加盟电话:152-6623-5191
精确检索
开始检索
当前位置: 首页 > 法规专区
前往VIP专区 精确搜索

银川市人民政府办公厅关于印发《银川市互联网医院数据安全保密管理制度》的通知

银川市人民政府办公厅关于印发《银川市互联网医院数据安全保密管理制度》的通知
银政办发〔2017〕72号
各县(市)区人民政府,市政府各部门、各直属机构: 

  《银川市互联网医院数据安全保密管理制度》已经市政府研究同意,现印发给你们,请认真贯彻执行。 

                     银川市人民政府办公厅 

                      2017年4月21日 

  银川市互联网医院数据安全保密管理制度 

    

  第一章 总则 

  第一条 为贯彻落实《银川互联网医院管理办法(试行)》(银政发〔2016〕249号)和《银川市互联网医院管理办法实施细则(试行)》(银办发〔2017〕38号)要求,规范互联网医院数据安全保密管理,根据《保密法》、《国家网络安全法》、《侵权责任法》、《计算机信息系统安全保护条例》等国家有关法律规定,结合我市实际情况,特制定本制度。 

  第二条 本制度中的互联网医院数据是指在银川市注册的互联网医院在运营过程中产生的全部数据。    

  第三条 在本市行政区域内从事互联网医院数据的采集、存储、处理、应用、共享、开放及其相关管理服务活动,适用本制度。 

  第四条 信息系统是指互联网医院数据采集、存储、处理、应用、共享、开放及其相关管理服务活动的信息系统。 

    

  第二章 组织机构及职责 

  第五条 成立银川市互联网医院数据安全保密管理工作领导小组(以下简称“工作领导小组”),统筹管理互联网医院数据安全保密管理工作。工作领导小组下设互联网医院数据安全保密管理办公室(以下简称“管理办公室”),负责互联网医院数据的安全保密管理的日常运作和联络,并对互联网医院及相关部门的数据保密和安全工作制定日常监督和考核办法。 

 

  第三章 网络管理 

  第六条 信息系统内外网网络边界部署防火墙、审计系统、IPS/IDS等安全设备;对内部网络进行区域隔离、保护。重要的业务应用服务器区域部署单独的防火墙进行保护。 

  第七条 内外网络之间要实行物理隔离。如需进行数据交换和网络链接时,必须采用符合国家保密部门要求的方式(如刻录光盘)或设备(如保密部门认可的安全移动存储介质管理系统)。 

  第八条 所有互联网医院的应用系统必须使用网页防篡改技术或专用安全设备进行保护,确保网站在受到破坏时能自动恢复。 

  第九条 所有互联网医院的应用系统必须经过有资质的专业信息安全公司或第三方技术机构的安全测评,对于集中处理互联网医院数据的信息系统应参照秘密级信息系统的分级保护相关要求实施安全防护,确保网站的安全性。工作领导小组指定负责人或第三方专业机构按国家相关要求定期开展信息安全等级保护和风险评估工作,定期组织专家评审,排除信息系统安全隐患。 

  第十条 内网应配置独立的交换机,内网综合布线须参照《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。 

  第十一条 内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH 等)进行远程传输时,必须使用VPN技术实行加密处理。 

  第十二条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。 

  第十三条 建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,按照相关业务和应用系统设计要求在规定时间内恢复受影响或被中断的应用服务。 

    

  第四章 终端管理 

  第十四条 内网计算机必须安装保密部门认可的违规上网监控软件。 

  第十五条 内网计算机应采用“双布线双用户终端”或“双布线双硬盘单用户终端”的隔离卡物理隔离解决方案。 

  第十六条 严禁在内网计算机上使用无线网卡、键盘、鼠标、蓝牙等一切无线设备。 

  第十七条 严禁在内网非涉密系统中发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。 

  第十八条 严禁在内网计算机上连接手机、相机、USB存储介质、录音笔等一切非授权的可存储或连接其他网络的外置设备。 

  第十九条 及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新,定期对计算机进行全盘扫描、杀毒。 

    

  第五章 用户管理 

  第二十条 所有用户(包括互联网医院、监管部门、IDC服务提供方及数据操作的相关人员)必须遵守《保密法》、《国家网络安全法》、《侵权责任法》、《计算机信息系统安全保护条例》等国家有关法律、法规,严格执行本条例。 

  第二十一条 所有用户需严格执行信息安全和互联网医院数据保密制度,不得泄露、买卖医学、个人隐私等相关信息。各有关部门、互联网医院不经患者本人同意不得将诊疗数据商用,若有违反上述规定的单位或个人,依法追究其法律责任。 

  第二十二条 各部门(包括但不限于互联网医院、监管部门、IDC服务提供方)需建立互联网医院数据安全管理实施工作责任制和责任追究制,应按照分工负责、相互制约的原则制定各类系统操作人员的数据读写权限,读写权限不允许交叉覆盖。确定数据使用人员的存取权限、存取方式和审批手续,防止各类敏感数据有意或无意泄露与获取。 

  第二十三条 管理办公室定期组织对内网用户和数据操作相关人员的保密教育和检查,加强对内网安全、保密技术知识的教育和
【政府扶持政策】相关法规