湖南省卫生健康委对省政协十二届二次会议第0246号提案的答复
罗爱静委员:
感谢您对全省卫生健康工作的关注与支持!您在省政协十二届二次会议上提交的《为个人医疗信息安全撑起“保护伞”》(第0246号提案)收悉。我委高度重视,经认真研究,结合相关部门的会办意见,现答复如下:
一、关于健全相关法律法规,为医疗信息安全保驾护航的建议
多年来,我委贯彻落实《网络安全法》等法律法规要求,结合我省实际出台了《湖南省卫生计生委信息安全工作管理办法》、《湖南省卫生计生委网络信息事件应急预案》、《湖南省卫生健康委信息化工作管理办法》等工作制度,规范指导全省卫生健康行业网络信息安全工作,确保了无大的网络安全事件发生。
下一步,我委将积极向国家卫生健康委提出工作建议,在国家层面建立统一的网络信息安全规范和标准体系。同时,我委将会同有关部门做好医疗卫生信息安全立法的前期调研论证工作,对立法的必要性、可行性、需要解决的主要问题和立法主要内容进行深入研究,在条件成熟时向省政府立法部门申报年度立法计划。
二、关于加强医疗行业统筹力度,补齐信息安全短板,设立行业隐私保护主管部门,设立专项,加大投入,推广第三方及平台用户身份验证机制,强化医疗信息安全监管等建议
我委成立了由委主要领导担任组长,分管委领导担任副组长,各处室和有关单位主要负责人为成员的信息化工作领导小组,领导小组职责包括了网络信息安全、风险评估、预警通报等工作。为落实国务院和省政府“互联网+医疗健康”有关任务,我委与省财政部门积极协调,争取在资金投入方面得到更多的支持。省财政厅将结合您的建议,支持完善卫生健康信息化建设规划,科学合理安排信息化建设资金,所提建议融入到我省卫生健康信息化建设规划中,确保个人医疗信息越来越安全。省工业和信息化厅将积极协调政府、企业、个人以及第三方机构的关系,着力加强数据治理、身份认证、访问控制以及风险管理和责任控制等,注重大数据隐私保护。
三、关于完善医疗机构组织制度和体系建设,强化医疗信息数据隐私保护的建议
2018年,我委派出4个督查小组,对全省14个市州和部分医疗机构的网络信息安全工作进行了现场督查,通过现场督查发现,绝大部分单位都根据自身情况成立了网络安全管理领导小组,由主要领导担任组长,明确了领导小组工作职责。建立了网络安全管理制度、备份管理制度、应急响应预案等管理制度,部分单位进行了应急演练。重要应用系统都进行了备份,大部分单位应用系统的重要数据进行了双机热备,部分应用系统的重要数据进行了异地备份。实行了24小时全天在岗制,各物理机房有专人负责维护及管理。
省委网信办正在建设全省网络安全态势感知平台,我委已与省委网信办沟通,将医疗领域信息系统纳入平台重点监测和通报范围,针对医疗领域信息系统通报的系统漏洞和安全隐患,督促医疗机构落实整改措施,及时对信息系统进行安全加固,防范已发现和暂未发现的网络威胁。
四、关于强化内部管理,抓好人才队伍建设,开展培训,开展行业重要信息系统的安全测评和风险评估工作的建议
省委省政府高度重视信息安全和人才队伍建设,《湖南省人民政府办公厅关于促进“互联网+医疗健康”发展的实施意见》(湘政办发〔2018〕85号),对此提出了明确要求。我委在制定贯彻落实省政府文件时要求:“全面开展医院信息系统等级保护测评工作,到2020年各市州卫生健康委、二级及以上公立医院实现等级保护测评全覆盖,建立健全《网络安全事件应急预案》,定期开展应急演练。强化安全保密意识,开展业务培训,严格执行信息安全和医疗健康数据保密规定。建立完善个人隐私信息保护制度,严格保护患者信息、用户资料和数据等。建立完善信息安全管理制度,加强‘互联网+医疗健康’信息系统、关键信息基础设施安全防护措施,加强信息安全人才队伍建设”。
下一步,我们将重点从以下四个方面开展工作。一是深入推进医疗行业网络安全风险评估工作。省委网信办表示将会同我委推进信息系统安全风险评估工作。摸清信息系统底数,从管理层面、网络层面、数据层面、操作层面、应用层面进行风险评估。二是开展网络安全检查和应急演练。依据《网络安全法》,对全省医疗机构开展关键信息基础设施网络安全监督检查,及时发现、整改安全隐患和系统漏洞,督促医疗机构落实网络安全主体责任,对拒不履行网络安全管理义务的单位追究法律责任。三是深入推进医疗行业网络安全等级保护。会同公安机关组织开展信息安全等级保护工作,建立完善的安全管理制度,在网络层面、数据层面、操作层面、应用层面落实安全技术措施。认真做好定级、测评、整改等工作,并针对性开展医疗行业网络安全攻防演练,检验等级保护工作成效。四是定期开展业务培训。定期举办信息安全培训班,对相关人员进行系统的专业培训,通过培训提高应急和防范能力。
再次感谢您对我省卫生健康工作的关心与支持!
湖南省卫生健康委
2019年6月14日
联系单位:省卫生健康委规划发展与信息化处
联系电话:0731-84828613