各县（市、区）医疗保障局（分局），局机关各处室、直属单位：

《嘉兴市医疗保障局网络与信息建设安全管理办法（暂行）》已经局党组会议、局长办公会议审议通过，现印发给你们，请结合实际，认真贯彻执行。

嘉兴市医疗保障局

                           2020年11月26日

嘉兴市医疗保障局网络与信息建设安全管理办法

（暂行）

第一章 总 则

第一条 为树立正确的网络安全观，加强信息基础设施网络安全防护，推进网络安全信息统筹机制和平台建设，强化网络安全事件应急指挥处置能力建设，做到关口前移，防患于未然，依照《浙江省医疗保障局网络与信息安全暂行管理办法》相关规定，特制定本管理办法。

第二条 市医疗保障局成立全市医保系统网络与信息安全工作领导小组（以下简称领导小组），负责指导、统筹全市医保网络和信息系统安全管理工作，审批市本级医保项目建设及处置医保重大网络和信息系统安全事件。领导小组下设办公室（设在市医保信息中心）负责市本级医保网络和信息系统的建设统筹、技术标准管理与安全维护保障工作；对县（市、区）局的医保网络和信息系统安全管理工作进行指导；对全市医保网络和信息系统安全开展监督检查。

第三条 全市医保信息系统建设及应用安全管理对象应当明确建设牵头部门、运行管理负责部门、应用和数据使用部门等责任部门，各责任部门的信息系统应用管理职责为:

（一）建设牵头部门承担医保信息系统项目建设责任，负责需求提出、项目立项、建设协调、组织验收等工作，并同步贯彻落实应用管理安全政策，负责应用和数据使用单位需求审批落实工作。

（二）运行管理负责部门承担医保信息系统应用管理运行责任，负责建立完善运行安全的相关制度，网络安全威胁监测、预警和事件处置，负责运行阶段同步贯彻落实网络安全政策、管理和技术要求，负责根据使用单位需求落实信息系统应用变更、暂停服务、废止工作。

（三）应用和数据使用部门承担医保信息系统应用管理使用责任，负责提出医保信息系统应用的上线、变更、暂停服务、废止需求，遵守应用和网络安全有关规定，确保信息系统应用在使用过程中的安全。

第二章 项目建设管理

第四条 各处（科）室根据工作要求开展信息系统项目建设需求分析，按照“谁需要、谁立项”的原则执行，结合需求分析进行规划、论证，提出项目建设内容并进行立项工作。

第五条 各处（科）室开展的信息系统项目立项工作，需经领导小组对本建设项目的立项报告、可行性研究报告及建设方案等提出书面审查意见，明确项目建设负责部门和具体负责人，审核通过方可实施。

第六条 项目立项通过审批后，由建设牵头部门按有关规定进行政府采购和合同签订、协调各部门开展信息系统建设、测试、运行、验收等工作；项目建设完成后，应用系统的运行、安全管理、设备维护和技术支持交由市医保中心信息科统一负责，并将项目纳入局信息化建设的总体管理框架，进行统一规划和资源整合。

第七条 各处（科）室应当按照业务需求，提前安排年度计划，于每年9月底前，研究提出下一年度信息化建设项目申请，编制项目申请表，报领导小组审核。

第八条 市医保中心信息科负责信息系统运行维护管理办法的制定、修订及信息系统的日常运行维护和安全保障工作。

第三章 系统功能需求管理

第九条 各处（科）室及南湖、秀洲分局（以下简称两分局）应确定一名信息系统需求联络员，负责信息系统业务需求的申请和管理。市医保中心信息科确定一名需求对接联络人，负责需求的落地和业务对接工作。

第十条 信息系统业务需求的提出须经处（科）室主要负责人同意后，由信息系统需求联络员向市医保中心信息科提交需求；两分局业务需求的提出需由分管领导签字后，由信息系统需求联络员向市医保中心信息科提交需求，向对接联络人提交《信息系统功能需求申请确认表》（详见附件3）。市医保中心信息科负责接收业务需求，协调开发人员进行处理，完成后书面提交业务部门联络员进行测试，通过后经业务部门书面确认完成，相关材料由信息科存档（具体流程见附件1）。

第十一条 业务经办以应用软件功能实现为主，坚持顶层设计、需求严密、高效便捷的原则。未经业务和信息部门的共同确认，任何人不得更改软件功能。

第四章 应用安全管理

第十二条 市医保中心信息科负责对市局业务应用系统的安全管理，定期开展巡检，监控系统关键性能参数（如启动参数）、工作状态、占用资源和容量使用情况等内容，建立巡检台帐归档保存。

