩108彩票安卓版

陕西省“十三五”全民健康网络与信息安全规划
时间: 2017-10-31 来源: 省卫生计生政策评估与信息中心  

    根据《中华人民共和国网络安全法》、《国家卫生计生委“十三五”全民健康网络与信息安全规划》、《陕西省“十三五”网络安全规划》制定本规划。

    一、规划背景

    “十二五”以来,我省卫生计生行业网络与信息安全工作扎实推进,防护水平不断提升,为推动全民健康信息化发展起到了重要的保障作用。主要体现在:一是组织和领导力度不断加强。各市均建立了信息化领导小组,将网络安全与信息化工作纳入日常工作。部分县区成立了信息化工作管理机构,网络与信息安全工作机构和人员逐步得到落实。二是工作机制逐步健全。持续组织开展网络安全检查和风险评估,以查“促建、促管、促改、促防”,推进落实网络安全等级保护制度;开展关键信息基础设施专项检查和网络与信息安全督查工作,提升网络与信息安全防护意识和防护能力。三是认真落实各项安全制度规范。认真贯彻落实电子认证服务相关技术标准和服务规范,第三方电子认证服务机构准入机制和电子认证服务体系。加强基础网络设施、重要业务信息等级保护、网络安全评估及网络安全事件响应等方面工作,初步建立了涵盖网络安全测评、安全技术服务、安全事件预警等方面的常态工作机制。网络安全技术服务体系建设初见成效,相关单位技术服务能力明显增强。

    虽然我省全民健康网络与信息安全建设取得了一定成效,但与完善全民健康信息服务体系建设、规范促进健康医疗大数据应用发展的要求相比,还存在诸多亟需解决的问题:一是网络与信息安全意识尚需进一步增强。部分地区单位重应用轻防护问题较为突出,存在有制度未落实,有措施无考核的问题;二是行业防护能力相对较弱。卫生计生信息系统点多面广,安全基础设施不足,网络和数据安全监管体制机制尚不完善,关键信息基础设施安全防护水平需要进一步提高,安全技术人才匮乏;三是政策法规和标准机制有待进一步健全。信息安全制度体系亟需健全完善,风险评估、安全态势感知、预警响应、应急处理、责任认定等一系列管控方案尚需完备加强;四是存在个人隐私与健康数据泄露隐患。区域医疗推进和云计算、大数据、物联网、移动互联网等新兴信息技术的快速普及,安全风险点增多、管控难度增大。受经济利益的驱动、境外敌对势力的威胁,以及部分互联网公司和体检机构存在外资背景及以盈利为主要目的的影响,个人隐私和健康数据面临跨域流动的风险,卫生计生行业信息系统的隐私信息泄露事件时有发生。

    二、面临的形势

    随着国家大数据战略、“互联网+”行动等国家战略的实施和我省新型智慧医疗、区域信息平台建设的推进,网络数据规模迅速扩大、价值持续提升、敏感程度不断加大,数据安全问题将更加突出。与此同时,新媒体、新技术、新应用与日俱增,网络安全风险持续增加,互联网违法犯罪活动呈高发态势,网络病毒、网络攻击等现象频发,传统的管理方法和技术手段难以适用,严重威胁到业务信息系统和公民个人健康信息安全。国产设备使用比例低,整体防御能力薄弱,难以有效应对有组织、高强度的网络攻击,网络安全防护和监管面临全新挑战。

    三、指导思想、基本原则和目标

    (一)指导思想

    以习近平总书记系列重要讲话精神为指导,紧紧围绕落实“五个”扎实要求、实现追赶超越目标,以保障公民隐私、健康信息安全和国家安全,推动全民健康信息化建设和健康医疗大数据有序发展为出发点,以建立安全可靠的全民健康信息服务体系为目标,寓安全管理于服务之中,加强关键信息基础设施保护,同步推进云计算、大数据等新兴信息技术环境下的网络与信息安全工作,落实好行业关键信息基础设施中使用的关键信息技术产品和服务实施安全审查制度,完善全民健康信息化和健康医疗大数据安全防护体系,切实提升安全治理能力和水平,为推动全民健康信息化和健康医疗大数据应用发展,打造健康陕西提供安全保障。

