各县（市）医疗保障局、各区分局，龙港市社会事业局、经开区社保分局，局机关各处室、市医保中心：

《温州市医疗保障局数据安全管理暂行办法》已经局长办公会议研究同意，现印发给你们，请遵照执行。

温州市医疗保障局

2020年8月18日

温州市医疗保障局数据安全管理暂行办法

第一章总则

第一条为贯彻落实国家、省医疗保障局及我市有关网络数据安全（以下简称“数据安全”）要求，规范数据安全管理，履行数据安全保护义务，依据《中华人民共和国网络安全法》等法律法规要求，结合我市医疗保障工作实际，特制定本管理办法。

第二条本办法对各部门数据安全工作起指导、规范作用，适用于全局机关各处室、市医保中心，各县(市、区)医疗保障主管部门（以下简称各“县(市、区)局”）参照执行。

第三条本办法所指数据是指温州市医疗保障局及各县(市、区)局通过医疗保障业务系统收集、存储、传输、处理和产生的各种电子数据，主要包含定点医药机构、参保企业和参保人员医保信息数据，医保结算、业务经办类数据，网络、平台以及上层应用的运行与维护数据。

第四条各相关单位应遵守法律法规及监管要求，严格规范医保业务数据的收集、存储、使用、传输和销毁等行为，建立相关环节的安全管理制度和工作流程。

第二章基本原则

第五条数据安全管理应严格遵循以下管理原则，确保数据可管可控。

（一）在收集、使用企业及公民个人数据时遵循“合法、正当、必要”原则。数据应当被严格保密，不得泄露、篡改或者损毁，不得违规查询、出售或者非法向他人提供。

（二）数据安全管理遵循“谁主管谁负责、谁使用谁负责”原则，实行统一领导、分级管理，明确数据安全责任分工，层层落实数据安全责任。

（三）系统建设遵循安全“三同步”原则，数据系统安全防护措施应做到同步规划、同步建设、同步运行。并在工程项目交付、验收环节进行安全审批。

（四）数据交换、共享遵循“数据不出门、出门必授权” 原则。未经授权，医保业务敏感数据不可离开局内网络与计算环境；因工作需要，需向外部门、外单位提供的，必须通过市局网络安全与信息化领导小组办公室组织的安全评估，并签订对外提供信息保密协议（附件1）。

第三章 数据安全组织保障

第六条网络数据安全工作由市局网络安全与信息化领导小组总体指导。各县(市、区)局参照本办法成立对应数据安全管理机构负责本级医保系统数据安全工作。数据安全相关部门包括统筹管理部门、归口管理部门、数据使用部门。

第七条市局网络安全与信息化领导小组办公室作为数据安全工作的统筹管理部门，具体职责包括：

（一）总体牵头全局数据安全管理工作，落实国家、省医疗保障局及我市有关数据安全管理的工作要求，制定全局数据安全管理制度、管理流程和实施细则。

（二）监督检查各部门数据安全责任履行情况及数据安全规章制度的完善落实情况。

（三）负责组织研究网络数据安全防护技术手段的规划建设，指导归口管理部门开展网络数据资产的梳理及分类分级。

（四）负责按照工信部《数据安全合规性评估要点》，组织开展数据安全风险评估和重点业务数据安全合规性评估。

（五）统筹安排与市大数据发展管理局、市人力资源和社会保障局等相关部门的数据安全对接工作。

第八条市局信息部门作为市级医保系统业务数据的归口管理部门，负责数据安全“三同步”建设，并承接数据安全能力建设需求。主要职责包括：

（一）落实本部门数据安全管理责任，建立数据安全管理实施细则，明确本部门数据安全管理人员的岗位职责。

（二）负责医保数据系统及相关业务的安全管理、防护手段落实，数据安全风险评估和整改，定期开展数据安全审计及合规性检查，做好数据全生命周期的安全管控。

（三）配合数据安全统筹部门对相关数据安全工作进行监督、检查、考核以及评估。

（四）承接全局各项数据安全治理工作，指导、处置数据安全事件。

第九条局内各处室、市医保中心及县(市、区)医保局等市级医保系统数据的使用部门，负责组织落实市局数据管理要求。主要职责包括：

（一）负责建立本部门数据安全管理实施细则，规范数据录入和使用流程及相关岗位职责。

（二）定期开展本部门数据安全审计和合规性管理。

（三）负责本部门数据安全事件监控预警、应急管理和数据安全事件报送。

（四）负责落实安全“三同步”要求。

（五）负责自有医保系统的数据安全管理工作。

第四章 数据分类分级

第十条为强化数据安全管理，对医保数据实施分类分级管理。对采集和使用的数据进行分类分级标识，对不同类别和级别的数据实施相应的安全管理策略和保护措施。

第十一条医保业务数据的分类。根据医保业务场景，将医保业务数据总体划分为四大类：医药机构和企业商业秘密、公民个人身份相关数据；医药机构、企业和公民医保结算、经办数据；服务、监管衍生数据；全局运营管理数据。

第十二条医保业务数据的分级。根据数据的敏感程度以及泄露后对我局、医药机构、企业和公民个人造成的影响和危害程度，将医保业务数据分为三级：低敏感级、敏感级、高敏感级。

（一）低敏感级。是指数据公开不会对医药机构、企业的商业秘密和公民个人隐私、全局日常工作和政府利益造成损害。是可以公开的数据。

（二）敏感级。是指发生数据泄露、破坏、失效等情况后会对医药机构、企业的商业秘密和公民个人隐私、我局日常工作和政府利益造成一定损害的数据。在特定条件下可以向特定人员开放。

