国家卫生健康委统计信息中心关于征求《互联网 医疗健康信息安全管理规范（征求意见稿）》标 准意见的函 各省、自治区、直辖市及新疆生产建设兵团卫生健康委统计信息中心或相关部门， 有关单位：为规范推进互联网医疗健康应用网络安全，我中心组织起草了《互联 网医疗健康信息安全管理规范（征求意见稿）》行业标准，现公开征求意见，请 于6月17日前将意见反馈表（加盖公章）扫描件以邮件形式反馈我中心。征求 意见稿文本在我中心网站下载。 联系人：国家卫生健康委统计信息中心杨慧清 电话：010-68791029 邮箱：[email protected] 国家卫生健康委统计信息中心 2021年6月3日 互联网医疗健康信息安全管理规范 （征求意见稿）1范围本文件规定了互联网医疗健康信息安全管理总体框架、信息安全相 关方管理、信息安全过程管理、信息安全数据管理、信息安全技术管理和信息安 全组织管理的规范和安全要求。 本文件适用于组织、个人在中华人民共和国境内开展互联网医疗健康活动所遵循 信息安全管理。 2规范性引用文件下列文件中的内容通过文中的规范性引用而构成 本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于 本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安 全技术术语GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T28448信息安全技术网络安全等级保护测评要求GB/T35273信息安 全技术个人信息安全规范GB/T370448信息安全技术物联网安全参考模型 及通用要求 GB/T37973信息安全技术大数据安全管理指南 3、术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。 3.1互联网医疗健康服务internetmedicalandhealthservices应用互联网 及相关信息技术提供的互联网医疗服务、互联网公共卫生服务、互联网家庭医生 签约服务、互联网药品供应保障服务、互联网医疗保障结算服务、互联网医学教 育和科普服务、互联网人工智能应用服务等。3.2互联网医疗健康信息系统internetmedicalandhealthinformation system应用信息化技术，支撑互联网医疗健康服务、运营与监管业务开展，产 生互联网医疗健康信息，为互联网医疗健康服务过程以及管理和决策提供支持的 信息系统。为服务过程、完成后实际交付使用的、对外提供互联网医疗健康服务 的整套系统，包括计算机硬件、软件、网络等总称。 3.3互联网医疗健康信息安全管理internetmedicalandhealth informationsecuritymanagement国家和地方网信部门、卫生健康主管部门、 医疗卫生机构及其他相关企业和机构，在互联网医疗健康服务开展过程，在应用 建设、运营管理和信息管理等阶段，应用合理的技术与管理手段，保障信息安全 的管理过程。3.4建设方constructionorganization建设方是指互联网医疗 健康信息系统的建设责任主体。建设方可自行负责或委托第三方开展互联网医疗 健康信息系统的建设、互联网医疗健康服务运营。 3.5服务方serverorganization服务方是指互联网医疗健康服务的提供主体 和责任承担主体。服务方负责保障互联网医疗健康信息安全。 3.6运营方operationorganization运营方是指互联网医疗健康服务的运营 责任承担主体。运营方负责互联网医疗健康信息系统维护和互联网医疗健康服务 运营等，维护系统稳定运行，保障服务稳定开展、推动服务合法合规有序发展的 工作内容。 3.7监管方regulator监管方是指县级以上卫生健康行政部门。监管方负责对 本行政区域内互联网医疗健康信息安全管理监管。 3.8个人信息personalinformation以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各 种信息。 4总则 互联网医疗健康的信息安全管理是互联网医疗健康信息系统建设、服务、运营与 监管活动过程中的信息安全管理。互联网医疗健康信息安全管理应确保互联网医 疗健康信息系统的合规性、可用性和安全性；确保互联网医疗健康信息采集、存 储、传输、应用、销毁等全生命周期的信息处理合法、正当、必要的原则，不得 过度处理，保障信息完整、保密，保护个人信息安全、公众利益和国家安全。 互联网医疗健康信息安全管理应坚持与现有法律法规与政策标准一致性。对于民 法典、网络安全法、网络安全等级保护条例，及其他信息安全相关法律法规与政 策标准要求已覆盖内容，本文件不再作规定。 