    (二)基本原则

    ——统筹规划,协调发展。坚持积极利用、科学发展、依法管理、确保安全方针,着眼全民健康网络与信息安全,加强顶层设计,制定相关标准规范和实施方案,推进资源综合利用。

    ——突出重点、确保安全。坚持网络安全与信息化同步规划、同步建设、同步发展。重点加强关键信息基础设施、重要信息系统和关键应用创新方面的安全防护,行业敏感数据的隐私保护及行业网络可信体系建设。注重内容安全、数据安全、技术安全和运营安全。

    ——需求主导,安全可控。聚焦关键问题和紧迫需求,加快云计算、大数据、“互联网+”、新型智慧医疗建设等网络安全问题研究和安全防控体系建设。加快构建动态感知、协同防范、联动处置的立体防御体系,健全安全技术支撑服务体系,确保行业内可使用的信息技术产品和服务安全可控。

     (三)发展目标。到2018年底,初步建立全民健康网络与信息安全标准体系、责任体系,探索建立全民健康网络与信息安全可信体系和行业管控体系。到2020年底,网络安全顶层设计、统筹谋划能力和网络安全态势感知预警显著增强,网络安全等级保护制度进一步落实,关键信息基础设施的安全保障进一步强化;全民健康网络与信息安全标准和规范体系进一步健全;统一的行业网络可信体系和数据运营的保护体系进一步完善;全民健康网络与信息安全管控机制和联动指挥处置的网络安全管理体系初步建立;适应行业安全治理发展要求的网络与信息安全保障体系逐步建立,为建设健康陕西提供有力支撑。

    四、重点任务

    加快推进我省全民健康信息化建设和健康医疗大数据应用发展,提升群众接受服务体验、提高获得感,前提条件是网络与信息安全。因此,必须加强网络与信息安全建设和治理,完善体制机制,强化法律和底线意识,树立正确的网络发展和治理理念,构建网络与信息安全体系。

    (一)健全行业安全管控机制。要加强对全省卫生计生行业网络与信息安全工作的统筹指导和督查监管。各级各类卫生计生行政机构要在国家和彩108彩票官网的指导下,加强网络与信息安全总体设计和统筹协调,建立健全网络与信息安全相关制度、标准体系和管控机制。建立健全网络安全审查备案制度,防范重要技术产品和服务网络安全风险。

    加强信息安全风险监测评估。建立与各级电子政务风险网络安全态势感知预警应急指挥等平台协调通报制度,提高我省卫生计生行业整体网络与信息安全事件监测能力,加强与网信公安部门网络与信息安全通报和事件反馈工作,配合省有关部门及时科学处置各类网络与信息安全事件。深入分析行业领域安全风险趋势,制定安全风险指标体系,针对外部威胁信息,提升网络与信息安全风险态势感知和预警能力。提高网站安全监测、预警和防护能力,加强卫生计生网站管理,清理违法和不良信息,推行集群化安全运维,强化内部管理和保密审查。

    加强应急处置和容灾备份工作。强化卫生计生行业网络与信息安全突发事件应急能力建设,开展网络安全演练,提高网络安全应急处置能力,完善灾难恢复措施。

    加强安全责任制考核与评价。厘清责任主体,明确管理边界与权责,建立工作考评机制,制定相关评价标准,完善相关惩罚和激励机制。

    (二)加强新兴技术安全防护。新兴技术在卫生计生行业的深化应用,给网络与信息安全带来新的考验,需要重点对“互联网+健康医疗”、云服务等安全防护体系和健康医疗大数据安全体系进行探索研究和试点示范。

    推进云服务安全防护体系工作。着眼卫生计生行业的实际需求,针对云服务安全具体领域,按照国家要求结合实际推进云环境下的数据安全、应用安全、传输安全、加密和密钥管理、身份鉴别与访问控制、虚拟化安全等技术应用工作。