（三）高敏感级。敏感程度较高，是指发生数据泄露、破坏、失效等情况后会对医药机构、企业的商业秘密和公民个人隐私、我局日常工作和政府利益造成严重损害的数据。是我局要重点保护的数据，禁止对外输出。

第五章 数据生命周期管理

第十三条数据的采集。对数据的收集和获取过程建立安全控制措施，保证对各类数据采集活动的合规性和安全性。

第十四条数据的传输。利用加密、签名、鉴别和认证机制对数据传输进行安全管理，防止数据丢失、泄露、篡改。

第十五条数据的存储。通过基于数据量增长、数据存储安全需求和合规性要求制定适当的存储架构，以实现对存储数据的有效保护。

第十六条数据的处理和使用。通过建立数据处理和使用安全保护机制，防止处理和使用过程中数据丢失、泄露、未授权访问等安全风险。

第十七条数据的共享。加强对数据共享(含交换、导出、开放)环节的安全管控，防止不经审批、不受控制的数据共享行为导致泄露个人信息、重要数据等敏感信息。

第十八条数据的销毁。建立数据清除安全销毁机制，加强数据迁移销毁流程安全管理，防止因存储介质上的数据内容的恶意恢复而导致的数据泄露风险。

第六章 数据安全技术防护

第十九条涉及医保业务数据的网络、信息资源、业务平台等系统应根据数据安全的分类分级情况，对账号按最小权限原则进行分权分域分级配置，对账号进行实名制管理；对敏感信息进行加密、脱敏处理，对批量数据下载有审批和日志记录，对敏感数据操作有日志留存；配置数据备份和恢复工具、漏洞扫描、审计、IPS、WAF、防病毒等安全组件以及数据防泄漏技术手段，防止数据泄露、滥用、丢失、被篡改、被破坏。

第七章 数据安全的日常监测巡查与监督检查

第二十条数据操作日志记录。对涉及敏感数据的系统进行全面的日志记录医疗 数据安全 场景，包括账号与授权管理、系统访问、业务操作、参保人信息操作等行为，并确保日志信息的完整、准确。所有日志留存至少6个月，批量操作日志至少留存1年。

第二十一条数据安全日常监测巡查。市局信息部门定期开展日常数据安全审计。审计内容包含账号权限审计、异常操作审计等，及时发现并处理非授权访问、批量复制或转移数据等违规行为，并形成数据安全审计报告。

第二十二条数据安全监督检查。市局网络安全与信息化领导小组办公室组织对全局各单位数据安全管理和落实情况的监督检查、通报，落实不到位的纳入绩效考核。对造成重大安全事故的，按照温州市医疗保障局相关制度进行追责。

第八章 数据安全评估

第二十三条数据安全合规性评估。数据安全合规性评估主要依据新技术新业务安全评估机制，按照工信部《数据安全合规性评估要点》，重点识别数据安全存在风险，评估数据合规使用情况，数据安全保护措施合规及匹配性，第三方数据安全保护水平。数据安全合规性评估包括全局整体数据安全评估和重点业务数据安全合规性评估，原则上每年至少开展一次。

第二十四条数据安全风险评估。数据安全风险评估是对数据资产面临的威胁、存在的脆弱性医疗 数据安全 场景，以及威胁利用脆弱性导致数据安全事件的可能性、造成的影响进行评估。评估工具包括漏洞扫描、IPS、渗透测试、安全管理评价等。数据安全风险评估原则上每年至少开展一次。

第九章 数据安全事件应急响应及投诉处理

第二十五条市局信息部门建立数据泄露等突发事件的应急响应机制，制定应急预案，定期组织演练，做好紧急情况下重要数据的保护。

第二十六条对于已发生的数据安全事件，应第一时间封堵漏洞，防止数据扩散。并按照流程及时上报，事后做好分析、整改、相关环节的完善。

第二十七条市局办公室负责数据安全类相关投诉管理，完善用户投诉举报处理机制，公布咨询与投诉渠道，受理相关投诉。

第二十八条市医保中心具体负责对接各医药机构、企业和公民个人数据安全投诉受理工作。

第十章 合作方管理

第二十九条合作方包含医保业务合作、系统开发集成、系统维护、技术支撑、外包服务等合作形式。各单位应加强对合作方监督管理，定期开展合作方数据安全保护能力评估。

第三十条各部门应通过采取合同约束、信用管理等手段，督促合作方履行数据安全保护责任。做好合作方医保业务保密协议（附件2）、网络信息安全承诺书（附件3）的签订，明确双方数据安全等责任。明确合作方数据使用权限、期限、保护责任、必要的安全措施及违约责任和处罚条款。

第三十一条驻场服务合作方要制定现场数据操作安全管理制度，明确项目建设、维护过程中数据使用的操作方式、采集范围和使用目的，项目经理负责建立分级授权管理制度，并指派专人进行监督。

第十一章 数据安全教育培训

第三十二条市局信息部门负责牵头组织全局层面的数据安全教育培训活动，每年至少培训1次。培训内容应包括但不限于数据安全管理相关法律法规、标准制度、安全责任以及安全评估、技术防护、应急演练等内容。

第三十三条我局下属各单位根据实际情况每年至少开展1次数据安全保护专题培训。

第三十四条我局下属各单位应强化数据安全风险防控意识，积极推动对单位内人员和第三方的数据安全风险意识教育、培训，与接触医保系统和数据的人员签订网络信息安全承诺书（附件3）。

第十二章 附则

第三十五条本办法自印发之日起施行。

附件：1.对外提供信息保密协议书

2.医保业务保密协议

3.网络信息安全承诺书