醫保信息安全管理制度醫保信息安全管理制度1第一章總則第一條為了進一步加強全市醫保網絡信息安全，規范醫保信息系統權限設置和使用，特制定本管理辦法。第二條本辦法適用于全市醫保部門的各類人員、網絡、數據、硬件設備、軟件系統等。第三條醫保網絡信息安全管理由市醫保局基金監管和信息化科、市醫保信息管理部門和各使用單位分工負責。第四條基金監管和信息化科負責網絡信息系統項目規劃、申報、立項等工作。市醫保信息管理部門負責網絡信息系統的項目實施、測試、運維、培訓等工作。各使用單位負責單位內部網絡安全制度落實，計算機安全管理，權限規范使用。第五條加強網絡安全培訓，培訓可采用內部培訓或外部聘請，也可以請第三方服務商提供專業人員進行培訓。第六條信息安全考核至少一年進行一次，對各級醫保部門考核由市醫保局基金監管和信息化科牽頭負責，對第三方廠商考核由市醫保信息管理部門牽頭負責。第二章系統運維管理第七條醫保網絡信息運維服務包括數據中心運維、網絡運維、業務系統運維。數據中心運維主要包括負責機房通用環境的維護和保養，機房設備的管理、保養及維修，云平臺的運行情況監控及擴容。網絡運維主要包括醫保專線的規劃、設計、建設，常規網絡服務的接入協調、運行維護、配置、管理工作、日常故障響應和技術援助等。業務系統運維包括全市醫保部門使用的信息系統的運行維護。系統上線運行及后續補丁版本升級，須經規范的系統測試，功能測試由項目需求單位組織業務人員實施，性能測試和安全測試由市醫保信息管理部門組織相關技術人員實施。第八條駐場工作的第三方運維人員應當簽署保密協議并遵守市醫保局各項管理制度和服務合同中約定的各種條款。運維人員離場后，及時刪除人員的賬戶和權限等。第九條市醫保信息管理部門應采取日?？己撕投ㄆ诳己讼嘟Y合的方式，對第三方人員的日?？记凇⒐ぷ鞒晒⒎召|量等方面進行評價。對于考核不合格者，應要求第三方單位調換工作人員?？己私Y果與費用支付實施掛鉤。第三章帳號權限管理第十條賬號權限管理由市醫保信息管理部門牽頭負責，并分別設立信息系統管理員。第十一條市醫保信息管理部門統一管理各信息系統管理員權限的變動、授權范圍。各信息系統管理員負責本部門信息系統權限分配工作。第十二條信息系統權限的變動實行審批管理，由申請人填寫《系統權限登記申報表》，經業務科室、分管局（中心）領導審批后，由各信息系統管理員授權，并抄報市醫保信息管理部門。第十三條對系統的訪問須經過授權，任何人不得在未經授權的情況下在系統中運行未經審批的程序。擁有帳號的用戶不得隨意將帳號交于他人使用。第十四條帳號權限的分配應遵循滿足需求的最小授權原則,即為用戶分配權限時,以其能進行系統管理、操作的最小權限進行授權，避免為其分配無關的或更大的權限。第十五條當工作人員工作調動或離職時，信息系統管理員應立即將其在系統中的帳號撤銷，不得繼續將帳號分配給他人使用。第十六條系統中的帳號口令應避免使用弱口令.口令長度不得低于12位，須由數字、大小字母以及特殊字符組成,并定期進行更新。第四章數據備份和恢復第十七條數據備份采用零級備份或增量備份。第十八條數據備份時，應及時記錄備份情況，包括備份周期、時間、內容、相關變更記錄等信息。第十九條數據恢復前，須根據情況對所需要恢復的數據進行必要的備份，防止有用數據的丟失。第二十條數據恢復后，須進行驗證、確認，確保數據恢復的完整性和可用性。第五章資產資源管理第二十一條硬件資產的管理。購買新的硬件設備或者從其他部門接收轉移的設備時，要核對設備清單，對相關設備進行測試驗證，然后登記并建立資產清單。