各盟市卫生局、公安局,自治区各医疗卫生单位:
为贯彻落实国家信息安全等级保护制度要求,加强我区卫生行业的信息网络安全保护工作,全面提升卫生行业信息安全保障能力和水平,保障和促进卫生信息化健康发展,按照《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》(卫办发〔2011〕85号)、《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号)的精神和《内蒙古自治区计算机信息系统安全保护办法》(自治区人民政府第183号令)的规定,自治区卫生厅、公安厅决定在全区卫生行业开展信息安全等级保护工作,现就有关要求通知如下:
一、高度重视,全面推进医疗卫生机构信息安全等级保护工作
近年来,我区卫生行业全面推进信息化建设、卫生行业信息网络安全工作已成为我区卫生事业发展的重要组成部分,各医疗卫生机构信息系统在数量和系统复杂程度上均有大幅度提升。特别是各单位的基础信息网络和重要信息系统已经成为支撑我区卫生行业业务发展的重要载体和主要手段。对此,全区各级公安机关、卫生行政部门要高度重视卫生行业信息安全等级保护工作,组织和指导所在地医疗卫生机构认真贯彻落实国家信息安全等级保护制度,切实把信息安全等级保护工作纳入各地区、各单位信息化工作的整体布局中,将信息安全等级保护工作纳入医疗卫生机构信息化工作中,做到信息安全等级保护工作与信息化建设工作同步规划、同步实施、同步考核。卫生行业各单位要加大信息安全建设投入,保障信息安全等级测评和安全建设整改相关经费,并纳入年度经费预算。
二、明确职责,建立分工负责、协作配合的工作机制
各级卫生行政部门负责部署所在地卫生行业信息安全等级保护工作,按照国家和自治区信息安全等级保护制度的总体要求和相关规定,组织卫生行业开展信息安全等级保护各项工作,制定具体实施方案或细则,优先保护涉及范围广、社会影响大的重要医疗卫生信息系统,开展宣传、学习培训和先进经验推广工作。各医疗卫生机构要按照国家和自治区信息安全等级保护制度要求和主管部门的工作部署,切实加强对信息安全等级保护工作的组织领导,建立健全主管部门和工作机制,及时开展信息系统定级备案、安全建设整改、等级测评和自查等各项工作,并利用等级保护综合管理系统使信息安全等级保护工作常态化。公安机关要按照《内蒙古自治区计算机信息系统安全保护办法》,加强对医疗卫生机构信息安全等级保护工作的指导、监督和检查,开展政策法规宣传和相关业务培训,与卫生行政部门密切配合,建立健全工作机制,为卫生行业开展信息安全等级保护工作提供服务和支持。同时依法查处违反《内蒙古自治区计算机信息系统安全保护办法》规定的违法单位和人员。
三、全面梳理信息网络和系统,认真做好信息系统安全等级保护定级、备案工作
卫生行业各单位要按照“谁主管、谁负责;谁使用、谁负责”的原则,全面梳理本单位信息系统和信息网络,摸清底数,根据《信息安全等级保护管理办法》、《内蒙古自治区计算机信息系统安全保护办法》和《卫生行业信息安全等级保护工作的指导意见》等有关规定和标准,按照“行业自主定级、聘请专家评审、主管部门审核、公安机关监督”的要求,准确确定信息系统安全保护等级,并于2012年6月30日前到所属盟市公安机关办理备案手续。其中,自治区级卫生部门、跨盟市或者全区统一联网运行的第二级(含)以上信息系统,应到自治区公安厅备案。对于已定级的信息系统由于定级不准、信息系统的结构、处理流程、服务内容等发生重大变化或者公安机关要求重新确定等级的,应重新开展定级备案工作。新建信息系统要在规划设计阶段确定系统安全保护等级,并在等级确定后30日内到公安机关备案。公安机关要及时受理备案,在收到备案材料之日起10个工作日内对报送备案的材料进行审查,对符合要求的出具备案证明。对定级不准确或者保护措施不符合技术规范的,要书面通知报送单位予以纠正。
四、开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系
卫生行业各单位要在信息系统定级备案工作基础上,按照开展信息安全等级保护安全建设整改工作的有关要求,组织开展等级保护安全建设整改工作。按照《信息系统安全等级保护基本要求》等有关标准,通过开展等级测评等方式,确定信息系统安全建设整改需求,对信息系统进行加固改造和完善,落实安全保护技术措施和安全管理制度,建立信息系统综合防护体系,提高网络和信息系统的整体保护能力。
卫生行业各单位要对本单位第二级(含)以上信息系统开展等级测评,查找发现信息系统的安全问题、漏洞和安全隐患并及时整改,年内完成对本单位第二级(含)以上信息系统的等级测评。并于2012年12月31日前将等级测评报告向公安机关及卫生行政部门备案。
按照《内蒙古自治区计算机信息系统安全保护办法》规定,各地各单位选择的信息安全等级测评机构必须经过公安部信息安全等级保护评估中心的测评能力评估、向全国推荐并持有内蒙古自治区信息安全等级保护协调小组办公室(自治区公安厅)出具的备案证明。测评人员必须获得公安部信息安全等级保护评估中心办法的资质证书。目前我区符合条件的等级测评机构有内蒙古信元信息安全评测有限责任公司。对于我区新通过评估、备案的其他符合条件的信息安全等级测评机构,自治区信息安全等级保护协调小组办公室将及时进行公告。
五、加强检查和考核,建立长效工作机制,确保卫生行业信息系统安全保护能力达到等级保护要求
卫生行业各单位应当按照《内蒙古自治区计算机信息系统安全保护办法》规定,定期对信息系统安全保护状况、安全保护制度及技术措施的落实情况进行自查,按照规定定期开展等级测评,及时发现系统中存在的安全问题并整改;卫生行政部门要监督、检查行业信息安全等级保护制度落实情况,加强与公安机关沟通协作,认真落实本地卫生信息安全管理责任,督导本行业特别是重要医疗卫生信息系统运营单位开展信息安全等级保护各项工作。对不遵守规定、未履行职责导致发生重大信息网络安全案件、事件的卫生医疗机构直接责任人和主要领导给予处分。自治区卫生厅将把各地、区直各单位开展卫生信息安全等级保护工作情况纳入信息化水平评价考核体系,制定等级保护工作具体评价指标并进行量化考核;公安机关要积极主动开展工作,会同卫生行政部门定期对各医疗卫生机构信息安全等级保护工作情况进行监督检查,推动各卫生行业重要信息系统安全保护能力逐步达到信息安全等级保护要求,并指导相关非经营性上网服务场所落实互联网安全保护技术措施。对第三级计算机信息系统每年至少检查一次,对第四级计算机信息系统每半年至少检查一次。对于检查中发现的违法违规行为,要责令限期改正,给予警告。对在规定的限期内未改正的,依法进行处罚。
各地各单位要不断总结开展信息安全等级保护工作的经验,进一步加强和改进等级保护工作,要每年对等级保护工作情况进行总结,于每年11月30日前报上级卫生行政部门和公安机关。工作中如有何问题,请及时与自治区卫生厅和公安厅联系。
自治区卫生厅
联 系 人:侯 富
联系电话:0471—6945095
自治区公安厅
联 系 人:贾海云、田雨霖
联系电话: 0471—6513143
内蒙古自治区卫生厅
内蒙古自治区公安厅
二○一二年六月二十日