第十三条 市医保中心稽查审计科负责指定信息系统权限管理员，负责信息系统用户权限的审批与检查；市医保中心信息科负责指定信息系统权限操作员，负责系统用户权限的分配操作。

第十四条 各处（科）室对业务系统账号权限的申请、调整或核销需填写《信息系统用户权限审批和修改表》（详见附件4），经分管领导签字后，交市医保中心稽查审计科审核确认;两分局则由分局分管领导签字后，交市医保中心稽查审计科审核确认。确认通过后，由市医保中心稽查审计科交市医保中心信息科进行权限分配、调整或核销操作，相关材料由市医保中心稽查审计科和市医保中心信息科分别存档。

第十五条 市医保中心稽查审计科信息系统权限管理员每3个月对重要系统特权用户及权限进行审计，每6个月对各系统的普通用户及权限进行审计（权限审计将重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整）。在权限审查完成后，填写《权限审查表》，对审查过程发现的问题进行改进或调整。

第十六条 市医保中心信息科负责对第三方人员运维开展应用安全管理，建立第三方人员系统维护管理办法，办法中需明确有关安全协议的签订、远程访问授权及访问相关区域等内容。同时利用智能经办内控服务平台定期对第三方人员进行安全管理。

第十七条 市医保中心信息科负责开展信息系统应用安全培训，根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划，定期组织安全教育和培训。

第五章 网络安全管理

第十八条 市医保中心信息科负责市局网络的规划建设和运行安全管理，对网络接入人员进行网络安全技术培训，指导开展全市网络安全管理。

第十九条 市医保中心信息科负责对市局网络进行安全监控。各处（科）室工作人员对自身网络终端使用负责，未经批准，不得擅自安装、拆卸或更改网络设备和配置。

第二十条 各处（科）室、两分局工作人员根据工作需要接入或调整网络接入，应填写相关表格，交市医保中心信息科审核确认后，方可提供接入服务。

第二十一条 市医保中心信息科设立网络和终端管理员，负责局网络拓扑图的绘制，做好网络设备和系统设备的配置备份，对于重大网络调整，需报请处（科）室分管领导同意方可实施。

第二十二条 网络和终端管理员定期对网络和安全设备进行巡检，确保网络设施工作正常，建立网络巡检台帐归档保存。做好重大网络事件的处置和上报工作。

第二十三条 网络服务器的病毒防治由网络管理员负责，网络管理员负责对各部门计算机的病毒防治工作进行指导和协助。已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。

第六章 数据安全管理

第二十四条 市医保中心信息科负责市局应用数据安全管理，指定数据安全管理员，根据工作需要负责信息系统后台数据操作。

第二十五条 业务系统使用人员根据信息系统业务操作流程开展数据录入，确保数据录入的准确、完整，并对数据结果负责。

第二十六条 信息系统数据修改原则上统一由前台业务处理，确需直接对后台数据库进行修改操作的，应由业务处室填写《信息系统后台数据修改申请表》，经业务分管领导同意后，交市医保中心信息科负责操作，并将相关材料存档。

第二十七条 因工作原因，确需对外提供数据的，由需求处（科）室提供规范格式的数据需求函，由局办公室统一受理，经业务分管领导和信息分管领导同意后，由市医保中心信息科落实操作，并将相关材料存档。未经批准，任何处（科）室及个人一律不得向外提供数据。

第二十八条 对数据库数据进行操作处理的，须首先在测试库上进行，经业务和信息部门书面确认结果正确后，方可在生产库进行操作，并再次由业务和信息部门进行书面确认。

第二十九条 市医保中心信息科定期检查备份数据的有效性，高权限操作须由两人共同进行。未经允许，严禁直接对数据库进行数据处理。

第七章 数据备份和恢复管理

第三十条 市医保中心信息科是数据备份的管理部门，负责信息系统的数据备份、运行维护与管理工作。

第三十一条 在规划设计以及新建信息系统时应充分考虑系统的备份需求，已运行的信息系统备份需求发生变化时，要及时调整数据备份策略和恢复预案。备份策略和恢复预案的制定与调整需报领导小组批准。