第二十二條軟件資產的管理。要避免軟件資產的丟失、泄密，在安裝軟件時要規定使用權限，防止非授權訪問。第二十三條數據資產的管理。各級醫保部門要預防和減少數據錯誤，確保前臺錄入數據真實、準確、完整。需后臺對信息系統中的數據進行維護的，由各級醫療保險經辦機構填寫《醫保業務數據處理申請表》，待中心業務科室、中心分管領導審批后，由市醫保信息管理部門審核后，通知軟件服務提供商處理。第二十四條網絡資源管理。從中心機房到業務部門的各項網絡資源由市醫保信息管理部門統一管理。各單位內部的網絡布線、設備的采購等由單位自行管理。所有接入中心業務網絡申請、變更，由市醫保信息管理部門審核后進行辦理。第二十五條云平臺資源管理。云平臺資源使用包含申請、變更和退出。使用單位在信息系統開發完成后，按支撐信息系統正常運行所需，合理申請云資源。信息系統運行過程中，使用單位根據業務需要，確需要云資源配置變更的，向云管理機構提出申請。使用單位不再使用云平臺服務時，須做好應用系統下線和數據遷移備份工作，向云主管部門提出退出申請。第二十六條閑置報廢資產管理。閑置資產根據資產類別進行分類歸檔管理。閑置資產中不能再使用的，要存儲在安全的環境中。需要報廢銷毀的，按照單位固定資產管理要求，進行處置。涉及包含有敏感信息的閑置資產處置，要進行嚴格的消密處理，并做好登記備案。第二十七條有關行政部門、司法機關等因執法工作需要查閱、復制或者調取數據的，應當履行相關查閱程序，并遵守下列規定：（一）工作人員不少于兩人；（二）出示個人工作證件和單位證明材料；（三）履行登記手續；第六章安全檢查管理第二十八條項目立項階段即要對信息系統項目及其建設的各個環節進行統一的安全管理規劃。依據國家信息系統安全的相關要求對項目進行等保定級。信息系統建設完成后要向公安機關進行備案，并按國家關于信息安全等級保護相關要求開展等保測評工作。第二十九條市醫保信息管理部門定期開展網絡安全檢查，根據需要組織安全專項檢查。檢查完成后形成檢查報告，相關部門應針對檢查報告中所提出的問題組織整改，整改完成后進行復查確認。第三十條市醫保信息管理部門負責數據中心病毒防治工作，并通過購買專業的安全廠商防病毒服務，及時升級查殺策略。同時指導各單位個人防病毒產品的部署和使用,組織計算機防病毒教育和培訓,對計算機的防病毒情況進行檢查。第七章責任追究第三十一條各部門主要負責人為醫保網絡信息安全管理第一責任人。按照“誰使用，誰負責”的原則，加強醫保網絡信息安全管理。因管理不善致使本部門內發生重、特大信息安全事故或嚴重違紀違法事件的，按有關規定對部門和有關責任人進行處理，情節特別嚴重的依法追究法律責任。第三十二條一旦發現網絡違法案件或者接到有關網絡違法案件舉報，應當詳細、如實記錄事件經過，保存相關證據記錄，及時通知有關領導，并立刻與公安等部門取得聯系。第三十三條所有人員必須自覺遵守國家有關保密法規：（一）不得利用國際聯網泄露國家秘密；（二）涉密文件、資料、數據嚴禁上網流傳、處理、儲存；（三）與涉密文件、資料、數據相關的計算機嚴禁聯網運行。第三十四條任何用戶不得制作、復制、查閱和傳播下列信息：（一）煽動抗拒、破壞憲法和法律、行政法規實施；（二）煽動顛覆國家政權，推翻社會主義制度；（三）煽動分裂國家、破壞國家統一；（四）煽動民族仇恨、民族歧視，破壞民族團結；（五）捏造或者歪曲事實，散布謠言，擾亂社會秩序；（六）宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪；（七）公然侮辱他人或者捏造事實誹謗他人；（八）損害國家機關信譽的；（九）其他違反憲法和法律、行政法規的。