宁国市医保局
您现在所在的位置: 网站首页> 政府信息公开首页 > 宁国市医保局> 重大决策预公开> 意见征集
索引号: 11341702MB1919991Q/202103-00055 组配分类: 意见征集
发布机构: 宁国市医保局 主题分类: 卫生、体育
名称: 【意见征集】关于《宁国市医保信息系统及网络安全管理的 相关规定(试行)》意见征集 文号:
生成日期: 2021-03-01 发布日期: 2021-03-01
【意见征集】关于《宁国市医保信息系统及网络安全管理的 相关规定(试行)》意见征集
发布时间:2021-03-01 11:26 来源:宁国市医保局 浏览次数: 字体:[ ]

  根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我市实际,草拟了《宁国市医保信息系统及网络安全管理的  相关规定(试行)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
  1.电子邮件:请将意见发送至ningguoshiybj@126.com,并请在邮件主题注明“关于对宁国市医保信息系统及网络安全管理的相关规定(试行)反馈意见”字样。
  2.信函方式:请将意见寄至宁国市医疗保障局,地址:宁国市人民路就业和社会保障服务中心。信封上请注明“关于对宁国市医保信息系统及网络安全管理的相关规定(试行)反馈意见”字样,单位提出的请加盖单位公章。 

  反馈意见截止日期为2021年4月1日。

  
 


宁国市医保局

2021年3月1日


《宁国市医保信息系统及网络安全管理的相关规定(试行)》起草说明

  一、起草背景
  医疗保障信息化是医疗保障事业高质量发展的基础,是医保治理体系和治理能力现代化的重要支撑。为全面落实习近平总书记关于网络强国战略、大数据战略、数字经济的重要指示批示精神,以及党中央关于网络安全工作的总体部署,扎实推进医疗保障信息平台建设及运营维护,防范化解医疗保障系统数据安全风险,促进数据合理安全开发利用,制定本规定。
  二、主要依据
  根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我局实际,制定本规定。
  三、起草过程
  由市医保局起草,经局党组会议审议通过。
  四、主要内容
  《规定》共分为五部分,包括人员及账号管理、数据管理、网络管理、信息管理、其他,第一部分人员及账号管理主要包括网络及系统安全负责人、账号及权限申请、账号的取消及更新、账户的使用、口令管理、账号恢复,第二部分数据管理主要包括保密协议、操作管理、传输管理、应急处理,第三部分网络管理主要包括专网专用、定期自查,第四部分信息管理主要包括信息维护,第五部分其他。
  五、制定意义
  进入数据时代,机构数据保护工作面对的环境更加复杂,医卫机构需要在本地及云端等不同场景下,解决自身关切的业务连续性、数据可恢复性、法规遵从性等问题。作为监管部门,医保局在充分调研、前期部分医疗机构等建设经验等基础之上,系统性提出了数据保护工作的指导意见,可谓是高瞻远瞩,意义非凡。


宁国市医保信息系统及网络安全管理的相关规定(试行)


  为进一步规范管理我市医保信息系统账户权限分配及使用,加强信息安全防护,降低数据风险,同时提高我市医保信息系统内人员信息的准确性,现根据《安徽省医疗保障经办政务服务事项清单》及《宣城市医疗保障局信息系统安全管理规定》相关内容,结合我局实际,制定本规定。
  一、人员及账号管理
  第一条 网络及系统安全负责人
  医保业务系统、两定机构HIS系统及网络安全防护、网站、微信公众号、网站、APP等确定专人管理,负责人发生变更时,及时上报至上级管理机构。
  第二条 账号及权限申请
  按照实名注册、权限清晰、满足需求的最小授权等原则,由使用人提出书面申请,详细列出所需权限,并经其部门负责人审批,如有必要,由业务负责人对其申请的合理性进行审批,由相应负责人员进行开户。
  第三条 账号的取消及更新
  如因用户离职或岗位调整,需由原部门负责人申请账号销户或更新账户权限;该用户原部门负责人未通知系统管理员的,因该用户造成的损失由该用户的原部门负责人负责。
  第四条 账户的使用
  VPN虚拟专网及医保业务系统账号应由使用人妥善保管及日常登录,申请账号过程中声明的使用人使用,禁止串换使用,账号使用人有保密账号的义务。因使用不当造成账号禁用或封锁,由使用人自行负责。
  账号使用人在使用过程中,不得使用账号访问与自己无关的资源。
  第五条 口令管理
  账号口令必须是具有足够长度和复杂度,不得低于8位,必须包含字母和数字以及特殊字符,不应当取有意义的词语或其他符号,如使用者姓名、生日或其他易于猜测的信息,并应定期修改账号口令。
  第六条 账号恢复
  已被停用或禁用的账号,如确系业务需要申请恢复时,按账号申请程序进行申请审批后恢复。
 
  二、数据管理
  第七条 保密协议
  医保信息系统账号使用人在申请分配账号时,需同时签订保密承诺书,在账号使用的生命周期内负有该账号数据保密义务。
  两定机构需做好业务系统使用及维护人员的网络安全培训、保密要求告知、保密协议签订等工作,确保人员及业务信息安全。
  第八条 操作管理
  医保系统业务数据不得随意修改或删除,如确需修改,应严格按照单位有关规定进行申请,履行审批手续。
  第九条传输管理
  医保系统内数据具有高度保密性,使用人须做好防泄漏工作,所有数据不得以明码形式存储和传输。非业务必要不得从系统内导出数据,禁止通过微信、QQ、钉钉、邮箱等外网方式进行传递。数据传输须使用FTP、内网平台或专用的物理移动存储设备,使用移动设备进行拷贝时需进行病毒扫描后操作。
  第十条 应急处理
  两定机构需指定网络安全事件应急预案,做好预警防护、风险评估和容灾备份。重视数据的保密措施,出现病毒攻击、数据泄漏、遗失等网络安全事件,应及时向网信、公安以及上级主管部门报告。
  

  三、网络管理
  第十一条专网专用
  医保经办人员及两定机构进行医保信息系统操作时,必须确保专网专用,内网必须与互联网实行严格的物理隔离,内网中的计算机严禁接入外网, 严禁机算机双网卡运行,一机两网的现象。其中有条件的两定机构,还需做好网络安全硬件设备及软件防护措施。
  第十二条 定期自查
  医保经办人员及两定机构需定期自查,对经办业务电脑进行系统升级、修补漏洞、病毒查杀、口令修改等以及做好业务数据备份工作。严控“远程管理”操作,关闭不必要的端口和链接,从源头上消除安全隐患。
  

  四、信息管理
  第十三条 信息维护
  医保经办人员须做好医保系统内参保人员信息日常维护工作,人员信息发生变更的需提供必要的对应辅助材料,并做好信息变更登记。

  五、其他
  第十四条 本规定中未说明的其他相关安全事项,遵守《宣城市医疗保障局信息系统安全管理规定》执行。