关于印发《芜湖市医保网络信息安全管理办法（试行）》的通知

关于印发《芜湖市医保网络信息安全

管理办法（试行）》的通知

各县市区医保局，经开区人社局，三山经开区医疗卫生局，局机关各科室（中心）：

为加强医保网络信息安全管理，现制定《芜湖市医保网络信息安全管理办法（试行）》，印发给你们，请遵照执行。

芜湖市医疗保障局

2022年2月8日

芜湖市医保网络信息安全管理办法（试行）

第一章 总则

第一条 为了进一步加强全市医保网络信息安全，规范医保信息系统权限设置和使用，特制定本管理办法。

第二条 本办法适用于全市医保部门的各类人员、网络、数据、硬件设备、软件系统等。

第三条 医保网络信息安全管理由市医保局基金监管和信息化科、市医保信息管理部门和各使用单位分工负责。

第四条 基金监管和信息化科负责网络信息系统项目规划、申报、立项等工作。市医保信息管理部门负责网络信息系统的项目实施、测试、运维、培训等工作。各使用单位负责单位内部网络安全制度落实，计算机安全管理，权限规范使用。

第五条 加强网络安全培训，培训可采用内部培训或外部聘请，也可以请第三方服务商提供专业人员进行培训。

第六条 信息安全考核至少一年进行一次，对各级医保部门考核由市医保局基金监管和信息化科牵头负责，对第三方厂商考核由市医保信息管理部门牵头负责。

第二章 系统运维管理

第七条 医保网络信息运维服务包括数据中心运维、网络运维、业务系统运维。

数据中心运维主要包括负责机房通用环境的维护和保养，机房设备的管理、保养及维修，云平台的运行情况监控及扩容。

网络运维主要包括医保专线的规划、设计、建设，常规网络服务的接入协调、运行维护、配置、管理工作、日常故障响应和技术援助等。

业务系统运维包括全市医保部门使用的信息系统的运行维护。系统上线运行及后续补丁版本升级，须经规范的系统测试，功能测试由项目需求单位组织业务人员实施，性能测试和安全测试由市医保信息管理部门组织相关技术人员实施。

第八条 驻场工作的第三方运维人员应当签署保密协议并遵守市医保局各项管理制度和服务合同中约定的各种条款。运维人员离场后，及时删除人员的账户和权限等。

第九条 市医保信息管理部门应采取日常考核和定期考核相结合的方式，对第三方人员的日常考勤、工作成果、服务质量等方面进行评价。对于考核不合格者，应要求第三方单位调换工作人员。考核结果与费用支付实施挂钩。

第三章 帐号权限管理

第十条 账号权限管理由市医保信息管理部门牵头负责，并分别设立信息系统管理员。

第十一条 市医保信息管理部门统一管理各信息系统管理员权限的变动、授权范围。各信息系统管理员负责本部门信息系统权限分配工作。

第十二条 信息系统权限的变动实行审批管理，由申请人填写《系统权限登记申报表》，经业务科室、分管局（中心）领导审批后，由各信息系统管理员授权，并抄报市医保信息管理部门。

第十三条 对系统的访问须经过授权，任何人不得在未经授权的情况下在系统中运行未经审批的程序。拥有帐号的用户不得随意将帐号交于他人使用。

第十四条 帐号权限的分配应遵循满足需求的最小授权原则, 即为用户分配权限时, 以其能进行系统管理、操作的最小权限进行授权，避免为其分配无关的或更大的权限。

第十五条 当工作人员工作调动或离职时，信息系统管理员应立即将其在系统中的帐号撤销，不得继续将帐号分配给他人使用。

第十六条 系统中的帐号口令应避免使用弱口令.口令长度不得低于12位，须由数字、大小字母以及特殊字符组成,并定期进行更新。

第四章 数据备份和恢复

第十七条 数据备份采用零级备份或增量备份。

第十八条 数据备份时，应及时记录备份情况，包括备份周期、时间、内容、相关变更记录等信息。

第十九条 数据恢复前，须根据情况对所需要恢复的数据进行必要的备份，防止有用数据的丢失。

第二十条 数据恢复后，须进行验证、确认，确保数据恢复的完整性和可用性。

第五章 资产资源管理

第二十一条 硬件资产的管理。购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记并建立资产清单。

第二十二条 软件资产的管理。要避免软件资产的丢失、泄密，在安装软件时要规定使用权限，防止非授权访问。

第二十三条 数据资产的管理。各级医保部门要预防和减少数据错误，确保前台录入数据真实、准确、完整。需后台对信息系统中的数据进行维护的，由各级医疗保险经办机构填写《医保业务数据处理申请表》，待中心业务科室、中心分管领导审批后，由市医保信息管理部门审核后，通知软件服务提供商处理。

