银川市互联网医院数据安全保密管理制度 

第一章 总则 

第一条 为贯彻落实《银川互联网医院管理办法（试行）》（银政发〔2016〕249号）和《银川市互联网医院管理办法实施细则（试行）》（银办发〔2017〕38号）要求，规范互联网医院数据安全保密管理，根据《保密法》、《国家网络安全法》、《侵权责任法》、《计算机信息系统安全保护条例》等国家有关法律规定，结合我市实际情况，特制定本制度。 

第二条 本制度中的互联网医院数据是指在银川市注册的互联网医院在运营过程中产生的全部数据。    

第三条 在本市行政区域内从事互联网医院数据的采集、存储、处理、应用、共享、开放及其相关管理服务活动，适用本制度。 

第四条 信息系统是指互联网医院数据采集、存储、处理、应用、共享、开放及其相关管理服务活动的信息系统。 

第二章 组织机构及职责 

第五条 成立银川市互联网医院数据安全保密管理工作领导小组（以下简称“工作领导小组”），统筹管理互联网医院数据安全保密管理工作。工作领导小组下设互联网医院数据安全保密管理办公室（以下简称“管理办公室”），负责互联网医院数据的安全保密管理的日常运作和联络，并对互联网医院及相关部门的数据保密和安全工作制定日常监督和考核办法。 

第三章 网络管理 

第六条 信息系统内外网网络边界部署防火墙、审计系统、IPS/IDS等安全设备；对内部网络进行区域隔离、保护。重要的业务应用服务器区域部署单独的防火墙进行保护。 

第七条 内外网络之间要实行物理隔离。如需进行数据交换和网络链接时，必须采用符合国家保密部门要求的方式（如刻录光盘）或设备（如保密部门认可的安全移动存储介质管理系统）。 

第八条 所有互联网医院的应用系统必须使用网页防篡改技术或专用安全设备进行保护，确保网站在受到破坏时能自动恢复。 

第九条 所有互联网医院的应用系统必须经过有资质的专业信息安全公司或第三方技术机构的安全测评，对于集中处理互联网医院数据的信息系统应参照秘密级信息系统的分级保护相关要求实施安全防护，确保网站的安全性。工作领导小组指定负责人或第三方专业机构按国家相关要求定期开展信息安全等级保护和风险评估工作，定期组织专家评审，排除信息系统安全隐患。 

第十条 内网应配置独立的交换机，内网综合布线须参照《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。 

第十一条 内网信息系统利用公网（PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH 等）进行远程传输时，必须使用VPN技术实行加密处理。 

第十二条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统，建立与应用相适应的安全策略，全面加强主机和应用系统安全。 

第十三条 建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。技术部门通过监控机房、网络、主机、应用、数据等运行状态，主动发现安全隐患，及时采取相应措施，按照相关业务和应用系统设计要求在规定时间内恢复受影响或被中断的应用服务。 

第四章 终端管理 

第十四条 内网计算机必须安装保密部门认可的违规上网监控软件。 

第十五条 内网计算机应采用“双布线双用户终端”或“双布线双硬盘单用户终端”的隔离卡物理隔离解决方案。 

第十六条 严禁在内网计算机上使用无线网卡、键盘、鼠标、蓝牙等一切无线设备。 

第十七条 严禁在内网非涉密系统中发布涉密信息，内网计算机不得存储、处理、传输国家秘密信息，非涉密移动存储介质不得存储国家秘密信息。 

第十八条 严禁在内网计算机上连接手机、相机、USB存储介质、录音笔等一切非授权的可存储或连接其他网络的外置设备。 

第十九条 及时对内网计算机操作系统补丁和防病毒软件病毒库进行更新，定期对计算机进行全盘扫描、杀毒。 

第五章 用户管理 

第二十条 所有用户（包括互联网医院、监管部门、IDC服务提供方及数据操作的相关人员）必须遵守《保密法》、《国家网络安全法》、《侵权责任法》、《计算机信息系统安全保护条例》等国家有关法律、法规，严格执行本条例。 

第二十一条 所有用户需严格执行信息安全和互联网医院数据保密制度，不得泄露、买卖医学、个人隐私等相关信息。各有关部门、互联网医院不经患者本人同意不得将诊疗数据商用，若有违反上述规定的单位或个人，依法追究其法律责任。 

第二十二条 各部门（包括但不限于互联网医院、监管部门、IDC服务提供方）需建立互联网医院数据安全管理实施工作责任制和责任追究制，应按照分工负责、相互制约的原则制定各类系统操作人员的数据读写权限，读写权限不允许交叉覆盖。确定数据使用人员的存取权限、存取方式和审批手续，防止各类敏感数据有意或无意泄露与获取。 

第二十三条 管理办公室定期组织对内网用户和数据操作相关人员的保密教育和检查，加强对内网安全、保密技术知识的教育和培训，对涉密数据操作人员要严格要求，强化保密意识，提高对互联网医院数据安全保密工作的自觉性。 

第六章 介质管理 

第二十四条 对存放有重要数据的介质，应采用磁盘阵列、数据备份、异地容灾等信息存储手段进行主动防护，防止信息系统数据的丢失、破坏和失密。 

第二十五条 做好大数据中心重要数据（介质）的安全保密工作。保留在机房内的重要数据（介质），应为系统有效运行所必需的最少数量数据，除此之外不应保留。重要数据（介质）库，应设专人负责登记保管，未经批准，不得随意挪用重要数据（介质）。在使用重要数据（介质）期间，应严格按国家保密规定控制转借或复制，需要使用或复制的须经批准 。 

第七章 数据管理 

第二十六条 互联网医院应严格执行《银川互联网医院管理办法（试行）》第二十四条和第二十五条，并对诊疗过程中产生的数据按其密级进行分级分类管理，对数据进行访问控制，脱敏控制，定期稽核，监控数据使用的合规性和安全状况，实现精细化数据安全管控。 

针对高安全级别诊疗数据，应采用并部署审计系统对信息和日志进行安全审计、审计追踪，并采用数字指纹、追踪码技术进行数字取证。 

第二十七条 凡在银川市进行注册的互联网医院，必须将其系统运营数据存放至智慧银川大数据中心，诊疗全过程必须在网上全程留痕，同时向监管部门开放端口接受监管，互联网医院数据至少留存30年以上。 

第八章 安全事件报告 

第二十八条 所有用户（包括互联网医院、监管部门、IDC服务提供方及数据操作的相关人员）发现信息安全事件已经发生或可能发生时，应立即采取补救措施并及时报告管理办公室。管理办公室接到报告后，应及时进行处理，并及时向工作领导小组报告。 

第二十九条 违反本制度规定的，由管理部门或管理人员及时报告工作领导小组，工作领导小组根据违规情况按有关法规追究责任。 

第三十条 应制定应对各种突发事件所采取的应急响应机制和策略，具体应符合GB/T 24363-2009《信息安全技术 信息安全应急响应计划规范的规定》。 

第三十一条 发生信息安全事件时，互联网医院需无条件配合工作领导小组的相关工作。 

第九章 附则 

第三十二条 工作领导小组负责银川市互联网医院数据安全保密管理制度的修订，确保市互联网医院数据的保密和安全。 

第三十三条 本制度自发布之日起生效执行。