    推进健康医疗大数据安全体系工作。推进我省“健康云”等大数据应用中数据采集、存储、传输、使用、交换、共享等环节的安全管理;依托各级网信办安全基础设施,建立医疗健康大数据应用安全测评、信息安全通报和应急处置等工作机制。

    (三)构建行业网络可信体系。落实好我省卫生计生行业国产密码应用体系与电子认证服务体系,加强第三方电子认证服务机构的接入管理、服务质量评估、使用管理,推进电子认证服务跨域跨系统互信互认。强化可信数字身份管理、可靠电子签名服务、电子证照以及数据加密等应用,实现卫生计生行业密钥统一管理,以保证访问、处理数据的用户身份真实,行为可管、可控、可追溯。

    (四)完善行业标准规范体系。借鉴国内外医疗及其他行业网络与信息安全相关做法,健全并落实好行业网络与信息安全建设的标准和管理规范。贯彻落实国家网络与信息安全相关法律法规和地方条例,坚持行业网络安全标准化建设工作,为行业网络与信息安全提供权威指引。

完善安全标准规范体系建设。建设行业可信体系、安全管控机制、关键信息基础设施、全民健康数据隐私保护、移动互联网业务应用、安全培训等安全标准规范。

    (五)保护全民健康数据隐私。加强全民健康数据隐私保护在云计算、大数据、移动互联网、智慧医疗、“互联网+’’等新技术应用中保护,强化对新技术新应用上线前的风险评估,同步建设监管手段。结合具体应用实践,从政策、管理和技术层面构建全民健康隐私数据防护体系。

    结合国家全民健康信息个人隐私的级别划分,研究推动制定卫生计生行业的隐私保护规章制度,明确隐私保护主体和隐私保护内容,界定侵权责任和赔偿范围。围绕数据采集、传输、存储、应用和销毁等环节,制定隐私数据管理办法,鼓励通过基于数字证书应用,规范数据生产、加工、管理和使用行为。运用数据隐私保护、访问控制、数据水印、脱敏、加密等技术,实现对全民健康数据隐私保护的技术支撑。

     (六)推进网络与信息安全培训。加强全民健康网络与信息安全人员队伍建设,提高卫生计生从业人员的网络与信息安全意识和专业技能,制定人才培养计划,开展分类分层分批对重点岗位人员进行网络安全和保密教育培训,加大网络与信息安全专业技术人才保障力度。

    加强安全技术人才培养。开展行业从业人员网络与信息安全岗位的职责、评价体系、能力认证等方面的建设,健全人员管理和考核激励机制,将网络安全基本知识和防护技能纳入工作考核范围,营造有利于网络与信息安全专业人员成长的发展环境,鼓励人才资源开发和人才引进。

    加强安全意识培训。明确全民健康信息化建设的管理、运营、运维等相关人员的网络与信息安全责任和要求,组织参加网络安全技能大赛、开展“安全宣传周活动”、案例分析、网络失泄密宣传等活动有针对性地开展网络与信息安全意识教育和技能培训。

    五、重点工程

    (一)关键信息基础设施建设工程

    按照《网络安全法》和国家关键信息基础设施保护制度的规定,加强已确定关键信息基础设施保护。依据国家卫生计生委制定行业关键信息基础设施识别认定指南,形成我省卫生计生行业关键信息基础设施清单,明确优先保护对象,实现对关键信息基础设施的动态管控。依据信息技术发展和网络安全形势变化,及时动态调整管理策略,建立关键信息基础设施动态调整机制。

    做好与省关键信息基础设施安全防护和监管平台建立联动,建立安全可控的全民健康信息网络,实现行业内重要信息系统以及涉及个人隐私、国家安全等敏感数据安全稳定传输运行。完善标准规范和安全防护机制,保障行业内部基础业务应用运行。探索“互联网+”网络安全保障机制,强化互联网信息安全保护。