第二十四条 网络资源管理。从中心机房到业务部门的各项网络资源由市医保信息管理部门统一管理。各单位内部的网络布线、设备的采购等由单位自行管理。所有接入中心业务网络申请、变更，由市医保信息管理部门审核后进行办理。

第二十五条 云平台资源管理。云平台资源使用包含申请、变更和退出。使用单位在信息系统开发完成后，按支撑信息系统正常运行所需，合理申请云资源。信息系统运行过程中，使用单位根据业务需要，确需要云资源配置变更的，向云管理机构提出申请。使用单位不再使用云平台服务时，须做好应用系统下线和数据迁移备份工作，向云主管部门提出退出申请。

第二十六条 闲置报废资产管理。闲置资产根据资产类别进行分类归档管理。闲置资产中不能再使用的，要存储在安全的环境中。需要报废销毁的，按照单位固定资产管理要求，进行处置。涉及包含有敏感信息的闲置资产处置，要进行严格的消密处理，并做好登记备案。

第二十七条 有关行政部门、司法机关等因执法工作需要查阅、复制或者调取数据的，应当履行相关查阅程序，并遵守下列规定：

（一）工作人员不少于两人；

（二）出示个人工作证件和单位证明材料；

（三）履行登记手续；

第六章 安全检查管理

第二十八条 项目立项阶段即要对信息系统项目及其建设的各个环节进行统一的安全管理规划。依据国家信息系统安全的相关要求对项目进行等保定级。信息系统建设完成后要向公安机关进行备案，并按国家关于信息安全等级保护相关要求开展等保测评工作。

第二十九条 市医保信息管理部门定期开展网络安全检查，根据需要组织安全专项检查。检查完成后形成检查报告，相关部门应针对检查报告中所提出的问题组织整改，整改完成后进行复查确认。

第三十条 市医保信息管理部门负责数据中心病毒防治工作，并通过购买专业的安全厂商防病毒服务，及时升级查杀策略。同时指导各单位个人防病毒产品的部署和使用,组织计算机防病毒教育和培训,对计算机的防病毒情况进行检查。

第七章 责任追究

第三十一条 各部门主要负责人为医保网络信息安全管理第一责任人。按照“谁使用，谁负责”的原则，加强医保网络信息安全管理。因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的，按有关规定对部门和有关责任人进行处理，情节特别严重的依法追究法律责任。 

第三十二条 一旦发现网络违法案件或者接到有关网络违法案件举报，应当详细、如实记录事件经过，保存相关证据记录，及时通知有关领导，并立刻与公安等部门取得联系。

第三十三条 所有人员必须自觉遵守国家有关保密法规： 

（一）不得利用国际联网泄露国家秘密； 

（二）涉密文件、资料、数据严禁上网流传、处理、储存； 

（三）与涉密文件、资料、数据相关的计算机严禁联网运行。 

第三十四条  任何用户不得制作、复制、查阅和传播下列信息： 

（一）煽动抗拒、破坏宪法和法律、行政法规实施； 

（二）煽动颠覆国家政权，推翻社会主义制度； 

（三）煽动分裂国家、破坏国家统一； 

（四）煽动民族仇恨、民族歧视，破坏民族团结；  

（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序； 

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪；

（七）公然侮辱他人或者捏造事实诽谤他人； 

（八）损害国家机关信誉的； 

（九）其他违反宪法和法律、行政法规的。 

第三十五条 任何用户不得从事下列危害计算机信息网络安全的活动： 

（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源；

（二）未经允许，对计算机信息网络功能进行删除、修改或者增加的； 

（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的； 

（四）故意制作、传播计算机病毒等破坏性程序的；

（五）其他危害计算机信息网络安全的。   

第八章 附则

第三十六条 本办法由市医疗保障局负责解释。

第三十七条 本办法自印发之日起施行。

项目需求变更反馈表

系统权限登记申报表

注：请将系统授权申报明细表附后

本表一式两份，授权单位、市医保信息管理部门各留存一份

医保业务数据处理申请表

单位（盖章）：