柳州市卫生健康委员会关于进一步加强我市医疗卫生机构信息网络安全管理工作的通知
（柳卫规信〔2019〕1号）

各县区卫生健康局，柳东新区、北部生态新区（阳和工业新区）社会事务局，全市各医疗卫生机构：
　　近期，我市市人民医院信息系统被勒索病毒攻击，严重影响医院业务正常运行，并为此出现一定程度网络舆情。同时，根据市公安局网安支队通报，全国有不少医疗机构的信息系统均遭到各种类型网络病毒攻击，医疗机构信息网络安全形势严峻。为进一步做好我市医疗卫生机构信息网络安全管理工作，杜绝再次出现网络安全事件，现就有关工作通知如下：
　　一、高度重视信息网络安全工作
　　习近平总书记2018年4月在全国网络安全和信息化工作会议上指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，加强网络安全事件应急指挥能力建设，积极发展网络安全产业，做到关口前移，防患于未然。
　　我市各县区卫健局和新区社会事务局、各级医疗卫生机构是否高度重视信息网络安全工作，是衡量本单位领导班子政治站位是否与中央保持一致，树牢“四个意识”，坚定“四个自信”，做到“两个维护”的重要指标之一。各县区卫健局和新区社会事务局、各医疗卫生机构要严格遵循中央关于网信工作的战略目标、原则要求和基本方法，牢固树立目标导向、问题导向和效果导向，从全局和战略高度谋划推进我市卫生健康网络安全和信息化事业，为健康柳州建设提供可靠网络安全保障、有力信息化支撑，让“互联网＋医疗健康”更好地造福全市各族人民。 　　二、采取有效措施，积极做好信息网络安全工作
　　（一）提高安全防范意识
　　任何技术手段都代替不了人的作用，没有人的重视就没有安全可言。各县区卫健局和新区社会事务局、各医疗卫生机构一定要高度重视信息安全工作，单位“一把手”亲自抓，分管领导具体抓，信息管理部门负责落实，相关人员遵照执行。结合本辖区、本医疗卫生机构实际和信息网络安全工作需求，建立完善信息安全管理制度和相应的推进实施方案，每年进行一次全面排查，可邀请专业检测机构配合，针对系统的薄弱环节，例如网络连通、用户管理、数据存储、入侵防范等方面进行排查。
　　同时，各县区卫健局和新区社会事务局、各医疗卫生机构在开展信息化建设时，必须将信息网络安全管理制度落实到信息系统规划、建设、测评、运行维护和使用等各个环节，特别是新建信息系统在方案设计时，必须增加信息系统安全等级保护所要求的安全技术和管理等措施，做到安全措施与系统同步建设。优化完善信息网络安全保护体系，使信息系统的信息安全状况得到明显改善，信息系统安全保障水平得到显著提高，从而推动各单位信息化应用持续健康发展。
　　（二）认真做好信息安全等级保护工作
　　1.开展信息系统定级和备案。各县区卫健局和新区社会事务局、各医疗卫生机构自行组织建设的信息系统，要参照《信息系统安全等级保护定级指南》完成对本单位所有已建成的、非涉及国家秘密信息系统开展自主定级（涉及国家秘密的信息系统，由国家保密局负责监督管理）工作。定级结果为第二级（含）以上的信息系统必须上报市公安局网安支队进行备案。市公安局网安支队负责核发信息系统安全等级保护备案证明。今后各单位在新建信息系统设计立项时要进行信息安全等级预定级，并提交《信息系统安全等级保护预定级报告》到市公安局网安支队审核备案，由市公安局网安支队出具《XX信息系统安全等级保护预定级的审核意见》。新建系统正式运行后30日内进行正式定级和备案，新建系统验收时，必须出具市公安局网安支队开具的信息系统安全等级保护备案证明。定级和备案相关文件及模板可在柳州市公安局网站（gaj.liuzhou.gov***）里的网警业务等级保护专栏内下载。
　　2.开展信息系统安全等级保护测评。按照《信息安全等级保护管理办法》的规定，已完成定级备案的第二级（含）以上信息系统，需要开展等级测评和建设整改工作，第三级信息系统每年至少进行一次等级测评，第四级信息系统每半年进行一次等级测评。各单位已建成的信息系统在定级备案后要在年内开展一次测评，并在今后每年按规定开展等级测评。新建信息系统须在建设经费中增加信息系统安全等级测评费用，在信息系统建成运行并进行正式定级备案后及时开展相关测评，测评报告及时报市公安局网安支队备案，并做为信息系统项目验收材料之一。
　　3.建设整改和安全管理制度建设。信息系统测评后，各单位要根据测评报告制订系统建设整改方案，开展建设整改工作。同时根据《信息安全等级保护安全建设整改工作指南》等有关规定和技术标准，建立信息安全等级保护管理制度，明确安全管理人员和职责，落实安全保护责任。
　　新建信息系统要在方案设计中增加安全防范技术设计，具体参照进行预定级时所定等级对应的技术标准和要求。
　　（三）增强信息系统物理环境保护措施
　　各县区卫健局和新区社会事务局、各医疗卫生机构自行建设的信息化机房，要制定相应的机房和系统管理人员的管理办法，并派专人对执行情况进行管理；加强机房消防、管网、门禁、监控、IT设备等的日常检查和登记。监控和预警设备要覆盖机房和医疗卫生机构重点设备保护地点，所有终端工作站必须安装在有门禁的室内或可监控的范围内，自助终端设备必须有可靠的保护措施，网络接口不能暴露在设备外。
