卫生部要求落实行业信息安全责任制

　　据卫生部网站消息，为贯彻落实国家信息安全等级保护制度，日前，卫生部制定并印发了《卫生行业信息安全等级保护工作的指导意见》，《意见》指出，卫生行业各单位要按照“谁主管、谁负责，谁运营、谁负责”的要求，落实信息安全责任。《意见》要求，卫生行业信息安全等级保护工作实行行业指导、属地管理。

　　地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求，做好本地区卫生信息系统安全等级保护的指导和管理工作，卫生行业各单位要按照“谁主管、谁负责，谁运营、谁负责”的要求，落实信息安全责任。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

　　《意见》指出，地方各级卫生行政部门承担本地卫生信息安全责任，信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部建立信息安全等级保护工作联络员机制，各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准，掌握本地区信息安全等级保护工作动态和总体情况，代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流，协调落实本地区信息安全等级保护工作。

　　国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。《意见》要求，以下重要卫生信息系统安全保护等级原则上不低于第三级：卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。

　　国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；三级甲等医院的核心业务信息系统；卫生部网站系统；其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。《意见》强调，卫生行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生行政部门备案。