第三十五條任何用戶不得從事下列危害計算機信息網絡安全的活動：（一）未經允許，進入計算機信息網絡或者使用計算機信息網絡資源；（二）未經允許，對計算機信息網絡功能進行刪除、修改或者增加的；（三）未經允許，對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的；（四）故意制作、傳播計算機病毒等破壞性程序的；（五）其他危害計算機信息網絡安全的。第八章附則第三十六條本辦法由市醫療保障局負責解釋。第三十七條本辦法自印發之日起施行。醫保信息安全管理制度2第一章總則第一條為加強醫保信息安全管理，確保醫保信息的完整性、準確性和安全性，根據國家有關法律、法規和政策，結合本單位的實際情況，特制定本制度。第二條本制度適用于本單位所有涉及醫保信息的部門、崗位和人員，所有相關人員必須嚴格遵守本制度，確保醫保信息安全。第三條醫保信息安全管理工作應堅持“安全第一、預防為主、綜合治理”的原則，確保醫保信息在采集、傳輸、存儲、使用、共享和銷毀等各個環節的安全。第二章組織架構與職責第四條成立醫保信息安全領導小組，由單位主管領導擔任組長，相關部門負責人為成員，負責醫保信息安全管理的全面領導和決策。第五條設立醫保信息安全管理部門或指定專責人員，負責醫保信息安全的日常管理工作，包括制定安全策略、監督執行、組織培訓、應急響應等。第六條各部門應明確醫保信息安全的具體責任人，負責本部門醫保信息的安全管理，確保本部門信息不被泄露、篡改或濫用。第三章醫保信息安全管理第七條建立醫保信息分類管理制度，明確信息的敏感級別和保密要求，對敏感信息進行特殊保護。第八條嚴格執行醫保信息訪問控制，實施用戶身份認證和權限管理，確保只有授權人員能夠訪問和操作相關信息。第九條加強醫保信息傳輸安全，采取加密、簽名等安全措施，確保信息在傳輸過程中不被竊取或篡改。第十條定期對醫保信息系統進行安全漏洞掃描和風險評估，及時發現并修復潛在的安全隱患。第十一條建立醫保信息備份和恢復機制，確保在發生安全事件時能夠及時恢復數據，保障業務的連續性。第十二條加強員工安全意識教育，定期組織醫保信息安全培訓，提高員工對醫保信息安全的重視程度和應對能力。第四章應急響應與處置第十三條制定醫保信息安全應急預案，明確應急響應流程和組織架構，確保在發生安全事件時能夠迅速響應和處置。第十四條建立醫保信息安全事件報告制度，要求員工在發現安全事件時及時報告，確保事件得到及時處理。第十五條對發生的醫保信息安全事件進行調查和分析，總結經驗教訓，完善安全措施，防止類似事件再次發生。第五章監督與考核第十六條醫保信息安全管理部門應定期對各部門醫保信息安全管理工作進行監督和檢查，發現問題及時督促整改。第十七條將醫保信息安全管理工作納入單位績效考核體系，對在醫保信息安全工作中表現突出的部門和個人給予表彰和獎勵。第六章附則第十八條本制度自發布之日起執行，由醫保信息安全領導小組負責解釋和修訂。第十九條本制度與之前的相關規定有沖突的，以本制度為準。第二十條本制度未盡事宜，按照國家有關法律、法規和政策執行。醫保信息安全管理制度3為保障醫保信息系統的操作安全和數據庫系統安全，根據《中華人民共和國計算機信息系統安全保護條例》，結合本單位系統建設實際情況，制定本制度。一、工作制度（一）遵守各項規章制度，配合信息中心做好雅安市醫保系統信息網絡的正常運行、日常維護工作。