    配合电子政务办等运营服务管理单位做好关键信息基础设施关键设备和服务安全认证和审查,定期对行业关键信息基础设施中使用的网络关键设备、安全设备等重要信息技术产品和大数据、云计算信息技术服务开展安全审查。强化对关键信息基础设施的专项检查和风险评估,掌握行业领域关键信息基础设施的风险状况,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,深入查找薄弱环节,强化整改核查,加强对系统间、业务间关联风险的评估,严防网络安全事件发生。

    (二)分级分类测评管控工程

    建立卫生计生行业网络与信息安全测评和风险评估机制。根据各单位落实行业网络与信息安全策略、规范和标准的执行情况,进行分级分类测评,建立健全行业网络与信息安全管控的统一测评服务体系。

    建立全民健康网络与信息安全管控机制。对省、地市、县三级全民健康信息平台及各级各类医疗卫生机构关键信息基础设施和重要信息系统,进行风险管控。

    (三)风险防控和网络可信体系工程

    推进互联网安全接入工程,推动健全网络安全信息共享机制建设,建立网络安全信息通报制度,共享网络风险信息和重大网络安全防范措施。建立健全网络安全事件应急协调指挥机制,强化跨部门跨地区协同,增强行业重大网络安全风险和事件的研判、应急处置和溯源能力,提高快速恢复能力。

    推进电子认证服务和行业统一密钥管理。使用国家卫生计生委电子认证服务机构推进数字证书发放、应用实现行业电子认证服务跨域互信互认。依托全民健康保障信息化工程,完成行业国产密码算法的应用,为各类应用系统及互联网健康医疗应用等系统提供统一安全保障。

    使用国家电子证照签发与验证平台,实现我省电子证照签发和在线、离线验证,保证电子证照真实合法有效,防止伪造篡改。

    六、保障措施

    (一)强化统筹协调管控。建立卫生计生网络与信息安全管理协调机制,加强组织机构间合作,形成统一领导、分工合理、责任明确、运转顺畅的工作推进机制。建立规划实施的动态评估、滚动调整和监督考核机制,落实网络与信息安全工作“一把手”责任制。各地区、各部门增强做好网络与信息安全工作的责任感,做好与相关领域发展规划的衔接工作,切实落实规划的目标和任务,强化全民健康网络与信息安全的统筹管理和协调监督。

     (二)健全督促落实机制。建立健全网络与信息安全工作绩效考核评价体系,健全网络与信息安全事故报告制度,加强对各级各类卫生计生机构网络与信息安全工作的督导检查,强化对全民健康网络与信息安全工作实效的考核与责任追究,实现行业信息系统全生命周期的监督和管理,推动网络与信息安全工作的落实。

    (三)加大资金保障力度。加强对全民健康网络与信息安全工作的资金保障,会同省网信办、公安厅等部门设立全民健康网络与信息安全重大专项,争取在财政预算中安排网络与信息安全建设和运维经费。各地各级卫生计生行政部门要统筹安排使用信息化建设资金。要会同发展改革、财政、信息化管理等有关部门,加大资金投入,重点保障各项重大工程安全建设和系统运维经费投入,确保持续深入开展全民健康信息化安全建设。推广运用政府和社会资本合作(PPP)模式,鼓励和引导社会资本规范参与全民健康网络与信息安全重点工程、应用开发和运营服务。

    (四)加强信息化项目建设管理

    加大信息化建设项目的规划设计立项、验收、运维等环节的安全审核,确保落实安全防护措施与项目建设“同步规 划、同步建设、同步运行”建立网络安全风险评估制度,通过方案评估,规避设计缺陷;通过验收评估,确保同步建设;通过检查评估,消除隐患。鼓励网络信息系统管理和运维单位定期开展安全风险评估,完善技术和管理措施,强化安全防护能力,提高安全管理水平。

    (五)加强宣传培训工作。从网络与信息安全、大数据安全、信息安全与保密、网络安全保障等多方面加大网络与信息安全培训力度,提升网络与信息安全意识与防护技能。成立卫生计生行业网络信息与健康医疗大数据应用安全管理委员会和专家委员会,探索建立全民健康网络与信息安全职称评定体系,切实提高卫生计生行业网络与信息安全人才的能力和水平。