一、网络安全管理制度
(一)网络安全管理组织及其职责
明确网络安全工作领导机构和负责网络安全管理工作的单位分管领导。明确网络安全管理工作的内设机构。
(二)计算机网络设施安全管理
网络设施安全应统一部署、统一实施、统一管理。对网络硬件设施和部署环境、网络接入资源、网络服务系统、网络安全系统等进行规划、建设实施、运行维护及资源共享服务管理,制定操作规范和日常管理要求,包括:
1.内部局域网管理;
2.桌面网络终端管理;
3.存储介质管理;
4.电子邮件等文件交换管理;
5.防病毒管理。
(三)人员安全管理
明确内部人员入职、培训、考核、离岗全流程安全管理,对网络安全专职人员、关键岗位人员按规定开展网络安全责任签约。
(四)系统应用安全管理
在信息系统建设、实施和管理中落实“同步规划、同步建设、同步运行”的安全管理机制。制定用户账号权限管理流程。针对第三方应明确人员接触网络时的申请及批准流程,做好实名登记、全员背景审查、保密协议签署等工作。开展网络安全等级保护定级、备案、测评、安全建设整改等工作。
(五)数据安全管理
应对数据资产进行全面梳理,在落实网络安全等级保护制度的基础上开展厅数据分类分级保护,重点保障重要数据和个人信息。对数据收集、存储、传输、处理、使用、交换、销毁进行全生命周期安全管理。
(六)应急保障与应急演练
制定应急预案,并根据单位业务情况制定必要的网络安全备份和恢复计划。定期备份,定期组织开展应急演练和恢复测试。
(七)检查、通报与惩处
建立网络信息安全管理工作的定期检查、通报和考核制度。
二、信息系统管理制度
(一)信息系统管理组织及其职责
成立信息化工作领导小组,明确信息化工作领导小组职责;确定信息系统建设部门,明确其职责;明确信息管理部门职责。
(二)信息系统项目申报
信息系统建设意向征求,纳入预备项目库管理;对拟申报的信息系统项目进行专家论证,通过论证的项目按照财政项目、科研项目、其他项目等分类申报流程进行项目申报。根据市级信息系统建设要求,配套申报区级信息系统建设项目。
(三)信息系统项目实施
1.组建信息系统项目组,明确项目组成员的分工及职责;
2.信息系统项目招投标及合同签订。
3.信息系统建设。制定项目实施计划,按计划开展信息系统建设。项目建设关键节点确定,包括需求确认、系统功能测试确认和试运行确认等。
4.信息系统测试与试运行。信息系统开发完成后,需进行系统测试,包括第三方软件测评和安全测评;第三方测评测通过后,开展信息系统试运行。
5.信息系统项目验收。系统试运行结束后,项目组提交项目工作总结,清点、准备验收所需相关材料,组织开展项目验收。
(四)信息系统运行管理。
1.信息系统上线。信息系统建设项目验收通过后,系统使用或牵头使用部门提交正式上线部署申请,投入正式使用。
2.信息系统运维管理。按照财政项目、科研项目、其他项目等运维要求进行信息系统运维管理。
3.信息系统变更管理。信息系统运维期间,系统使用或牵头使用部门如出于实际情况需要调整,提出书面申请,审批通过后实施变更。
4.信息系统下线。信息系统如停止使用,系统使用或牵头使用部门提出下线申请,评估通过后实施下线。
三、个案数据使用管理制度
(一)各部门职责分工
明确信息化工作领导小组职责、信息管理部门职责;相关职能部门(办公室、业务管理部门、科研管理部门等)职责;其他部门职责。
(二)数据分级分类管理要求
按照“分级授权、分级管理”的原则,将个案数据使用管理责任分解到科室和具体工作人员,落实个案数据的在线使用、离线使用与存储保管。
(三)个案数据使用管理流程
1.明确本部门个案数据使用流程,包括个案数据使用申请、使用审批、个案数据具体使用等相关流程的要求;
2.明确本单位其他部门个案数据使用流程,包括个案数据使用申请、使用审批、个案数据具体使用等相关流程的要求;
3.明确个案数据提供外部使用流程,包括个案数据使用申请、使用审批、个案数据具体使用等相关流程的要求。
(四)个案数据使用与管理的具体要求
涉及个案数据的业务信息系统应按信息系统安全等级保护要求,落实信息系统安全责任签约;连接互联网的计算机不得留存个案数据,不得在互联网上进行个案数据传输及保存;落实个案数据交接的要求及安全责任。
转载自-上海卫健委官网