5互联网医疗健康信息安全管理总体框架 互联网医疗健康信息安全管理总体框架图如图1所示。图1互联网医疗健康信息安全管理总体框架图 ——互联网医疗健康信息安全相关方管理：互联网医疗健康信息安全管理明确 建设方、服务方、运营方和监管方主体责任； ——互联网医疗健康信息安全过程管理：互联网医疗健康信息安全管理保障建 设、服务、运营和监管全过程的信息安全； ——互联网医疗健康信息安全数据管理：互联网医疗健康信息安全管理明确数 据在采集、存储、传输、应用和销毁等过程的信息安全要求； ——互联网医疗健康信息安全技术管理：互联网医疗健康信息安全管理明确互 联网医疗健康信息系统在应用安全、第三方接入安全和个人信息安全等方面需要 遵从的安全规范；——互联网医疗健康信息安全组织管理：遵照国家相关安全标准规范体系要求， 明确组织要求安全事件管理要求。 6互联网医疗健康信息安全相关方职责 6.1建设方职责建设方是互联网医疗健康信息系统建设和管理的责任主体，是 信息安全管理的第一责任方。建设方应当履行下列互联网医疗健康信息安全保护 义务：——制定互联网医疗健康信息安全工作的总体方针和安全策略，阐明安 全工作的总体目标、范围、原则和安全框架等，确定互联网医疗健康信息安全责 任人，落实互联网医疗健康信息安全保护责任；——在自行承担或引入第三方 机构开展建设、服务与运营时，负责指导与管理服务方与运营方遵照安全管理要 求开展相关工作；——建立互联网医疗健康信息安全应急体系，制定应急预案， 组建应急队伍、开展应急演练；——接受上级业务主管、信息安全监管部门的 安全审查和监管。 6.2服务方职责服务方是互联网医疗健康服务提供的责任主体，是互联网医疗 健康信息的主要产生方，是服务过程相关信息安全责任方。服务方应当履行下列 互联网医疗健康信息安全保护义务：——按照相关规范要求开展互联网医疗健 康信息服务，包括服务机构与服务人员的执业资质规范、服务过程安全规范、服 务结果可追溯；——服务人员开展互联网医疗健康服务过程中，应遵循信息安 全管理要求，有义务保障服务对象个人隐私；——配合建设方，完成网络安全 事件、突发信息安全事件的管理与处置；——接受上级业务主管、信息安全监 管部门的安全审查和监管。6.3运营方职责运营方是互联网医疗健康服务运营和信息系统维护责任主体， 是运营过程相关信息安全责任方。运营方应当履行下列互联网医疗健康信息安全 保护义务：——应当依照法律、行政法规的规定和国家标准的强制性要求，采 取技术措施和其他必要措施，保障互联网医疗健康信息系统及网络安全、稳定运 行；——有效应对信息安全事件，及时处置系统漏洞、计算机病毒、网络攻击、 网络侵入等安全风险，防范信息安全违法犯罪活动，维护互联网医疗健康信息数 据的完整性、保密性和可用性；——接受上级业务主管、信息安全监管部门的 安全审查和监管。 6.4监管方职责监管方是对本行政区域内互联网医疗健康服务开展的监管主体， 是监管过程相关信息安全责任方。监管方应当履行下列互联网医疗健康信息安全 保护义务：——对互联网医疗健康服务准入信息安全监管，包括机构执业资格、 服务人员执业资格、互联网医疗健康服务范围的执业资格等信息的真实性、完整 性；——对互联网医疗健康服务过程信息进行监管，包括服务过程中形成的文 字、视频、音频等内容信息的真实性、完整性、不可否认性；——对个人信息 保护进行监管，包括信息采集知情告知与授权许可，信息传输与存储加密，以及 信息脱敏使用、信息授权公开等； ——对互联网医疗健康服务质量进行监管，包括投诉、举报的公正性、及时性， 以及处理结果告知投诉、举报人等。 7互联网医疗健康信息安全过程管理 7.1建设过程管理建设方开展互联网医疗健康信息系统建设和管理活动时，应 满足以下要求：——建立健全互联网医疗健康信息安全管理体系和相关管理制度。明确互联网医疗健康信息安全管理相关岗位设置、工作要求与责任义务。包 括但不限于安全管理制度、安全审核检查制度、安全岗位、人员管理制度，组织 相关方完成突发事件的应急预案制定并落实应急演练。——互联网医疗健康信 息系统应通过网络安全等级保护三级测评和定期复评。互联网医疗健康信息系统 集成第三方服务应用时，第三方服务也需要达到相关安全防护水平。——互联 网医疗健康服务过程与运营过程中收集和产生的个人信息和重要数据应当在境 内存储。——因业务需要，确需向境外提供的，应当按照国家网信部门会同国 务院有关部门制定的办法进行安全评估，法律、行政法规另有规定的，依照相关 规定管理。——建设方有义务配合公安机关、网安部门和相关机构提供技术支 持和协助，并按照规定向有关主管部门报告。——对各项操作行为进行审计， 审计范围应覆盖到每个用户，并对业务审批人员、监管人员等重要用户行为和重 要安全事件进行审计，并对审计记录进行保护，定期备份，避免受到未预期的删 除、修改或覆盖等。