內蒙古自治區(qū)公安廳關于開展全區(qū)衛(wèi)生行業(yè)信息安全等級保護工作的通知

各盟市衛(wèi)生局、公安局，自治區(qū)各醫(yī)療衛(wèi)生單位：

為貫徹落實國家信息安全等級保護制度要求，加強我區(qū)衛(wèi)生行業(yè)的信息網絡安全保護工作，全面提升衛(wèi)生行業(yè)信息安全保障能力和水平，保障和促進衛(wèi)生信息化健康發(fā)展，按照《衛(wèi)生部關于印發(fā)〈衛(wèi)生行業(yè)信息安全等級保護工作的指導意見〉的通知》(衛(wèi)辦發(fā)〔2011〕85號)、《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)、公安部《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安〔2009〕1429號)的精神和《內蒙古自治區(qū)計算機信息系統安全保護辦法》(自治區(qū)人民政府第183號令)的規(guī)定，自治區(qū)衛(wèi)生廳、公安廳決定在全區(qū)衛(wèi)生行業(yè)開展信息安全等級保護工作，現就有關要求通知如下:

一、高度重視，全面推進醫(yī)療衛(wèi)生機構信息安全等級保護工作

近年來，我區(qū)衛(wèi)生行業(yè)全面推進信息化建設、衛(wèi)生行業(yè)信息網絡安全工作已成為我區(qū)衛(wèi)生事業(yè)發(fā)展的重要組成部分，各醫(yī)療衛(wèi)生機構信息系統在數量和系統復雜程度上均有大幅度提升。特別是各單位的基礎信息網絡和重要信息系統已經成為支撐我區(qū)衛(wèi)生行業(yè)業(yè)務發(fā)展的重要載體和主要手段。對此，全區(qū)各級公安機關、衛(wèi)生行政部門要高度重視衛(wèi)生行業(yè)信息安全等級保護工作，組織和指導所在地醫(yī)療衛(wèi)生機構認真貫徹落實國家信息安全等級保護制度，切實把信息安全等級保護工作納入各地區(qū)、各單位信息化工作的整體布局中，將信息安全等級保護工作納入醫(yī)療衛(wèi)生機構信息化工作中，做到信息安全等級保護工作與信息化建設工作同步規(guī)劃、同步實施、同步考核。衛(wèi)生行業(yè)各單位要加大信息安全建設投入，保障信息安全等級測評和安全建設整改相關經費，并納入年度經費預算。

二、明確職責，建立分工負責、協作配合的工作機制

各級衛(wèi)生行政部門負責部署所在地衛(wèi)生行業(yè)信息安全等級保護工作，按照國家和自治區(qū)信息安全等級保護制度的總體要求和相關規(guī)定，組織衛(wèi)生行業(yè)開展信息安全等級保護各項工作，制定具體實施方案或細則，優(yōu)先保護涉及范圍廣、社會影響大的重要醫(yī)療衛(wèi)生信息系統，開展宣傳、學習培訓和先進經驗推廣工作。各醫(yī)療衛(wèi)生機構要按照國家和自治區(qū)信息安全等級保護制度要求和主管部門的工作部署，切實加強對信息安全等級保護工作的組織領導，建立健全主管部門和工作機制，及時開展信息系統定級備案、安全建設整改、等級測評和自查等各項工作，并利用等級保護綜合管理系統使信息安全等級保護工作常態(tài)化。公安機關要按照《內蒙古自治區(qū)計算機信息系統安全保護辦法》，加強對醫(yī)療衛(wèi)生機構信息安全等級保護工作的指導、監(jiān)督和檢查，開展政策法規(guī)宣傳和相關業(yè)務培訓，與衛(wèi)生行政部門密切配合，建立健全工作機制，為衛(wèi)生行業(yè)開展信息安全等級保護工作提供服務和支持。同時依法查處違反《內蒙古自治區(qū)計算機信息系統安全保護辦法》規(guī)定的違法單位和人員。

三、全面梳理信息網絡和系統，認真做好信息系統安全等級保護定級、備案工作

衛(wèi)生行業(yè)各單位要按照“誰主管、誰負責；誰使用、誰負責”的原則，全面梳理本單位信息系統和信息網絡，摸清底數，根據《信息安全等級保護管理辦法》、《內蒙古自治區(qū)計算機信息系統安全保護辦法》和《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》等有關規(guī)定和標準，按照“行業(yè)自主定級、聘請專家評審、主管部門審核、公安機關監(jiān)督”的要求，準確確定信息系統安全保護等級，并于2012年6月30日前到所屬盟市公安機關辦理備案手續(xù)。其中，自治區(qū)級衛(wèi)生部門、跨盟市或者全區(qū)統一聯網運行的第二級(含)以上信息系統，應到自治區(qū)公安廳備案。對于已定級的信息系統由于定級不準、信息系統的結構、處理流程、服務內容等發(fā)生重大變化或者公安機關要求重新確定等級的，應重新開展定級備案工作。新建信息系統要在規(guī)劃設計階段確定系統安全保護等級，并在等級確定后30日內到公安機關備案。公安機關要及時受理備案，在收到備案材料之日起10個工作日內對報送備案的材料進行審查，對符合要求的出具備案證明。對定級不準確或者保護措施不符合技術規(guī)范的，要書面通知報送單位予以糾正。