　　同时，现有机房设备要加强系统应急和容灾备份管理。对重要系统所在服务器的性能进行检测，对超过维保年限或使用超过5年以上的设备，要请专业的公司进行检测维护或更新，保证设备的安全可靠；对重要的系统和数据要每天进行备份，主要网络设备、通信线路和数据处理系统要有相应的备用设备，定时检查备用设备是否可用，保证能随时替换；制定实际可行的安全应急方案，保证系统在出现问题时可及时恢复。
　　（四）强化系统用户权限和密码管理
　　各县区卫健局和新区社会事务局、各医疗卫生机构使用的信息化系统，其登录密码应有复杂度要求并定期更换，密码要采用2种以上字符、长度不少于8位，要求系统开发商，增加定期强制修改密码和密码复杂度符合性检查功能；派专人管理系统和数据库的超级用户密码，并签订保密协议或责任书，管理人须就密码的使用情况进行登记；根据用户实际需求删减不必要的权限，根据最小权限原则仅授予用户所需的最小权限，操作系统和数据库特权用户的权限要分离，删除多余和过期的账户，避免共享账户的存在。
　　（五）对网络接入环境和设备采取强制认证
　　全市各级各类医疗卫生机构涉及超出医疗机构自身使用范围的业务信息系统，必须在我市卫生专网内运行，需要与市外医疗卫生机构进行数据交换的，只能通过我市卫生专网上联自治区卫生专网进行数据交换；没有按照此网络架构部署使用的业务信息系统，必须立即停止使用。
　　医疗机构内部使用的信息系统必须部署在医院内网，与外网之间进行隔离（物理隔离或逻辑隔离），对网络接入终端设备实行强制认证，通过设定终端接入方式、网络地址范围、MAC地址绑定等条件限制终端登录，并设置终端登录无操作时的锁定时间，同时要禁止私自架设路由（尤其是无线路由）接入内网，禁止内网用户未经允许私自联到外部网络行为；有条件的医疗卫生机构，还可安装网络准入控制系统和网管系统，防止非法接入行为和监测违规连接外网行为，预警和记录端口操作行为，定位可疑接入设备。
　　（六）建立完善的网络防护、入侵防范、安全审计机制
　　各医疗卫生机构须配备防火墙、入侵检测、防病毒、安全审计等设备，并根据实际情况进行安全策略设置，指定专门人员管理，防范恶意代码进入、非法操作、非法入侵等行为，能记录、预警可疑行为；有条件的可以部署应用安全管理系统，对重要服务器的CPU、硬盘、内存、网络等资源的使用情况进行监控和预警。
　　（七）落实数据保密措施
　　各县区卫健局和新区社会事务局、各医疗卫生机构使用的信息系统，要对重要数据进行数据库存储加密、数据传输加密，对个人敏感信息，根据使用用户权限进行遮挡；针对系统、特别是数据库默认用户名和密码，要及时修改。系统使用单位还必须与信息系统开发商签订保密协议；为确保所有数据是在身份确认的前提下使用，防止身份冒用，各单位要基于原卫生部颁布的《卫生系统电子认证服务管理办法（试行）》（卫办发〔2009〕125号），逐步推进电子签名和认证管理。 　　三、建立健全信息网络安全报告制度
　　各县区及新区辖区内医疗卫生机构对信息系统日常工作中发生的安全事件，要视情况及时报送县区卫健局和新区社会事务局，对重大安全事件、事故（如医院信息系统瘫痪4小时以上无法正常看病、个人档案信息泄露1000份及以上、统方数据泄露、秘密级及以上数据泄密等），要保护好现场，并在24小时内向公安机关报告，同时书面报送县区卫健局和新区社会事务局，县区卫健局和新区社会事务局要同步及时报送市卫健委。
　　委属医疗卫生机构发生信息网络安全事件，要及时报送市卫健委，同步启动信息网络安全事件应急预案，在公安机关指导下积极处置。 　　四、完善信息网络安全保障机制
　　一是明确具体责任部门。各县区卫健局和新区社会事务局、各医疗卫生机构所属责任部门负责本单位及下属机构的信息网络安全工作，对本单位建设、使用、维护的信息系统及时开展定级备案、制度建设、系统测评和安全建设整改等各项具体工作。二是建立信息网络安全专业技术队伍。可以通过自行组建、合作等方式充实本单位信息网络安全专业技术队伍，结合本单位实际定期更新和完善信息网络安全事件应急预案，每年组织不少于1次应急预案演练，不断提高转专业技术队伍处置信息网络安全事件能力，让应急预案真正发挥应有作用。三是落实信息网络安全工作所需各项经费，特别是开展信息网络安全等级保护工作经费，为信息网络安全工作提供可靠保障。四是建立问责机制。按照《中华人民共和国网络安全法》、《中国共产党纪律处分条例》和《中国共产党问责条例》规定要求，建立信息网络安全问责机制，对各县区及医疗卫生机构发生信息网络安全事件，视发生原因、处置情况和影响大小等予以单位及相关责任人党纪、政纪处理。
　　委属医疗卫生机构要依本通知要求及时开展信息网络安全自查、整改，并根据自身实际情况，扎实进行信息安全等级保护工作。各县区卫健局和新区社会事务局依据本通知要求，组织推进本辖区内县级医院和基层医疗卫生机构的信息网络安全防护工作。我委也将在今年适时组织专业人员对县区和医疗机构开展信息网络安全防护情况进行督查，对发现的问题将予以通报。
　　相关事宜请与我委规划信息科联系。