各区卫生健康委，各社会办医疗机构:

为进一步提升本市卫生健康行业网络安全工作水平，加强社会办医疗机构的网络安全管理和防护能力，切实保障医疗机构信息基础设施运行稳定及患者合法权益，现将有关事项通知如下：

一、总体原则

根据《网络安全法》等法律法规在网络安全行业管理相关规定，参照国家卫生健康委办公厅、国家中医药管理局办公室《关于落实卫生健康行业网络信息与数据安全责任的通知》（以下简称“《通知》”）要求，结合本市卫生健康行业网络安全实际情况，按照“谁主管谁负责、谁运维谁负责、谁使用谁负责、谁承建运行谁负责、属地管理”的原则，贯彻落实网络安全责任制，加强本市社会办医疗机构网络安全管理。

二、职责分工

（一）市卫生健康委

市卫生健康委统筹协调本市卫生健康行业网络安全总体工作，指导各区卫生健康委落实属地网络安全监督管理工作，会同相关区卫生健康委监管重点社会办医疗机构。

（二）各区卫生健康委

按照属地管理原则，各区卫生健康委对本辖区内的社会办医疗机构的网络安全工作负指导监管责任，依据相关要求，做好本辖区网络安全防护和监督管理工作。

（三）社会办医疗机构

社会办医疗机构应按照《网络安全法》和相关文件要求，认真落实网络安全工作，采取积极有效的管理方法和技术措施，保障本单位网络安全工作有效开展。

1.压实网络安全责任制

各机构应当按照《通知》中“各级各类医疗卫生机构及相关单位主要负责人是本单位网络信息与数据安全第一责任人，分管网络安全负责人是直接责任人，要建立‘主要负责人负总责，分管负责人牵头抓’的领导责任制”的总原则，结合本机构实际建立符合法律法规要求的网络安全责任制度并采取必要措施保障制度落实。

2.落实重要信息系统网络安全等级保护

按照《网络安全法》及网络安全等级保护相关要求，开展网络安全体系建设、信息系统等级保护测评备案、定期开展复测评和风险评估，保障日常业务安全稳定运行。定义为三级的信息系统每年需进行复测评，定义为二级的信息系统原则上每两年开展复测评。

各机构运行的信息系统等级保护定级原则上不低于二级，符合以下情形的，应当定义为三级：

（1）开办互联网医院的社会办医疗机构核心业务系统；

（2）承载百万级患者诊疗信息的业务系统、数据中台；

（3）与其他按照三级等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。

3.强化网络安全日常管理工作

按照《通知》中“各级各类医疗卫生机构依照法律法规的规定和相关标准，履行网络信息与数据安全保护义务，采取管理和技术措施，对职责范围内的网络与数据安全承担主体责任”的原则要求，各机构应当做好以下两方面工作：一是明确本单位负责网络安全工作的职能部门，建立本单位网络安全管理制度和操作规程，做好资产管理、安全防护、准入管理、数据保护、人员保障、供应商管理等方面的工作；二是定期开展网络安全自查，自查范围包括但不限于以下内容：关键信息基础设施、重要信息系统、重要网站、邮件系统，以及面向公众的大屏幕等，对存在的漏洞、弱密码、高危端口等隐患及时进行整改，杜绝发生网络安全事件。

4.接受监督，承担社会责任

《通知》中明确规定“相关企业按照法律法规要求，合法合规收集、使用和转移健康医疗数据，履行网络信息与数据安全保护义务，接受政府和社会的监督，承担社会责任”。社会办医疗机构应当接受属地卫生健康行政部门、网信、公安、通管等网络安全监管部门监督检查。

5.建立网络安全应急保障体系和值班报告制度

依据相关文件要求，制定本单位应急预案、组建应急队伍、开展应急演练。发生网络安全事件时，依照预案进行事件处置并将相关情况报送属地卫生健康行政部门，同时报送同级网络安全监管部门。

三、责任奖惩

各区卫生健康委应依据《关于印发2020年度上海市卫生健康行业网络安全管理绩效考核工作方案的通知》（沪卫信息〔2020〕15号）将社会办医疗机构的网络与信息系统安全保障工作纳入年底绩效考核范围。

上海市卫生健康委员会

2021年6月2日