兰溪市医疗保障局

关于进一步做好医保信息系统及网络

安全管理的通知

 

局机关各科室、市医保中心：

为确保医保信息系统及网络安全平稳运行，加强信息安全防护，降低数据安全风险，根据《国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知》（医保发〔2021〕23号）文件精神，现就进一步加强医保信息系统及网络安全管理工作通知如下：

一、人员及账号管理

1.进一步落实医保信息系统及网络安全管理责任，由市医保中心明确专人负责医保信息业务系统、两定医药机构HIS系统及医保专网网络和信息安全管理工作。

2.账号管理及权限申请。按照“三权分离，数据可控”的原则，使用人提出书面申请，详细列明所需权限，经部门负责人审核、分管领导审批同意后交由系统管理员进行账户的创建及权限的分配。

3.账号使用。信息系统账号实行“实名制”管理，不得随意借用，严禁多人共享账号，账号使用人在使用过程中，不得使用账号访问与本职工作无关的资源。

4.口令管理。账号口令不得使用弱密码，必须具有足够长度和复杂度，不得低于8位，必须包含字母、数字以及特殊字符，不应当取有意义的词语或其他符号（如使用者姓名、生日或其他易于猜测的信息），并应定期修改账号口令。

5.账号的取消及更新。账户使用人离职或岗位调整，由原部门负责人申请账号注销或权限变更；原部门负责人未及时申请并通知系统管理员的，造成的损失由原部门负责人负责。

6.账号恢复。已被停用或禁用的账号，如确系业务需要申请恢复时，按账号申请程序办理。

二、数据管理

1.操作管理。医保信息系统业务数据不得随意修改或删除，如确需修改，应严格按照业务办理有关规定进行申请，履行审批手续。

2.传输管理。医保信息系统内数据具有高度保密性，使用人须做好防泄漏工作，所有数据不得以明码形式存储和传输。非业务必要不得从系统内导出数据，禁止通过微信、QQ、钉钉、邮箱等外网方式进行传递。数据传输须使用FTP、内网平台或专用的物理移动存储设备，使用移动设备进行拷贝时需进行病毒扫描后操作。

3.应急处理。严格按照《兰溪市医疗保障局网络安全应急预案》的要求，做好预警防护、风险评估和容灾备份。当出现病毒攻击、数据泄漏、遗失等网络安全事件时，应及时向网信、公安以及上级主管部门报告。市医保中心做好对医保两定机构应急处理的指导工作。

三、网络管理

1.专网专用。医保经办人员进行医保信息系统操作时，必须确保专网专用，内网必须与互联网实行严格的物理隔离，严禁计算机双网卡运行、一机两网的现象。

2.定期自查。医保经办人员需定期自查，及时对经办业务电脑进行系统升级、修补漏洞、病毒查杀、口令修改等。严控“远程管理”操作，关闭不必要的端口和链接，从源头上消除安全隐患。

四、其他要求

加强组织领导，成立局医保信息系统及网络安全工作领导机构，统筹协调相关工作。对工作中出现问题造成不良后果的单位和人员要通报批评，造成严重后果的依规依纪依法处理。