各设区市卫生局，杨凌示范区社会事业局，厅直属、部属各医疗卫生单位、厅机关各处室：

现将《陕西省卫生行业信息安全等级保护工作实施方案》印发给你们，请遵照执行。

二〇一二年四月十六日

陕西省卫生行业信息安全等级保护工作实施方案

信息安全等级保护是一项重要国家安全制度，为了规范和指导卫生行业信息安全等级保护工作，卫生部印发了《卫生行业信息安全等级保护工作的指导意见》（卫办发〔2011〕85号)。按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号)和卫生部有关要求，结合我省卫生行业实际，特制定本实施方案。

一、 指导思想和基本原则

（一) 指导思想

以科学发展观为指导，认真贯彻落实国家和省有关信息安全等级保护规定和要求，维护和保障国家信息安全、人民群众个人权益，促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序。

（二)基本原则

1、遵循标准，重点保护。遵循国家和省信息安全等级保护相关标准规范，结合我省卫生行业信息系统实际，优先保护重要的、涉及面广、遭受破坏对社会危害程度大的信息系统，优先满足重点信息系统安全需求。

2、行业指导，属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。各市级卫生行政部门要按照国家和省信息安全等级保护制度有关要求，做好本地区卫生信息系统安全等级保护的指导、管理和保护工作。各单位要按照“谁主管、谁负责，谁运营、谁负责”的要求，落实信息安全责任。

3、同步建设，动态完善。在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

二、建设目标

依据国家、省信息安全等级保护制度，遵循相关标准规范，在全省卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

三、主要任务

（一)定级备案

1、卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查，应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。

国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全等级保护原则上不低于第三级：

（1)全省卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨市全省联网运行的信息系统；

（2)省、市、县三级区域卫生信息平台、业务系统（新农合、卫生监督、妇幼保健等)及数据中心；

（3)二级及以上医院的核心业务信息系统（电子病历、财务)；

（4)其他经过信息安全技术专家技术指导组评定为第三级以上（含第三级)的信息系统。

2、拟定为第三级以上（含第三级)的卫生信息系统，应当经当地信息安全技术专家技术指导组论证、评审。

3、各单位在确定信息系统安全保护等级后，对第二级以上（含第二级)信息系统，应当报属地公安机关网安部门及卫生行政部门备案。跨市全省联网运行并由省卫生厅定级的信息系统，由省卫生厅报省公安厅备案；在各市、县运行、应用的分支系统，应当报属地公安机关备案。

（二) 建设与整改

1、对确定安全保护等级第二级以上（含第二级)的卫生信息系统，应当按照国家、省信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等标准，开展安全保护现状分析，查找安全隐患及与信息安全等级保护标准之间的差距，确定安全需求。

2、根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上（含第三级)卫生信息系统安全建设整改方案应当经信息安全技术专家技术指导组论证。

3、各地各单位应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。

（三)等级测评

1、系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从省信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上（含第三级)卫生信息系统进行等级测评。

2、测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。

3、对第三级以上（含第三级)卫生信息系统每年应当进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。

（四)宣传培训

1、省卫生厅将集中开展信息安全等级保护培训，各市、县卫生行政部门信息化工作领导小组也要对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训，提高各单位信息安全管理人员的技术能力和管理水平。

2、各医疗卫生单位要积极组织开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。

（五)监督检查

1、省卫生厅信息化工作领导小组办公室负责督导检查各市和厅直属、部属医疗卫生机构信息安全等级保护工作落实情况，并督促厅机关重要信息系统责任单位开展信息安全等级保护工作。

2、市级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并负责本单位开展信息安全等级保护工作。

3、市级卫生行政部门信息化工作领导小组应当于每年12月15日前，向省卫生厅信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。

四、时间安排

（一)第一阶段。2012年7月底以前，按照《陕西省卫生行业信息安全等级保护实施方案》，建立省、市二级信息安全等级保护专家技术指导组，确定信息安全等级保护工作联络员，并完成技术培训。

（二)第二阶段。2012年底前，完成三级甲等医院的核心业务信息系统，已建成运行跨市全省联网运行的信息系统的定级、保护和备案工作。

（三)第三阶段。2013年12月30日前，完成二级及区域卫生信息平台等及其它已建成运行的业务信息系统的定级、保护和备案。

五、保障措施

（一)加强组织领导。各级医疗卫生机构要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要领导要负总责，分管领导要具体抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事日程和工作绩效考核指标，一级抓一级，层层抓落实。

省卫生厅成立陕西省卫生行业信息安全等级保护专家技术指导组，为各地、各医疗卫生单位业务信息系统定级、测评、备案提供技术指导和业务培训。建立省、市二级信息安全等级保护工作联络员机制。联络员职责是落实国家、省信息安全等级保护工作的有关政策和技术标准，掌握本地区信息安全等级保护工作动态和总体情况，代表本地区与省卫生厅及同级公安部门进行日常联系和交流。

（二)保障经费，加强监管。各级医疗卫生机构要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。

（三)加强沟通，密切合作。各级卫生行政部门应当加强与当地公安部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。