四、開展信息安全等級保護安全建設整改和等級測評工作，完善重要信息系統安全防護體系

衛(wèi)生行業(yè)各單位要在信息系統定級備案工作基礎上，按照開展信息安全等級保護安全建設整改工作的有關要求，組織開展等級保護安全建設整改工作。按照《信息系統安全等級保護基本要求》等有關標準，通過開展等級測評等方式，確定信息系統安全建設整改需求，對信息系統進行加固改造和完善，落實安全保護技術措施和安全管理制度，建立信息系統綜合防護體系，提高網絡和信息系統的整體保護能力。

衛(wèi)生行業(yè)各單位要對本單位第二級(含)以上信息系統開展等級測評，查找發(fā)現信息系統的安全問題、漏洞和安全隱患并及時整改，年內完成對本單位第二級(含)以上信息系統的等級測評。并于2012年12月31日前將等級測評報告向公安機關及衛(wèi)生行政部門備案。

按照《內蒙古自治區(qū)計算機信息系統安全保護辦法》規(guī)定，各地各單位選擇的信息安全等級測評機構必須經過公安部信息安全等級保護評估中心的測評能力評估、向全國推薦并持有內蒙古自治區(qū)信息安全等級保護協調小組辦公室(自治區(qū)公安廳)出具的備案證明。測評人員必須獲得公安部信息安全等級保護評估中心辦法的資質證書。目前我區(qū)符合條件的等級測評機構有內蒙古信元信息安全評測有限責任公司。對于我區(qū)新通過評估、備案的其他符合條件的信息安全等級測評機構，自治區(qū)信息安全等級保護協調小組辦公室將及時進行公告。

五、加強檢查和考核，建立長效工作機制，確保衛(wèi)生行業(yè)信息系統安全保護能力達到等級保護要求

衛(wèi)生行業(yè)各單位應當按照《內蒙古自治區(qū)計算機信息系統安全保護辦法》規(guī)定，定期對信息系統安全保護狀況、安全保護制度及技術措施的落實情況進行自查，按照規(guī)定定期開展等級測評，及時發(fā)現系統中存在的安全問題并整改;衛(wèi)生行政部門要監(jiān)督、檢查行業(yè)信息安全等級保護制度落實情況，加強與公安機關溝通協作，認真落實本地衛(wèi)生信息安全管理責任，督導本行業(yè)特別是重要醫(yī)療衛(wèi)生信息系統運營單位開展信息安全等級保護各項工作。對不遵守規(guī)定、未履行職責導致發(fā)生重大信息網絡安全案件、事件的衛(wèi)生醫(yī)療機構直接責任人和主要領導給予處分。自治區(qū)衛(wèi)生廳將把各地、區(qū)直各單位開展衛(wèi)生信息安全等級保護工作情況納入信息化水平評價考核體系，制定等級保護工作具體評價指標并進行量化考核;公安機關要積極主動開展工作，會同衛(wèi)生行政部門定期對各醫(yī)療衛(wèi)生機構信息安全等級保護工作情況進行監(jiān)督檢查，推動各衛(wèi)生行業(yè)重要信息系統安全保護能力逐步達到信息安全等級保護要求，并指導相關非經營性上網服務場所落實互聯網安全保護技術措施。對第三級計算機信息系統每年至少檢查一次，對第四級計算機信息系統每半年至少檢查一次。對于檢查中發(fā)現的違法違規(guī)行為，要責令限期改正，給予警告。對在規(guī)定的限期內未改正的，依法進行處罰。

各地各單位要不斷總結開展信息安全等級保護工作的經驗，進一步加強和改進等級保護工作，要每年對等級保護工作情況進行總結，于每年11月30日前報上級衛(wèi)生行政部門和公安機關。工作中如有何問題，請及時與自治區(qū)衛(wèi)生廳和公安廳聯系。

自治區(qū)衛(wèi)生廳

聯 系 人：侯 富

聯系電話：0471—6945095

自治區(qū)公安廳

聯 系 人：賈海云、田雨霖

聯系電話: 0471—6513143

內蒙古自治區(qū)衛(wèi)生廳

內蒙古自治區(qū)公安廳

二○一二年六月二十日