《医疗卫生机构网络安全管理办法》印发并实施

　　【合规资讯】

　　为指导医疗卫生机构加强网络安全管理，国家卫生健康委、国家中医药局、国家疾控局于2022年8月29日共同发布《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）（以下简称《办法》）。《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚，体现了统筹安全与发展的总体平衡，与此前出台的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规标准一脉相承，承继了前述法律法规中对于“分级分类”“重点数据保护”“全生命周期管理”和“三化六防”（实战化、体系化、常态化和动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控）等要求，同时也根据医疗行业的业务特点和实际需求进行了细化，如对医疗设备的报废处置，以及废止网络中的数据处置安全等提出了具体要求。总体而言，《办法》的颁布为医疗卫生机构网络安全管理提供了工作指南，奠定了卫生健康行业网络安全发展基础。（资讯来源：规划发展与信息化司）

　　【合规提示】

　　《办法》适用于医疗卫生机构运营网络的安全管理，未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。建议相关主体按照《办法》要求：（1）建立健全安全管理制度、操作规程及技术规范，及时修订完善制度要求，保持网络和数据安全制度的有效执行力及充分协同；（2）完善内部责任划分，从顶层设计上明确医疗行业网络安全相关权责范围，明确承担安全主管、安全管理员等职责的岗位等；（3）将全生命周期管理的理念贯穿于网络和数据安全管理的方方面面；（4）建立融合管理、技术、运营三位一体的立体化网络安全管理模式；（5）建立防护、监测、处置、保障四个体系协同的综合防控格局。

[ 期号：20220822-20220904]