袁永升委员：

您提出的《关于重视我区医疗体系中数据安全建设的提案》已收悉，经认真研究，现答复如下： 

一、数据安全管理体系建设 

（一）强化组织领导。各级卫生医疗机构对照《党委（党组）网络安全工作作责任制实施办法》要求，强化党委对网络安全工作的统领，坚持网络安全和信息化工作“一把手”亲自抓、负总责，完善业务主管部门和信息技术部门的协同推动工作长效机制，明确工作职责和边界，压实责任主体，保障工作经费，配备专职机构和人员，形成多方参与工作合力，推动网络和数据安全工作落实落细。

（二）完善规章制度。按照《医疗卫生机构网络安全管理办法》的要求，建立完善本单位、本机构网络安全建设、管理、运维、保障等各项工作制度，确保制度建设全覆盖、无死角。通过制度建设拧紧网络和数据安全工作的责任链条，推动网络和数据 安全工作规范高效支撑信息化工作。根据工作需要适时修订完善制度，切实做到工作有章可循，有据可依。

（三）严格监督检查。各级卫生健康行政部门要积极履行好网络和数据安全的监管责任，积极主动监督、指导本地区、本单位的有关网络安全运营主体，落实好日常自查自检、重大节日保障、风险隐患整改、实时监测预警等工作，定期对辖区内和主管 单位内的机构开展实地的监督检查或远程线上的技术检测，通过检查实现以查促建、以查促改、以查促用。

（四）密切沟通联动。各级医疗卫生机构要加强同本级网信、国安、公安、大数据等网络安全监管部门的沟通联动，一旦发生网络和数据安全的案事件，要第一时间按照监管要求和应急预案报告有关监管部门，积极做好配合工作。主动对接协同，落实好同级网络安全监管部门布置的各项工作任务，共同守护好卫生健康行业网络和数据安全平稳运行。 

二、数据安全技术体系建设 

（一）夯实网络和数据安全基础性底座。贯彻落实《网络安全法》、《数据安全法》、《中华人民共和国个人信息保护法》、《密码法》等法律法规，以网络安全等级保护和商用密码应用安全性评估两项基本工作为抓手，夯实卫生健康行业网络和数据安全的基础性底座。坚持“管业务就要管安全”、“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，压紧压实各级各类医疗卫生健康机构网络和数据安全运营主体责任，确保网络安全等级保护工作有效开展，确保商用密码使用正确、合规、有效。

（二）构筑综合主动动态的体系化防御。各级医疗卫生机构内的生产系统汇聚了大量业务数据和健康信息，是网络和数据安全问题隐患的高发地，必须构筑综合、主动、动态的防御体系。三级公立医院要全面加强对态势感知平台的部署和应用，丰富完 善通报预警、事件处置、威胁信息、指挥调度、应急演练等业务模块。对重要系统和关键部位开展实时监测。提升网络探测和节点渗透的难度和成本，有效防御外部攻击和外联风险。

三、数据安全运营体系建设

（一）强化网络安全和信息化协同推进。坚持网络安全和信息化同步规划、同步建设、同步运行，把网络和数据安全贯穿在信息化项目的立项审批、需求调研、规划设计、建设推进、交付验收、运维保障等全过程、全链条，实现网络安全和信息化建设 在组织机构、工作机制、规章制度、经费保障、人才培养、宣传教育等方面的同步推进和协同发力，确保网络安全和信息化统一谋划、统一部署、统一推进、统一实施。

（二）全面摸清信息化资产底数和边界。全面掌握本单位已接入网络的软硬件信息化资产底数，建立信息化资产台账，做到动态管理，定期更新。全面收敛硬件设备、网络、软件系统、应用程序暴露面，及时关停老旧资产和不再使用的地址、端口、服务、接口等，坚持最小、够用、必要开放计算、网络、存储资源。建立严格的网络安全边界防护机制，加强特权账户动态精准管理，通过访问控制策略和白名单的模式控制远程访问的行为和频率，切实做好信息化资产各网络边界防护。

（三）紧盯风险漏洞的处置整改和清零。妥善及时处置来自网络、主机、应用等各层面的网络安全风险，加强对风险漏洞的处置整改的测试和验证，把风险漏洞对系统安全运行的影响降到可控范围。严防来自供应链端的安全风险，通过采购第三方安全 服务强化日常风险隐患的自查自检，定期更新升级软件版本、固件版本、特征库等，确保在用系统风险隐患的排查、分发、整改、 复验等工作形成闭环。

（四）持续推动软件正版化国产化工作。贯彻落实《中华人民共和国著作权法》，把软件正版化国产化工作纳入网络安全和信息化建设的优先领域，推动各级医疗机构使用正版软件、国产软件和国产设备。加大对使用正版化、国产化资金保障力度，严格规范正版化、国产化的采购配置和使用管理，逐步提升各医疗机构正版化、国产化的覆盖率。

（五）促进队伍建设和技术能力双提升。积极组织参与澳门赌场网站和自治区公安、网信、大数据等网络安全监管部门组织的攻防演习、知识竞赛、技能大赛等赛事活动，通过以赛代练、以赛促训、以赛提能等方式，建立完善网络和数据安全人才队伍 的发现、选拔、培养机制。加强行业从业人员的教育培训体系建设，及时掌握和了解网络和数据安全法律法规、政策要求、标准规范、实操技巧等。通过参加赛事、专项培训、在线对抗、交流分享、案例分析等方式逐步提升行业网络和数据安全人才队伍的专业化能力和水平。

2024年7月20日