丽水市医疗保障局关于印发《丽水市医疗保障局(3)
时间:2023-02-01 12:10 来源:网络整理 作者:采集插件 点击:次
第十九条 工作人员严禁利用业务专网计算机攻击破坏网络、数据库和应用系统,严禁非法获取各类数据,严禁浏览各类反动、淫秽等国家明文禁止的内容。
第六章 数据安全管理 第二十条 为强化数据安全管理,对医保数据实施分级管理。对采集和使用的数据进行分级标识,对不同级别的数据实施相应的安全管理策略和保护措施。 根据数据的敏感程度以及泄露后对我局、医药机构、企业和公民个人造成的影响和危害程度,将医保业务数据分为三级:低敏感级、敏感级、高敏感级。 (一)低敏感级。是指数据公开不会对医药机构、企业的 商业秘密和公民个人隐私、全局日常工作和政府利益造成损害。 是可以公开的数据。 (二)敏感级。是指发生数据泄露、破坏、失效等情况后 会对医药机构、企业的商业秘密和公民个人隐私、我局日常工 作和政府利益造成一定损害的数据。在特定条件下可以向特定 人员开放。 (三)高敏感级。敏感程度较高,是指发生数据泄露、破坏、失效等情况后会对医药机构、企业的商业秘密和公民个人隐私、我局日常工作和政府利益造成严重损害的数据是我局要重点保护的数据,禁止对外输出。 第二十一条 数据安全的日常监测巡查。数据操作日志记录,对涉及敏感数据的系统进行全面的日志记录,包括账号与授权管理、系统访问、业务操作、参保人信息操作等行为,并确保日志信息的完整、准确。所有日志留存至少6个月,批量操作日志至少留存1年。 第二十二条 数据安全日常监测巡查。市局信息部门定期开展日常数据安全审计。审计内容包含账号权限审计、异常操作审计等,及时发现并处理非授权访问、批量复制或转移数据等违规行为,并形成数据安全审计报告。 第二十三条 数据安全监督检查。市局网络安全与信息化领导小组办公室组织对全局各单位数据安全管理和落实情况的监督检查、通报,落实不到位的纳入绩效考核。对造成重大安全事故的,按照丽水市医疗保障局相关制度进行追责。 第二十四条 加强数据从采集到传输、储存、处理、使用、共享、销毁等全生命周期的合规性和安全性管理,确保数据的可用性、完整性和保密性,确保数据免遭未授权或越权访问、修改、泄露或丢失等风险。 一、数据的传输。利用加密、签名、鉴别和认证机 制对数据传输进行安全管理,防止数据丢失、泄露、篡改。 二、数据的存储。通过基于数据量增长、数据存储安全需求和合规性要求制定适当的存储架构,以实现对存储数据的有效保护。 三、数据的处理和使用。通过建立数据处理和使用安全保护机制,防止处理和使用过程中数据丢失、泄露、未授 权访问等安全风险。 四、数据的共享。加强对数据共享(含交换、导出、开放)环节的安全管控,防止不经审批、不受控制的数据共享行为导致泄露个人信息、重要数据等敏感信息。 五、数据的销毁。建立数据清除安全销毁机制,加强数据迁移销毁流程安全管理,防止因存储介质上的数据内容 的恶意恢复而导致的数据泄露风险。 第二十五条 数据安全风险评估。数据安全风险评估是对数据资产面临的威胁、存在的脆弱性,以及威胁利用脆弱性导致数据安全事件的可能性、造成的影响进行评估。评估工具包括漏洞扫描、IPS、渗透测试、安全管理评价等。数据安全风险评估原则上每年至少开展一次。
第七章 网络与信息安全应急响应及投诉处理 第二十六条 市局信息部门建立数据泄露等突发事件的应急响应机制,制定应急预案,定期组织演练,做好紧急情况下重要数据的保护。 第二十七条 对于已发生的网络和信息安全事件,应第一时间封堵漏洞,防止数据扩散。并按照流程及时上报,涉嫌犯罪行为的,要向当地公安机关报告,事后做好分析、 整改、相关环节的完善。 第二十八条 市局办公室负责网络和信息安全类相关投诉管理, 完善用户投诉举报处理机制,公布咨询与投诉渠道,受理相关投诉。 第二十九条 市医保中心具体负责对接各医药机构、企业和参保人员个人数据安全投诉受理工作。
第八章 合作方管理 (责任编辑:admin) |