（二）與軟件公司協作，負責醫保信息系統數據的管理、匯總、分析和系統升級，協助做好醫保統計數據工作。（三）按照有關規定，做好醫保系統計算機管理工作。（四）盡職盡責做好本職工作，及時完成領導交辦的.任務。二、保密原則（一）嚴格執行國家保密局《信息系統和信息設備使用保密管理規定》。（二）遵守信息安全的“五禁止”。1.禁止將涉密信息系統接入國際互聯網及其他公共信息網絡。2.禁止在涉密計算機與非涉密計算機之間交叉使用U盤等移動存儲設備。3.禁止在沒有防護措施的情況下將國際互聯網等公共信息網絡上的數據拷貝到涉密信息系統。4.禁止涉密計算機、涉密移動存儲設備與非涉密計算機、非涉密移動存儲設備混用。5.禁止使用具有無線互聯功能的設備接入網絡或處理涉密信息。同時遵守涉密信息不上網，上網信息不涉密。（1）不將秘密文件、資料和存儲介質放在不安全的地方．（2）不擅自翻印、復印、轉抄、拷貝秘密文件、資料、數據。（3）不隱瞞失密、泄密事故；保密檢查不敷衍，不馬虎。三、信息安全管理（一）日常管理協助信息中心做好醫保信息系統的服務器、網絡及周邊設備管理，保障網絡設備完好。（二）網絡安全管理1.醫保信息系統做到專網專用。安裝實時病毒防護軟件，做好病毒防范工作。2.加強對網絡系統的管理工作，并對用戶做好安全教育，提高安全意識。醫保信息系統計算機嚴禁外來存儲介質直接安裝、使用。3.為確保醫保信息系統正常使用，使用者要遵守信息中心關于醫保信息系統專網使用的有關規定。4.為防止非法用戶的侵入和病毒對網絡的破壞，嚴格執行系統用戶分級管理規定。（三）數據安全管理1.協助信息中心做好醫保信息系統數據的備份及應急安全管理工作，確保醫保信息系統和網絡的通暢運行。2.為確保數據的準確性，嚴禁隨意修改、刪除系統數據。對系統數據的正常維護，應做好記錄，記錄應包括操作人員、操作時間和操作內容等詳細信息。3.工作人員要做好數據信息的保密工作，系統內各項數據均要保密，嚴格執行有關保密規定。（四）用戶權限管理1.系統用戶增加和權限設置應由專人負責管理。2.系統維護人員需與業務操作人員相互分離。3.其他股室權限設置應由各股室負責人提出申請，填寫《系統權限申請表》報分管領導審批后，由系統維護人員增設相關功能權限。權限設定應遵循最小最少設置原則。（1）管理員權限：維護系統，對數據庫與服務器進行維護。（2）普通操作權限：對于系統的使用人員，針對其工作崗位給予操作權限。（3）查詢權限：對于單位管理人員可以以此權限查詢數據，但不能輸入、修改數據。（4）特殊操作權限：嚴格控制單位管理方面的特殊操作，只將權限賦予相關負責人員并互相審核，如待遇開通、退費操作等，形成監督機制。4.人員離職或調職時需交回相關系統賬號及密碼，經系統管理員凍結賬號后方能離職或調職。四、信息系統網絡設備管理（一）職工需愛護信息系統網絡設備，禁止任何破壞網絡設備的行為。（二）非系統維護人員未經網絡主管部門的批準，不得擅自更換、修理網絡設備。五、專業人員培訓考核（一）各類專業人員認真執行培訓考核制度。（二）定期或不定期學習各項規章制度及崗位職責，熟練掌握各項操作規程。（三）認真組織相關人員的專業培訓工作，制定軟、硬件及網絡維護培訓計劃，組織有關人員參加相關崗位系統上崗培訓。六、懲處違反本管理制度，將提請單位行政部門視情節給予相應的批評教育、通報批評、行政處分或處以警告、以及追究其他責任。觸犯國家法律、行政法規的，依照有關法律、行政法規的規定予以處罰；構成犯罪的，依法追究刑事責任。