近日，国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》。《办法》要求各医疗卫生机构依据相关标准科学确定网络的安全保护等级，新建的网络上线运行前应进行安全性测试，新建信息化项目的网络安全预算不低于项目总预算的5%。

《办法》坚持分等级保护、突出重点，重点保障关键信息基础设施、网络安全等级保护第三级及以上网络以及重要数据和个人信息安全，明确各医疗卫生机构应按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责，对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作。

《办法》提出，各医疗卫生机构应在规划和申报阶段确定网络安全保护等级，全面梳理本单位各类网络，特别是云计算、物联网、区块链、5G、大数据等新技术应用的基本情况，并根据网络的功能、服务范围、服务对象和处理数据等情况，依据相关标准科学确定网络的安全保护等级，并报上级主管部门审核同意。各医疗卫生机构应对已定级备案网络的安全性进行检测评估，同时加强本单位网络安全通报预警力量建设，建立应急处置机制，每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查等。

《办法》明确，各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范，每年对本单位的数据进行数据安全风险评估，及时掌握数据安全状态。同时，加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作，数据全生命周期活动应在境内开展。因业务确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估或审核，针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查，防止数据安全事件发生。

文：健康报记者 郭蕾

编辑：杨真宇

校对：马杨

审核：徐秉楠 闫龑