第三十二条 市医保中心信息科应制定相关运行和维护管理办法，加强对数据备份系统的运行和维护管理，确保数据备份系统可靠运行。

第三十三条 应对数据备份操作进行记录，填写《数据备份记录表》，操作可能影响到信息应用系统正常运行的，要报该信息系统业务主管部门和市医保中心信息科审查，并经主管领导批准。

第三十四条 重要信息系统数据备份应保留两份拷贝，一份在现使用场所保存，以保证数据的正常快速恢复和数据查询，另一份异地保存，避免发生灾难事件后数据无法恢复。

第三十五条 当出现故障而导致系统或数据损坏并无法修复时，应根据恢复预案和实际情况编制详细的恢复实施方案，报信息系统业务主管部门审查，并经主管领导批准后，方可对系统进行恢复操作。恢复操作不得影响对故障原因的追查和故障的处理。对于重要业务系统，每年应至少进行一次备份数据的恢复演练。

第八章 机房安全管理

第三十六条 市医保中心信息科负责机房安全管理制度的执行落实，并加强监督检查。负责指定机房安全管理员。机房管理员负责机房的日常维护、日常监控和日常管理。

第三十七条 严禁非机房工作人员进入机房，如因工作需要进入机房需经市医保中心信息科主管领导批准并由机房管理员带入机房管理员，进入机房需通过指纹或密码认证。

第三十八条 进入机房的人员必须完整填写《机房出入登记表》以备检查。进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对设备正常运行构成威胁的物品。

第三十九条 机房管理员随时监视设备运行状况，发现异常情况时应立即按照预案规程进行操作，并及时上报和做好详细记录。不定期对机房内的消防器材、监控设备进行检查，以确保其有效性。定期填写《机房安全巡检表》（见附件5）。

第四十条 严格按照有关操作流程对业务系统进行操作，对新上线业务及特殊情况需要变更流程的，应事先进行详细安排并书面报相关负责人批准签字后方可执行；所有操作必须记录存档。

第四十一条 机房管理员必须密切监视中心设备的运行状况及各网点运行情况，确保信息系统安全、正常运行。

第四十二条 机房的设备间和控制台隔离分设。未经负责人批准，不得在中心机房设备上编写、修改、更换各类软件系统及更改设备参数配置。

第四十三条 各类软件系统的维护、增删、配置的更改，各类硬件设备的添加、更换必需经负责人批准后方可进行；必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理存档。

第九章 系统安全重大事件响应机制

第四十四条 按照信息安全事件造成的后果和影响的严重程度，将信息安全事件分为以下等级：

1.特别重大安全事件，指能造成特别严重影响或破坏的信息安全事件，包括以下情况：

（1）会使特别重要信息系统遭受特别严重的系统损失；

（2）产生特别重大的社会影响。

2.重大安全事件，指能造成严重影响或破坏的信息安全事件。

3.较大安全事件，指能造成较严重影响或破坏的信息安全事件。

4.一般安全事件，指不满足以上条件的信息安全事件。

第四十五条 安全事件处置流程是：

 第四十六条 安全事件处理各环节责任人及职责说明如下表所示：

第四十七条 安全事件报告程序：

1.发现一般安全事件时（2小时内），由市医保中心信息科系统安全管理员处理、记录、归档，并上报市医保中心主要负责人；

2.发现较大安全事件时（1小时内），首先由系统安全管理员上报市医保中心信息科和市医保中心主要负责人，由安全事件处理人员进行事件处理，处理完毕上报领导小组办公室主任；

3.发现重大安全事件或特别重大安全事件时（半小时内），由市医保中心主要负责人上报领导小组组长，联系维护支撑单位协助处理安全事件，负责事件的统筹协调工作。

第四十八条 市医保中心信息科负责人组织、跟踪信息安全事件的处理和完成情况，并针对安全事件进行原因分析，针对安全缺陷进行统计分析，并对事件及缺陷采取纠正、预防等措施。

第十章 附 则

第四十九条 各县（市、区）局结合《浙江省医疗保障局网络与信息安全管理暂行办法》，参照本管理办法另行制定安全管理办法，建立本单位网络与信息安全工作领导小组，落实网络和信息系统安全运维具体责任人，向市局报备医保信息系统应用管理建设有关方案。

第五十条 《浙江省医疗保障局网络与信息安全管理暂行办法》已经明确规定的内容，作为本管理办法执行内容同步实施。

第五十一条 本管理办法由市医疗保障局负责解释。

第五十二条 本管理办法自发布之日起施行。