醫保信息安全管理制度4第一章總則第一條為了保障醫保信息系統的安全穩定運行，保護參保人員信息安全，根據國家有關法律法規和醫保政策，特制定本管理制度。第二條本制度適用于所有參與醫保信息管理、運營、維護和使用的部門和個人。第三條醫保信息安全管理的目標是確保醫保信息的保密性、完整性和可用性，防止信息泄露、損壞、丟失和非法使用。第二章組織管理第四條成立醫保信息安全領導小組，負責全面指導、監督和檢查醫保信息安全工作。第五條明確各部門在醫保信息安全中的職責和分工，確保工作有序開展。第六條定期對醫保信息安全工作人員進行培訓和考核，提高信息安全意識和技能。第三章技術保障第七條采用先進的技術手段和設備，保障醫保信息系統的網絡安全、物理安全和應用安全。第八條定期對醫保信息系統進行安全漏洞掃描和風險評估，及時修復安全漏洞。第九條建立完善的數據備份和恢復機制，確保醫保數據的完整性和可用性。第四章信息保密第十條嚴格執行信息保密制度，確保醫保信息的保密性。第十一條對醫保信息進行分類管理，對不同級別的信息采取不同的保密措施。第十二條加強對醫保信息存儲、傳輸和處理過程中的安全監管，防止信息泄露。第五章應急處置第十三條制定醫保信息安全應急預案，明確應急處置流程和責任人。第十四條定期組織應急演練，提高應對突發事件的能力和水平。第十五條在發生信息安全事件時，應立即啟動應急預案，及時報告、處置和記錄。第六章監督與責任第十六條加強對醫保信息安全工作的監督檢查，確保各項制度得到有效執行。第十七條對違反本管理制度的行為，依法依規追究相關責任人的責任。第七章附則第十八條本管理制度自發布之日起施行，由醫保信息安全領導小組負責解釋和修訂。第十九條本管理制度的修改和廢止，須經醫保信息安全領導小組審議通過，并報請上級主管部門批準后實施。第二十條本管理制度的最終解釋權歸醫保信息安全領導小組所有。醫保信息安全管理制度5為確保醫保聯網計算機應用能夠正常、高效、安全地運行，實現系統安全、數據安全、網絡安全和應用安全的目標，特制定《醫保聯網計算機信息安全管理制度》。一、安全管理機構（1）平陽縣人事勞動社會保障局負責所有醫保聯網單位計算機信息安全。（2）醫保聯網單位計算機安全，溫州市平陽縣平安醫藥連鎖有限公司自行負責。二、人員管理（1）應定期對系統所有工作人員從政治思想、業務水平、工作表現等方面進行考核，盡可能保證這部分人員安全可靠。對不適合接觸信息系統的人員要適時調離。（2）所有工作人員除進行業務培訓外，還必須進行相應的計算機安全課程培訓，才能進入系統工作。（3）醫保聯網計算機專人負責，定期更改系統口令。三、計算機安全管理（1）除醫保應用相關程序外，嚴禁隨意安裝其他軟件。重要的數據文件必須多份拷貝異盤存放。（2）嚴禁利用u盤、移動硬盤、光盤等移動外設，拷貝文件至醫保聯網計算機上。（3）嚴禁修改、刪除醫保聯網計算機上文件。（4）醫保聯網計算機必須設置口令，對口令的產生、登記、更換期限實行嚴格管理?？诹钭詈迷?位以上。（5）嚴禁醫保聯網計算機上互聯網。未經批準不得向他人提供查詢或拷貝。（6）醫保線路為專線專用，任何人員不得通過不正當手段非法進入醫保信息系統網絡。醫保信息安全管理制度6一、總則1.1為保障醫保信息系統的安全、穩定運行，保護參保人員的個人隱私和醫療信息安全，根據國家有關法律法規，結合本單位實際情況，特制定本醫保信息安全管理制度。1.2本制度適用于本單位所有涉及醫保信息的收集、存儲、處理、傳輸和使用的部門、崗位和人員。二、信息安全管理原則2.1保密性原則：確保醫保信息